1- Quelles données une école manipule au quotidien
Avant de parler de protection, il faut mesurer l'étendue des données que votre établissement collecte, stocke et traite chaque jour. Elles se répartissent en quatre catégories, chacune avec un niveau de sensibilité différent.
Données personnelles
- Noms, prénoms, dates de naissance
- Adresses postales et e-mails
- Numéros de téléphone des parents
- CIN, code Massar
Données académiques
- Notes, moyennes, bulletins
- Absences et retards
- Appréciations des enseignants
- Historique de scolarité
Données financières
- Montants des frais de scolarité
- Historique des paiements
- Impayés et relances
- Reçus et factures
Données médicales
- Allergies, traitements en cours
- Handicaps ou besoins spécifiques
- Certificats médicaux
- Contacts d'urgence
Le constat : une école privée manipule des données personnelles, financières et médicales concernant des mineurs. C'est l'une des combinaisons les plus sensibles qui existe. Toute fuite ou négligence peut avoir des conséquences juridiques et réputationnelles graves.
2- Le cadre légal au Maroc : loi 09-08 et RGPD
Le Maroc dispose d'un cadre juridique solide en matière de protection des données personnelles. Si vous gérez une école privée, vous êtes directement concerné.
La loi 09-08 (2009)
C'est la loi marocaine relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Elle s'inspire directement de la directive européenne 95/46/CE et impose des obligations strictes à tout organisme qui collecte des données personnelles, y compris les écoles.
- Déclaration préalable auprès de la CNDP
- Consentement éclairé des personnes concernées
- Finalité légitime et proportionnalité de la collecte
- Droit d'accès, de rectification et de suppression
La CNDP (Commission Nationale)
La Commission Nationale de contrôle de la protection des Données à caractère Personnel est l'autorité de régulation. Elle peut effectuer des contrôles, recevoir des plaintes et prononcer des sanctions. Toute école qui collecte des données doit être déclarée auprès de la CNDP.
Le RGPD : quand s'applique-t-il ?
Le Règlement Général sur la Protection des Données (RGPD) européen s'applique dès lors que votre école traite des données de résidents européens (familles expatriées, écoles françaises au Maroc) ou utilise un prestataire basé en Europe. En pratique, de nombreuses écoles privées marocaines sont concernées.
Les obligations clés pour votre école : déclarer vos traitements à la CNDP, informer les parents sur l'utilisation de leurs données, garantir la sécurité du stockage, permettre l'exercice des droits (accès, rectification, suppression) et ne conserver les données que le temps nécessaire.
3- Les 5 piliers d'une sécurité sérieuse
Que vous utilisiez un logiciel de gestion scolaire ou un simple tableur, voici les cinq piliers indispensables pour protéger les données de votre établissement.
Hébergement certifié
Vos données doivent être hébergées sur une infrastructure certifiée (ex. AWS avec certification ISO 27001). Cela garantit la sécurité physique des serveurs, la redondance et la disponibilité.
Chiffrement SSL/TLS
Toutes les communications entre l'utilisateur et le serveur doivent être chiffrées en HTTPS (SSL/TLS). Les données au repos doivent également être chiffrées (AES-256).
Rôles et droits d'accès
Chaque utilisateur ne doit voir que ce qui le concerne. Un enseignant ne voit pas les paiements. Un parent ne voit que son enfant. La direction a une vue globale. C'est le principe du moindre privilège.
Sauvegardes automatiques
Des sauvegardes quotidiennes automatiques, stockées sur des serveurs distincts, permettent de restaurer les données en cas d'incident (panne, erreur humaine, attaque).
Journaux d'audit
Chaque action sensible (connexion, modification de note, export de données, suppression) doit être tracée : qui, quand, quoi. Ces journaux permettent de détecter les anomalies et de répondre aux exigences de la CNDP en cas de contrôle.
4- Checklist sécurité pour votre établissement
Utilisez cette checklist pour évaluer le niveau de protection des données dans votre école. Si vous cochez moins de 6 points, il est temps d'agir.
Déclaration CNDP à jour
Vos traitements de données sont déclarés auprès de la Commission Nationale.
Consentement parental documenté
Les parents ont signé un formulaire autorisant la collecte et le traitement des données de leur enfant.
Hébergement sécurisé et certifié
Les données ne sont pas sur un serveur local non protégé ou un simple Google Drive partagé.
Accès par rôle (pas de mot de passe partagé)
Chaque utilisateur a son propre compte avec des droits adaptés à sa fonction.
Connexions chiffrées (HTTPS)
Toutes les communications entre vos utilisateurs et votre logiciel passent par un canal sécurisé.
Sauvegardes automatiques et testées
Des backups sont effectués quotidiennement et vous avez déjà vérifié qu'une restauration fonctionne.
Politique de confidentialité communiquée
Les familles savent quelles données vous collectez, pourquoi, et comment elles sont protégées.
Procédure de suppression des données en fin de scolarité
Quand un élève quitte l'école, ses données sont archivées puis supprimées selon un calendrier défini.
Vous voulez une solution conforme et sécurisée ?
SchoolApp est conçu pour protéger les données de votre école. Réservez une démo pour voir comment.