| N° de demande d'avis : 25012735. | Thématiques : signalement, violences dans les établissements scolaires, établissements publics, établissements privés. | |:---------------------------------------------------------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de l'éducation nationale.|Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.|
L'essentiel :
Le projet de décret autorise la mise en œuvre d'un traitement visant à recueillir et à transmettre des signalements d'incidents en milieu scolaire.
La CNIL estime que les évolutions projetées sont légitimes.
Il conviendra néanmoins de préciser les finalités du traitement dans le décret, afin d'expliciter davantage l'objectif d'amélioration de la connaissance et de la prise en charge des situations signalées.
Au regard du caractère subjectif des qualifications d'incident (par exemple, « suspicion de radicalisation », « autres atteintes aux valeurs de la République » ou « autres faits perturbant la vie de l'établissement ») et de la sensibilité de certaines données traitées, des mesures devront être prises pour assurer la minimisation des données et limiter les risques pour les droits et libertés des personnes concernées.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31 ;
Après avoir entendu le rapport de Mme Laurence Franceschini, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
La loi n° 2013-595 du 8 juillet 2013 d'orientation et de programmation pour la refondation de l'école de la République place au cœur de la stratégie du ministère de l'éducation nationale l'amélioration du climat scolaire. Dans cette perspective, le ministère de l'éducation nationale a généralisé, en 2018, la mise à disposition de l'application « Faits établissement » auprès des établissements publics comme outil national de transmission de signalements d'incidents en milieu scolaire. Le traitement mis en œuvre dans ce cadre a fait l'objet d'une autorisation de la CNIL (V. CNIL, 21 juillet 2016, autorisation sur un traitement automatisé de données à caractère personnel, Faits établissement, n° 2016-246, publiée), en application de l'article 25 de la « loi informatique et libertés », dans sa version applicable à cette date.
En 2024, 124 462 signalements (contre 30 306 en 2018 au moment de son déploiement) avaient été effectués via l'application, alors que son utilisation par les établissements scolaires publics et privés n'était pas obligatoire.
Plusieurs évolutions ont ensuite rendu nécessaire une modification de ce traitement :
- d'une part, l'obligation de transmission des signalements d'incidents a été étendue aux établissements privés sous contrat et hors contrat (v. décret du 16 juin 2025 relatif au recueil et au traitement de signalements des faits de violences dans les établissements privés) ;
- d'autre part, la ministre de l'éducation nationale a, au printemps 2025, présenté les mesures du plan « Brisons le silence, agissons ensemble », visant notamment au renforcement des procédures de signalement.
B. - L'objet de la saisine
La CNIL a été saisie pour avis, par le ministère de l'éducation nationale, d'un projet de décret en Conseil d'Etat autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel dénommé « Faits établissement ».
Ce projet créé une obligation pour les directeurs d'école et les chefs d'établissement publics de transmettre « à l'autorité compétente de l'Etat en matière d'éducation les faits de violence impliquant les élèves ou les personnels de l'établissement, ainsi que tout fait grave impliquant une mise en danger de la sécurité ou de l'intégrité physique ou morale des élèves ou des personnels et les atteintes aux valeurs de la République et à la sécurité des établissements ». Il prévoit, dans ce contexte, la mise en œuvre d'un traitement visant à recueillir et à transmettre les signalements aux services départementaux, académiques ou ministériels selon le degré de gravité et à assurer un suivi des mesures prises.
Par ailleurs, pour prendre en compte le décret du 16 juin 2025 susmentionné, le projet de décret étend aux établissements privés sous contrat et hors contrat le recueil et le suivi des signalements de faits graves et de violences.
Enfin, il actualise la liste des données collectées, des destinataires et allonge la durée de conservation des données afin de permettre aux services de l'éducation nationale, notamment aux services centraux du ministère, de disposer d'un historique de données suffisant pour assurer le suivi des mesures et concevoir des actions de pilotage.
II. - L'avis de la CNIL
A. - Sur les finalités du traitement
Le projet de décret prévoit que le traitement « Faits établissement » a pour finalités de :
- recueillir les signalements des faits préoccupants et graves survenus dans les établissements d'enseignement scolaire publics et privés ;
- transmettre les signalements aux services départementaux, académiques ou ministériels en fonction du degré de gravité ;
- assurer le suivi des mesures prises.
Il a également une finalité de pilotage.
Par ailleurs, il ressort des précisions apportées que cette transmission d'informations permettra d'améliorer la connaissance et la prise en charge des situations signalées et de coordonner les actions entre les différents niveaux d'autorités compétentes de l'Etat en matière d'éducation. Ainsi, par exemple, si cela n'a pas déjà été effectué par le chef d'établissement ou le directeur d'école, le responsable du service de défense et de sécurité académique informé d'un incident au moyen de « Faits établissements » pourra être amené à saisir les services académiques concernés (mobilisation de l'équipe mobile de sécurité, du service médical de prévention, du service académique juridique, du service académique des ressources humaines), le préfet et/ou le procureur de la République selon la nature et la gravité de l'incident.
Au regard de ces éléments, la CNIL observe que le recueil et la transmission de signalements constituent moins des finalités du traitement de données qu'un moyen ou encore une fonctionnalité permettant d'atteindre l'objectif d'amélioration de la connaissance et de la prise en charge des situations signalées.
Dès lors, afin de répondre aux exigences de l'article 5-1-b du RGPD selon lequel des données à caractère personnel ne peuvent être collectées que « pour des finalités déterminées, explicites et légitimes », les finalités du traitement devraient être reformulées en ces termes :
- améliorer la connaissance et la prise en charge des faits graves et de violence survenus dans les établissements d'enseignement scolaire par les différents niveaux d'autorités compétentes de l'Etat en matière d'éducation dans leur périmètre de compétences ;
- coordonner les actions entre les différents niveaux d'autorités compétentes de l'Etat en matière d'éducation ; et
- assurer le suivi des mesures prises.
La CNIL prend acte de l'engagement du ministère de modifier le décret pour préciser les finalités en ce sens.
B. - Sur les catégories de données traitées
Le projet de décret fixe la liste des données pouvant être traitées dans « Faits établissement ». Ces données, relatives aux faits préoccupants et graves survenus dans les établissements (gravité du fait ; type de fait ; date, lieu et détails du fait ; mesures prises ; etc.), concerneront notamment les auteurs présumés des faits et les victimes.
S'agissant en premier lieu des types de faits susceptibles d'être traités, les directeurs d'école et chefs d'établissement pourront saisir dans l'application des informations concernant des atteintes aux personnes ou aux biens, à la sécurité ou au climat de l'établissement, ou encore aux valeurs de la République. Le niveau de gravité du fait (« préoccupant », « grave », « très grave ») sera rattaché à ces informations.
Selon les précisions apportées, il est par exemple prévu que les faits qui entrent dans la catégorie « atteinte aux valeurs de la République » comprennent tout type de fait en lien avec le « principe de laïcité », les « actes racistes et antisémites », les « suspicions de radicalisation » ou les « autres atteintes aux valeurs de la République ».
La CNIL considère que les catégories de données prévues par le projet de décret sont pertinentes au regard de l'objectif poursuivi. Elle s'interroge toutefois sur l'existence d'un régime distinct concernant les victimes décédées et leurs responsables légaux nécessitant la collecte de leur nom et prénom.
Il apparait par ailleurs que la qualification des faits peut reposer sur des appréciations très subjectives (v. CNIL, 21 juillet 2016, précité). Tel est le cas, par exemple, des incidents liés à une « suspicion de radicalisation » ou aux « autres atteintes aux valeurs de la République », aux « autres faits perturbant la vie de l'établissement » ou encore aux « autres atteintes à la sécurité, au climat de l'établissement ».
Au regard de ces éléments, il conviendra de prendre les mesures nécessaires en vue :
- d'assurer l'exactitude des données, conformément à l'article 5-1-d du RGPD ;
- et, par là même, de limiter l'impact que pourraient avoir des signalements de faits inexacts sur les droits et libertés des personnes concernées, y compris des personnes mineures - en particulier au regard de la sensibilité de ces informations au sens de l'article 9 du RGPD.
La CNIL recommande, dès lors, de préciser les critères en fonction desquels les utilisateurs pourront qualifier les faits susceptibles d'entrer dans les catégories susmentionnées. S'agissant en particulier de la qualification relative aux « autres atteintes à la sécurité, au climat de l'établissement », il apparait nécessaire que les faits soient qualifiés en se référant à ce qui est inscrit dans l'analyse d'impact relative à la protection des données (AIPD).
Par ailleurs, il peut être déduit de certaines de ces qualifications, des informations dites « sensibles » au sens de l'article 9 du RGPD. Dès lors, le projet de décret devra prévoir que les données enregistrées dans le traitement peuvent faire apparaître, directement ou indirectement, des données sensibles - ce à quoi le ministère s'est engagé.
S'agissant en second lieu des modalités de collecte des données, la saisie des informations relatives à la gravité et au type de fait est encadrée par une arborescence à destination de l'utilisateur (cases à cocher).
Des zones de texte libre permettront par ailleurs de saisir les détails du fait connus par le chef d'établissement lors du signalement initial. Ces zones pourront être également complétées par les autres accédants au traitement.
La CNIL considère que cette possibilité est légitime, en raison notamment de la très grande diversité des faits susceptibles d'être signalés. Elle prend acte des mesures mises en œuvre pour limiter toute collecte excessive de données (notamment la limitation du nombre de caractères, le guide utilisateur, la sensibilisation des chefs d'établissement aux procédures de signalement).
Au regard des risques précédemment mentionnés, elle attire l'attention du ministère sur la nécessité :
- d'ajouter des consignes claires et spécifiques sur la saisie d'informations dans ces zones de texte au regard de la réglementation en matière de protection des données, par exemple dans le guide utilisateur ; et
- de prendre les mesures propres à garantir la suppression de toute information qui ne serait pas strictement adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités du traitement, conformément à l'article 5.1.c du RGPD.
La CNIL prend acte de l'engagement du ministère de sensibiliser les utilisateurs sur ces points lors de formations et via le guide utilisateur. Sera également créé un message d'alerte, qui apparaitra à la fin de la saisie dans la zone de texte pour rappeler que le message doit correspondre aux évènements constatés et qu'en cas d'erreur, le rédacteur a la possibilité de le modifier. Elle invite le ministère à indiquer qu'aucun nom et prénom ne devra figurer dans ces zones de texte.
C. - Sur les durées de conservation
Le projet de décret prévoit que « l'ensemble des données à caractère personnel sont conservées pendant une durée de cinq ans à compter de la date de signalement du fait au niveau de l'établissement, du département, de l'académie et de l'administration centrale ».
Si la conservation durant cinq ans de certaines de ces données apparait pertinente pour en tirer une analyse à des fins de pilotage, la CNIL s'interroge sur la nécessité d'une telle durée pour satisfaire les autres finalités du traitement et, plus globalement, l'objectif de prise en charge des signalements.
Elle prend acte de l'engagement du ministère de modifier le décret pour préciser qu'il s'agit d'une durée de conservation maximale.
Enfin, l'AIPD pourrait préciser les besoins de conserver les données durant cinq ans au regard des missions de chaque accédant au traitement, en particulier des accédants qui assurent des actions de pilotage de la politique éducative et de prévention.
D. - Sur l'information des personnes
S'agissant des modalités d'information des personnes, il ressort des précisions apportées qu'une information générale sera délivrée :
- sur une page web dédiée (Eduscol) ;
- par le biais d'un affichage dans les établissements d'enseignement.
Il n'est prévu d'information adaptée ni pour les personnes mineures, ni sur l'aménagement du principe de l'information individuelle.
De manière générale, la CNIL rappelle que le fait d'aménager le droit à l'information, en dérogeant au principe de l'information individuelle pour ne faire qu'une information générale doit, dans le projet de décret, répondre aux conditions prévues à l'article 23.2 du RGPD. Elle invite dès lors le ministère à indiquer dans le projet de décret s'il entend faire usage de cette disposition pour aménager le droit à l'information.
S'agissant, en particulier, de l'information des personnes mineures, la CNIL souligne l'importance de mettre à disposition de ces personnes une information simple et pédagogique, adaptée à la tranche d'âge. Cette information devra notamment expliquer clairement :
- l'objectif poursuivi par le traitement ;
- qui seront les accédants et les destinataires du traitement ;
- les modalités d'exercice des droits d'accès, de rectification et de limitation et les raisons pour lesquelles elles ne peuvent exercer seules ces droits (CNIL, SP, 19 octobre 2023, avis sur projet de décret, Enquête harcèlement, n° 2023-110, publié).
Si cette information peut être délivrée aux responsables légaux pour ce qui concerne les très jeunes enfants (Groupe de travail « Article 29 », Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, version révisée et adoptée le 11 avril 2018, §§14-15), elle pourrait, pour les autres personnes mineures, prendre la forme d'une infographie et d'une intervention orale par leurs directeurs d'école et chefs d'établissement, par exemple (v. CNIL, SP, 19 octobre 2023, précité).
La CNIL prend acte des dernières précisions apportées selon lesquelles :
- une information orale sera réalisée auprès des classes en début d'année par les équipes des écoles. Cette consigne sera transmise aux équipes pédagogiques lors des formations des utilisateurs dispensées par le service de défense et de sécurité du ministère et sera également rappelée dans le guide utilisateur ;
- un support illustré à destination des classes sera réalisé pour guider leur prise de parole. Ce support sera également intégré dans le kit de formation des utilisateurs pour expliquer le fonctionnement de l'application « Faits établissement ».
E. - Sur les mesures de journalisation
Il ressort des précisions apportées par le ministère que le décret sera modifié pour prévoir que les données de journalisation des accès soient conservées pendant un an en base active, puis versées en base d'archives intermédiaires jusqu'à l'expiration d'un délai de cinq ans après enregistrement du fait, pour assurer la sécurité et la défense du système d'information et des informations qu'il comporte. La CNIL rappelle que la durée de conservation des journaux de six ans n'est pas conforme à ses préconisations pour ce type de traitement, qui serait de six mois à un an. En l'espèce, aucune disposition réglementaire ne semble justifier l'application d'une durée substantiellement plus longue.
La CNIL considère, en outre, comme nécessaire qu'une analyse des données de journalisation des accès soit réalisée afin de détecter tout comportement suspect. Ce dernier devrait faire l'objet d'une alerte auprès des équipes techniques avec la possibilité d'une suspension temporaire des accès le temps de réaliser une levée de doute.
F. - Sur les mesures de sécurité
Le ministère a transmis l'AIPD incluant des mesures de sécurité mises en œuvre et un plan d'action. La CNIL relève que ce dernier contient notamment le lancement d'une démarche d'homologation de conformité aux référentiel PSSIE (Politique de sécurité des systèmes d'information de l'état) et RGS (Référentiel général de sécurité).
Sur la gestion des accès, la CNIL relève que des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. En l'absence d'information sur ce point, elle recommande qu'une authentification multi-facteur soit mise en œuvre (CNIL, SP, 20 mars 2025, recommandation, authentification multi-facteurs (MFA), n° 2025-019, publiée).
La CNIL relève que le processus d'exportation génère des données pseudonymisées et permet leur enregistrement dans des fichiers non structurés. Elle rappelle que ces données indirectement identifiantes devraient bénéficier de mesures de sécurisation appropriées et que seules les personnes autorisées doivent pouvoir y accéder, dans des conditions préalablement spécifiées.
Sur le chiffrement des flux, la CNIL relève que les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et du destinataire. En l'absence d'information sur ce point, la CNIL recommande d'utiliser la version de TLS la plus à jour possible.
Concernant la sécurisation des accès des établissements et en l'absence d'information sur ce point, la CNIL rappelle que les sites web doivent faire l'objet de mesure à l'état de l'art afin de garantir leur sécurité. A ce titre, la CNIL rappelle la nécessité de mettre en place des mesures spécifiques, telles que celles recommandées par l'ANSSI dans les « recommandations pour la sécurisation des sites web ».
1 version