1. Qui est responsable de traitement pour l’ensemble des données à caractère personnel du GAR, est-ce bien cela ?
L’arrêté du Ministère de l’Éducation Nationale et de la Jeunesse définit un « Traitement GAR » unique, sous la responsabilité exclusive du Ministre en charge de l’éducation nationale. Les fournisseurs de ressources sont sous-traitants pour les données envoyées par le GAR et dans la version 2 du contrat d’adhésion du GAR version 2020 les données couvertes par le traitement sont étendues aux données produites par les utilisateurs et hébergées sur les plateformes des éditeurs. Cette disposition permet en particulier aux chefs d’établissements de ne pas avoir à assumer les obligations RGPD pour la mise en œuvre des ressources, celles-ci étant prises en charge au niveau national.
Les obligations des signataires ont été précisées dans la version 2020 du contrat GAR, diffusée aux éditeurs.
Elles sont également détaillées par le référentiel technique, fonctionnel et de sécurité (RTFS), défini comme une des annexes du contrat GAR. La version 3.2 du RTFS et les versions suivantes incluent les éléments de conformité applicative des ressources, ces éléments de conformité ont été présentés en atelier Fournisseurs de Ressources GAR en novembre 2019.
2. Pour ce qui concerne les ressources, comment définir les finalités ?
Le Traitement GAR est unique, les exploitations de données au sein des ressources sont conduites sous la responsabilité des éditeurs comme sous-traitants du MEN au sens du RGPD. L’unicité du Traitement GAR implique qu’il n’y ait aucun autre traitement réalisé par le fournisseur de ressources que celui qui est sous la responsabilité du ministère pour faire fonctionner la ressource.
Les finalités sont définies par l’arrêté GAR. Les mentions d’information RGPD sont fournies aux utilisateurs sur le site gar.education.fr , par l’arrêté GAR ministériel qui est affiché en établissement, par une information relayée dans les ENT et bien entendu si elle est relayée aussi au sein de la ressource en ligne c’est encore mieux.
3. Données personnelles : comment sont encadrées les opérations réalisées par les fournisseurs de ressources dans le cadre du Traitement GAR ?
La déclaration de conformité applicative GAR 2020 (unité documentaire, données à caractère personnel (DCP) autorisées validées par le ministère, continuité des données pour les utilisateurs, réseaux sociaux, règles pour les liens externes, …) fournit tous les éléments nécessaires pour une ressource ou une collection de ressources, en complément de l’annexe sous-traitance RGPD au contrat d’adhésion.Cette conformité applicative est vérifiée au moment des tests d’accrochage au GAR, un rapport de conformité applicative est alors envoyé au fournisseur de ressources qui est engagé par le respect du Contrat GAR.
Toute non-conformité constatée ultérieurement en production entrainera une interruption d’accès à la ressource en attente d’instruction et de correction si nécessaire (bouton rouge).
4. Traitement des données personnelles. Quid du registre de traitement ?
La fiche registre GAR du ministère est unique pour toutes les ressources.
Les sous-traitants adhérents fournissent l’annexe au contrat GAR de sous-traitant RGPD et peuvent être sollicités pour participer à l’analyse de risque pour la protection des données, AIPD GAR, de façon récurrente.
Aucune autre fiche registre n’est nécessaire pour l’établissement pour les ressources numériques pour l’éducation accédées avec le GAR.