Aller au contenu principal
Données personnelles Éducation

RGPD et données scolaires : protéger les informations de vos élèves

Liz Garnier
Liz Garnier
Jeune garcon etudiant devant un ordinateur portable avec un cahier

En décembre 2025, le Ministère de l’Éducation nationale et la CNIL ont renouvelé leur partenariat pour renforcer la protection des données des élèves et l’éducation au numérique. Le signal est clair : la conformité RGPD dans les établissements scolaires n’est plus un sujet technique réservé aux informaticiens. C’est une responsabilité quotidienne de chaque directeur, chaque enseignant, chaque membre de l’équipe éducative.

Pourtant, entre les fiches d’inscription, les photos de classe, les résultats scolaires et les outils numériques utilisés en classe, la quantité de données personnelles traitées par un établissement est considérable. Savez-vous exactement lesquelles vous collectez, comment vous les stockez, et qui y a accès ?

Quelles données personnelles traite un établissement scolaire ?

Un volume plus important qu’on ne le croit

La CNIL recense les principales catégories de données traitées par les établissements :

  • Identité de l’élève : nom, prénom, date de naissance, photo, numéro INE
  • Scolarité : résultats scolaires, bulletins, appréciations, retards, absences
  • Santé : allergies, PAI (protocole d’accueil individualisé), vaccinations, certificats médicaux
  • Situation familiale : noms et coordonnées des parents, profession, situation matrimoniale
  • Données financières : quotient familial (pour la cantine), revenus (pour les bourses)
  • Données sensibles : pays de naissance, langue parlée à la maison

Chaque fiche d’inscription d’élève contient entre 30 et 50 champs de données personnelles. Multipliez par le nombre d’élèves : un établissement de 400 élèves gère plus de 15 000 données personnelles identifiables.

Les données numériques s’ajoutent aux données papier

Avec la multiplication des outils numériques en classe (ENT, applications pédagogiques, visioconférence, applications de communication), de nouvelles données s’accumulent : adresses email des parents, historique de connexion, contenu des messages échangés, photos publiées dans l’application de l’école.

Les règles fondamentales du RGPD appliquées à l’école

1. Le consentement parental est obligatoire pour les mineurs de moins de 15 ans

Le RGPD fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données. La France a abaissé ce seuil à 15 ans (article 7-1 de la loi Informatique et Libertés). En dessous, le consentement d’au moins un des parents est requis.

Cela concerne notamment :

  • L’inscription à une application mobile scolaire
  • La publication de photos de l’enfant
  • L’utilisation d’un outil pédagogique en ligne qui collecte des données
  • La participation à un projet impliquant un prestataire externe

2. Chaque traitement doit avoir une base légale

Le RGPD exige que chaque traitement de données repose sur l’une des six bases légales prévues par le règlement. Pour un établissement scolaire, les plus fréquentes sont :

Base légaleExemple
Mission d’intérêt publicInscription scolaire, gestion des absences, bulletins
Obligation légaleTransmission de données au rectorat, statistiques académiques
ConsentementPublication de photos, inscription à une application optionnelle
Intérêt légitimeCommunication avec les familles sur la vie de l’école

3. Le registre des traitements est obligatoire

Chaque établissement doit tenir un registre interne listant l’ensemble des traitements de données qu’il effectue. Ce registre, prévu par l’article 30 du RGPD, doit préciser pour chaque traitement :

  • La finalité (pourquoi vous collectez ces données)
  • Les catégories de données concernées
  • Les destinataires (qui y a accès)
  • La durée de conservation
  • Les mesures de sécurité mises en place

L’Académie de Dijon propose des modèles de registre adaptés aux établissements scolaires.

Le rôle du DPD (Délégué à la Protection des Données)

Qui est le DPD de votre établissement ?

Dans l’Éducation nationale, chaque académie dispose d’un DPD académique. C’est votre interlocuteur de référence pour toute question relative au RGPD. Le directeur d’école ou le chef d’établissement n’est pas DPD, mais il est responsable de traitement : c’est lui qui doit s’assurer que les traitements effectués dans son établissement sont conformes.

Quand le contacter ?

  • Avant de déployer un nouvel outil numérique qui collecte des données d’élèves
  • En cas de violation de données (perte d’un classeur de fiches, piratage d’un compte, fuite de données)
  • Pour vérifier la conformité d’un prestataire (application, plateforme en ligne)

Les outils numériques à l’école : comment vérifier leur conformité

Les questions à poser à un prestataire

Avant d’adopter une application mobile, un ENT, ou tout outil numérique dans votre établissement, posez ces questions au fournisseur :

  1. Où sont hébergées les données ? (France, Europe, États-Unis ?)
  2. Quelles données collectez-vous exactement ? (demandez la liste complète)
  3. Combien de temps conservez-vous les données ?
  4. Qui a accès aux données ? (sous-traitants, partenaires, pays tiers)
  5. Quelles mesures de sécurité sont en place ? (chiffrement, mots de passe, sauvegardes)
  6. Comment supprimer les données d’un élève qui quitte l’établissement ?

Le principe de minimisation

Le RGPD exige de ne collecter que les données strictement nécessaires à la finalité du traitement. Une application de communication scolaire n’a pas besoin de connaître la profession des parents ni le quotient familial. Si un prestataire vous demande plus de données que nécessaire, c’est un signal d’alerte.

École en Direct applique ce principe : les familles accèdent à l’application sans créer de compte nominatif, et seules les données indispensables au fonctionnement du service sont collectées.

En cas de violation de données : que faire ?

La notification est obligatoire

Depuis 2025, la CNIL a publié deux guides pratiques sur les violations de données dans l’Éducation nationale. Une violation de données est tout incident de sécurité qui entraîne la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles.

Exemples concrets en milieu scolaire :

  • Un enseignant oublie une clé USB contenant les bulletins dans un café
  • Un email avec les fiches de renseignement est envoyé au mauvais destinataire
  • Le compte d’un enseignant sur l’ENT est piraté
  • Un classeur de fiches médicales disparaît

La procédure en 3 étapes

1. Contenir — Limiter l’impact (changer le mot de passe, récupérer le document, informer le destinataire erroné)

2. Notifier — Prévenir le DPD académique dans les 72 heures. Si la violation présente un risque élevé pour les droits des personnes, la CNIL doit être notifiée.

3. Informer — Si le risque est élevé, informer les personnes concernées (parents, élèves majeurs) de la nature de la violation et des mesures prises.

Bonnes pratiques quotidiennes pour les enseignants

La conformité RGPD ne repose pas uniquement sur des procédures administratives. Elle se joue dans les gestes quotidiens :

  • Ne pas envoyer de données d’élèves par email personnel (utilisez les outils professionnels)
  • Verrouiller son ordinateur quand on quitte la salle des maîtres
  • Ne pas stocker de données sur une clé USB non chiffrée
  • Supprimer les données en fin d’année : les résultats scolaires de l’année n-1 n’ont pas à rester sur le disque dur
  • Vérifier les autorisations avant de publier une photo d’élève dans l’application de l’école

Notre guide sur le droit à l’image des enfants complète ces bonnes pratiques sur le volet photographie.

Pour accompagner vos enseignants dans l’adoption sécurisée de ces outils, consultez notre article sur la formation aux outils numériques.

2026 : ce qui va changer

La CNIL a annoncé un renforcement des exigences de sécurité pour 2026 :

  • Mots de passe robustes obligatoires (12 caractères minimum, politique de renouvellement)
  • Authentification multi-facteurs (MFA) encouragée pour les accès aux données sensibles
  • Sauvegardes régulières vérifiées et testées
  • Gestion des sous-traitants renforcée : chaque prestataire doit démontrer sa conformité
  • Notifications de violation : les notifications mal gérées seront moins tolérées

Ces évolutions concernent directement les établissements scolaires, qui gèrent des données de mineurs — une catégorie que la CNIL considère comme prioritaire.

Protégez les données de vos élèves

Le RGPD n’est pas un frein au numérique à l’école. C’est un cadre qui protège les élèves et leurs familles. Le respecter, c’est aussi renforcer la confiance des parents dans votre établissement et dans les outils numériques que vous déployez.

Vous souhaitez adopter une application scolaire conforme au RGPD ?

Réservez votre démo et découvrez comment École en Direct place la protection des données au coeur de son fonctionnement.

Cet article fait partie de notre Guide pour établissements scolaires.

RGPD écoledonnées scolaires mineursCNIL établissement scolaireprotection données élèvesconsentement parental donnéesregistre traitement école
Liz Garnier

Liz Garnier

IA Business developer

Articles similaires

Enfant utilisant une tablette numérique en toute sécurité
Données personnelles Éducation

Sharenting : quand les parents surexposent leurs enfants sur les réseaux sociaux

Enfant tenant un appareil photo entre ses mains
Données personnelles Éducation

Droit à l'image des enfants à l'école : règles, autorisations et bonnes pratiques

Personne signant un document officiel avec un stylo
Données personnelles Éducation

Autorisations parentales numériques : cadre RGPD pour les établissements scolaires

Prêt à moderniser votre communication ?

Rejoignez les organisations qui ont adopté Appli en Direct.

Réservez votre démo