RGPD & Confidentialité : 5 enseignements après 2 ans d’enseignement à distance

Publié par : John-Arthur Berg, itslearning
Mars 2021 (Mis à jour le 7 janvier 22)

Depuis maintenant deux ans, les institutions de la sphère éducative du monde entier ont dû improviser, réagir et s’adapter à un nouveau quotidien fait d’enseignement hybride (semi-présentiel) voire 100% à distance, Dès lors, nous avons assisté à l’émergence de disparités entre les établissements y étant préparés et ceux ne l’étant pas. Notamment en matière de gestion des données personnelles et du RGPD.

En effet, il s’est avéré que les institutions scolaires dont les infrastructures matures, déjà tournées vers le numérique étaient finalement mieux préparées. D’autres ont dû cependant se hâter pour mettre en place des solutions en seulement quelques jours. Cette situation d’urgence a conduit certains établissements à emprunter des chemins de traverse au mépris de l’évaluation des préoccupations en matière de protection de la vie privée.

L’apprentissage à distance demeure en 2022 un élément essentiel de l’éducation et il y a fort à parier qu’il s’ancrera définitivement comme une pratique pédagogique à part entière dans un avenir proche. Voilà pourquoi il me semble nécessaire d’initier une rétrospective de ces dernières années en matière de confidentialité des données. Voici quelques éléments à retenir.

Replay webinaire : Enseignement à distance, RGPD et sécurité des données ›

Aucune crise (sanitaire) ne saurait justifier un relâchement de l’attention portée à la gestion des données personnelles

Pendant une courte période, il a semblé que beaucoup croyaient que l’urgence pouvait prendre le pas sur la confidentialité des données. La priorité a été d’assurer une continuité pédagogique. Ce qui a donné lieu à une ruée sur des outils numériques permettant d’aider les apprenants à poursuivre leur apprentissage à distance, depuis leur domicile. Aussi, certains éditeurs et fournisseurs pour qui la gestion et la protection des données personnelles n’était pas forcément une priorité, ont dès lors saisi l’opportunité de marché offerte par l’augmentation considérable de l’intérêt des établissements d’enseignement pour leurs services afin de placer service et produit pas toujours conformes au RGPD. Sans doute pour la bonne cause, me direz-vous…

Ainsi, avec le recul, il a été observé que de nombreux services dits “essentiels” pour faire face à la pandémie n’ont pas tout à fait suivi les principes fondamentaux de la confidentialité et de la protection des données. En effet, si le gouvernement norvégien par exemple n’a pas tardé à lancer une application de recherche de contacts pour aider à contrôler la propagation du virus, il n’en est pas moins que l’autorité de protection des données a été encore plus prompte à l’en empêcher. Car même une pandémie mondiale ne saurait justifier un assouplissement des mesures pouvant mettre à mal la confidentialité des données.

C’est en réalité tout l’inverse…

Replay webinaire : Enseignement à distance, RGPD et sécurité des données ›

Lorsque la dimension des données personnelles et des infrastructures (qui les traitent et gèrent) atteint un seuil critique, l’importance de leur protection augmente alors exponentiellement. Il y a un an, si son compte était piraté et supprimé, un enseignant/formateur pouvait trouver un autre moyen de gérer ses apprenants. Mais en période de pandémie, cela pourrait pénaliser deux douzaines d’apprenants pendant plusieurs jours voire semaines. Le besoin de protection des données est évalué en fonction de l’impact sur les personnes lorsqu’un événement critique comme dans notre exemple se produit.

Enseignement n°1 : vous devez renforcer votre protocole de protection des données par ces temps de crise.

La confidentialité des données est également une question de disponibilité

Au cours des premiers mois de pandémie, de nombreux fournisseurs ont enregistré des pics soudains d’utilisation de leurs systèmes générant dans la plupart des cas des problèmes de stabilité. itslearning qui n’a pas échappé à la règle a en réponse à cette explosion de la fréquentation de sa plateforme, triplé sa bande passante afin d’offrir un accès performant et stable en tout temps. Malheureusement, d’autres acteurs n’ont pas été en mesure de répondre aux « nouveaux » besoins de leur clientèle existante. Dans certains cas, il a fallu des jours, voire des semaines, pour que ces derniers puissent rendre leur produit de nouveau disponible et fonctionnel.

A lire également : continuité pédagogique, l’infographie !

La plupart des gens associent une fuite de données à un individu qui pirate un logiciel ou un service pour s’emparer des données personnelles. Mais en termes de RGPD, une perte prolongée de la disponibilité des données peut également être considérée comme une violation de données. Cela dépend de l’impact qu’elle a sur les utilisateurs concernés. Ainsi et dans le cas d’un établissement d’enseignement, si l’outil numérique est inaccessible pendant plusieurs jours, cela aura forcément un impact sur l’apprentissage. De fait, cela devrait être considéré comme une violation de données. Les garanties que les plateformes et les fournisseurs peuvent offrir contre les atteintes à la disponibilité devraient faire partie de tout schéma d’évaluation de la confidentialité des données.

Enseignement n°2 : Lors de l’évaluation des mesures de sécurité offertes par vos fournisseurs, considérez leur capacité à maintenir leurs services disponibles qu’importe le contexte : augmentation de la charge de manière inopinée et prolongée.

De nombreuses institutions se débattent encore avec des mesures de sécurité basiques.

L’année 2020 a vu un nouveau phénomène (du moins pour les établissements) surnommé « Zoom bombing ». Des attaques malveillantes ont notamment réussi à déchiffrer l’URL des salles de réunion utilisées par les outils de visioconférence. Au mieux, cela a perturbé l’enseignement à distance en cours, au pire cela a exposé les apprenants à un contenu inapproprié et à des comportements malvenus. (Zoom a depuis ajouté des mesures supplémentaires telles que le bouton de sécurité pour empêcher les intrusions intempestives.)

Aussi, il a été constaté que même les institutions qui pourtant ne donnaient accès à leurs systèmes qu’à des utilisateurs authentifiés ne pouvaient se considérer à l’abri de piratages et d’atteintes à la protection des données. Le phénomène de phishing, qui tend à leurrer les utilisateurs pour obtenir des identifiants et mots de passe s’est répandu dans le milieu de l’éducation digitale comme une trainée de poudre. Cet exemple illustre bien qu’il ne suffit pas d’avoir un nom d’utilisateur ou une authentification par mot de passe pour sécuriser les données.

C’est la raison pour laquelle les agences de protection des données conseillent que les comptes des personnels gérant les données au sein de plateformes numériques doivent être protégés par une authentification multifactorielle. (Pour en savoir plus, n’hésitez pas à consulter un article de mon blog)

A lire également : c’est quoi l’authentification à double facteur ?

Enseignement n°3 : Passez en revue vos mesures de sécurité de base. Assurez-vous d’appliquer l’authentification forte pour accéder à vos services éducatifs.

Bon nombre d’institutions ne connaissent toujours pas les droits de leurs apprenants et enseignants-formateurs

Le passage à l’enseignement à distance a entraîné beaucoup de changements au sein de nombreux établissements. De nouveaux outils ont été introduits et davantage de données personnelles ont été collectées. Pour certaines organisations, on pourrait même soutenir que le traitement des données personnelles a changé. Mais dans ce processus, de nombreuses structures éducatives mettent malheureusement de côté les principes fondamentaux de l’adhésion au RGPD.

Pourtant, l’ensemble des utilisateurs d’une plateforme d’apprentissage (ou ENT ou LMS) ont le droit à la protection de leurs données. Le plus important est peut-être la transparence avec laquelle elles sont traitées. Si vous, en pleine pandémie, avez modifié la façon dont les données personnelles sont gérées, cela devrait alors être documenté de façon transparente et donné en accès à tous les membres de la communauté éducative.

Enseignement n°4 : Réévaluez la mise en œuvre de vos processus au regard du RGPD. Assurez-vous d’avoir les compétences nécessaires au sein de votre établissement pour protéger de façon appropriée les données personnelles d’une part et pour respecter la vie privée de vos utilisateurs d’autre part.

Replay webinaire : Enseignement à distance, RGPD et sécurité des données ›

Mais ne laissez pas les problèmes de confidentialité freiner le développement de l’enseignement à distance

La confidentialité des données est un droit fondamental ; tout comme l’est l’éducation. Ainsi, la confidentialité des données ne saurait servir de motif pour interrompre l’enseignement en ligne lorsqu’une crise (telle que celle que nous vivons actuellement) conduit à la fermeture partielle voire totale des établissements.
Elle ne doit pas être considérée comme un obstacle qui nous mènerait à un retour en arrière, au temps des prémices du numérique éducatif. La gestion sécurisée des données doit au contraire garantir la qualité d’accès à un service éducatif sûr et fiable pour tous.

Mais il conviendra toujours de se montrer vigilant même après avoir vaincu cette pandémie. En effet, nous devrons toujours anticiper et imaginer qu’une situation identique puisse se reproduire un jour. Alors mettez dès aujourd’hui en place des plans d’action, des infrastructures, choisissez des éditeurs qui assureront en cas d’imprévus le service pour permettre cette continuité pédagogique si durement élaborée. Y compris si les établissements doivent rester clos.

Enseignement n°5 : Une fois la pandémie derrière nous, mettez en place un « plan de continuité pédagogique » qui facilitera un passage en douceur à un enseignement à distance tout en assurant la protection de la vie privée des données des utilisateurs.

Chez itslearning, nous nous engageons à assurer la sécurité des données. Vous pouvez en savoir plus sur notre engagement RGPD en consultant nos ressources sur le sujet

En complément de ce billet de blog, nous vous recommandons de visionner le replay de notre webinaire RGPD qui vous éclairera sur la façon dont vous pouvez mieux protéger les données dans votre établissement.

John-Arthur Berg, itslearning
Publié en mars 2021, mis à jour le 7 janvier 2022