Accueil >> Tribunes >> Protection des données et formation professionnelle : y a-t-il urgence ? Par Antoine Amiel

Tribunes
Débats

Protection des données et formation professionnelle : y a-t-il urgence ? Par Antoine Amiel

Publié le 10/01/2018
Antoine Amiel LearnAssembly RGPD protection données reglement européen formation

L’annonce d’un piratage massif des données d’Uber met en lumière deux  phénomènes : la confirmation de la culture « outlaw » de la société californienne, mais aussi sa négligence en matière de droits individuels à la protection des données. Quelles auraient été les conséquences pour Uber si la société avait été installée en Europe ?

En mai 2018, le règlement général sur la protection des données (RGPD) entrera  pleinement en vigueur.

Ce règlement européen est un petit séisme dans le monde de la protection des données, puisque, pour la première fois, les autorités de contrôle en charge de la protection pourront infliger des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise contrevenantes, ou 20 millions d'euros (le montant le plus haut des deux sera retenu). Ne pas se mettre en conformité représente donc un risque légal et financier important, sans parler du risque de réputation, en cas de non-information d’un vol de données, comme c’est le cas d’Uber.

En quoi le monde de la formation et de l’edtech est-il concerné ? Repartons de la définition d’une donnée personnelle, telle que définie par la loi. Une donnée personnelle est une donnée dont l'analyse permet d’identifier un individu. Dans ce cadre, des données comme le prénom, nom, e-mail, photo, données de connexion, sont concernées. C’est donc tout le marché de la formation, et en priorité les acteurs du digital learning et de l’edtech qui sont concernés.

Les éditeurs en première ligne

Les éditeurs de logiciels sont les premiers touchés : qu’il s’agisse de Learning Management Systems (LMS) ou d’Environnements Numériques de Travail (ENT), ces logiciels stockent un volume important de données individuelles, qui associées aux traces d’apprentissage (learning analytics), sont d’une grande sensibilité. Un LMS collecte beaucoup de données : nom, prénom, heures de connexion, temps passé, terminal utilisé, validation de connaissances, nombre de tentatives à des quizzes, type de ressources pédagogiques consultées etc...

Concrètement, un donneur d’ordre - par exemple une entreprise souhaitant déployer une formation digitale  - devra intégrer dans le contrat avec son partenaire des clauses encadrant l’analyse et l’exploitation des données et garantissant le respect des règles de sécurité et confidentialité.

Ces acteurs devront cartographier les données, identifier les risques en terme de protection et définir des process précis de reporting. Ils peuvent certes  compter sur l’absence de maturité de leurs propres clients, mais cela ne durera pas. Nous voyons avec quelle insistance les grands comptes exigent d’être rassurés sur la protection des données : dans quelques mois, si ce n’est pas déjà le cas, tous les contrats-cadres intégreront une clause sur le RGPD et la protection des données. ?Des sociétés de formation ou de digital learning n’ayant pas anticipé risqueraient donc de perdre certains marchés si elles ne sont pas prêtes. 

La question de la mise en conformité

Au-delà des aspects réglementaires, le sujet de mise en conformité est aussi un enjeu être de concurrence économique : les GAFA ont largement anticipé le règlement et investi des moyens considérables en lobbying pour anticiper ses risques. A l’inverse, les PME et startups de la formation ont négligé ce sujet, considérant qu’il s’agissait d’une enième norme pensée par des technocrates bruxellois éloignés du terrain. Le retour de bâton pourrait être sévère et pénaliser encore plus les PME et startups européennes, déjà lésées par les pratiques d’optimisation fiscale des géants du numérique américains

Enfin, on peut se demander si le RGPD va ralentir l’innovation ? Les progrès pédagogiques apportés par l’exploitation de données d’apprentissage ou l’intelligence artificielle sont-ils par exemple, compromis ? Le RGPD est avant tout un enjeu d’organisation, de culture et de process. Désigner un Data Protection Officer (DPO), chef d’orchestre de la conformité,  et suivre les recommandations de la CNIL est à la portée de tous et n’est en rien un frein à l’innovation. Encore faut-il se sentir concerné.

A propos de l'auteur

Conférencier et chroniqueur, Antoine Amiel est le fondateur de LearnAssembly, start-up spécialisée dans le maintien de l'employabilité et l'innovation pédagogique. Il est également le fondateur de la French Touch de l'éducation, le réseau des acteurs de la filière edtech française.

Compte twitter : @antoineamiel

 

  • Facebook logo
  • Twitter logo
  • LinkedIn logo
  • SimpleMailto logo