Dans le cadre d’un projet de décret autorisant la mise en œuvre par le ministère de l’Éducation nationale d’un traitement ayant pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage, la CNIL considère que la création et l’utilisation d’un identifiant spécifique et distinct de l’identifiant national élève (INE) permettront, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaires, et de limiter les risques de réidentification des personnes en cas de fuite de données.

L'absence de violation de données à caractère personnel ne suffit pas à démontrer l'absence de manquement aux obligations de sécurité résultant de l'article 32 du RGPD, pas plus qu'une violation de données ne suffit à caractériser en soi un manquement. Il appartient à la formation restreinte de vérifier que le responsable de traitement ou, le cas échéant, le sous-traitant, a mis en œuvre, en application de cet article, des mesures techniques et organisationnelles appropriées pour prévenir les risques de violations et de mésusage de ces données.

Le caractère approprié des mesures s'apprécie en vérifiant que le mis en cause a proportionné ces mesures, en l'état des informations dont il pouvait disposer par des diligences raisonnables, à la gravité et à la probabilité des risques prévisibles, en fonction de la nature et du contexte du traitement de données, ainsi que du coût et de la complexité des mesures possibles.