Module RGPD et export des données personnelles

Module RGPD et export des données personnelles

par Caroline Tartary,
Nombre de réponses : 7

Bonjour à tous,

Après quelques tatônnements et réglages en tout genre, j'ai une solution fonctionnelle pour demander l'export des données au DPD et si celui-ci approuve, le fichier est bien généré dans Moodle et l'utilisateur a la possibilité de récupérer ses données.

Cependant, quelque chose me chiffonne... j'ai fait un test en mettant, dans le carnet de note, une note visible pour les étudiants et une autre note cachée pour les étudiants.

Dans le fichier récupéré on lit les deux...

       {

            "item": "test devoir visible",

            "grade": "14.00000",

            "grade_formatted": "14,00",

            "feedback": "",

            "information": "",

            "timecreated": "mardi 18 décembre 2018, 15:10",

            "timemodified": "mardi 18 décembre 2018, 15:10"

        },

        {

            "item": "test devoir invisible",

            "grade": "5.00000",

            "grade_formatted": "5,00",

            "feedback": "",

            "information": "",

            "timecreated": "mardi 18 décembre 2018, 15:10",

            "timemodified": "mardi 18 décembre 2018, 15:10"

        }


Voilà, je ne sais pas trop quoi faire de cette information. Il ne semble pas y avoir de réglage. Est-ce que c'est normal et cohérent comme fonctionnement ? (j'avoue que je ne me suis pas du tout penchée sur la problématique de cette loi).


Bonne journée les moodleurs,


Caroline


Moyenne des évaluations  -
En réponse à Caroline Tartary

Re: Module RGPD et export des données personnelles

par Olivier Valentin,
Avatar Développeurs de plugins Avatar Moodleurs particulièrement utiles

Bonjour,

sur le coup, cela ne me parait pas incohérent.

Que la note ne soit pas affichée dans le carnet de notes lorsqu'on consulte le cours parce que vous l'avez paramétré ainsi est logique. En revanche, cette note étant une donnée personnelle, il est logique pour moi de la retrouver dans l'export des données car l'information concerne l'étudiant. Cacher une note ne signifie pas l'exclure de l'export : c'est une donnée personnelle, elle doit y figurer.

Toutefois, cette question est intéressante : cela signifie que si on cache une information mais que, dans la foulée, un utilisateur demande un export de ses données et qu'on lui accorde, il aura directement accès à des informations qu'on souhaitait lui cacher pour un temps !

Olivier

Moyenne des évaluations  -
En réponse à Olivier Valentin

Re: Module RGPD et export des données personnelles

par Caroline Tartary,

Merci Olivier pour la réponse. Je suis bien d'accord, ca ne me parait pas non plus incohérent dans l'absolu. J'ai demandé à notre DPO de se renseigner sur la procédure à appliquer pour Apogée par exemple. Si un étudiant demande l'ensemble de ses données personnelles sur Apogée, ou tout autre SI formation, est-ce qu'on ferait pareil ?


Moyenne des évaluations  -
En réponse à Caroline Tartary

Re: Module RGPD et export des données personnelles

par Olivier Valentin,
Avatar Développeurs de plugins Avatar Moodleurs particulièrement utiles

C'est une excellente question................................................. sourire

Je viens à l'instant de croiser notre DPD. Pour elle, on a déjà un délai d'un mois pour répondre. Cela permet de temporiser. Après, il faut voir s'il est possible de dire que certaines données doivent conserver un certain secret pendant un temps, ce qui ne serait pas impossible selon elle. Mais en tout cas, c'est une très bonne question qui tu as posé, car cela soulève de gros soucis administratifs.

De mon coté, confronté à des soucis d'export de l'archive, j'avais fait quelques tests et j'avais trouvé le moyen d'exclure certains éléments qui me posaient problème. Si tu lances le cron de Moodle en utilisant l'adresse http://monmoodle.com/admin/cli/cron.php?password=monpassword, on voit ainsi défiler tous les process. Ceux de l'export de données peuvent être très nombreux (près de 500 chez moi !). Tous n'ont pas la même durée de traitement bien sûr. Mais dans mes souvenirs, il y a bien un process dédié à la récupération des notes. Il serait donc peut-être possible de l'exclure. C'est pas "RGPD friendly", mais ça peut dépanner, j'imagine.

Olivier

Moyenne des évaluations Utile (1)
En réponse à Olivier Valentin

Re: Module RGPD et export des données personnelles

par Patrick Lemaire,
Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs 
Olivier > « Si tu lances le cron de Moodle en utilisant l'adresse http://monmoodle.com/admin/cli/cron.php?password=monpassword »

Attention ! Il faut vérifier que "Exécution du cron uniquement en mode terminal" (cronclionly), situé dans "Administration du site > Sécurité > Règles site" n'est pas sur "Oui" (valeur par défaut) pour que cela fonctionne clin d’œil

Moyenne des évaluations Utile (2)
En réponse à Patrick Lemaire

Re: Module RGPD et export des données personnelles

par Olivier Valentin,
Avatar Développeurs de plugins Avatar Moodleurs particulièrement utiles

Patrick > ouép, j'aurais du le préciser... d'autant que tout le monde ne peut pas effectuer ce paramétrage ! triste  Au pire, on peut toujours demander les rapports de cron pour avoir ces infos, non ?

Moyenne des évaluations  -
En réponse à Olivier Valentin

Re: Module RGPD et export des données personnelles

par Caroline Tartary,

Très bonne remarque. Je vais voir ce que l'on peut mettre en place techniquement, en attendant d'avoir la réponse "philosophique" à la question. 

Moyenne des évaluations  -
En réponse à Caroline Tartary

Re: Module RGPD et export des données personnelles

par Jean-Marc Doucet,
Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Titulaires du Moodle Course Creator Certificate Avatar Traducteurs

Bonjour Caroline,

je vais vous donner la réponse que je donne à mes clients (je suis un DPO externe) : toute personne (eropéennes) est en droit de vous demander de lui remettre toutes ses données personnelles et ensuite de les effacer des toutes vos bases de données et sauvegardes ..... (sous certaines conditions)

Pour connaitre les rêgles du jeux la CNIL renseigne bien : https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces

Oui ! C'est un gros boulot pour les services IT, d'où l'intérêt pour le Privacy by Design .. pour vos prochainnes applications.

Se mettre en conformité est une démarche dynamique donc si vous ne pouvez pas répondre à une demande précise à ce jour et que vous justifiez de faire  les efforts pour y répondre demain dans la mesure de vos moyens : la CNIL sera bienveillante avec votre organsation. 

Il faut quand même se souvenir que le RGPD n'a pas vocation à freiner le dévelopement économique mais simplement de protéger les citoyens européens des dérives dans la captation et l'utilisation de leur informations personnelles clin d’œil


Pour ce qui est d'Apogé son éditeur écrit cela : http://www.amue.fr/presentation/articles/article/donnees-personnelles-lamue-se-conforme-au-rgpd/  et propose à ses adhérents un billet sur la mise en conformité : http://amue.fr/index.php?id=4037




Moyenne des évaluations Utile (2)