“Les pseudos permettent de protéger efficacement les données des élèves dans les activités d’#enseignement” ➡ nécessité, obligation ou... pipeau ? Un thread #MythesRGPD. Image
La pseudonymisation : de bon sens, faisant écho à un geste-réflexe préconisé en cours d’EMI, cette pratique trouve souvent un écho dans les publications institutionnelles d’accompagnement à la mise en œuvre du RGPD, et semble faire consensus parmi la communauté éducative.
Car après tout, on en trouve mention dans le RGPD (cons. 28 et 29, art. 32.1.a), au chapitre des mesures de sécurité possibles afin de protéger les DCP qu’un responsable aura la charge de traiter. Qui dit mieux ? privacy-regulation.eu/fr/32.htm
Or, si cette pratique peut avoir sa pertinence dans le cadre d’activités personnelles des élèves, il y a cependant lieu d’interroger sa portée lorsqu’appliquée au quotidien d’un établissement scolaire, et notamment lorsqu’il est fait de l’enseignant son principal responsable.
1️⃣ D’abord, d’un point de vue fonctionnel : en principe, ce processus prévient l’identification directe des élèves en imposant l'usage d'une “clé” de dé-pseudonymisation (souvent, une liste alphab. avec noms et pseudos, détenue par l’enseignant sur tableur ou feuille volante).
La “sécurité” ainsi offerte repose donc exclusivement sur la protection que l’enseignant aura (en principe) déployée afin de protéger cette “clé” : chiffrement des données, sécurisation du stockage physique, limitation des accès…
Un enseignant a-t-il vocation à être responsable de ces mesures ? Non, l’évaluation des risques et des réponses à y apporter appartient au RT : cette logique contribue à minimiser les responsabilités de ce dernier, en les transférant de manière indue vers l’agent de terrain.
2️⃣ Ensuite, d’un point de vue logistique. Si un tel système reste imaginable pour une classe unique, qu’en est-il avec plusieurs cohortes ? On multiplie alors les clés, en diluant inévitablement des mesures de protection déjà fragiles, compromettant le bénéfice de la procédure.
Et quand plusieurs classes partagent une même série de pseudos (ex. Plickers, où les 30 cartons sont réutilisés à chaque fois) : impossible d'éviter la multiplication des “clés”, sauf à fonctionner de manière anonyme et ainsi annuler le bénéfice principal de l’outil. Tenable ?
Ici encore, il appartient au responsable de traitement de définir les modalités d’une pseudonymisation efficace, en rapport avec ses besoins, la réalité de sa structure, et les risques qu’il aura estimés acceptables. Tout dépend du contexte et des besoins.
Citons à cet effet ce tout récent rapport de l’ENISA, agence européenne de cybersécurité (visible ici enisa.europa.eu/publications/d…) Image
Il ne semble donc pas raisonnable d’attendre de la part des enseignants un effort de pseudonymisation lorsque celui-ci est défini de manière aussi générale. Si ce procédé est pertinent par le RT, on attendra alors guides, outils, protocoles pour un déploiement adapté et efficace.
3️⃣ Enfin, du strict point de vue du RGPD. S’il est vrai que le recours aux pseudos peut constituer une première mesure de protection des DCP (cf. art. 32), il ne s’agit là que d’une préconisation de réponse possible, non d’une prescription de portée universelle et suffisante.
Il faut également souligner l’importante nuance apportée par le considérant 26 de ce même texte, incitant à relativiser la portée réelle de telles mesures lorsqu'elles sont susceptibles de céder sous des efforts “raisonnables” de réidentification (notre cas) : Image
Ainsi, un pseudonyme n’offre aucune garantie d’anonymisation, et reste une DCP quoiqu’il arrive : contrairement à une idée reçue, le recours aux pseudos n’affranchit ni l’enseignant, ni le chef d’établissement des procédures de mise en conformité imposées par le RGPD.
Ici encore, il faut souligner la fréquente confusion entre DCP et données identifiantes, les 2ndes n’étant qu’une sous-catégorie de la 1e. Or, c’est bien ce périmètre étendu qui est retenu par la loi, et qui préside à la rédaction des contrats entre un EPLE et ses sous-traitants. Image
Ainsi, plutôt que de s’appuyer sur une pratique peu efficace impliquant l'enseignant au-delà de sa responsabilité, il apparaît préférable de privilégier un encadrement contractuel strict avec le prestataire, permettant un usage “en clair” (mais protégé) de l’identité des élèves.
👉 L’incitation faite aux enseignants d’une “pseudonymisation simple” peut légitimement interroger à plus d’un titre. Les bénéfices, discutables, ne peuvent rivaliser avec les gages de sécurité fournis par une contractualisation conforme au RGPD.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Monsieur Relou

Monsieur Relou Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(