6. ARTICLE 4, DÉFINITION DONNÉES A CARACTÈRE PERSONNEL
6 / 21
Aux fins du présent règlement, on entend par:
1) «données à caractère personnel», toute information se
rapportant à une personne physique identifiée ou identifiable (ci-
après dénommée «personne concernée»); est réputée entre une
«personne physique identifiable» une personne physique qui peut
être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation, un identifiant en ligne,
ou à un ou plusieurs éléments spécifiques propres à son identité́
physique, physiologique, génétique, psychique, économique,
culturelle ou sociale;
Partie2
7. ARTICLE 9 « DONNÉES INTERDITES »
7 / 21
1. Le traitement des données à caractère personnel qui
révèle l'origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques
ou l'appartenance syndicale, ainsi que le traitement des
données génétiques, des données biométriques aux fins
d'identifier une personne physique de manière unique, des
données concernant la santé ou des données concernant la
vie sexuelle ou l'orientation sexuelle d'une personne
physique sont interdits.
Partie2
9. ARTICLE 6, LICÉITÉ DU TRAITEMENT
9 / 21
1. Le traitement n'est licite que si, et dans la mesure où, au
moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses
données à caractère personnel pour une ou plusieurs finalités
spécifiques;
b) le traitement est nécessaire à l'exécution d'un contrat
auquel la personne concernée est partie ou à l'exécution de
mesures précontractuelles prises à la demande de celle-ci;
(…)
e) le traitement est nécessaire à l'exécution d'une mission
d'intérêt public ou relevant de l'exercice de l'autorité publique
dont est investi le responsable du traitement;
Partie3
10. ARTICLE 5, DURÉE DE CONSERVATION
10 / 21
1. Les données à caractère personnel doivent être:
(…)
e) conservées sous une forme permettant l'identification des
personnes concernées pendant une durée n’excédant pas
celle nécessaire au regard des finalités pour lesquelles
elles sont traitées;
Partie3
12. ARTICLE 12, TRANSPARENCE
12 / 21
1. Le responsable du traitement prend des mesures
appropriées pour fournir toute information visée aux
articles 13 et 14 ainsi que pour procéder à toute
communication au titre des articles 15 à 22 et de l'article 34 en
ce qui concerne le traitement à la personne concernée d'une
façon concise, transparente, compréhensible et aisément
accessible, en des termes clairs et simples, en particulier
pour toute information destinée spécifiquement à un enfant.
Partie4
13. ARTICLE 20, PO R TA B IL IT É́
13 / 21
1. Les personnes concernées ont le droit de recevoir les
données à caractère personnel les concernant qu'elles ont
fournies à un responsable du traitement, dans un format
structuré, couramment utilisé et lisible par machine, et ont
le droit de transmettre ces données à un autre responsable du
traitement sans que le responsable du traitement auquel les
données à caractère personnel ont été communiquées y fasse
obstacle
Partie4
14. ARTICLE 20, PO R TA B IL IT É́
14 / 21
2. Lorsque la personne concernée exerce son droit à la
portabilité́ des données en application du paragraphe 1, elle a
le droit d'obtenir que les données à caractère personnel
soient transmises directement d'un responsable du
traitement à un autre, lorsque cela est techniquement
possible.
Partie4
15. ARTICLE 22, DÉCISION AUTOMATISÉE
15 / 21
1. La personne concernée a le droit de ne pas faire l'objet
d'une décision fondée exclusivement sur un traitement
automatisé, y compris le profilage, produisant des effets
juridiques la concernant ou l'affectant de manière significative
de façon similaire.
Partie4
16. ARTICLE 22, DÉCISION AUTOMATISÉE
16 / 21
2. Le paragraphe 1 ne s'applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l’exécution d'un
contrat entre la personne concernée et un responsable du
traitement;
b) est autorisée par le droit de l'Union ou le droit de l’Etat
membre auquel le responsable du traitement est soumis et qui
prévoit également des mesures appropriées pour la
sauvegarde des droits et libertés et des intérêts légitimes de la
personne concernée; ou
c) est fondée sur le consentement explicite de la personne
concernée.
Partie4
17. ARTICLE 22, DÉCISION AUTOMATISÉE
17 / 21
3. Dans les cas visé au paragraphe 2, points a) et c), le
responsable de traitement met en œuvre des mesures
appropriées pour la sauvegarde des droits et libertés et des
intérêts légitimes de la personne concernée, au moins du droit
de la personne concernée d'obtenir une intervention
humaine de la part du responsable du traitement,
d'exprimer son point de vue et de contester la décision.
Partie4
18. ARTICLE 25, PRIVACY BY DESIGN
18 / 21
1. Compte tenu de l'état des connaissances, des coûts de
mise en œuvre et de la nature, de la portée, du contexte et
des finalités du traitement ainsi que des risques, dont le degré
de probabilité et de gravité varie, que présente le traitement
pour les droits et libertés des personnes physiques, le
responsable du traitement met en œuvre, tant au moment
de la détermination des moyens du traitement qu'au moment
du traitement lui-même, des mesures techniques et
organisationnelles appropriées, telles que la
pseudonymisation, qui sont destinées à mettre en œuvre les
principes relatifs à la protection des données, …
Partie4
19. ARTICLE 25, PRIVACY BY DESIGN
19 / 21
2. Le responsable du traitement met en œuvre les mesures
techniques et organisationnelles appropriées pour garantir
que, par défaut, seules les données à caractère personnel
qui sont nécessaires au regard de chaque finalité spécifique
du traitement sont traitées. Cela s'applique à la quantité de
données à caractère personnel collectées, à l'étendue de
leur traitement, à leur durée de conservation et à leur
accessibilité. En particulier, ces mesures garantissent que,
par défaut, les données à caractère personnel ne sont pas
rendues accessibles à un nombre indéterminé de
personnes physiques sans l'intervention de la personne
physique concernée.
Partie4
21. MOODLE, LE SI ET LES PRESTATAIRES
21 / 21
- Un nouvel interlocuteur et « régulateur » dans
l’établissement, le Délégué à la Protection des Données
- Une approche globale du SI
- RGPD et les « sous-traitants »
Partie4
23. CONTACTS
! MERCI DE VOTRE ATTENTION !
YANN BERGHEAUD
Université Jean Moulin Lyon3
yann.bergheaud@univ-lyon3.fr
Notes de l'éditeur
78 => peur de la puissance publique
95 => alignement public sur privé
2004 => Loi fr => déjà dépassé !
A priori sur Moodle, car nous gérons bien souvent des données soit directement personnelles (adresse mail, nom, prénom,…) soit indirectement personnelles (numéro d’étudiants,….). Et étant aux manettes d’une application web il est clair que nous disposons de beaucoup de données personnelles (notes, devoirs,….) et donc notre responsabilité en tant que gestionnaire de plateforme s’en trouve accrue. Nous sommes à la fois responsable technique de la sécurité de l’outil mais aussi du comportement de nos usagers qui sont partie intégrante de nos organisations (a minima les enseignants car ils sont administrativement rattaché à nos structures respectives)
Via une activité comme le sondage ou même tout questionnement un enseignant pourrait questionner ces apprenants
Enseignement supérieur = mission « d’intérêt public » (quoiqu’ici le terme a été modifié auparavant de « mission de service public » ??)
Formation continue = 2 interprétation : - soit c’est du service public soit c’est du contrat (dans tous les cas le consentement a eu lieu mais encore faut-il bien préciser dans le contrat qu’il s’agit e-learning). Enfin si 2 type de consentement différents dans le même Moodle il faut pouvoir les identifier (il faudra probablement les traiter différemment : durée,….)
Pour nous c’est lié au statut. Combien faut-il garder un compte ? On parlait souvent de 18 mois après la dernière inscription. Ce qui laisse une battement de 6 mois. Mais ce délai est-il nécessaire au regard du RGPD ? C’est une question de stratégie de la gouvernance de nos SI. En outre, si un compte est supprimé dans le SI (non paiement frais d’inscription par ex) il doit être également supprimé dans Moodle. Immédiatement ou après un délai de rétention ?
Importance de la communication auprès des usagers tant au niveau de la nature des traitements effectuées que de leurs droits. Bannir les CGU sur des dizaines de pages. Prévoir un premier niveau de lecture très général avec prise en mai rapide
La fonctionnalité prévue dans la version 3.5 est certes intéressante mais elle doit être revue : trop de données inutiles exportées (les logs…), sollicite bcp la CPU,… Prévoir de faire tourner cette fonctionalité sur une machine spécifique et collecter les demandes manuellement C’est plus simple !