Le e-learning et la RGPD: Dokeos LMS est conforme

Le 25 mai 2018, c’est la date d’entrée en vigueur de la  directive européenne sur la protection des données personnelles (RGDP). Dans la majorité des entreprises, services informatiques et juridiques se mobilisent pour être prêts au jour J. Dokeos LMS n’échappe pas à la règle. D’ailleurs Dokeos va plus loin que sa conformité au RGPD en relocalisant les données de formation de ses clients en Europe. Pour toutes ces raisons, Dokeos est le meilleur LMS sur le marché. Retrouvez notre tableau comparatif des meilleurs LMS pour vous aider à choisir votre plateforme de formation en ligne. Rapide revue des enjeux pour le département formation et les conséquences pour votre éditeur de LMS .

La protection des données personnelles n’est pas un sujet neuf. En France, la CNIL n’a pas attendu l’Europe pour protéger les données des citoyens. L’entrée en vigueur de la RGDP introduit cependant quelques nouveautés de taille :

1 / L’harmonisation des règles au niveau européen, imposant notamment aux entreprises de disposer d’un certain nombre d’outils permettant d’effectuer une traçabilité du traitement des données. Il sera désormais obligatoire, partout en Europe, de savoir quand et comment la donnée a été collectée, enregistrée, stockée, transmise et supprimée.

2 / L’obligation d’informer les utilisateurs de l’usage réservé aux données les concernant. Les collecteurs de données devront recevoir le consentement explicite et positif des personnes à l’utilisation de leurs données personnelles.

Pour se conformer à cette dernière obligation, Dokeos travaille à l’ajout de mentions claires à toutes les étapes clés du recueil et du traitement de la donnée (création de compte par l’administrateur de la plateforme, à l’activation du compte par l’apprenant, etc.).

RGDP et LMS : la nécessaire responsabilisation des acteurs

Les entreprises qui utilisent des données privées sur leurs employés devront désormais se demander si ces données sont collectées à des fins déterminées, adéquates et pertinentes. De plus, elles s’engagent à détenir des données exactes ou tenues à jour, conservées durant la période nécessaire, identifiables pour chaque individu concerné et protégées contre un traitement non-autorisé.

Les personnes qui auront donné leur consentement à l’utilisation de ces données pourront se raviser et demander au responsable du traitement des données la modification ou l’effacement de ces informations dans les meilleurs délais (droit à l’oubli).

Chaque personne intervenant sur les données d’un LMS doit être consciente de ses responsabilités et des risques encourus en cas de non-respect des règles sur la protection des données. En vue de favoriser cette prise de conscience, Dokeos prépare pour ses clients un avenant aux contrats dans lequel le RGPD sera mis en perspective.

Les apprenants pourront demander la suppression de leurs données.

Traçabilité des données et documentation technique sur les procédures

Prévoir tous les cas de figure, c’est aussi l’objectif de la RGDP. Pour ce faire, il est important de documenter les procédures applicables à toutes les étapes du traitement de la donnée – création, enrichissement, modification, suppression.

Imaginons le cas d’un apprenant sollicitant son responsable de formation pour supprimer ses données. La documentation technique doit préciser la liste des personnes autorisées chez l’employeur à supprimer la donnée, les différents endroits où cette donnée est conservée et la procédure pour l’effacer. Le délai dans lequel Dokeos doit rendre cette opération possible sera également spécifié, tout comme la procédure pour la suppression des éventuelles sauvegardes.

Il est important également de pouvoir tracer la circulation des données chez des tiers, qu’il s’agisse de partenaires avec lesquels le LMS Dokeos est interfacé (par ex. Gomo) ou ou le SIRH ou CRM chez le client.

Objectif : 100% crypté 

La RGDP implique également de renforcer le cryptage  ou chiffrement des données. Autrement dit, en cas de faille de sécurité, le hacker malveillant ne pourra pas déchiffrer les données. En cas d’accès, elles seront inexploitables car illisibles. Dokeos également d’augmenter la fréquence des pen tests pour réduire encore le risque de faille de sécurité – un risque inhérent à toute application ou logiciel en mode SaaS.

Sanctions

Le Règlement donne au l’organe de contrôle le pouvoir d’infliger des sanctions financières allant jusqu’à 4% du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu). En tant que fournisseur, Dokeos est responsable des données que lui confient chaque client sur son personnel. La responsabilité n’est pas neuve. Ce qui change ce sont les droits de l’utilisateur : droit au refus de consentir, droit à l’effacement et droit à la portabilité, c’est à dire le droit de transmettre les données fournies à un autre responsable du traitement des données.

Cryptage, procédures, documentation technique, enrichissement du logiciel, avenants aux des contrats… : la mise en conformité au RGDP est l’une des priorités de Dokeos depuis plusieurs mois. N’hésitez pas à nous solliciter si vous avez une question à ce sujet. Nous contacter