Choisir une application, un service en ligne : points de vigilance. #RGPD

Les critères de sélection pour choisir la bonne application, le bon service en ligne sont en général surtout abordés selon des critères pragmatiques : est-ce que ça répond aux besoins pédagogiques, est-ce que c’est gratuit, est-ce que c’est ergonomique ?

Pour autant, il convient également d’être vigilant quant au traitement de données à caractère personnel que ce choix et cette utilisation impliquent.

Vous pouvez également nous poser vos questions directement sur Twitter (@DANE_acLyon), notamment afin d’enrichir cet article.

Les services numériques sont de plus en plus utilisés dans le cadre du Plan Numérique, notamment, mais cela concerne d’une manière plus générale la préparation des cours ainsi que bon nombre d’activités pédagogiques proposées aux élèves.

Les critères de sélection pour choisir la bonne application, le bon service en ligne sont en général surtout abordés selon des critères pragmatiques : est-ce que ça répond aux besoins pédagogiques, est-ce que c’est gratuit, est-ce que c’est ergonomique ?

Pour autant, il convient également d’être vigilant quant au traitement de données à caractère personnel que ce choix et cette utilisation impliquent.

Nous vous proposons ci-dessous quelques points de vigilance à prendre en compte lors de la recherche et de l’utilisation d’une application ou d’un service en ligne. A noter qu’une utilisation par le professeur uniquement n’est pas exempte de ces réflexions.

1. L’application est-elle utilisée avec un compte ?

a) EIM (Equipements Individuels Mobiles)

Dans le cas d’EIM, avec des tablettes qui sont confiées à l’année aux élèves : toute application nécessitant la création d’un compte doit faire l’objet d’une démarche CNIL - et à partir du 25 mai 2018, d’une déclaration auprès du DPD (Délégué à la Protection des Données).

b) Chariot mobile / armoire

Dans le cas d’un chariot mobile (ou d’une armoire), avec des tablettes utilisées par différents élèves : a partir du moment où il n’y a pas de traitement de DCP (Données à Caractère Personnel), l’enseignant n’a pas de démarche juridique particulière à faire.

2. S’agit-il d’un service grand public ou d’un service professionnel ?

Dans le cas d’une utilisation individuelle et authentifiée de la part des élèves sur un service en ligne, les enseignants doivent vérifier si le service utilisé est dans une version grand public ou une version professionnelle, dédiée à l’éducation.

a) Services grand public

Demander l’autorisation des responsables légaux des élèves, et prévoir des activités alternatives pour les élèves dont les responsables légaux refuseraient.

b) Services professionnels

Si c’est l’établissement qui crée les comptes sur un service professionnel, jusqu’au 24 mai 2018 le chef d’établissement doit faire des démarches déclarative auprès de la CNIL. A partir du 25 mai 2018 (entrée en vigueur du RGPD), les enseignants doivent faire remonter à leur DPD le traitement de données.

3. L’application est-elle gratuite ou payante ?

a) Gratuite

Préférer les applications qui ne contiennent pas de publicité. Le Code de l’Education oblige à une neutralité de point de vue ; la présence de la publicité au sein de l’école doit respecter cette neutralité, tout en cherchant à ne pas privilégier une entreprise plutôt qu’une autre.

b) Payante

Sur iOS (avec des iPads, donc), Apple propose un programme d’achat en volume dédié à l’éducation.

Sur Android en revanche, Google a abandonné son programme Android for Education, et il n’existe aucune solution de ce type. L’une des solutions de contournement étant d’avoir le même compte Google sur toutes les tablettes (donc pas avec des EIM), et d’acheter une fois l’application ; cette approche est tolérée par Google, même si elle n’est valable que pour une vingtaine d’appareils maximum. Cette possibilité vient du fait qu’un propriétaire d’un compte Google doit pouvoir installer l’application qu’il a acheté sur plusieurs appareils (pas sur une flotte toute entière...).

Il est utile de rappeler ici que Google propose deux types de services différents : un service grand public (gmail.com) et un service professionnel dédié à l’éducation (G Suite for Education). Les données traitées dans le service grand public gmail.com sont utilisées à des fins de profilage en vue de proposer de la publicité ciblée, ce qui n’est pas le cas du service professionnel G Suite, qui bénéficie en plus d’un niveau de protection conforme au RGPD.

4. Les données sont-elles stockées hors de l’UE ?

La Loi Informatique et Liberté de 1978 impose que les données soient stockées sur le territoire des états membres de l’Union Européenne (cf cette carte interactive produite par la CNIL).


Les exceptions sont les suivantes :

  • le pays vers lequel les données sont transférées présente un niveau de sécurité et de protection au moins équivalent à ce qui se fait sur le territoire UE, comme par exemple Andorre, l’Argentine, le Canada, les Iles Féroé, l’Ile de Man, de Guernesey, de Jersey, Israël, l’Uruguay ou encore la Suisse (attention, cette liste n’est pas arrêtée).
  • s’il s’agit des USA, il est nécessaire que le service qui traite les données adhère au Privacy Shield (à vérifier ici), ou que le service dispose de CCT (Clause de Contrat Type).

Voir toutes les exceptions sur le site de la CNIL : https://www.cnil.fr/fr/les-exceptions-au-principe-dinterdiction-de-transferts

 Important

Afin de respecter les trois grands principes du RGPD (gestion comptable, protection des données dès la conception et par défaut), il est vivement conseillé de consulter son DPD de rattachement en amont de ces réflexions.

Plus d’informations à ce sujet sur cet article FAQ sur le RGPD (Règlement Général pour la Protection des Données).

 Pour aller plus loin

Kédem Ferré