RGPD
Présentation
RGPD signifie Règlement Général sur la Protection des Données et constitue le texte de référence européen en matière de protection des données à caractère personnel pour tous les individus au sein de l'Union Européenne. Le règlement (Règlement (UE) 2016/679)2 est entré en vigueur le 25 mai 2018 et remplace la directive sur la protection des données (officiellement la directive 95/46/CE)3 existant depuis 1995.
Qui est concerné ?
Tout individu ou organisation qui stocke ou traite des informations à caractère personnel sur une personne identifiable d'un état membre de l'UE (peu importe que le traitement ou le stockage de l'information soit effectué dans un pays de l'UE ou non). Il s'applique également si l'individu ou l'organisation sont eux-mêmes situés dans un état membre de l'UE.
Quels types d'informations comprennent les données à caractère personnel dans un site Moodle ?
Ce sont toutes les informations associées à une personne physique. Tout compte utilisateur et toute activité associée à ce compte sont considérés comme information à caractère personnel. Ceci comprend également les informations stockées dans les sauvegardes, de même que les informations associées que l'on peut retrouver, par exemple, dans les fichiers log d'un serveur Web.
Comment le siège de Moodle contribue-t-il à la conformité au RGPD ?
Plus tôt cette année, nous avons communiqué avec la communauté par le biais de nos forums et de nos médias sociaux pour évaluer les besoins des différentes organisations sur la façon dont elles devraient se conformer au RGPD. Nous avons reçu des commentaires directs d'un certain nombre d'institutions Moodle, de notre réseau de partenaires Moodle et de développeurs.
Nous avons développé un ensemble de fonctionnalités (disponibles dans Moodle 3.5 et par le biais de plugins et de quelques changements minimaux au noyau, pour Moodle 3.3 et 3.4) qui aideront les sites Moodle à répondre aux besoins de conformité du RGPD. Les fonctionnalités couvrent les domaines suivants :
- Intégration des nouveaux utilisateurs, y compris la vérification de l'âge et de l'emplacement pour identifier les mineurs, l'établissement des versions des politiques de confidentialité et le suivi des consentements des utilisateurs ;
- Traitement des demandes d'accès par sujet et des demandes d'effacement, et tenue d'un registre des données.
En savoir plus sur l'approche que nous avons adoptée.
Remarque importante : L'installation des plugins développés ne suffira pas à elle seule pour répondre aux exigences du RGPD. Une configuration et une mise en œuvre correctes des processus et procédures requis sont également nécessaires.
Au siège de Moodle, nous vous recommandons fortement d'engager également vos services informatiques et juridiques sur ce qui est requis pour la conformité au RGPD.
Quels types de sanctions seraient appliquées en cas de non conformité avec le règlement ?
Très lourdes !
Mise en garde
Les conseils contenus dans ce document le sont à titre d'information uniquement, et ne constituent pas, de fait, des conseils juridiques ou professionnels. Moodle Pty Ltd ne garantit aucunement que ces conseils soient exacts, exhaustifs, fiables, actualisés ou exempts de toute erreur.
Vérifications
- Si les données personnelles seront utilisées pour tout processus décisionnel automatique, y compris l'importance et les détails du processus (par ex. analyse).
- Le site Moodle est-il hébergé dans un État membre de l'UE ou est-il possible qu'un utilisateur du site Moodle soit un individu d'un État membre de l'UE ?
- Si vous avez répondu non à cette question, vous n'êtes pas concerné par ce règlement. Toutefois, les avantages de la protection des données prévus par la réglementation sont universellement applicables et vous pouvez envisager de vous conformer volontairement à cette législation dans l'intérêt des utilisateurs de votre site.
-
Exigez-vous que les utilisateurs de votre site acceptent un document de politique de site avant d'utiliser votre site (soit dans Moodle ou quelque chose en dehors de Moodle, comme un formulaire papier) ?
- Si vous avez répondu non à cette question, vous devez commencer à le faire. Les utilisateurs doivent être conscients de leurs droits et des processus par lesquels ils peuvent les exercer.
- Si vous avez répondu oui à cette question, vous devez revoir votre politique de confidentialité pour vous assurer qu'elle couvre toutes les exigences du nouveau règlement (voir "Politique du site" ci-dessous). Si vous modifiez votre politique de confidentialité, vous devez obtenir de tous les utilisateurs du site qu'ils acceptent la nouvelle politique avant de pouvoir continuer à utiliser le site.
- Est-il possible que votre site soit utilisé par des mineurs (moins de 16 ans dans la plupart des États membres, mais certains États peuvent réduire ce délai à 13 ans) ?
- Si vous avez répondu oui à cette question, vous devez vous assurer d'obtenir le consentement de leur tuteur légal. N'oubliez pas que la collecte et le traitement de renseignements personnels sur les mineurs peuvent avoir une incidence sur votre évaluation des risques. Vous devriez prendre des précautions supplémentaires pour protéger adéquatement ces renseignements et les conserver aussi peu de temps que nécessaire.
- S'agit-il de la collecte ou du stockage de données personnelles des utilisateurs de votre site susceptibles d'entraîner un risque élevé pour leurs droits et libertés ?
- Voici quelques exemples qui indiqueraient un risque élevé :
- une évaluation systématique et approfondie des aspects de la personnalité des personnes physiques qui est fondée sur un traitement automatique, y compris le profilage, et sur laquelle se fondent les décisions qui produisent des effets juridiques concernant la personne physique ou qui l'affectent de manière similaire de manière significative
- le traitement à grande échelle de catégories particulières de données, notamment
- Origine raciale ou ethnique
- Opinions politiques
- Croyances religieuses ou philosophiques
- Appartenance syndicale
- Données génétiques
- Données biométriques
- Données relatives à la santé
- Orientation sexuelle
- Données concernant la vie sexuelle d'une personne physique
- Condamnations pénales
- Cette liste n'est pas exhaustive et si vous n'êtes pas sûr si vous devez considérer les données collectées auprès de vos utilisateurs comme "à haut risque", vous devriez vous référer à la législation et consulter un professionnel.
- Si la réponse est "Oui", vous devez effectuer une évaluation d'impact sur la protection des données. Consultez la législation et demandez l'avis d'un professionnel.
- Voici quelques exemples qui indiqueraient un risque élevé :
- Utilisez-vous les renseignements personnels recueillis à des fins de marketing ?
- Si vous avez répondu oui à cette question - vous devez obtenir un consentement distinct de chaque utilisateur pour utiliser ces données à cette fin. Le consentement à l'utilisation des données à des fins de marketing doit pouvoir être retiré séparément par l'utilisateur.
- Utilisez-vous les renseignements personnels recueillis à des fins de recherche ?
- Si vous avez répondu oui à cette question, vous devez soit obtenir un consentement spécifique de chaque utilisateur pour utiliser les données à cette fin, soit anonymiser complètement les données avant de les utiliser pour la recherche.
https://github.com/moodlehq/moodle-local_anonymise est un exemple d'outil conçu pour anonymiser toutes les données sur un site moodle.
- Si vous avez répondu oui à cette question, vous devez soit obtenir un consentement spécifique de chaque utilisateur pour utiliser les données à cette fin, soit anonymiser complètement les données avant de les utiliser pour la recherche.
- Partagez-vous les données recueillies avec des tiers ? Cela inclut les sites et services qui s'intègrent à Moodle tels que : Google Analytics, LTI, référentiels (Google Docs, OneDrive, etc.), systèmes d'authentification, etc. Ceci inclut également les sites et services utilisés dans la fourniture de votre propre site Moodle, tels que les hébergeurs.
- Si vous avez répondu oui à cette question, vous êtes responsable de toutes les données qui sont partagées avec un tiers. Vous devez obtenir le consentement de l'utilisateur pour partager ces données avec chaque tiers. Si la liste des services tiers change, vous devez obtenir à nouveau le consentement de tous les utilisateurs du site pour chaque nouveau site/service tiers. Vous devez également prendre des mesures raisonnables pour vous assurer que chaque tiers protégera adéquatement les données personnelles des utilisateurs, y compris :
- Révision de la politique de confidentialité de la tierce partie pour s'assurer qu'elle est conforme à la vôtre
- Surveiller et informer les utilisateurs de votre site des changements apportés à la politique de confidentialité des tiers.
- Identifier le mécanisme de traitement des demandes d'effacement ou de correction de données personnelles avec chaque tiers afin que vous puissiez suivre ce processus lorsque vous recevez une de ces demandes pour votre propre site.
- Identifiez et énumérez le responsable de la protection des données et la politique de confidentialité pour chaque site tiers dans le cadre de votre propre politique de confidentialité.
- Google Analytics, par exemple, n'a pas encore fourni d'instructions claires et actualisées sur la façon de se conformer au nouveau GDPR lorsqu'il utilise son service. Il est probable qu'ils publieront des conseils sur la façon d'utiliser Google Analytics conformément au GDPR avant qu'il ne devienne exécutoire, mais cet exemple démontre qu'il est de votre responsabilité d'assurer la protection de la vie privée des utilisateurs de votre site et qu'il n'est pas légal d'utiliser les services cloud sans considérer les implications en matière de confidentialité de chacun des fournisseurs de services.
- Si vous avez répondu oui à cette question, vous êtes responsable de toutes les données qui sont partagées avec un tiers. Vous devez obtenir le consentement de l'utilisateur pour partager ces données avec chaque tiers. Si la liste des services tiers change, vous devez obtenir à nouveau le consentement de tous les utilisateurs du site pour chaque nouveau site/service tiers. Vous devez également prendre des mesures raisonnables pour vous assurer que chaque tiers protégera adéquatement les données personnelles des utilisateurs, y compris :
- Suivez-vous les politiques et procédures des meilleures pratiques pour assurer la sécurité des données ?
- Si vous avez répondu non à cette question, vous devez revoir vos politiques et procédures pour vous assurer que vous ne mettez pas en danger les données personnelles des utilisateurs de vos sites.
- Les "meilleures pratiques" comprennent, sans s'y limiter, les mesures organisationnelles et techniques visant à assurer un niveau de sécurité approprié au risque en question :
- pseudonymisation et cryptage des données personnelles
- la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement
- la possibilité de rétablir la disponibilité et l'accès aux données personnelles en temps utile en cas d'incident physique ou technique
- un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement
- Exemples :
- Utilisation appropriée du cryptage (https)
- Maintenir à jour tous les systèmes et logiciels avec les mises à jour de sécurité pertinentes.
- La suppression des données personnelles dès que possible, dès qu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées.
- Les "meilleures pratiques" comprennent, sans s'y limiter, les mesures organisationnelles et techniques visant à assurer un niveau de sécurité approprié au risque en question :
- Si vous avez répondu non à cette question, vous devez revoir vos politiques et procédures pour vous assurer que vous ne mettez pas en danger les données personnelles des utilisateurs de vos sites.
- Avez-vous défini des politiques et des procédures pour la divulgation des atteintes à la protection des données ?
- Si vous avez répondu non à cette question, vous devez en définir certains
- Si vous avez des politiques et des procédures existantes, elles devraient être examinées.
- Ces politiques et procédures doivent inclure la notification à l'Autorité de surveillance dans les 72 heures de l'atteinte à la protection des données et la notification à tous les utilisateurs concernés s'ils ont été lésés (données personnelles communiquées).
- Avez-vous nommé un délégué à la protection des données et l'avez-vous inscrit dans votre politique de confidentialité ?
- Si vous avez répondu non à cette question, vous devez en nommer un et l'inscrire dans la politique de confidentialité de votre site. Le délégué à la protection des données doit être " compétent dans la gestion des processus informatiques, de la sécurité des données (y compris le traitement des cyberattaques) et d'autres questions critiques de continuité d'activité concernant la détention et le traitement des données personnelles et sensibles.1.
- Disposez-vous d'un mécanisme permettant aux utilisateurs de votre site de demander que leurs données personnelles soient effacées, corrigées ou mises à la disposition de l'utilisateur demandeur sur votre site ?
- Si vous avez répondu oui à cette question, vous devez vous assurer qu'elle figure dans la politique de confidentialité de votre site.
- Si vous avez répondu non à cette question, vous en définissez une et l'énumérez dans la politique de confidentialité de votre site.
- Pour un site Moodle, un mécanisme approprié serait une adresse e-mail, réservée à cet effet et surveillée par un administrateur pour votre site Moodle. Une fois la demande reçue, des mesures raisonnables devraient être prises pour assurer l'authenticité de la demande et l'identité de l'utilisateur qui en fait la demande.
- Les corrections de données personnelles peuvent être traitées en modifiant les données dans Moodle directement à l'aide d'un compte administrateur.
- Les effacements de données personnelles peuvent être traités soit en supprimant le compte utilisateur, soit en modifiant le compte utilisateur pour supprimer toutes les informations d'identification et le rendre inactif.
- L'enregistrement des données personnelles peut être obtenu à partir du "Site Administration -> ; Reports -> ; Logs" en téléchargeant tous les logs pour un seul utilisateur sous forme de fichier CSV. Il y aura probablement des données personnelles supplémentaires sur un utilisateur qui sont stockées en dehors de Moodle, telles que les journaux d'accès au serveur Web.
- Votre organisation compte-t-elle plus de 250 employés ?
- Si vous avez répondu oui à cette question, vous devez conserver des dossiers détaillés sur tous les traitements de données personnelles. Consulter le règlement pour connaître les détails des registres qui doivent être tenus à jour.
Règles du site
La politique du site Moodle peut être utilisée pour collecter un consentement aux fins de la conformité au RGPD. Le document de politique du site doit être examiné avec soin pour s’assurer qu’il couvre toutes les informations énumérées ci-dessous, dans un langage simple et succinct.
Les politiques du site peuvent être activées dans Moodle via le paramètre «URL de stratégie de site (sitepolicy)» de la page Administration du site > Sécurité > Règles site. Ce paramètre doit être défini sur une page publique contenant toutes les informations répertoriées ci-dessous. La stratégie de site sera affichée dans un iframe dans le cadre du processus de connexion, de sorte que les en-têtes et les pieds de page ne sont pas nécessaires.
Une pratique recommandée consiste à créer une ressource fichier sur la page d'accueil du site Moodle et à copier l'URL de cette ressource à utiliser comme stratégie de site. Cela signifie que les règles du site sont toujours accessibles aux utilisateurs et peuvent être mises à jour facilement depuis Moodle. Notez que cette technique est incompatible avec le paramètre "Forcer les utilisateurs à se connecter (forcelogin)", également sur la page Administration du site > Sécurité > Règles site, car la ressource fichier ne sera plus visible tant que l'utilisateur ne se sera pas connecté. le site.
Pour plus d'informations sur le paramètre «sitepolicy» dans Moodle, voir la section «URL de la stratégie de site» dans Règles site.
La politique du site doit inclure toutes les informations suivantes dans un langage simple :
- Quelles informations sont collectées.
- Le but de tous les traitements à effectuer sur les données des utilisateurs. Le marketing doit être répertorié séparément avec un «consentement» révocable séparé.
- L'identité du contrôleur de données et les informations de contact
- Liste de droits
- La période pendant laquelle les données sont stockées
- Le mécanisme de retrait du consentement
- Le mécanisme de demande de corrections ou d'effacement de données personnelles
- Le mécanisme de demande d'enregistrement de toutes les données personnelles
- Liste des tiers avec lesquels les données seront partagées (ceci inclut les intégrations telles que LTI, les port-folios, le plagiat, les référentiels, l'authentification, etc.), y compris:
- Les coordonnées du responsable de la protection des données pour chacun.
- La politique de confidentialité pour chacun.
- Si les données personnelles seront utilisées pour tout processus de prise de décision automatisé, y compris la signification et les détails du processus (par exemple, l'analyse).
Modèle de règlement de site
Vie privé et données à caractère personnel
Chez XYZ et Cie, nous respectons votre vie privée. Afin que vous puissiez accéder à nos services nous devons recueillir et stocker des données à caractère personnel vous concernant.
Mineurs
L'accès à https://exemple.com/ n'est pas autorisé aux enfants de moins de 16 ans. En acceptant ce règlement de confidentialité vous reconnaissez également que vous avez plus de 16 ans.
Que recueillons-nous ?
Les informations du profil de base que vous nous communiquez lors de la création de votre compte y compris votre nom complet et votre adresse mail.
Lorsque vous utilisez ce site, les informations concernant les utilisateurs, les cours, les activités et les ressources avec lesquels vous interagissez seront également stockées et liées avec celles de votre profil.
Comment cette information est-elle utilisée ?
Ces informations ne sont utilisées que pour vous permettre d'accéder aux cours en ligne à https://exemple.com/. Les statistiques sur l'utilisation que vous faites du site sont également utilisées pour l'améliorer tout autant que les services fournis par le site https://exemple.com/.
À qui puis-je m'adresser ?
Chez XYZ et Cie, le délégué à la protection des données est Jean Dupont et est joignable avec cette adresse mail vieprivee@exemple.com
Avec qui mes informations sont-elles partagées ?
Afin que vous puissiez accéder au contenu LTI fourni par https://www.awesomeltis.com, nous pouvons communiquer les informations de base de votre profil à Awesome LTI Sàrl. Le délégué à la protection des données d'Awesome LTI Sàrl est Jeanne Dupont et peut être contactée avec l'adresse mail suivante : vieprivee@awesomeltis.com. La politique de protection de la vie privée d'Awesome LTI Sàrl est disponible à l'adresse https://www.awesomeltis.com/privacy. Afin de protéger votre vie privée, XYZ et Cie a conclu un accord de partage de données avec Awesome LTI Sàrl. Les termes de cet accord sont disponibles ici : https://exemple.com/data-sharing.html.
Quelle est la durée de conservation de mes données ?
Vos données personnelles sont stockées aussi longtemps que vous êtes inscrit(e) dans un de nos cours que nous mettons en ligne à l'adresse https://exemple.com/. Les données pour chaque cours sont détruites 6 mois après la date de fin du cours et les données de votre profil seront anonymisées 12 mois après votre dernière connexion.
Comment puis-je retirer mon consentement donné à XYZ et Cie de stocker et traiter mes données à caractère personnel ?
Si vous avez précédemment donner votre accord à autoriser XYZ et Cie de stocker et traiter vos données à caractère personnel conformément avec la politique de confidentialité, et que vous vouliez le retirer, vous pouvez envoyer un courriel au délégué à la protection des données à l'adresse suivante : vieprivee@exemple.com. Dès lors, vous n'aurez plus la possibilité d’accéder aux services fournis par https://exemple.com/.
Comment puis-je réclamer que mes données à caractère personnel soient corrigées ou supprimées ?
Vous pouvez corriger les informations de base de votre profil en vous connectant à https://exemple.com/ et en modifiant votre propre profil. Si vous avez des questions, ou que vous souhaiteriez que d'autres données soient corrigées ou effacées, vous pouvez envoyer un courriel au délégué à la protection des données à l'adresse suivante : vieprivee@exemple.com.
Comment réclamer une copie de toutes mes données à caractère personnel qui ont déjà été recueillies ?
Vous pouvez demander une copie de toutes les données à caractère personnel vous concernant conformément avec cette politique de confidentialité. Pour ce faire, vous pouvez envoyer un courriel au délégué à la protection des données à l'adresse suivante : vieprivee@exemple.com.
Plugins RGPD
Les deux plugins ci-dessous, ajoutent les fonctionnalités RGPD aux sites Moodle dans les versions 3.4.2 et 3.3.5 (Toutes ces fonctionnalités sont disponibles en standard à partir de Moodle 3.5)
Le plugin Policies apporte un nouveau système de gestion de documents réglementaires, avec la possibilité de définir plusieurs politiques de sécurité (site, confidentialité, tiers), suivre les informations à caractère personnel, et gérer les mises à jour et les versions des politiques de sécurité.
Le plugin Data privacy permet aux utilisateurs de formuler une demande d'accès ou de modification de leurs données personnelles. Le processus de demande d'accès à ses données personnelles récupère toutes les informations utilisateur présentes dans les plugins du noyau suivants :
- Module Consultation
- Block HTML
- Visites guidées
Les fonctionnalités nécessaires pour récupérer les informations utilisateur des autres plugins du noyau seront ajoutés dès que possible. Ensuite, d'autres fonctionnalités seront ajoutées pour gérer les demandes de suppression de données et le registre de données, et pour définir l'objectif et la période de conservation des données stockées dans un site Moodle.
Moodle 3.4.2 et 3.3.5 comprend les changements suivants de l'API du noyau qui sont nécessaires à la mise en œuvre des plugins RGPD ci-dessus :
- Contrôle de l'âge et du lieu pour identifier les mineurs
- L'interface programmatique (API) pour récupérer toutes les données à caractère personnel pour tous les plugins
- L'actuelle interface programmatique (API) pour un ensemble de plugins du noyau Moodle
Moodle et le RGPD pour les développeurs de plugins
Si vous êtes développeur de plugins, nous vous recommandons les actions suivantes pour vous aider à préparer votre plugin Moodle pour le RGPD :
- N'hésitez pas à lire notre documentation Privacy API dans la documentation de développement et,
- Participez à la discussion EU conformité au Règlement Général de la Protection des Données (RGPD).
Moodle et le RGPD pour les enseignants et les étudiants
Si vous êtes un enseignant ou un étudiant et que vous souhaitez en savoir plus sur vos droits dans le cadre du RGPD et sur la manière dont les fonctionnalités de Moodle peuvent vous aider à protéger la confidentialité de vos données, nous vous recommandons :
- Renseignez-vous auprès de votre administrateur système pour obtenir des informations spécifiques à votre institution ou organisation ;
- Lisez plus d'informations sur le RGPD dans la section "Voir aussi" ci-dessous.
Dernières nouvelles et mises à jour
D'autres questions ?
Vous pouvez poster dans le forum Security and privacy (en anglais) sur moodle.org, ou sur les forums en français.
Voir aussi
- Privacy API in the dev docs
- EU General Data Protection Regulation (GDPR) compliance forum discussion