Hébergement autonome et RGPD

Hébergement autonome et RGPD

Utiliser une solution non institutionnelle (Moodle) pour travailler avec ses élèves engendre quelques obligations. Le respect du RGPD en est une et pas des moindres. Licéïté (mission d’intérêt public?), sécurité, minimisation des données personnelles récoltées… Autant de points d’attention incontournables avant de se lancer!

La démarche n’est pas simple car il faut non seulement s’assurer être « dans les clous » mais aussi de faire inscrire au registre de son établissement le traitement de données personnelles que l’on va mettre en oeuvre; c’est à dire faire en sorte que le chef d’établissement accepte d’assumer la responsabilité dudit traitement.

Pour se faire, j’ai choisi d’héberger sur ma propre machine mes différents serveurs. Mes disques sont chiffrés et mes mots de passe complexes. Des sauvegardes (toujours chiffrées) sont uploadées quotidiennement sur des espaces de stockage distants.

Mes serveurs sont bien évidemment en https et les tests (ssllabs.com, ssltools.digicert.com) me permettent de m’assurer que mes sites sont convenablement sécurisés. Toutes les mises à jour de sécurité sont installées lorsqu’elles paraissent et j’utilise des outils (LMS Moodle, CMS WordPress, Portfolio MAHARA) éprouvés dont la sécurité est reconnue et dont les mises à jour sont suivies.

Les comptes que je fournis à mes élèves doivent être sécurisés par la détermination d’un mot de passe personnel à la première connexion avec une règle de complexité obligatoire.

A la fin de chaque année scolaire, je supprime l’ensemble des données personnelles stockées sur mes serveurs.

Données récoltées

Les données que je récolte sont minimisées (seules celles nécessaires sont récoltées : je n’utilise par exemple pas la date de naissance ou d’autres informations de ce genre). Ceci me permet de conserver une licéïté « Mission d’intérêt public » et de ne pas avoir à obtenir le consentement des mes élèves (mineurs numériques) et de leurs parents. J’ai ainsi la certitude que tous mes élèves seront bien légalement en mesure d’accéder à ma plateforme. En effet, tout traitement basé sur le consentement m’exposerait à de potentiels refus de mes utilisateurs ce qui constituerait ainsi des fonctionnements différents pour les élèves ayant accepté le traitement et ceux l’ayant refusé. On s’aperçoit ainsi immédiatement au regard de cette différence prévisible que toute mise en oeuvre d’un traitement de données personnelles pour travailler avec les élèves doit impérativement se baser sur cette licéïté de mission d’intérêt public.

Charge de travail

La mise en oeuvre de ce respect constitue une charge de travail considérable. Il ne s’agit pas uniquement d’un investissement de départ mais bien d’un travail de fond nécessaire au maintien de la conformité RGPD. Ainsi se diriger vers « l’autonomie » n’est pas une décision à prendre à la légère.

Laisser un commentaire