CNIL РAvis sur projet de d̩cret, livret de parcours inclusif (LPI) РAvis 2021-082

Par /

CNIL РAvis sur projet de d̩cret, livret de parcours inclusif (LPI) РAvis 2021-082

Décision

Autorité:
CNIL ou équivalent
Numéro:
Avis 2021-082
Nom:
Avis sur projet de décret, livret de parcours inclusif (LPI)
Date:
15 juillet 2021
Pays:
France
Lien:
Cliquer ici

Contexte

Le projet de décret en Conseil d’Etat soumis pour avis le 1er juin 2021 vise à autoriser la mise en œuvre d’un traitement de données à caractère personnel dénommé "Livret de parcours inclusif" (ci-après " LPI "). Cette application, mise en œuvre par le ministère de l’éducation nationale, de la jeunesse et des sports sur le fondement de sa mission d’intérêt public, au sens du règlement général sur la protection des données (RGPD), doit participer au " service public de l’école inclusive ". Elle a pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage.

Le LPI devrait ainsi permettre aux personnels concernés, et aux familles qui accepteront de l’utiliser de consulter en temps réel le suivi pédagogique mis en place pour un élève à besoins éducatifs particuliers. D’après le ministère, environ 840.000 élèves, pour la plupart mineurs, sont susceptibles d’être concernés.


Apport(s)

Cloisonnement - Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - Admission
  • Extrait(s) pertinent(s)En troisième lieu, l’article 2, 1-a) du projet de décret fait par ailleurs état de ce que les données d’identification dans le LPI contiendront à la fois l’identifiant national élève (INE) et le numéro LPI. Le ministère a précisé à cet égard qu’il s’agissait bien de la création d’un nouvel identifiant unique, que le numéro INE n’était traité dans le LPI qu’à des fins d’interconnexion entre les différents systèmes d’information du ministère et que le numéro LPI permettra l’identification des élèves entre le ministère et le système d’information des MDPH. La Commission [...] accueille favorablement la création de cet identifiant spécifique, et considère que la création et l’utilisation de ce numéro LPI permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaire, et de limiter les risques de réidentification des personnes en cas de fuite de données. Elle appelle donc le ministère à limiter au maximum les échanges de données nominatives.
  • Article(s) du RGPD Article 5 – Principes relatifs au traitement
  • Fait référence à
  • Autres informations
Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - Limitation des risques de réidentification des personnes en cas de fuite de données
  • Extrait(s) pertinent(s)En troisième lieu, l’article 2, 1-a) du projet de décret fait par ailleurs état de ce que les données d’identification dans le LPI contiendront à la fois l’identifiant national élève (INE) et le numéro LPI. Le ministère a précisé à cet égard qu’il s’agissait bien de la création d’un nouvel identifiant unique, que le numéro INE n’était traité dans le LPI qu’à des fins d’interconnexion entre les différents systèmes d’information du ministère et que le numéro LPI permettra l’identification des élèves entre le ministère et le système d’information des MDPH. La Commission [...] accueille favorablement la création de cet identifiant spécifique, et considère que la création et l’utilisation de ce numéro LPI permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaire, et de limiter les risques de réidentification des personnes en cas de fuite de données. Elle appelle donc le ministère à limiter au maximum les échanges de données nominatives.
  • Article(s) du RGPD Article 32 – Sécurité du traitement
  • Fait référence à
  • Autres informations
Traitement visant à améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers - Contrat de sous-traitance - Transfert des données en dehors de l’Union européenne - Interdiction
  • Extrait(s) pertinent(s)Le contrat de sous-traitance conclut entre le ministère et la caisse nationale de solidarité pour l’autonomie prévoit, à l’article 3.5, que " Les parties reconnaissent que l’exécution des prestations selon les modalités envisagées par la CNSA n’implique pas des transferts internationaux de données à caractère personnel " et que " tout transfert de données à caractère personnel en dehors de l’Union Européenne ne pourra avoir lieu qu’après autorisation écrite du ministère (…) et conformément aux dispositions des articles 44, 45 et 46 du RGPD ". Le ministère a à cet égard indiqué qu’il n’était pas prévu de transfert en dehors de l’Union européenne. Compte tenu des données traitées, de la minorité d’un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que " Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ", la Commission considère que le contrat de sous-traitance devrait prévoir l’interdiction de transférer les données en dehors de l’Union européenne.
  • Article(s) du RGPD Article 28 – Sous-traitant 
    Article 45 – Transferts fondés sur une décision d’adéquation
  • Fait référence à
  • Autres informations


Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion
Retour en haut