Stratégie Digital Learning – RGPD, edtech et formation : y a-t-il urgence ?

Article écrit par Antoine Amiel, CEO LearnAssembly et initialement publié sur LinkedIn

En Mai 2018, le Règlement Européen pour la Protection des Données entrera pleinement en vigueur. Ce règlement européen est un petit séisme dans le monde de la protection des données, puisque pour la première fois, les autorités de contrôle  en charge de la protection pourront infliger des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise contrevenantes, ou 20 millions d’euros (le montant le plus haut des deux sera retenu).

Ne pas se mettre en conformité représente donc un risque légal et financier important, sans parler du risque de réputation. Si de nombreuses voix s’élèvent contre l’aspect inapplicable de ce texte en termes de processus pour les entreprises, il n’en reste pas moins que toutes vont devoir entrer dans une démarche de mise en conformité et se préparer à d’éventuels contrôles.

Le lancement de notre Mooc d’entreprise sur le sujet m’a amené à me pencher sur l’application pour le monde de la formation et de l’éducation. En quoi le monde de la formation et de l’edtech est-il concerné ? Repartons de la définition d’une donnée personnelle, telle que définie par la loi. Une donnée personnelle est une donnée dont l’analyse permet d’identifier un individu. Dans ce cadre, des données comme le prénom, nom, e-mail, photo, données de connexion, sont concernées.

C’est donc tout le marché de la formation, et surtout les acteurs edtech qui sont concernés.

Les éditeurs de logiciels sont bien évidemment les premiers concernés : qu’il s’agisse de Learning Management Systems (LMS) ou d’Environnements Numériques de Travail (ENT), ces logiciels stockent un volume important de données individuelles, qui associées aux traces d’apprentissage (learning analytics) sont d’une grande sensibilité. Ces acteurs devront cartographier les données, identifier les risques en terme de protection et définir des process précis de reporting et de suivi.

Un LMS collecte beaucoup de données : nom, prénom, heures de connexion, temps passé, terminal utilisé, validation de connaissances, nombre de tentatives à des quizzes, type de ressources pédagogiques consultées etc…Si le LMS enregistre les messages postés par un apprenant sur un forum et le relie à son profil, ce sont alors des données personnelles. Si le LMS enregistre ma navigation sur une page dans l’objectif d’optimiser son interface, ce sont là encore des données personnelles.

Bien que peu d’acteurs du marché fournissent des données d’apprentissage réellement qualitatives, et les compétences pour analyser ces données de formation sont encore plus rares, le risque reste réel.

En réalité, le sujet de mise en conformité pourrait bien s’avérer être un sujet de guerre économique : les GAFA ont largement anticipé le règlement et investi des moyens considérables en lobbying pour anticiper les risques. A l’inverse, les PME et startups de la formation ont négligé ce sujet, considérant qu’il s’agissait d’une enième norme pensée par des technocrates bruxellois éloignés du terrain. Le retour de bâton pourrait être sévère et pénaliser encore plus les PME et startups européennes, déjà pénalisées par les pratiques d’optimisation fiscale des géants du numérique américains

Un autre argument pour inviter la filière edtech et formation à se préparer : la responsabilité ne pèsera pas seulement sur le responsable de traitement mais aussi sur ses sous-traitants qui devront se conformer aussi au RGPD et le responsable de traitement sera tenu d’en justifier.Concrètement, un donneur d’ordre – par exemple une entreprise souhaitant déployer une formation digitale ou pas – devra intégrer dans le contrat avec son partenaire des clauses encadrant l’analyse et l’exploitation des données et garantissant le respect des règles de sécurité et confidentialité.

Des sociétés de formation ou de digital learning non conformes risqueraient donc de perdre certains marchés si elles ne sont pas prêtes. Qu’il s’agisse de formation en présentiel, de Moocs, serious game ou blended learning, les directions des achats vont intégrer des clauses dans leurs contrats-cadres. Les acteurs du digital learning sont évidemment les plus concernés puisqu’ils ont accès à des données hébergées dans le cloud, et ce en grande quantité.

Le RGPD va-t-il ralentir l’innovation ? Les progrès pédagogiques apportés par l’exploitation de données d’apprentissage ou l’intelligence artificielle sont-ils compromis ? Le RGPD est avant tout un enjeu d’organisation, de culture et de process.Désigner un Data Protection Officer (DPO), chef d’orchestre de la conformité,  et suivre les recommandations de la CNIL est à la portée de tous.

Encore faut-il se sentir concerné…

A propos de LearnAssembly

Créé fin 2013, LearnAssembly est un acteur du maintien de l’employabilité, à l’heure du digital. Via nos solutions mêlant différentes modalités pédagogiques, nous concevons des stratégies et des expériences learning qui transforment les pratiques et les mentalités. Nous pensons que la formation est devenu un enjeu de responsabilité sociétale et que les entreprises qui maintiendront leur performance sont celles qui sauront apprendre en permanence.

Chez LearnAssembly, nous persuadés que les équipes learning doivent remonter dans la chaine de valeur interne des entreprises pour développer une culture de l’apprentissage permanent. Cette learning agility passe la capacité des universités d’entreprise et formation à anticiper les transformations, proposer des modalités pédagogiques innovantes et surprendre ses collaborateurs. Découvrez nos programmes qui feront de vos services formation des acteurs incontournables du changement.

Contact Learn Assembly