A lire également...

Nous avons en parallèle rédigé une série d’articles afin d’aborder certains aspects avec plus de précision.

Article n°1 : C’est quoi un Délégué à la Protection des Données ? Lire la suite

Article n°2 : Le RGPD représente-t-il un changement radical ou une simple mise à jour… Lire la suite

Article n°3 : Comment préserver les droits et libertés des apprenants ? Lire la suite

Article n°4 : Un jour dans la peau d’un Délégué à la Protection des Données. Lire la suite

Article n°5 : 5 astuces pour bien gérer des données personnelles. Lire la suite

itslearning conforme au RGPD

Le RGPD, qu’est-ce-que c’est ?

Le Règlement Général sur la Protection des Données (General Data Protection Regulation GDPR), approuvé par le parlement en 2016 est LE changement majeur de ces 20 dernières années. Ce texte qui remplace la directive sur la protection des données 95/46 / CE vise à réguler l’exploitation des données personnelles et à harmoniser la législation au sein de l’Union européenne. Cette nouvelle règlementation s’adresse à tout organisme public et privé qui traite, manipule, gère ou stocke des données à caractère personnel.

Les engagements d’itslearning vis-à-vis du RGPD

Nous avons la chance d’être une entité déjà conforme au RGPD, c’est pour cette raison que nous voyons cette régulation comme une opportunité d’améliorer la façon dont nous gérons les données personnelles. De plus, nous continuons constamment d’améliorer nos services et procédures afin de maintenir un niveau optimal de protection des données.

En tant que gestionnaire de données, il n’est pas de notre responsabilité de définir l’objectif ou le cadre légal s’appliquant au traitement, nous traitons simplement les données au nom de nos clients. Nous avons depuis longtemps réfléchi à la manière d’adapter nos services, nos procédures et notre organisation aux défis qu’impose le RGPD. Il en résulte que dans les mois à venir, nous mettrons à votre disposition toute la documentation, les addendums et les procédures dont vous pourriez avoir besoin afin de vous assurer de notre conformité. Nous prévoyons d’être entièrement conformes courant 1er trimestre 2018.

En tant qu’entité conforme au RGPD, voici ce que nous garantissons :

Une organisation technique sécurisée pour tous nos services,
de fournir la documentation necessaire informant nos utilisateurs concernant notre conformité,
de fournir des contrats qui seront conformes à un traitement des données conforme au RGPD,
de fournir le soutien dès lors que vos utilisateurs souhaiteront exercer leurs droits concernant la gestion de leurs données.

Nous avons nommé un Délégué à la Protection des Données (DPO en anglais) et il en sera de même pour la plupart de nos clients qui sont concernés par la RGPD. De plus, afin de garder un oeil sur notre propre conformité et afin de fournir conseils et formations à nos équipes, notre DPD sera également à la disposition de nos clients et de leurs propres DPD afin d’échanger sur des questions relatives aux données personnelles.

Pour toute question, contactez notre DPD :
Riika Turunen
Sanoma Media Finland Oy
PL 18, 00089 Sanoma, Finland
Phone: +35 89 122 4791
[email protected]

Toute communication devra être en anglais.

Qu’avez-vous besoin de faire en tant que client ?

La plupart de nos clients ont déjà fait le nécessaire pour s’assurer de leur conformité avec les nouvelles réglementations liées au RGPD. Cependant, si vous ne l’êtes pas encore, sachez qu’être conforme implique plusieurs étapes dont la durée et la difficulté varieront selon votre organisation, vos processus et vos règles déjà en place. Si vous n’avez pas encore amorcé de réflexion quant au RGPD, nous vous recommandons en premier lieu de constituer une équipe projet, d’évaluer la situation actuelle et d’obtenir un avis juridique afin de savoir ce qui peut être ou ne pas être fait.

En bref, voici ce que le RGPD requiert de votre part :

De documenter et d’évaluer la nature du traitement des données ainsi que les systèmes utilisés. Assurez-vous de définir un cadre légal sur lequel vous vous baserez afin de traiter les données personnelles,
D’assurer un traitement sécurisé et d’être capable de le démontrer. Evaluez et documentez vos processus internes concernant la conservation des données. Assurez-vous que la technologie que vous utilisez est suffisamment sécurisée,
Lorsque vous utilisez des services tiers comme les nôtres, assurez-vous que le traitement des données se fait en accord avec le RGPD,
Lors de l’acquisition d’une nouvelle technologie qui peut parfois représenter une menace pour les données, nous vous recommandons de procéder à une analyse des risques/une évaluation de l’impact sur les données.
Grâce au RGPD, ce sont les utilisateurs qui disposent des droits les plus solides. Vous devrez avoir des processus permettant de répondre efficacement aux demandes des utilisateurs et pour également évaluer la validité de celles-ci,
Un point particulièrement important concerne les droits des utilisateurs, la transparence et l’information. Assurez-vous de rendre facilement accessible toute information liée au RGPD, et comment vos utilisateurs peuvent faire valoir leurs droits. S’ils ne sont pas majeurs, assurez-vous également de rendre l’information disponible pour les parents.

Téléchargez l’accord de traitement des données itslearning. Merci de soumettre tous les DPA complétés à [email protected]

Nous attirons votre attention sur le fait que nombre des exigences citées ci-dessus sont déjà requises par la réglementation actuelle, ce qui suggère que votre organisation remplit la plupart des critères et que par conséquent vous êtes très proche de la conformité !

Pour toute question d’ordre plus général et concernant les produits/services itslearning, vous pouvez contacter le support. Pour des questions contractuelles/commerciales, merci de contacter votre responsable de compte.

Concernant les questions relatives au RGPD, si vous êtes un client, contactez notre Délégué à la Protection des Données par mail [email protected] ou par téléphone au +35 89 122 4791. Notez que toute communication avec notre DPD se fera en anglais.

FAQ (POUR LES CLIENTS)

itslearning peut-il utiliser des données personnelles pour ses propres besoins ?

La réponse est non. Que ce soit sous la réglementation actuelle ou sous le RGPD, nous ne pouvons traiter des données que sur instruction directe de nos clients. Les données sont les vôtres, et seulement une poignée de collaborateurs chez itslearning a accès à celles-ci et ce, de manière strictement confidentielle et sécurisée. Notez que nous pouvons tout de même traiter des données personnelles sans instruction dès lors que cela relève de l'intégrité et la sécurité de nos services, ou pour analyser et évaluer la qualité des services fournis.

Quels types d’informations concernant le traitement des données itslearning est-il obligé de fournir aux utilisateurs ?

Le droit à la transparence et à l'information des utilisateurs (ou de leur parents) est très fort dans le cadre du RGPD. Les informations dont vous avez besoin afin de vous conformer peuvent inclure :

L'identité et les coordonnées du gestionnaire des données
Les coordonnées du Responsable de la Protection des Données
L'objectif du traitement ainsi que la base légale permettant le traitement des données
Toute intention de transferer des données personnelles à un pays tiers (en dehors de l'EU/EEE), quels dispositifs de sécurité ont été mis en place ainsi que les moyens permettant d'obtenir une copie des données.
La période durant laquelle les données seront stockées, ou les critères permettant de déterminer cette dernière
Les droits des utilisateurs (accès, rectification, effacement, etc.)
Le droit de saisir l'autorité de contrôle compétente
La source/l'origine des données
Toute utilisation d'un logiciel de prise de décision/de profilage automatique.

Est-il possible pour un utilisateur d’exiger la suppression de ses données (Droit à l’oubli) ?

De manière générale probablement pas. Il existe cependant quelques exeptions régies par l'article 17 du Réglement Européen sur la Protection des Données permettant à un utilisateur de demander la suppression de ses données. Les gestionnaires de données (nos clients) auront besoin de processus leur permettant d'évaluer attentivement les demandes de suppression. Vous pouvez contacter notre Responsable de la Protection des Données pour obtenir des conseils pour des cas sensibles. Enfin, si un utilisateur voit sa demande sa demande d'accès à ses données acceptée, nous serons capables de les fournir soit par l'intermédiaire de notre système ou de notre service support.

Est-il possible pour un utilisateur de demander à itslearning une copie de toutes ses données personnelles ?

Dans une certaine mesure oui. Nous assurons la même transparence, la même information et l'accès aux données pour tous nos utilisateurs. Toute personne concernée peut demander à recevoir une copie de l'ensemble de ses données personnelles à condition que cela n'ait pas d'impact négatif sur d'autres personnes, et que ses données n'aient pas déjà été mises à sa disposition. Cependant, ce n'est pas un droit absolu, d'autres réglementations peuvent requérir à des fins de protection de l'utilisateur, de limiter l'accès à certains types d'informations. Vous pouvez contacter notre Responsable de la Protection des Données pour obtenir des conseils pour des cas sensibles. Enfin, si un utilisateur voit sa demande sa demande d'accès à ses données acceptée, nous serons capables de les fournir soit par l'intermédiaire de notre système ou de notre service support.

Est-il possible pour un utilisateur de contacter directement itslearning pour faire appliquer ses droits vis-à-vis du RGPD ?

La réponse est non. Dans le cadre du RGPD, un utilisateur souhaitant faire appliquer ses droits devra directement contacter son administrateur (notre client). C'est pourquoi, toute demande émise à notre attention sera transmise à l'administrateur concerné (notre client). Nous ferons tout de même tout notre possible afin d'assurer aux personnes concernées le respect et l'application de leurs droits.

Dans quels cas itslearning supprime-t-il des données personnelles ?

A partir du moment où un client nous en fait la demande, où dès lors que le contrat nous liant à ce dernier prend fin, nous supprimons les données personnelles. Toutefois, les procédures de suppression devront être fournies par écrit (ex : un accord de traitement).

La suppression d'un utilisateur nécéssite avant tout d'emettre une demande à notre support technique. Celle-ci peut étre effectuée manuellement depuis la plateforme par un administrateur, ou automatiquement par le biais d'une intégration.

Notez que la suppression d'un utilisateur de notre base de données est sécurisée par des dispositifs. Ceux-ci permettent d'éviter les erreurs pouvant mener à des pertes de données. Dans la plupart des cas, les clients devront confirmer manuellement la suppression.

itslearning doit-il notifier les utilisateurs ayant été victimes de fuites de données ?

Est-il nécessaire de nommer un Délégué à la Protection des Données ?

itslearning traite-t-il des données hors UE ? Est-ce autorisé ?

Le RGPD n'interdit pas la circulation des données en dehors de l'espace économique Européen (EEE). c'est pourquoi, de puissants dispositifs de sécurité ont été développés afin d'assurer que la moindre donnée traitée en dehors de l'Union Européenne le soit en conformité avec le RGPD. De plus, tout responsable/gestionnaire traitant des données hors UE est tenu de fournir des informations détaillées sur la nature du traitement et dans certains cas, de permettre aux clients comme aux utilsateurs de pouvoir contester le traitement.

Nous concernant, l'ensemble des données que nous traitons, l'est au sein de l'EEE. Il arrive que pour faciliter certaines intégrations (c'est une option), nous fassions appel à un partenaire tiers situé hors EEE. Pour ces cas de figure, nous devrons au même titre que nos clients respecter les conditions imposées par le RGPD.

Comment itslearning traitait-il les données avant le RGPD ?

Le RGPD n'a jusqu'à présent pas défini de pré-requis spécifiques censés constituer un service cloud sécurisé. Il est donc de notre responsabilité conjointe à celle denos clients de mettre en place une organisation technique adéquate afin de traiter les données personnelles de façon sécurisée. Il convient tout de même de noter que le RGPD renforce la notion de responsabilité pour les organisations dont la sécurité ne serait pas assez forte.

Nous avons pendant vingt ans protégé et traité les données de millions d'utilisateurs. Nous restons cependant concients que nos performances passées ne constituent en rien un gage de réussite future. Voilà pourquoi nous investissons sans relache nos efforts dans notre organisation, notre réseau, nos infrastructures techniques ainsi que nos applications afin d'offrir un niveau maximal de sécurité à nos utilisateurs. Cette volonté se traduit également par le fait que nous organisons régulièrement des audits sur le niveau de notre sécurité.

Parmi nos dispositifs et nos processus déjà en place pour contrer les menaces, il y a notamment :

la sécurité des applications : il est question ici du cryptage du l'ensemble du trafic, de mots de pass forts, de dispositifs contre les vulnérabilités telles que le cryptage du trafic, les scripts inter-site, les injections SQL, le hameçonnage (phishing) etc.
la sécurité des réseaux : des pare-feux et des systèmes de détection de comportements suspects afin de contrer/stopper des tentatives d'accès et/ou la mise en péril l'intégrité du service (une Attaque par Déni De Service ou DDOS par exemple)
la sécurité organisationnelle telle que la politique d'accès aux données, le journal des transactions et les accords de confidentialité
la sécurité physique afin de prévenir l'accès non autorisé à une infrastructure qui traite des données personnelles
la sécurité procédurale : la gestion des processus informatiques afin de minimiser les riques d'erreurs humaines
des programmes de tests pour identifier les faiblesses produit avant le lancement de nouvelles fonctionnalités

Où itslearning obtient-il les données personnelles des utilisateurs ?

Il faut savoir que nous n'obtenons aucune des données utilisateurs de manière indépendante. Ces dernières peuvent être soit manuellement soumises via la plateforme par les administrateurs, soit par le biais d'une intégration avec un système tiers, ou dans certains cas, par les utilisateurs eux-mêmes.

Les données personnelles sont pour la plupart du temps issues du “système d'information des élèves" sous le contrôle de nos clients. Nous n'importons des données issues d'un système tiers que sur instruction de nos clients.

itslearning envoie-t-il des données à des parties tierces ?

Nous n'envoyons des données à des parties tierces que dans deux cas :

en y étant invité de manière explicite de la part d'un client

suite à une obligation légale

Une instruction venant d'un client doit être émise sous la forme d'un accord d'intégration de service/d'outil tiers, ou lorsqu'un administrateur lui-même configure une integration. Dans tous les cas, nous prenons les mesures nécessaires afin d'éviter aux clients d'envoyer des données à des parties tierces qui pourraient ne pas être conformes vis-à-vis du RGPD. Ceci n'empêche en rien le fait que nous encourageons nos clients à mettre en place des dispositifs de sécurité afin de se prémunir contre des transmissions vers des parties à risque.

Nurture Grid Slide 1itslearning est une plateforme parfaitement adaptée à tous les niveaux d'enseignement : primaire, secondaire et supérieur. Démo interactiveComment choisir la meilleure plateforme pédagogique pour votre projet ?Télécharger le livre blanc › Découvrir le concept

Nurture Grid

Nurture Grid

Slide 1
itslearning est une plateforme parfaitement adaptée à tous les niveaux d'enseignement : primaire, secondaire et supérieur.

Démo interactive
Comment choisir la meilleure plateforme pédagogique pour votre projet ?
Télécharger le livre blanc ›

Découvrir le concept