Rôles et responsabilités selon le RGPD

Toutes les demandes relatives au RGPD doivent passer de la personne concernée (un utilisateur itslearning) au responsable du traitement des données (un client itslearning), qui à son tour peut choisir d’utiliser ou pas notre fonctionnalité ou demander de l’aide à itslearning pour exercer le droit pour la plate-forme itslearning. Chaque demande individuelle doit être examinée et traitée avant de prendre des mesures. Les droits de la personne concernée sont décrits dans le chapitre 3 du RGPD. Ces droits ne sont pas absolus et doivent être traités aussi bien dans le cadre du RGPD que des réglementations locales.

Toutes les demandes relatives au RGPD doivent être émises de la personne concernée (l’utilisateur itslearning) à l’attention du responsable du traitement des données (le client itslearning). Pour répondre aux demandes, ce dernier aura alors plusieurs choix :

  • utiliser la fonctionnalité RGPD de la plateforme
  • faire appel au support itslearning afin de faire exercer les droits de l’utilisateur concerné.

De cette manière, lorsque les données sont jugées nécessaires, le RGPD prévoit plusieurs exceptions quant à l’exercice des droits :

  • le droit à la liberté d’expression et à l’information d’autrui
  • les obligations légales ou l’exécution d’une tâche jugée d’intérêt public
  • pour des raisons d’archivage historiques ou statistiques

Vous trouverez ci-après une description de la façon dont certains des droits peuvent être exercés à l’aide de la fonctionnalité itslearning.

Actions afin de faire excercer les droits de la personne concernée

Lorsqu’une demande est reçue et acceptée par le responsable du traitement des données, ce dernier doit contacter l’assistance itslearning.

Pour aider nos clients à faire excercer les droits de leurs utilisateurs, nous avons ajouté un « Outil RGPD ». Cet outil sera activé après le contact initial avec l’assistance. Il sera ensuite disponible pour l’administrateur système. Les actions disponibles vous aideront à donner accès au type de données stockées relatives à une personne concernée, éditer ses informations, limiter ou supprimer des données. Les détails de chaque action sont disponibles ci-après.

 

Pour accéder à l’outil RGPD, l’administrateur doit se rendre dans Administration/Utilisateurs et droits d’accès puis rechercher la personne concernée et cliquer sur l’icône de bouclier à droite, comme indiqué sur la capture d’écran ci-dessous :

Après avoir cliqué sur l’icône, il faudra confirmer que l’utilisateur sélectionné est le bon (en cas d’existence de plusieurs utilisateurs avec le même nom) :

 

Après avoir confirmé qu’il s’agit bien du bon utilisateur, plusieurs options deviendront disponibles pour aider lors des étapes suivantes.

 

Pour chacune de ces actions, l’administrateur devra spécifier une raison pour l’exécution de l’action, cette dernière sera consignée.

En général, l’outil RGPD est « instantané », ce qui signifie que les actions exécutées seront traitées sans délai. Notez que certaines actions peuvent cependant prendre un certain temps à être prises en compte en vue de maintenir les performances du système (si la demande comporte de grandes quantités de données).

 

Droit d’accès aux données et à la portabilité

La personne concernée a le droit d’obtenir des informations du responsable du traitement sur le type de données ainsi que sur la façon et la raison pour lesquelles elles sont traitées. Dans certains cas, elle peut également avoir le droit de transmettre ces données à un autre responsable de traitement. Ce cas de figure est décrit dans l’Accord de traitement des données.

Vous trouverez davantage de détails au sujet de ces droits dans l’article 15 et l’article 20 du RGPD.

Pour accéder aux informations spécifiques d’une personne stockées dans itslearning, l’administrateur doit accéder à l’outil RGPD et sélectionner APERÇU/TÉLÉCHARGEMENT. Cette action permet de créer un fichier au format XML contenant toutes les informations liée à cette même personne. Notez que la génération de ce fichier peut prendre un certain temps, en fonction de la quantité d’informations stockées. Le fichier pourra être téléchargé une fois généré.

Les données de la catégorie « Logique interne » ne seront pas incluses.

 

Droit de rectification

En cas de données personnelles inexactes, incomplètes ou erronées, la personne concernée a le droit de les faire rectifier par le responsable du traitement.

Vous trouverez davantage de détails au sujet de ce droit dans (l’article 16 du RGPD.

Dans de nombreux cas, l’utilisateur peut corriger lui-même les informations depuis l’interface itslearning. Dans d’autres cas, et le plus souvent, les informations d’une personne comme le nom, l’adresse e-mail, etc. doivent être modifiées depuis le système externe d’information sur les élèves et synchronisées à nouveau avec la plateforme itslearning. D’autres types de données peuvent être corrigés par les enseignants ou les administrateurs depuis le système itslearning. Nous avons inclus un lien vers une aide plus approfondie sur la rectification dans l’outil RGPD.

Droit à la limitation du traitement

Vous trouverez davantage de détails au sujet de ce droit dans (l’article 18 du RGPD.

Lorsque l’administrateur sélectionne LIMITER, la limitation est exécutée en tant que « suppression réversible ». L’effet sera le même que si l’utilisateur est envoyé dans la corbeille. L’ensemble des informations de l’utilisateur en question seront supprimées de l’interface, mais pas de manière irréversible.

Dans certains cas, cela peut signifier que le nom d’utilisateur est rendu anonyme alors que le contenu est conservé (pseudonymisation). Le tableau ci-dessous décrit la façon dont ces opérations sont gérées en fonction des différentes catégories de données personnelles :

 

Catégorie Effet de la limitation
Informations personnelles (coordonnées) Non visibles
Communication Anonymisée
Contenu de cours (produit par l’utilisateur) Anonymisé, à moins que le contenu ne soit mis qu’à la disposition de la personne concernée
Évaluations (faites par l’enseignant) Toujours visibles et non anonymes si l’enseignant est limité, car les évaluations ont toujours de la valeur et affectent les droits de l’élève.
Entrées de calendrier Les événements personnels ne sont plus visibles, les événements partagés sont rendus anonymes
Réponses des élèves Non visibles
Logique interne Jamais visible

 

La limitation est réversible et peut être effectuée en rétablissant la personne concernée (utilisateur) depuis la corbeille. Lorsque la limitation de traitement est levée, le responsable de traitement est tenu d’informer la personne concernée.

 

 

Droit à l’effacement (« droit à l’oubli »)

Dans la plupart des cas, la suppression d’un utilisateur et de ses données est effectuée lorsque la finalité du traitement n’est plus valide. Le plus souvent, cela se produit lorsqu’un étudiant quitte l’école, un enseignant change d’emploi ou le client qui résilie son contrat avec itslearning. Dans ces cas, nous recommandons de suivre la procédure normale de suppression d’utilisateurs :

  1. déplacer le(s) utilisateur(s) dans la corbeille ou les marquer comme supprimés depuis le système externe.
  2. terminer le processus en vidant la corbeille, après quoi le(s) utilisateur(s) et leurs données seront définitivement supprimés d’itslearning.

La suppression d’informations selon le droit à l’effacement et tel que le définit le RGPD peut se faire en accédant à l’outil RGPD puis en sélectionnant SUPPRIMER. Vous trouverez davantage de détails au sujet de ce droit dans (l’article 17 du RGPD. Cette procédure effacera l’ensemble des informations relatives à un utilisateur à quelques exceptions près précisées plus bas.

Ces exceptions peuvent comprendre par exemple des évaluations réalisées par un enseignant. Si ce dernier est supprimé, les données resteront quand même dans le système afin de préserver les droits de l’élève.

Notez que cette action n’est pas réversible.

 

 

Catégorie Effet de la suppression
Informations personnelles (coordonnées) Définitivement supprimées
Communication Définitivement supprimée lorsque tous les utilisateurs concernés sont supprimés. Par exemple, une conversation de groupe dans la messagerie est supprimée lorsque tous les participants de cette conversation sont supprimés.

Les messages d’information et les discussions sont supprimés lorsque le cours auquel ils appartiennent est supprimé.

Contenu de cours (produit par l’utilisateur dans le contexte de l’enseignement) Anonymisé, à moins que le contenu ne soit mis à la disposition que de la personne concernée (auquel cas il est complètement supprimé)
Évaluations (réalisée par l’enseignant) CONSERVEES si l’enseignant est supprimé, car les évaluations ont toujours de la valeur et affectent les droits de l’élève.
Entrées de calendrier Définitivement supprimées si personnelles ; anonymisées si partagées
Réponses des élèves Définitivement supprimées
Logique interne Définitivement supprimées

 

 

Modification de la politique de suppression :

 

Nous avons également apporté quelques modifications lorsqu’un utilisateur est supprimé. Il existe deux types de suppression :

 

  1. la suppression réversible : quand un utilisateur est déplacé vers la corbeille ou que l’option LIMITER est activée depuis l’outil RGPD.
  2. suppression permanente : lorsque la corbeille est vidée ou que l’action SUPPRIMER est selectionnée depuis l’outil RGPD.

À l’avenir, vous remarquerez que le nom d’un utilisateur supprimé n’apparaît plus sur l’Interface Utilisateur (IU), à quelques exceptions près. Il existe trois résultats possibles lorsqu’un utilisateur est supprimé :

  1. les informations sont complètement supprimées
  2. les données/le contenu sont conservés, mais le nom de l’utilisateur est rendu anonyme (nouveau par rapport à la fonctionnalité précédente !)
  3. les données/le contenu sont conservés et le nom de l’utilisateur supprimé est toujours visible

Cepedant, nous ne pouvons pas supprimer les données qui affectent les droits d’autres utilisateurs et, dans certains cas, cela inclut également le nom de l’utilisateur qui est supprimé.
Type de données stockées et traitement pour chaque situation :

 

 

Catégorie Exemples Suppression réversible Suppression permanente
Réponses des élèves ·       Réponse à un devoir (y compris les fichiers téléchargés)

Tentative de test

Suppression de l’interface utilisateur Suppression définitive
Informations sur le profil d’une personne ·       Nom d’utilisateur

·       E-mail

Informations supprimées de l’interface utilisateur Suppression définitive
Logique interne ·       Dernière sélection utilisée dans les listes déroulantes à certains endroits

·       Cookies

(non visibles dans l’interface utilisateur – aucune action nécessaire) Suppression définitive
Contenu produit par l’utilisateur dans le contexte de l’enseignement ·       Note

·       Devoir

·       Document téléchargé

Le nom de l’utilisateur est rendu anonyme, sauf sur le contenu partagé dans la bibliothèque. Le contenu est conservé s’il est partagé avec d’autres utilisateurs (cours/projets avec d’autres participants, bibliothèque). Le contenu est supprimé définitivement s’il n’est pas disponible pour d’autres utilisateurs. Supprimé lorsque le cours/projet est supprimé.
Communication ·       Messages (MI / anciens messages)

·       Messages d’information

Messages : Nom de l’utilisateur rendu anonyme

Messages d’information et commentaires : Nom de l’utilisateur rendu anonyme

Messages : supprimés lorsque tous les utilisateurs du fil sont supprimés.

Messages d’information et commentaires : Supprimé lorsque le cours est supprimé.

Évaluation donnée par un enseignant ·       Évaluations (notes)

·       Commentaires de présence

Conservées et visibles, y compris le nom de l’utilisateur Gardés et visibles jusqu’à ce que l’élève affecté soit également supprimé