RGPD école : guide de conformité site internet

Depuis l'entrée en vigueur du RGPD en 2018, les établissements scolaires sont soumis aux mêmes obligations que n'importe quelle organisation traitant des données personnelles. Or, la grande majorité des sites de lycées, collèges et centres de formation ne sont pas conformes — s'exposant à des sanctions de la CNIL et, surtout, à une perte de confiance des familles.

Ce guide pratique vous explique ce que le RGPD impose concrètement pour votre site internet et comment mettre votre établissement en conformité rapidement.

1. Pourquoi le RGPD concerne directement votre établissement

Dès lors que votre site collecte des données personnelles — ce qui est le cas dès qu'il dispose d'un formulaire de contact, d'un formulaire d'inscription à la newsletter ou d'un outil d'analyse de trafic (Google Analytics) — vous êtes soumis au RGPD. En tant qu'établissement traitant des données d'enfants mineurs, les obligations sont renforcées.

💡 La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Pour les établissements scolaires, les sanctions les plus courantes sont des mises en demeure et des sanctions symboliques — mais elles entraînent une atteinte à la réputation non négligeable.

2. Les 6 obligations RGPD pour votre site

1. La politique de confidentialité

Chaque site doit disposer d'une page « Politique de confidentialité » accessible depuis le pied de page. Elle doit expliquer quelles données vous collectez, pourquoi, pendant combien de temps, et quels sont les droits des utilisateurs.

2. Le bandeau de consentement aux cookies

Si votre site utilise des cookies non essentiels (analytics, réseaux sociaux, publicité), vous devez afficher un bandeau de consentement clair avec une option de refus aussi accessible que l'acceptation.

3. La sécurisation des formulaires

Tout formulaire de contact ou d'inscription doit comporter une case à cocher explicite pour le traitement des données, un lien vers la politique de confidentialité, et un mécanisme de suppression des données sur demande.

4. La désignation d'un DPO ou référent RGPD

Les établissements scolaires publics sont tenus de désigner un délégué à la protection des données (DPO). Pour les établissements privés, c'est fortement recommandé. Le DPO peut être interne ou externalisé.

5. La sécurité des données

Le site doit être hébergé sur un serveur sécurisé (certificat HTTPS obligatoire), avec des sauvegardes régulières et un plan de réponse aux violations de données. En cas de fuite de données, vous avez 72 heures pour en informer la CNIL.

6. Les droits des personnes

Vos utilisateurs (familles, élèves, candidats) ont des droits sur leurs données : droit d'accès, de rectification, d'effacement, de portabilité. Vous devez être en mesure de traiter ces demandes dans un délai d'un mois.

3. Check-list rapide de conformité RGPD

• ✅ Page politique de confidentialité présente et à jour
• ✅ Bandeau cookies conforme avec option de refus visible
• ✅ Formulaires avec case de consentement explicite
• ✅ Site en HTTPS (certificat SSL valide)
• ✅ DPO ou référent RGPD identifié
• ✅ Procédure de traitement des demandes de droits documentée
• ✅ Hébergement conforme (idéalement hébergeur européen)

4. Google Analytics et RGPD : le cas particulier

Google Analytics collecte des données personnelles (adresses IP) et les transfère aux États-Unis. La CNIL française a jugé cette pratique non conforme au RGPD en l'absence de garanties suffisantes. Les alternatives conformes : Matomo (hébergé en France), Plausible Analytics, ou Google Analytics 4 avec anonymisation des IP activée et refus de partage des données publicitaires.

→ Ekole intègre la conformité RGPD dès la conception de votre site internet. Parlons de votre projet sur ekole.fr