RGPD : de quoi s’agit-il ? Définition, impacts et mise en pratique

Avec la digitalisation de l’éducation, de plus en plus d’établissements, d’organismes de certification et d’entreprises s’équipent de solutions de surveillance...

5 octobre 2022

Confidentialité et sécurité

Avec la digitalisation de l’éducation, de plus en plus d’établissements, d’organismes de certification et d’entreprises s’équipent de solutions de surveillance d’examens en ligne.

Cette adoption soulève naturellement des questions sur la vie privée et l’usage des données. Comme tout logiciel, un outil de proctoring doit respecter les règles de protection des données en vigueur dans le pays ou le territoire concerné. En Europe, le cadre de référence est le RGPD.

Ce qui distingue le RGPD d’autres lois dans le monde, c’est son champ d’application très large et sa priorité donnée à la protection des données personnelles. D’autres réglementations peuvent être plus locales, viser certains secteurs uniquement, ou se concentrer sur des aspects différents.

Qu’est-ce que le RGPD ?

Le RGPD, ou Règlement général sur la protection des données, est le cadre commun qui définit les droits des personnes et les obligations des organisations dans l’Union européenne en matière de données personnelles. Il a été adopté en 2016 et il s’applique depuis le 25 mai 2018.

L’objectif du RGPD est de renforcer la sécurité juridique, la protection de la vie privée et la transparence. Il vise aussi à harmoniser les règles entre pays européens, là où l’ancienne directive de 1995 (95/46/CE) avait montré ses limites.

Qu’est-ce qu’une donnée personnelle ?

Pour le RGPD, une donnée personnelle est toute information qui permet d’identifier, directement ou indirectement, une personne physique. Dans le secteur de l’éducation, cela peut être un nom, une note, une adresse e-mail ou un identifiant lié à un examen.

Catégories particulières de données

Le RGPD distingue aussi des catégories de données dites « sensibles », soumises à des règles plus strictes. Il s’agit par exemple d’informations sur la santé, l’origine, les opinions politiques, l’orientation sexuelle ou les convictions religieuses.

Comment le RGPD protège-t-il les personnes évaluées ?

Le RGPD protège toutes les personnes se trouvant dans l’Union européenne, quelle que soit leur nationalité. Il s’applique même si les données sont collectées, traitées ou stockées en dehors de l’UE.

Concrètement, il encadre le traitement des données par les entreprises, organisations et administrations basées dans l’UE. Il s’applique aussi aux acteurs situés hors de l’UE dès lors qu’ils traitent des données personnelles de personnes résidant dans un État membre.

Pour clarifier : le responsable de traitement décide des objectifs et des moyens du traitement. Le sous-traitant traite les données pour son compte, selon ses instructions.Donc, un système de surveillance d’examens qui suit des étudiants dans l’UE doit respecter le RGPD. C’est aussi le cas, par exemple, des établissements d’enseignement ou des fournisseurs de services cloud utilisés pour ces évaluations.

Les 8 droits prévus par le RGPD

Le RGPD donne plusieurs droits aux personnes dont les données personnelles sont traitées :

Droit à l’information. Il permet de savoir clairement ce qui sera fait des données, afin de garder le contrôle et de décider en connaissance de cause. Il impose aussi aux organisations d’être transparentes, avec des politiques de confidentialité simples et compréhensibles.
Droit d’accès. Toute personne dans l’UE peut demander si ses données sont utilisées et y accéder. Elle peut aussi connaître, par exemple, les finalités du traitement, l’origine des données ou l’existence de décisions automatisées.
Droit de rectification. Il permet de corriger des informations inexactes et de compléter des données incomplètes.
Droit à l’effacement (« droit à l’oubli »). Dans certains cas, une personne peut demander la suppression de ses données : si elles ne sont plus nécessaires, si elles sont traitées de manière illégale, si le consentement est retiré, si elle s’oppose au traitement, ou si le consentement a été donné en ligne alors qu’elle était mineure.
À noter : la suppression peut être limitée par des obligations légales ou contractuelles qui imposent de conserver certaines informations.
Droit à la limitation du traitement. Une personne peut demander de limiter l’utilisation de ses données dans certains cas : si elle conteste leur exactitude, si le traitement est illégal, ou si les données ne sont plus nécessaires mais doivent être conservées pour un motif précis. Elle peut aussi le demander après avoir exercé son droit d’opposition.
Droit à la portabilité des données. Il permet de recevoir ses données dans un format structuré, courant et lisible par machine, afin de les réutiliser ou de les transférer. Ce droit s’applique lorsque le traitement repose sur le consentement ou un contrat, qu’il est automatisé, et que les données ont été fournies par la personne elle-même.
À noter : la portabilité n’est pas toujours possible si les informations incluent des données concernant des tiers.
Droit d’opposition. Une personne peut s’opposer au traitement de ses données lorsqu’il repose sur l’intérêt légitime du responsable (ou d’un tiers), ou lorsqu’il est lié à une mission d’intérêt public ou à l’exercice de l’autorité publique.
Droit de ne pas faire l’objet d’une décision entièrement automatisée. Il garantit la possibilité de demander une intervention humaine lorsque des décisions sont prises uniquement par un système automatisé. Ce droit concerne surtout les décisions ayant des effets juridiques ou des conséquences importantes pour la personne.

ABONNEZ-VOUS À LA NEWSLETTER

Découvrez les dernières tendances du secteur.

Obligations du RGPD

Le Règlement général sur la protection des données impose à toute organisation qui traite des données personnelles de personnes situées dans l’Union européenne, qu’elle agisse comme responsable de traitement ou comme sous-traitant, de respecter un ensemble d’obligations. Parmi les principales :

Définir un objectif clair et légitime pour la collecte des données, et ne collecter que ce qui est nécessaire au regard de cet objectif.
Garantir l’exactitude et la mise à jour des données, puis les supprimer lorsqu’elles ne sont plus utiles pour la finalité prévue.
Respecter les droits des personnes concernées, en expliquant comment et pourquoi leurs données sont traitées, et en leur permettant d’exercer leurs droits.
Vérifier que la base juridique du traitement est adaptée et, si le consentement est requis, le recueillir avant tout traitement.
Assurer la sécurité des données personnelles, avec des mesures techniques et organisationnelles appropriées.
Tenir un registre des activités de traitement liées aux données des personnes dans l’UE. En cas de violation de données, le RGPD prévoit aussi une notification à l’autorité de contrôle dans un délai maximal de 72 heures.

Critères de sécurité dans les entreprises

L’Agence Espagnole de Protection des Données est chargée d’élaborer, en collaboration avec les acteurs concernés le cas échéant, les outils, guides, directives et recommandations nécessaires pour permettre aux professionnels, microentreprises et PME de respecter leurs obligations en matière de traitement des données personnelles.

Ne pas respecter ces obligations peut entraîner des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Conscients de ces enjeux, chez Smowltech, nous avons développé des solutions de surveillance en ligne qui vous garantissent le respect strict du RGPD dans vos processus de supervision à distance. Demandez une démo gratuite et découvrez pourquoi nous sommes les leaders de notre secteur.

La fonction dy Délégué à la protection des données (DPO)
Dans certains cas prévus par le RGPD, la désignation d’un Délégué à la protection des données est obligatoire :

Lorsque le traitement est réalisé par une autorité ou un organisme public, sauf les juridictions dans l’exercice de leurs fonctions.
Lorsque les activités principales du responsable ou du sous-traitant impliquent un suivi régulier et systématique à grande échelle.
Lorsque les activités principales incluent le traitement à grande échelle de données sensibles, ou de données liées à des infractions et condamnations.

Selon le RGPD, ce rôle peut être assuré par un salarié en interne ou confié à un prestataire externe, à condition de disposer de compétences solides en droit et en protection des données.

Ses missions principales sont de suivre la conformité au RGPD, de conseiller l’organisation et ses équipes, et de servir de point de contact avec l’autorité de contrôle.

Où le RGPD s’applique-t-il ?

Le RGPD ne s’applique pas à un pays “en tant que tel”. Il encadre surtout le traitement des données personnelles des personnes qui se trouvent dans l’Union européenne, c’est-à-dire dans l’un des 27 États membres.

En pratique, ce qui compte n’est pas la nationalité de l’organisation, mais le lieu de résidence de la personne concernée. Donc, une entreprise basée hors de l’UE peut aussi être concernée si elle traite des données de personnes résidant dans l’Union.

Par conséquent, toute entité, européenne ou non, qui collecte ou utilise des données de personnes dans l’UE doit respecter le RGPD. Et si ces données sont transférées en dehors de l’Union, les protections prévues par le RGPD continuent de s’appliquer.

Le RGPD en France

En France, le RGPD est complété par la loi « Informatique et Libertés », mise à jour pour s’aligner sur le cadre européen. Elle précise certaines règles d’application et adapte le droit français aux exigences du RGPD.

Cette loi encadre aussi des points très concrets, notamment la protection des mineurs. Par exemple, pour certains services numériques, le consentement est fixé à 15 ans en France. En dessous, l’accord des parents est en principe nécessaire, ce qui compte dans l’éducation et donc dans le proctoring.

La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité chargée de veiller au respect de ces règles. Elle peut contrôler, accompagner, mettre en demeure et sanctionner les organismes en cas de manquement.

Un exemple connu est une sanction prononcée contre Google en 2019, notamment pour des insuffisances de transparence et de consentement dans le cadre de la personnalisation publicitaire. Cela illustre le niveau d’exigence attendu sur l’information des personnes et la base légale des traitements.

Le RGPD a-t-il des équivalents dans le monde ?

Il n’existe pas d’équivalent strict au RGPD, car chaque pays ou région définit ses propres règles selon son contexte. Le RGPD reste, à ce jour, un cadre particulièrement complet, mais la protection des données progresse partout et de nombreux territoires ont adopté des textes proches, avec leurs propres spécificités.

Voici quelques exemples :

États-Unis

Aux États-Unis, il n’existe pas de loi fédérale unique sur la protection des données. Le cadre est surtout sectoriel. Pour l’éducation, c’est la FERPA (1974) qui encadre la protection des informations des étudiants, avec plusieurs évolutions au fil du temps.

En parallèle, un projet de loi fédéral, l’ADPPA, est régulièrement évoqué, mais il n’est pas encore en vigueur. En plus, plusieurs États ont adopté leurs propres règles. En Californie, par exemple, la CCPA s’applique depuis 2020.

Comme l’ADPPA n’est pas encore adoptée, l’articulation entre une éventuelle loi fédérale et les textes des États, comme la CCPA, reste un sujet important.

Canada

Au Canada, la PIPEDA (2000) encadre le traitement des données personnelles par les organisations du secteur privé, au niveau fédéral.

De son côté, la Loi sur la protection des renseignements personnels (1983) concerne surtout l’usage des données par les institutions du gouvernement fédéral.

Enfin, certaines provinces ont leurs propres lois complémentaires. Cela peut compliquer la gestion des données, surtout lorsqu’elles circulent entre provinces ou à l’international.

Afrique du Sud

En Afrique du Sud, la POPIA (Protection of Personal Information Act) encadre la protection des données personnelles. Elle s’applique aux organisations et impose la mise en place de mesures techniques et organisationnelles pour sécuriser les informations.

En plus, elle encadre les transferts internationaux. Les données ne doivent pas être envoyées vers un pays ou un destinataire qui n’offre pas un niveau de protection suffisant, sauf exceptions, comme le consentement de la personne concernée.

Inde

En Inde, le cadre actuel repose sur la loi sur la protection des données personnelles numériques (DPDP Act), adoptée en 2023. Elle prévoit des droits proches de ceux du RGPD, comme l’accès, la rectification et l’effacement.

Il existe toutefois des différences, notamment dans la façon dont les obligations sont contrôlées et dans le régime des sanctions.

Brésil

Au Brésil, la LGPD (Lei Geral de Proteção de Dados), en vigueur depuis 2020, s’inspire du RGPD européen. Elle s’applique aux organisations qui traitent des données de personnes relevant de son champ d’application, même si l’entreprise est située à l’étranger.

Comme le RGPD, elle prévoit aussi des exigences de gouvernance, dont la désignation d’un référent en protection des données et l’obligation de gérer et déclarer certaines violations de données.

SMOWL proctoring respecte-t-il le RGPD ?

Le RGPD est obligatoire dans l’Union européenne. Ainsi, toute entreprise établie en Europe, ou qui traite des données de personnes dans l’UE, doit s’y conformer.

Les autorités de protection des données peuvent contrôler la conformité et sanctionner les manquements. Les amendes peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon les cas.

Smowltech, dont le siège est à Saint-Sébastien (Espagne), applique le RGPD de manière stricte. Cela se traduit notamment par des politiques de chiffrement, de conservation et de suppression des données alignées sur les exigences du règlement.

Le fait de respecter l’un des cadres les plus exigeants au monde renforce aussi la capacité de SMOWL à accompagner des évaluations en ligne à l’international, y compris en dehors de l’UE.

En dehors de l’Europe, SMOWL s’adapte aux règles locales applicables, par exemple la FERPA et la CCPA aux États-Unis.

Enfin, Smowltech est certifiée ISO/IEC 27001, une norme internationale de sécurité de l’information. Elle atteste de bonnes pratiques solides en matière de sécurité et de protection des données.Pour en savoir plus, vous pouvez consulter notre politique de confidentialité. Et si vous avez une question sur le traitement des données ou sur les informations collectées, vous pouvez contacter notre équipe.

8 faits intéressants sur la surveillance à distance

Remplissez le formulaire et téléchargez le guide dans lequel nous abordons tout ce qu’il faut savoir sur la surveillance en ligne et vous aidons à choisir le meilleur logiciel.

Manu Fraile

Ex-CTO / DPO

En tant que CTO chez Smowltech, une entreprise de produits, j’ai apporté une vision technologique à notre offre et à notre feuille de route. Mon objectif est d’atteindre l’excellence et la qualité dans chaque projet ou développement, en veillant à ce que la technologie fasse évoluer et grandir le produit.

Ouvrez un compte gratuit sur “mySmowltech” et découvre comment fonctionne SMOWL.

Remplissez le formulaire en indiquant votre LMS.
Consultez votre boîte mail et suivez les instructions pour intégrer l’outil.
Profitez de votre essai gratuit avec 25 licences.

Vous pouvez également demander une démo gratuite avec l’un de nos experts.

En plus de vous montrer le fonctionnement de SMOWL, nous vous accompagnerons et conseillerons à chaque étape pour choisir le plan le mieux adapté à votre entreprise ou institution.

Articles récents