Adoptez de bons réflexes

Données à caractère personnel des usagers : quels services ?

Académie Sécurité numérique

Mis à jour le mercredi 26 octobre 2022

Adoptez les bons réflexes !

Adoptez des réflexes pour le choix des services en ligne dans le respect des données à caractère personnel des usagers. Quelques conseils du groupe académique RGPD pour vous guider.
Soyez particulièrement attentifs à certains éléments.

Réflexes RGPD

Des réflexes pour le choix des services en ligne

Compte tenu des circonstances particulières, le besoin de trouver rapidement des applications permettant d’assurer la continuité pédagogique nous oblige à une attention particulière à la protection des données personnelles des élèves, des enseignants et des personnels.
Les conditions d’utilisation de la plupart des logiciels disponibles étant des documents très touffus qui demandent une attention soutenue, ce document a pour but d’énumérer les points essentiels avant toute utilisation. L’utilisation de fonctions de type« rechercher »du navigateur Web permettra d’atteindre directement les mots clés qui suivent.
1. Mentions relatives au RGPD
Il est important que l’éditeur du logiciel ait fait un véritable travail sur la prise en compte du RGPD. Cela se traduit le plus souvent par une section spécifique ou au moins quelques paragraphes. La prudence doit être de mise lorsqu’un logo ou une phrase sert à revendiquer la conformité au RGPD, sans aucune autre explication.
2. Liste des données utilisées
Sans lire précisément toutes les conditions posées par l’éditeur, il suffit parfois de lire la liste de toutes les données personnelles qui sont utilisées par l’application. Si elles sont en grand nombre ou si elles ne correspondent que très peu à l’objectif poursuivi ; alors mieux vaut s’abstenir d’utiliser le logiciel ou le service concerné. Par exemple, si un simple site qui propose des exercices dans une matière demande le nom, prénom, numéro de téléphone, âge et adresse mail d’un élève ; la plupart des informations ne sont pas
3. nécessaires, voire intrusives.
Hébergement des données
Le RGPD est un règlement ; il s’applique donc indistinctement à tous les pays membres de l’Union Européenne. Il suffit de vérifier la loi qui s’applique. Une recherche rapide permet de se rendre compte que même si les serveurs peuvent se situer sur le territoire européen, la loi d’un autre pays a été choisie comme source de droit ou les données sont transférées hors des frontières de l’UE.
Le règlement n’interdit pas que des données personnelles soient utilisées hors des frontières de l’UE ; cependant, il convient de s’assurer que le droit du pays choisi accorde une protection équivalente reconnue par l’UE. Il est donc impératif de procéder à une étude préalable minutieuse. Mieux vaut alors privilégier la règle ci-dessus afin de ne pas compromettre les données de
4. la communauté éducative.
Conditions de consentement
Sans lire toute la documentation, si le mot consentement n’apparaît pas ou si au contraire il est utilisé un très grand nombre de fois ; cela doit inciter à la méfiance. Un éditeur doit demander le consentement et expliquer pour quelles raisons il le demande. Mais plus les explications sont nombreuses, plus les utilisations des données fournies ont des visées commerciales.
5. Création de comptes
Une telle pratique doit se justifier d’un point de vue pédagogique (ex :pour que l’élève garde ses résultats) mais, attention à ne pas
tomber dans les excès notés au point 2

Pour approfondir le sujet, vous pouvez lire notre synthèse RGPD : Enseignants, tous concernés ! Protégeons nos données et celles de nos élèves !

Analyses de certains services

Vous trouverez ci-dessous des exemples d’analyses de certains services et des conditions d’utilisation associées ainsi que les conclusions qui s’imposent !

Focus DISCORD - MENJ

Des réflexes pour le choix des services en ligne : Focus sur Discord

Discord est une application très utilisée par les élèves pour communiquer entre eux lorsqu’ils pratiquent des jeux en ligne. Elle permet de disposer d’un salon de chat textuel et audio, avec différents canaux de discussion. Nous avons constaté son utilisation à des fins pédagogiques comme outil de classe virtuelle.
Sa performance, son ergonomie et son intuitivité ont pu séduire certains enseignants pour communiquer facilement avec les élèves qui disposent déjà d’un compte sur la plateforme.
L’utilisation de cet outil est à proscrire pour les raisons suivantes :
La solution n’est pas prévue pour être utilisée autrement qu’à titre "personnel", il n’existe pas de lien sous-traitant (Discord) et responsable du traitement (chef d’établissement pour le second degré, Rectrice pour le premier degré) ;
Le traitement ne peut pas être opéré sur la base d’une mission de service public, mais uniquement sur la base du consentement. Celui-ci doit être libre, ce qui n’est pas le cas quand il y a prescription de l’enseignant pour s’inscrire sur un serveur
« classe ».
De plus, une preuve du consentement des représentants légaux des mineurs de moins de 15 ans est indispensable !
La société trouve son financement dans la commercialisation des données de ses usagers. Les conditions générales d’utilisation (CGU) précisent : « « Divulgation de données personnelles : Conformément à la section « NOTRE DIVULGATION DE VOS INFORMATIONS » ci-dessus, nous pouvons être amenés à partager vos données personnelles avec des parties tierces. Nous divulguons les catégories de données personnelles mentionnées plus haut à des fins commerciales. » (Source : https://discordapp.com/privacy)

Focus WHATSAPP - MENJ

Des réflexes pour le choix des services en ligne : Focus sur WhatsApp
WhatsApp (ou WhatsApp Messenger) est une application mobile multiplateforme qui fournit un système de messagerie instantanée chiffrée de bout en bout aussi bien par Internet que par les réseaux mobiles.
L’utilisation de cet outil est à proscrire pour les raisons suivantes :
Les services sont accessibles à tout le monde mais les utilisateurs cèdent toutes leurs données à l’exploitant du service. Extrait des CGU :
« Afin que nous puissions exploiter et proposer nos Services, vous octroyez à WhatsApp une licence internationale, non exclusive, exempte de redevance, permettant l’octroi d’une sous-licence et cessible, nous autorisant à utiliser, reproduire, distribuer, afficher et exploiter les informations (y compris le contenu) que vous téléchargez, soumettez, stockez, envoyez ou recevez sur nos Services ou par leur intermédiaire, ainsi qu’à en créer des œuvres dérivées.. » https://www.whatsapp.com/legal/?eea=1#privacy-policy- how-we-use-information
Le RGPD prévoit que l’utilisateur puisse contrôler les données personnelles qu’il transmet. Whatsapp reste très évasif. On peut lire ainsi : « Nous stockons les informations jusqu’à ce qu’il ne soit plus nécessaire de fournir nos services ou jusqu’à ce que votre compte soit supprimé, selon la première de ces éventualités ». Cette phrase pourrait laisser penser la décision d’arrêt d’utilisation des données dépend du titulaire de compte et de lui seul. Or si on étudie la signification du mot « service », le mot comprend les possibilités de communications pour les entreprises. L’accent est mis sur les messages commerciaux selon les intérêts des utilisateurs. Donc même après une clôture de compte, Whatsapp pourra continuer à utiliser vos données antérieures ainsi que votre adresse mail à des fins commerciales.
Utilisation discutable de l’intérêt légitime. Le RGPD autorise des traitements de données à des fins commerciales ou de développement sans le consentement de l’utilisateur ; à condition que ces traitements ne prennent pas ce dernier par surprise et ne violent pas ses droits fondamentaux. Or la CNIL et plusieurs organismes européens ont pointé l’abus de Whatsapp, lorsqu’il écrit : « Les intérêts légitimes sur lesquels nous nous appuyons pour ce traitement sont les suivants : promouvoir les produits des entités Facebook et effectuer du marketing direct »
Un utilisateur de Whatsapp peut être différent de celui de Facebook. On ne peut obliger l’utilisateur a accepter les conditions d’un service qu’il n’utilise pas directement.

Focus ZOOM - MENJ

Des réflexes pour le choix des services en ligne : Focus sur Zoom

Zoom est un service de conférence à distance qui combine la vidéoconférence, les
réunions en ligne, le chat et la collaboration mobile à l’aide d’applications.
L’utilisation de cet outil est à proscrire pour les raisons suivantes :
La société a reconnu et retiré depuis les transmissions de données vers Facebook sans l’accord des utilisateurs. Elle a modifié récemment sa politique et affirme ne vendre aucune donnée à des tiers. Néanmoins, Zoom continue de collecter un grand nombre de données personnelles (« nom, adresse mail, numéro de téléphone, adresse postale, adresses IP », « genre d’appareil que vous utilisez », « version du système d’exploitation et l’identifiant de l’appareil », « l’endroit où vous vous trouvez »...). Le document de politique de confidentialité accessible aux utilisateur explique de son côté que la société zoom possède ses propres services de marketing.
Le système mis en place par zoom intègre un indicateur d’attention. Par de multiples paramètres, comme par exemple la durée d’ouverture de la fenêtre de discussion, le mouvement d’un curseur de souris etc., le logiciel offre des possibilités de surveillance à distance, qu’il s’agisse d’élèves ou de collaborateurs. Au regard de la loi, il s’agit d’une violation de la vie privée et d’une utilisation déloyale d’un traitement de données personnelles, sujet dont plusieurs associations de défenses des libertés se sont déjà emparées.
La Federal Trade Commission (FTC) a enjoint la société ZOOM de renforcer la sécurité de son logiciel. https://www.ftc.gov/news-events/press-releases/2020/11/ftc-requires-zoom-enhance-its- security-practices-part-settlement

En complément, dans le cadre de la continuité pédagogique, la CNIL publie des conseils.

Documents joints

Dans la même rubrique

Article rédigé par Fabrice Lemoine, Caroline Pras-Pesce