Data Privacy

RGPD écoles et universités : guide 2026

RGPD pour établissements scolaires : ENT, consentement parental mineurs, GAR, espace numérique. Délibérations CNIL 2024-2026 et conformité.

TD
Dr. Thiébaut Devergranne
3 juin 20266 min read

En une phrase. Les établissements scolaires (primaire, secondaire, supérieur) traitent des données sensibles (mineurs, santé, comportement) sous un cadre juridique spécifique : Loi Informatique et Libertés art. 45, délibérations CNIL secteur éducation, âge numérique 15 ans (loi 7 juillet 2018), Gestionnaire d’Accès aux Ressources (GAR) du ministère. La CNIL a sanctionné depuis 2020 : Lycée Tellier 75 K€ (2022, vidéosurveillance), collège Ile-de-France procédure simplifiée 5 K€ (2024). Le sujet outils US (Google Workspace, Microsoft 365) dans les écoles publiques reste sensible (avis CNIL 2021 défavorable).

L’Éducation nationale compte 12 millions d’élèves, 1 million d’enseignants, et 60 000 établissements en France. La surface d’exposition RGPD est massive.

Pour approfondir : PSSI ANSSI, RGPD Suisse, PCA ANSSI.

Points clés

  • L’âge numérique en France est 15 ans (loi 7 juillet 2018, RGPD art. 8).
  • Le GAR centralise l’authentification aux ressources pédagogiques numériques.
  • Les écoles publiques doivent prioriser des solutions européennes (CNIL avis 2021).
  • La vidéosurveillance scolaire suit la délibération CNIL 2024 (limites strictes).
  • Le dossier scolaire se conserve selon le code patrimoine (50 ans Archives départementales).

1. Cadre juridique

Texte Champ
RGPD Base
LIL art. 45 Recherche statistique éducation
LIL art. 47-1 Décisions automatisées scolaires
Code éducation Spécificités sectorielles
Loi 7 juillet 2018 Âge numérique 15 ans
CNIL avis 2021 Cloud éducatif
Délibération 2018-321 Référentiel ENT

2. Âge numérique : 15 ans en France

L’article 8 RGPD fixe l’âge minimal du consentement numérique entre 13 et 16 ans selon les États. La France a choisi 15 ans (loi 7 juillet 2018). Conséquences :

  • < 15 ans : consentement conjoint parent(s) + mineur
  • ≥ 15 ans : consentement autonome du mineur
  • Services concernés : réseaux sociaux, plateformes, applications grand public
  • Pour l’école : pas de consentement parental requis pour l’inscription (base légale : mission d’intérêt public)

3. ENT : Espace Numérique de Travail

L’ENT regroupe vie scolaire, cahier de textes, notes, messagerie. Référentiel CNIL 2018-321 :

  • Base légale : mission d’intérêt public (art. 6.1.e)
  • Pas de consentement requis
  • Information obligatoire familles + élèves
  • Durée conservation : scolarité + 1 an pour données pédagogiques
  • Hébergement : France/UE fortement recommandé
  • DPA signé avec éditeur

ENT principaux : ENT77, NEO (Open Digital Education), Itslearning, Pronote (Index Education).

4. GAR : Gestionnaire d’Accès aux Ressources

Le GAR du ministère de l’Éducation nationale est un mediator d’authentification : il anonymise/pseudonymise les données élèves vers les éditeurs de ressources numériques.

Objectifs :

  • Pas de transmission d’identité réelle
  • Pas de collecte par éditeur au-delà du nécessaire
  • Conformité par construction

Utilisation : obligatoire pour les ressources subventionnées État. Recommandée pour toutes ressources numériques pédagogiques.

5. Outils américains : la position CNIL

CNIL avis du 27 mai 2021 :

  • Google Workspace for Education dans les universités françaises : ne respecte pas le RGPD (transferts USA, garanties insuffisantes)
  • Recommandation : migrer vers solutions UE (suite RENATER, Apps.education.fr)

Le ministère a déployé Apps.education.fr (Nextcloud + tutos) pour les enseignants. Pour les universités : Partage (Apicrypt), Filesender (RENATER), BBB (BigBlueButton).

En 2024-2026, plusieurs académies ont basculé hors Google : Lyon, Toulouse, partiel Bordeaux.

6. Pronote, Educonnect, ParcoursSup

Outils nationaux :

  • Pronote (Index Education) : utilisé par 80 % des collèges/lycées français
  • EduConnect : authentification unique élèves/parents
  • ParcoursSup : orientation post-bac (CNIL délibération autorisation 2018)
  • Affelnet : affectation collège-lycée
  • MonMaster : orientation master

Tous hébergés en France, conformes RGPD par construction.

7. Vidéosurveillance dans les écoles

CNIL délibération NS-002 (2018) + mise à jour 2024-031 :

  • Acceptable : abords, entrées, cours de récréation
  • Interdit : salles de classe (sauf cas exceptionnel sur courte durée pédagogique avec accord)
  • Interdit : vestiaires, toilettes, infirmerie
  • Durée conservation : 1 mois maximum
  • Information chefs d’établissement, parents, élèves, personnels
  • Consultation CHS/CHSCT + CSE

Sanction Lycée Tellier (2022) — 75 K€ : caméras dans salles de cours pendant 5 ans.

8. Dossier scolaire : conservation

Document Durée
Inscription, fiches civilité Scolarité + 1 an
Notes, bulletins Scolarité + 1 an puis archives
Dossier discipline 1 an après mesure
Photo annuelle 1 an
ENT (messages, devoirs) 1 an après fin scolarité
Diplôme délivré Permanent (centre académique)
Données administratives 10 ans (RGCT)
Dossier patrimonial 50 ans (Archives départementales)

9. Photos et droit à l’image

Les photos d’élèves nécessitent :

  • Consentement parental explicite < 15 ans
  • Consentement propre élève ≥ 15 ans
  • Mention précise : usage (trombinoscope, journal interne, site web)
  • Distinction photo de classe (autorisée information préalable) vs photo nominative diffusée (consentement)
  • Retrait sur demande sans contrepartie

Cas particulier : RGPD ne s’applique pas aux usages strictement personnels (parent qui photographie son enfant).

10. Recherche pédagogique et statistique

Les écoles peuvent participer à des recherches sous LIL article 45 :

  • Base légale : intérêt public + mission de service public
  • Anonymisation/pseudonymisation prioritaire
  • MR-001 à MR-008 : méthodologies de référence CNIL santé applicables
  • Comité éthique pour recherches sensibles
  • Pas de consentement parental requis si données pseudonymisées

11. Sanctions et jurisprudence

Année Entité Sanction Motif
2017 Lycée privé Bretagne Mise en demeure Vidéosurveillance excessive
2020 Université de Strasbourg Avertissement Géolocalisation campus
2022 Lycée Tellier 75 K€ Caméras salles classe
2023 Université Paris-Saclay Mise en demeure Outils US élèves
2024 Collège Île-de-France 5 K€ (PS) Photos sans consentement
2025 Université privée 20 K€ (PS) Sécurité ENT

12. Checklist conformité 2026

À vérifier dans un établissement :

  1. DPO désigné (mutualisé acceptable pour < 250 élèves)
  2. Registre des traitements à jour
  3. Mention information sur fiche inscription
  4. Procédure consentement parental < 15 ans
  5. Politique conservation par type document
  6. DPA signés avec éditeurs (Pronote, ENT, manuels numériques)
  7. Délibération vidéosurveillance + information
  8. Procédure droits (accès, rectification) opérationnelle
  9. PIA pour outils sensibles (IA pédagogique, biométrie cantine)
  10. Plan migration outils non conformes
  11. Formation enseignants/personnels RGPD annuelle
  12. Politique BYOD enseignants

FAQ

Quel âge pour le consentement RGPD en France ?

15 ans (loi 7 juillet 2018, art. 8 RGPD). En dessous, consentement conjoint mineur + responsable parental. Pour l’école elle-même : pas de consentement parental requis (base légale mission d’intérêt public).

Peut-on utiliser Google Classroom dans une école française ?

La CNIL a émis un avis défavorable (mai 2021) pour les universités publiques. Pour les écoles privées : juridiquement possible avec contrat DPA + analyse de risque, mais fortement déconseillé. Solutions alternatives : Apps.education.fr, NextCloud, suite RENATER.

Combien de temps conserver un dossier scolaire ?

Dossier pédagogique courant : scolarité + 1 an. Diplômes délivrés : permanent (académie). Dossier administratif : 10 ans. Dossier discipline : 1 an après mesure. Archives patrimoniales : 50 ans (Archives départementales).

Faut-il l’accord des parents pour photographier les enfants à l’école ?

Oui pour toute diffusion (site web, journal interne, presse). Consentement écrit, spécifique (usage), révocable. Pour < 15 ans : parental. Pour ≥ 15 ans : mineur seul. Cas particulier photo de classe : information préalable suffit, mais pas de diffusion nominative sans accord.

Le GAR est-il obligatoire ?

Obligatoire pour les ressources numériques subventionnées par l’État (manuels numériques BRNE, ressources Édutheque). Recommandé pour toutes les autres. Le GAR garantit la pseudonymisation des données élèves vers les éditeurs et limite leur collecte.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →