Quand vous organisez un MOOC, que vous le vouliez ou non, vous récoltez des données à caractère personnel. A minima des mails, et bien souvent des données démographiques, genre, âge, etc qui permettent de mieux comprendre l’audience qui suit la formation. Or, comme vous le savez sans doute, on ne peut pas faire tout et n’importe quoi avec ce type de données. Mais avant d’entrer dans les détails de ce que l’on peut ou ne peut pas faire, je vous propose de revenir sur la notion à travers une vidéo d’Audrey Ego, produite dans le cadre du MOOC « Monter un MOOC de A à Z ».
Outre les questions liées à la propriété intellectuelle, la production de MOOCs vous pose, à vous futurs concepteurs et apprenants, de nombreuses questions en matière de protection des données à caractère personnel : vous êtes-vous déjà demandé si vous pouviez utiliser en toute légalité hors de la plate-forme d’enseignement les données récoltées auprès des participants, comme les adresses mails, les noms, prénoms ? Par exemple, pour leur transférer des documents ou des informations complémentaires, des offres de formations, ou des questionnaires ? Avez-vous le droit de communiquer publiquement les notes obtenues dans le cadre du MOOC ?
Si l’utilisation de données personnelles peut être plus limitée et contrôlée dans une salle de cours en présentiel, la collecte, le stockage et l’exploitation de ces informations sur les plateformes virtuelles est bien moins maîtrisable. C’est pourquoi une réglementation spécifique a été crée dès la fin des années 70.
Ce premier billet vous permettra de connaître les principes généraux de la protection des données personnelles. Mais nous ne manquerons pas de répondre aux principales questions concrètes applicables dans le contexte des MOOCs.
Afin de déterminer le périmètre d’application, il est tout d’abord nécessaire de définir la notion de « donnée à caractère personnel »
Il s’agit, d’après la CNIL de toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex.: n° de sécurité sociale, numéro de téléphone, numéro d’Identification Nationale Etudiant) ou à un ou plusieurs éléments qui lui sont propres (ex : nom et prénom, date de naissance, éléments biométriques, empreinte digitale, ADN…) ou à un ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques, comme le lieu de résidence, le sexe, l’âge…).
La définition de la notion de « données à caractère personnel » est donc relativement large. Dans le cadre de la conception ou du suivi d’un MOOC, sont susceptibles d’être des données personnelles : nom, prénom, ville et pays de résidence.
Les données personnelles collectées des utilisateurs de la plate forme sont : identité (sexe, nom, prénom, adresse postale, adresse électronique, année de naissance) ; identifiants de connexion ; plus haut niveau de formation ; motivations, formation suivie, résultats obtenus et travaux réalisés.
La collecte de certaines de ces données est obligatoire (identité) tandis qu’une autre partie est facultative (niveau de formation).
Qu’est ce qu’un traitement de données à caractère personnel ?
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, la communication par transmission ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage ou la destruction.
Qui est le responsable du traitement ? Qui engage sa responsabilité ?
Est considéré comme le responsable la personne physique ou morale qui détermine les finalités et les moyens de toute opération appliquée à des données à caractère personnel. Il est la personne pour le compte de laquelle est réalisé le traitement.
En pratique le responsable du traitement a pour mission de :
- veiller au respect des principes de la protection des données ;
- informer les personnes à propos de leur droit d’accès, de rectification et d’opposition ;
- de désigner le CIL (Correspondant Informatique et Libertés) et de procéder aux formalités auprès de la CNIL sauf si désignation d’un CIL.
Concrètement, en dehors du cas où un texte spécifique en dispose autrement, le responsable du traitement est le représentant légal de l’organisme (président université, directeur de l’établissement).
Se pose alors la question de la personne responsable du traitement des données personnelles dans le cadre de la production d’un MOOC.
Au regard de cette définition, la structure organisant la plateforme numérique de MOOC doit être considérée comme le responsable du traitement des données à caractère personnel.
Cela ne signifie par pour autant que si un enseignant, apprenant, membre de l’équipe pédagogique ne respecte pas l’utilisation telle qu’elle est définit par la déclaration CNIL, la plate forme soit reconnue comme seul et unique responsable. Une plateforme d’enseignement est en effet généralement une plateforme d’hébergement et comme dans le cadre de la protection des œuvres de l’esprit conférée par le droit d’auteur sa responsabilité ne pourra être reconnue si elle n’avait pas connaissance du fait reproché.
Les enseignants d’un MOOC peuvent donc mis en cause en cas d’utilisation frauduleuse des données collectées et doivent donc être vigilants quant à la collecte, le stockage et l’exploitation des données.
Quels sont les outils mis en place pour respecter la législation relative à la protection des données à caractère personnel?
France Université Numérique a mis en place un télé service électronique qui nécessite une demande d’avis auprès de la CNIL accompagnée d’un PAR (projet d’acte règlementaire). Cette demande d’avis doit notamment faire figurer les finalités du traitement et les données à caractère personnel concernées par ce traitement.
Les finalités du traitement sont :
- procéder par voie électronique à des démarches administratives d’inscription à des cours ou à des modules en ligne ;
- de participer à des exercices, à des questionnaires à choix multiples ou à des travaux pratiques en ligne pouvant donner lieu à des évaluations ;
- d’obtenir des certificats et des attestations de réussite aux modules ou aux cours suivis en ligne ;
- d’exploiter les données (uniquement si elles sont au préalable anonymisées) à des fins de recherche.
Il est cependant prohibé de collecter, stocker, exploiter les données personnelles des participants pour une quelconque activité commerciale (sans accord explicite du moins).
Maintenant que nous avons vu les grands principes de la protection des données, nous allons voir dans le prochain billet comment les appliquer en pratique dans le cadre d’un MOOC !