RGPD pour les Administrateurs

De MoodleDocs
Révision datée du 24 avril 2019 à 10:44 par Anaïs Richert (discussion | contributions)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à :navigation, rechercher

Remarque : la traduction de cette page n'est pas terminée. N'hésitez pas à traduire tout ou partie de cette page ou à la compléter. Vous pouvez aussi utiliser la page de discussion pour vos recommandations et suggestions d'améliorations.


Avis de non-responsabilité : Les conseils contenus dans ce document sont fournis à titre d'information seulement et ne doivent pas être interprétés comme des conseils juridiques ou professionnels. Moodle Pty Ltd ne garantit pas que les conseils sont exacts, complets, fiables, à jour ou sans erreur. Veuillez vous assurer d'obtenir vos propres conseils juridiques et informatiques indépendants.

Vue d'ensemble

Liste de vérification

  1. Le site Moodle est-il hébergé dans un État membre de l'UE ou est-il possible qu'un utilisateur du site Moodle soit un individu d'un État membre de l'UE ?
    • Si vous avez répondu non à cette question, vous n'êtes pas concerné par ce règlement. Toutefois, les avantages de la protection des données prévus par la réglementation sont universellement applicables et vous pouvez envisager de vous conformer volontairement à cette législation dans l'intérêt des utilisateurs de votre site.
  2. Exigez-vous des utilisateurs de votre site qu'ils acceptent un site ou un document de politique de confidentialité avant d'utiliser votre site (soit dans Moodle, soit en dehors de Moodle, comme un formulaire papier) ?
    • Si vous avez répondu non à cette question, vous devez commencer à le faire. Les utilisateurs doivent être conscients de leurs droits et des processus par lesquels ils peuvent les exercer.
    • Si vous avez répondu oui à cette question, vous devez revoir votre politique pour vous assurer qu'elle couvre toutes les exigences du nouveau règlement (voir "Politique du site" ci-dessous). Si vous modifiez votre politique, vous devez obtenir de tous les utilisateurs du site qu'ils acceptent la nouvelle politique avant de pouvoir continuer à utiliser le site.
  3. Est-il possible que votre site soit utilisé par des mineurs (moins de 16 ans dans la plupart des Etats membres, mais certains Etats peuvent réduire celui-ci à 13 ans) ?
    • Si vous avez répondu oui à cette question, vous devez vous assurer d'obtenir le consentement de leur tuteur légal. N'oubliez pas que la collecte et le traitement de renseignements personnels sur les mineurs peuvent avoir une incidence sur votre évaluation des risques. Vous devriez prendre des précautions supplémentaires pour protéger adéquatement ces renseignements et les conserver aussi peu de temps que nécessaire.
  4. S'agit-il de la collecte ou du stockage de données personnelles des utilisateurs de votre site susceptibles d'entraîner un risque élevé pour leurs droits et libertés ?
    • Voici quelques exemples qui indiqueraient un risque élevé :
      • une évaluation systématique et approfondie des aspects de la personnalité des personnes physiques qui est fondée sur un traitement automatisé, y compris le profilage, et sur laquelle se fondent les décisions qui produisent des effets juridiques concernant la personne physique ou qui l'affectent de manière importante et similaire.
      • le traitement à grande échelle de catégories particulières de données, notamment
        • Origine raciale ou ethnique
        • Opinions politiques
        • Croyances religieuses ou philosophiques
        • Appartenance syndicale
        • Données génétiques
        • Données biométriques
        • Données relatives à la santé
        • Orientation sexuelle
        • Données concernant la vie sexuelle d'une personne physique
        • Condamnations pénales
      • Cette liste n'est pas exhaustive et si vous n'êtes pas sûr si vous devez considérer les données collectées auprès de vos utilisateurs comme "à haut risque", vous devriez vous référer à la législation et consulter un professionnel.
    • Si la réponse est "Oui", vous devez effectuer une évaluation d'impact sur la protection des données. Consultez la législation et demandez l'avis d'un professionnel.
  5. Utilisez-vous les renseignements personnels recueillis à des fins de marketing ?
    • Si vous avez répondu oui à cette question, vous devez obtenir un consentement distinct de chaque utilisateur pour utiliser ces données à cette fin. Le consentement à l'utilisation des données à des fins de marketing doit pouvoir être retiré séparément par l'utilisateur.
  6. Utilisez-vous les renseignements personnels recueillis à des fins de recherche ?
    • Si vous avez répondu oui à cette question, vous devez soit obtenir un consentement spécifique de chaque utilisateur pour utiliser les données à cette fin, soit anonymiser complètement les données avant de les utiliser pour la recherche.

      https://github.com/moodlehq/moodle-local_anonymise est un exemple d'outil conçu pour anonymiser toutes les données d'un site moodle.
  7. Partagez-vous les données recueillies avec des tiers ? Cela inclut les sites et services qui s'intègrent à Moodle tels que : Google Analytics, LTI, référentiels (Google Docs, OneDrive, etc.), systèmes d'authentification, etc. Ceci inclut également les sites et services utilisés dans la fourniture de votre propre site Moodle, tels que les hébergeurs.
    • Si vous avez répondu oui à cette question, vous êtes responsable de toutes les données qui sont partagées avec un tiers. Vous devez obtenir le consentement de l'utilisateur pour partager ces données avec chaque tiers. Si la liste des services tiers change, vous devez obtenir à nouveau le consentement de tous les utilisateurs du site pour chaque nouveau site/service tiers. Vous devez également prendre des mesures raisonnables pour vous assurer que chaque tiers protégera adéquatement les données personnelles des utilisateurs, y compris :
      • Révision de la politique de confidentialité de la tierce partie pour s'assurer qu'elle est conforme à la vôtre.
      • Surveiller et informer les utilisateurs de votre site des changements apportés à la politique de confidentialité des tiers.
      • Identifier le mécanisme de traitement des demandes d'effacement ou de correction de données personnelles avec chaque tiers afin que vous puissiez suivre ce processus lorsque vous recevez une de ces demandes pour votre propre site.
      • Identifiez et énumérez le responsable de la protection des données et la politique de confidentialité pour chaque site tiers dans le cadre de votre propre politique de confidentialité.
    • Google Analytics, par exemple, n'a pas encore fourni d'instructions claires et actualisées sur la façon de se conformer au nouveau RGPD lorsqu'il utilise son service. Il est probable qu'ils publieront des conseils sur la façon d'utiliser Google Analytics conformément au RGPD avant qu'il ne devienne exécutoire, mais cet exemple démontre qu'il est de votre responsabilité d'assurer la protection de la vie privée des utilisateurs de votre site et qu'il n'est pas légal d'utiliser les services cloud sans considérer les implications en matière de confidentialité de chacun des fournisseurs de services.
  8. Suivez-vous les politiques et procédures des meilleures pratiques pour assurer la sécurité des données ?
    • Si vous avez répondu non à cette question, vous devez revoir vos politiques et procédures pour vous assurer que vous ne mettez pas en danger les données personnelles des utilisateurs de vos sites.
      • Les "meilleures pratiques" comprennent, sans s'y limiter, les mesures organisationnelles et techniques visant à assurer un niveau de sécurité approprié aux risques en question :
        • pseudonymisation et cryptage des données personnelles.
        • la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.
        • la possibilité de rétablir la disponibilité et l'accès aux données personnelles en temps utile en cas d'incident physique ou technique.
        • un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
      • Exemples :
        • Utilisation appropriée du cryptage (https).
        • Maintenir à jour tous les systèmes et logiciels avec les mises à jour de sécurité pertinentes.
        • La suppression des données personnelles dès que possible, dès qu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées.
  9. Avez-vous défini des politiques et des procédures pour la divulgation des atteintes à la protection des données ?
    • Si vous avez répondu non à cette question, vous devriez en définir certaines.
    • Si vous avez des politiques et des procédures existantes, elles devraient être examinées.
    • Ces politiques et procédures doivent inclure la notification à l'Autorité de surveillance dans les 72 heures de l'atteinte à la protection des données et la notification à tous les utilisateurs concernés s'ils ont été lésés (données personnelles communiquées).
  10. Avez-vous nommé un responsable de la protection des données et l'avez-vous inscrit dans votre politique de confidentialité ?
    • Si vous avez répondu non à cette question, vous devez en nommer un et l'inscrire dans la politique de confidentialité de votre site. Le délégué à la protection des données doit être "compétent" dans la gestion des processus informatiques, la sécurité des données (y compris le traitement des cyberattaques) et d'autres questions critiques de continuité des activités liées à la détention et au traitement des données personnelles et sensibles 1.
  11. Disposez-vous d'un mécanisme permettant aux utilisateurs de votre site de demander que leurs données personnelles soient effacées, corrigées ou mises à la disposition de l'utilisateur demandeur sur votre site ?
    • Si vous avez répondu oui à cette question, vous devez vous assurer qu'elle figure dans la politique de confidentialité de votre site.
    • Si vous avez répondu non à cette question, définissez-en une et énumérez la dans la politique de confidentialité de votre site.
      • Pour un site Moodle qui n'utilise pas les plugins RGPD, un mécanisme approprié serait une adresse de courriel, réservée à cet effet et surveillée par un administrateur pour votre site Moodle. Une fois la demande reçue, des mesures raisonnables devraient être prises pour assurer l'authenticité de la demande et l'identité de l'utilisateur qui en fait la demande.
      • Les corrections de données personnelles peuvent être traitées en modifiant les données dans Moodle directement à l'aide d'un compte administrateur.
      • Les effacements de données personnelles peuvent être traités soit en supprimant le compte utilisateur, soit en modifiant le compte utilisateur pour supprimer toutes les informations d'identification et le rendre inactif.
      • L'enregistrement des données personnelles peut être obtenu à partir du menu "Administration du site > Rapports > Historique" en téléchargeant tous les journaux pour un seul utilisateur sous forme de fichier CSV. Il y aura probablement des données personnelles supplémentaires sur un utilisateur qui sont stockées en dehors de Moodle, telles que les historiques d'accès au serveur Web.
  12. Votre organisation compte-t-elle plus de 250 employés ?
    • Si vous avez répondu oui à cette question, vous devez conserver des dossiers détaillés sur tous les traitements de données personnelles. Consultez le règlement pour connaître les détails des registres qui doivent être à jour.

Politique de site

Une politique de site peut être utilisée pour recueillir le consentement aux fins de la conformité au RGPD. Le document de politique du site doit être examiné attentivement pour s'assurer qu'il couvre tous les renseignements énumérés ci-dessous, dans un langage simple et succinct.

Dans Moodle 3.4.2 et suivants, pour activer une politique de site, entrez l'URL de la page dans "URL de la politique du site" (sitepolicy) dans "Paramètres de politique" dans l'administration du site. (Dans les versions de Moodle antérieures à la version 3.4.2, le paramètre "URL de la politique du site" (sitepolicy) peut être trouvé dans "Politiques du site" dans l'administration du site).

La page de la politique du site devrait contenir toutes les informations énumérées ci-dessous. La politique du site sera affichée dans un iframe dans le cadre du processus de connexion, de sorte qu'elle ne nécessite pas d'en-têtes et de pieds de page.

La pratique recommandée est de créer une ressource fichier sur la page d'accueil du site Moodle et de copier l'URL de cette ressource pour l'utiliser comme politique du site. Cela signifie que la politique du site est toujours disponible pour vos utilisateurs et peut être mise à jour facilement à partir de Moodle. Notez que cette technique est incompatible avec le paramètre "Forcer les utilisateurs à se connecter (forcelogin)", (également dans "Politiques du site" dans l'administration du site) car la ressource fichier ne sera plus visible tant que l'utilisateur ne se sera pas connecté sur le site.

La politique du site doit comprendre tous les renseignements suivants dans un langage simple :

  1. Quels renseignements sont recueillis.
  2. La finalité de tout traitement à effectuer sur les données des utilisateurs. La commercialisation doit être indiquée séparément avec un "consentement" distinct révocable.
  3. L'identité du responsable du traitement et ses coordonnées.
  4. Liste des droits.
  5. La période pendant laquelle les données sont stockées.
  6. Le mécanisme de retrait du consentement.
  7. Le mécanisme de demande de rectification ou d'effacement des données à caractère personnel.
  8. Le mécanisme de demande d'enregistrement de toutes les données à caractère personnel.
  9. Liste des tiers avec lesquels les données seront partagées (y compris les intégrations telles que LTI, les portefeuilles, le plagiat, les dépôts, l'authentification, etc) :
    1. Les coordonnées du délégué à la protection des données pour tous.
    2. La politique de confidentialité pour tous.
  10. Si les données personnelles seront utilisées pour tout processus décisionnel automatisé, y compris l'importance et les détails du processus (par exemple analyse).


Voir aussi