2 mars 2018

L'article 5 du RGPD

Bonjour,

Comme vous le savez si vous suivez mon actualité, l'académie de Versailles est très pointilleuse sur la nouvelle réglementation Européenne. Celle-ci demande aux entreprises d'avoir un responsable du traitement des données personnelles, ainsi que d'être à même de fournir les éléments permettant de valider les processus de traitements de données. Un organisme public (la CNIL sûrement) pourra alors vérifier que les entreprises suivent bien ce règlement.

Je n’ai jamais accès à vos données, et je n'effectue jamais de traitement de données personnelles d'aucune sorte (je ne fais pas de publicité, de statistiques de trafic, de stockage de données, etc.) je ne devrais pas avoir à faire ce travail. Cependant, vous pouvez, en tant qu'enseignant, effectuer des traitements de données personnelles (les données de vos élèves) avec mes applications. C'est pourquoi je souhaite être totalement transparent avec mes utilisateurs et expliquer comment les données sont gérées dans mes applications.

Il va me falloir maintenant être technique. Le prix de la transparence est forcément un effort du lecteur, car il s'agit le plus souvent de détails.

Adéquates, pertinentes et limitées.

Le seul vrai reproche de l'académie de Versailles à l'encontre de JeValide était au sujet de l'article 5 partie 1 point c (j'utilise le passé car depuis la mise à jour de JeValide le responsable informatique de l'académie de Versailles m'a indiqué qu'ils étaient satisfaits des changements fait). Voici le texte:

Article 5

Principes relatifs au traitement des donnéées à caractère personnel

    1 - Les données à caractère personnel doivent être:
    1. traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
    2. collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
    3. adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
    4. exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
    5. conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
    6. traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

Ouf... Donc le problème était que la fiche de l'élève contenait de nombreuses informations (nom des parents, sexe de l'élève, date de naissance) qui n'étaient pas utilisées par l'application. Ainsi JeValide n'utilise pas le sexe des élèves dans les traitements (génération des PDF ou de la vidéo), j'ai donc modifié l'application pour enlever les champs. Il est à remarquer que l'académie de Versailles n'a fait aucune remarque sur les autres points de la règlementation.

Voici les différentes interfaces afin que vous voyiez bien les modifications effectuées.

Comme j'ai plus de 30 applications qui se servent de la fiche élève, j'ai modifié toutes mes applications pour être conforme au RGPD comme préconisé par l'académie de Versailles. Pour moi, avant qu'ils ne me contactent et ne m'indiquent leur avis défavorable, je ne pensais pas que cela puisse être un problème. En effet, il n'y a aucune obligation de remplir les champs incriminés... Donc le responsable du traitement prend ses responsabilités et choisit ou non de remplir la fiche. Je trouvais par exemple utile de mettre les numéros de téléphones des parents, car il peut être important de les appeler et de trouver rapidement ce numéro. Que celui-ci soit sur un bout de papier ou dans l'iPad n'a que peu d'importance, mais l'académie de Versailles m'a demandé d'enlever tout en dehors des emails des parents qui sont utiles et je me suis exécuté.

Dans JeValide, ABC-PhotoBook et Brevets, j'ai donc laissé les emails des parents car l'application s'en sert pour envoyer les bilans. Ces données sont donc adéquates, pertinentes et limitées. Dans la pluspart des autres applications, les données se résument donc au nom et prénom de l'élève ainsi qu'à sa photo, j'ai aussi un champ "informations" libre qui peut donc contenir tout ce que vous jugez utile (sous votre responsabilité). Rappelez-vous que les données doivent être limitées uniquement à ce dont vous avez besoin.

J'ai fait une exception pour mon application Elèves. Cette application a pour but de gérer les fiches élèves, il aurait été improductif de supprimer des champs alors que tous ont été demandés par un enseignant. Comme Elèves a une version gratuite Elèves-mini qui ne fait pas les impressions de fiches ou d'étiquettes, j'ai décidé que Elèves-mini serait limitée et Elèves non. Ainsi, si l'application Elèves pose problème à votre responsable informatique, vous pouvez utiliser Elèves-mini pour faire vos sauvegardes.

De façon à être le plus transparent possible, j'ai ajouté une page à mon site afin d'expliquer les traitements effectués par mes applications sur la base de données des élèves. Vous devriez pouvoir vous y reporter en cas de besoin. Si il y a besoin d'explications complémentaires, n'hésitez-pas à me les demander par email via ma page de contact.

Responsabilité.

L'article 5 a aussi un point 2.

2 - Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Comme nous sommes responsables du traitement (encore que...), nous allons aborder tous les points liés à notre responsabilité.

a) traitées de manière licite, loyale et transparente au regard de la personne concernée

Pour vous, il s'agit de dire au parents (lors par exemple de la réunion de début d'année) à quoi servent les applications que vous allez utiliser et leurs finalités, cela vaut pour toutes les applications et tous les sites web qui pourraient contenir les noms d'élèves. Il s'agit évidemment des parents, car ils sont les responsables legaux de vos élèves.

La licéité est vue dans l'article 6 du RGPD, je pense que le 1.c "le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;" devrait convenir et est suffisant et je ne reproduis pas l'article 6 en entier (je vous l'épargne).

La loyauté ? Je suppose qu'il s'agit de ne pas mentir sur la finalité de la collecte des données. En clair, nous ne devons rien faire d'autre que des bilans, cela tombe bien nous ne faisons que cela.

b) collectées pour des finalités déterminées, explicites et légitimes

C'est un peu la même chose que pour les parents, mais nous devons pouvoir le dire à la CNIL. Le point b parle aussi des traitements futurs, il est évident que vous ne pouvez pas récupérer les données pour faire autre chose que les bilans... Et que vous pouvez archiver les données si besoin.

d) exactes et, si nécessaire, tenues à jour

On saute le point c qui nous a déjà beaucoup occupés, et le point d ne nous concerne pas vraiment. Evidemment les données doivent être exactes (sinon quel intérêt ?) et leur tenue à jour au cours de l'année est aussi une évidence. L'année suivante, les données n'ont d'intérêt que si l'élève reste dans l'établissement et que ces données servent dans son suivi pédagogique, ou pour archivage. Donc vous ne gardez les données d'un élève que tant que cet élève est dans votre classe durant l'année en cours, ensuite vous devez effacer les données le concernant (supprimer l'élève).

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

Oui, les données restent dans l'iPad et sont utilisables tout au long de l'année. Mais l'année d'après, les données doivent être effacées de l'appareil et remplacées par la nouvelle classe. On peut garder la base de données d'une années précédente dans l'iPad, mais uniquement dans un but d'archivage. C'est l'utilisation normale de l'application. Vous n'avez aucun intérêt (et n'en avez donc pas le droit) de faire autrement.

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

Là c'est un peu plus compliqué. Les données restent dans l'iPad et n'en sortent pas en dehors des bilans PDF envoyés aux parents. La sécurité des données dans l'appareil est donc la sécurité de l'iPad lui-même, il vous faut mettre un mot de passe pour éviter que l'on ne vous prenne les données si l'on vous vole ou si vous perdez l'appareil. L'accadémie de Versailles m'a aussi demandé (mais ce n'était pas dans les motivations de leur refus) que je mette un mot de passe aux PDF transmis aux parents, ainsi même si une personne arrivait à lire le mail des parents, il ne pourrait ouvrir le document et donc ne pourrait pas avoir accès à celui-ci.

La sécurité contre la perte demande tout de même un peu de discussion. Comme aucune donnée n'est enregistrée sur mes serveurs, je ne peux pas vous prémunir contre la perte de données. Si vous faites des sauvegardes de votre iPad via iCloud, vous avez déjà une bonne sécurité contre la perte, mais normalement la CNIL demandait jusqu'alors de ne pas utiliser de serveur de stockage à l'étranger. Le sujet des serveurs étrangers ne devrait plus poser de problème à partir du 25 mai 2018, puisque RGPD entre en vigueur et libéralise la circulation des données dans l'union et en dehors. La CNIL ne devrait plus avoir le pouvoir d'empêcher les serveurs de Google, de Microsoft ou d'Apple d'être utilisés - c'est au passage la mort de nombreuses entreprises françaises qui vivaient de cette interdiction - et la sauvegarde des données sur iCloud ne devrait donc plus poser problème. En attendant, soit vous utilisez un serveur cloud accepté par votre responsable informatique, soit vous utilisez une clef USB compatible avec l'iPad. Faites une sauvegarde via l'application Elèves-mini ou Elève dans cette clef USB, et laissez cette clef à l'école dans votre casier. Ainsi même en cas de perte, ou destruction de votre iPad, vous devriez pouvoir faire une restauration de toutes les données sans jamais qu'aucune donnée ne transite par internet.

Conclusion

Je sais que cet article a été un peu long, mais en matière de loi ou de sécurité il faut être précis. Le RGPD est un règlement qui va poser énormément de problèmes aux entreprises, administrations, établissements publics ou privés, associations, etc... Tous les acteurs responsables des données personnelles vont s'affoler au fur et à mesure que l'échéance du 25 mai approchera. Ce ne sera facile pour personne alors soyons patients. J'attends avec impatience que l'accadémie de Versailles lève son avis défavorable à JeValide, aux dernières nouvelles ils attendaient la validation par un cabinet d'avocats (ce qui démontre le risque qu'ils ont à dire oui, qui est infiniment plus grand que de dire non). Je suis confiant, car je pense que vos données sont plus en sécurité avec mes produits qu'avec aucun autre.

J'espère que vous avez pu voir ma transparence et ma loyauté à votre égard. Je reste à la disposition de mes utilisateurs, c'est à dire à votre disposition, pour toute question, interrogation ou suggestion...

Si vous désirez en savoir plus au sujet du RGPD, le plus simple est d'aller à la source, le RGPD sur le site europa.eu, le règlement commence réellement à la page 32.

Merci d'avoir lu cet article jusqu'au bout.

Emmanuel CROMBEZ