Éducation nationale : la CNIL publie deux guides pratiques sur les violations de données

Dans le secteur de l'éducation, les établissements scolaires du premier et second degrés traitent de nombreuses données personnelles : inscriptions scolaires, environnement numérique de travail, suivi infirmier des élèves, etc. Ces données peuvent faire l'objet de violations de données et l'actualité montre que les établissements scolaires ne sont pas épargnés par ces incidents.

Pourtant, ces cinq dernières années, la CNIL n'a été notifiée que d'une trentaine de violations de données par an dans le premier et le second degrés. Or, lors de ses interventions sur le terrain, la CNIL constate que ce chiffre ne reflète pas la réalité quotidienne des établissements.

La CNIL a identifié plusieurs raisons pouvant expliquer cette sous-déclaration :

il n'est pas toujours évident d'identifier ce qui constitue une « violation de données » ;
la démarche à suivre en cas de violation de données est parfois méconnue des personnes opérationnelles ;
le schéma de responsabilité des traitements mis en œuvre dans le secteur de l'éducation nationale est complexe.

Pour accompagner les acteurs concernés, la CNIL met à disposition deux nouveaux guides pratiques :

l'un destiné aux délégués à la protection des données (DPO) ;
l'autre à l'attention des directeurs d'école du premier degré, des chefs d'établissement du second degré, ainsi que de leur personnel administratif.

Quel est le contenu de ces guides ?

Ces guides aident à mieux comprendre ce qu'est une violation de données personnelles. Il peut s'agir d'un incident (accidentel ou intentionnel) qui rend des données accessibles ou exploitables par des personnes non autorisées.

Le règlement général sur la protection des données (RGPD), notamment ses articles 33 et 34, impose aux organismes de garantir la sécurité des données qu'ils traitent. Ils doivent donc :

prendre des mesures techniques et organisationnelles pour prévenir les violations de données ;
réagir rapidement en cas d'incident, pour y mettre fin et en limiter les conséquences.

Les actions à entreprendre dépendent de l'impact potentiel sur les personnes concernées, mais aussi du volume et de la nature des données traitées.

Pour aider les établissements, la CNIL propose des guides pratiques organisés autour de cinq situations types :

vol ou perte de matériel (ordinateur, clé USB, etc.) ;
envoi d'informations à la mauvaise personne ;
erreur de manipulation par un utilisateur ;
vol d'identifiants ou de mots de passe ;
cyberattaques ou intrusions informatiques.

Pour chaque cas, les guides proposent une même structure :

des exemples concrets ;
des clés pour analyser la situation ;
les actions à entreprendre rapidement ;
des bonnes pratiques pour éviter que cela se reproduise.

Les guides à télécharger
[Guide pratique - Les violations de données dans l'éducation (à destination des directeurs d'école, des chefs d'établissement, du personnel administratif et enseignant)
[ PDF-417.55 Ko ]->https://www.cnil.fr/sites/cnil/files/2025-05/guide_violations_education_etablissements.pdf]
Guide pratique - Les violations de données dans l'éducation (à destination des délégués à la protection des données)
[ PDF-416.14 Ko ]

Pour approfondir

Violations de données personnelles : les règles à suivre
Vol de matériels et détournement de services dans le cadre scolaire : comment gérer les violations de données ?
Les violations du moment
Notifier une violation de données personnelles