Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
RGPD

RGPD en crèche : le guide de conformité 2026

RGPD en crèche : données des enfants et parents, photos, PAI et allergies, apps de transmission, CAF, durées de conservation. Obligations et checklist 2026.

L’essentiel. Une crèche est responsable de traitement de données concernant des enfants — des personnes concernées particulièrement protégées — et leurs parents : identité, santé (PAI, allergies, vaccinations), rythme quotidien, ressources familiales transmises à la CAF. Les photos et les applications de transmission quotidienne sont les deux points de friction majeurs : les premières exigent le consentement des parents et un cadrage strict de la diffusion, les secondes sont des sous-traitants qui doivent être encadrés par un contrat Art. 28 et minimiser les données. La base légale dépend du gestionnaire (mission de service public, contrat, obligation légale).

Dans les accompagnements que je mène auprès de structures de la petite enfance, je constate un paradoxe : la crèche est l’un des lieux où la sensibilité des données est la plus intuitive pour les équipes — personne ne conteste qu’il faut protéger les informations sur un jeune enfant —, mais où la formalisation RGPD est la plus faible. Le registre manque, les applications de transmission sont adoptées sans contrat, les photos circulent sur des groupes de messagerie non maîtrisés, et le consentement des parents est rarement documenté correctement. Voici ce qu’une crèche, une micro-crèche ou un multi-accueil doit mettre en place.

Ce qui rend la crèche particulière au regard du RGPD

Les personnes concernées sont des enfants. Le RGPD accorde une protection spécifique aux données des mineurs (considérant 38) : ils « méritent une protection spécifique, car ils peuvent être moins conscients des risques ». En crèche, ce sont les parents ou titulaires de l’autorité parentale qui exercent les droits de l’enfant. Cela ne relativise pas la protection : elle est renforcée.

Des données de santé sont traitées. Le projet d’accueil individualisé (PAI), les allergies et intolérances, les traitements en cours, le carnet de vaccination, les besoins spécifiques : ce sont des données de santé au sens de l’Art. 9, donc des données sensibles interdites de traitement sauf exception. La restauration collective, l’administration éventuelle de médicaments et la sécurité de l’enfant reposent sur ces informations.

Des données patrimoniales transitent vers la CAF. Le financement des crèches (prestation de service unique, aides) suppose la transmission de ressources familiales, via les téléservices de la CAF. Ce sont des données personnelles des parents, encadrées par une obligation légale.

Le statut RGPD de la crèche : responsable de traitement

La crèche est responsable de traitement au sens de l’Art. 4(7). L’entité responsable dépend du gestionnaire :

  • Crèche municipale ou intercommunale : la collectivité (ou le CCAS) est responsable de traitement, et en tant qu’organisme public elle doit désigner un DPO.
  • Crèche associative : l’association gestionnaire est responsable de traitement.
  • Crèche d’entreprise ou réseau privé (micro-crèches, groupes) : la société d’exploitation est responsable de traitement.

Ce statut engage la structure devant la CNIL et devant les familles : information des parents (Art. 13), tenue du registre (Art. 30), respect des droits, notification des violations à risque dans les 72 heures.

Les bases légales à mobiliser

La base légale se construit à deux étages dès qu’il y a des données de santé.

Traitement Base Art. 6 Exception Art. 9 (si santé)
Inscription, contrat d’accueil, gestion administrative Art. 6(1)(b) contrat / Art. 6(1)(e) mission de service public (crèches publiques)
PAI, allergies, administration de soins Art. 6(1)© / Art. 6(1)(e) Art. 9(2)(h) ou © intérêt vital
Vaccinations obligatoires Art. 6(1)© obligation légale Art. 9(2)(h)
Transmission ressources à la CAF Art. 6(1)© obligation légale
Photos, films, communication Art. 6(1)(a) consentement
Rythme quotidien (repas, sommeil, change) via app Art. 6(1)(b) contrat / Art. 6(1)(f) Art. 9 si donnée de santé associée

Le point à retenir : la base des photos est le consentement, distinct de la base des données administratives et de santé. On ne peut pas « globaliser » le consentement dans le contrat d’accueil pour couvrir la diffusion des images.

Les photos d’enfants : le sujet le plus sensible

Les photos et vidéos d’enfants concentrent la majorité des questions. Deux régimes se superposent : le RGPD (traitement de données personnelles) et le droit à l’image (droit de la personnalité). Les deux exigent l’accord des titulaires de l’autorité parentale.

Bonnes pratiques :

  • Recueillir un consentement écrit, distinct, granulaire : distinguer l’usage interne (mur de la crèche, album de l’enfant), la transmission aux parents concernés, et la diffusion externe (site web, réseaux sociaux, plaquette).
  • Ne jamais présumer le consentement : l’absence de réponse ne vaut pas accord.
  • Permettre le retrait à tout moment, sans conséquence sur l’accueil de l’enfant.
  • Proscrire la diffusion de photos d’un enfant sur des supports où figurent d’autres enfants sans le consentement de chaque famille.
  • Encadrer strictement les groupes de messagerie du personnel : une photo d’enfant qui circule sur le téléphone personnel d’un agent est un traitement non maîtrisé et un risque de violation.

Un modèle d’autorisation photo peut être annexé au dossier d’inscription.

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version de juillet 2026.

Les applications de transmission quotidienne : des sous-traitants

Les applications qui transmettent aux parents le déroulé de la journée (repas, siestes, changes, humeur, photos) se sont généralisées. Elles soulèvent trois enjeux :

Statut de sous-traitant. L’éditeur de l’application est un sous-traitant au sens de l’Art. 4(8). Un contrat conforme à l’Art. 28 est obligatoire, précisant les catégories de données, la sécurité, la localisation de l’hébergement, l’interdiction de réutilisation à d’autres fins et l’assistance en cas de violation. Vérifier la localisation des données (hébergement dans l’UE de préférence) est prioritaire.

Minimisation. Le principe de minimisation des données impose de ne collecter que ce qui est nécessaire. La consignation détaillée de chaque change, de l’humeur ou de photos à chaque activité peut vite dépasser le nécessaire. Il faut interroger, fonctionnalité par fonctionnalité, l’utilité réelle et la sensibilité.

Données de santé. Dès que l’application enregistre une donnée relative à la santé (allergie affichée, médicament administré, symptôme), on entre dans le champ de l’Art. 9 : la base et les garanties doivent suivre.

La CAF et les données de ressources

Le financement de la crèche suppose la déclaration des ressources familiales via les téléservices de la CAF (accès aux ressources par le gestionnaire dans le cadre conventionné). Ces données patrimoniales sont sensibles au sens commun, même si elles ne relèvent pas de l’Art. 9. Elles doivent être : collectées sur le fondement de l’obligation légale, réservées au calcul de la participation familiale, accessibles aux seules personnes habilitées, et conservées pour la durée strictement utile. La consultation de fichiers CAF sans finalité justifiée est un manquement grave.

Durées de conservation

Donnée Durée indicative Fondement
Dossier d’inscription et de suivi Durée de l’accueil + délai d’archivage administratif Gestion, prescription
PAI et données de santé Durée de l’accueil, puis suppression / archivage limité Finalité de soin
Justificatifs de ressources CAF Durée nécessaire au calcul + contrôle Obligation légale
Photos (avec consentement) Jusqu’au retrait du consentement ou fin d’accueil Art. 6(1)(a)
Transmissions quotidiennes (app) Purge régulière, durée courte Minimisation

Voir notre tableau des durées de conservation pour la méthode. L’essentiel : définir une durée par finalité et purger. Conserver l’historique complet d’un enfant des années après son départ est contraire à la minimisation.

Le DPO en crèche

L’obligation de DPO dépend du gestionnaire. Une crèche municipale ou intercommunale, en tant qu’organisme public, doit désigner un DPO (Art. 37(1)(a)). Une crèche associative ou privée de petite taille n’y est pas nécessairement tenue si elle ne traite pas de données sensibles « à grande échelle » — une structure de quelques dizaines de berceaux ne franchit généralement pas ce seuil au sens des lignes directrices européennes. La désignation reste vivement recommandée : elle structure la conformité et rassure les familles. Un réseau de micro-crèches gagne à mutualiser un DPO.

Sécurité : le minimum attendu

  • Comptes nominatifs, habilitations par profil, suppression des accès au départ d’un agent.
  • Interdiction de stocker des photos ou données d’enfants sur les téléphones personnels du personnel.
  • Postes à jour, sauvegardes chiffrées, verrouillage automatique des sessions.
  • Contrôle des affichages en accueil : ne pas laisser visibles des listes nominatives avec informations de santé.
  • Procédure en cas de violation (perte d’un téléphone, accès non autorisé, fuite de l’application).

Erreurs fréquentes et sanctions

Les manquements récurrents : diffusion de photos d’enfants sans consentement documenté ; application de transmission adoptée sans contrat Art. 28 ni vérification de l’hébergement ; groupes de messagerie du personnel hors de tout contrôle ; registre absent ; conservation illimitée des dossiers ; consultation des ressources CAF au-delà du nécessaire.

La CNIL a rappelé à plusieurs reprises la vigilance particulière due aux données des mineurs et la nécessité d’un consentement réel pour la diffusion d’images. Sans citer de délibération dont je ne pourrais garantir la référence exacte, la logique de contrôle est claire : les traitements touchant des enfants et des données de santé appellent un standard élevé, et un incident non maîtrisé sur ces données expose la structure à une sanction, au-delà de la perte de confiance des familles. Pour l’échelle des amendes, voir notre synthèse sur les sanctions RGPD.

Pour piloter la conformité d’un réseau de crèches, un logiciel RGPD permet d’industrialiser le registre, le suivi des sous-traitants (applications, restauration) et la gestion des consentements photo.

Ce qu’il faut retenir

  • La crèche est responsable de traitement de données d’enfants — personnes concernées particulièrement protégées — et de leurs parents.
  • Les photos exigent un consentement écrit, distinct et granulaire, révocable à tout moment.
  • Les applications de transmission sont des sous-traitants : contrat Art. 28, hébergement UE, minimisation.
  • Le PAI, les allergies et les vaccinations sont des données de santé (Art. 9) : base et garanties renforcées.
  • Les données CAF sont réservées au calcul de la participation et aux personnes habilitées.
  • Le DPO est obligatoire pour les crèches publiques, recommandé pour les autres.

Voir aussi nos guides sectoriels connexes : RGPD en EHPAD, RGPD et association et RGPD et cabinet médical.

Recevez nos analyses conformité chaque semaine.

Veille juridique et guides pratiques pour les structures de la petite enfance et les organismes qui traitent des données sensibles.

S'inscrire à la newsletter

FAQ

Faut-il l’accord des deux parents pour publier une photo d’un enfant ?

Le consentement doit émaner des titulaires de l’autorité parentale. En cas d’exercice conjoint, il est prudent de recueillir l’accord des deux parents, surtout pour une diffusion externe (site, réseaux sociaux). Le consentement doit être écrit, spécifique à l’usage envisagé, et révocable à tout moment sans conséquence sur l’accueil.

Une crèche peut-elle utiliser une application de suivi quotidien sans autre formalité ?

Non. L’éditeur de l’application est un sous-traitant : un contrat conforme à l’Art. 28 est obligatoire, avec vérification de l’hébergement (de préférence dans l’UE), de la sécurité et de l’interdiction de réutilisation des données. Il faut aussi appliquer la minimisation : ne consigner que les informations réellement utiles.

Le PAI et les allergies relèvent-ils du régime des données de santé ?

Oui. Le projet d’accueil individualisé, les allergies, les traitements et les vaccinations sont des données de santé au sens de l’Art. 9. Leur traitement suppose une exception de l’Art. 9(2) — le plus souvent la prise en charge sanitaire ou l’intérêt vital de l’enfant — et des garanties renforcées (accès restreint, sécurité, durée limitée).

Une micro-crèche privée doit-elle désigner un DPO ?

Pas nécessairement. L’obligation vise les organismes publics et les traitements de données sensibles à grande échelle. Une petite structure privée ne franchit généralement pas ce seuil. La désignation d’un DPO — au besoin mutualisé au sein d’un réseau — reste fortement recommandée pour structurer la conformité.

Combien de temps conserver le dossier d’un enfant après son départ ?

Les données doivent être conservées pour la durée de l’accueil, puis archivées ou supprimées selon les délais administratifs et de prescription applicables. Conserver l’historique complet d’un enfant des années après son départ est contraire au principe de minimisation. Chaque finalité doit avoir sa durée définie dans le registre.

Que faire des données de ressources transmises à la CAF ?

Elles sont collectées sur le fondement d’une obligation légale, réservées au calcul de la participation familiale, accessibles aux seules personnes habilitées, et conservées pour la durée strictement nécessaire au calcul et à son contrôle. Toute consultation sans finalité justifiée est un manquement.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →