Résumé exécutif
Une donnée personnelle n’est pas seulement un nom ou une adresse mail. C’est toute information qui permet d’identifier une personne directement ou indirectement. Dans un contexte éducatif, une production écrite, une progression, une note, un temps de connexion ou un prompt peuvent devenir révélateurs.
Le RGPD n’interdit pas les projets numériques. Il impose une discipline. Il faut expliquer ce qui est collecté, limiter la collecte, protéger les accès, définir une durée de conservation et pouvoir démontrer que ces choix ont été pensés.
La confidentialité se construit avant l’usage de l’outil. Une fois qu’un fichier a circulé, qu’un export a été envoyé ou qu’un prompt sensible a été transmis, il est souvent trop tard pour corriger proprement.
Comprendre les données personnelles
Une donnée peut identifier directement une personne, par exemple un nom, un prénom, une adresse mail ou une photo. Elle peut aussi identifier indirectement une personne, par exemple un identifiant étudiant, un pseudonyme stable, une adresse IP, une classe associée à une date et à une production écrite ou un historique d’activité.
Le danger vient souvent du croisement. Une donnée isolée semble parfois neutre. Mais plusieurs données faibles peuvent former une information forte.
| Type | Exemples | Vigilance |
|---|---|---|
| Identité | Nom, prénom, mail, numéro étudiant | Rarement nécessaire pour l’analyse pédagogique. |
| Usage | Connexion, durée, clics, progression | Peut révéler l’engagement ou les difficultés. |
| Production | Texte, fichier, réponse, prompt | Peut contenir des données personnelles non prévues. |
| Évaluation | Note, feedback, score | Peut avoir un impact direct sur la personne. |
| Technique | IP, logs, appareil, identifiant | Souvent oubliée, mais parfois personnelle. |
Le RGPD expliqué simplement
Le RGPD demande de savoir pourquoi une donnée est utilisée, qui y accède, combien de temps elle est gardée et comment les personnes sont protégées. Le principe n’est pas de tout bloquer. Le principe est d’éviter les usages flous, excessifs ou impossibles à justifier.
| Principe | Explication | Question utile |
|---|---|---|
| Finalité | Collecter pour un but précis. | À quoi sert cette donnée. |
| Minimisation | Éviter les données inutiles. | Peut-on faire pareil avec moins. |
| Transparence | Informer clairement les personnes. | Un étudiant peut-il comprendre l’usage. |
| Sécurité | Protéger les accès et les systèmes. | Qui peut voir, modifier ou exporter. |
| Durée limitée | Ne pas conserver indéfiniment. | Quand la donnée disparaît-elle. |
| Responsabilité | Documenter les choix. | Où la décision est-elle écrite. |
Pourquoi l’IA ajoute un risque spécifique
Avec une IA générative, un utilisateur peut transmettre sans le vouloir un nom, une note, une difficulté personnelle, une situation familiale, un conflit ou des informations sur un tiers. Le système peut ensuite transformer cette information en résumé, en profil, en recommandation ou en évaluation.
Il faut documenter ce que l’organisation collecte dans son propre outil, puis ce que le fournisseur d’IA reçoit, conserve, analyse ou réutilise. Ces deux niveaux ne doivent pas être mélangés.
Les prompts sont-ils conservés. Les prompts servent-ils à entraîner le modèle. Les données sont-elles hébergées dans l’Union européenne. Existe-t-il un contrat de sous-traitance. Peut-on supprimer ou exporter les données.
Construire une matrice de données
La matrice de données est un tableau de pilotage. Elle montre ce qui est collecté, pourquoi, par qui, pendant combien de temps, avec quel risque et quelle protection.
| Moment | Donnée | Finalité | Accès | Risque | Protection |
|---|---|---|---|---|---|
| Inscription | Mail, rôle, établissement | Créer le compte | Admin limité | Moyen | Accès restreint, mot de passe fort, conservation limitée |
| Connexion | Date, IP, identifiant technique | Sécurité et audit | Admin technique | Moyen | Logs limités, accès rare, suppression périodique |
| Usage pédagogique | Progression, réponses, activité | Suivre l’apprentissage | Équipe autorisée | Moyen | Minimisation, affichage limité, agrégation si possible |
| Usage IA | Prompt, document, sortie générée | Aider l’utilisateur | Selon outil et contrat | Élevé | Pseudonymiser et vérifier la conservation fournisseur |
| Évaluation | Score, feedback, commentaire | Mesurer ou accompagner | Référent autorisé | Élevé | Traçabilité, droit de contestation, validation humaine |
Protocoles de confidentialité
Un protocole est une règle simple et applicable. Il doit réduire les risques sans rendre le travail impossible.
| Protocole | Règle |
|---|---|
| Minimisation | Ne demander que les données nécessaires. |
| Pseudonymisation | Remplacer les noms par des identifiants techniques quand l’identité n’est pas utile. |
| Séparation | Séparer la table identité de la table activité. |
| Accès | Limiter les droits aux personnes qui en ont besoin. |
| IA externe | Ne pas envoyer de noms, mails, notes nominatives ou données sensibles dans les prompts. |
| Suppression | Prévoir comment supprimer ou anonymiser une donnée. |
Un UUIDv7 peut remplacer une identité civile dans certains traitements. Mais il ne rend pas la donnée anonyme. Il reste une pseudonymisation, car la table de correspondance peut permettre de retrouver la personne.
Réagir en cas d’incident
Un incident peut être une perte de fichier, un accès non autorisé, une erreur d’envoi, un compte compromis, une fuite, une suppression accidentelle ou une exposition publique.
- Bloquer ou limiter l’accès compromis.
- Identifier les données concernées.
- Évaluer le risque pour les personnes.
- Documenter l’incident et les décisions.
- Notifier si nécessaire, en principe sous 72 heures après prise de connaissance lorsque le risque le justifie.
- Corriger la cause et mettre à jour les protocoles.