Education - Nouvelle norme simplifiée pour la gestion des affaires scolaires, périscolaires et de la petite enfance

Dans le cadre de son programme de simplification des formalités préalables pour les collectivités territoriales, la Cnil a adopté une norme simplifiée unique pour les traitements automatisés de données à caractère personnel mis en œuvre par les collectivités territoriales et les organismes en charge d'un service scolaire, périscolaire, extrascolaire et de petite enfance (NS-058). La délibération de la Cnil, datée du 10 décembre 2015, est parue au JO du 28 juin 2015. Elle met à jour et abroge le cadre existant.

Scolarisation, restauration scolaire, sorties scolaires, crèches...

Sont notamment couverts par cette norme les traitements de données liés à la gestion (préinscription, inscription, suivi et/ou facturation) d'un grand nombre de services : la scolarisation en école maternelle et élémentaire ; le recensement des enfants soumis à l'obligation scolaire ; la restauration scolaire et extrascolaire ; les transports scolaires ; l'accueil et les activités périscolaires et extrascolaires ; les séjours directement liés à des compétitions sportives ; la participation à l'organisation matérielle et financière de sorties scolaires, séjours scolaires courts et classes de découverte dans le premier degré. Sont également couverts les traitements de données liés à l'accueil de la petite enfance au sein des établissements et des services d'accueil des enfants de moins de six ans : crèches parentales, jardins d'enfants, crèches collectives, haltes-garderies, services d'accueil familial, crèches familiales, micro-crèches, services multi-accueil.
En sont exclus : les traitements de données relatifs à la gestion des écoles municipales de musique et le contrôle par le maire de l'assiduité scolaire qui doivent désormais faire l'objet d'une "déclaration normale". Sont également exclus : les traitements de données relatifs à la gestion billettique des transports scolaires, aux systèmes biométrie pour l'accès à l'école et les traitements de données relatifs aux personnes faisant l'objet d'un suivi par le maire dans le cadre de ses missions de prévention de la délinquance.

Pas de données sur les origines religieuses ni sur la nature d'un handicap

La norme simplifiée NS-058 liste de façon limitative les données qui peuvent être collectées dans le cadre de ces fichiers. Le principe, c'est que l'école ou la structure d'accueil ne peut demander des pièces justificatives que si elles sont "strictement nécessaires à la réalisation des finalités poursuivies par le traitement de données". La Cnil estime que dans ce cadre, "les avis d'imposition ou de non-imposition, ainsi que les attestations d'assurance scolaire peuvent être exigés pour l'inscription à l'école ou à des activités périscolaires".
A noter : la norme simplifiée NS- 058 ne permet pas l'usage du numéro de sécurité sociale (NIR). La collecte de données relatives à la santé du mineur est possible, dès lors que ces données sont "nécessaires à la bonne prise en charge de la personne concernée par le service l'accueillant". Outre l'état vaccinal de l'enfant et sa fiche sanitaire, peuvent aussi être demandés des éléments nécessaires à une prise en charge spécifique. Il s'agit de trois cas bien particuliers : la présence d'un handicap nécessitant une prise en charge particulière ou une adaptation des conditions d'accueil ; la mise en place d'un plan d'accueil individualisé (PAI) et la mise en place d'un projet personnalisé de scolarisation (PPS). Mais "seule la mention de ces cas pourra être collectée, sans détail complémentaire. En aucun cas, ces renseignements ne pourront préciser la nature du handicap ou de la pathologie".
Des renseignements relatifs au régime alimentaire du mineur peuvent être collectés de manière facultative. Cependant, "ils ne devront pas contenir de données faisant apparaître les origines raciales, ethniques ou religieuses du mineur concerné ni aucune donnée de santé", indique la Cnil. Par exemple, les mentions "sans gluten", "sans sucre", "sans viande" ou "sans porc" pourront être indiquées, mais les mentions "halal" ou "casher" ne pourront pas apparaître.

A chaque donnée ses destinataires

Les destinataires des informations recueillies varient en fonction des finalités des données collectées. Pour ce qui est de l'inscription et la gestion de la scolarisation des enfants, peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données : le maire, les élus ayant reçu une délégation en ce sens et les agents municipaux en charge des affaires scolaires ou de services disposant de compétences déléguées en la matière de la commune de résidence de l'enfant et de la commune où est scolarisé l'enfant ; les directeurs d'établissement scolaire pour ce qui concerne les élèves affectés dans leur établissement ; l'inspecteur de l'éducation nationale (IEN) 1er degré chargé de circonscription, pour ce qui concerne les seuls élèves scolarisés dans la circonscription dont il a la charge ; le recteur d'académie ou le directeur académique des services de l'éducation nationale (Dasen) agissant sur délégation du recteur ; le président du conseil départemental ou les agents disposant de compétences déléguées en la matière, dans le seul cadre de sa mission d'organisation des consultations et des actions de prévention médico-sociale en faveur des enfants de moins de six ans ainsi que l'établissement d'un bilan de santé pour les enfants âgés de trois à quatre ans, notamment en école maternelle.

Partage et mutualisation de données... très surveillés

L'école peut partager son fichier des enfants inscrits avec les différents intervenants chargés d'une mission autre que celle de l'enseignement des enfants afin d'éviter aux parents la double inscription et fourniture des justificatifs, dans la mesure où les parents auraient coché une case à cet effet lors de l'inscription de leur enfant à l'école. Par exemple, en ce qui concerne les services d'accueil de la petite enfance, les personnels de direction de ces structures et les professionnels de santé attachés à l'établissement peuvent avoir accès aux données relatives à l'état vaccinal ou de santé concernant l'enfant.
La mutualisation des fichiers d'inscription entre différentes prestations est possible, dans le cadre d'une convention, et uniquement pour les données relatives aux fiches identités et nécessaires à la réalisation de l'inscription. Par exemple, les jours de présence ou des données relatives à un défaut de paiement apparaissant sur le traitement de la cantine ne doivent pas être accessibles au traitement concernant les activités périscolaires.

De la durée de la donnée

La norme simplifiée précise enfin les durées, les modalités de conservation, les destinataires des données traitées ainsi que les mesures de sécurité adaptées à la finalité du traitement qui doivent être mises en œuvre. Les données à caractère personnel collectées ainsi que les pièces justificatives y afférentes ne doivent ainsi être conservées que "le temps nécessaire à la réalisation des finalités ayant présidé à leur collecte". Par exemple, la durée de conservation des données ne peut excéder la période de scolarisation de l'élève dans une école de la commune ou, pour les services payants, celle nécessaire au recouvrement des sommes dues.
Le responsable de traitement doit prendre les mesures pour assurer la sécurité et la confidentialité des données personnelles qui y sont enregistrées : des mesures de sécurité physiques (sécurité des accès aux locaux) des mesures de sécurité informatiques (antivirus, sécurisation des mots de passe, gestion des habilitations…)
Afin d'accompagner les responsables de traitement dans leurs démarches, la Cnil propose sur son site internet des fiches pratiques et une FAQ.