Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

RGPD et école : guide pratique de l'établissement scolaire

RGPD à l'école : responsable de traitement, photos d'élèves, ENT, consentement des mineurs. Le guide pratique pour les établissements scolaires.

Une école élémentaire traite déjà, sans toujours le formaliser, des dizaines de fichiers : inscriptions, listes de classe, ENT, suivi infirmier, cantine, photos de la kermesse. La plupart concernent des mineurs — la catégorie de personnes que le RGPD protège le plus strictement. Voici comment mettre un établissement scolaire en conformité, sans noyer une équipe pédagogique sous la paperasse.

Qui est responsable de traitement dans une école ?

C’est la première question à régler, et la plus mal comprise. Le responsable de traitement n’est presque jamais « l’école » en tant que telle.

Dans le premier degré (écoles maternelles et élémentaires), l’école n’a pas la personnalité juridique. Pour les traitements pédagogiques et administratifs relevant de l’Éducation nationale, le responsable de traitement est l’État, représenté localement par le directeur académique des services de l’Éducation nationale (DASEN). Le directeur d’école met en œuvre ces traitements mais n’en porte pas seul la responsabilité juridique.

Dans le second degré (collèges et lycées), l’établissement public local d’enseignement (EPLE) dispose, lui, de la personnalité juridique. Le responsable de traitement est alors le chef d’établissement (principal ou proviseur).

Attention à la couche périscolaire : la cantine, la garderie, les transports, les activités périscolaires relèvent le plus souvent de la collectivité (commune pour les écoles, département pour les collèges, région pour les lycées). C’est elle qui est responsable de traitement pour ces fichiers, même s’ils se déroulent dans les mêmes locaux. Un même enfant peut donc voir ses données traitées par trois responsables différents dans la même journée.

Conséquence pratique : avant de rédiger quoi que ce soit, identifiez pour chaque fichier qui décide de sa finalité. C’est ce qui détermine qui informe les parents, qui répond aux demandes de droits et qui tient le registre.

Le registre des traitements : par où commencer

L’obligation de tenir un registre des activités de traitement (Art. 30 RGPD) s’applique pleinement aux établissements scolaires. Dans mon expérience, c’est l’exercice qui débloque tout le reste : on ne peut pas protéger ce qu’on n’a pas recensé.

Un établissement type doit y faire figurer, au minimum :

  • la gestion administrative des élèves (inscriptions, dossiers scolaires, Base élèves / ONDE pour le premier degré, SIECLE pour le second) ;
  • l’environnement numérique de travail (ENT) et les outils pédagogiques en ligne ;
  • le suivi de santé (infirmerie scolaire, PAI, aménagements) — données de santé, donc données sensibles au sens de l’Art. 9 RGPD ;
  • la vie scolaire (absences, retards, sanctions, conseils de discipline) ;
  • la restauration et le périscolaire ;
  • la communication (site web, réseaux sociaux, photos, annuaire, journal de l’école) ;
  • la gestion des personnels.

Pour chaque traitement, le registre précise la finalité, la base légale, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité. La CNIL met à disposition un modèle pré-rempli pour l’Éducation nationale, qui évite de partir d’une feuille blanche.

La bonne base légale n’est presque jamais le consentement

Erreur fréquente : croire qu’il faut le consentement des parents pour tout. C’est faux, et c’est même contre-productif.

La gestion administrative des élèves, le suivi de scolarité, la cantine ou l’infirmerie reposent sur une mission d’intérêt public (Art. 6(1)(e) RGPD) ou sur une obligation légale (Art. 6(1)©). Le consentement n’a pas à être demandé — et ne pourrait d’ailleurs pas être « librement » donné, puisqu’un parent ne peut pas refuser l’inscription scolaire de son enfant.

Le consentement (Art. 6(1)(a)) reste en revanche la base appropriée pour les traitements non obligatoires : publication de photos, diffusion d’un trombinoscope, inscription à une activité facultative, utilisation d’un outil pédagogique tiers non imposé. C’est là, et seulement là, qu’il faut une autorisation.

Le consentement des mineurs : la règle française des 15 ans

L’Article 8 du RGPD fixe un seuil par défaut de 16 ans pour qu’un mineur consente seul aux services en ligne, en laissant les États descendre jusqu’à 13 ans. La France a tranché à 15 ans (loi Informatique et Libertés, art. 45).

Concrètement :

  • au-dessus de 15 ans, le mineur peut consentir seul à un traitement reposant sur le consentement (accepter des cookies, créer un compte sur un service en ligne) ;
  • en dessous de 15 ans, le droit français exige un consentement conjoint de l’enfant et du titulaire de l’autorité parentale — une exigence plus protectrice que le RGPD, qui se contente du consentement « donné ou autorisé » par le parent seul.

En milieu scolaire, cela vise surtout les outils numériques facultatifs et la communication. Pour le primaire, le consentement passe par les parents. Au collège et au lycée, le seuil de 15 ans devient déterminant : un élève de troisième n’est pas dans la même situation qu’un élève de seconde.

La CNIL a par ailleurs publié huit recommandations sur les droits numériques des mineurs, utiles pour calibrer les outils proposés aux élèves.

Photos d’élèves : l’erreur la plus courante

C’est le sujet qui génère le plus de litiges avec les familles. Deux droits se superposent : le droit à l’image (droit civil) et le RGPD (une photo identifiante est une donnée personnelle).

La règle posée par la CNIL est claire : pour publier des photos d’élèves — sur le site de l’école, le journal, l’annuaire, les réseaux sociaux — l’établissement doit recueillir une autorisation écrite des parents ou représentants légaux des mineurs. Cette autorisation doit être :

  • spécifique : préciser le support (site web, réseau social, presse locale, plaquette) et l’usage. Une autorisation « pour tout » n’est pas valable ;
  • datée et limitée dans le temps : en pratique, pour l’année scolaire concernée ;
  • révocable : un parent peut retirer son accord et demander le retrait de la photo à tout moment.

Distinguez bien les situations. La photo de classe « souvenir » prise par un photographe scolaire et remise aux familles relève d’un cadre différent de la publication institutionnelle. La diffusion sur un compte Instagram de l’école, elle, exige une autorisation explicite et un encadrement strict des paramètres de confidentialité.

Et n’oubliez pas l’aval : qui stocke les photos, combien de temps, qui y a accès, comment les supprimer. Tout cela doit figurer dans le registre et dans l’information donnée aux familles.

ENT et outils numériques : la question de l’hébergement

L’environnement numérique de travail est devenu le cœur du traitement des données élèves. Il concentre notes, devoirs, messagerie, cahier de textes, parfois données de connexion fines. Trois réflexes s’imposent.

D’abord, l’information (Art. 13 RGPD) : les familles doivent savoir quelles données l’ENT collecte, pour quoi, combien de temps, et qui sont les sous-traitants.

Ensuite, les sous-traitants : éditeurs d’ENT, fournisseurs de manuels numériques, applications pédagogiques. Chacun doit être encadré par un contrat conforme à l’Art. 28 RGPD, avec des garanties sur la sécurité et l’absence de réutilisation des données des élèves à des fins commerciales.

Enfin, l’hébergement et les transferts. C’est un point sur lequel l’Éducation nationale a pris une position ferme : depuis octobre 2021, le ministère a demandé aux académies d’arrêter tout déploiement des offres gratuites de Microsoft Office 365 et Google Workspace, position confirmée en novembre 2022, au motif qu’elles ne respectent pas le RGPD. Les arguments invoqués : l’arrêt Schrems II de la CJUE, la doctrine « cloud au centre » de l’État, et le risque de transfert de données hors de l’Union européenne vers un cloud soumis au droit américain extraterritorial. La CNIL recommande de privilégier des suites collaboratives de prestataires soumis exclusivement au droit européen et hébergeant les données dans l’UE.

La leçon dépasse le cas Microsoft/Google : avant d’adopter un outil numérique en classe, vérifiez où sont hébergées les données et si elles quittent l’UE. La gratuité n’est jamais un argument de conformité.

Sécurité et violations de données

Les établissements manipulent des données sensibles (santé, parfois situation sociale des familles) et sont des cibles régulières d’incidents. L’Article 32 du RGPD impose des mesures de sécurité adaptées : gestion des accès par profil, mots de passe robustes, chiffrement des supports nomades, sauvegardes, mises à jour.

En cas de fuite ou de compromission, la procédure de notification des violations de données (Art. 33 et 34) s’applique : notification à la CNIL sous 72 heures si un risque existe pour les personnes, et information des familles en cas de risque élevé. La CNIL a publié deux guides pratiques dédiés à l’Éducation nationale pour outiller les directeurs d’école, chefs d’établissement et DPO sur ce point précis — un signe que le secteur est identifié comme exposé.

Lorsqu’un traitement présente un risque élevé — vidéosurveillance, biométrie, dispositif touchant massivement des mineurs — une analyse d’impact (AIPD) au sens de l’Article 35 RGPD doit être conduite avant la mise en œuvre.

Le DPO mutualisé : la solution réaliste

Aucune école primaire n’a les moyens d’un DPO à temps plein. Le législateur l’a anticipé : la désignation d’un délégué à la protection des données mutualisé est la norme dans l’éducation. Pour le premier degré, c’est généralement le DPO de l’académie ou des services départementaux. Pour les collèges et lycées, des DPO sont mutualisés au niveau académique ou départemental. Les communes désignent souvent un DPO commun pour leurs écoles et services périscolaires.

Le bon réflexe pour un directeur d’école ou un chef d’établissement n’est donc pas de tout porter seul, mais d’identifier son DPO de rattachement et de s’appuyer sur lui pour le registre, les AIPD et les réponses aux demandes des familles. La CNIL et le ministère de l’Éducation nationale ont d’ailleurs renouvelé fin 2025 leur partenariat pour renforcer la formation des responsables de traitement et des DPO du secteur.

Ce qu’il faut retenir

  • Identifiez le bon responsable de traitement pour chaque fichier : DASEN pour le premier degré, chef d’établissement pour le second degré, collectivité pour le périscolaire. Un même élève relève de plusieurs responsables.
  • La base légale est rarement le consentement : la gestion scolaire repose sur la mission d’intérêt public ou l’obligation légale. Le consentement ne vaut que pour les traitements facultatifs (photos, outils non imposés).
  • En France, le seuil de consentement numérique des mineurs est 15 ans ; en dessous, consentement conjoint enfant + parent.
  • Toute publication de photo d’élève exige une autorisation parentale écrite, spécifique, datée et révocable.
  • Méfiez-vous de l’hébergement des outils numériques : les offres gratuites Office 365 et Google Workspace sont écartées par l’Éducation nationale pour non-conformité au RGPD. Vérifiez toujours la localisation des données.
  • Appuyez-vous sur le DPO mutualisé : c’est lui qui porte l’expertise, pas le directeur d’école seul.

FAQ

Une école doit-elle demander le consentement des parents pour inscrire un élève ?

Non. L’inscription et la gestion administrative des élèves reposent sur une mission d’intérêt public et une obligation légale, pas sur le consentement. Demander un consentement serait même incorrect, puisqu’un parent ne peut pas refuser l’inscription scolaire de son enfant. Le consentement n’est requis que pour les traitements facultatifs.

Qui est responsable de traitement dans une école primaire ?

Pour les traitements de l’Éducation nationale, c’est l’État, représenté par le directeur académique des services de l’Éducation nationale (DASEN). Le directeur d’école met en œuvre les traitements mais n’a pas la personnalité juridique. Pour la cantine et le périscolaire, c’est en général la commune.

Peut-on publier la photo d’un élève sur le site de l’école ?

Uniquement avec l’autorisation écrite des parents ou représentants légaux, spécifique au support et à l’usage prévus, datée et limitée dans le temps. Les parents peuvent retirer leur accord et demander le retrait de la photo à tout moment.

Une école peut-elle utiliser Microsoft 365 ou Google Workspace gratuitement ?

L’Éducation nationale a demandé l’arrêt du déploiement des offres gratuites Office 365 et Google Workspace dans les établissements scolaires, pour non-conformité au RGPD et risque de transfert de données hors UE. Mieux vaut privilégier des solutions hébergées dans l’Union européenne et soumises au droit européen.

Une école doit-elle désigner un DPO ?

Oui, mais en pratique sous une forme mutualisée. Les écoles du premier degré relèvent du DPO de l’académie ou des services départementaux ; les collèges et lycées disposent de DPO mutualisés au niveau académique. L’enjeu pour un établissement est d’identifier son DPO de rattachement et de s’appuyer sur lui.


Vous gérez la conformité d’un établissement ou d’une collectivité ? Recevez nos analyses conformité chaque semaine — décryptages CNIL, RGPD et réglementations numériques, par un docteur en droit.