Le wiki de WIMS EDU

L'association WIMS EDU a ouvert ce wiki afin de favoriser les collaborations entre utilisateurs de WIMS.

Outils pour utilisateurs

Outils du site


documentation:rgpd:a

Protection des données personnelles

Depuis le 24 mai 2018, chaque établissement se doit d'être en conformité avec la Règlementation européenne sur la Protection des Données (RGPD)

Informer sur le traitement

À ce titre, chaque établissement devra faire apparaitre les informations suivantes :

  • identité et coordonnées du responsable ou du représentant du traitement (le responsable légal est souvent le directeur / président de établissement)
  • coordonnées du délégué à la protection des données (s'il existe)
  • Qui contacter pour faire valoir ses droits (consultation / rectification / suppression) (Sur WIMS, ce sera l'administrateur de la classe / groupement / portail / , et à défaut l'administrateur du serveur)
  • les finalités et la base juridique du traitement (pour WIMS, la finalité est l'éducation des apprenants par la pratique d'exercices en ligne)
  • les destinataires du traitement (pour WIMS, c'est toujours les enseignants responsables des classes)
  • la durée de conservation (sur WIMS, une classe a une durée de validité maximale d'un an)

- Article 13 -

⇒ écrire des CGU à accepter par chaque créateur de classe stipulant qu'il accepte la (co)responsabilité du traitement des données à caractère personnelles de sa classe, dans la finalité précisée. L’administrateur du site, lui, doit s'engager à être responsable de la mise en œuvre de la sécurité du stockage de ces données.

⇒ données a ajouter à la configuration d'un serveur WIMS pour les faire apparaitre dans “à propos du site ” ? / afficher un “à propos de mes données personnelles” dans chaque classe ? ⇒ ces informations doivent également apparaitre dans les CGU

Droit d’accès

Directement depuis une classe/groupement/portail, un utilisateur devrait pouvoir obtenir la liste des infos le concernant dans cette classe. (ou le demander à l'administrateur de la classe) Au niveau du site, un administrateur doit pouvoir fournir la liste complète des infos concernant un utilisateur (basé sur un courriel identifié : envoyer un mail de confirmation de la demande au courriel en question)

- Article 15 -

⇒ écrire des scripts pour faciliter la tâche de telles demandes ?

Droit de rectification

Chaque utilisateur a le droit de demander la rectification (de données inexactes) (directement depuis la classe), ou de faire remonter les demande dans le cas d'information provenant d'un tiers (LDAP), ou au moins de savoir à qui faire la demande.

Droit de suppression

Chaque utilisateur a le droit de demander l’effacement de ses données personnelles à l'administrateur. Un utilisateur doit donc pouvoir demander à l'administrateur d'un serveur de supprimer toutes les données en rapport avec un courriel identifié

⇒ écrire un script pour faciliter la tâche de telles demandes ?

⇒ informer chaque enseignant des classes de cet utilisateur ?

Exemple de politique de confidentialité pour une Université française

Si vous gérez un serveur WIMS pour un établissement public, voici un exemple de politique de confidentialité que vous pouvez adapter et faire valider par votre DPD :

Les informations recueillies sont enregistrées dans un fichier informatisé par l'NOM_DE_l'UNIVERSITé pour des usages pédagogiques. Ce traitement obligatoire est fondé sur l’exécution de missions de service public de l'enseignement.

Elles sont conservées pendant une année et sont destinées aux enseignants et aux gestionnaires de l'application.

Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier ou retirer en contactant le délégué à la protection des données de l'Université à l'adresse suivante email_du_DPD. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Vous avez également la possibilité, en application de l’article 40-1 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés de définir des directives relatives au sort de vos données à caractère personnel après votre décès.

Réponse concernant les utilisateurs utilisant un serveur d'université mais ne faisant pas partie de l'université

Nous ne sommes pas considérés comme le responsable de traitement mais comme un sous-traitant. Le RGPD implique l'obligation pour ce dernier d'assurer, à égalité avec le responsable de traitement, la légalité du traitement. Dès lors que le traitement ne repose pas sur le consentement des élèves, mais sur l'organisation d'une mission de service public, les problématiques liées au consentement des mineurs est moindre (il conviendra cependant au RT de veiller au respect de la loi informatiques et liberté)

Vous pourriez laisser un commentaire si vous étiez connecté.
documentation/rgpd/a.txt · Dernière modification: 10/06/2018 18:33 par obado