Nous avons commencé à discuter l’autre jour de données à caractère personnel, mais sans aller dans le détail de ce que l’on a le droit ou non de faire avec les données. Je vous propose une deuxième vidéo d’Audrey plus axée sur ces questions, mais avec un focus sur ce que l’on peut ou non faire dans le cadre de France Université Numérique.
Suite à une lourde condamnation infligée par la CNIL en janvier 2014 pour non conformité de sa politique de confidentialité au droit français de la protection des données à caractère personnel, Google a mis en place un MOOC relatif à la gestion de ses données personnelles.
Cette condamnation et la nécessité de créer un MOOC à part entière sur la protection des données rappelle ce débat perpétuel de ce que l’on peut réellement faire ou ne pas faire avec les données personnelles; débat auquel nous allons tenter de vous fournir les éléments clés pour y répondre!
Dans le cadre de la création de MOOCS sur la plateforme FUN, vous allez avoir ou la possibilité d’exploiter les données collectées avec les outils mis à votre disposition sur la plateforme FUN
Les enseignants d’un MOOC souhaitent généralement faire un suivi des apprenants similaire à l’enseignement qu’il peut donner en présentiel (comme
avoir accès aux réponses apportées par chaque apprenant ; évaluer le temps de réponse de chacun ; adapter le contenu du cours en fonction du profil ; envoyer des e-mails aux apprenants qui arrêtent de suivre le cours).
L’enseignant d’un MOOC est bien un destinataire des données personnelles collectées par la plateforme FUN, si la finalité de l’utilisation des données est à des fins pédagogiques et n’oblige aucunement l’apprenant à répondre ou utiliser tout autre outil pour suivre la formation, l’enseignant est donc tout à fait en droit de faire un suivi des apprenants via la plate-forme.
Cependant, l’enseignant ne peut pas utiliser les mails récoltés via la plate forme pour contacter les participants autrement que par l’outil de mailing de FUN. Il ne pourra par exemple pas utiliser son adresse professionnelle pour envoyer de sa propre initiative un message privé à un ou à des participants.
Il n’est par ailleurs pas envisageable d’exploiter les données personnelles, envoyer des emails aux apprenants pour toute démarche commerciale ou pour toute démarche avec des outils externes à la plateforme.
Utilisations des données par FUN
La plateforme FUN peut souhaiter contacter les étudiants par mail afin de leur transmettre des informations sur les MOOCs en place, des enquêtes… Dans le cadre des finalités du traitement défini par la déclaration CNIL, il apparaît possible d’utiliser les adresses mails pour contacter les apprenants si l’objectif est bien sur pédagogique. Les apprenants sont par exemple destinataires des newsletter de FUN mais peuvent à tout moment comme lors de leur inscription sur la plate forme demander à ne pas la recevoir.
Pour utiliser des données à des fins de statistiques (statistiques en fonction de la localisation géographique, du niveau d’études, de l’âge…) il sera indispensable de recourir à des données anonymisées c’est à dire des données qui ne permettent pas de savoir de qui on parle.
Ce n’est donc pas dans le cadre strict des données collectées, stockées et traitées sur la plateforme FUN que se situe le problème de la protection des données à caractère personnel. En effet, le problème se pose lorsque vous utilisez des outils externes à la plateforme pour organiser, promouvoir des activités, proposer des comptes rendus, etc. C’est bien là que l’application de la protection des données se complique !
- Utilisation des données collectées dans FUN dans le cadre de services externes à la plate forme
Dans le cadre de FUN, vous n’avez pas le droit d’intégrer dans la plate-forme des widgets susceptibles de récolter des données personnelles sur les participants. Ce pour éviter que les participants donnent sans s’en rendre compte des données à des tierces plates-formes.
Vous ne pouvez utiliser des outils externes à la plate forme qu’à la condition que ce ne soit pas indispensable pour suivre le cours. Si vous utilisez de tels outils, il est indispensable d’avertir les participants que ces outils ne permettent pas une protection équivalente de leurs données personnelles. Dans ce cas, FUN n’est plus responsable de la gestion des données issues de ces outils et vous devez prendre connaissance des conditions d’utilisation de l’outil.
Sur le site internet de la CNIL vous pouvez vous trouver des ressources complémentaires sur les droits des usagers et les obligations des tiers responsables de traitement de données à caractère personnel mais aussi des exemples types de mentions à insérer par exemple sur vos sites internet et des modèles de courriers si vous rencontrez des problèmes liées à ce domaine.
PS de Matthieu : Même si ces propos sont centrés sur FUN, ils peuvent dans une certaine mesure être extrapolés à d’autres plates-formes.
PPS : Au fait, pour montrer l’importance de ces enjeux, les failles de sécurité des données récoltées par Coursera ont donné lieu à un certain nombre d’articles de presse après qu’un concepteur de MOOC spécialiste de ces questions se soit un peu penché sur la question ….