Un site web traite des données à caractère personnel (DCP) à plusieurs niveaux : comptes utilisateurs, commentaires déposés par des utilisateurs, médias représentant des personnes identifiables. Seul ce dernier point est traité dans cet article.

En tant que responsable du traitement et directeur de publication du site, c’est le chef d’établissement, qui fixe les règles de publication et donc de conservation des données.

Un peu de droit…

On pourrait considérer le site d’un établissement comme un élément patrimonial, historique, un peu comme un site de presse. Mais ce n’est pas ce qui est retenu par la législation actuellement :

L’article 85 du RGPD https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre9 accorde un statut particulier « au traitement réalisé à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire ». Pour les sites qui relève d’une de ces catégories, la liberté d’expression et d’information prime sur le respect des données à caractère personnel.

Logo du journal officiel de l’EU

Mais il semble difficile de rattacher un site d’établissement à l’une de ces catégories ! Aussi le RGPD et son principe de minimisation des données s’applique.

A priori le RGPD et sa transposition en droit français n’indiquent aucune durée de conservation des DCP affichées sur un site. On peut trouver une indication avec les autorisations de diffusion d’image ou de voix de personnes identifiables https://eduscol.education.fr/398/protection-des-donnees-personnelles-et-assistance. Dans sa dernière version, l’autorisation a été limitée à « 1 année scolaire ».

Cette règle invite donc à considérer un site d’établissement, même s’il est ouvert sur internet, comme un espace pédagogique au contenu limité dans le temps. Cela implique donc de faire un nettoyage annuel en retirant tous les articles qui citent des personnes nominativement ou comprennent des photos ou voix de personnes, en particulier des élèves.

Gérer les informations et médias avec personnes

Cela implique donc de distinguer 2 types de contenus sur les sites :

– des contenus d’actualités

Image Pixabay

Exemples : noms de personnels ou d’élèves, images ou vidéos représentant ces personnes, voix enregistrées

Pour mémoire, avant tout affichage, il est indispensable de récupérer des autorisations de diffusion d’images des élèves majeurs ou des représentants légaux pour les élèves mineurs. Modèles d’autorisation à télécharger : https://eduscol.education.fr/398/protection-des-donnees-personnelles-et-assistance

Ces contenus ne devraient pas restés affichés au-delà de l’année scolaire.

Une solution simple est de créer une catégorie annuelle, comme « donnees-2022-2023 », pas forcément utilisée pour gérer la navigation dans le menu mais plutôt pour regrouper tous les articles, afin de les repérer plus facilement en fin d’année scolaire en vue de suppression.

– des contenus pérennes

Image Pexels

Au prix d’un peu de travail supplémentaire, cela peut amener à dédoubler certaines informations :

  • un article avec des personnes identifiables et/ou citées qui sera affiché pendant l’année scolaire ;
  • un article sans DCP qui pourra rester en ligne plus longtemps, au titre de la mémoire de l’établissement.

Les demandes individuelles

En plus des règles communes de conservations de données à caractère personnel, il faut aussi répondre aux demandes individuelles de suppression de données, cf article 17 du RGPD : Droit à l’effacement ou « droit à l’oubli » https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17

Ce droit individuel peut se faire sans considération de durée, même avant expiration du délai d’autorisation de diffusion.

Seule précaution : s’assurer que la personne exerce bien son droit à titre individuel (ou de son enfant mineur pour un responsable légal) et non au détriment d’un tiers. Une pièce d’identité peut être demandée.