Dans un monde toujours plus digitalisé, les informations et données personnelles sont au coeur des enjeux actuels. Leur protection et leur gestion devient donc la clé pour un monde digital sécurisé. Qui gère les données personnelles ? Comment sont-elles collectées ? Où et comment sont-elles stockées ?
C’est pour répondre à ces questions que le Parlement Européen a adopté une directive relative à la protection des données personnelles collectées et traitées par les sites internet : le Règlement Général sur la Protection des Données ou RGPD.
Désormais, à partir du moment où un établissement, un site internet ou une plateforme collecte des données, cela nécessite une politique de confidentialité en accord avec la législation européenne. Les établissements du supérieur n’échappent donc pas à cette règle. Du simple prénom à l’adresse e-mail de leurs étudiants, cela constitue en effet des données personnelles. Les écoles doivent donc rédiger une politique de confidentialité pour pouvoir utiliser les données de leurs alumni.
Ainsi, dans cet article, nous allons comprendre l’utilité d’une politique de confidentialité et vous aider à en rédiger une en accord avec les législations en vigueur.
Politique de confidentialité : les premiers pas
La politique de confidentialité, quésako ?
Tout d’abord, commençons par définir ce qu’est une donnée personnelle identifiable. Pour cela la CNIL nous aide en nous donnant une définition : “Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.” “L’identification d’une personne physique peut être réalisée à partir d’une information (ex : nom) ou à partir d’un croisement de plusieurs données”. Par exemple, dans le cas d’un alumni, si vous savez qu’il est de telle promo, né tel jour et résidant dans telle ville. Cela permet d’identifier cette personne en croisant plusieurs données, même si vous n’avez pas son nom et prénom.
La définition est large et couvre donc une grande variété de données que les établissements peuvent être amenés à collecter. Il est donc important de rédiger une politique de confidentialité pour être en conformité avec les lois en vigueur.
Cette politique de confidentialité est donc “un contrat qui décrit comment une société retient, traite, publie et efface les données transmises par ses clients.”
Ainsi, l’anonymisation des données n’est pas la finalité puisque le RGPD ne comporte pas d’obligation générale à ce sujet. Il s’agit avant tout de fixer un cadre pour l’exploitation des données dans le respect des droits et libertés des personnes, et de le communiquer aux personnes intéressées
Quels établissements doivent rédiger une politique de confidentialité ?
La rédaction d’une politique de confidentialité concerne tout établissement amené à collecter et traiter des données personnelles européennes. Peu importe que votre école soit petite, moyenne ou grande vous devrez forcément passer par cette étape. Pour que votre document soit valide, il doit donc se conformer aux lois ci-dessous relatives à la collecte directe ou indirecte des données personnelles :
- loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique relative au droit de l’internet
- loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et libertés modifiée par la loi n°2018-493 du 20 juin 2018 connue sous le nom de loi informatique et libertés et relative au traitement des données personnelles
- la directive européenne 2016/679 (RGPD) transposée dans le droit français avec la loi n°2018-493 du 20 juin 2018. Elle constitue la base pour le traitement des données personnelles et s’applique aux organismes basés en Europe ou qui cible directement des résidents européens.
Quand doit-on établir une politique de confidentialité ?
Dans le cas des écoles, il est nécessaire de rédiger une politique de confidentialité lorsque :
- votre établissement collecte des données personnelles à partir d’un formulaire, d’un contrat…C’est le cas par exemple lors de l’inscription d’un étudiant.
- votre établissement collecte des données relatives à l’activité des personnes. C’est le cas lorsque des cookies sont ajoutés sur votre site ou votre intranet pour étudier la navigation internet de vos visiteurs.
Enfin, il est important d’ajouter que la politique de confidentialité doit être mise à jour à chaque fois que la finalité de l’utilisation des données évolue. Toute modification doit de nouveau faire l’objet d’un consentement de la part de vos étudiants. Chaque changement impose donc qu’il soit de nouveau accepté par vos utilisateurs. Dans le cas contraire, vous vous exposez à une amende pouvant représenter jusqu’à 4% de votre chiffre d’affaires selon les dispositions définies par le RGPD. Concrètement, lorsque vous modifiez votre politique de confidentialité, il est nécessaire d’envoyer un mail à l’ensemble de votre réseau alumni pour obtenir leur consentement.
Politique de confidentialité : mise en place
Les informations indispensables pour être en accord avec le RGPD
Pour vous aider dans la rédaction de votre politique de confidentialité, le RGPD fixe un cadre. Voici les éléments indispensables que votre document doit contenir pour être en accord avec la législation européenne :
- l’identité et les coordonnées de votre établissement
- les coordonnées du Délégué à la protection des données (DPO ) désigné par l’organisme de protection des données
- la finalité de la collecte des données. Notez qu’il faut demander un consentement par finalité explicitée dans votre politique de confidentialité. Ces finalités doivent être décrites le plus précisément possible mais n’oubliez pas qu’elles doivent aussi être pensées de manière à couvrir d’autres champs d’action ultérieurement. Par exemple, si vos étudiants ont accepté le traitement de leurs données dans le but de favoriser l’insertion professionnelle. Ceci vous permettra, dans le cadre du RGPD, de faire appel à des sous-traitants pour monter votre plateforme alumni .
- le délai de conservation des données. Il fixe une période raisonnable de temps durant laquelle vous avez le droit de conserver les données de vos étudiants. Passé ce délai, vous devrez renouveler l’accord de vos étudiants et alumni pour pouvoir utiliser leurs données.
- les catégories de destinataires des données. C’est à dire, les catégories de personnes qui accéderont aux données.
- le droit des personnes fournissant les données. A savoir, un droit d’accès, de modification, de suppression et de limitation.
Rédiger votre politique de confidentialité
La rédaction d’une politique de confidentialité implique une rigueur étant donné qu’elle vous engage contractuellement. Il est donc très important d’en rédiger une qui vous protège de toute poursuite.
Idéalement, il faudrait vous faire accompagner par un avocat afin de vous assurer d’être effectivement protégé. Néanmoins, si pour le moment vous ne souhaitez pas investir financièrement dans votre protection (à vos risques et périls) de nombreux outils en ligne vous propose des modèles à adapter selon vos besoins.
Voici quelques outils que l’on peut facilement trouver sur google :
Lors de la création du document, ayez toujours en tête d’être le plus clair et précis possible dans la rédaction. Evitez les termes juridiques trop complexes, les phrases trop longues et classez les items par ordre d’importance. Cependant, bien que performant, ces outils vous permettent d’avoir des documents qui ne seront jamais de la même qualité que ceux produits par un avocat. Nous vous conseillons donc de faire quand même appel aux conseils d’un cabinet d’avocat pour une relecture.
Une fois votre document validé, il doit figurer sur votre site internet. Il est également nécessaire qu’il soit à tout moment accessible par vos utilisateurs sur les supports concernés. Ces derniers doivent aussi l’accepter pour que votre récolte de données soit valable.
Peut-on conserver ces données une fois que l’étudiant sort de l’école et devient donc alumni ?
La question de la conservation des données des étudiants une fois diplômés est centrale pour les écoles. Ainsi pour que vous puissiez garder la trace de vos alumni en toute légalité, vous devez le mentionner. Vous aurez donc le droit de conserver leurs données une fois que vos étudiants partent de votre établissement. Cependant, ce stockage doit avoir une durée limitée jugée raisonnable en fonction des finalités.
A titre indicatif, si votre finalité c’est de favoriser l’insertion professionnelle, la durée de conservation est de 4 ans environ depuis la dernière activité de votre alumni sur votre plateforme. Ce délai correspond à la moyenne d’ancienneté dans un emploi pour les jeunes.
—
Vous l’avez compris, la politique de confidentialité est une étape incontournable pour pouvoir collecter et utiliser les données de vos alumni. Sans cela, le stockage de ces données deviendra illégale, alors même qu’elle est la clé de la gestion de votre réseau alumni !
