Les mentions légales

Le droit d'accès

Les formalités de déclaration à la CNIL

Assurer le recueil du consentement

Les durées de conservation

Anticiper la mise en conformité avec le règlement général sur la protection des données personnelles ( RGPD)

RGPD : les conditions applicables au consentement des enfants

RGPD : Le droit à la portabilité

RGPD : La protection de la vie privée dès la conception ''Le Privacy by design''

RGPD : la notification aux personnes concernées en cas de violation des données personnelles

RGPD : les études d'impact sur la vie privée , le management des risques ( PIA )

Les mentions légales

Chaque personne a le droit d'accéder aux données collectées sur elle

RU-003 est un acte réglementaire unique généralement utilisé pour les ENT : il faut vérifier les finalités ( exemple ''mettre à la disposition des élèves des contenus éducatifs et numériques, les durées de conservation.. car c'est un acte d'engagement

Voir l'acte règlementaire

S'assurer du recueil du consentement des élèves/ étudiants

En principe si une personne ne s'est pas connectée à un ENT pendant 3 mois, il faut supprimer son compte.

Prévoir aussi une mise à jour des données en chaque début d'année scolaire

Le règlement intègre de nouveaux principes qui vont s'appliquer dans le monde du numérique éducatif.

-Il faudra recueillir le consentement des parents pour la mise en place de dispositif vers des enfants de moins de 16 ans.

-Il faut anticiper la portabilité des données pour que les élèves/ étudiants puissent anticiper la récupération des données collectées sur eux.

- La protection des données dès la conception ( "Privacy by Design") repose sur 7 principes fondamentaux dont 2 ont été repris dans l'art. 25 du règlement.

- La notification aux personnes concernées

- Les PIA ("Privacy Impact Assessments'' = études d'impact sur la vie privée)

Recueil du consentement des parents au minimum de 16 ans ( des pays pourront mettre 13 ans)

-Il faut anticiper la portabilité des données qui permettra aux élèves/ étudiants de récupérer des données collectées sur eux notamment dans le cadre de programme d'éducation au numérique ( voir la mise en situation prospective '' Give my data'')

Facebook permet aujourd'hui cette portabilité des données grâce à une fonctionnalité automatique

Art. 25 du règlement reprend 2 des 7 principes. Exemple sur les paramètres de confidentialité de Facebook qui devront par défaut être mis au plus haut niveau de protection. Il faut intégrer ces élèments dès la phase de conception de tout projet numérique.

Art.34 du RGPD, en plus de l'art 33 qui rappelle l'obligation de notification à la CNIL, prévoit qu'il faudra désormais notifier aux personnes concernées ( donc les éèves et leurs parents) en cas de piratage des données : prévoir une procédure et une communication

la CNIL s'appuie sur le modèle eBIOS pour la méthodologie de cette étude. Il convient d'analyser et d'anticiper les risques, ce qui traduit l'évolution juridique d'une logique déclarative à une logique d'auto-contrôle.

FAQ de la CNIL sur les études d'impact