De tout temps, la collecte, le stockage et la diffusion de données à caractère personnel et permettant une identification ont été réglementés. Le développement et l’utilisation massive de l’informatique permettant le croisement des fichiers et le recollement de données a induit le développement d’une réglementation complexe et insuffisamment connue.
Si longtemps la transmission, en format papier, d’une liste nominative d’élèves avec les dates de naissance et même les adresses était bénigne, il n’en va pas de même aujourd’hui. Cette même liste peut faire l’objet d’un traitement informatisé et permettre de créer et nourrir des bases de données. La réglementation s’est développée dans un but affiché de protéger les citoyen·nes de la pratique de fichage et de l’utilisation commerciale de ces données.

Textes de référence

• Arrêté du 25 mai 2023 portant création d’un traitement automatisé de données à caractère personnel relatif au pilotage et à la gestion des élèves de l’enseignement du premier degré
• Délibération n° 2012-184 du 7 juin 2012 dispensant de déclaration les traitements automatisés de données
• Associations des parents d’élèves : Code de l’éducation art. D111-8,
• Mairies : L131-6

Les instances de référence

La CNIL (Commission Nationale Informatique et Liberté) et le RGPD (Règlement Général sur la Protection des Données) définissent et fondent le droit en la matière.
Ainsi, les données personnelles sont définies par : “toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.” (CNIL).
Leurs divulgations par un responsable du traitement ou par toutes personnes détentrices de ces informations est soumise à des règles strictes, limitant de fait leur diffusion.
En effet, la RGPD proscrit “la divulgation non autorisée de données à caractère personnel transmises, conservées”. Il résulte de ces éléments que la question n’est pas de rechercher le texte qui empêche une divulgation mais bien celui qui la permet.
Il y a encore lieu d’ajouter que la liste des informations renseignées dans ONDE est strictement circonscrite (Art 5 et Annexe de l’arrêté du 25 mai 2023).

En conséquence, en matière de transmission de listes, les principes suivants sont à observer :

• La norme c’est la non-transmission, la transmission relève de l’exception dûment recensée ou découlant de textes ;
• Toutes demandes de listes nominatives d’où qu’elles viennent et quel que soit son support (papier ou dématérialisée) doit faire l’objet d’une étude attentive préalable au regard de 3 critères :
  • les textes autorisent-ils cette transmission de façon explicite ?
  • les personnes sur cette liste pourraient-elles contester cette transmission ?
  • les motivations de la demande rendent-elles légitime la transmission de cette liste ?

Au sein des écoles : tentative de classification

Directrices/directeurs et enseignant·es se trouvent confronté·es de façon régulière à des demandes de listes, souvent en format dématérialisé. Qu’ils s’agissent des services de la commune, de partenaires (association de parents d’élèves, OCCE, …) ou même de l’institution éducation nationale, aucune demande – y compris de l’IEN - n’implique une réponse automatique.

Ainsi durant la période de confinement les demandes ont été nombreuses de la part de l’institution.
Le traitement des données récoltées dans ONDE est légiféré dans les deux textes portés en référence. La liste des informations enregistrées est extrêmement restrictive et limitative (Art 5 et Annexe de l’arrêté du 25 mai 2023).
Quant à leur diffusion, elle est tout autant restreinte et est limitée (Art 5 de la délibération 2012-184 de la CNIL).
Il en résulte que la fabrication de listes informatiques en dehors d’ONDE, est interdite.
À titre professionnel et dans le cadre de sa classe, l’utilisation de listes générées par ONDE reste la seule alternative.

Quelques exemples de demandes au sein de l’institution. L’administration demande par mail la liste :

• Des élèves décrocheurs : si, au niveau de l’institution, il existe une procédure d’identification et de signalement en vue de la mise en place d’un dispositif de nature à prévenir et à mettre en place une remédiation, l’établissement d’une liste formelle à divulguer – même à destination de l’administration – n’est pas légitime ;
• Des élèves pouvant relever du dispositif “école apprenante” : si au sein des écoles une information peut être diffusée, une action peut être menée pour inciter tel·le ou tel·le élève à s’y engager, en revanche l’établissement et la divulgation d’une liste, même en interne, outrepasse les prérogatives du responsable du traitement et sont illégaux ;
• Des élèves sans matériel informatique ou des élèves sans connexion : sauf à ce que l’élève ou plus exactement son représentant légal accepte librement de répondre, de façon formalisée et en connaissance de l’utilisation et de la conservation de ses réponses, ces données ne peuvent faire l’objet d’un traitement nominatif. Elles ne peuvent pas plus être divulguées ;
• Des élèves pris en charge par les différentes composantes au sein des RASED (Psychologues, maîtres E et G) : aucun renseignement de ce type n’est possible dans ONDE pas plus que l’élaboration de liste Art 3 et 5 de l’arrêté du 20 octobre 2008 modifié (cf. texte de référence).

Tableau de synthèse

Le cas du partage de données avec les mairies

L’article L131-6 du code de l’éducation donne compétence au maire en matière de recensement “de tous les enfants résidant dans sa commune et qui sont soumis à l’obligation scolaire”. Ce recensement a pour but “d’améliorer le suivi de l’obligation d’assiduité scolaire”.
À cette fin "le maire peut mettre en œuvre un traitement automatisé de données à caractère personnel où sont enregistrées les données à caractère personnel relatives aux enfants en âge scolaire domiciliés dans la commune, qui lui sont transmises par les organismes chargés du versement des prestations familiales ainsi que par l’autorité de l’État compétente en matière d’éducation en application de l’article L. 131-8 et par le directeur ou la directrice de l’établissement d’enseignement… ”.

Pour autant, la mairie n’a pas compétence en matière de contrôle de l’assiduité ni à détenir de listes recensant les absences des élèves. Dans les situations d’absentéismes répétés, non justifiés devant faire l’objet d’un signalement, la mairie est co-compétente dans le cadre de la mise en place d’un dispositif d’accompagnement des familles et des élèves pour un retour à une scolarisation pleine et entière. Cette situation est caractéristique de la frontière entre l’obligation de transmission réglementée d’une information, concernant un élève, dans le cadre d’un dispositif spécifique et la transmission d’une liste. Le traitement, la conservation et l’utilisation par la mairie des informations transmises sont soumis aux règles du RGPD.

Concrètement lorsque la mairie utilise un logiciel de gestion des affaires scolaires, validé par le ministère de l’Éducation nationale, de la Jeunesse et des sports, une interface permet à la commune d’accéder à une partie des données de ONDE et de procéder au recollement automatisé. Dans le cas contraire, une transmission de liste sera nécessaire mais uniquement sur des données permettant la mise à jour de la liste des enfants soumis à l’obligation scolaire.

Transmission de données concernant les personnels

Si les administrations “sont tenues de publier en ligne ou de communiquer les documents administratifs qu’elles détiennent aux personnes qui en font la demande”, cette demande s’adresse à l’autorité de l’administration “productrice” de ces documents. En conséquence, toute demande formulée à la directrice ou à un directeur est illégitime.