RGPD et photos en maternelle : guide 2026
Une enseignante de PS m'écrivait la semaine dernière : "Je fais des photos tous les jours pour le carnet de suivi, et j'ai peur de mal faire. Les parents signent une autorisation en début d'année, c'est bon ?"
Pas vraiment. La signature de septembre ne couvre pas tout, et le RGPD, côté maternelle, reste flou pour beaucoup. Je ne suis pas enseignant, je développe Tifox, et c'est la question qui revient le plus souvent quand je parle carnet de suivi numérique avec des directrices. Voici ce qu'il faut savoir en 2026, sans jargon, avec les sources officielles.
Une autorisation parentale, oui, mais pas n'importe laquelle
La CNIL est claire : dès qu'une école veut utiliser une photo d'élève (journal, site, trombinoscope, cahier partagé), elle doit obtenir le consentement écrit des parents ou représentants légaux. Pas un oral, pas un "on a toujours fait comme ça".
Une autorisation générique signée en septembre qui dit "j'autorise les photos de mon enfant" ne suffit pas. Elle doit être précise sur trois points : la finalité (pourquoi on photographie), le support (carnet de suivi interne, site de l'école, blog de classe, trombinoscope) et la durée de diffusion. Une photo prise pour le carnet de suivi n'a pas vocation à atterrir sur le Facebook de la mairie.
En pratique, le plus simple est de séparer les autorisations par usage. Une case pour le carnet de suivi, une pour le site de l'école, une pour les productions affichées dans le couloir. Les parents cochent ce qu'ils acceptent. Certains refusent le site public mais acceptent le carnet de suivi partagé avec eux seuls. C'est leur droit, et ça clarifie tout.
Les photos "internes" aussi sont du traitement de données
Beaucoup d'enseignantes pensent que les photos qui restent dans la classe, sur le téléphone perso ou dans un classeur, échappent au RGPD. C'est faux.
Dès qu'une photo identifie un enfant et qu'elle est stockée quelque part, c'est un traitement de données personnelles. Téléphone perso, clé USB, Drive perso, appli d'école : tout est concerné. Le ministère rappelle d'ailleurs que le responsable de traitement est le DASEN pour le premier degré, et que chaque académie dispose d'un délégué à la protection des données (DPD) à qui poser ses questions.
Concrètement, ça veut dire quoi ? Que les photos sur le téléphone personnel, c'est la mauvaise pratique typique. Le téléphone est volé, perdu, les photos se retrouvent dans le cloud iCloud ou Google Photos sans qu'on le veuille. Et ce cloud est souvent hébergé aux États-Unis, hors du cadre RGPD strict. Mieux vaut un outil pensé pour l'école, dont on sait où les données dorment, et qui n'a pas la moitié de l'album photo de vacances à côté.
Conservation, partage, suppression : les règles concrètes
Le RGPD impose trois principes simples mais souvent oubliés en maternelle.
Minimisation. On ne garde que ce qui sert. Une photo de GS en atelier phonologie n'a aucune raison de traîner trois ans après le passage en CP. Le carnet de suivi couvre la scolarité maternelle, puis il est remis à la famille. Les copies "au cas où" sur le Drive de l'école sont à supprimer.
Durée de conservation définie à l'avance. C'est une obligation : pas de stockage illimité. La CNIL rappelle que les données ne peuvent être conservées indéfiniment et qu'il faut fixer une durée en fonction de la finalité. Pour un carnet de suivi, la durée logique, c'est la scolarité maternelle plus la remise à la famille en fin de GS.
Partage limité au strict nécessaire. Une photo partagée à la remplaçante qui prend la classe deux jours, pourquoi pas. La même photo envoyée sur le groupe WhatsApp des parents de la classe voisine, non. Chaque partage hors du cadre prévu est une fuite potentielle, et les parents sont en droit de demander des comptes.
Droit à l'effacement : le vrai gros sujet
C'est l'article du RGPD dont on parle le moins, mais qui remonte le plus dans les plaintes. Les parents peuvent demander à tout moment la suppression des photos de leur enfant. Pas "à la fin de l'année", pas "si l'enseignante est d'accord" : à tout moment.
Si un parent sépare du second parent, si l'enfant change d'école en cours d'année, si les parents regrettent d'avoir signé l'autorisation en septembre, ils écrivent un mail et la suppression doit être effective rapidement. En moyenne, la CNIL considère qu'un mois est raisonnable.
Le problème côté classe : si vos photos sont éparpillées sur un téléphone, un PC portable, une clé USB, un Drive, le cahier de la maternelle année précédente, un compte Photos familial... comment vous garantissez la suppression complète ? Vous ne pouvez pas. C'est exactement le genre de situation qui tombe sous le coup d'une violation de données, et la CNIL a publié en 2025 des guides dédiés aux établissements scolaires pour aider à gérer ces incidents.
Ce que ça change concrètement pour un carnet de suivi numérique
Si vous utilisez une appli pour le carnet de suivi, trois questions à poser, et les réponses doivent être claires avant de signer :
- Où sont hébergées les données ? (Un serveur en France ou dans l'UE change tout. Un serveur aux US avec le Cloud Act dans le dos, c'est une galère juridique sur laquelle le DPD d'académie vous tirera l'oreille.)
- Combien de temps les photos sont-elles conservées, et qui peut demander leur suppression ?
- Qui a accès aux données à part vous et les parents concernés ? L'éditeur lit-il les photos ? Les revend-il à des tiers pour "améliorer" un algorithme ?
Sur Tifox, la réponse est directe : hébergement en France (OVH), aucun tracking, aucune revente, et le droit à l'effacement appliqué à la demande, pas à la marge. C'est un argument technique, pas marketing : quand vous présentez l'outil à votre directrice ou à votre inspection, ces trois points sont ce qu'ils vont regarder en premier.
Et franchement, c'est tant mieux que le RGPD impose ce cadre. Les photos d'un enfant de 3 ans en atelier, ce n'est pas une donnée anodine. Autant que l'outil qui les porte soit pensé pour les protéger, pas pour les monétiser.
Partager cet article
