Par une délibération récemment publiée au Journal officiel, la Commission nationale de l’informatique et des libertés (CNIL) a adopté une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les collectivités territoriales, et les personnes morales de droit public et de droit privé gérant un service public en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance. Autrement dit, ces traitements de données font l’objet d’une procédure de déclaration simplifiée auprès de la CNIL.
Peuvent bénéficier de la procédure de déclaration simplifiée, les traitements de données ayant pour finalité la préinscription, l’inscription, le suivi et la facturation mis en œuvre par les services suivants :
→ scolarisation en école maternelle et élémentaire ;
→ recensement des enfants soumis à l’obligation scolaire ;
→ restauration scolaire et extrascolaire ;
→ transports scolaires et transports de substitution pour les élèves présentant un handicap ;
→ accueils et activités périscolaires et extrascolaires ;
→ accueils collectifs de mineurs ;
→ participation à l’organisation matérielle et financière des sorties scolaires, séjours scolaires courts et classes de découvertes dans le premier degré ;
→ accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de 6 ans.
Les données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité précisément poursuivie par le responsable de traitement, indique la CNIL. Ainsi peuvent être collectées et traitées les données suivantes, y compris sous la forme de pièces justificatives :
→ les données relatives aux représentants légaux de l’enfant (identité et coordonnées, titre justifiant de l’autorité parentale, attestation d’assurance, revenu imposable, numéro d’allocataire à la caisse des allocations familiales…) ;
→ les données relatives aux enfants (identité et coordonnées, établissement scolaire fréquenté, informations sur les allergies ou pathologies nécessitant une prise en charge particulière ou une adaptation des conditions d’accueil sous réserve du consentement exprès des représentants légaux, information sur la présence d’un handicap…).
Les données ne peuvent être conservées que le temps strictement nécessaire à l’accomplissement de la finalité pour laquelle elles ont été collectées, indique la CNIL. Ainsi, les données collectées et leurs pièces justificatives ne doivent pas être conservées, en base active, au-delà de la durée de la scolarisation de l’élève, de l’année scolaire pour le contrôle de l’obligation légale de scolarisation, de l’inscription de l’enfant à une activité périscolaire, extrascolaire, à la restauration scolaire ou extrascolaire et à un transport scolaire, de l’inscription de l’enfant dans un établissement ou service d’accueil des enfants de moins de 6 ans, de l’instruction du dossier pour les préinscriptions à une structure ou une activité à laquelle il n’a pas été donné suite et, pour les services payants, de celle qui est nécessaire au recouvrement des sommes dues. A l’issue de cette durée, les données probatoires (en cas de contentieux, notamment) peuvent être conservées au sein d’une base d’archives intermédiaires. Les données doivent ensuite être supprimées de manière sécurisée ou archivées à titre définitif.
Les représentants légaux des enfants concernés doivent être informés, préalablement à la mise en œuvre du traitement, de l’identité du responsable du traitement ou de son représentant, de la finalité poursuivie par le traitement, du caractère obligatoire ou facultatif de chaque donnée, des destinataires ou catégories de destinataires des données, de l’existence et des modalités d’exercice des droits d’opposition pour motif légitime, d’accès aux données les concernant et de rectification. Le responsable du traitement est tenu, quant à lui, de veiller à ce que les destinataires habilités accèdent aux seules données adéquates, pertinentes et non excessives au regard des finalités nécessitant la communication de ces données(1). Il doit en outre prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données.
La mise en œuvre des traitements de données est subordonnée à l’envoi préalable à la CNIL d’une déclaration faisant référence à la norme simplifiée. Cette déclaration dite de « conformité à une norme simplifiée » peut s’effectuer par téléprocédure sur le site Internet de la CNIL (
(1) La liste de ces destinataires est fixée par la délibération.