RGPD à l’école primaire
Ce que vous devez savoir pour protéger les données de vos élèves au quotidien, sans jargon juridique.
On entend souvent dire que le RGPD, c’est l’affaire des chefs d’établissement ou des services informatiques. En réalité, vous êtes en première ligne. Chaque jour, vous manipulez des données personnelles : listes d’élèves, photos de classe, résultats d’évaluations, coordonnées des familles, PAI, PPS…
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, impose à toutes les structures — y compris les écoles — de garantir une utilisation responsable et transparente de ces informations. Il s’applique à toutes les données des élèves et des personnels de l’Éducation nationale.
La Stratégie du numérique pour l’éducation 2023-2027 rappelle d’ailleurs que la protection des données personnelles est l’un des piliers du cadre de confiance pour l’ensemble de l’écosystème éducatif.
Pourquoi ce sujet vous concerne
Une donnée personnelle, c’est toute information qui permet d’identifier directement ou indirectement une personne : nom, photo, adresse, adresse IP, identifiant, résultats scolaires, informations de santé.
Le RGPD distingue plusieurs catégories de données :
| Type de donnée | Exemples |
|---|---|
| Identification directe | Nom, prénom, photo, voix |
| Identification indirecte | Adresse IP, identifiant ENT, plaque d’immatriculation |
| Données sensibles | Santé, opinions politiques, religion, origine ethnique (protection renforcée) |
Anonymisation : processus irréversible qui empêche toute identification de la personne. Les données anonymisées ne sont plus soumises au RGPD.
Pseudonymisation : remplacement par un pseudonyme (réversible avec la clé). Les données pseudonymisées restent des données personnelles au sens du RGPD.
Les 6 principes clés du RGPD
Tout traitement de données personnelles doit respecter six principes fondamentaux :
| Principe | Ce que cela signifie |
|---|---|
| Licéité | Le traitement doit être fondé sur une base légale : consentement, mission d’intérêt public, obligation légale… |
| Finalité | Les données doivent être collectées pour un objectif déterminé et légitime. |
| Minimisation | Collecter uniquement les données strictement nécessaires. Pas plus, pas moins. |
| Exactitude | Les données doivent être tenues à jour et rectifiables. |
| Limitation de conservation | Les données ne peuvent être conservées que le temps nécessaire à l’objectif poursuivi. |
| Sécurité | Protection contre les accès non autorisés, les pertes ou les destructions. |
Qui est responsable de quoi ?
Dans le premier degré, l’organisation est claire. Voici qui fait quoi :
| Acteur | Rôle |
|---|---|
| DASEN | Responsable de traitement pour toutes les écoles de la circonscription. C’est lui qui répond juridiquement du respect du RGPD. Les directeurs d’école n’ont pas la personnalité morale. |
| DPD académique | Délégué à la Protection des Données. Chaque académie en dispose d’un. Il conseille, accompagne et vérifie la conformité. C’est votre interlocuteur en cas de doute. |
| Enseignant | Utilisateur au quotidien. Vous devez respecter les règles, signaler tout outil traitant des données d’élèves, et informer le directeur si vous utilisez un service numérique non référencé. |
La liberté pédagogique ne vous dispense pas d’informer votre directeur si vous utilisez un outil numérique qui collecte des données d’élèves (plateforme de travail collaboratif, service de visioconférence, application éducative…). Ces usages doivent figurer dans le registre de l’école. La CNIL rappelle que l’enseignant agit toujours sous la responsabilité du DASEN dans le premier degré.
Ce que vous manipulez au quotidien
Voici les types de données personnelles que vous gérez régulièrement :
- Données d’identification : noms, prénoms, dates de naissance, photos
- Coordonnées des familles : adresses, téléphones, emails
- Résultats scolaires : évaluations, bulletins, LSU
- Données de santé : PAI, PPS, PAP, PPRE (ces données sont sensibles et font l’objet d’une protection renforcée)
- Productions d’élèves : travaux, vidéos, enregistrements audio
- Données de navigation : traces laissées sur l’ENT, les applications pédagogiques, les outils de suivi
Les informations sur la santé des élèves ne peuvent être transmises qu’aux personnes habilitées (médecin scolaire, infirmière, partenaires mentionnés dans le PAI/PPS). Elles ne doivent jamais préciser la nature exacte du handicap ou de la pathologie dans les documents partagés.
Droit à l’image des élèves
L’article 9 du Code civil reconnaît à chaque élève un droit exclusif sur son image. Pour photographier ou filmer un élève identifiable et diffuser le contenu, vous devez recueillir l’autorisation écrite des responsables légaux.
Une autorisation générale en début d’année ne remplace pas une cession de droit à l’image pour un usage précis. L’autorisation doit indiquer le contexte de la captation, une durée raisonnable de validité et les supports d’exploitation. Des modèles sont disponibles sur Éduscol. L’autorisation est révocable à tout moment. En cas de non-respect : jusqu’à 1 an d’emprisonnement et 45 000 euros d’amende.
4 réflexes à adopter
Des pratiques simples pour rester dans les clous au quotidien.
Posez-vous deux questions
Avant de collecter ou d’utiliser une donnée :
- Cette donnée est-elle indispensable ? (principe de minimisation)
- Ai-je une base légale ou un consentement ?
Sécurisez vos outils
Quelques réflexes simples :
- Évitez les clés USB non sécurisées
- Utilisez des mots de passe robustes (12 caractères minimum)
- Activez la double authentification
- Méfiez-vous du phishing
Signalez vos usages
Si vous utilisez un outil numérique qui traite des données d’élèves (même gratuit), informez votre directeur. Ces traitements doivent être documentés dans le registre des activités de traitement de l’école.
Sensibilisez vos élèves
Le RGPD est aussi une opportunité pédagogique. Expliquez pourquoi on ne publie pas une photo sans autorisation. La CNIL propose des ressources dès le cycle 2, dont le jeu « Données paires-sonnelles ».
Consentement ou mission d’intérêt public ?
Une question revient souvent : faut-il demander l’autorisation des parents pour tout ?
La réponse est nuancée. Dans le cadre de la mission d’intérêt public (c’est-à-dire la scolarisation de l’enfant), le consentement parental n’est pas requis pour collecter et traiter les données nécessaires au suivi scolaire.
Les outils de gestion de la vie scolaire, le réseau pédagogique de l’école, l’ENT et ses fonctionnalités, le LSU, les applications nationales et académiques, les outils P2IA validés par l’institution (Lalilo, Adaptiv’Math, Mathia, Navi, Smart Enseigno).
La diffusion de photos/vidéos en dehors du cadre strictement scolaire, l’utilisation d’outils non validés par l’institution, les publications sur un site web ou un blog de classe accessible au public, l’inscription à des services tiers non référencés.
Droits des personnes
Le RGPD confère à chaque personne (élèves, parents, personnels) des droits sur ses données. En tant qu’enseignant, vous pouvez être sollicité par des familles qui exercent ces droits :
- Droit d’accès : consulter les données détenues sur son enfant
- Droit de rectification : faire corriger des informations erronées
- Droit à l’effacement : demander la suppression de données (sous conditions)
- Droit à la portabilité : récupérer les données dans un format exploitable
- Droit d’opposition : refuser certains traitements (par exemple, la publication de photos)
Si un parent vous demande d’exercer l’un de ces droits, orientez-le vers le directeur d’école, qui transmettra au DASEN (responsable de traitement). Le DPD académique pourra vous accompagner si nécessaire.
Et l’intelligence artificielle ?
Vous utilisez ChatGPT pour préparer vos séances ? Une plateforme d’exercices adaptatifs ? Un outil de correction automatique ? Ces usages sont légitimes, mais ils appellent une vigilance particulière.
En juin 2025, la CNIL a publié deux FAQ dédiées à l’utilisation de l’IA dans l’éducation : une pour les enseignants, une pour les responsables de traitement. Le même mois, le ministère a publié le Cadre d’usage de l’IA en éducation, qui autorise l’usage de l’IA en éducation dès lors qu’il respecte le cadre défini.
Ce que vous pouvez faire
- Utiliser l’IA pour préparer vos cours, générer des exercices, adapter des contenus (sans saisir de données personnelles d’élèves)
- Corriger des copies avec une assistance IA, à condition de ne pas transmettre de données identifiables
- Proposer aux élèves des outils d’IA validés par l’institution (P2IA : Lalilo, Adaptiv’Math, Mathia, Navi, Smart Enseigno)
- Vous former via les modules M@gistère, le MOOC AI4Teachers ou les parcours Pix IA (déployés depuis janvier 2026)
Ce qu’il faut éviter
- Saisir des données personnelles d’élèves dans un outil non validé (noms, résultats, informations de santé…)
- Utiliser des IA génératives avec vos élèves en primaire : le Cadre d’usage précise que les élèves du premier degré sont sensibilisés aux IA mais ne manipulent pas directement de services d’IA générative (autorisé à partir de la 4e)
- Déléguer entièrement l’évaluation à un outil automatisé sans supervision humaine (article 22 du RGPD)
- Utiliser des outils non respectueux des données personnelles, souvent gratuits mais non souverains et opaques dans leur fonctionnement
La CNIL recommande de consulter les formations M@gistère sur l’IA, les travaux de la CREIA (Communauté de réflexion en éducation sur l’IA) et du Campus de l’innovation, le Cadre d’usage de l’IA en éducation (juin 2025), ainsi que le programme Lab’IA qui vise à former un grand nombre de formateurs sur les usages pédagogiques de l’IA.
En cas de doute ou de problème
Si vous constatez une fuite de données, un piratage, ou si vous avez un doute sur un outil, voici la marche à suivre :
- Informez immédiatement votre directeur, qui alertera le DASEN
- Contactez le DPD de votre académie (les coordonnées sont sur le site de votre rectorat)
- Documentez l’incident : date, nature, données concernées, mesures prises
- Ne tentez pas de résoudre seul un incident de sécurité : la notification à la CNIL doit intervenir dans les 72 heures
Le DPD académique est là pour vous accompagner, pas pour vous sanctionner. N’hésitez pas à le solliciter en amont si vous avez des questions sur un usage ou un outil.
Un email suspect avec un expéditeur inhabituel, une urgence artificielle (« votre compte sera fermé dans 24h »), une demande de mot de passe ou de données sensibles, un lien dont l’URL ne correspond pas au site officiel : ce sont des indices classiques de phishing. Ne cliquez pas, ne répondez pas, signalez.
Le RGPD n’est pas une contrainte administrative de plus. C’est un cadre protecteur qui vous aide à garantir la sécurité des données de vos élèves et la confiance des familles.
En appliquant quelques réflexes simples — questionner la nécessité des données, sécuriser vos outils, signaler vos usages numériques, connaître les droits des personnes — vous contribuez à une école numérique sereine et responsable.
La maîtrise de ces enjeux fait partie des compétences évaluées dans le cadre de Pix+ Édu (domaine 1.4 : Agir en faveur d’un numérique professionnel sûr et responsable, et domaine 4.2 : Protéger les données personnelles et la vie privée).