C’était le meetup eLearning lyonnais de la rentrée, cette fois organisé par Louis Brunier et Leslie Huin. Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai dernier, amenant avec lui un véritable déluge de mails venant de sociétés. Mais quels sont les impacts que le RGPD peut et va avoir dans le secteur de la formation ? Quelles sont les questions que ce nouveau règlement soulève ?
Pour rappel, c’est la première fois qu’un tel règlement est créé à échelle européenne (puisqu’il a entre autres été conçu par les représentants des équivalents européens de notre CNIL : la Commission Nationale de l’Informatique et des Libertés). Néanmoins, le RGPD va bien au-delà des frontières européennes ; certaines société/Médias hors U.E ayant préféré tout simplement restreindre leur accès aux ressortissants européens plutôt que de modifier leur système de stockage de données les concernant. Précisons que si le RGPD s’applique à tout ressortissant européen, pour les moins de 16 ans ce sont les représentants légaux qui sont les interlocuteurs/garants de son respect.
Car il s’agit bien de cela. Concrètement, le RGPD est axé autour de 2 concepts clé :
– les données personnelles : ce sont les données qui permettent d’identifier les individus, de façon directe ou indirecte (si, en croisant des données, on peut aisément identifier la personne, il s’agit de données personnelles, même si, a priori, on n’a pas le nom à la base). Mais le RGPD se base aussi sur le concept de proportionnalité : c’est-à-dire qu’on admet que les données sont anonymisées, s’il faut déployer 8 jours de travail de croisement de données pour remonter à l’individu.
– leur traitement : que fait-on comme actions dessus ? La notion de traitement est assez large : outre le stockage, qui doit bien évidemment être sécurisé, il inclue également la collecte, l’enregistrement, la consultation, etc.
Dans le secteur de la formation, que sont ces données ? Là, Leslie aidée de Wooclap (pour rappel, Noobelearning avait effectué une interview de son co-fondateur, à retrouver ici), a mis à contribution l’assemblée. Voici ce qu’il en est sorti :
Ces données, ces informations se doivent d’être :
- adéquates,
- pertinentes,
- limitées
- exactes
- sécurisées (d’une façon raisonnable et proportionnée, impliquant qu’on peut admettre qu’une PME n’ait pas les mêmes moyens humains, techniques et financiers que par exemple Facebook). A cela, il faut également prendre conscience de l’importance de surveiller les nouvelles technologies; par exemple le Cloud a soulevé de nouvelles questions.
En ce qui concerne le traitement de ces informations, celui-ci doit être :
- licite (soit reposant sur un fondement légal, soit sur une notion d’intérêt légitime, proche d’une idée de transparence ou alors reposant sur un consentement),
- loyal,
- transparent,
- explicite
- proportionné. Proportionné car toutes les sociétés/groupes n’ont pas les mêmes moyens.
Après, d’une façon générale, des techniques peuvent être mises en place afin de ne pas être inquiété : il est possible d’utiliser ces données à des fins statistiques si en amont, un processus d’anonymisation a été instauré. Attention néanmoins, car le RGPD a notamment été instauré pour encadrer les traitement de type ciblage/profilage/traitement automatisé de données.
Le RGPD globalement apporte plus de droits à la personne :
- droit d’information
- droit d’accès, de rectification et d’effacement (certaines données non pertinentes doivent être supprimées une fois la formation terminée)
- droit de limitation, d’opposition, de refus de décision automatique, et de portabilité. Cette notion de portabilité, dans le secteur de la formation, c’est par exemple de pouvoir extraire ses données de Moodle vers une autre LMS (on en est donc loin…)
Du côté des sociétés en revanche, (et dans le cadre de la formation, cela s’applique aux hébergeurs, aux éditeurs, aux formateurs etc.) le RGPD apporte plus d’obligations :
- obligation de conformité et de protection ( axé autour de trois mots : confidentialité, intégrité, et disponibilité)
- obligation de respect de l’exécution / l’exercice des droits, de réponse aux sollicitations et de notification en cas de faille dans la protection des données
Ainsi, que ce soit dans le domaine de la formation, et dans l’utilisation des données personnelles d’une façon générale, les questions à se poser sont :
- Quelles sont les données collectées ? Il convient alors de réaliser une cartographie des données collectées.
- Pourquoi ces données sont-elles collectées ? Qu’est-ce qui sera fait de ces données ? C’est la question de la finalité du traitement.
Ce RGPD a donc un impact sur non seulement les outils utilisés (Est-ce que ces outils permettent de respecter le RGPD ?) mais également sur l’organisation interne : qui a accès aux données ? Est-ce que l’on maîtrise les données « hors logiciels » (tous ces fichiers Excel qui sont utilisés dans les entreprises…) ?
Appliqué au secteur de la formation , le RGPD soulève plusieurs questions. Outre cette notion de portabilité vue précédemment, se pose le problème de l’automatisation. En effet, le RGPD prévoit qu’une personne peut exercer le droit de s’opposer à l’automatisation du traitement de ses données, si ce traitement automatisé aboutit à une validation qui a une portée juridique. Ainsi, on pourrait imaginer qu’une formation e-learning diplômante repose sur des quiz faisant l’objet d’une validation automatique via une plateforme LMS. Un apprenant pourrait demander la ré-évaluation manuelle de cette validation.
Le secteur de la formation est aussi concerné par ce que l’on appelle le ‘Privacy by design’ : il convient de se poser la question de la protection des données (quelles données et quelle finalité du traitement) dès la conception d’un outil, d’une formation, etc., et non plus a posteriori.
La présentation s’est achevée sur un petit sondage :