Les mentions légales
Le droit d'accès
Les formalités de déclaration à la CNIL
Assurer le recueil du consentement
Les durées de conservation
Anticiper la mise en conformité avec le règlement général sur la protection des données personnelles ( RGPD)
RGPD : les conditions applicables au consentement des enfants
RGPD : Le droit à la portabilité
RGPD : La protection de la vie privée dès la conception ''Le Privacy by design''
RGPD : la notification aux personnes concernées en cas de violation des données personnelles
RGPD : les études d'impact sur la vie privée , le management des risques ( PIA )
Les mentions légales
Chaque personne a le droit d'accéder aux données collectées sur elle
RU-003 est un acte réglementaire unique généralement utilisé pour les ENT : il faut vérifier les finalités ( exemple ''mettre à la disposition des élèves des contenus éducatifs et numériques, les durées de conservation.. car c'est un acte d'engagement
S'assurer du recueil du consentement des élèves/ étudiants
En principe si une personne ne s'est pas connectée à un ENT pendant 3 mois, il faut supprimer son compte.
Prévoir aussi une mise à jour des données en chaque début d'année scolaire
Le règlement intègre de nouveaux principes qui vont s'appliquer dans le monde du numérique éducatif.
-Il faudra recueillir le consentement des parents pour la mise en place de dispositif vers des enfants de moins de 16 ans.
-Il faut anticiper la portabilité des données pour que les élèves/ étudiants puissent anticiper la récupération des données collectées sur eux.
- La protection des données dès la conception ( "Privacy by Design") repose sur 7 principes fondamentaux dont 2 ont été repris dans l'art. 25 du règlement.
- La notification aux personnes concernées
- Les PIA ("Privacy Impact Assessments'' = études d'impact sur la vie privée)
Recueil du consentement des parents au minimum de 16 ans ( des pays pourront mettre 13 ans)
-Il faut anticiper la portabilité des données qui permettra aux élèves/ étudiants de récupérer des données collectées sur eux notamment dans le cadre de programme d'éducation au numérique ( voir la mise en situation prospective '' Give my data'')
Facebook permet aujourd'hui cette portabilité des données grâce à une fonctionnalité automatique
Art. 25 du règlement reprend 2 des 7 principes. Exemple sur les paramètres de confidentialité de Facebook qui devront par défaut être mis au plus haut niveau de protection. Il faut intégrer ces élèments dès la phase de conception de tout projet numérique.
Art.34 du RGPD, en plus de l'art 33 qui rappelle l'obligation de notification à la CNIL, prévoit qu'il faudra désormais notifier aux personnes concernées ( donc les éèves et leurs parents) en cas de piratage des données : prévoir une procédure et une communication
la CNIL s'appuie sur le modèle eBIOS pour la méthodologie de cette étude. Il convient d'analyser et d'anticiper les risques, ce qui traduit l'évolution juridique d'une logique déclarative à une logique d'auto-contrôle.