Data Center, de Bob Mical, publié sous licence Creative Commons by-nc 2.0.

Cet article est une mise en forme d'une réponse donnée à une question sur une des listes de diffusion des référents numériques.

Gardez bien en tête que je ne suis pas un professionnel du droit, je n'ai pas de reçu de formation spécifique. Je suis simplement intéressé par les problèmes du droit du numérique en général, et je peux dire des choses obsolètes, mal formulées ou carrément fausse.

Pour utiliser un site web avec nos élèves en respectant le RGPD la première question à nous poser est : Le site web recueille-t-il des données personnelles ?

Qu'est-ce qu'une donnée personnelle ?

Utiliser un pseudonyme ne résout pas par magie le problème : un pseudonyme est une donnée personnelle. En effet, selon la CNIL, une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ». Le nom est donc évidemment une donnée personnelle, mais aussi, bien souvent :

  • un pseudonyme ;
  • des habitudes de navigation ;
  • un cookie déposé par le site web (dont une trace est probablement gardée sur le serveur du service web) ;
  • des réponses à un sondage ou à des questions de cours ;
  • une adresse IP ;
  • etc.

Si le site web ne recueille aucune donnée personnelle…

C'est-à-dire ni nom, ni pseudonyme, ni adresse IP, ne dépose pas de cookie, ne se souvient pas des résultats de l'élève, etc., alors il est possible d'utiliser le site web dans le respect du RGPD.

Si le site web recueille des données personnelle…

La conformité au RGPD n'est pas un statut, c'est un processus.

Et ce processus peut-être un peu décourageant…

Le réseau Canopé a publié une brochure « Les Données à caractère personnel », dont je recommande la lecture. On y trouvera, page 15, « Le RGPD en quatre étapes », qui est un résumé du processus à suivre pour pouvoir utiliser n'importe quel outil recueillant des données personnelles, et page 18, la réponse à la question qui nous intéresse ici :

« Un enseignant peut-il utiliser en classe un service en ligne de questionnaires ou d’évaluations nécessitant d’identifier ses élèves, afin d’offrir des parcours et des résultats personnalisés ? »

Dans les grandes lignes, il faut :

  • faire une analyse du service au regard de la loi avec l'appui du délégué à la protection des données (DPD) ;
  • inscrire ce traitement sur le registre d'activités de traitement par le chef d'établissement ;
  • soumettre cette utilisation au conseil d'administration ;
  • établir un contrat de sous-traitance entre l'établissement et l'entreprise fournissant ce service ;
  • si le service analyse les apprentissages des élèves, le RGPD est encore plus strict, donc il faudra se pencher davantage là-dessus ;
  • s'assurer que les données ne seront jamais utilisées pour autre chose que le service rendu ;
  • informer parents et élèves du traitement des données.

Cela demande donc pas mal de travail. Ce n'est pas quelque chose qui est fait au dernier moment, juste avant d'utiliser un outil : il faut anticiper son utilisation.

Mais le formateur·ice ou inspecteur·ice a recommandé cet outil !

Malheureusement, j'ai pu observer que les formateur·ice·s et inspecteur·ice·s sont mal formés au RGPD, ou considèrent que les enjeux pédagogiques sont plus importants que la protection des données des élèves…