Une nouvelle norme simplifiée NS-058 pour la gestion des affaires scolaires, périscolaires, extrascolaires et de la petite enfance
Dans le cadre de son programme de simplification des formalités préalables pour les collectivités territoriales, la CNIL a adopté une norme simplifiée unique qui met à jour et abroge le cadre existant.
Le 10 décembre 2015, la Commission a adopté une norme simplifiée n°NS-058 qui fusionne et abroge les normes simplifiées n°NS-027 et n°NS-033. En effet, ces normes étaient désuètes et ne répondaient pas aux nouvelles préoccupations des acteurs concernés.
Cette nouvelle norme permet de simplifier, pour ces traitements courants, les démarches des collectivités territoriales et des organismes en charge d’un service scolaire, périscolaire et de petite enfance. Elle offre un cadre unifié et adapté aux contraintes liée à la gestion de ces services.
Après avoir vérifié que leur traitement s’inscrit précisément dans le champ d’application de cette norme, les responsables de traitements de données concernés devront effectuer un engagement de conformité à la norme NS-058 auprès de la CNIL.
Qui est concerné ?
Cette norme s’adresse aux collectivités territoriales, aux personnes morales de droit public et aux personnes morales de droit privé gérant un service public.
Sont notamment couverts par cette norme les traitements de données liés à la gestion :
- de la scolarisation en école maternelle et élémentaire,
- de la restauration scolaire et extrascolaire,
- des transports scolaires,
- de l’accueil et les activités périscolaires et extrascolaires,
- de l’accueil de la petite enfance au sein des établissements,
- des services d’accueil des enfants de moins de six ans.
Sont en revanche exclus du périmètre de cette norme les traitements de données relatifs à la gestion des écoles municipales de musique, précédemment couverts par la norme NS-027, et le contrôle par le maire de l’assiduité scolaire. Ces traitements de données doivent désormais faire l’objet d’une déclaration normale.
Quelles données peut-on collecter ?
La norme simplifiée NS-058 liste de façon limitative les données qui peuvent être collectées dans le cadre de ces fichiers.
Par exemple, la collecte de données relatives à la santé du mineur est possible, dès lors que ces données sont nécessaires à la bonne prise en charge de la personne concernée par le service l’accueillant.
L’école ou la structure d’accueil peut demander des pièces justificatives dès lors qu’elles sont strictement nécessaires à la réalisation des finalités poursuivies par le traitement de données.
Par exemple, les avis d’imposition ou de non-imposition, ainsi que les attestations d’assurance scolaire peuvent être exigés pour l’inscription à l’école ou à des activités périscolaires.
Des renseignements relatifs au régime alimentaire du mineur peuvent être collectés de manière facultative. Cependant, ils ne devront pas contenir de données faisant apparaître les origines raciales, ethniques ou religieuses du mineur concerné ni aucune donnée de santé.
Par exemple, les mentions « sans gluten », « sans sucre » ou « sans viande », pourront être indiquées, mais les mentions « halal » ou « casher » ne pourront pas apparaître.
La norme simplifiée NS- 058 ne permet pas l’usage du Numéro de sécurité sociale (NIR).
La norme simplifiée précise enfin les durées, les modalités de conservation, les destinataires des données traitées ainsi que les mesures de sécurité adaptées à la finalité du traitement qui doivent être mises en œuvre.
Afin d’accompagner les responsables de traitement dans leurs démarches, la CNIL propose sur son site internet un ensemble de fiches pratiques et de FAQ concernant ces différents aspects afin de leur permettre de disposer de renseignements complémentaires sur cette nouvelle norme.
Conséquences de l’abrogation des NS-027 et NS-033
Dans le cas où les responsables de fichiers avaient réalisé un engagement de conformité aux normes simplifiées NS-027 ou NS-033, deux cas de figure peuvent se présenter :
- Si les fichiers étaient conformes aux normes simplifiées NS-027 ou NS-033 et n’ont pas été modifiés depuis l’engagement de conformité :
- aucune démarche supplémentaire n’est requise.
- Si des modifications substantielles ont été réalisées sur ces traitements de données :
- Le responsable de fichier doit réaliser un nouvel engagement de conformité à la NS-058 en vérifiant que ses traitements sont conformes à ce nouveau cadre.