RGPD, CCPA, LGDP, CPRA… Il est difficile de se tenir au courant de toutes les réglementations en matière de souveraineté des données. Mais celles-ci revêtent également une importance sur le plan éthique : en tant que mineurs, les élèves sont particulièrement exposés à l'usurpation d'identité, et les établissements scolaires ainsi que les pouvoirs publics ont tout intérêt à protéger leurs données.
Dans cet article, nous allons passer en revue les principales réglementations en matière de souveraineté des données que les administrateurs et les professionnels techniques doivent connaître. Plus important encore, nous vous montrerons comment ces réglementations se traduisent en exigences concrètes pour les plateformes, afin que vous sachiez exactement ce qu’il faut rechercher la prochaine fois que vous évaluerez une solution EdTech. Que vous gériez un système scolaire en Amérique latine ou que vous surveilliez les failles de sécurité en France, ce guide devrait vous aider à mieux comprendre la souveraineté des données dans votre travail quotidien.
Principaux points à retenir
- La souveraineté des données n'entraîne pas seulement des obligations juridiques. Elle réduit également le choix des plateformes que votre établissement peut adopter en toute sécurité, faisant ainsi de la conformité une exigence fondamentale dans tout processus de sélection.
- L'explosion du volume de données dans les établissements scolaires a rendu la situation d'autant plus critique, faisant de la transparence et du consentement en matière de stockage des éléments incontournables. Les plateformes qui ne sont pas en mesure d'indiquer clairement où et comment elles stockent les données ne devraient pas figurer sur votre liste de sélection.
- Les solutions fermées, de type « boîte noire », transforment la conformité en une simple conjecture, tandis que les systèmes ouverts permettent un véritable audit, ce qui est essentiel pour les plateformes cloud. Lorsque vous évaluez des outils basés sur le cloud, privilégiez les plateformes qui garantissent la transparence de leur architecture et de leurs flux de données.
- Les réglementations régionales, du RGPD à la LGPD et au CCPA, diffèrent à bien des égards. Elles imposent toutefois toutes la mise en place d'une résidence configurable, de pipelines vérifiables, d'une gestion des consentements et d'une obligation de notification des violations.
La souveraineté des données : les principes fondamentaux
La souveraineté des données étend l'autorité du gouvernement sur les données générées ou collectées sur un territoire donné. Par exemple, l'Union européenne a le pouvoir d'établir des règles et des réglementations, telles que le Règlement général sur la protection des données (RGPD), régissant les données créées ou stockées au sein des États membres.
Cependant, la souveraineté des données n'est pas la même chose que la protection des données. Cette dernière fait référence aux droits dont disposent les individus quant à la manière dont leurs informations personnelles sont collectées, utilisées et partagées. En général, cela couvre le consentement, l'accès et la suppression. La souveraineté des données, en revanche, est un concept plus large qui porte sur la question de savoir quel gouvernement a juridiction sur les données en premier lieu — et, par conséquent, quelles règles en matière de protection des données s'appliquent.
Concrètement, cela signifie qu'une plateforme EdTech donnée peut satisfaire aux exigences d'un pays en matière de protection des données tout en portant atteinte à la souveraineté d'un autre. Pour les décideurs, il est important de s'assurer que les solutions répondent à la fois aux exigences en matière de protection des données et à celles relatives à la souveraineté des données.
Comment la souveraineté des données façonne le paysage des technologies éducatives
Alors que les systèmes scolaires se tournent de plus en plus vers les solutions EdTech pour tests adaptatifs, la notation par IA et l'enseignement à distance, ils génèrent des quantités massives de données. Par exemple, selon The Data Scientist, les écoles britanniques génèrent en une seule journée plus de données que l'ensemble d'Internet en 2000. Pour une école comptant 1 200 élèves, cela représente en moyenne 10 Go de données par jour.
Une telle ampleur s'accompagne d'une lourde responsabilité. Les systèmes scolaires doivent se conformer à la réglementation en matière de données, et ils ont besoin des solutions EdTech conçues à cet effet. Voici les principales exigences auxquelles doit répondre une solution EdTech pour garantir la conformité en matière de souveraineté des données, ainsi que les questions à poser lors de l'évaluation d'une plateforme.
Rangement transparent
De nombreux pays exigent que les données sensibles générées sur leur territoire y soient stockées. Cette obligation, connue sous le nom de « résidence des données », permet aux autorités de régulation de vérifier le respect des lois nationales. En théorie, cela devrait garantir une meilleure protection des informations personnelles identifiables (PII) que le stockage transfrontalier.
Pour garantir le respect des obligations en matière de localisation des données, les solutions EdTech doivent faire preuve de transparence quant à leurs politiques de stockage. Lorsque les éditeurs de logiciels ne communiquent pas clairement sur le lieu et les modalités de stockage des données, leurs systèmes ne peuvent pas faire l'objet d'un audit, et il est donc impossible de déterminer s'ils sont conformes.
Éléments à vérifier : Les fournisseurs peuvent-ils préciser la ou les régions où vos données sont hébergées ? Pouvez-vous vérifier ces informations à l'aide de la documentation ou d'un audit indépendant, ou devez-vous vous fier à leur parole ?
Consentement
Bien que la réglementation varie d'un pays à l'autre, le consentement est un thème récurrent. Depuis l'entrée en vigueur du RGPD de l'UE, les cases de consentement sont devenues un élément incontournable de l'expérience en ligne. Le secteur des technologies éducatives (EdTech) ne fait pas exception : avant de stocker les données des élèves, vous devez obtenir leur consentement afin de respecter les exigences légales.
Éléments à prendre en compte : La plateforme que vous évaluez intègre-t-elle des workflows de consentement configurables en fonction des exigences de votre juridiction, ou votre équipe devra-t-elle mettre en place ce processus séparément ?
Droit de visite
Dans de nombreuses régions, les parents ont le droit d'accéder aux données scolaires de leurs enfants et de les corriger. Aux États-Unis, ce droit est inscrit dans la loi sur les droits à l'éducation et la confidentialité des informations familiales, ou FERPA. Pour se conformer à la FERPA et aux réglementations internationales similaires, les solutions EdTech doivent permettre aux administrateurs d'accorder facilement aux parents (ou aux élèves majeurs) l'accès aux données.
Éléments à prendre en compte : La plateforme propose-t-elle des contrôles d'accès basés sur les rôles qui facilitent l'octroi, la révocation et l'audit des droits d'accès parentaux sans faire appel au fournisseur ?
Perspectives sur l'open source
Comment pouvez-vous vérifier la conformité si vous ne pouvez pas « soulever le capot » de votre plateforme EdTech? Vous ne le pouvez pas. C’est pourquoi les logiciels open source sont largement reconnus pour leur résilience face à la surveillance réglementaire. Comme les solutions open source rendent leur code source public, les organisations peuvent auditer, modifier et faire évoluer leurs systèmes pour se conformer aux réglementations en matière de données sans se soucier des licences ou des droits d’auteur.
Éléments à vérifier : Le code source de la plateforme est-il ouvert et vérifiable ? Si ce n'est pas le cas, quelle vérification indépendante le fournisseur fournit-il pour démontrer que son traitement des données correspond à ses affirmations ?
Souveraineté des données et plateformes cloud
L'infrastructure cloud est désormais la norme pour la plupart des outils EdTech, mais dès que les données des élèves sont transférées dans un environnement cloud commercial, des questions se posent : dans quelle région les données sont-elles hébergées ? Qui d'autre a accès aux systèmes sous-jacents ? Quels services tiers interviennent discrètement dans le traitement des données ?
Les administrateurs sont souvent surpris d'apprendre qu'un seul flux de travail peut impliquer un ensemble disparate de compartiments de stockage, d'outils de journalisation et de services d'analyse répartis sur plusieurs juridictions.
C'est là que les lois sur la souveraineté des données se heurtent aux limites pratiques des grandes plateformes cloud. Même lorsque les fournisseurs proposent des options d'hébergement régional, ils offrent rarement aux établissements scolaires le niveau de contrôle nécessaire pour satisfaire aux exigences strictes en matière de localisation des données ou d'audit. La réplication transfrontalière (copie des données vers des serveurs situés dans plusieurs pays en cas de panne de serveur), les routines de sauvegarde automatisées et les modèles de responsabilité partagée peuvent compliquer la mise en conformité plus qu’ils ne l’aident. Par exemple, une plateforme peut stocker les données primaires dans le pays tout en répliquant les sauvegardes vers une juridiction étrangère, ce qui enfreint techniquement les règles de résidence, sans que vous ne vous en rendiez compte.
Malheureusement, toutes les plateformes cloud ne sont pas compatibles avec des exigences strictes en matière de souveraineté. Pour vérifier la conformité, vous aurez besoin d'un système EdTech conçu selon des normes ouvertes et offrant des options de déploiement personnalisables qui vous permettent de choisir votre propre cloud, d'appliquer les règles de résidence et de conserver la maîtrise de l'ensemble du processus d'évaluation.
Principales dispositions relatives à la souveraineté des données par région
Malgré les similitudes énumérées ci-dessus, la souveraineté des données reflète les spécificités des systèmes juridiques propres à chaque juridiction. Plutôt que de répertorier chaque réglementation, il est toutefois plus utile de mettre en évidence leurs points communs et de souligner les domaines dans lesquels les divergences ont une incidence sur les marchés publics.
Dans le cadre de réglementations telles que le RGPD, FERPA, la loi californienne sur la protection de la vie privée des consommateurs (CCPA), la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi générale sur la protection des données du Brésil (LGPD) et la loi sur la protection des informations personnelles (APPI), plusieurs exigences sont communes :
- Consentement et notification : Presque toutes les juridictions exigent un consentement éclairé avant la collecte de données à caractère personnel et imposent que les personnes concernées soient informées en cas de violation. Une plateforme dépourvue de workflows de consentement configurables et de notification automatisée des violations constitue un risque sur pratiquement tous ces marchés.
- Droits d'accès et de rectification : Les élèves et/ou les parents ont presque toujours le droit de consulter, de corriger et, dans de nombreux cas, de supprimer leurs dossiers. Cela signifie que les plateformes doivent prendre en charge l'accès basé sur les rôles et la gestion des données en libre-service.
- Vérifiabilité : Partout dans le monde, les autorités de régulation attendent des organisations qu'elles démontrent leur conformité, et non qu'elles se contentent de l'affirmer. Cela nécessite des flux de données vérifiables, une documentation claire et, dans l'idéal, des bases de code ouvertes facilitant une vérification indépendante.
Règles spécifiques à chaque région
Certaines juridictions, notamment la Chine et l'Union européenne, exigent que les données restent à l'intérieur de leurs frontières. D'autres, comme le Japon, autorisent les transferts transfrontaliers, mais le pays de destination doit respecter certaines normes minimales de qualité. Ainsi, si une plateforme dessert plusieurs régions, elle doit disposer d'options de déploiement configurables.
L'application de la réglementation varie considérablement d'un endroit à l'autre. Le RGPD est réputé pour son application stricte et ses amendes élevées, mais les autorités de régulation d'Amérique latine et d'Asie du Sud disposent de moyens plus limités. Cela dit, la LGPD au Brésil et la loi sur la protection des données personnelles numériques prévoient toutes deux une surveillance plus stricte, de sorte que les plateformes doivent démontrer qu'elles sont en mesure de respecter des normes plus élevées dans ces régions.
Enfin, dans les pays fédéraux comme les États-Unis et le Canada, les réglementations sont souvent organisées en plusieurs niveaux, à la fois au niveau des États et au niveau national. La CCPA de Californie et la Loi sur la protection des renseignements personnels (PIPA) de l’Alberta imposent des exigences supplémentaires par rapport aux règles fédérales. Cela signifie que les plateformes qui se contentent de respecter les normes nationales peuvent ne pas satisfaire aux réglementations au niveau des États.
Conclusion
À mesure que les règles en matière de souveraineté des données se renforcent, le choix de la plateforme devient une question de gouvernance. Lorsque la réglementation dicte où les données doivent être stockées, qui peut y accéder et comment les violations doivent être signalées, la plateforme que vous choisirez déterminera le ton de vos interactions avec les parents et les autorités de régulation pour les années à venir.
Pour garantir la conformité à long terme, les responsables des achats doivent accorder la priorité à la protection de la vie privée, à la transparence et au contrôle, parallèlement aux fonctions éducatives plus traditionnelles. Les réglementations évoluant sans cesse et étant quelque peu imprévisibles, le choix le plus judicieux est celui d'une plateforme reposant sur des normes ouvertes, suffisamment souples pour s'adapter à l'apparition de nouvelles exigences.
Pour découvrir comment les plateformes fondées sur des normes ouvertes peuvent favoriser la souveraineté des données dans différents contextes réglementaires, consultez ces ressources utiles proposées par TAO :
- Pourquoi les écoles et les gouvernements se tournent-ils vers les logiciels d'évaluation libres ?
- L'avenir des logiciels d'évaluation numérique : Pourquoi l'Open Source l'emporte
- 3 façons pour les écoles primaires et secondaires d'améliorer la sécurité des tests et la confidentialité des données
Découvrez comment les technologies éducatives open source peuvent vous aider à renforcer votre conformité
Si vous avez lu jusqu'ici, vous savez déjà que le débat sur la souveraineté des données n'est pas une simple question théorique. Il influe sur chacune de vos décisions concernant les outils que vous adoptez au sein de votre organisation. Plutôt que de vous fier aveuglément aux promesses de qui que ce soit, demandez une démonstration pour découvrir comment TAO gère les données d'évaluation sans les confier à un dédale de services externes. Une brève session vous en apprendra bien plus qu'une douzaine de slogans marketing. Prenez rendez-vous dès aujourd'hui pour une démonstration.
FAQ
Qu'est-ce que la souveraineté des données dans le domaine de l'éducation ?
La souveraineté des données signifie que les données des apprenants sont soumises aux lois du pays où elles sont collectées ou stockées. Les établissements scolaires et les fournisseurs doivent respecter ces règles locales, et non celles que la plateforme juge opportunes.
Pourquoi la localisation des données est-elle importante pour les technologies éducatives ?
Certaines juridictions exigent que les informations relatives aux étudiants restent à l'intérieur des frontières nationales. Si une plateforme ne peut garantir le lieu de stockage, l'établissement risque de se trouver en situation de non-conformité et pourrait perdre l'accès aux dossiers des étudiants.
Comment les établissements peuvent-ils vérifier qu'une plateforme EdTech est conforme ?
Vérifiez que la documentation est claire, assurez-vous que les systèmes sont audités et veillez à disposer d'une visibilité et d'un contrôle complets sur l'emplacement et le mode de stockage des données.
