Les risques liés au numérique dans les crèches

Les usages du numérique en EAJE

Utiliser le numérique en EAJE devient – plus qu’une opportunité – une nécessité. Informatiser les dossiers ne suffit plus, il faut investir dans des outils digitaux pour alléger la charge de travail, sécuriser les données et satisfaire les attentes des familles.

 1 – Les outils numériques au service du directeur de crèche

Des outils métier proposent de digitaliser certains processus de travail en tenant compte des spécificités de fonctionnement des EAJE : gestion automatisée des plannings, planification des congés, facturation des familles, numérisation des contrats, etc. Pour le directeur de crèche, ces fonctionnalités constituent une aide précieuse à plusieurs égards :

• Gain de temps : les logiciels intègrent de l’IA pour automatiser des tâches répétitives, économisant du temps de travail.
• Diminution de la pénibilité au travail : l’automatisation de tâches rébarbatives rend le travail moins pénible, et le directeur d’EAJE se concentre sur des missions valorisantes.
• Optimisation de l’organisation : les systèmes numériques permettent de stocker les dossiers et les données dans un système organisé ; la conservation est sécurisée et la recherche d’informations est facilitée.

2 – Les outils numériques au service des familles

Dans le cadre de leur travail et de leur vie personnelle, les familles utilisent des outils numériques pour communiquer : plateformes de visioconférence au travail et réseaux sociaux dans leur quotidien, notamment. En toute logique, les parents souhaitent bénéficier des mêmes facilités dans le cadre de leurs relations avec la crèche.

Certains EAJE mettent en place des groupes WhatsApp ou Messenger pour communiquer avec les familles. Ces options, toutefois, ne sont pas suffisantes : aucune information personnelle ne peut être échangée dans les fils de discussion.

C’est dans ce contexte que se développent des plateformes numériques, qui se présentent sous forme d’applications de type portail famille. Les parents accèdent à des fonctionnalités utiles et appréciées :

• Un cahier de transmissions numérique : siestes, repas, activités, changes, etc. Chaque parent peut consulter le déroulement de la journée de son enfant, même s’il n’est pas venu lui-même chercher son enfant à la crèche.
• Un espace d’échanges, par messagerie de type chat ou e-mail : les parents peuvent joindre le personnel de crèche dès que nécessaire, et inversement. Cette possibilité est rassurante pour les familles.
• Un espace média, avec un album photo : le personnel de crèche peut alimenter l’espace média avec des photos de l’enfant prises à l’occasion des activités, pour partager son quotidien à ses parents.
• Un système de paiement des factures en ligne : les familles reçoivent leurs factures sur leur application et peuvent payer en ligne.

Toutes ces fonctionnalités sont au service de l’expérience utilisateur des familles et des personnels de crèche. Les parents, en effet, apprécient de disposer d’une information enrichie, et le personnel perd moins de temps à faire les transmissions.

Identification et prévention des risques liés au numérique en EAJE

Utiliser le numérique en EAJE est vertueux, à condition d’en maîtriser les dérives. Il faut protéger les jeunes enfants et leurs parents d’une part, et les personnels de crèche d’autre part. Trois risques majeurs doivent être anticipés :

• Les cyberattaques ;
• Les atteintes à la vie privée ;
• Les atteintes à l’intégrité des personnes.

1 – Le risque de cyberattaque : enjeux et mesures de protection

Les crèches informatisent massivement leurs processus et leurs données, selon deux configurations alternatives : sur site (« on-premise ») ou dans le cloud. Dans un cas comme dans l’autre, le risque de cyberattaque existe : par ransomwares, ces logiciels qui verrouillent l’ordinateur et demandent une rançon en échange du déverrouillage, ou encore par phishing, aussi appelé « hameçonnage », où le fraudeur se fait passer pour un organisme (banque, ou service des impôts, par exemple).

Illustration : en 2021, plusieurs crèches qui utilisent le même prestataire de cahier de transmissions numérique n’ont subitement plus accès à leurs données. En cause : une cyberattaque menée à l’encontre du prestataire¹.

Les données des EAJE intéressent d’autant plus les pirates qu’elles concernent de jeunes enfants – ce sont à cet égard des données sensibles – et qu’elles relèvent de la responsabilité d’une collectivité – pirater le système informatique d’une collectivité territoriale « offre » une publicité importante aux cybercriminels.

Les conséquences d’une cyberattaque sont très préjudiciables :

• L’interruption du service, la perte de données ou les difficultés momentanées d’accès aux données, selon la nature de la cyberattaque, désorganisent et paralysent l’EAJE. Le risque est d’autant plus élevé lorsque les données numérisées portent sur des informations de santé des jeunes enfants (allergies alimentaires, par exemple).
• Le vol de données personnelles porte préjudice aux familles, qui peuvent exiger une indemnisation. Une attention très particulière doit être portée aux photos : les photos des jeunes enfants, en cas de piratage informatique, sont susceptibles d’être détournées pour les usages des réseaux pédophiles.

Les conseils de L’ASL pour de bonnes pratiques 

Le gestionnaire de l’EAJE – la commune pour une crèche publique, l’association pour une crèche privée – est responsable d’assurer la cybersécurité du système informatique. En cas de vol des données personnelles des familles, sa responsabilité est mise en cause. Pour éviter les cyberattaques :

• Si les données sont hébergées sur site, il faut mettre en place des mesures adaptées pour protéger le système, éventuellement avec l’aide d’un expert. Il s’agit notamment d’installer un logiciel de cybersécurité. Prendre une cyber assurance devient en outre une pratique répandue pour indemniser les préjudices.
• Si les outils numériques sont hébergés dans le cloud – c’est le cas pour la plupart des plateformes SaaS de gestion de crèche –, le prestataire est responsable de sécuriser le système. En cas de brèche, le gestionnaire d’EAJE peut se retourner contre le prestataire pour se faire indemniser. Bien choisir son prestataire de services numériques est essentiel pour prévenir les risques. Les avis en ligne sont un gage de fiabilité. La certification SecNumCloud, également, permet de s’assurer que le prestataire respecte les plus hautes exigences en matière de sécurité dans le cloud.

Quelles que soient les modalités d’hébergement du système, il faut sensibiliser le personnel de crèche et les familles aux précautions élémentaires : garder ses identifiants et mots de passe secrets et se connecter à la plateforme via un réseau sécurisé, notamment.

2 – Le risque d’atteinte à la vie privée : la mise en conformité RGPD

Le règlement général sur la protection des données (RGPD) assure aux personnes la confidentialité de leurs données et évite un usage détourné de leurs données, dans un enjeu de respect de la vie privée. Parmi les règles imposées par le RGPD :

• Les EAJE, en tant que responsables de traitements de données, ne peuvent collecter des données personnelles des parents et des jeunes enfants qu’à condition de justifier d’un intérêt légitime. Le directeur de crèche collecte les données nécessaires pour facturer les familles, les données de santé pertinentes pour prendre soin des enfants, etc.
  
• La CNIL recommande² aux EAJE d’effacer les données personnelles des jeunes enfants dans un délai maximum de 3 ans après leur départ.
• Les familles doivent être dûment informées de l’usage qui est fait de leurs données et de leurs droits : droit de modification, droit d’opposition et droit à l’effacement, principalement.

Concrètement, le RGPD impose des mesures au niveau de l’organisation du système de données et de l’information délivrée aux familles.

Le DPO pour déléguer la mise en conformité RGPD

En tant que gestionnaires de crèches publiques, les communes sont réputées collecter et stocker les données personnelles des jeunes enfants et de leurs parents. En vertu de l’article 97 du RGPD³, les communes en tant que collectivités territoriales ont l’obligation de nommer un délégué à la protection des données (DPD, en anglais DPO pour « Data Protection Officer »). Au-delà d’une obligation légale, c’est une manière efficace pour les communes de déléguer l’élaboration et la mise en œuvre de leur politique de confidentialité des données.

En mai 2022⁴, vingt-deux communes qui ne satisfaisaient pas leur obligation étaient mises en demeure de nommer un DPO. À défaut de mise en conformité dans le délai imparti, les communes risquent des sanctions importantes de la Commission nationale de l’informatique et des libertés (CNIL): jusqu’à 5 000 euros d’amende, une injonction sous astreinte de 150 euros par jour de retard et la publicité de la décision⁴).

Avec un DPO, les EAJE délèguent la mise en œuvre des mesures de mise en conformité, ainsi que la responsabilité en cas de recours des familles ou de la CNIL.

La confidentialité des données traitées par le directeur de crèche

Le directeur de crèche, à l’occasion de ses communications aux familles, veille à la confidentialité des données personnelles de chacun.

Il s’agit par exemple d’éviter les erreurs suivantes : partager des photos d’enfants sur des conversations de groupe, envoyer des e-mails groupés avec les adresses en Cc (au lieu de Cci), etc.

 Si l’EAJE est équipé d’un outil de gestion numérique en mode SaaS, la certification SecNumCloud garantit la confidentialité des données traitées via l’outil.

Numérique et vie privée : quid des caméras de surveillance ?

Aux États-Unis, des crèches installent des caméras à l’intérieur de leurs locaux pour surveiller le personnel et pour permettre aux parents de voir leurs enfants à distance, en temps réel. En France, la vidéosurveillance est interdite sauf exception, conformément au droit au respect de la vie privée, qui est un principe constitutionnel. Le directeur de crèche qui contrevient à ces dispositions risque d’être sanctionné par la CNIL.

3 – Atteintes à l’intégrité du personnel de crèche : que faire en cas d’injures sur les réseaux sociaux ?

Certains EAJE utilisent des réseaux sociaux pour échanger avec les familles – groupes de discussion WhatsApp, notamment. Les réseaux sociaux peuvent également être utilisés à des fins « marketing » : une page Facebook pour présenter la crèche, par exemple. Ces supports numériques sont propices aux insultes et aux menaces proférées à l’encontre du personnel de crèche. Pour limiter ce risque, l’EAJE peut choisir de désactiver les commentaires sur les réseaux sociaux et d’éviter les groupes de discussion.

En cas d’injures, le personnel de crèche signale le contenu sur le réseau social et porte plainte contre l’auteur du commentaire. Si vous êtes adhérent à L’ASL, vous pouvez obtenir des conseils et un accompagnement dans votre démarche.

Sources

1. Start-up victime d’une cyberattaque : le patron riposte
2. Combien de temps une crèche peut-elle conserver des informations sur les enfants et leurs familles ?
3. Le règlement général sur la protection des données – RGPD
4. La CNIL met en demeure vingt-deux communes de désigner un délégué à la protection des données
5. Délibération SAN-2023-018 du 12 décembre 2023 concernant la commune de Kourou (Guyane)