[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-135 du 18 novembre 2021 portant avis sur un projet de décret en Conseil d'Etat modifiant les articles R. 131-3, R. 131-4 et R. 131-10-2 du code de l'éducation (demande d'avis n° 21018705)

Données personnelles
Institutions publiques
Industrie
Déposé le 17 novembre 2021 à 23h00, publié le 15 décembre 2021 à 23h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie pour avis sur un projet de décret en Conseil d'Etat modifiant les articles R. 131-3, R. 131-4 et R. 131-10-2 du code de l'éducation en application de l'article L. 131- 6 du code de l'éducation et du a du 4° du I de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le code de l'éducation, notamment son article L. 131-6 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Sur la proposition de Mme Sylvie ROBERT, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Etant rappelés les éléments de contexte suivants :
Dans un objectif de renforcement de l'efficacité du contrôle de l'obligation d'instruction par les maires, le ministère de l'éducation nationale, de la jeunesse et des sports souhaite ajouter de nouvelles données, d'une part, à la liste scolaire que les maires doivent établir (articles R. 131-3 et suivants du code de l'éducation) et, d'autre part, au traitement automatisé relatif au recensement des enfants soumis à l'obligation scolaire et par l'amélioration du suivi de l'assiduité (R. 131-10-1 et suivants du même code) qu'ils ont la possibilité de mettre en œuvre.
La liste scolaire constitue la « liste de référence » pour le contrôle de l'obligation d'instruction en déterminant la situation de chaque enfant entre trois et seize ans présents sur le territoire de la commune (instruction en famille, inscription dans un établissement scolaire, etc.). Elle est établie à chaque rentrée scolaire et mise à jour tous les mois à partir des listes transmises par les écoles et les établissements publics et privés et les déclarations d'instruction en famille que le maire recueille.
Les modifications envisagées par le projet soumis à la Commission visent à mettre en cohérence les données traitées par les maires dans ce cadre avec celles nécessaires à l'attribution de l'identifiant national élève (INE) par le ministère. En effet, le ministère souhaite s'appuyer sur les dispositifs existants pour étendre l'attribution de l'INE aux élèves des premier et second degrés hors contrats et aux enfants instruits en famille, qui apparaissent sur la liste scolaire établie par le maire.
Plus précisément, le projet de décret vise à ajouter aux traitements mis en œuvre par les maires, notamment, l'adresse du domicile ainsi que le niveau de classe fréquenté ou l'intitulé de la formation suivie par l'enfant, pour l'année scolaire en cours et pour la précédente. Les modalités de collecte et de déclaration au directeur académique des services de l'éducation nationale des données de cette liste seront fixées par un arrêté dont la Commission n'est pas saisie.
La Commission rappelle que si d'autres traitements de données à caractère personnel étaient affectés par le traitement des nouvelles données collectées auprès des maires, le ministère devrait mettre à jour les actes encadrant les traitements qui alimentent ou sont destinataires des données et s'assurer de leur conformité à l'égard de la réglementation en vigueur avant la mise en œuvre des traitements modifiés. Les systèmes d'information « ONDE » et « SIECLE », qui concernent respectivement les élèves scolarisés dans les établissements d'enseignement du premier et du second degrés, seraient principalement concernés.
La Commission souligne que tout projet de décret portant sur les modalités de mise en œuvre du troisième alinéa de l'article L. 131-6 du code de l'éducation doit faire l'objet d'un décret pris en Conseil d'Etat, après avis de la CNIL, y compris lorsque ces projets de décrets interviennent pour modifier ces modalités. Cette consultation apparaît dès lors obligatoire pour les modifications du traitement de données à caractère personnel prévu par les articles R. 131-10-3 et suivants du code de l'éducation.
La Commission rappelle également que conformément au a du 4° du I de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée, elle doit être consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Une telle consultation apparaît nécessaire pour les modifications du traitement de données à caractère personnel prévu par l'article R. 131-3 du code de l'éducation.
Emet l'avis suivant sur le projet de décret :
Sur l'économie générale des traitements :
Le projet de décret soumis à la Commission concerne deux traitements de données à caractère personnel.
Le premier concerne le recensement par le maire des enfants soumis à l'obligation d'instruction (articles L. 131-6 et R. 131-3 du code de l'éducation) et relève d'une obligation légale au sens du c du 1 de l'article 6 du règlement (UE) 2016/679 (RGPD).
Le second offre la possibilité pour le maire de mettre en œuvre un traitement automatisé afin de procéder au recensement des enfants soumis à l'obligation scolaire résidant dans la commune et de recueillir les informations concernant l'inscription et l'assiduité scolaires de ces enfants afin de lui permettre de prendre les mesures à caractère social ou éducatif dans le cadre des compétences qui lui sont conférées (article R. 131-10-1 et suivants du même code). La Commission estime que ce traitement n'est pas obligatoire mais constitue une faculté pour le maire et relève dès lors de l'exécution d'une mission d'intérêt public au sens du e du 1 de l'article 6 du RGPD.
Enfin, la Commission relève que l'article R. 131-10-6 portant sur les droits des personnes concernées renvoient à des dispositions obsolètes depuis l'entrée en application du RGPD et des modifications de la loi du 6 janvier 1978 en conséquence. La Commission estime qu'il est nécessaire que ces dispositions soient mises à jour.
Sur les données collectées :
Le projet de décret ajoute aux données traitées par les maires les modalités d'instruction et, le cas échéant, le niveau de classe fréquenté ou l'intitulé de la formation suivie dans l'établissement, pour l'année scolaire en cours et pour la précédente ainsi que le lien de parenté des personnes responsables de l'enfant avec celui-ci.
Au regard des missions de contrôle de l'obligation, de la fréquentation et de l'assiduité scolaires par les maires, la collecte des données sur la formation suivie au cours de l'année scolaire et la précédente apparaît proportionnée, pertinente et limitée à ce qui est nécessaire.
Concernant le lien de parenté, le ministère a indiqué qu'il appartient au maire de s'assurer, lors de l'inscription sur la liste scolaire, que les personnes qui y procèdent ont bien la charge de l'enfant et que connaître leur qualité lui permet de s'adapter à ses interlocuteurs en fonction de leur situation et de celle de l'enfant. La Commission prend acte de l'engagement du ministère de remplacer la donnée relative au lien de parenté des personnes responsables de l'enfant avec celui-ci, par la collecte de la donnée « lien avec l'enfant » afin de couvrir l'ensemble des possibilités de liens entre les personnes responsables de l'enfant et celui-ci (parents, tuteur, ou personne qui exerce de manière continue une autorité de fait). Dès lors, la collecte de cette donnée apparaît justifiée.
Sur l'exercice des droits des personnes concernées :
La Commission relève que le droit d'opposition est écarté par l'article R. 131-10-6 du code de l'éducation. Dans le cadre de l'actualisation nécessaire de cet article au regard de la nouvelle réglementation, elle demande que cet article mentionne également le droit à la limitation conformément à l'article 18 du RGPD.
La Commission observe que de nombreuses personnes sont concernées par le dispositif. En conséquence, elle appelle l'attention des différents acteurs qui alimentent les traitements en lien avec l'obligation d'instruction et le contrôle de l'assiduité (notamment les organismes chargés du versement des prestations familiales et les directeurs des écoles ou les chefs des établissements scolaires, publics ou privés) sur la nécessité d'informer les personnes auprès desquelles sont collectées des données de la possibilité ou l'obligation, le cas échéant, de communiquer celles-ci au maire pour le contrôle de l'obligation d'instruction et de l'assiduité scolaire. L'information de l'ensemble des personnes concernées devra être fournie conformément aux articles 12, 13 et 14 du RGPD, « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
Enfin, la Commission rappelle que les maires, en leur qualité de responsable de traitement, devront notamment préciser les modalités concrètes d'exercice des droits des personnes concernées.
Les autres aspects du projet n'appellent pas, de la part de la Commission, d'observation supplémentaire.
Estime, quant aux conditions de mise en œuvre :
La Commission souligne que le maire est le seul responsable des traitements mentionnés.
Dès lors, il lui revient de définir précisément les conditions de mise en œuvre de ces traitements et de s'assurer que ceux-ci sont mis en œuvre conformément à la réglementation en matière de protection des données, en particulier s'agissant de l'exercice des droits des personnes, de l'information délivrée auprès de ces personnes et des mesures de sécurité à mettre en place.
Sur la nécessité de réaliser une analyse d'impact relative à la protection des données (AIPD) :
La réflexion sur la nécessité de réaliser une AIPD relève du responsable de traitement, et donc du maire. La Commission considère que les critères définis par les lignes directrices concernant l'AIPD et la manière de déterminer si le traitement est « susceptible d'engendrer un risque élevé » pouvant rendre obligatoire la réalisation d'une AIPD pourraient être réunis, notamment s'agissant, dans certains cas, d'un traitement à large échelle au regard de la proportion que représentent les personnes concernées (enfants et adultes responsables de ceux-ci) sur l'ensemble de la population d'une commune et de la vulnérabilité des enfants du fait de leur âge.
La consultation préalable de la CNIL pourrait également être obligatoire selon le résultat de l'évaluation des risques réalisée par le responsable de traitement, conformément à l'article 36 du RGPD.
Sur les mesures de sécurité du traitement :
La Commission rappelle qu'il revient au responsable de traitement de garantir la sécurité des données à caractère personnel en répondant aux exigences prévues par les articles 5.1-f et 32 du RGPD, et que le respect de ces obligations impose une réévaluation régulière des risques pour les personnes concernées ainsi qu'une mise à jour régulière des mesures de sécurité pour chacun des traitements de données à caractère personnel affectés par le dispositif projeté.

La présidente,


M.-L. Denis