RGPD et logiciel scolaire : le guide pratique du directeur d'école (2026)

Guide RGPD à destination des directeurs d'école : registre des traitements, base légale, durée de conservation, sous-traitants, hébergement UE et droits des familles. Checklist concrète et exemples appliqués au logiciel de gestion scolaire.

RGPDConformitéSécuritéNoorSchoolDirection d'écoleEdTech

RGPD et logiciel scolaire : le guide pratique du directeur d'école

Un établissement scolaire traite des données sensibles de mineurs : identité, santé, situation familiale, résultats. Le RGPD (règlement UE 2016/679) impose des obligations précises au responsable de traitement — c'est-à-dire l'école elle-même, pas l'éditeur du logiciel.

Voici la checklist pratique appliquée au choix d'un logiciel de gestion scolaire.

1. Identifier la base légale de chaque traitement

TraitementBase légale recommandée
Inscription scolaireExécution d'un contrat
Suivi de scolarité, notes, absencesMission d'intérêt public
Photo de classe sur le site webConsentement explicite
Newsletter aux famillesConsentement explicite
Facturation et relancesObligation légale (comptable)

2. Tenir un registre des traitements

Obligatoire dès le 1er salarié. Le registre liste : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité. Un bon logiciel scolaire vous fournit un modèle de registre prérempli.

3. Vérifier l'hébergement et les transferts hors UE

Privilégiez un hébergement en Union européenne pour éviter les complications du Cloud Act américain. Demandez à l'éditeur :

  • Où sont physiquement stockées les données ?
  • Y a-t-il des sous-traitants hors UE (analytics, support) ?
  • Existe-t-il un DPA (Data Processing Agreement) signé ?

NoorSchool est hébergé en Europe et fournit un DPA standard signé par défaut.

4. Définir les durées de conservation

DonnéeDurée recommandée
Dossier scolaire actifDurée de la scolarité
Dossier scolaire archivé10 ans après le départ
Données de facturation10 ans (obligation comptable)
Logs de connexion6 mois à 1 an
Candidatures non retenues2 ans maximum

Le logiciel doit permettre de purger automatiquement les données expirées.

5. Garantir les droits des familles

Le RGPD donne aux familles :

  • droit d'accès,
  • droit de rectification,
  • droit à l'effacement (sous réserve des obligations légales),
  • droit à la portabilité,
  • droit d'opposition.

Vérifiez que votre logiciel propose un portail famille permettant de consulter et corriger les données directement.

6. Documenter les mesures de sécurité

Au minimum :

  • chiffrement TLS 1.2+ en transit ;
  • chiffrement au repos ;
  • authentification forte (2FA) pour les administrateurs ;
  • journalisation des accès ;
  • sauvegardes quotidiennes testées ;
  • procédure de notification de violation sous 72h.

7. Former le personnel

La principale faille reste humaine : mots de passe partagés, USB perdues, mails à la mauvaise classe. Prévoyez une session de sensibilisation annuelle.

Checklist finale avant signature

  • L'éditeur fournit un DPA signé.
  • Hébergement en UE confirmé par écrit.
  • Liste exhaustive des sous-traitants disponible.
  • Durées de conservation paramétrables.
  • Export des données possible (portabilité).
  • Suppression sur demande possible.
  • Logs d'accès consultables par l'admin.
  • Référent CNIL ou DPO joignable.

Pour aller plus loin

Cet article est informatif et ne constitue pas un conseil juridique. Consultez votre DPO ou la CNIL pour les cas spécifiques à votre établissement.