Données personnelles

RGPD éducation 2026 : ENT, photos d'élèves, mineurs (15 ans) + obligations

RGPD dans l'éducation : DPO obligatoire, ENT et Microsoft 365/Google, photos d'élèves, consentement des mineurs à 15 ans, durées de conservation et sanctions CNIL.

Pour être conforme au RGPD, un établissement scolaire doit désigner un DPO (obligatoire pour tout organisme public), fonder les traitements liés à la scolarité sur la mission d’intérêt public et non sur le consentement, encadrer les outils numériques et l’ENT, gérer les photos d’élèves par consentement écrit, et respecter la règle française des 15 ans pour le consentement des mineurs au numérique. Concrètement : tenir un registre des traitements, vérifier les transferts hors UE des outils cloud (Microsoft 365, Google), et distinguer clairement ce qui relève de la scolarité (obligatoire, pas de consentement) de ce qui relève du volontariat (photos, sorties, services annexes).

L’éducation manipule des données de mineurs à grande échelle, avec des règles françaises spécifiques qui se superposent au RGPD. Voici, traitement par traitement, ce qu’un établissement — école, collège, lycée — doit mettre en place.

Obligations RGPD spécifiques à l’éducation

Un DPO obligatoire, souvent mutualisé

Un établissement public d’enseignement est un organisme public : la désignation d’un délégué à la protection des données (DPO) est obligatoire (article 37-1-a du RGPD), quelle que soit sa taille. En pratique, le DPO est très souvent mutualisé au niveau de l’académie ou du rectorat — une commune pour les écoles, un DPO académique pour les EPLE. Le DPO doit être déclaré à la CNIL, disposer de moyens, et être associé en amont à tout nouveau projet numérique. Voir le rôle et les missions du DPO.

ENT et outils numériques : le point de vigilance CNIL

L’espace numérique de travail (ENT) et les suites collaboratives sont au cœur de l’attention de la CNIL. La question des transferts hors UE est centrale : la CNIL et le ministère ont exprimé des réserves sur l’usage des versions gratuites de Microsoft 365 et Google Workspace dans l’enseignement, en raison de l’hébergement et des transferts de données d’élèves. Avant de déployer un outil, l’établissement doit vérifier le lieu d’hébergement, encadrer les transferts hors UE, signer les contrats de sous-traitance adéquats et, pour les traitements à risque, réaliser une analyse d’impact. Chaque outil entre dans le registre des traitements.

Photos d’élèves : consentement et droit à l’image

La diffusion de photos d’élèves (site de l’école, journal, réseaux sociaux, blog de classe) repose sur le consentement (article 6-1-a) — et se double du droit à l’image, qui est un régime distinct du RGPD relevant du droit civil. En pratique, cela suppose une autorisation écrite des parents (ou de l’élève lui-même s’il a plus de 15 ans, selon le contexte), spécifique par finalité (photo de classe ≠ publication en ligne ≠ presse), révocable, et limitée dans le temps. Vérifiez les conditions de validité du consentement : un consentement forcé ou global ne vaut rien.

Mineurs : la règle française des 15 ans

Point essentiel et souvent mal compris. Le RGPD (article 8) fixe un plafond européen de 16 ans pour le consentement d’un mineur à un service en ligne, mais autorise chaque État à l’abaisser. En France, l’âge du consentement numérique est fixé à 15 ans par l’article 45 de la loi Informatique et Libertés. Conséquence : pour un service en ligne fondé sur le consentement, un élève de 15 ans ou plus peut consentir seul ; en dessous de 15 ans, le traitement requiert le consentement conjoint du mineur et du titulaire de l’autorité parentale. Attention : cette règle vaut pour les traitements fondés sur le consentement — pas pour la scolarité elle-même, qui repose sur une autre base légale (voir plus bas).

Traitements de l’Éducation nationale et restauration scolaire

De nombreux traitements sont pilotés au niveau national : ONDE/Base élèves (premier degré), le livret scolaire unique (LSU), les téléservices d’inscription et d’orientation. Ils reposent sur la mission de service public et l’obligation légale, non sur le consentement des familles. Au niveau local, la restauration scolaire (inscriptions, allergies, facturation) — le plus souvent gérée par la commune — et la vidéosurveillance des établissements suivent leurs propres règles. Les données de santé (PAI, allergies) sont des données sensibles au sens de l’article 9, à traiter avec des garanties renforcées.

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Dossier scolaire de l’élève Durée de la scolarité dans l’établissement Archivage selon les référentiels d’archives publiques (durées longues pour certains documents)
Photos d’élèves Durée du consentement donné Suppression au retrait du consentement ou à l’échéance fixée
Comptes ENT / accès numériques Année scolaire Désactivation en fin d’année ou au départ de l’élève
Restauration scolaire Année scolaire Facturation et obligations comptables en archivage
Vidéosurveillance 1 mois Sécurité des personnes et des biens ; plus longtemps seulement sur incident
Données de santé (PAI, allergies) Durée de la scolarité concernée Données sensibles (art. 9) ; accès restreint

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
Scolarité (inscription, notes, LSU, ONDE) Mission d’intérêt public (art. 6-1-e) / obligation légale (art. 6-1-c) Pas le consentement : les familles ne peuvent pas « refuser » la scolarité obligatoire
Photos d’élèves diffusées Consentement (art. 6-1-a) + droit à l’image (droit civil, distinct du RGPD)
ENT et outils numériques Mission d’intérêt public (art. 6-1-e) Sous-traitance et transferts hors UE à encadrer
Service en ligne d’un mineur de -15 ans Consentement conjoint (art. 6-1-a + art. 8 RGPD / art. 45 LIL) Accord du mineur ET du titulaire de l’autorité parentale
Données de santé scolaire (PAI) Art. 9-2 (intérêt public / sauvegarde) Données sensibles ; garanties renforcées, accès limité
Restauration scolaire Mission d’intérêt public / contrat (art. 6-1-e / b) Selon le mode de gestion (régie ou délégation)

Sanctions CNIL réelles du secteur

Soyons honnêtes : dans l’éducation, la CNIL privilégie la pédagogie et les mises en demeure plutôt que les amendes. Ses interventions les plus notables ont porté sur l’usage de Microsoft 365 et l’hébergement des données d’élèves, traités par voie de recommandations et de mises en demeure, non par des sanctions financières nommant un établissement. Ne cherchez donc pas d’amende « école » : il n’y en a pas, et en inventer une serait faux.

En revanche, une sanction adjacente éclaire directement l’enjeu de la collecte de données auprès des mineurs et en ligne : DOCTISSIMO — 380 000 € (délibération du 11 mai 2023 ; 280 000 € au titre du RGPD et 100 000 € au titre des cookies). En cause : des données de santé collectées via des tests en ligne sans consentement explicite (article 9), des durées de conservation excessives et des cookies déposés sans consentement. La transposition à l’éducation est immédiate : dès qu’un établissement ou un éditeur propose des tests, questionnaires ou services en ligne visant des élèves — a fortiori des mineurs — la question du consentement explicite et de la base légale devient centrale. Voir le communiqué CNIL et, sur la logique d’ensemble du texte, le RGPD sur EUR-Lex.

Erreurs courantes

  • Croire que la scolarité repose sur le consentement des parents : elle repose sur la mission d’intérêt public et l’obligation légale ; on ne « refuse » pas l’inscription au LSU ou à ONDE.
  • Confondre la règle des 15 ans avec la scolarité : les 15 ans concernent le consentement au numérique, pas les traitements obligatoires de l’établissement.
  • Déployer Microsoft 365 ou Google Workspace sans vérifier hébergement et transferts hors UE, ni contrat de sous-traitance, ni analyse d’impact.
  • Publier des photos d’élèves sans autorisation écrite spécifique, ou avec une autorisation globale et indéfinie qui ne respecte pas les conditions du consentement.
  • Traiter les données de santé (PAI, allergies) comme des données ordinaires, alors qu’elles relèvent de l’article 9 et exigent un accès restreint.
  • Ne pas associer le DPO académique en amont des projets numériques, et découvrir les problèmes après le déploiement.

FAQ

À partir de quel âge un élève peut-il consentir seul à un service en ligne ?

En France, à 15 ans. L’article 45 de la loi Informatique et Libertés, pris sur le fondement de l’article 8 du RGPD, fixe l’âge du consentement numérique à 15 ans. En dessous, il faut le consentement conjoint de l’enfant et du titulaire de l’autorité parentale. Cette règle ne s’applique qu’aux traitements fondés sur le consentement, pas aux traitements scolaires obligatoires.

Faut-il le consentement des parents pour inscrire un enfant et gérer sa scolarité ?

Non. La gestion de la scolarité (inscription, notes, livret scolaire, orientation) repose sur la mission d’intérêt public (article 6-1-e) et l’obligation légale (article 6-1-c), pas sur le consentement. Vous informez les familles de ces traitements — c’est le droit à l’information — mais elles ne peuvent pas s’y opposer par un simple refus de consentir.

Un établissement scolaire doit-il vraiment un DPO ?

Oui. Tout établissement public d’enseignement est un organisme public : le DPO est obligatoire (article 37-1-a). Il est le plus souvent mutualisé au niveau de l’académie ou du rectorat. Retrouvez le détail de ses missions et vérifiez que le vôtre est bien déclaré à la CNIL.

Peut-on utiliser Google ou Microsoft dans une école ?

C’est possible mais encadré. La CNIL a exprimé des réserves sur les versions gratuites en raison des transferts de données hors UE. Il faut vérifier l’hébergement, encadrer les transferts hors UE, signer les contrats de sous-traitance et, pour les traitements à risque, réaliser une analyse d’impact avant tout déploiement massif.

Conclusion

Dans l’éducation, la clé de la conformité RGPD est de raisonner par base légale. La scolarité relève de la mission d’intérêt public : pas de consentement, mais information et minimisation. Les photos, les services en ligne et le volontariat relèvent du consentement — avec la règle française des 15 ans à maîtriser. Les outils numériques exigent une vigilance particulière sur les transferts hors UE. Et les données de santé des élèves imposent le régime renforcé de l’article 9. Un outil comme Legiscope, qui automatise le registre des traitements et les AIPD, aide un établissement ou un DPO académique à documenter tous ces flux et à qualifier chaque base légale sans erreur. Le point de départ reste le registre des traitements : il révèle immédiatement les traitements mal fondés ou les outils non encadrés. Voir aussi les repères de la CNIL sur les durées de conservation.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →