# Guide d’animation RGPD — DGEE Polynésie française > Guide d’animation destiné aux formateurs RGPD du système éducatif polynésien (DGEE, Polynésie française). Élaboré par le réseau des ERUN de circonscription et le PAPN, avec l’accompagnement de la DPO du Pays et le soutien de la DSI du Pays. Recueil de fiches modulaires (préambule + 10 chapitres + 5 annexes) : qu’est-ce qu’une donnée personnelle, à quoi sert le RGPD, les acteurs, les principes, les droits, le droit à l’image, la sécurité, les violations de données, l’IA, une étude de cas, plus des annexes pratiques et un glossaire. Chaque fiche fournit l’essentiel à transmettre, le déroulé d’activité et une aide à l’animation. Diaporamas et fiches PDF téléchargeables (1er et 2nd degré). Source : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html Document agrégé pour lecture par une IA : il réunit l’intégralité du guide (toutes les fiches, tous les onglets) en un seul texte. Les liens vers les diaporamas et fiches PDF téléchargeables sont conservés. ============================================================================== ## Préambule : posture du formateur (À lire avant toute préparation) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#preambule ============================================================================== ### Le cadre Genèse des modules Le lancement de l’Espace numérique de travail (ENT) et l’audit RGPD mené au sein de la DGEE ont mis en évidence la nécessité de renforcer la maîtrise des obligations liées à la protection des données dans le système éducatif polynésien. Pour répondre à cet enjeu, la Direction des systèmes d’information (DSI) du Pays, sous l’impulsion de la Déléguée à la protection des données (DPO) du Pays, a financé l’élaboration de contenus et un programme de formation. L’objectif n’est pas de faire des personnels formés des juristes, mais de leur donner des repères clairs, adaptables à leur établissement. Ce que ce document n’est pas - Pas un cours de droit : inutile de mémoriser les articles de loi par cœur. - Pas un script figé : ne lisez pas les fiches mot à mot, contextualisez. - Pas un règlement intérieur : on ne distribue pas des interdits, on construit des solutions qui protègent les personnes. C’est un recueil de ressources modulaires à vous approprier selon votre public — école isolée, grand lycée, équipe de direction… Les 9 enjeux du parcours - Comprendre les grandes lignes du RGPD et les obligations légales. - Comprendre les risques liés à la collecte et au traitement massif de données. - Comprendre le lien entre les risques et les obligations légales. - Identifier les personnes à risque, dont les personnes vulnérables. - Identifier les types de données scolaires et leur circuit de traitement. - Comprendre les grandes lignes du droit à l’image. - Comprendre l’importance de sensibiliser la communauté éducative. - Réagir face à une violation de données. - Anticiper les risques liés aux innovations technologiques. ### Votre posture Les 3 piliers de votre intervention La réussite de la formation dépend moins de votre expertise technique que de votre posture. Le sujet « RGPD » peut faire peur ou agacer : votre rôle est de dédramatiser. Le pragmatisme — le terrain : Répondez par la pratique. Si une règle est inapplicable (connexion instable…), reconnaissez-le et cherchez la solution sécurisée la « moins pire ». La bienveillance — le pair-à-pair : Vous n’êtes pas un inspecteur qui sanctionne le passé, mais un collègue qui aide à sécuriser l’avenir. Le droit à l’erreur est le point de départ. Le sens — le « pourquoi » : Ramenez toujours à l’humain : protéger les données, c’est protéger les élèves (cyberharcèlement, vie privée) et les collègues. Visuel 1 — Les 3 piliers de la posture · Pragmatisme · Bienveillance · Sens À retenir - Le RGPD est un outil de protection, pas une contrainte administrative. - Vous êtes un formateur-accompagnateur, pas un contrôleur. - Privilégiez les situations concrètes. - Cherchez des solutions réalistes, adaptées au terrain. ============================================================================== ## Qu’est-ce qu’une donnée personnelle ? (Chapitre 1) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-1 ============================================================================== **Encadré pratique** — Support : Diapositives 11 à 24 · Durée : 45 minutes « Un prénom sur une liste, une photo de sortie, une note… tout cela, c’est de la donnée personnelle. » ### L’essentiel L’intention — pourquoi ce module ? Connaître les notions. Pour protéger efficacement, il faut savoir ce qu’il faut protéger. On sort de la définition administrative pour ancrer la donnée dans le quotidien de l’enseignant. Comprendre son étendue. On élargit la vision au-delà du couple nom-prénom : évaluations, observations, photos de classe, informations familiales. L’essentiel à transmettre ### Définition et périmètre Une donnée personnelle permet d’identifier une personne, directement (nom, photo) ou indirectement (numéro, croisement d’informations). En milieu scolaire : identité, données scolaires (notes, appréciations), données familiales. ### Trois niveaux de sensibilité Données simples : Identité, scolarité. Données sensibles : Origine, convictions, santé, biométrie. À l’école : PAI, régimes alimentaires. Données hautement personnelles : Sanctions disciplinaires, suivis sociaux ou psychologiques. ### Le traitement et sa documentation Toute opération — collecte, conservation, diffusion, effacement — est un traitement. Effacer une donnée localement ne garantit pas sa suppression chez les prestataires tiers (GAFAM). Chaque ensemble de traitements doit figurer au registre des activités de traitement. ### La multiplication des données Soulignez le volume traité via ONDE, SIECLE, ENT, et sa circulation entre enseignants, direction, services du Pays et de l’État. ### L’activité L’action — déroulé de l’activité Cas pratique : identifier les données et les risques (diapositive 24). Scénario proposé Un professeur organise une sortie au musée. Il crée un document partagé en ligne avec noms, prénoms et dates de naissance (billetterie), numéros de téléphone des parents (urgences) et allergies alimentaires (pique-nique). Il prévoit aussi une photo de groupe. ### Consigne d’animation - Noms, prénoms, téléphones : données d’identification : . - Allergies alimentaires : données de santé (sensibles). - Photo de groupe : donnée biométrique nécessitant une autorisation. Minimisation. Lesquelles sont strictement nécessaires à la finalité « sortie au musée » ? Lesquelles relèvent d’une habitude administrative ? Chaîne de traitement. Pour chaque donnée : qui la saisit ? qui la voit ? où est-elle stockée ? jusqu’à quand ? (Voir l’Annexe 4, « L’itinéraire de la donnée ».) Clé de sortie Tout enseignant manipule quotidiennement des données sensibles. La vigilance porte aussi sur les fichiers courants et les listes du quotidien, pas seulement sur les outils complexes. Visuel 2 — Pyramide de sensibilité · Simples · sensibles · hautement personnelles ### Aide à l’animation Questions d’accroche - « Quelles données d’élèves avez-vous manipulées aujourd’hui ? » - « Une note ou une photo de classe, est-ce une donnée personnelle ? » - « Quelles données sont les plus sensibles à l’école ? » Réactions fréquentes & réponses Réaction « Ce ne sont que des listes de classe, pas vraiment des données sensibles. » Réponse possible « Une liste de classe identifie des élèves. Dès qu’une information permet de reconnaître une personne, c’est une donnée à protéger. » Réaction « Les allergies ou les PAI, c’est normal qu’on les partage. » Réponse possible « Oui, mais seulement avec qui en a réellement besoin. Le RGPD ne bloque pas l’information utile, il encadre sa diffusion. » Réaction « Une photo de groupe, ce n’est pas sensible. » Réponse possible « Une photo identifie un élève : c’est une donnée personnelle qui demande des précautions et souvent une autorisation. » Astuces d’animation - Partir d’exemples très concrets : liste d’appel, carnet de notes, cahier de liaison. - Faire citer les données manipulées au quotidien. - Ancrer avec le cas de la sortie scolaire. - Faire classer par niveau de sensibilité. Indicateurs de réussite - Reconnaître une donnée personnelle dans une situation de classe. - Comprendre qu’on manipule des données tous les jours. - Identifier les données les plus sensibles. - Prendre conscience des risques liés aux partages non sécurisés. ============================================================================== ## À quoi sert le RGPD ? (Chapitre 2) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-2 ============================================================================== **Encadré pratique** — Support : Diapositives 5 à 9 · Durée : 30 à 45 minutes « Le RGPD n’est pas qu’une contrainte administrative : il protège les données personnelles, en particulier celles des élèves et des familles, dans un monde de plus en plus numérique. » ### L’essentiel L’intention — pourquoi ce module ? Poser le cadre légal et éthique. Le RGPD n’est pas une entrave bureaucratique, mais un outil de confiance et de confidentialité dans la relation éducative. Le contexte polynésien. Appliqué en Europe le 25 mai 2018, le RGPD s’applique en Polynésie française depuis le 1ᵉʳ juin 2019. L’essentiel à transmettre ### Une préoccupation ancienne Elle débute en 1978 avec la loi « Informatique et Libertés ». ### Quatre objectifs majeurs - Protéger les droits et libertés, notamment la vie privée des élèves et des familles. - Préserver les mineurs : , personnes vulnérables nécessitant une protection renforcée. - Encadrer et sécuriser les traitements en limitant la collecte aux finalités légitimes. - Responsabiliser l’établissement pour une gestion transparente et sécurisée. ### Les enjeux à l’école L’école concentre des données sensibles sur des mineurs, avec une prise de conscience encore faible. Enjeux : protéger, être transparent avec les parents, former les personnels. ### L’activité L’action — débat sur les enjeux Activité interactive (45 minutes). Question du débat « Protéger les données des élèves est-il plus important que favoriser l’innovation pédagogique ? » — Pas de vainqueur à désigner : montrer que ces deux enjeux ne s’opposent pas. ### Déroulé proposé - Former deux groupes. - L’un défend l’innovation pédagogique (plateformes, outils collaboratifs, suivi). - L’autre défend la protection de la vie privée (collecte massive, stockage privé, RGPD). - 20 minutes de préparation des arguments. ### Synthèse du formateur Le respect du RGPD soutient justement une innovation pédagogique durable, en sécurisant les outils numériques. Clé de sortie Le RGPD est un cadre protecteur indispensable : il accroît la transparence et crée un climat de confiance entre l’institution, les élèves et leurs parents. Visuel 3 — Frise historique & 4 objectifs · 1978 · 2018 · 2019 ### Aide à l’animation Questions d’accroche - « Quelles données d’élèves manipulez-vous tous les jours ? » - « Quelles sont les données les plus sensibles à l’école ? » - « Avez-vous déjà hésité à utiliser un outil par crainte du RGPD ? » Questions pour le débat - « Peut-on innover pédagogiquement sans données ? » - « Où est la limite entre suivi pédagogique et surveillance ? » - « Qui est responsable des données : l’enseignant, l’établissement, l’institution ? » Réactions fréquentes & réponses Réaction « Le RGPD nous empêche de travailler. » Réponse possible « Il n’interdit pas les outils, il oblige à les utiliser de façon responsable. L’objectif est de protéger les élèves, pas de bloquer. » Réaction « On a toujours fait comme ça. » Réponse possible « Le contexte numérique a changé. Les données circulent plus vite et plus loin : le RGPD répond à cette réalité. » Réaction « Je ne suis pas juriste. » Réponse possible « On ne vous demande pas de le devenir, juste d’adopter quelques réflexes pour sécuriser vos pratiques. » Points de vigilance - Ne pas faire un cours de droit. - Éviter le vocabulaire juridique complexe. - Ne pas juger les pratiques passées. - Recentrer sur les situations concrètes. Astuces d’animation - Partir d’exemples vécus. - Noter les idées au tableau. - Reformuler pour valoriser les contributions. - Relier au bien-être et à la protection des élèves. Indicateurs de réussite - Comprendre la finalité protectrice du RGPD. - Ne plus le voir seulement comme une contrainte. - Faire le lien entre RGPD et confiance avec les familles. ============================================================================== ## Quels sont les acteurs du RGPD ? (Chapitre 3) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-3 ============================================================================== **Encadré pratique** — Support : Diapositives 25 à 35 · Durée : 30 à 45 minutes « Pour bien comprendre le RGPD, il est essentiel d’identifier qui fait quoi. Le règlement définit plusieurs acteurs clés qui ont chacun un rôle, des responsabilités et des obligations. » ### L’essentiel L'intention — pourquoi ce module ? Clarifier les rôles. Le RGPD ressemble souvent à une nébuleuse juridique. L'objectif est de situer chaque participant dans la chaîne de responsabilité : la protection des données n'est pas l'affaire du seul DPO ou de la direction, elle part de l'autorité de contrôle jusqu'à l'enseignant dans sa classe. L'essentiel à transmettre ### L'autorité de contrôle : la CNIL La Commission nationale de l'informatique et des libertés est le régulateur français. Triple mission : informer et conseiller les organismes, contrôler les traitements, sanctionner les manquements si nécessaire. Des sanctions existent même pour des établissements publics — c'est un point à rappeler pour marquer l'importance du sujet. ### Les personnes concernées et la vulnérabilité Toute personne dont les données sont collectées : élèves, responsables légaux, enseignants, personnels administratifs. En milieu scolaire, les mineurs sont des personnes vulnérables au sens du RGPD : leur âge et leur difficulté à mesurer les risques imposent une protection renforcée. ### Le responsable de traitement et la spécificité locale Le responsable de traitement est l'entité qui décide du pourquoi et du comment du traitement. En Polynésie française, pour les établissements du premier degré, ce rôle est tenu par la DGEE — contrairement à la métropole où il peut relever du DASEN. ### La chaîne de traitement : sous-traitants et destinataires Le sous-traitant traite des données pour le compte du responsable, sur ses instructions (fournisseur d'ENT, hébergeur cloud). Les destinataires sont ceux qui reçoivent les données : services du Pays, collectivités. ### Le pilotage : DPO et référents Le DPO (Délégué à la protection des données) est le chef d'orchestre de la conformité. En Polynésie, la DGEE s'appuie sur des référents RGPD — souvent des ERUN ou des RUPN — qui assurent le lien terrain entre les établissements et le DPO. ### L’activité L'action — déroulé de l'activité Cas pratique : identification des acteurs (diapositive 35). Scénario proposé Un enseignant utilise des outils grand public (Google Forms, Sheets et Drive) pour organiser des ateliers. Il collecte les noms, prénoms et choix des élèves via un formulaire, centralise les réponses dans un tableur et stocke les documents sur un espace en ligne. ### Consigne d'animation Demander aux participants d'identifier qui joue quel rôle dans cette situation. - Responsable de traitement : la DGEE, pour le compte de laquelle l'enseignant agit — même s'il a pris l'initiative seul (c'est l'« informatique de l'ombre »). - Sous-traitant : Google. - Personnes concernées : les élèves. La discussion met en évidence les risques : absence de contrat de sous-traitance validé, transfert potentiel de données hors UE, sécurité incertaine. ### Les alternatives institutionnelles à rappeler - Vidéo : PodEduc (au lieu de YouTube). - Messagerie : Tchap ou la messagerie ENT (au lieu de WhatsApp/Messenger). - Stockage et partage : Nuage ou l'espace documentaire ENT (au lieu de Google Drive/Dropbox). - Gros fichiers : FileSender (au lieu de WeTransfer). - Visioconférence : Visio-Agents (au lieu de Zoom). Message clé : en utilisant les outils validés, on agit sous la protection de l'institution. En utilisant des outils personnels (GAFAM), on engage sa propre responsabilité en cas de fuite. Clé de sortie Chaque acteur a une responsabilité définie. L'enseignant n'est pas seul : il est le garant de la sécurité des données dans sa classe, mais il agit sous la responsabilité de la DGEE et doit s'appuyer sur les outils validés et les référents (ERUN/RUPN) pour rester dans un cadre conforme. Connaître les acteurs, c'est aussi savoir à qui faire confiance pour ses outils. Visuel 4 — Les acteurs du RGPD · CNIL · DGEE · sous-traitants · personnes · DPO ### Aide à l’animation Questions d'accroche - « Selon vous, qui est responsable des données d'élèves de votre classe ? » - « Quand vous utilisez un outil numérique en ligne, savez-vous où vont les données ? » - « Avez-vous déjà entendu parler du DPO, de l'ERUN ou du RUPN ? » Réactions fréquentes & réponses Réaction « C'est l'institution qui est responsable, pas moi. » Réponse possible « Vrai et faux. La DGEE est responsable de traitement, mais vous êtes le garant de la sécurité dans votre classe. Le rôle est partagé, pas dilué. » Réaction « L'ENT n'a pas ce que je veux, alors j'utilise Google Drive. » Réponse possible « C'est l'informatique de l'ombre : vous prenez la responsabilité personnellement, sans le filet de l'institution. Tchap, Nuage, FileSender, PodEduc existent — et si une fonctionnalité manque, le bon canal est de le signaler à votre ERUN. » Réaction « Google, c'est pratique, tout le monde l'utilise. » Réponse possible « C'est précisément ce que vise le RGPD sur les transferts hors UE. Utiliser un outil grand public, c'est exposer des données d'élèves à des serveurs sur lesquels la DGEE n'a aucun contrôle. » Astuces d'animation - Faire dessiner la chaîne au tableau : Personne concernée → Responsable → Sous-traitant → Destinataire → DPO. - Partir des outils que les participants utilisent réellement et placer chaque outil dans la chaîne. - Citer la liste des alternatives institutionnelles (Tchap, PodEduc, Nuage, FileSender, Visio-Agents) en montrant physiquement les logos. Indicateurs de réussite - Savoir placer la DGEE, l'enseignant, l'élève, le sous-traitant et le DPO sur un schéma. - Identifier l'informatique de l'ombre dans un cas concret. - Citer au moins deux outils institutionnels équivalents aux outils grand public habituels. ============================================================================== ## Quels sont les principes fondamentaux du RGPD ? (Chapitre 4) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-4 ============================================================================== **Encadré pratique** — Support : Diapositives 36 à 48 · Durée : 45 à 60 minutes « Collecter seulement ce qui est nécessaire, protéger les informations, respecter les droits : le RGPD s’appuie sur des principes simples, mais essentiels. Pour les enseignants, ces règles servent de boussole pour agir au quotidien. » ### L’essentiel L'intention — pourquoi ce module ? Comprendre les règles du jeu. Ce chapitre présente les grands principes qui régissent tout traitement de données personnelles, pour donner aux participants une grille de lecture leur permettant d'évaluer eux-mêmes si une pratique est conforme ou risquée. Passer de la théorie à la pratique en montrant comment des principes abstraits (licéité, transparence, minimisation) se traduisent concrètement dans la gestion d'une classe ou d'un établissement. L'essentiel à transmettre ### Le principe de licéité Tout traitement doit reposer sur une base légale valide parmi les six prévues par le règlement. En milieu scolaire, la majorité des traitements s'appuie sur l'obligation légale (ONDE) ou la mission d'intérêt public (activités pédagogiques). Le consentement est requis pour les activités facultatives ou l'usage de l'image. ### Le principe de transparence Les personnes concernées doivent être informées de manière claire, concise et compréhensible : identité du responsable, finalités, destinataires, droits. Analogie utile : la transparence, c'est comme annoncer un contrôle — chacun sait ce qui va se passer. ### Le principe de minimisation On ne collecte que les données strictement nécessaires à l'objectif visé. Pour une sortie scolaire, les allergies sont pertinentes ; l'intégralité du dossier médical ne l'est pas. ### Le principe d'exactitude Les données doivent être justes et tenues à jour : mise à jour annuelle des fiches de renseignements, procédures simples pour corriger les erreurs. ### Le principe de limitation de conservation Les données ne sont pas conservées indéfiniment. Chaque type a une durée de vie — par exemple, fin d'année scolaire pour les données disciplinaires. ### Le principe de responsabilité et de sécurité L'établissement reste responsable des données même lorsqu'il les confie à un sous-traitant (fournisseur de logiciel, hébergeur). ### L’activité L'action — quiz sur le respect des principes Quiz interactif (diapositives 46 et 47) — quatre questions concrètes pour tester la compréhension. ### Questions et analyses - Question 1 — Quelle base légale pour un fichier de suivi des notes ? Réponse attendue : la mission d'intérêt public. - Question 2 — Quels traitements nécessitent le consentement explicite ? Réponse attendue : publier des photos de la fête de l'école sur le site internet. - Question 3 — Peut-on utiliser une appli de quiz gratuite demandant nom et courriel ? Réponse attendue : non, sans vérification préalable — problèmes de minimisation, de sécurité et de transfert de données. - Question 4 — Le consentement exonère-t-il du respect du RGPD ? Réponse attendue : faux. Même avec accord, l'établissement doit sécuriser les données et respecter les autres principes. Clé de sortie Le RGPD n'est pas une interdiction d'agir, mais un guide de bonnes pratiques. Avant chaque projet impliquant des données, trois questions : ai-je le droit de le faire (licéité) ? Ai-je vraiment besoin de toutes ces informations (minimisation) ? Les parents sont-ils au courant (transparence) ? Visuel 5 — Boussole des 6 principes · 6 principes + 3 questions de bouclage ### Aide à l’animation Questions d'accroche - « Avant de collecter une donnée d'élève, vous posez-vous la question de savoir si vous en avez vraiment besoin ? » - « Si un parent vous le demande, sauriez-vous expliquer pourquoi vous collectez telle ou telle donnée ? » - « Combien de temps gardez-vous les listes de classe, les bulletins, les fichiers d'évaluation ? » Réactions fréquentes & réponses Réaction « Si j'ai le consentement des parents, je suis tranquille. » Réponse possible « Le consentement est une base légale parmi six. Et même avec consentement, vous restez tenu de respecter les autres principes : minimisation, sécurité, durée de conservation. Le consentement n'efface rien. » Réaction « On a toujours utilisé la même fiche de rentrée. » Réponse possible « Justement — la minimisation invite à relire ces formulaires. Pour une fiche de rentrée, ai-je besoin de la profession des parents ? Du nom de l'employeur ? La règle est : strictement nécessaire à la finalité visée. » Réaction « Une appli affirme qu'elle est conforme RGPD, donc c'est bon. » Réponse possible « Le RGPD s'applique à votre établissement, pas à un logiciel. La mention « conforme RGPD » signifie au mieux que l'outil propose des fonctions utiles à la conformité — pas qu'il vous exonère de vos obligations. » Astuces d'animation - Lier chaque principe à un geste de classe : licéité = base légale ONDE ; minimisation = relecture de la fiche de rentrée ; conservation = purge en fin d'année. - Utiliser le quiz du support comme révision active après l'exposé. - Faire reformuler chaque principe par les participants avec leurs propres mots. Indicateurs de réussite - Citer au moins quatre des six principes. - Savoir se poser trois questions avant tout traitement (droit ? besoin ? information ?). - Comprendre que le consentement n'est pas un blanc-seing. ============================================================================== ## Quels droits avons-nous sur nos données ? (Chapitre 5) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-5 ============================================================================== **Encadré pratique** — Support : Diapositives 49 à 57 · Durée : 30 à 45 minutes « Le RGPD ne protège pas seulement les données, il donne le pouvoir aux personnes de les maîtriser. Pour l’École, cela signifie savoir répondre aux demandes des familles sans panique ni précipitation. » ### L’essentiel L'intention — pourquoi ce module ? Connaître les droits. Le RGPD octroie des droits concrets aux individus : consulter, corriger, s'opposer ou demander l'effacement de leurs informations. En milieu scolaire, les parents ou les élèves exercent ces droits directement auprès de l'établissement. Savoir comment répondre. L'objectif est de rassurer les personnels : ils ne doivent pas connaître la jurisprudence, mais savoir que ces droits existent et, surtout, ne jamais gérer seuls une demande complexe. La posture à adopter : écoute, vérification et transmission à la personne compétente. L'essentiel à transmettre ### Un panorama des droits - Droit d'accès : obtenir une copie de ses données. - Droit de rectification : corriger des informations inexactes. - Droit à l'effacement (droit à l'oubli) : demander la suppression de données. - Droit d'opposition : refuser un traitement pour des motifs légitimes. - Droit à la limitation : geler temporairement l'utilisation d'une donnée. ### Les limites spécifiques au milieu scolaire Ces droits ne sont pas absolus. La plupart des traitements scolaires reposent sur une obligation légale ou une mission d'intérêt public. Un parent ne peut donc pas exiger l'effacement d'une mauvaise note ou d'une sanction disciplinaire — ces données sont nécessaires au suivi obligatoire de la scolarité. En revanche, le droit à l'effacement s'applique pleinement pour les données collectées sur la base du consentement (vidéo publiée sur les réseaux sociaux de l'établissement, par exemple). ### La procédure de gestion - Toute demande est transmise au référent RGPD ou au DPO pour enregistrement. - L'identité du demandeur doit être vérifiée (pièce d'identité) avant toute communication. - L'établissement dispose d'un délai d'un mois pour répondre, prolongeable de deux mois en cas de complexité. ### L’activité L'action — gestion d'une demande d'accès Cas pratique (diapositive 56). Scénario proposé Un parent d'élève demande l'accès à l'intégralité des données concernant son enfant : dossier administratif, évaluations pédagogiques, remarques disciplinaires et échanges de courriels internes entre enseignants. ### Consigne d'animation Les participants identifient les types de données et déterminent ce qui est communicable. - Les données objectives (notes, absences, bulletins) sont communicables. - Les documents préparatoires et notes personnelles de l'enseignant peuvent, sous certaines conditions, ne pas l'être. - Si un document cite un autre élève ou un autre parent, ces informations doivent être masquées avant transmission : . Clé de sortie Le droit d'accès est un droit fondamental, pas une intrusion. La règle d'or : ne jamais rester seul face à une demande. Dans le premier degré en Polynésie française, solliciter d'abord la direction ou le CJA, puis le référent RGPD de la circonscription. Dans le second degré, solliciter d'abord le DPO de l'établissement, puis la direction. Visuel 6 — Portefeuille des 5 droits · 5 droits + procédure de gestion ### Aide à l’animation Questions d'accroche - « Si demain un parent vous demande l'intégralité du dossier de son enfant, par où commencez-vous ? » - « Un parent peut-il faire effacer une mauvaise note ? » - « Quels sont les délais réglementaires pour répondre à une demande d'accès ? » Réactions fréquentes & réponses Réaction « Si un parent me demande, je dois lui donner tout. » Réponse possible « Non. Une demande passe par le référent RGPD ou le DPO, pas par vous directement. Vous transmettez. La règle d'or : ne jamais rester seul face à une demande. » Réaction « Un parent peut faire effacer une mauvaise note. » Réponse possible « Non. La plupart des traitements scolaires reposent sur une obligation légale ou une mission d'intérêt public. Le droit à l'effacement ne s'applique pas aux données strictement nécessaires au service public éducatif. » Réaction « On va être submergés de demandes. » Réponse possible « En pratique, les demandes restent rares — et la procédure (vérification d'identité, transmission au référent, masquage des tiers) protège l'établissement. Une demande bien gérée renforce la confiance, elle ne la dégrade pas. » Astuces d'animation - Faire la distinction au tableau entre données objectives (notes, absences) communicables et documents préparatoires (notes personnelles) qui peuvent ne pas l'être. - Insister sur le réflexe « masquer les tiers » avant transmission. - Rejouer le scénario en groupes : un parent qui demande tout. Indicateurs de réussite - Savoir à qui transmettre une demande de droit. - Distinguer données communicables et notes personnelles. - Connaître le réflexe de vérification d'identité et de masquage des tiers. ============================================================================== ## Peut-on utiliser librement l’image et la voix d’une personne ? (Chapitre 6) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-6 ============================================================================== **Encadré pratique** — Support : Diapositives 58 à 68 · Durée : 30 à 45 minutes « Parmi les données personnelles, une revient souvent dans la vie scolaire : l’image et la voix des élèves. Une photo, une vidéo de spectacle, un enregistrement audio — ça ne peut pas se diffuser librement. » ### L’essentiel L’intention — pourquoi ce module ? Clarifier le cadre légal pour éviter les dérives. Photos de classe, vidéos de spectacles, projets filmés, sorties scolaires… les occasions de capter l’image ou la voix d’un élève sont nombreuses. Ce chapitre rappelle que l’image et la voix ne sont pas libres de droit, surtout pour des mineurs. Distinguer usage interne et diffusion publique. L’objectif est de faire comprendre la frontière entre un usage pédagogique en classe et une publication sur un site, un blog ou un réseau social. L’essentiel à transmettre ### Le droit à l’image et à la voix L’image et la voix sont des données personnelles dès lors qu’une personne y est identifiable. Elles sont rattachées à la vie privée : toute captation et diffusion doit respecter les règles de protection des données. ### Usage interne ou usage externe ? Usage interne — tolérance encadrée : Photo collée dans un cahier de vie, affichée en classe. La prudence reste de mise, mais la contrainte est moindre. Usage externe — autorisation écrite obligatoire : Site de l’école, blog ENT, journal scolaire, réseaux sociaux : une autorisation écrite, précise et préalable est indispensable. ### Les règles spécifiques de la DGEE - ENT en priorité pour partager des photos avec les familles. - Réseaux sociaux : uniquement sur les comptes officiels de l’établissement. Diffuser des images d’élèves via un compte personnel d’enseignant est strictement interdit : . - Formulaires officiels DGEE à utiliser systématiquement en début d’année. ### La gestion du consentement L’autorisation parentale n’est pas illimitée : elle doit préciser les supports, la durée et le contexte. Les parents peuvent la retirer à tout moment — l’établissement doit alors supprimer les images concernées dans les meilleurs délais. ### L’activité L’action — analyse de situations de terrain Cas pratiques (diapositive 67) : deux situations fréquentes pour faire émerger les différences. Situation 1 — L’événement public Le cross scolaire se déroule au parc Vairai. Des photos sont prises et diffusées. Point clé : le lieu public ne supprime pas le droit à l’image. Pour un élève isolé ou mis en avant, l’autorisation est requise. Pour un plan large de foule où personne n’est individualisé, la contrainte est moindre — mais on peut annoncer en début d’événement le périmètre photographié. Situation 2 — Le reportage télévisé Une chaîne souhaite filmer la rentrée. Le chef d’établissement autorise l’entrée des journalistes — cela ne dispense pas de gérer le droit à l’image. Il faut prévenir les familles, identifier les élèves qui ne doivent pas être filmés et s’assurer que les équipes de tournage respectent ces consignes. ### Points d’analyse communs - Lieu public ≠ absence de droit à l’image pour les mineurs. - L’autorisation orale n’a pas de valeur juridique — seul le formulaire écrit DGEE fait foi. - Si un parent retire son consentement, les images en ligne doivent être retirées ou floutées (cf. Annexe 2, procédure ENT One). Clé de sortie Internet n’oublie rien. Avant de publier, posez-vous toujours deux questions : cette diffusion est-elle vraiment nécessaire ? Ai-je l’accord écrit des deux parents ? En cas de doute, on s’abstient. Visuel 7 — Les 4 filtres de l’image · Captation · Consentement · Contenu · Canal ### Aide à l’animation Questions d’accroche - « Une photo de classe sur le site de l’école : autorisation écrite ou pas ? » - « Quelle différence entre afficher la photo dans la classe et la publier sur Facebook ? » - « Si un parent change d’avis dans deux ans, que se passe-t-il ? » Réactions fréquentes & réponses Réaction « Une photo de classe, ça ne dérange personne. » Réponse possible « Internet n’oublie rien. Une photo publiée aujourd’hui peut suivre un élève dix ans plus tard. La règle d’or, c’est la sobrieté : avant de publier, demandez-vous si c’est nécessaire et si vous avez l’accord écrit. » Réaction « L’événement est dans un lieu public, donc je peux. » Réponse possible « Le lieu public ne supprime pas le droit à l’image. Pour un plan large de foule, la contrainte est moindre. Pour un élève isolé ou mis en avant, l’autorisation reste requise. » Réaction « Les parents sont d’accord, on me l’a dit oralement. » Réponse possible « Sans formulaire écrit DGEE — supports précisés, durée, contexte — vous n’avez pas de preuve. Le droit à l’image se gère sur papier, pas sur parole. » Astuces d’animation - Utiliser les deux situations du support (cross scolaire / reportage TV) pour faire émerger les différences. - Présenter physiquement le formulaire d’autorisation DGEE aux participants. - Aborder la procédure de retrait : l’établissement doit pouvoir réagir, ENT compris (cf. Annexe 2). Indicateurs de réussite - Distinguer usage interne et usage externe. - Savoir que les comptes personnels d’enseignants ne diffusent jamais d’images d’élèves. - Connaître l’existence des formulaires DGEE et la possibilité de retrait. ============================================================================== ## Comment protéger les données contre les risques ? (Chapitre 7) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-7 ============================================================================== **Encadré pratique** — Support : Diapositives 69 à 79 · Durée : 30 à 45 minutes « Un ordinateur non verrouillé ou un mot de passe trop simple peuvent suffire à exposer des données sensibles. La sécurité, c’est d’abord une affaire de comportements. » ### L’essentiel L’intention — pourquoi ce module ? Démontrer que la sécurité est avant tout humaine. Les pares-feux et les antivirus ne servent à rien si la session reste ouverte ou si le mot de passe est le prénom du chien. Ce chapitre responsabilise chaque agent en montrant que les gestes quotidiens comptent. Transmettre les réflexes d’hygiène numérique pour garantir l’intégrité et la confidentialité des données scolaires. L’essentiel à transmettre ### Les trois piliers de la sécurité Confidentialité : Seules les personnes autorisées ont accès aux données. Intégrité : Les données ne sont pas altérées ou modifiées sans autorisation. Disponibilité : Les données sont accessibles quand on en a besoin. ### La gestion des mots de passe Le mot de passe est la première ligne de défense. Pour être robuste : - Au moins douze caractères : , mieux encore seize. - Mélange de majuscules, minuscules, chiffres et symboles. - Aucune information personnelle devinable (date de naissance, prénom). - Unique par service : un mot de passe partagé entre plusieurs comptes propage une compromission à tous. - Double authentification activée dès que possible. ### La charte informatique Document à la fois pédagogique, juridique et protecteur. Elle définit les droits et devoirs de chaque utilisateur — élèves, parents, enseignants, personnels administratifs — et sécurise les équipements et les usages. ### Les outils institutionnels vs grand public - ONDE, SIECLE, LSU : bases centralisées et sécurisées. - Alternatives validées : Tchap (messagerie), Nuage (fichiers), Portail Tubes (vidéo), FileSender (gros fichiers), Visio-Agents (visioconférence). ### Le mythe de la conformité logicielle Un logiciel affiché « conforme RGPD » ne vous exonère de rien. Le règlement s’applique à votre établissement, pas à l’outil. C’est l’usage qui détermine la légalité du traitement. ### L’activité L’action — atelier mot de passe sécurisé Activité pratique (diapositive 73) : apprendre à construire un mot de passe mémorisable et robuste. Consigne d’animation - Inviter les participants à créer un mot de passe d’au moins seize caractères : . - Intégrer une majuscule, un symbole et un chiffre. - Proposer la méthode mnémotechnique : première lettre de chaque mot d’une phrase connue. - Autre méthode : assembler trois ou quatre mots sans lien logique. ### La gestion au quotidien - Un gestionnaire de mots de passe est la solution la plus sûre. - À défaut : support physique conservé en lieu sûr — jamais un post-it collé à l’écran : . - Verrouiller sa session dès qu’on quitte son poste, même cinq minutes. Clé de sortie La sécurité est une chaîne dont l’utilisateur est souvent le maillon faible. Utiliser les outils validés par l’institution plutôt que des solutions externes non maîtrisées, c’est protéger les données des élèves et se protéger soi-même professionnellement. Visuel 8 — Triangle de la sécurité · Confidentialité · Intégrité · Disponibilité + check-list mot de passe ### Aide à l’animation Questions d’accroche - « Combien de caractères a votre mot de passe principal ? Quand l’avez-vous changé pour la dernière fois ? » - « Verrouillez-vous votre session quand vous quittez votre poste, même cinq minutes ? » - « Où sont stockés vos fichiers d’évaluation : dans l’ENT, sur l’ordinateur, sur une clé USB, sur Google Drive ? » Réactions fréquentes & réponses Réaction « La sécurité, c’est le travail de la DSI, pas le mien. » Réponse possible « La sécurité est une chaîne. Les outils sont sécurisés par la DSI ; mais le mot de passe, le verrouillage de session, le choix de l’outil — c’est vous. La chaîne casse au maillon le plus faible. » Réaction « Mon mot de passe est facile à retenir, c’est pratique. » Réponse possible « Un mot de passe court ou personnel se craque en quelques secondes. La technique de la phrase de passe — première lettre de chaque mot d’une phrase connue — donne un mot de passe long et mémorisable. » Réaction « Cette appli est marquée conforme RGPD, donc c’est sûr. » Réponse possible « Le RGPD s’applique à votre établissement, pas au logiciel. « Conforme RGPD » sur la plaquette ne dispense pas de vérifier les fonctionnalités, l’hébergement et le contrat de sous-traitance. » Astuces d’animation - Faire fabriquer un mot de passe robuste en direct (méthode mnémotechnique). - Comparer côte à côte : outil grand public vs alternative institutionnelle. - Aborder concrètement les pratiques à risque : post-it, mot de passe partagé, session non verrouillée. Indicateurs de réussite - Savoir fabriquer un mot de passe robuste de douze caractères minimum. - Citer les trois piliers : confidentialité, intégrité, disponibilité. - Savoir que la mention « conforme RGPD » d’une appli ne les exonère pas. ============================================================================== ## Que faire en cas de violation de données ? (Chapitre 8) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-8 ============================================================================== **Encadré pratique** — Support : Diapositives 80 à 85 · Durée : 30 à 45 minutes « L’important est de savoir réagir vite, prévenir les bonnes personnes et limiter les conséquences pour les élèves et leurs familles. » ### L’essentiel L’intention — pourquoi ce module ? Dédramatiser pour favoriser la réaction. Le risque zéro n’existe pas. Ce chapitre vise à lever la peur du signalement : une erreur avouée rapidement peut presque toujours être corrigée. Une dissimulation, elle, transforme un incident mineur en incident majeur — surtout quand des données de mineurs sont exposées. Préparer les équipes à gérer une crise, qu’elle soit due à une erreur humaine ou à une cyberattaque. L’essentiel à transmettre ### Incident ou violation : quelle différence ? Un incident de sécurité compromet la disponibilité, l’intégrité ou la confidentialité d’un système — perte d’équipement, panne. Une violation de données est un incident qui porte sur des données personnelles. En milieu scolaire : vol de matériel, courriel envoyé au mauvais destinataire, vol d’identifiants. ### La procédure en cinq étapes 1 — Détecter et signaler en interne : Tout incident est immédiatement remonté à la direction et au référent RGPD. 2 — Remonter au référent RGPD de la DGEE : Pour mise à jour du registre des violations. 3 — Notifier le DPO : Transmettre toutes les informations disponibles. 4 — Qualifier l’incident : Évaluer la gravité des risques pour les personnes concernées. 5 — CNIL et personnes concernées si risque élevé : Notification à la CNIL dans les 72 heures ; information des personnes concernées. ### L’activité L’action — analyse de scénarios de violations Trois situations concrètes à étudier en groupes (support, diapositives 80–85). Scénario 1 — L’erreur de destinataire Un enseignant envoie par inadvertance le relevé de notes de toute la classe à un parent portant le même nom qu’un collègue. Analyse : divulgation non autorisée. Action immédiate : contacter le destinataire pour qu’il supprime le message sans le lire, puis signaler l’incident. Scénario 2 — La perte de documents papier Un cahier contenant coordonnées et remarques confidentielles (difficultés scolaires, santé) est perdu puis retrouvé dans un couloir accessible à tous. Analyse : même sur papier, c’est une violation. Le risque d’atteinte à la vie privée des familles est réel. Scénario 3 — Le piratage d’un compte personnel Un enseignant utilisait Gmail et Google Drive pour stocker des données d’élèves. Son compte est piraté. Analyse : l’institution a perdu toute maîtrise des données et ne peut pas intervenir techniquement. Violation critique — notification immédiate. ### Méthode de réaction à retenir - Endiguer : stopper la fuite immédiatement (changer les droits d’accès). - Qualifier : évaluer la gravité (données sensibles ou non ?). - Notifier : informer la hiérarchie et les personnes concernées. Clé de sortie En cas de doute sur un incident, il faut toujours alerter. La rapidité de la réaction est le facteur déterminant pour contenir les impacts. Cacher une erreur est la pire des stratégies — elle empêche l’institution de protéger les élèves et l’agent concerné. Visuel 9 — Plan d’urgence en 5 étapes · Détecter · Signaler · Remonter · Notifier DPO · CNIL si grave — bandeau 72 h ### Aide à l’animation Questions d’accroche - « Avez-vous déjà envoyé un courriel au mauvais destinataire ? » - « Que feriez-vous si vous perdiez aujourd’hui un cahier contenant les coordonnées de toutes les familles ? » - « Combien de temps a-t-on, légalement, pour signaler une violation à la CNIL ? » Réactions fréquentes & réponses Réaction « J’ai peur d’être sanctionné si je signale une erreur. » Réponse possible « Une erreur signalée rapidement est presque toujours réparable. C’est la dissimulation qui transforme un incident mineur en incident grave. Le DPO et le référent sont là pour accompagner, pas pour sanctionner. » Réaction « C’était juste une petite erreur, pas une violation. » Réponse possible « Dès que des données personnelles sont exposées, c’est une violation. Même un cahier perdu, même un courriel mal adressé. La gravité s’évalue ensuite — mais le signalement, lui, est immédiat. » Réaction « Ça s’est passé il y a un mois, c’est trop tard. » Réponse possible « La règle des 72 h vise la notification à la CNIL pour les cas graves ; mais le signalement interne, lui, n’a pas de date de péremption. Il vaut toujours mieux signaler tard que jamais. » Procédure pas-à-pas à afficher - Détecter → Signaler en interne → Remonter au référent DGEE → Notifier le DPO → Qualifier (et CNIL si grave). - Insister sur le caractère professionnel du signalement : alerter n’est pas dénoncer, c’est protéger. Astuces d’animation - Faire jouer chacun des trois scénarios en groupes (erreur de destinataire, perte papier, piratage compte personnel). - Afficher la procédure 5 étapes en pas-à-pas bien visible. - Valoriser la posture : alerter rapidement protège à la fois les élèves et l’agent. Indicateurs de réussite - Distinguer incident de sécurité et violation de données. - Connaître la procédure de signalement en cinq étapes. - Savoir que dissimuler aggrave le risque pour eux comme pour l’institution. ============================================================================== ## Quels problèmes l’IA pose-t-elle pour nos données ? (Chapitre 9) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-9 ============================================================================== **Encadré pratique** — Support : Diapositives 86 à 94 · Durée : 45 à 60 minutes « L’IA s’invite de plus en plus dans le monde éducatif : outils de correction, plateformes d’apprentissage, assistants pédagogiques. Mais ces technologies reposent souvent sur l’analyse de données personnelles, ce qui pose de nouvelles questions éthiques et juridiques. » ### L’essentiel L’intention — pourquoi ce module ? Éclairer les zones d’ombre de l’IA. L’intelligence artificielle est déjà présente dans les classes — outils de devoirs, assistants de préparation de cours. L’objectif est de dépasser fascination ou peur pour adopter une posture professionnelle lucide : comprendre où vont les données lorsqu’on utilise une IA générative. Donner des clés concrètes. Identifier les risques spécifiques pour la confidentialité des élèves et repartir avec les réflexes pour utiliser ces outils sans compromettre la sécurité des données. L’essentiel à transmettre ### Définition et typologie L’IA désigne tout service numérique fondé sur des algorithmes probabilistes capables de traiter de vastes ensembles de données pour produire des résultats comparables à une activité cognitive humaine. À distinguer : - IA prédictive — classification, anticipation (recommandations, détection d’anomalies). - IA générative — production de contenus : textes, images, sons (ChatGPT, Mistral…). ### Le parcours de la donnée dans l’IA Les invites (prompts) : Tout ce que l’utilisateur écrit pour interroger l’IA est traité et potentiellement conservé. Les journaux (logs) : Les interactions sont enregistrées et peuvent contenir des fragments de données personnelles. L’hébergement tiers : La plupart des services sont hébergés sur des serveurs à l’étranger — la question du transfert de données hors UE se pose immédiatement. La conservation : Chaque outil a sa propre politique de rétention : à vérifier avant tout usage. ### Les trois risques majeurs en milieu scolaire Perte de confidentialité : Si des données personnelles sont injectées sans anonymisation, elles peuvent être exposées ou servir à l’entraînement du modèle. Biais algorithmiques : L’IA reproduit et amplifie les préjugés présents dans ses données d’entraînement, conduisant à des discriminations. Exemple documenté : le système de recrutement d’Amazon défavorisait les femmes. Manque de transparence — l’effet « boîte noire » : Il est difficile de justifier une décision prise ou assistée par une IA, ce qui pose un problème éthique et juridique majeur. ### Les bonnes pratiques - Ne jamais saisir de données personnelles ou confidentielles dans un outil grand public. - Ne pas demander aux élèves de créer un compte sur ces services. - Signaler l’usage de l’IA (transparence) et toujours vérifier les réponses avec un esprit critique. - Privilégier l’humain dans la boucle : l’enseignant garde la décision finale. ### L’activité L’action — ébaucher une Charte IA Activité collective : définir ensemble des lignes directrices pour l’établissement. Déroulé proposé Discussion en groupe (20 minutes) autour de quatre axes — chaque groupe propose des règles concrètes : - Protection — privilégier les données anonymisées, interdire les données personnelles dans l’IA. - Transparence — expliquer aux élèves et aux parents comment et pourquoi l’IA est utilisée. - Éthique — garantir que l’enseignant garde la décision finale ; surveiller les biais. - Formation — sensibiliser les élèves aux risques et aux bonnes pratiques. Clé de sortie L’IA est puissante mais gourmande en données. Le droit à l’oubli est techniquement très complexe une fois que la donnée a servi à l’entraînement d’un modèle. La meilleure protection reste la minimisation à la source : on ne nourrit pas l’IA avec les données des élèves. Visuel 10 — L’itinéraire de la donnée dans l’IA · Prompt · Logs · Hébergement · Conservation ### Aide à l’animation Questions d’accroche - « Avez-vous déjà utilisé ChatGPT, Mistral ou un autre assistant pour préparer une séance ? » - « Quand vous écrivez une requête, où vont les mots que vous tapez ? » - « Demanderiez-vous à un élève de créer un compte sur ces services ? » Questions pour le débat - « L’IA peut-elle se tromper sans qu’on s’en aperçoive ? » - « Doit-on dire aux parents qu’on utilise l’IA pour préparer les cours ? » - « Que ferait-on si une IA discriminait certains élèves dans ses corrections ? » Réactions fréquentes & réponses Réaction « Je colle juste les noms d’élèves dans le prompt pour gagner du temps. » Réponse possible « Tout ce qui est saisi dans une IA grand public peut être stocké, voire utilisé à l’entraînement du modèle. Une fois la donnée injectée, le droit à l’effacement devient techniquement très difficile. La règle absolue : on ne nourrit pas l’IA avec les données des élèves. » Réaction « ChatGPT, c’est gratuit, c’est sans risque. » Réponse possible « Gratuit signifie souvent que c’est l’utilisateur — vous, vos élèves — qui paye en données. L’hébergement est tiers, hors UE, et la politique de rétention varie. Préférez les outils validés par l’institution. » Réaction « C’est l’avenir, pas la peine de freiner. » Réponse possible « Personne ne propose de freiner — on propose de cadrer. Une charte IA d’établissement, le principe de l’humain dans la boucle, la transparence vis-à-vis des élèves : ce sont les conditions pour que l’IA soit utile sans être dangereuse. » Astuces d’animation - Distinguer clairement IA prédictive (recommandation, classement) et IA générative (texte, image). - Faire émerger collectivement les quatre axes de la charte : protection, transparence, éthique, formation. - Citer le cas de biais documenté (Amazon, recrutement) pour rendre tangible la notion. Indicateurs de réussite - Savoir qu’on ne saisit jamais de données personnelles dans une IA grand public. - Identifier les trois risques majeurs : confidentialité, biais, opacité. - Repartir avec au moins deux règles de la charte IA pour l’établissement. ============================================================================== ## Étude de cas « d’école » ! (Chapitre 10) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#chapitre-10 ============================================================================== **Encadré pratique** — Support : Diapositives 95 à 97 · Durée : 45 minutes « À travers une situation réaliste inspirée du quotidien scolaire, nous allons voir comment appliquer concrètement les principes du RGPD. L’objectif est de repérer les bons réflexes, d’éviter les erreurs fréquentes et de repartir avec des clés pratiques. » ### L’essentiel L’intention — pourquoi ce module ? Mobiliser l’ensemble des acquis. Après la théorie, ce chapitre final ancre les savoirs dans le réel. Il ne vise pas à apporter de nouvelles connaissances, mais à convoquer acteurs, droits, sécurité et gestion de crise pour résoudre une situation complexe. Dédramatiser l’erreur. Prouver aux participants qu’ils sont désormais capables d’analyser une situation à risque et de réagir de façon proportionnée et conforme — avant le retour en classe. L’essentiel à transmettre Ce module de synthèse repose sur l’analyse d’un scénario « catastrophe ». Il met en lumière trois problématiques simultanées à distinguer : Droit à l’image : Communication institutionnelle (site de l’école = autorisation requise) vs droit à l’information (journaliste = régime dérogatoire). Sécurité des données : Usage d’outils non institutionnels — tableur personnel partagé sans contrôle d’accès. Violation de données : La divulgation publique de coordonnées parentales constitue un incident majeur nécessitant une réaction immédiate. ### La méthodologie de réaction Endiguer : Stopper la fuite immédiatement — changer les droits d’accès. Qualifier : Évaluer la gravité — les données exposées sont-elles sensibles ? Notifier : Informer la hiérarchie et les personnes concernées par transparence. ### L’activité L’action — jeu de rôle « La Journée Portes Ouvertes » Le scénario (diapositive 96) présente une crise lors d’un événement scolaire : une vidéo d’élèves, des photos de presse, et un fichier Excel des parents laissé en accès public. Déroulé proposé Répartir les participants en trois groupes aux intérêts divergents : - Les enseignants organisateurs — focus sur la réussite de l’événement et la communication. - Les parents d’élèves — focus sur l’inquiétude liée à la vie privée et à l’image de leurs enfants. - La direction — focus sur la responsabilité légale et la gestion de la crise. Chaque groupe répond à trois questions : Quelles données personnelles sont en jeu ? A-t-on le droit de diffuser la vidéo et les photos ? Que faire immédiatement pour le fichier en accès public ? ### Le transfert — 3 actions pour lundi (diapositive 97) - Cartographie — lister ses outils numériques et éliminer ceux qui ne sont pas validés. - Minimisation — relire ses formulaires et supprimer les questions inutiles. - Sécurité — changer son mot de passe pour une phrase de passe robuste. Clé de sortie La conformité n’est pas une charge solitaire. En cas de doute ou d’incident, le premier réflexe n’est pas de cacher, mais d’alerter. Les référents numériques et le DPO sont là pour accompagner et protéger les équipes — pas pour sanctionner l’erreur signalée honnêtement. Visuel 11 — 3 gestes de crise + 3 actions pour lundi · réagir · agir ### Aide à l’animation Questions d’accroche - « Si un incident de données arrivait demain dans votre établissement, par où commenceriez-vous ? » - « Quelle est la première chose à faire face à une fuite : signaler, corriger, ou prévenir les familles ? » - « Quels sont vos trois réflexes pour la rentrée prochaine ? » Questions pour le débat - « Qui doit-on prévenir en premier : la direction, le DPO, les familles ? » - « Une crise se gère-t-elle mieux en groupe ou en chaîne hiérarchique ? » - « Quelle communication aux parents en cas d’incident grave ? » Réactions fréquentes & réponses Réaction « Il y a trop de choses à appliquer en même temps. » Réponse possible « Personne ne demande la perfection. La méthode tient en trois gestes : endiguer (stopper la fuite), qualifier (évaluer la gravité), notifier (alerter la hiérarchie). Le reste se construit dans la durée. » Réaction « En vrai, on a le temps de réagir. » Réponse possible « Une fuite non endiguée se propage à chaque minute. Cinq minutes pour changer un droit d’accès peuvent éviter mille données diffusées. Le réflexe d’urgence n’est pas négociable. » Réaction « Je vais oublier une fois rentré en classe. » Réponse possible « C’est précisément pourquoi le module se termine par trois actions concrètes pour lundi : cartographier ses outils, relire ses formulaires, changer son mot de passe. Trois gestes, pas dix. » Astuces d’animation - Faire jouer les trois rôles du scénario « Journée Portes Ouvertes » jusqu’à la confrontation des points de vue. - Conclure systématiquement par les trois actions concrètes pour lundi (cartographie, minimisation, sécurité). - Valoriser la posture : alerter n’est pas dénoncer, c’est protéger. Indicateurs de réussite - Identifier simultanément les trois problématiques (image, sécurité, violation) dans un cas concret. - Appliquer la méthode endiguer/qualifier/notifier. - Repartir avec trois actions concrètes prêtes à être mises en œuvre dès le retour en établissement. ============================================================================== ## Guide pédagogique et gestes du formateur (Annexe 1) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#annexe-1 ============================================================================== ### Passerelles pédagogiques Source et contexte Cette annexe s'inspire du « Guide pratique d'accompagnement pour mettre en œuvre et animer un projet participatif en Guyane » édité par l'association GRAINE Guyane (septembre 2017). Ce document pose des bases solides sur la participation active — très utiles pour engager des adultes sur un sujet réglementaire comme le RGPD. Sa lecture est facultative : c'est une ressource complémentaire pour les formateurs qui souhaitent approfondir leurs techniques d'animation. Partie A — Les passerelles pédagogiques Ce tableau fait le lien entre les séquences de la formation RGPD et les outils du guide GRAINE Guyane. Chapitre 1 — Le Débat : « Protection des données vs innovation pédagogique » → Outil n°6 : Le Débat Mouvant. Rompre la glace et impliquer : les participants se positionnent physiquement, ce qui légitime la parole de chacun avant d'apporter la théorie. Chapitres 3, 8 & 10 — Études de cas : Acteurs, violation de données, scénarios → Outil n°12 : Le Focus Group. Confronter les pratiques en petits groupes dédramatise l'erreur et capitalise sur l'expérience des pairs. Chapitre 9 — La Charte IA : Définir les règles d'usage de l'IA en classe → Outil n°14 : Le Brainstorming (ou Outil n°15 : Métaplan). Pour qu'une charte soit respectée, elle doit être co-construite : post-it ou tableau blanc, toutes les idées sans censure, puis structuration collective. Chapitre 10 — Étude de cas : « Que faire demain ? » → Outil n°23 : Le QQQOCP. Transformer les acquis théoriques en plan d'action concret pour le retour en établissement. ### Les 4 gestes Partie B — Les 4 gestes du formateur Former des adultes sur un sujet réglementaire demande une posture spécifique (andragogie). Voici les quatre gestes clés à adopter. Geste n°1 — Faire émerger les représentations Quand ? En début de module (chapitres 1 & 2) ou à l'introduction d'un nouveau concept. Ce qu'on fait : Ne donnez pas la définition tout de suite — interrogez d'abord le vécu (« Pour vous, c'est quoi une donnée sensible ? »). Accueillez les idées reçues sans juger. L'effet recherché : L'adulte a besoin que son expérience soit reconnue. En exprimant ses croyances, il se rend disponible pour écouter la correction. C'est le « conflit socio-cognitif » qui déconstruit les mythes (ex : « Je croyais qu'on n'avait droit à rien »). Geste n°2 — Ancrer le savoir dans le réel Quand ? Lors des cas pratiques (chapitres 3, 6, 8). Ce qu'on fait : Refusez le jargon abstrait. Si vous parlez de « minimisation des données », illustrez immédiatement : « A-t-on besoin de la profession des parents pour inscrire un élève à la cantine ? » Utilisez les formulaires DGEE et l'ENT. L'effet recherché : L'adulte apprend s'il perçoit une utilité immédiate. Il passe d'élève passif à professionnel en résolution de problème — et se projette dans sa classe du lendemain. Geste n°3 — Coconstruire la règle Quand ? Lors de l'élaboration de procédures ou de la charte (chapitre 9). Ce qu'on fait : Adoptez une posture de facilitateur : noter, organiser au tableau, reformuler pour un consensus, et laisser le groupe valider la règle finale. L'effet recherché : On respecte mieux une règle que l'on a contribué à écrire. L'apprenant se sent auteur — et donc responsable de la mise en œuvre. Geste n°4 — Sécuriser et valider Quand ? Lors des quiz (chapitre 4) et des synthèses (fiches réflexes). Ce qu'on fait : Le RGPD peut faire peur. Dédramatisez l'erreur lors des quiz (« Se tromper ici permet de ne pas se tromper demain »). Concluez chaque séquence par une synthèse claire et « prête à l'emploi ». L'effet recherché : Le sentiment de compétence personnelle. L'apprenant repart avec la certitude qu'il peut appliquer le RGPD sans se mettre en danger — et se sent légitime pour devenir un relais dans son établissement. À retenir - Faire émerger avant d'enseigner : l'expérience de l'adulte est le point de départ. - Illustrer avec du concret scolaire polynésien à chaque concept abstrait. - Faciliter, pas dicter : la règle co-construite sera mieux appliquée. - Rassurer et valoriser : repartir avec le sentiment d'être capable, c'est l'objectif. ============================================================================== ## Guide pratique : gestion du droit à l’image (Annexe 2) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#annexe-2 ============================================================================== ### Autorisation cadre annuel Partie A — L'autorisation « cadre annuel » Beaucoup d'enseignants craignent de devoir faire signer un papier à chaque prise de vue. C'est faux, à condition de bien définir le cadre dès le début de l'année. Le formulaire DGEE permet de définir un « Projet » global — il est juridiquement valable de le formuler ainsi : « La vie de l'école et les activités pédagogiques de l'année scolaire en cours ». Une signature en août/septembre vaut pour toute l'année si le formulaire est correctement rempli. Comment remplir les champs clés ### Rubrique « Finalités envisagées » Soyez précis sans être réducteur, pour englober toutes les dimensions de la vie scolaire. Exemple de mention type « Valorisation des travaux des élèves, illustration des activités pédagogiques (sorties, événements sportifs, projets artistiques), journal de classe et mémoire de la vie scolaire. » ### Rubrique « Désignation du projet » - Projet : « Projets pédagogiques et vie de l'établissement [Nom] / Année scolaire ». - Dates : « Durant toute l'année scolaire en cours. » - Lieux : « Enceinte de l'établissement et lieux extérieurs lors des sorties scolaires autorisées. » ### Rubrique « Modes d'exploitation » Anticipez les supports pour ne pas être bloqué en cours d'année. - En ligne : « Site web de l'école ou de l'établissement, blog ENT sécurisé, etc. » - Projection / Papier : « Journal de l'établissement, affichage classe, réunions de parents. » - Durée : « Année scolaire », « Durée de la scolarité de l'élève » ou « 5 ans (archives) ». Point de vigilance Ne pas oublier de joindre la « Notice d'information en Reo Tahiti » (disponible sur le site du PAPN) pour faciliter la compréhension et l'adhésion des familles. ### Cycle de vie Partie B — Gestion administrative et cycle de vie Une fois le formulaire rempli et signé, le RGPD impose de garantir la disponibilité et la traçabilité des consentements. 1. Classement et accès L'original — preuve juridique : Les formulaires signés sont centralisés à la direction, classés dans une armoire fermée à clé. La copie de travail — pour l'enseignant : Pas besoin de feuilles volantes : un tableau récapitulatif suffit (colonnes : Photo OUI/NON, Diffusion site web OUI/NON). 2. Gestion du droit de retrait Le consentement peut être retiré à tout moment. Procédure à suivre : - Demander un écrit (mail ou mot dans le carnet) daté et signé. - Mettre à jour le tableau récapitulatif de la classe. - Joindre la demande de retrait au formulaire original. Conséquence : l'élève ne doit plus figurer sur les nouvelles publications. Pour les publications numériques déjà en ligne, procéder au floutage. Pour les publications papier déjà diffusées (journal papier) : aucune action n'est requise. 3. Gestion technique sur l'ENT « One » (Édifice) ### Retrouver une photo (Traçabilité) Si un parent demande la suppression des photos de son enfant, comment les localiser dans le blog ENT ? Bonne pratique : dans chaque article de blog, notez les prénoms des élèves présents en bas de page. Utilisez ensuite la loupe de recherche du blog et tapez le prénom — les articles concernés apparaissent immédiatement. ### Masquer un élève après publication (Floutage) Pas besoin de supprimer tout un article si un seul élève ne doit plus être reconnaissable. Procédure sur l'ENT One : - Ouvrir l'application Espace Documentaire (Documents). - Retrouver la photo originale concernée. - Cliquer sur l'image, puis sélectionner « Retoucher ». - Utiliser l'outil goutte d'eau pour flouter le visage. - Cliquer sur « Enregistrer ». Résultat L'image est automatiquement mise à jour et floutée sur le blog et partout où elle était affichée. Si l'éditeur d'image n'est pas disponible sur votre version d'ENT : téléchargez la photo, floutez-la sur votre ordinateur, et remplacez l'image dans l'article. ============================================================================== ## Fiche process : analyser le droit à l’image (Annexe 3) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#annexe-3 ============================================================================== ### Filtre 1 — Captation Filtre 1 — La Captation (Le Besoin) La question centrale : ai-je vraiment besoin de filmer ou de photographier ? ### Questions à se poser - Objectif pédagogique : est-ce pour valoriser le travail, garder une trace, ou juste « faire joli » ? - Identification : les visages sont-ils vraiment nécessaires ? Si je photographie une activité de sport, des mains ou des dos suffisent-ils ? Si je filme une pièce de théâtre, les visages sont indispensables. Verdict — Je peux éviter les visages : Je change mon cadrage → Problème résolu. Verdict — Les visages sont nécessaires : Je passe au Filtre 2. ### Filtre 2 — Consentement Filtre 2 — Le Consentement (Le Papier) La question centrale : ai-je l'autorisation juridique pour ces élèves-là ? ### Action Ouvrir le classeur des autorisations (formulaires DGEE de début d'année) et vérifier : - Validité : le formulaire est-il signé pour l'année en cours ? - Signature : a-t-on la signature des deux responsables légaux (sauf cas particuliers) ? - Refus : y a-t-il des élèves « Non-autorisés » dans le groupe ? La gestion des refus — Le « Plan B » - Identifier les élèves sans autorisation. - Ne pas les exclure de l'activité ! Les placer hors champ, de dos, ou leur donner un rôle « derrière la caméra » (régisseur, photographe). ### Filtre 3 — Contenu Filtre 3 — Le Contenu (La Dignité) La question centrale : l'image est-elle respectueuse ? ### Analyse de l'image avant diffusion - Situation : l'élève est-il à son avantage ? Éviter : bouche ouverte à la cantine, situation d'échec au tableau, tenue débraillée. - Contexte : l'image peut-elle être détournée ou moquée ? - Sécurité : voit-on des éléments sensibles (nom de famille sur un cahier, code d'accès au mur) ? Verdict — Au moindre doute sur l'image : Je supprime. Pas de demi-mesure. ### Filtre 4 — Canal Filtre 4 — Le Canal (La Diffusion) La question centrale : où va finir cette image ? C'est souvent là que ça coince. Comparer avec ce que les parents ont coché sur le formulaire. Site web de l'école / Blog : Autorisé si la case « Internet/Site Web » est cochée. Risque : modéré. ENT (accès restreint) : Recommandé — c'est l'espace le plus sûr. Risque : faible. Facebook / Réseaux sociaux : Vigilance absolue. Il faut que la case « Réseaux Sociaux » soit spécifiquement cochée. Risque : élevé. WhatsApp personnel aux parents : INTERDIT. Shadow IT, transfert hors UE. Risque : critique. À retenir — Les 4 filtres en séquence - Captation : ai-je vraiment besoin des visages ? - Consentement : ai-je le papier signé pour ces élèves-là ? - Contenu : l'image est-elle digne et sans données cachées ? - Canal : le support envisagé correspond-il à ce que les parents ont autorisé ? Visuel 13 — L’arbre de décision du droit à l’image · Si… alors… sinon : les 4 filtres en un coup d’œil ============================================================================== ## Fiche process : l’itinéraire de la donnée (Annexe 4) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#annexe-4 ============================================================================== ### Les 3 étapes Le concept Ne regardez pas l'application, regardez la donnée ! Imaginez que la donnée personnelle (une photo, un nom, une voix) est un passager. Vous êtes le conducteur. Êtes-vous capable de maîtriser son voyage du début à la fin ? Étape 1 — L'Embarquement (La Saisie) La donnée est créée ou collectée. Qu'est-ce que je fais monter dans le véhicule ? - Identifier le passager : de quoi s'agit-il exactement ? (Photo ? Voix ? Note ? Nom de famille ?) - Vérifier le billet (minimisation) : est-ce vraiment utile pour mon objectif pédagogique ? - Le point de départ : qui saisit la donnée ? (L'élève lui-même ? L'enseignant ? Les parents ?) Crash-test Si je collecte des données sensibles (santé, religion) ou inutiles, ou si je ne sais pas ce que l'appli récupère → Je ne me lance pas. Étape 2 — Le Voyage (Le Flux Technique) La donnée se déplace. Par où passe-t-elle physiquement ? - Les escales (terminaux et services) : passe-t-elle par mon drive personnel ? Un drive perso n’est pas un drive pro : risque de mélange vie pro/vie perso. Passe-t-elle par une tablette de classe ? Est-elle sécurisée et verrouillée ? - La destination finale (le stockage) : serveur de l'école (local) ? Nuage (cloud) ? Si cloud : Union européenne = OK (cadre RGPD) ; USA/monde = DANGER (lois extraterritoriales). Crash-test Si la donnée quitte l'Union européenne sans garanties contractuelles validées par la DGEE → Le voyage est interdit. Étape 3 — Le Pilotage (La Maîtrise des Droits) Une fois la donnée arrivée à destination, ai-je encore les clés du véhicule ? - Droit de rectification : si un parent demande de corriger une erreur demain matin, puis-je le faire immédiatement ? - Droit à l'effacement (le bouton rouge) : si je supprime la donnée sur mon ordinateur, est-elle vraiment détruite du serveur distant — ou reste-t-elle dans une corbeille cachée de l'éditeur ? - Portabilité/Réversibilité : si je change d'école, puis-je récupérer toutes mes données facilement ? Crash-test Si, une fois la photo mise en ligne, je ne peux pas garantir sa suppression définitive moi-même → J'ai perdu le contrôle (usage non conforme). Visuel 12 — L’itinéraire de la donnée · Embarquement · Voyage · Pilotage ### Le verdict Le verdict final À l'issue des trois étapes, deux situations seulement sont possibles. J'ai les clés — Feu vert (Usage maîtrisé) Je peux modifier, supprimer et récupérer les données à tout moment sur la plateforme hébergée en UE. La donnée est sous contrôle du début à la fin du voyage. J'ai perdu les clés — Feu rouge (Usage interdit) Je ne sais pas où sont stockées les données, ou je ne peux pas les supprimer définitivement. Le voyage est hors contrôle : cet usage n'est pas conforme. À retenir - Chaque outil numérique fait voyager des données : tracer l'itinéraire avant de démarrer. - Embarquement : minimiser ce qu'on collecte. - Voyage : rester dans l'UE ou exiger des garanties contractuelles. - Pilotage : conserver les clés — rectification, effacement, portabilité. - Sans les trois clés → usage interdit. ============================================================================== ## Glossaire RGPD & vie scolaire (Annexe 5) Lien : https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#annexe-5 ============================================================================== ### Glossaire Objectif Ce lexique permet de maîtriser le vocabulaire indispensable pour dialoguer avec l'administration, les parents d'élèves ou le Délégué à la Protection des Données (DPO). ### A AIPD (Analyse d'Impact relative à la Protection des Données) — Dossier obligatoire pour les projets présentant un risque élevé pour la vie privée (ex : biométrie, vidéosurveillance). À l'école : généralement gérée par la DGEE pour les grands outils comme l'ENT, mais peut concerner un établissement qui mettrait en place un dispositif de vidéosurveillance complexe. Anonymisation — Technique consistant à modifier les données de façon irréversible pour qu'il soit impossible de retrouver la personne. À l'école : des statistiques sur la réussite au brevet sans aucun nom ni identifiant sont anonymes. À ne pas confondre avec la pseudonymisation. Autorisation (droit à l'image) — Accord écrit permettant de fixer (captation) et de diffuser l'image d'une personne. Elle doit être précise sur l'usage (durée, support, contexte). À l'école : le formulaire signé par les parents en début d'année pour les photos de classe ou le blog. ### C CNIL (Commission Nationale de l'Informatique et des Libertés) — L'autorité française chargée de veiller au respect du RGPD. Elle a un pouvoir de sanction mais aussi d'accompagnement. Consentement — Accord libre, spécifique, éclairé et univoque. En clair : une case cochée ou une signature — le silence ne vaut pas accord. À l'école : un parent qui ne répond pas au formulaire photo n'a pas donné son consentement. C'est un « Non » par défaut. ### D DPO (Data Protection Officer / Délégué à la Protection des Données) — La personne chargée de conseiller et contrôler la conformité au RGPD au sein d'une structure. À l'école : votre interlocuteur privilégié est le DPO de la DGEE ou du ministère de l'Éducation. Donnée à caractère personnel — Toute information se rapportant à une personne physique identifiée ou identifiable. À l'école : un nom, une photo, un numéro INE, une voix dans un enregistrement audio, mais aussi un dessin signé par l'élève. Donnée sensible — Donnée révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, des données génétiques, biométriques ou de santé. Leur collecte est interdite sauf exceptions strictes (PAI). À l'école : il est interdit de fichier la religion des élèves pour la cantine — on notera plutôt « sans porc », qui est un choix alimentaire, pas une confession. Droits des personnes (Accès, Rectification, Opposition) — Le RGPD donne aux parents et élèves le pouvoir de demander à voir leurs données (Accès), à les corriger si elles sont fausses (Rectification) ou à refuser leur utilisation (Opposition). À l'école : un parent divorce et demande à changer l'adresse de contact : c'est un droit de rectification. ### E ENT (Espace Numérique de Travail) — Plateforme sécurisée offrant des services numériques (cahier de texte, blog, messagerie) aux élèves, parents et enseignants (ex : One / Édifice). C'est l'outil recommandé pour remplacer les réseaux sociaux grand public. ### F Finalité — L'objectif poursuivi par le traitement de données. On ne collecte pas des données « au cas où ». À l'école : la finalité du fichier « Base Élèves » est la gestion administrative et pédagogique — on ne peut pas l'utiliser pour envoyer de la publicité aux parents. Floutage — Technique consistant à rendre méconnaissable un visage ou un élément identifiant sur une image. À l'école : action à réaliser sur une photo de groupe publiée sur le blog si les parents d'un élève ont refusé la diffusion. ### M Minimisation — Principe selon lequel on ne doit collecter que les données strictement nécessaires à la finalité. À l'école : pour organiser une sortie scolaire, je n'ai pas besoin de connaître la profession des parents. ### P Pseudonymisation — Traitement qui consiste à remplacer un identifiant (nom) par un autre (code, numéro) pour masquer l'identité, mais de façon réversible. À l'école : utiliser le numéro INE ou les initiales « T.D. » sur une copie d'examen ou dans un fichier de résultats partagé. ### R Responsable de Traitement (RT) — La personne morale ou physique qui détermine les finalités et les moyens du traitement. C'est celui qui porte la responsabilité en cas de problème. À l'école : c'est souvent le Pays (Ministère/DGEE) pour les outils institutionnels, ou le chef d'établissement/directeur par délégation pour la gestion quotidienne. Registre de traitement — Document obligatoire qui recense l'ensemble des fichiers et traitements de données de l'établissement. C'est le « tableau de bord » du RGPD. À l'école : souvent tenu par la DGEE pour les traitements institutionnels, mais le directeur doit savoir quels traitements locaux (cantine, fichiers classe) y figurent. RGPD (Règlement Général sur la Protection des Données) — Texte européen entré en application en 2018 qui encadre le traitement des données personnelles. Il s'applique en Polynésie française. ### S Sécurité des données — Ensemble des mesures techniques et organisationnelles pour protéger les données (mots de passe, armoires fermées à clé, antivirus). À l'école : ne pas laisser sa session ENT ouverte sur l'ordinateur de la classe ; ne pas coller son mot de passe sur un post-it. Sous-traitant — Personne physique ou morale qui traite des données pour le compte et sur instruction du Responsable de Traitement. À l'école : le photographe scolaire, ou la société qui gère le logiciel de cantine. Ils n'ont pas le droit d'utiliser les données pour leur propre compte (ex : revendre des adresses mail). ### T Traitement (de données) — Toute opération effectuée sur des données personnelles, informatisée ou non. À l'école : créer un tableau Excel des résultats, prendre une photo, ranger des fiches d'inscription dans un classeur, publier un article sur le blog — ce sont tous des « traitements ». ### V Violation de données — Tout incident de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. À l'école : perdre une clé USB contenant des bulletins scolaires, se faire pirater sa boîte mail académique, ou envoyer par erreur la liste des PAI à tous les parents de la classe. ============================================================================== ## Ressources téléchargeables (PDF) Diaporamas de formation (1er degré « -1d- », 2nd degré « -2d- ») et fiches du guide, par chapitre, plus le diaporama complet par degré. Assemblables « à la carte » via le composeur du guide (https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_guide.html#composer). ============================================================================== - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch01-donnee-personnelle.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch02-a-quoi-sert-le-rgpd.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch03-acteurs.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch04-principes-fondamentaux.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch05-droits.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch06-image-et-voix.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch07-proteger-les-donnees.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch08-violation-de-donnees.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch09-ia.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-ch10-etude-de-cas.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-1d-complet.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch01-donnee-personnelle.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch02-a-quoi-sert-le-rgpd.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch03-acteurs.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch04-principes-fondamentaux.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch05-droits.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch06-image-et-voix.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch07-proteger-les-donnees.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch08-violation-de-donnees.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch09-ia.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-ch10-etude-de-cas.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_diapo-2d-complet.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch01-donnee-personnelle.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch02-a-quoi-sert-le-rgpd.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch03-acteurs.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch04-principes-fondamentaux.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch05-droits.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch06-image-et-voix.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch07-proteger-les-donnees.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch08-violation-de-donnees.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch09-ia.pdf - https://tuic.education.pf/wp-content/uploads/guide_formation_rgpd/rgpd_fiche-ch10-etude-de-cas.pdf