Que signifie la conformité au Règlement Général européen sur la Protection des Données pour les utilisateurs d’OBF et OBP? Nous développons depuis plusieurs années des services e-learning en ligne avec une démarche de qualité et nous sommes engagés à garantir à nos clients un niveau élevé de protection des données à caractère personnel.
Open Badge Factory Academy - OBF ABC for Beginners
OBF et RGPD
1. Que signifie la conformité au Règlement
Général européen sur la Protection des
Données pour les utilisateurs d’OBF et
OBP?
Eric Rousselle
2. Quelques considérations concernant le Réglement
Général européen sur la Protection des Données
personnelles• Discendum a plus de 16 ans d’expérience en tant que fournisseur
de services. La protection des données de nos clients et de nos
utilisateurs a toujours été pour nous une priorité!
• Le RGPD est bénéfique pour les fournisseurs et leurs clients, car il
définit des règles claires concernant le traitement des données
personnelles
• Le RGPD apporte plus de transparence et nous espérons un
renforcement de la confiance des utilisateurs
• OBF et OBP sont conformes au RGPD
• Les mises à jour RGPD des deux services seront effectuées les 22
et 23 mai.
3. Définitions essentielles pour comprendre le RGPD
• Données à caractère personnel: toute information se rapportant à une
personne physique identifiée ou identifiable
• Personne concernée: une personne physique qui peut être identifiée,
directement ou indirectement par référence à un identifiant
• Responsable du traitement: le client qui déterminera les finalités et les
moyens du traitement
• Sous-traitant: le fournisseur de services, qui traitera des données à
caractère personnel pour le compte du responsable du traitement;
basé sur un Accord de traitement des données (DPA in english)
4. Quels droits le RGPD donne-t-il aux personnes
concernées?
• Droit d’accès à leurs données personnelles
• Le droit de s’opposer au traitement de leurs données
• Le droit de faire rectifier, bloquer, effacer ou anonymiser
leurs données personnelles
• Pour plus d’information:
https://www.cnil.fr/fr/rgpd-notions-cles-et-bons-reflexes
5. Open Badge Factory et le RGPD
• Le responsable du traitement est un client (une
organisation) utilisant OBF pour créer et émettre des badges
• Le sous-traitant est le fournisseur de service (Discendum)
• Les personnes concernées sont les utilisateurs du client
(administrateurs, créateurs et émetteurs) ayant un compte
OBF mais aussi les bénéficiaires car les émetteurs utilisent
leurs données personnelles pour émettre les badges
6. Comment les personnes concernées peuvent-elles
contrôler leurs données à caractère personnel?
• Tout utilisateur d’OBF peut accéder (dans OBF) à une liste de ses
données et peut les effacer ainsi que son compte utilisateur.
• Lors de la réception d’un badge, le bénéficaire reçoit, dans le message
envoyé par l’émetteur, un lien pour accéder à ses données.
• Le bénéficiaire peut exiger l’effacement ou l’anonymisation de ses
données (nom, prénom, adresse courriel, et données saisies par les
formulaires de demande de badges)
• Les demandes d’effacement doivent être traitées par le responsable
du traitement (client) dans un délai court (40 jours maximum )
• Le sous-traitant n’est pas responsable de l’effacement des données
personnelles
7. Que ce passe-t-il quand les données personnelles
sont effacées?
• Utilisateur OBF: l’utilisateur n’a plus accès au service
• le bénéficaire
• Si une demande d’effacement total des données est faite, les badges du
bénéficiaire cesseront de fonctionner.
• Si la demande ne concerne que les données personnelles traitées par
l’émetteur, les badges fonctionneront encore après l’effacement.
• Les preuves ”cuites” dans les badges ne seront plus accessibles.
• L’émetteur
• Après l’effacement des données d’un bénéficiaire l’émetteur ne pourra
plus obtenir des rapports concernant ce bénéficiaire
8. Les modalités du service OBF
• L’Accord de traitement des données (Data Processing
Agreement)
• L’objet de cet accord est de convenir de la protection et securité des
données personnelles du client dans les services du fournisseur de
Service.
• Modalités et conditions d’utilisation
• Avis de confidentialité
• Definit les données traitées ainsi que les finalités et les moyens
du traitement (quoi, pourquoi et comment)
• Après la mise à jour RGPD les utilisateurs devront accepter ces modalités
avant d’accéder au service
10. • Du point de vue du RGPD OBP est un cas relativement simple
• Le fournisseur (Discendum) est à la fois responsable du traitement et
sous-traitant
• Les personnes concernées sont les utilisateurs du service OBP
• Créer un compte OBP est une décision de l’utilisateur. Il crée lui-même
son compte
• L’utilisateur crée ses données à caractère personnel dans OBF
• L’utilisateur a accès à ses données, il peut effacer lui-même ses
données et son compte OBP
• Le rôle du fournisseur n’est pas d’effacer les données des utilisateurs
11. Les modalités du service OBP
• Modalités et Conditions
• Avis de confidentialité
12. Bon à savoir
• Les services OBF et OBP sont hébergés sur des serveurs situés dans un pays de
l’Union Européenne (Finlande)
• L’opérateur sous-traitant responsable de l’hébergement des services est en
conformité avec le RGDP
• Les banques de données d’ OBF et d’ OBP sont protégées (firewalls, etc.) et une
sauvegarde journalière est effectuée. Les mots de passe et l’accès au services
sont encryptés
• Les données d’OBF et D’OBP ne sont pas tranferées vers d’autres systèmes. Mais
il faut noter que quand un client émet des badges dans un LMS avec le plugin
OBF les adresses courriel des bénéficiaires sont transmises par le LMS à OBF.
13. Du point de vue du RGDP OBF et OBP présentent
peu de risques
• Le nécessaire a été fait pour traiter les données à caractère
personnel conformément au RGDP
• Il n’y a pas de données sensibles dans ces services
• Les données traitées sont réduites au stricte minimun
• Les données à caractère personnel doivent être protégées, c’est un
fait, mais il faut relativiser car les Open Badges sont par nature
ouverts et n’ont pas de sens s’ils ne sont pas publiés!