Home » Blog » Enseignement RGPD » RGPD/ePrivacy : Comment mettre en règle le site web de votre école ?

RGPD/ePrivacy : Comment mettre en règle le site web de votre école ?

Publié le

Mettre en conformité RGPD le site web de son école

Est-ce important pour votre école que son site web soit en règle par rapport aux différentes règlementations en vigueur (RGPD, ePrivacy, etc.) ?

De nos jours, le site web de votre école est probablement la première chose qu’iront investiguer les parents de vos futurs élèves ou des candidats professeurs.

Autant ne pas rater l’occasion de faire bonne impression !

Dans cet article, nous faisons le point sur les différents aspects à prendre en considération pour la mise en conformité RGPD d’un site internet d’un établissement scolaire.

Admeet est le partenaire idéal pour vous aider à mettre en place la conformité RGPD du site web de votre école.

La création ou la révision du site web de votre école

Réflexion sur la structure et vos objectifs

Si vous décidez de créer ou de modifier le site web de votre établissement scolaire, il est important de commencer par la mise en place du RGPD en réfléchissants aux points suivants :

Quels seront les utilisateurs de votre site web ?

  • Des élèves (futurs, actuels ou anciens)
  • Des parents d’élèves
  • Des professeurs (candidats, actuels ou anciens)

Pour quelles raisons viendront-ils sur votre site ?

  • Chercher de l’information sur votre établissement
  • Accéder à du contenu / une plateforme spécifique (demandant la création d’un compte utilisateur)
  • Communiquer avec vous (via un formulaire en ligne)
  • Etre tenu au courant des actualités de votre établissement (via une newsletter ou un flux rss)
  • S’inscrire à des activités (scolaires ou non)
  • Postuler / s’inscrire

Une fois cela clarifié, vous aurez une meilleure compréhension des fonctionnalités dont vous aurez besoin.

Ces fonctionnalités nécessiteront très probablement que vous collectiez des informations personnelles, aussi appelées “données personnelles” auprès des différents utilisateurs lorsqu’ils visiteront votre site.

Impact des législations et des pratiques

Certaines données personnelles seront collectées via des cookies et autres technologies permettant de tracer l’utilisateur sur votre site => Allez au paragraphe “Site web de votre école et les cookies”

Pour toutes les autres données personnelles = > Allez au paragraphe “Site web de votre école et les données personnelles”

Votre site, comme tous les sites, vous impose aussi de respecter des obligations ou des bonnes pratiques n’ayant pas spécialement de lien avec les données personnelles => Allez au paragraphe “Les incontournables pour tous les sites web”

Site web de votre école et les cookies (ePrivacy)

Les cookies et autres traceurs

Les cookies sont de petits fichiers texte qui vont accéder à l’ordinateur, smartphone, etc. du visiteur de votre site web et qui vont collecter des informations.

Classiquement, les cookies peuvent être classés en familles, ce qui va :

  • aider les visiteurs de votre site web à comprendre plus rapidement l’objectif global du cookie ;
  • vous aider à déterminer si vous devez demander le consentement de votre visiteur avant de déposer ou lire le cookie.

Cookies essentiels / nécessaires : Pour permettre le fonctionnement du site ou permettre au visiteur du site d’utiliser les fonctionnalités qu’il a demandées.
Ex : sécurisation du site, gestion du consentement des cookies
C’est le seul type de cookie pour lequel aucun consentement n’est nécessaire.

Cookies fonctionnels :  Pour permettre une expérience conviviale et personnalisée (améliore la navigation sur le site).
Ex : intégration de contenu provenant d’une plateforme tiers

Cookies analytiques : Pour mesurer et analyser l’audience du site.
Ex : nombre de visites sur le site, identifier les pages les +/- visitées

Cookies marketing : Pour présenter des publicités ciblées sur les centres d’intérêt présumés ou tenter de comprendre les centres d’intérêt de vos visiteurs.

D’autres technologies (traceurs) peuvent permettre d’arriver aux même résultats et doivent donc respecter les mêmes règles.

En savoir plus sur les cookies et traceurs :
* sur le site de l’APD (autorité de protection des données belge)
* sur le site de la CNIL (autorité de protection des données française)

RGPD Enseignement : Que devez-vous mettre en place par rapport aux cookies et traceurs (ePrivacy) ?

Afin de concrétiser votre obligation d’informer les visiteurs de votre site de la présence de ces technologies ainsi que la nécessité dans certains cas d’obtenir leur consentement, vous avez plusieurs outils à implémenter en tant que professionnels de l’enseignement :

La bannière cookies

Cette bannière qui apparait sur l’écran du visiteur de votre site vous permet :

  • de lui communiquer un premier niveau d’information sur la présence de cookies et autres traceurs sur votre site ;
  •  de collecter le consentement si nécessaire via des boutons à activer (la bannière étant liée à votre plateforme de gestion de consentement).

Si votre fournisseur de bannière vous propose des boutons de consentement activés par défaut, sachez que ce n’est plus une pratique autorisée. Evitez aussi les dark patterns, ces éléments graphiques et autres techniques qui incitent de manière trompeuse à accepter tous les cookies et entrent en conflit avec le RGPD.

La bannière cookies doit obligatoirement comporter un lien vers la politique de cookies (voire même vers la politique de confidentialité) et reste accessible facilement de n’importe quelle page du site internet (sans être intrusive).

La politique de cookies

Cette politique de cookies constitue le deuxième niveau d’information, dans laquelle vous devriez aborder les sujets suivants :

  • Votre identité (en tant qu’organisme responsable du site et donc du dépôt des cookies / utilisation de traceurs) ;
  • Pour chaque cookie / traceur
    – son nom
    – sa catégorie / famille
    – est-il essentiel ou non (consentement requis si non essentiel) ?
    – le ou les finalités / objectifs du dépôt de cookies / traceurs
    – combien de temps il reste sur le terminal (session, durée précise)

Admeet génère des politiques de cookies sur mesure et uniques à votre établissement scolaire, en quelques clics.

La plateforme de gestion de consentement

La plateforme de gestion de consentement, c’est l’outil qui vous permet de faire le suivi des consentements que vous avez obtenus ou non.

Elle vous permet donc, par exemple, de démontrer que vous avez bien obtenu le consentement d’un visiteur particulier à un moment T pour l’utilisation de certains cookies.

Les solutions Admeet vous permettent d’obtenir le consentement valide de vos utilisateurs via nos bannières cookies et de stocker les preuves de consentement cookies en cas de contrôle ou de plainte.

Site web de votre école et les données personnelles (RGPD)

Les données personnelles et le RGPD

Une donnée personnelle, c’est toute information qui permet d’identifier directement ou indirectement un être humain. Elle peut être collectée via les cookies, observée via les traceurs ou directement collectée via des formulaires que vous demandez aux visiteurs de votre site de compléter, par exemple.

Depuis 2018, le Règlement Général sur la Protection des Données (ou RGPD) a renforcé les obligations et les droits en lien avec l’utilisation des données personnelles. Il est donc crucial, si ce n’est pas déjà le cas, de modifier le site de votre établissement scolaire en tenant compte de vos obligations en la matière.

En effet, un site internet laissant apparaitre des infractions au RGPD est très facilement contrôlable par l’autorité de protection des données locale (l’administration compétente) ou par d’autres personnes intéressées (des associations de défense des droits des consommateurs, des activistes, etc.).

Si vous souhaitez éviter des sanctions (incluant de fortes amendes) et contribuer à protéger la vie privée des visiteurs de votre site (via une utilisation conforme de leurs données personnelles), s’intéresser à la mise en place des règles RGPD est donc indispensable.

La politique de confidentialité, une expression de votre obligation d’information

Une de vos obligations, en tant que “responsable du traitement” est d’informer les visiteurs de votre site sur votre intention de collecter et d’utiliser certaines de leurs données personnelles.

Pour cela, vous devrez établir un document appelé politique de confidentialité ou de vie privée. En vrai, choisissez le nom qui sera le plus évocateur pour vos visiteurs, il n’y a pas d’obligation légale à ce sujet.

Admeet vous aide à générer une politique de confidentialité unique à votre école.

La politique de confidentialité, son contenu

Voici les sujets que vous devrez aborder dans ce document :

Si les données personnelles n’ont pas été directement reçues de la personne : les catégories des données personnelles et comment elles ont été collectées.

Pour toutes les données personnelles (collectées directement ou non) :

  • Identité et coordonnées du responsable de traitement (votre établissement scolaire)
  • Coordonnées du délégué à la protection des données / DPD (si vous avez un DPO)
  • Quels sont les droits que la personne peut exercer pour contrôler votre utilisation de ses données personnelles ? Comment peut-elle les exercer ?
  • Spécifiquement, le droit pour la personne de faire une réclamation / porter plainte auprès de l’autorité de protection des données (en Belgique via www.autoriteprotectiondonnees.be)
  • Pour chaque finalité (raison pour laquelle vous utilisez ses données) :
  • Quelle est la base de licéité/légale qui justifie selon vous que vous pouvez utiliser les données personnelles ?
  • Est-ce que la personne est obligée de fournir ses données ? Si elle ne le fait pas, quelles sont les conséquences ?
  • Qui va recevoir les données personnelles au sein de votre organisation (quel département / fonction) et ailleurs (quelle autre organisation / administration qui serait responsable ou sous-traitant), pour effectuer quoi ?
  • Combien de temps allez-vous conserver les données personnelles (durée précise ou critère objectif permettant d’évaluer cette durée) ?
  • Les données sont-elles transférées dans des pays hors EU / accessibles depuis des pays hors EU ?
  • Utilisez-vous le profilage ou une prise de décision complètement automatisée sur base des données personnelles que vous collectez ?

La politique de confidentialité, pour quelles utilisations de données personnelles ?

Vous devrez obligatoirement aborder les collectes et utilisations de données personnelles qui ont lieu via votre site, mais également les traitements / utilisations de données qui ont lieu à d’autres moments de la vie de votre établissement.

Par exemple si les élèves utilisent des plateformes en ligne ou des applications dans le cadre de l’enseignement, si des photos peuvent être prises dans le cadre des activités, etc.

Il vous sera alors facile de renvoyer vers le site internet pour informer les personnes concernées de ces autres utilisations de données.

Ce document devra être accessible de n’importe quelle page de votre site internet.

Pour simplifier cet exercice, chez Admeet, nous avons décidé d’inclure dans notre solution de politique de vie privé une liste de finalités de traitement pré-encodées pour le secteur de l’enseignement sur base des recommandations (référentiels sectoriels) des autorités de protection des données.

Vous n’avez plus qu’à sélectionner celles qui vous correspondent et continuer à compléter !

La politique de confidentialité n’est que la porte d’entrée

L’obligation d’information n’est qu’une des obligations que vous devez respecter pour être en conformité avec le RGPD.

Ces obligations consistent en :

  •  le suivi des 6 principes clés des traitements de données personnelles à respecter (vous permettant de déterminer si l’utilisation que vous décidez d’instaurer est conforme ou non) ;
  • l’octroi de droits aux personnes dont vous souhaitez utiliser les données (droits qu’ils pourront choisir d’exercer et auxquels vous devrez répondre dans un délai de 30 jours) ;
  • la mise en place d’outils et de procédures (multiples registres, documentation obligatoire incluant la politique de confidentialité, mesures de sécurité adaptées aux risques encourus par les personnes, évalués par une analyse d’impact relative à la protection des données).

Ces obligations sont applicables à toutes vos utilisations de données personnelles, celles qui sont sur votre site, mais pas uniquement.

N’oubliez donc pas d’identifier et évaluer chaque utilisation de données personnelles que vous effectuez au quotidien, dans les différentes activités de votre établissement.
Ex : gestion des dossiers du personnel enseignant, utilisation de plateforme en ligne pour l’enseignement à distance, etc.

Pour vous aider, l’APD belge a créé un site, Je Décide, regroupant un concentré d’information sur les données personnelles à l’école, ainsi que des outils pédagogiques pour aborder le sujet avec vos élèves.

Les incontournables pour tous les sites web

Voici d’autres sujets à ne pas oublier quand vous travaillerez sur le site internet de votre école (sans que cette liste soit exhaustive) :

Les “mentions légales”

Les objectifs de ces “mentions” sont de permettre à votre visiteur d’identifier clairement qui est l’éditeur responsable des contenus mis en ligne sur le site et comment il peut contacter cet éditeur en cas de questions ou de problèmes (de manière plus globale).

Ces mentions sont :

  • Nom de l’éditeur responsable du site
  • (Dénomination / forme de la personne morale)
  • Adresse siège social
  • Adresse email de contact
  • (Numéro d’entreprise “BE…” + RPM (ville d’inscription) si personne morale)
  • les coordonnées de l’hébergeur du site.

Vous pouvez également ajouter (pas obligatoire) :

  • les liens vers vos conditions générales d’utilisation qui peuvent inclure :
  • une clause rappelant au visiteur que les contenus publiés sur le site sont protégés par le droit d’auteur et qui lui octroie éventuellement une licence d’utilisation (sous conditions) ;
  • une clause limitant la responsabilité de votre établissement en cas d’erreur dans le contenu ou le renvoi vers des sites ;
  • rappeler les liens vers les politiques de confidentialité et de cookies.

La sécurité de votre site

Vous devez également vous assurer que des mesures techniques sont mises en place pour protéger votre site et les données personnelles des visiteurs qui transitent par celui-ci.

Les recommandations qui y sont mentionnées sont fournies par la CNIL (France) mais sont tout à fait pertinentes pour la Belgique.

Commencez dès aujourd’hui à préparer votre rentrée grâce à un site web en conformité RGPD

Comme vous le voyez, construire et maintenir un site internet “en conformité” RGPD (notamment de la directive ePrivacy et du RGPD), ce n’est pas un projet qui s’improvise.

Les enjeux sont importants (surtout avec les actualités récentes en matière de cookies et d’utilisation de nouvelles technologies dans les écoles) que ce soit :

  • pour votre établissement scolaire (éviter les sanctions et vous positionner comme un établissement qui prend soin de la vie privée de ses élèves, des parents d’élèves et enseignants) ;
  • pour les utilisateurs de votre site (qui pourraient subir des impacts négatifs en cas de violation de données personnelles, les fameuses “fuites” de données).

Nous espérons que cet article vous aura permis de mieux saisir les différentes thématiques à mettre en œuvre.