RGPD a l’ecole primaire
Ce que vous devez savoir pour proteger les donnees de vos eleves au quotidien, sans jargon juridique.
On entend souvent dire que le RGPD, c’est l’affaire des chefs d’etablissement ou des services informatiques. En realite, vous etes en premiere ligne. Chaque jour, vous manipulez des donnees personnelles : listes d’eleves, photos de classe, resultats d’evaluations, coordonnees des familles, PAI, PPS…
Le Reglement General sur la Protection des Donnees (RGPD), en vigueur depuis mai 2018, impose a toutes les structures – y compris les ecoles – de garantir une utilisation responsable et transparente de ces informations. Il s’applique a toutes les donnees des eleves et des personnels de l’Education nationale.
La Strategie du numerique pour l’education 2023-2027 rappelle d’ailleurs que la protection des donnees personnelles est l’un des piliers du cadre de confiance pour l’ensemble de l’ecosysteme educatif.
Pourquoi ce sujet vous concerne
Une donnee personnelle, c’est toute information qui permet d’identifier directement ou indirectement une personne : nom, photo, adresse, adresse IP, identifiant, resultats scolaires, informations de sante.
Le RGPD distingue plusieurs categories de donnees :
| Type de donnee | Exemples |
|---|---|
| Identification directe | Nom, prenom, photo, voix |
| Identification indirecte | Adresse IP, identifiant ENT, plaque d’immatriculation |
| Donnees sensibles | Sante, opinions politiques, religion, origine ethnique (protection renforcee) |
Anonymisation : processus irreversible qui empeche toute identification de la personne. Les donnees anonymisees ne sont plus soumises au RGPD.
Pseudonymisation : remplacement par un pseudonyme (reversible avec la cle). Les donnees pseudonymisees restent des donnees personnelles au sens du RGPD.
Les 6 principes cles du RGPD
Tout traitement de donnees personnelles doit respecter six principes fondamentaux :
| Principe | Ce que cela signifie |
|---|---|
| Liceite | Le traitement doit etre fonde sur une base legale : consentement, mission d’interet public, obligation legale… |
| Finalite | Les donnees doivent etre collectees pour un objectif determine et legitime. |
| Minimisation | Collecter uniquement les donnees strictement necessaires. Pas plus, pas moins. |
| Exactitude | Les donnees doivent etre tenues a jour et rectifiables. |
| Limitation de conservation | Les donnees ne peuvent etre conservees que le temps necessaire a l’objectif poursuivi. |
| Securite | Protection contre les acces non autorises, les pertes ou les destructions. |
Qui est responsable de quoi ?
Dans le premier degre, l’organisation est claire. Voici qui fait quoi :
| Acteur | Role |
|---|---|
| DASEN | Responsable de traitement pour toutes les ecoles de la circonscription. C’est lui qui repond juridiquement du respect du RGPD. Les directeurs d’ecole n’ont pas la personnalite morale. |
| DPD academique | Delegue a la Protection des Donnees. Chaque academie en dispose d’un. Il conseille, accompagne et verifie la conformite. C’est votre interlocuteur en cas de doute. |
| Enseignant | Utilisateur au quotidien. Vous devez respecter les regles, signaler tout outil traitant des donnees d’eleves, et informer le directeur si vous utilisez un service numerique non reference. |
La liberte pedagogique ne vous dispense pas d’informer votre directeur si vous utilisez un outil numerique qui collecte des donnees d’eleves (plateforme de travail collaboratif, service de visioconference, application educative…). Ces usages doivent figurer dans le registre de l’ecole. La CNIL rappelle que l’enseignant agit toujours sous la responsabilite du DASEN dans le premier degre.
Ce que vous manipulez au quotidien
Voici les types de donnees personnelles que vous gerez regulierement :
- Donnees d’identification : noms, prenoms, dates de naissance, photos
- Coordonnees des familles : adresses, telephones, emails
- Resultats scolaires : evaluations, bulletins, LSU
- Donnees de sante : PAI, PPS, PAP, PPRE (ces donnees sont sensibles et font l’objet d’une protection renforcee)
- Productions d’eleves : travaux, videos, enregistrements audio
- Donnees de navigation : traces laissees sur l’ENT, les applications pedagogiques, les outils de suivi
Les informations sur la sante des eleves ne peuvent etre transmises qu’aux personnes habilitees (medecin scolaire, infirmiere, partenaires mentionnes dans le PAI/PPS). Elles ne doivent jamais preciser la nature exacte du handicap ou de la pathologie dans les documents partages.
Droit a l’image des eleves
L’article 9 du Code civil reconnait a chaque eleve un droit exclusif sur son image. Pour photographier ou filmer un eleve identifiable et diffuser le contenu, vous devez recueillir l’autorisation ecrite des responsables legaux.
Une autorisation generale en debut d’annee ne remplace pas une cession de droit a l’image pour un usage precis. L’autorisation doit indiquer le contexte de la captation, une duree raisonnable de validite et les supports d’exploitation. Des modeles sont disponibles sur Eduscol. L’autorisation est revocable a tout moment. En cas de non-respect : jusqu’a 1 an d’emprisonnement et 45 000 euros d’amende.
4 reflexes a adopter
Des pratiques simples pour rester dans les clous au quotidien.
Posez-vous deux questions
Avant de collecter ou d’utiliser une donnee :
- Cette donnee est-elle indispensable ? (principe de minimisation)
- Ai-je une base legale ou un consentement ?
Securisez vos outils
Quelques reflexes simples :
- Evitez les cles USB non securisees
- Utilisez des mots de passe robustes (12 caracteres minimum, varietes de caracteres)
- Activez la double authentification
- Mefiez-vous du phishing (expéditeur suspect, urgence artificielle, lien douteux)
Signalez vos usages
Si vous utilisez un outil numerique qui traite des donnees d’eleves (meme gratuit), informez votre directeur. Ces traitements doivent etre documentes dans le registre des activites de traitement de l’ecole.
Sensibilisez vos eleves
Le RGPD est aussi une opportunite pedagogique. Expliquez pourquoi on ne publie pas une photo sans autorisation. La CNIL propose des ressources des le cycle 2, dont le jeu « Donnees paires-sonnelles » et les fiches « Incollables : ta vie privee, c’est secret ».
Consentement ou mission d’interet public ?
Une question revient souvent : faut-il demander l’autorisation des parents pour tout ?
La reponse est nuancee. Dans le cadre de la mission d’interet public (c’est-a-dire la scolarisation de l’enfant), le consentement parental n’est pas requis pour collecter et traiter les donnees necessaires au suivi scolaire.
Les outils de gestion de la vie scolaire, le reseau pedagogique de l’ecole, l’ENT et ses fonctionnalites (forums, espaces collaboratifs), le LSU, les applications nationales et academiques, les outils P2IA (Lalilo, Adaptiv’Math, Mathia, Kaligo) valides par l’institution.
La diffusion de photos/videos en dehors du cadre strictement scolaire, l’utilisation d’outils non valides par l’institution, les publications sur un site web ou un blog de classe accessible au public, l’inscription a des services tiers non references.
Droits des personnes
Le RGPD confere a chaque personne (eleves, parents, personnels) des droits sur ses donnees. En tant qu’enseignant, vous pouvez etre sollicite par des familles qui exercent ces droits :
- Droit d’acces : consulter les donnees detenues sur son enfant
- Droit de rectification : faire corriger des informations erronees
- Droit a l’effacement : demander la suppression de donnees (sous conditions)
- Droit a la portabilite : recuperer les donnees dans un format exploitable
- Droit d’opposition : refuser certains traitements (par exemple, la publication de photos)
Si un parent vous demande d’exercer l’un de ces droits, orientez-le vers le directeur d’ecole, qui transmettra au DASEN (responsable de traitement). Le DPD academique pourra vous accompagner si necessaire.
Et l’intelligence artificielle ?
Vous utilisez ChatGPT pour preparer vos seances ? Une plateforme d’exercices adaptatifs ? Un outil de correction automatique ? Ces usages sont legitimes, mais ils appellent une vigilance particuliere.
En juin 2025, la CNIL a publie deux FAQ dediees a l’utilisation de l’IA dans l’education : une pour les enseignants, une pour les responsables de traitement. Le meme mois, le ministere a publie le Cadre d’usage de l’IA en education, qui autorise l’usage de l’IA en education des lors qu’il respecte le cadre defini.
Ce que vous pouvez faire
- Utiliser l’IA pour preparer vos cours, generer des exercices, adapter des contenus (sans saisir de donnees personnelles d’eleves)
- Corriger des copies avec une assistance IA, a condition de ne pas transmettre de donnees identifiables
- Proposer aux eleves des outils d’IA valides par l’institution (P2IA : Lalilo, Adaptiv’Math, Mathia, Kaligo)
- Vous former via les modules M@gistere, le MOOC AI4Teachers ou les parcours Pix IA (deployes depuis janvier 2026)
Ce qu’il faut eviter
- Saisir des donnees personnelles d’eleves dans un outil non valide (noms, resultats, informations de sante…)
- Utiliser des IA generatives avec vos eleves en primaire : le Cadre d’usage precise que les eleves du premier degre sont sensibilises aux IA mais ne manipulent pas directement de services d’IA generative
- Deleguer entierement l’evaluation a un outil automatise sans supervision humaine (article 22 du RGPD)
- Utiliser des outils qui ne sont pas respectueux des donnees personnelles, souvent gratuits mais non souverains et opaques dans leur fonctionnement
La CNIL recommande de consulter les formations M@gistere sur l’IA, les travaux de la CREIA (Communaute de reflexion en education sur l’IA) et du Campus de l’innovation, le Cadre d’usage de l’IA en education (juin 2025), ainsi que le programme Lab’IA qui vise a former un grand nombre de formateurs sur les usages pedagogiques de l’IA.
En cas de doute ou de probleme
Si vous constatez une fuite de donnees, un piratage, ou si vous avez un doute sur un outil, voici la marche a suivre :
- Informez immediatement votre directeur, qui alertera le DASEN
- Contactez le DPD de votre academie (les coordonnees sont sur le site de votre rectorat)
- Documentez l’incident : date, nature, donnees concernees, mesures prises
- Ne tentez pas de resoudre seul un incident de securite : la notification a la CNIL doit intervenir dans les 72 heures
Le DPD academique est la pour vous accompagner, pas pour vous sanctionner. N’hesitez pas a le solliciter en amont si vous avez des questions sur un usage ou un outil.
Un email suspect avec un expediteur inhabituel, une urgence artificielle (« votre compte sera ferme dans 24h »), une demande de mot de passe ou de donnees sensibles, un lien dont l’URL ne correspond pas au site officiel : ce sont des indices classiques de phishing. Ne cliquez pas, ne repondez pas, signalez.
Le RGPD n’est pas une contrainte administrative de plus. C’est un cadre protecteur qui vous aide a garantir la securite des donnees de vos eleves et la confiance des familles.
En appliquant quelques reflexes simples – questionner la necessite des donnees, securiser vos outils, signaler vos usages numeriques, connaitre les droits des personnes – vous contribuez a une ecole numerique sereine et responsable.
La maitrise de ces enjeux fait partie des competences evaluees dans le cadre de Pix+ Edu (domaine 1.4 : Agir en faveur d’un numerique professionnel sur et responsable, et domaine 4.2 : Proteger les donnees personnelles et la vie privee).