RGPD école et éducation : obligations et guide pratique 2026
RGPD école : données de mineurs, ENT, photos de classe, cantine, EdTech, DPO, consentement à 15 ans. Obligations et checklist 2026.
- Qui est responsable de traitement à l’école ?
- Traitements typiques d’un établissement scolaire
- Données de mineurs : une protection renforcée
- Santé, cantine et PAI : des données de l’Art. 9
- Photos de classe : consentement et droit à l’image
- Les prestataires EdTech : le point le plus sensible
- DPO : obligatoire dans le public, souvent nécessaire dans le privé
- Sécurité et mesures attendues
- Contrôles CNIL et priorités du secteur éducatif
- Checklist de conformité pour un établissement scolaire
- FAQ
L’essentiel. Un établissement scolaire traite des données de mineurs, qui bénéficient d’une protection renforcée sous le RGPD. Trois points structurent la conformité : la base légale (mission d’intérêt public pour le public, contrat et obligation légale pour le privé — jamais l’intérêt légitime pour l’enseignement public), l’âge du consentement numérique fixé à 15 ans en France, et l’encadrement des prestataires EdTech, souvent hébergés hors UE. Les données de santé de la cantine et de l’infirmerie (allergies, PAI) relèvent de l’Art. 9. Un établissement public doit désigner un DPO ; un établissement privé y est soumis dès qu’il traite ces données à grande échelle.
L’école est l’un des lieux où se concentrent le plus de données de mineurs : identité et filiation, situation familiale, résultats scolaires, comportement, santé (allergies, PAI, suivi de l’infirmerie), photographies, données de connexion à l’environnement numérique de travail. À cela s’ajoute une particularité de gouvernance : selon le niveau et le statut de l’établissement, le responsable de traitement n’est pas le même. Une école publique, un collège départemental, un lycée régional et un établissement privé sous contrat ne relèvent pas de la même personne morale. Dans les accompagnements que je conduis dans le secteur éducatif, deux sujets reviennent systématiquement : la gestion des photos de classe et l’usage de solutions numériques américaines pour faire travailler des enfants. Voici comment cadrer l’ensemble.
Qui est responsable de traitement à l’école ?
Le RGPD attribue les obligations au responsable de traitement, celui qui détermine finalités et moyens (Art. 4(7)). Dans l’éducation, l’identification varie :
- École publique du premier degré : la commune et les services de l’État se répartissent les traitements selon les compétences (locaux et périscolaire pour la commune, scolarité pour l’Éducation nationale).
- Collège : le département intervient sur la restauration et les infrastructures ; l’établissement et l’académie sur la scolarité.
- Lycée : même logique avec la région.
- Établissement privé (association gestionnaire, OGEC) : c’est la structure juridique qui est responsable de traitement pour ses activités propres.
Cette cartographie doit être posée en préalable, car elle détermine qui tient le registre, qui informe les familles et qui répond en cas de contrôle.
Traitements typiques d’un établissement scolaire
| Traitement | Base légale | Durée de conservation indicative |
|---|---|---|
| Inscription et gestion de la scolarité | Art. 6(1)(e) public / Art. 6(1)(b)+© privé | Durée de la scolarité + archivage |
| Environnement numérique de travail (ENT) | Art. 6(1)(e) mission d’intérêt public | Durée de la scolarité, purge des comptes |
| Restauration scolaire et périscolaire | Art. 6(1)(e) ou contrat | Année scolaire + délais de facturation |
| Données de santé (PAI, infirmerie, allergies) | Art. 9(2)(g)/(h) ou consentement | Durée du besoin, puis suppression |
| Photographies (classe, événements, site web) | Art. 6(1)(a) consentement | Durée du consentement |
| Communication aux familles | Art. 6(1)(e) mission d’intérêt public | Durée de la scolarité |
| Gestion des personnels et enseignants | Art. 6(1)(b)/© | Durées légales RH |
Ce tableau doit se retrouver dans le registre des activités de traitement. Comme pour toute structure publique, l’enseignement public ne peut pas s’appuyer sur l’intérêt légitime : la base est la mission d’intérêt public (Art. 6(1)(e)) ou l’obligation légale (Art. 6(1)©). Le tableau des durées de conservation doit prévoir la purge effective des comptes ENT et des données de cantine au terme de chaque scolarité.
Données de mineurs : une protection renforcée
Le RGPD accorde une protection spécifique aux enfants (considérant 38) : leurs données appellent une vigilance accrue, une information adaptée et une minimisation stricte. Deux règles pratiques en découlent.
L’âge du consentement numérique. Pour les services en ligne (services de la société de l’information), le consentement de l’enfant n’est valable qu’à partir de 15 ans en France (Art. 8 du RGPD et article 45 de la loi Informatique et Libertés). En deçà, le consentement doit être donné ou autorisé par le ou les titulaires de l’autorité parentale. Cette règle concerne les inscriptions à des services numériques facultatifs, applications et plateformes.
La minimisation. Le principe de minimisation est d’autant plus exigeant qu’il s’agit d’enfants : on ne collecte que ce que la finalité scolaire justifie. Demander la profession des parents, des données de santé non nécessaires ou des informations de vie privée sans lien avec la scolarité constitue une collecte excessive.
Santé, cantine et PAI : des données de l’Art. 9
Plusieurs traitements scolaires manipulent des données sensibles au sens RGPD relevant de l’Art. 9 :
- les allergies et régimes alimentaires déclarés à la restauration scolaire ;
- le projet d’accueil individualisé (PAI) pour un enfant malade ou allergique ;
- le suivi de l’infirmerie scolaire ;
- l’accompagnement du handicap (dossiers MDPH, AESH).
Ces données doivent être cloisonnées : elles ne sont accessibles qu’aux personnes qui en ont besoin (infirmière, référent PAI, service de restauration pour la seule information utile). Le service comptable de la cantine n’a pas à connaître le détail médical d’un PAI ; il lui suffit de savoir qu’un régime particulier s’applique. Ce cloisonnement est l’une des attentes fortes de la CNIL dans le secteur.
Photos de classe : consentement et droit à l’image
La photographie scolaire cumule deux régimes : le droit à l’image (article 9 du Code civil) et le RGPD. Une photographie identifiant un enfant est une donnée personnelle ; sa captation et sa diffusion supposent le consentement des titulaires de l’autorité parentale (Art. 6(1)(a)), recueilli de façon spécifique et éclairée.
Il faut distinguer les usages : la photo de classe traditionnelle, la publication sur le site ou les réseaux de l’établissement, et l’usage pédagogique interne obéissent à des logiques différentes. La règle d’or : une autorisation écrite, distincte selon les usages (interne / publication en ligne), révocable, et jamais présumée. Lorsqu’un photographe extérieur réalise et commercialise des portraits, il agit comme responsable de traitement pour son activité et doit recueillir son propre consentement ; l’établissement se borne à faciliter la prestation.
Les prestataires EdTech : le point le plus sensible
L’école moderne s’appuie sur de nombreux outils numériques : ENT, plateformes pédagogiques, applications d’apprentissage, solutions de vie scolaire, logiciels de restauration, outils de visioconférence. Chacun de ces éditeurs est un sous-traitant au sens de l’Art. 28 du RGPD et doit signer un contrat conforme à l’Art. 28(3).
Le sujet le plus délicat est l’usage de suites collaboratives américaines (environnements de travail et messageries grand public) pour faire travailler des mineurs. La CNIL et le ministère ont exprimé des réserves fortes sur ces solutions dans l’enseignement, en raison des transferts de données hors UE et de l’exploitation potentielle des données d’enfants. La bonne pratique consiste à privilégier des solutions dont l’hébergement est situé dans l’Union et à réaliser, pour chaque outil, une analyse des transferts. L’évaluation systématique des éditeurs gagne à s’appuyer sur un questionnaire sous-traitants RGPD.
C’est ce type de documentation sectorielle qu’un logiciel RGPD permet d’industrialiser, en générant le registre, les fiches de traitement et le suivi des prestataires EdTech pour un établissement ou un réseau d’établissements.
DPO : obligatoire dans le public, souvent nécessaire dans le privé
Pour l’enseignement public, la réponse est nette : les établissements publics et les autorités académiques sont des organismes publics au sens de l’Art. 37(1)(a) et relèvent de l’obligation de désigner un DPO. En pratique, cette fonction est portée au niveau des académies et du ministère, avec des relais dans les établissements. Notre guide recense l’ensemble des cas où le DPO est obligatoire.
Pour un établissement privé, l’obligation dépend de l’échelle. Un petit établissement peut ne pas y être formellement tenu, mais dès lors qu’il traite de manière habituelle les données de nombreux mineurs, y compris des données de santé, il entre dans le champ de l’Art. 37(1)©. Au-delà de cette analyse juridique, désigner un DPO — le cas échéant externalisé ou mutualisé au niveau d’un réseau d’établissements — reste la meilleure garantie de conformité et de sérénité en cas de contrôle.
Sécurité et mesures attendues
L’Art. 32 du RGPD impose des mesures adaptées au risque. S’agissant de données d’enfants, le niveau d’exigence est élevé :
- gestion fine des habilitations (enseignants, vie scolaire, infirmerie, administration) ;
- cloisonnement des données de santé et des PAI ;
- authentification robuste sur l’ENT et les applications de vie scolaire ;
- chiffrement des postes et des sauvegardes, maintien à jour des systèmes ;
- charte informatique opposable aux personnels, encadrement des usages ;
- purge des comptes et des données au terme de la scolarité ;
- procédure de gestion des incidents.
Toute violation de données — fuite de la base élèves, compromission de l’ENT — présentant un risque doit être notifiée à la CNIL dans les 72 heures. Le déploiement d’un nouvel ENT ou d’un dispositif traitant massivement des données de mineurs relève en général de l’analyse d’impact obligatoire (AIPD).
Contrôles CNIL et priorités du secteur éducatif
La protection des données des mineurs est une priorité stratégique affichée de la CNIL depuis plusieurs années. Sans citer de décisions particulières, les points d’attention récurrents dans l’éducation sont :
- Outils numériques et EdTech : transferts hors UE, exploitation des données d’élèves, absence de contrat Art. 28.
- Photographies publiées sans consentement des responsables légaux.
- Données de santé insuffisamment cloisonnées (PAI accessibles à trop de personnes).
- Durées de conservation et défaut de purge des comptes en fin de scolarité.
- Information des familles incomplète ou inadaptée à un public de mineurs.
Un audit RGPD structuré autour de ces axes prépare efficacement l’établissement à un contrôle.
Checklist de conformité pour un établissement scolaire
- [ ] Identifier le responsable de traitement selon le niveau et le statut de l’établissement.
- [ ] Tenir un registre couvrant scolarité, ENT, cantine, santé, photos, RH.
- [ ] Fonder chaque traitement sur la mission d’intérêt public ou l’obligation légale (jamais l’intérêt légitime dans le public).
- [ ] Respecter l’âge du consentement numérique (15 ans) pour les services en ligne.
- [ ] Recueillir un consentement écrit et distinct pour les photographies.
- [ ] Cloisonner les données de santé (PAI, infirmerie, allergies cantine).
- [ ] Signer un DPA Art. 28 avec chaque éditeur EdTech et analyser les transferts hors UE.
- [ ] Désigner un DPO (obligatoire dans le public, recommandé et souvent requis dans le privé).
- [ ] Purger les comptes ENT et les données au terme de chaque scolarité.
- [ ] Formaliser la notification des violations à la CNIL sous 72 heures.
FAQ
À partir de quel âge un élève peut-il consentir seul à un service en ligne ?
En France, l’âge du consentement numérique est fixé à 15 ans (Art. 8 du RGPD et article 45 de la loi Informatique et Libertés). En deçà, le consentement à un service de la société de l’information doit être donné ou autorisé par le titulaire de l’autorité parentale.
Faut-il l’accord des parents pour publier une photo de classe ?
Oui. La diffusion d’une photographie identifiant un enfant suppose le consentement écrit des titulaires de l’autorité parentale, distinct selon l’usage (photo de classe, publication en ligne, usage pédagogique). Ce consentement est révocable et ne peut jamais être présumé.
Une école peut-elle utiliser une suite collaborative américaine gratuite pour les élèves ?
C’est fortement déconseillé. La CNIL et le ministère ont exprimé des réserves sur ces solutions dans l’enseignement, en raison des transferts de données de mineurs hors UE. La bonne pratique est de privilégier des outils hébergés dans l’Union et de réaliser une analyse des transferts pour chaque solution.
Un établissement privé doit-il désigner un DPO ?
Cela dépend de l’échelle. Un petit établissement peut ne pas y être formellement tenu, mais dès qu’il traite habituellement les données de nombreux mineurs, y compris de santé, il relève de l’Art. 37(1)©. Dans tous les cas, désigner un DPO, éventuellement mutualisé au niveau d’un réseau, est fortement recommandé.
Qui accède aux informations d’un PAI ou d’une allergie déclarée à la cantine ?
Seules les personnes qui en ont besoin : l’infirmière, le référent PAI et, pour la seule information utile, le service de restauration. Le détail médical ne doit pas circuler au-delà. Ce cloisonnement des données de santé est une attente forte de la CNIL.
Combien de temps conserver le dossier d’un élève après son départ ?
Les données de scolarité sont conservées le temps de la scolarité puis archivées selon les règles applicables, tandis que les comptes ENT et les données de cantine doivent être purgés au terme de l’année ou de la scolarité. Chaque durée doit être documentée dans le registre et faire l’objet d’une purge effective.