Téléchargez gratuitement notre eBook "Pour une stratégie d'entreprise éco-responsable"
télécharger
French
French
Actualité
30/3/20

L’utilisation des données personnelles à l'heure du travail et de l'apprentissage à distance

Nous évoquions le 26 mars dernier l’importance de la protection des données personnelles dans l’optique de la mise en œuvre d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées dite « Backtracking ».

Au-delà de cette question, l’obligation de confinement et la distanciation sociale, qui semblent aujourd’hui être les seuls leviers à la disposition des citoyens dans la lutte contre la crise sanitaire que nous traversons, remettent en question nos modes traditionnels d’apprentissage, et de travail, qui reposent principalement en France sur le présentiel.

Le développement soudain et souvent forcé de nouvelles techniques de travail et d’apprentissage bouleverse nos manières d’apprendre, de travailler, et favorise une hyper-connexion de ces aspects de notre vie quotidienne.

Si cela peut se traduire par une opportunité d’expérimenter une nouvelle forme d’organisation pour les entreprises, les administrations et les particuliers, il exige a priori, de mettre en place de nouvelles stratégies et procédures respectueuses des données personnelles, afin de favoriser l’atteinte d’un équilibre nouveau et durable, pour les entreprises et les utilisateurs.

Des mesures à respecter par les salariés et les employeurs utilisant le télétravail

La CNIL a rapidement pris en compte le contexte spécial, créé notamment par le développement de l’utilisation des appareils personnels, et l’effacement progressif de la frontière entre vie professionnelle et personnelle en période de confinement et de télétravail.

Elle a ainsi rappelé dans une communication que le recours aux appareils personnels par les salariés ne changeait pas les obligations des employeurs en matière de protection des données personnelles (inscription au registre des traitements et, le cas échéant, analyse d’impact relative à la protection des données).

La CNIL donnait également les conseils suivants aux utilisateurs de matériels personnels dans un cadre professionnel :

  • Cloisonner les parties personnels / professionnels,
  • S’assurer qu’un dispositif d’authentification efficace est mis en place, notamment avec un accès distant,
  • Prévoir une procédure en cas de panne / perte de l’appareil,
  • Sensibiliser les utilisateurs aux risques, et
  • Exiger l’autorisation d’un administrateur ou responsable IT avant l’utilisation de l’appareil.

Au-delà, dans le contexte sanitaire spécial, il est possible que de nombreux employeurs aient accès et soient amenés à traiter les données de santé de leurs salariés.

Il est important de rappeler que les données relatives à la santé des salariés font partie des
« données sensibles »
c’est-à-dire des données non seulement personnelles, mais encore dont le traitement est généralement interdit, sauf à ce qu’il soit nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée par ces données (art. 4 et 9 du RGPD).

Toutefois, l’employeur étant responsable de la santé et de la sécurité des salariés (art. L. 4121-1 du Code du travail), un certain devoir s’impose à lui dans un contexte de crise sanitaire comme celui-ci.

La CNIL rappelait ainsi dans une publication proposée au début de la période de confinement à destination des employeurs, que les employeurs ne pouvaient pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, au-delà de la gestion des suspicions d’exposition au virus.

Sont ainsi interdites toutes les collectes d’informations systématiques et généralisées, ou au contraire trop individuelles dans l’optique de rechercher les symptômes des salariés, par exemple le relevé obligatoire de température ou la collecte de fiches ou questionnaires médicaux. En revanche, l’employeur pourra inciter les remontées individuelles et spontanées d’informations, qu’il devra conserver confidentielles, et il pourra toutefois consigner la date et l’identité de la personne en question.

Les données scolaires : des données personnelles en danger ?

Au sein du même noyau familial, et parfois à quelques précieux mètres de distance, les plus jeunes doivent également s’adapter à de nouvelles techniques d’apprentissage.

Le gouvernement a en effet rappelé l’importance d’assurer la « continuité pédagogique », c’est-à-dire de « maintenir un lien pédagogique entre les professeurs et les élèves, à entretenir les connaissances déjà acquises par les élèves tout en permettant l’acquisition de nouveaux savoirs ».

Dès 2017, la présidente de la CNIL avait affirmé que « les données scolaires sont des données personnelles ». C’est ainsi qu’avait été mis en place le 5 décembre 2018, pour une durée de trois ans reconductibles, une convention relative à la protection des données personnelles dans les usages numériques de l’Éducation nationale entre le ministère de l’Éducation nationale et de la Jeunesse et la CNIL, qui visait à favoriser le respect des données personnelles de l’ensemble de la communauté éducative.

Dans cette convention, il était notamment mentionné que « la généralisation des usages numériques dans le milieu scolaire et dans la société en général, induit une multiplication des collectes et traitements des données personnelles ».

Plus d’un an après la signature de cette convention, le passage soudain et quasi-intégral à l’apprentissage en ligne, n’a pu qu’accélérer la multiplication des collectes et traitements non souhaités.

La mise en place de délégués académiques à la protection des données dans les académies (sous la forme d’un DPO, exigé depuis la mise en œuvre du RGPD), devant veiller au respect du RGPD par les responsables des traitements de données personnelles mis en œuvre, et les sanctions financières extrêmement dissuasives pour les établissements responsables d’un manquement au respect de la législation, pourraient ne pas être suffisant dans ce contexte de crise.

En effet, ce brusque passage au tout-numérique pendant le temps du confinement, semble inciter au renouvellement des techniques éducatives. De nombreuses plateformes et applications proposent ainsi de nouvelles méthodes d’apprentissage, généralement dans le respect des programmes scolaires, mais pas toujours dans la stricte conformité de la protection des données personnelles.

Ces plateformes et applications, dont le but est le plus souvent louable, peuvent être tout à fait utiles mais doivent être accompagnées par des professionnels juridiques afin de mettre à jour leurs procédures de collecte et de traitement des données personnelles et s’assurer d’une stricte application des obligations relatives à la protection des données personnelles.

Ces obligations sont notamment la licéité, la loyauté, la transparence, la limitation des finalités, et de la conservation des données, l’intégrité, la confidentialité, et la minimisation du traitement. Les droits des personnes concernées, a fortiori lorsqu’il s’agit des mineurs, doivent être respectés et leur mise en œuvre pratique facilitée.

Ceci est d’autant plus vrai que les données scolaires sont des données particulièrement convoitées. Ainsi, en mars 2019 Gilles Braun, délégué à la protection des données des ministères de l’éducation nationale et de l’enseignement supérieur, exprimait avoir « reçu plus de 2 000 demandes au sujet des évaluations de CP ».

En attendant, le gouvernement incite les professeurs et élèves à n’utiliser que les plateformes vérifiées, à l’instar de la classe virtuelle du CNED (Centre National d’Enseignement à Distance).

Lucie TRÉGUIER
Téléchargez l'eBook "Pour une stratégie juridique d'entreprise écoresponsable"
télécharger
Pour une stratégie juridique d'entreprise écoresponsables | eBook DDG

Abonnez vous à notre Newsletter

Recevez chaque mois la lettre du DDG Lab sur l’actualité juridique du moment : retrouvez nos dernières brèves, vidéos, webinars et dossiers spéciaux.
je m'abonne
DDG utilise des cookies dans le but de vous proposer des services fonctionnels, dans le respect de notre politique de confidentialité et notre gestion des cookies (en savoir plus). Si vous acceptez les cookies, cliquer ici.