IZIRO est un logiciel RGPD conçu pour les écoles primaires et maternelles, intégrant les fiches de traitement pré-rédigées pour ONDE (Base élèves), les ENT académiques, les PAI/PPS (données de santé des élèves) et la gestion dématérialisée du consentement parental pour le droit à l'image — à partir de 28 €/mois, sans engagement.
En France, environ 50 000 écoles du premier degré traitent quotidiennement des données personnelles de mineurs dans un cadre juridique complexe où le responsable de traitement est le DASEN pour les traitements pédagogiques publics, l'OGEC pour l'enseignement privé sous contrat, et la commune pour le périscolaire. Le Code de l'éducation (Art. L131-2) impose le déploiement d'outils numériques dans les écoles via le service public du numérique éducatif, mais le RGPD encadre strictement chaque donnée collectée via ces outils.
Gagnez 80 % de temps sur votre mise en conformité RGPD éducation nationale premier degré. Accédez directement depuis notre logiciel de conformité RGPD à une bibliothèque de traitements standards spécifiquement conçue pour les exigences des directeurs d'école, DPO académiques et collectivités territoriales gestionnaires d'écoles publiques. La Loi SREN du 21 mai 2024 renforce les protections des mineurs dans l'environnement numérique — la conformité scolaire est un sujet en mouvement permanent, et un registre maintenu sur tableur ne suit pas le rythme réglementaire.
Un directeur d'école traite des données personnelles de mineurs à chaque étape de la journée scolaire : inscription, appel, cantine, photo de classe, sortie, suivi médical. Cette surface de données génère des obligations RGPD spécifiques que les outils généralistes ignorent.
La complexité des données : Les Projets d'Accueil Individualisé (PAI) et Projets Personnalisés de Scolarisation (PPS) contiennent des données de santé sensibles au sens de l'article 9 du RGPD : pathologie de l'enfant, traitement médical, protocole d'urgence, allergies alimentaires. L'article 8 du RGPD et la Loi Informatique et Libertés fixent l'âge du consentement numérique à 15 ans en France : tout déploiement de service numérique optionnel (application pédagogique, outil de visioconférence) auprès d'élèves de moins de 15 ans exige le consentement parental documenté. La CNIL a par ailleurs questionné la conformité des versions gratuites de Microsoft 365 Education et Google Workspace for Education dans l'enseignement, soulevant des problèmes de transferts de données vers les États-Unis.
La zone grise commune / Éducation nationale : La commune est responsable de traitement pour les inscriptions scolaires, la restauration, le périscolaire et le transport (Guide CNIL pour les collectivités territoriales). Le DASEN est responsable des traitements pédagogiques (ONDE, LSU, évaluations nationales). Le directeur d'école, lui, met en œuvre les deux catégories au quotidien sans toujours savoir laquelle relève de sa hiérarchie et laquelle relève de la mairie. Cette double responsabilité crée des trous dans le registre des traitements école primaire CNIL si l'outil de conformité ne couvre qu'un seul périmètre.
L'écosystème logiciel : Chaque école s'appuie sur une chaîne de prestataires soumis à l'article 28 du RGPD : fournisseur d'ENT académique (espace numérique de travail données élèves), GAR (Gestionnaire d'Accès aux Ressources), éditeurs de manuels numériques, prestataire de restauration scolaire, photographe scolaire. Le GAR agit comme tiers de confiance entre l'école et les éditeurs en transmettant uniquement les données strictement nécessaires (principe de minimisation, Art. 5.1.c RGPD). Le Schéma Directeur des ENT (SDET) du Ministère impose des exigences de cloisonnement des données par établissement et de journalisation des accès. IZIRO centralise les DPA de l'ensemble de ces acteurs et trace leur conformité.
La confusion sur le responsable de traitement est le premier frein opérationnel à la mise en conformité RGPD d'une école. L'article 4§7 du RGPD définit le responsable de traitement comme la personne morale qui détermine les finalités et les moyens du traitement. Dans le contexte scolaire français, cette responsabilité se répartit en quatre branches distinctes.
École publique — traitements pédagogiques : Le DASEN (Directeur Académique des Services de l'Éducation Nationale) est responsable de traitement pour ONDE (base élèves ONDE traitement données personnelles), le Livret Scolaire Unique (LSU), les évaluations nationales et les ENT académiques. Le directeur d'école est l'opérateur au quotidien, pas le responsable juridique.
École publique — traitements périscolaires : La commune est responsable de traitement pour l'inscription scolaire, la restauration, la garderie périscolaire, le transport scolaire et les activités extrascolaires. Ces traitements sont absents du registre académique fourni par le rectorat.
École privée sous contrat : L'OGEC (Organisme de Gestion de l'Enseignement Catholique) ou l'association gestionnaire est responsable de traitement pour l'ensemble des données de l'établissement, pédagogiques et administratives confondues.
Traitements mutualisés : Le rectorat ou l'académie est responsable de traitement pour les outils déployés à l'échelle académique (ENT académique, applications ministérielles). Le DPO académie rectorat établissement scolaire pilote la conformité de ces traitements centralisés.
IZIRO gère cette complexité grâce à son architecture multi-entités : la commune, l'école et le rectorat disposent chacun de fiches de traitement distinctes avec la bonne qualification du responsable de traitement directeur école DASEN, tandis que le DPO mutualisé consolide la vue d'ensemble dans un tableau de bord unique.
IZIRO intègre nativement un référentiel de traitements standards pour les écoles du premier degré — primaires et maternelles. Chaque fiche est pré-paramétrée avec les finalités, bases légales, catégories de données et durées de conservation alignées sur les circulaires du Ministère de l'Éducation nationale et la doctrine CNIL.
Modèles validés conformes aux recommandations du Ministère de l'Éducation nationale, du SDET et du Guide CNIL pour les collectivités territoriales.
Exemples de traitements inclus dans la plateforme :
🟡 Gestion de la base élèves ONDE et du LSU — Suivi administratif et pédagogique des élèves conformément aux applications ministérielles, avec qualification de la base légale « mission d'intérêt public » (Art. 6.1.e RGPD).
🟡 Gestion des PAI/PPS (données de santé) — Protocoles d'accueil individualisé et projets personnalisés de scolarisation, avec identification des données sensibles (Art. 9 RGPD) et génération automatique d'une pré-AIPD conforme à la délibération CNIL n° 2018-327.
🟡 Photographie scolaire et droit à l'image des élèves — Gestion de la photographie scolaire droit image élève RGPD avec distinction par finalité (trombinoscope, site web, photographe externe, association de parents).
🟡 Gestion des ressources humaines école — Fiches adaptées aux enseignants, ATSEM, intervenants extérieurs, accompagnateurs bénévoles.
Cette plateforme registre RGPD vous évite les semaines de mise en conformité sur tableur. Importez les fiches du pack école, ajustez-les à votre établissement, validez : votre registre traitements école primaire CNIL est opérationnel. Les établissements du second degré (collèges, lycées) bénéficient de packs spécifiques adaptés à leurs propres contraintes réglementaires.
La gestion des PAI et PPS est le traitement le plus sensible d'une école primaire : il implique des données de santé d'enfants mineurs, encadrées par l'article 9 du RGPD et la circulaire n° 2003-135 du 8 septembre 2003 pour les PAI, et l'article L112-1 du Code de l'éducation pour les PPS. La base légale est l'obligation légale, pas le consentement.
Finalités pré-rédigées : Adapter l'accueil scolaire d'un élève présentant un trouble de santé ou un handicap ; administrer un traitement médical en urgence selon le protocole défini par le médecin.
Durée de conservation normée : Durée de scolarisation de l'élève dans l'école + 1 an (circulaire n° 2003-135 et recommandations académiques).
Données sensibles identifiées : Pathologie de l'enfant, traitement médical, protocole d'urgence, allergies alimentaires, coordonnées du médecin traitant, aménagements pédagogiques prescrits.
Destinataires strictement encadrés : Directeur, enseignant de la classe, médecin scolaire, ATSEM concerné.
Mesures de sécurité : Accès restreint, armoire fermée à clé pour les versions papier, chiffrement pour les versions numériques.
Importez cette fiche, ajustez les destinataires à votre équipe, et votre registre couvre le traitement le plus critique de l'école.
Une commune rurale de 8 000 habitants gérant 6 écoles primaires et maternelles (4 publiques, 2 privées sous contrat), avec un DPO mutualisé au niveau de l'intercommunalité et aucun juriste dédié.
Le défi : La CNIL a ciblé 22 communes simultanément en 2023 pour défaut de désignation de DPO. La commune devait constituer un registre couvrant à la fois les traitements périscolaires (cantine, garderie, transport pour les 4 écoles publiques) et accompagner les 2 écoles privées dans leur propre mise en conformité RGPD — le tout avant un audit de conformité demandé par la communauté de communes.
La solution : Activation du module école sur IZIRO. Création de 6 espaces distincts (un par école) + 1 espace commune. Import des fiches pré-paramétrées : ONDE, PAI/PPS, cantine, périscolaire, droit à l'image. Qualification systématique du responsable de traitement (DASEN pour les traitements pédagogiques publics, commune pour le périscolaire, OGEC pour les écoles privées).
Le résultat chiffré : Registre des activités de traitement généré à 90 % automatiquement pour les 7 entités. Centralisation des DPA avec les 4 sous-traitants clés (fournisseur ENT, éditeur de manuels numériques, prestataire de restauration, photographe scolaire). Le DPO mutualisé pilote désormais l'ensemble depuis un tableau de bord unique.
« Le registre-type du rectorat ne couvrait que les traitements Éducation nationale. Pour la cantine, le périscolaire, les photos de classe, on n'avait rien. Les modèles IZIRO ont couvert ces trous en deux jours — et quand l'intercommunalité a demandé un état des lieux global, j'ai exporté le tout en un clic. » — Claire, DPO mutualisée, communauté de communes.
Un logiciel RGPD adapté aux écoles comme IZIRO démarre à 28 €/mois. Pour une école publique, ce coût peut être pris en charge par la commune (compétence scolaire premier degré) ou mutualisé au niveau de la circonscription via le budget de fonctionnement. Rapporté au risque de mise en demeure CNIL — la CNIL a ciblé 22 communes simultanément en 2023 pour défaut de DPO — et au temps que le directeur consacre aujourd'hui à remplir manuellement des formulaires de consentement parental, le retour sur investissement est immédiat.
Non. Dans le premier degré public, le responsable de traitement est le DASEN (Directeur Académique des Services de l'Éducation Nationale), pas le directeur d'école. Cependant, le directeur met en œuvre les traitements au quotidien (ONDE, ENT, photos de classe, sorties scolaires) et doit pouvoir démontrer le respect des consignes académiques. En école privée sous contrat, c'est l'OGEC (Organisme de Gestion de l'Enseignement Catholique) ou l'association gestionnaire qui est responsable de traitement. IZIRO permet au directeur de documenter chaque traitement et de prouver sa conformité opérationnelle, quel que soit le statut juridique de l'établissement.
Oui, et c'est même recommandé. La commune est responsable de certains traitements liés à l'école (inscription scolaire, restauration, périscolaire, transport) tandis que l'Éducation nationale gère les traitements pédagogiques (ONDE, LSU, ENT). IZIRO gère le multi-entités nativement : la commune et l'école disposent chacune de leur propre registre avec des fiches de traitement distinctes, mais le DPO mutualisé — souvent désigné au niveau intercommunal — consolide la vue d'ensemble dans un tableau de bord unique. Cela évite les doublons et les zones grises sur la responsabilité de traitement de la cantine ou du périscolaire.
Les registres RGPD généralistes omettent systématiquement cinq traitements propres au premier degré : la gestion des PAI et PPS (protocoles d'accueil individualisé contenant des données de santé sensibles de l'enfant), le suivi des signalements au titre de la protection de l'enfance (information préoccupante), la gestion des photos de classe et du droit à l'image des mineurs par finalité, le registre des sorties scolaires avec hébergement (données des accompagnateurs bénévoles), et l'utilisation des tablettes ou ordinateurs pédagogiques avec traçage des usages numériques des élèves. IZIRO intègre ces fiches pré-rédigées dans son pack École.
Aucune obligation légale stricte n'impose un hébergement en France, mais la doctrine du Ministère de l'Éducation nationale et les circulaires académiques exigent que les données scolaires soient hébergées dans l'UE, et privilégient les hébergeurs qualifiés SecNumCloud ou au minimum certifiés ISO 27001 sur le territoire national. Pour les données de santé des élèves (PAI, allergies, handicap), la circulaire de 2017 sur le numérique éducatif recommande un hébergement souverain. IZIRO est hébergé en France sur des serveurs sécurisés, ce qui satisfait les exigences les plus strictes des rectorats et des inspections académiques lors des audits de conformité.
Contenu mis à jour en avril 2026. Rédigé par l'équipe IZIRO, spécialiste conformité RGPD secteur éducatif. Cet article ne se substitue pas aux instructions de votre académie ou de votre DSDEN. Pour les obligations spécifiques à votre circonscription, consultez le DPO académique ou le référent RGPD de votre rectorat. IZIRO est hébergé en France sur des serveurs sécurisés et compatible avec les exigences des marchés publics des collectivités territoriales.