Le e-learning connait une croissance exponentielle, acceleree par la crise sanitaire et la transformation numerique de la formation. Les plateformes d’apprentissage en ligne collectent des donnees detaillees sur les apprenants : identite, progression, resultats, comportements de navigation, temps passe sur chaque module. Le RGPD encadre ces traitements pour garantir la protection de la vie privee des apprenants tout en permettant le suivi pedagogique.
Les donnees collectees par les plateformes e-learning
Une plateforme e-learning collecte bien plus de donnees qu’une formation en presentiel. Au-dela des informations classiques (identite, inscription, resultats), elle enregistre des donnees comportementales detaillees : pages visitees, temps passe sur chaque contenu, nombre de tentatives aux quiz, horaires de connexion, appareil utilise, adresse IP, interactions avec les autres apprenants sur les forums.
Ces donnees, croisees et analysees, peuvent reveler des informations sensibles sur les habitudes de travail, les capacites d’apprentissage et le niveau de motivation des apprenants. Le principe de minimisation impose de ne collecter que les donnees reellement necessaires aux finalites declarees.
Learning analytics et profilage
Les learning analytics utilisent les donnees de navigation et de progression pour ameliorer l’experience d’apprentissage : recommandations de contenus, identification des apprenants en difficulte, adaptation du parcours pedagogique. Si ces analyses sont utiles, elles constituent un profilage au sens du RGPD lorsqu’elles produisent des evaluations automatisees des capacites des apprenants.
L’apprenant doit etre informe de l’existence de ces analyses, de leur finalite et de son droit de s’y opposer. Si des decisions automatisees produisent des effets significatifs (refus de certification, orientation vers un parcours de rattrapage), l’apprenant a le droit de demander une intervention humaine.
Consentement et information des apprenants
Lors de l’inscription sur une plateforme e-learning, l’apprenant doit recevoir une information claire sur le traitement de ses donnees. Cette information doit preciser les donnees collectees, les finalites (suivi pedagogique, amelioration de la plateforme, statistiques, transmission au financeur), les destinataires, la duree de conservation et les droits de l’apprenant.
Le consentement est necessaire pour certains traitements specifiques : utilisation de cookies de tracking non essentiels, envoi de newsletters commerciales, transmission des donnees a des partenaires. En revanche, le suivi de la progression pedagogique peut reposer sur l’execution du contrat de formation.
Hebergement et securite des donnees
Les plateformes e-learning sont souvent hebergees dans le cloud, parfois hors de l’Union europeenne. Le choix de l’hebergeur est un enjeu majeur de conformite. Les plateformes hebergees aux Etats-Unis doivent etre evaluees au regard du cadre de transfert applicable. Privilegiez les solutions hebergees en Europe, avec un chiffrement des donnees en transit et au repos.
La securite des comptes utilisateurs est egalement essentielle : authentification forte, politique de mots de passe robustes, deconnexion automatique apres inactivite, et detection des acces suspects.
MOOC, SPOC et formations ouvertes
Les MOOC (Massive Open Online Courses) et SPOC (Small Private Online Courses) presentent des enjeux specifiques. Les MOOC, ouverts a tous, collectent les donnees de milliers voire de millions d’apprenants. La base legale est generalement le consentement pour les fonctionnalites optionnelles et l’execution du contrat pour le suivi pedagogique.
Les plateformes de MOOC (Coursera, edX, FUN-MOOC) sont des sous-traitants ou des co-responsables de traitement selon les cas. L’organisme qui propose la formation doit verifier les garanties offertes par la plateforme et informer les apprenants des conditions de traitement de leurs donnees.
Examens et certifications en ligne
Les examens en ligne necessitent parfois des dispositifs de surveillance (proctoring) qui collectent des donnees biometriques : video, audio, analyse des mouvements oculaires. Ces traitements sont particulierement intrusifs et necessitent une analyse d’impact, une information detaillee de l’apprenant et, dans la mesure du possible, la proposition d’une alternative en presentiel.
Les resultats d’examen et les certifications delivrees constituent des donnees personnelles dont la conservation doit etre encadree. Les attestations de formation doivent etre conservees selon les exigences reglementaires du secteur concerne.
Bonnes pratiques pour les editeurs de plateformes
Les editeurs de plateformes e-learning doivent integrer la protection des donnees des la conception (privacy by design) : parametre de confidentialite par defaut les plus protecteurs, collecte minimale de donnees, anonymisation des statistiques d’utilisation, transparence sur les algorithmes de recommandation et possibilite pour l’apprenant de telecharger ou supprimer ses donnees a tout moment.
