Dans le cadre de leur mission pédagogique, les enseignants utilisent certains outils, services et ressources numériques nécessitant de s’assurer de la protection et du traitement de données personnelles. La protection des données est dorénavant encadrée à un niveau européen avec la mise en vigueur du Règlement Général de Protection des Données (RGPD) depuis le 25 mai 2018.
Il est impératif, non seulement que les données à caractère personnel des élèves, des enseignants, des agents soient protégées en s’assurant d’usages pédagogiques et administratifs encadrés mais aussi qu’elles soient traitées conformément au règlement général sur la protection des données et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. Pour ce faire, le responsable doit être en mesure de justifier que ce traitement est nécessaire à l’exercice d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique dont il est investi, au sens du e) du 1 de l’article 6 du RGPD. Cela signifie que les équipes pédagogiques doivent être en mesure de justifier que l’utilisation d’un outil, d’un service ou d’une ressource entre pleinement dans le champ du service public du numérique éducatif défini à l’article L. 131-3 du code de l’éducation.
Pour que ce traitement soit licite, il est donc nécessaire de recueillir le consentement des personnes concernées en application du a) du 1 de l’article 6 du RGPD si ce n’est pas le cas. Conformément aux dispositions de l’article 7-1 de la loi du 6 janvier 1978 issu de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, il est aussi impérieux de recueillir le consentement du mineur et des titulaires de l’autorité parentale s’il est âgé de moins de quinze ans.
Manquer au respect du RGPD, ne pas maîtriser le traitement des données, expose à des risques de sanctions pénales prévues par les textes : « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »
Des services destinés au grand public n’offrent pas tous la garantie que les données scolaires transmises ne soient pas utilisées à d’autres fins que pédagogiques ou administratives. En effet, ces systèmes généralement peu transparents peuvent réutiliser les activités numériques et pratiquer une politique de monétisation opaque des données.