Le RGPD en crèche est une obligation réglementaire qui s’applique à toutes les structures d’accueil du jeune enfant, qu’elles soient municipales, associatives ou privées. Chaque jour, une crèche collecte, traite et conserve des données personnelles particulièrement sensibles : informations médicales des enfants, situations familiales, coordonnées des parents, photographies. Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données le 25 mai 2018, ces traitements sont soumis à des obligations strictes dont le non-respect peut exposer la structure à des sanctions significatives. Ce guide pratique explique aux directrices et directeurs d’EAJE ce que le RGPD impose concrètement, comment se mettre en conformité, et quelles erreurs éviter au quotidien.
Pourquoi le RGPD en crèche est une obligation incontournable
Une crèche n’est pas une simple structure d’accueil : c’est un organisme qui traite, au sens juridique du terme, un volume important de données personnelles concernant des personnes particulièrement vulnérables — des enfants mineurs — ainsi que leurs familles. Le RGPD en crèche s’applique donc pleinement, au même titre que pour une entreprise ou une administration.
Le considérant 38 du règlement européen précise explicitement que les enfants méritent une protection spécifique de leurs données personnelles, car ils peuvent être moins conscients des risques et de leurs droits que les adultes. Cette protection renforcée se traduit par des exigences plus strictes en matière de consentement, d’information et de sécurité des données.
Toute structure qui collecte, enregistre, utilise, transmet ou conserve des données relatives à des personnes physiques identifiables est soumise au RGPD. En crèche, ce critère est rempli dès l’étape de l’inscription d’un enfant.
Le gestionnaire de la crèche — qu’il s’agisse d’une collectivité territoriale, d’une association, d’une entreprise privée ou d’un réseau de crèches — est qualifié de responsable de traitement au sens du RGPD. C’est lui qui détermine les finalités et les moyens du traitement des données, et c’est lui qui supporte la responsabilité juridique en cas de manquement.
Contrairement à une idée répandue, le RGPD en crèche ne concerne pas uniquement les données informatiques. Les dossiers papier des familles, les cahiers de transmission, les registres de présence et les fiches de soins sont également concernés dès lors qu’ils contiennent des informations sur des personnes identifiables.
Quelles données personnelles collecte une crèche ? Les catégories visées par le RGPD en crèche
L’inscription d’un enfant en crèche génère un dossier dense, qui peut regrouper des dizaines d’informations personnelles différentes. Il est essentiel de les identifier clairement pour savoir lesquelles sont légitimement nécessaires et lesquelles doivent être supprimées ou ne jamais être demandées.
On distingue plusieurs catégories de données traitées par une crèche. Les données d’identification de l’enfant et des parents (nom, prénom, date de naissance, adresse, numéro de téléphone, adresse e-mail) constituent la base du dossier d’inscription. Les données de santé, qui relèvent d’une catégorie particulièrement protégée par le RGPD, comprennent le carnet de vaccination, les allergies alimentaires ou médicamenteuses, les pathologies chroniques, les traitements en cours et les protocoles d’accueil individualisé (PAI).
S’y ajoutent les données familiales et sociales (situation matrimoniale, composition du foyer, autorité parentale, ordonnances de protection le cas échéant), les données financières (revenus du foyer pour le calcul de la participation familiale PSU), les données de présence (horaires d’arrivée et de départ, absences) et les données biométriques ou visuelles (photographies, vidéos des enfants lors des activités).
Le principe de minimisation imposé par le RGPD est clair : seules les données strictement nécessaires à la finalité poursuivie peuvent être collectées. Il est, par exemple, illicite de demander la profession des deux parents si cette information ne sert pas au calcul de la tarification.
Les crèches doivent également prêter attention aux données collectées via les outils numériques qu’elles utilisent au quotidien : applications de suivi (repas, siestes, changes), logiciels de facturation, outils de communication avec les parents, et bien sûr les plateformes de partage de photos sécurisé dédiées aux familles. Dans chacun de ces cas, le RGPD en crèche impose des garanties spécifiques.
Les obligations concrètes du RGPD en crèche pour le responsable de traitement
Le RGPD impose au responsable de traitement — c’est-à-dire au gestionnaire de la crèche — un ensemble d’obligations concrètes qu’il convient de traduire en procédures internes.
Tenir un registre des activités de traitement
Toute crèche doit tenir un registre des activités de traitement, document interne qui recense l’ensemble des opérations réalisées sur des données personnelles. Pour chaque traitement (gestion des inscriptions, suivi médical, facturation, communication avec les familles, vidéosurveillance, gestion du personnel), le registre doit préciser la finalité, les catégories de données concernées, les destinataires, la durée de conservation et les mesures de sécurité mises en place.
Ce registre est indispensable en cas de contrôle de la CNIL. Sa tenue n’est pas facultative : l’article 30 du RGPD la rend obligatoire pour les organismes traitant des données à grande échelle ou des données sensibles — ce qui est le cas de toutes les crèches dès lors qu’elles traitent des données de santé d’enfants.
Informer les familles de manière transparente
L’information des familles est l’une des obligations les plus visibles du RGPD. Dès l’inscription, les parents doivent recevoir une notice d’information claire et accessible, rédigée en langage simple, sans jargon juridique. Cette notice doit préciser : qui est responsable du traitement, quelles données sont collectées, dans quel but, sur quelle base juridique, combien de temps elles sont conservées, qui peut y accéder, et quels sont les droits des familles (accès, rectification, effacement, portabilité, opposition).
Cette obligation d’information vaut également pour les données du personnel de la crèche, qui doit lui aussi être informé des traitements le concernant.
Fonder chaque traitement sur une base juridique valide
Le RGPD interdit de traiter des données personnelles sans base juridique explicite. Pour une crèche, les bases juridiques les plus fréquentes sont l’exécution d’un contrat (le contrat d’accueil), l’obligation légale (vaccination obligatoire, déclaration à la CAF), l’intérêt légitime et le consentement. Pour les données de santé, la base juridique doit être encore plus précisément identifiée, car il s’agit de données sensibles au sens de l’article 9 du RGPD.
Dossier d’inscription et mentions d’information obligatoires
Le dossier d’inscription est le premier point de contact entre la crèche et le RGPD. C’est à cette étape que la conformité au RGPD en crèche se construit — ou que les premiers manquements apparaissent.
Le dossier d’inscription doit impérativement être accompagné d’une notice d’information RGPD, distincte du règlement de fonctionnement. Cette notice ne doit pas être noyée au bas d’une page en caractères illisibles : le RGPD exige une information concise, transparente et facilement accessible.
Les formulaires d’inscription qui demandent des informations non nécessaires à l’accueil de l’enfant — comme la religion des parents, leurs convictions politiques ou des données médicales sans lien avec un PAI — sont illicites au regard du principe de minimisation du RGPD.
La crèche doit également mettre en place une procédure de gestion des droits des familles : comment une famille peut-elle accéder aux données la concernant ? Comment peut-elle demander leur rectification ou leur effacement ? Un délai de réponse d’un mois maximum est imposé par le RGPD pour toute demande d’exercice de droits.
Pour les crèches municipales, une attention particulière doit être portée au partage des données avec la collectivité de tutelle : seules les données strictement nécessaires à la gestion administrative et financière peuvent être transmises à la mairie ou à la communauté de communes. Les données médicales des enfants ne peuvent en aucun cas faire partie de ces échanges.
Données de santé et protocoles d’accueil individualisé (PAI)
Les données de santé constituent la catégorie la plus sensible traitée par une crèche. Dans le cadre du RGPD en crèche, elles bénéficient d’une protection renforcée au titre de l’article 9 du règlement, qui interdit en principe leur traitement sauf exceptions strictement encadrées.
Les protocoles d’accueil individualisé (PAI) pour les enfants présentant des allergies alimentaires, du diabète, de l’asthme ou d’autres pathologies contiennent des informations médicales précises et confidentielles. Ces documents ne doivent être accessibles qu’aux professionnels directement impliqués dans l’accueil de l’enfant concerné. Il est interdit de les afficher dans des espaces accessibles aux autres parents, de les mentionner dans des communications collectives ou de les transmettre à des tiers sans base juridique.
Les cahiers de transmission, qu’ils soient papier ou numériques, doivent être conçus pour limiter l’accès aux informations de santé. Les applications de suivi quotidien utilisées par certaines crèches (repas, siestes, changes, humeur) doivent impérativement garantir un hébergement sécurisé des données, idéalement sur des serveurs situés en France ou dans l’Union européenne, et ne pas transmettre ces données à des tiers à des fins commerciales.
✅ Bonne pratique : Définissez dans votre règlement intérieur qui, parmi le personnel, peut accéder aux données de santé des enfants. La règle du besoin-à-savoir s’applique : une assistante administrative n’a pas à consulter un PAI, sauf si elle est amenée à accueillir l’enfant en situation d’urgence.
En cas d’incident ou d’accident impliquant un enfant porteur d’un PAI, la transmission d’informations médicales aux secours ou au médecin est légitime au titre de la protection des intérêts vitaux de la personne — l’une des bases juridiques reconnues par le RGPD pour le traitement des données de santé.
Photographies d’enfants : droit à l’image et RGPD en crèche
La photographie des enfants en crèche est une pratique quasi universelle, plébiscitée par les familles et les équipes éducatives. Elle constitue pourtant l’un des domaines où les risques de non-conformité sont les plus élevés — et les plus fréquents.
Photographier un enfant, c’est traiter une donnée personnelle au sens du RGPD. La photographie d’un enfant identifiable est en effet une donnée à caractère personnel, et sa diffusion est soumise au droit à l’image en crèche, protégé à la fois par le RGPD et par l’article 9 du Code civil.
Le consentement explicite des titulaires de l’autorité parentale — les deux parents en cas de coparentalité — est requis avant toute captation et a fortiori avant toute diffusion d’images.
Ce que doit préciser l’autorisation parentale
L’autorisation parentale pour les photos en crèche remise aux familles lors de l’inscription ne peut pas être un document générique et vague.
Elle doit préciser explicitement les supports de diffusion envisagés : cahier de vie numérique, plateforme sécurisée de partage avec les familles, site internet de la crèche, presse locale, supports de communication institutionnelle.
Chaque canal de diffusion doit faire l’objet d’un consentement distinct, librement révocable à tout moment.
Un parent peut très bien autoriser le partage de photos via une plateforme sécurisée réservée aux familles tout en refusant toute publication sur le site internet ou les réseaux sociaux de la structure. Ces choix doivent être respectés scrupuleusement et tracés dans le dossier de l’enfant.
Les erreurs les plus fréquentes à éviter
La première erreur est de considérer qu’une autorisation signée en début d’année vaut pour tous les usages, tous les supports et pour toute la durée de l’accueil. Ce n’est pas le cas : le consentement doit être spécifique, éclairé et révocable. La deuxième erreur consiste à publier des photos de groupe sans vérifier que chaque enfant visible sur le cliché dispose d’une autorisation valide pour le support concerné. La troisième erreur — et la plus grave — est d’utiliser WhatsApp, Messenger ou les réseaux sociaux pour partager des photos d’enfants avec les familles.
WhatsApp, réseaux sociaux et messageries : pourquoi c’est interdit
De nombreuses crèches utilisent encore des groupes WhatsApp ou des pages Facebook fermées pour communiquer avec les familles et partager des photos des activités. Cette pratique, aussi répandue soit-elle, est non conforme au RGPD en crèche et expose la structure à des risques juridiques sérieux.
WhatsApp, appartenant au groupe Meta, héberge ses données sur des serveurs situés hors de l’Union européenne. La transmission de photos d’enfants mineurs via ces plateformes constitue un transfert de données personnelles vers un pays tiers sans garanties adéquates — une violation directe du RGPD.
| Critères | Plateforme dédiée crèche | WhatsApp / Réseaux sociaux |
|---|---|---|
| Hébergement des données | France / Union européenne | Serveurs hors UE (États-Unis) |
| Consentement traçable | ✔ Documenté et archivé | ✖ Inexistant ou non formalisé |
| Contrôle des accès | Espace sécurisé par identifiant famille | Diffusion non contrôlable |
| Transfert hors UE | ✔ Aucun transfert | ✖ Transfert systématique vers Meta |
| Risque de partage viral | ✔ Impossible par conception | ✖ Partage en 1 clic incontrôlable |
| Conformité RGPD | ✔ Attestation fournie par écrit | ✖ Non conforme pour les mineurs |
| Seul un outil dédié, hébergé en Europe, garantit la conformité RGPD pour le partage de photos d’enfants en crèche. | ||
Au-delà du RGPD, l’utilisation de messageries grand public pour partager des photos d’enfants crée un risque de diffusion incontrôlée. Une photo partagée dans un groupe WhatsApp peut être enregistrée, retransmise et publiée par n’importe quel membre du groupe, sans que la crèche ni les parents puissent s’y opposer efficacement. Les conséquences en termes de protection de l’enfance peuvent être très graves.
La solution conforme consiste à utiliser un logiciel de partage photos dédié aux crèches, hébergé en France ou dans l’Union européenne, dont l’accès est strictement limité aux familles autorisées. BlogdeCreche.com propose précisément cette solution aux professionnels de la petite enfance, avec une attestation de conformité RGPD fournie par écrit à chaque structure.
Vidéosurveillance en crèche : un encadrement strict
Certaines crèches sont équipées de systèmes de vidéosurveillance, pour des raisons de sécurité des accès ou de protection des enfants. Ce dispositif est soumis à des règles particulièrement strictes qui méritent une attention spécifique.
Les caméras de vidéosurveillance ne doivent pas filmer en continu les espaces de vie et d’activité des enfants. Les images collectées doivent être conservées dans un espace sécurisé, avec un accès restreint aux seules personnes habilitées. La durée de conservation est limitée à 30 jours maximum, sauf réquisition judiciaire.
L’installation d’un système de vidéosurveillance dans une crèche nécessite une analyse d’impact relative à la protection des données (AIPD), compte tenu de la vulnérabilité particulière du public accueilli. C’est l’une des exigences les plus spécifiques du RGPD en crèche. Le personnel doit être informé et consulté, et les familles doivent être clairement informées de l’existence du dispositif, de sa finalité et des conditions d’accès aux images.
La mise à disposition d’un accès aux images en temps réel pour les parents — parfois envisagée comme service de réassurance — est déconseillée par les juristes spécialisés, car elle crée des risques importants de violation de la vie privée des autres enfants et du personnel, et implique des traitements de données très difficiles à encadrer conformément au RGPD.
Durées de conservation des données en crèche
Le RGPD en crèche interdit de conserver des données personnelles au-delà de la durée nécessaire à la finalité pour laquelle elles ont été collectées. Les crèches doivent donc définir des durées de conservation précises pour chaque catégorie de données, les documenter dans leur registre des traitements, et mettre en place des procédures effectives de suppression.
À titre indicatif, les pratiques généralement reconnues comme conformes dans le secteur de la petite enfance sont les suivantes : les dossiers d’inscription et contrats d’accueil sont conservés jusqu’à la majorité de l’enfant ou pendant 5 ans après la fin de l’accueil, selon les obligations légales applicables.
Les données de santé et PAI doivent être supprimées à la fin de l’accueil ou transmises aux parents sur demande.
Les données de facturation sont soumises aux obligations comptables (10 ans). Les photographies prises dans le cadre des activités doivent faire l’objet d’une durée définie dans l’autorisation parentale.
Une bonne pratique consiste à prévoir, dans le règlement intérieur, une procédure de clôture du dossier à la fin de chaque accueil : remise des documents aux parents, suppression des données numériques, archivage des données à conservation obligatoire dans un espace distinct et sécurisé.
Le DPO en crèche : obligatoire ou recommandé ?
Le Délégué à la Protection des Données (DPO) est la personne chargée de piloter la conformité RGPD au sein d’un organisme. Sa désignation est obligatoire pour les organismes publics — ce qui inclut toutes les crèches municipales, les structures multi-accueil publiques — et pour les organismes traitant à grande échelle des données sensibles.
Pour les crèches privées et associatives, la désignation d’un DPO n’est pas légalement obligatoire, mais elle est fortement recommandée par la CNIL. En l’absence de DPO formel, il est conseillé de désigner un référent RGPD interne chargé de coordonner les actions de mise en conformité et de servir d’interlocuteur en cas de demande des familles ou de contrôle.
Pour les petites structures comme les micro-crèches qui ne disposent pas des ressources pour désigner un DPO interne, le recours à un DPO externalisé est une solution accessible et économiquement raisonnable. Plusieurs prestataires spécialisés dans le secteur médico-social proposent ce type de service mutualisé.
RGPD en crèche et partage de photos : BlogdeCreche.com fournit à chaque crèche utilisatrice une attestation de conformité RGPD complète par écrit, mentionnant l’hébergement en France, l’absence de transfert hors UE et la gestion des consentements. Ce document est indispensable lors des contrôles PMI, des audits CNIL ou des demandes des familles. Il vous protège, vous et votre équipe.
Plan d’action en 6 étapes pour se conformer au RGPD en crèche
Étape 1 — Cartographier les données collectées
Étape 1 — Cartographier les données collectéesCommencez par lister l’ensemble des données personnelles que votre crèche collecte : dossiers d’inscription, données de santé, photos, accès vidéo, outils numériques utilisés. Identifiez les données qui ne sont pas nécessaires et supprimez-les.
Étape 2 — Constituer le registre des traitements
Créez votre registre des activités de traitement (un tableau Excel suffit dans un premier temps) en documentant pour chaque traitement : finalité, base juridique, données concernées, destinataires, durée de conservation, mesures de sécurité. La CNIL met à disposition un modèle téléchargeable sur son site.
Étape 3 — Mettre à jour les formulaires et notices d’information
Révisez votre dossier d’inscription pour y intégrer une notice d’information RGPD claire, les autorisations de droit à l’image conformes (précisant les supports de diffusion) et la procédure d’exercice des droits des familles.
Étape 4 — Sécuriser les outils numériques
Auditez les outils numériques utilisés (applications de suivi, logiciels de facturation, plateformes de communication). Vérifiez que les données sont hébergées dans l’Union européenne et qu’un contrat de sous-traitance conforme au RGPD a été signé avec chaque prestataire. Abandonnez WhatsApp et les réseaux sociaux au profit d’une solution dédiée.
Étape 5 — Former le personnel
La conformité au RGPD en crèche ne se décrète pas, elle se construit dans les pratiques quotidiennes. Formez votre équipe aux réflexes essentiels : ne pas laisser les dossiers des familles accessibles, verrouiller les postes informatiques, ne jamais partager de photos via des messageries non sécurisées, identifier immédiatement toute violation de données potentielle.
Étape 6 — Désigner un référent et organiser une veille
Désignez un référent RGPD au sein de la structure, mettez en place une procédure de réponse aux demandes des familles et une procédure de notification en cas de violation de données. Organisez une révision annuelle de votre conformité pour tenir compte des évolutions réglementaires.
Partagez en toute conformité RGPD
Arrêtez WhatsApp et les groupes Facebook. Offrez aux familles un espace sécurisé, hébergé en France, spécialement conçu pour les crèches et conforme au RGPD.
🔒 Découvrir BlogdeCrecheLe RGPD s'applique-t-il aux crèches et aux EAJE ?
Oui, le RGPD s'applique à toutes les structures d'accueil du jeune enfant sans exception — crèches municipales, associatives, privées, micro-crèches et multi-accueil. Dès lors qu'une crèche collecte des données personnelles sur les enfants ou leurs familles (dossier d'inscription, données de santé, photographies), elle est soumise aux obligations du règlement européen entré en vigueur le 25 mai 2018.
Peut-on partager des photos d'enfants de crèche sur WhatsApp ?
Utiliser WhatsApp pour partager des photos d'enfants en crèche est non conforme au RGPD. WhatsApp appartient au groupe Meta et héberge ses données sur des serveurs situés hors de l'Union européenne, ce qui constitue un transfert illicite de données personnelles de mineurs. La solution conforme est d'utiliser un logiciel dédié, hébergé en France ou dans l'UE, avec accès sécurisé réservé aux familles autorisées.
Quelle autorisation faut-il pour photographier des enfants en crèche ?
Une autorisation parentale écrite et explicite est obligatoire avant toute prise de vue et toute diffusion d'images d'enfants en crèche. Cette autorisation doit préciser les supports de diffusion autorisés (plateforme sécurisée, site internet, presse locale) et peut être retirée à tout moment par les parents. En cas de coparentalité, le consentement des deux titulaires de l'autorité parentale est requis.
Combien de temps une crèche peut-elle conserver les données des familles ?
Les durées de conservation varient selon la nature des données : les dossiers d'inscription et contrats d'accueil sont généralement conservés 5 ans après la fin de l'accueil, les données de santé et PAI doivent être supprimées ou restituées aux parents à la sortie de l'enfant, et les données de facturation sont soumises à l'obligation comptable de 10 ans. Ces durées doivent être documentées dans le registre des traitements de la structure.
Une crèche est-elle obligée de nommer un DPO ?
Toute crèche municipale ou publique est obligatoirement soumise à la désignation d'un Délégué à la Protection des Données (DPO), car elle constitue un organisme public au sens du RGPD. Pour les crèches privées et associatives, la désignation d'un DPO n'est pas légalement obligatoire mais est fortement recommandée par la CNIL, en particulier dès lors que la structure traite des données de santé d'enfants. Les micro-crèches peuvent faire appel à un DPO externalisé mutualisé.
Faq sur « RGPD en crèche »
- RGPD en crèche municipale : obligations et conformité
- Autorisation droit à l’image enfant RGPD en crèche à savoir
- WhatsApp RGPD en crèche quand on partage avec les parents
- Registre des traitements EAJE : comment le rédiger ?
- DPO crèche : obligatoire ou facultatif ?
- Données de santé PAI et RGPD en crèche explications sur la confidentialité
- Durée conservation dossier enfant crèche RGPD
- Vidéosurveillance RGPD en crèche réglementation CNIL
- Logiciel partage photos crèche RGPD en crèche outil de partage conforme
En complément : Crèche et jardin d’enfant, que faire ? La CNIL répond à ces questions