10.4 RGPD et droit d’auteur
Vous ne pouvez pas installer de base de données pour collecter des données à caractère personnel en Europe sans vous conforter au règlement général sur la protection des données. Les questions relatives aux données d’un point de vue plus légal sont traitées ici afin que vous puissiez réaliser les démarches nécessaires pour vous mettre en conformité. Si votre cours fait partie d’un cursus dans une institution universtaire ou autre, voyez avec votre département juridique pour établir le document ad hoc. Tant que vous y êtes, vérifiez aussi si vous respectez le droit d’auteur et les diverses licences éventuelles pour votre matériel en ligne.
10.4.1 RGPD
Le Règlement Général sur la Protection des Données ou RGPD (n° 2016/679) adopté par l’Union Européenne en 2016 régit la façon dont les données à caractère personnel peuvent être collectées et utilisées. Ce règlement est en faveur de l’utilisateur (ici l’étudiant). Il faut notamment son accord pour collecter et utiliser ses données personnelles. Or de telles données sont indispensables pour suivre la progression des étudiants, les noter, etc.
Par exemple à l’UMONS, l’étudiant signe le document adéquat lors de son inscription (charte de la vie privée, complétée de documents disponibles sur l’Intranet UMONS). Ce document mets Moodle en conformité par rapport au RGPD, mais pas les outils externes, tels que ceux de LearnIt::R. Nous devons donc préciser exactement ce que nous devons faire pour être en conformité RGPD par l’intermédiaire d’un document complémentaire affiché sur le site (entrée Protection de la vie privée dans le menu à gauche) qui informe et précise la façon dans les données à caractère personnel des étudiants sont utilisées. Assurez-vous d’avoir l’accord express de vos étudiants par rapport à un tel document.
L’utilisateur doit avoir la possibilité d’effacer intégralement ses données personnelles s’il le souhaite lorsqu’il efface son compte d’un site. C’est indiqué explicitement dans le RGPD. Cependant, des restrictions à ceci sont indispensables pour la bonne gestion du suivi des étudiants à l’Université. C’est pour cela que l’étudiant a du signer un accord lors de son inscription. Afin d’être en conformité avec cette directive, nous avons rajouté un bouton Effacer mes données personnelles dans la première page des cours bookdown. S’il clique sur ce bouton, l’utilisateur peut ensuite lire le contenu de manière anonyme et les activités learnr/Shiny ne sont pas enregistrées. Par contre, H5P est toujours enregistré et les données historiques antérieures sont toujours dans la base de données.
L’anonymisation ou la pseudonymisation des données est de mise lorsque ces données servent à une étude générale (par exemple, évolution des performances des cohortes d’étudiants avec les outils progressivement mis en place, études scientifiques, …). Cela passe par l’effacement des données de toute information à caractère personnel. Le nom, numéro de matricule ou adresse email de l’étudiant sont remplacés par un identifiant générique, par exemple, “étudiant 1”, “étudiant 2”, etc. Il faut mettre cette pratique en œuvre pour toutes les études rétrospectives générales visant à estimer l’impact pédagogique des outils mis en place (voir appendice C).