White Paper: Privacy in Online Proctoring
Youssef Fouad, conseiller juridique de ProctorExam sur la protection des coordonnées personnelles, a écrit un livre blanc sur la protection et la confidentialité des examens à distance.
Comment écrire une politique de sécurité de l’information
Une politique de sécurité appropriée est la pierre angulaire d’un programme de sécurité de l’information. Celle-ci doit refléter les objectifs de l’organisation en matière de sécurité et la stratégie convenue pour protéger l’information. Afin d’asseoir la légitimité du programme de sécurité de l’information, il convient que la direction de l’organisation le valide formellement.
Cela implique que l’organisation doit établir au préalable des objectifs de sécurité bien définis ainsi qu’un consensus sur la stratégie de gestion de la sécurité de l’information. S’il y a débat concernant le contenu de la politique, alors celui-ci persistera lors de tentatives suivantes de la renforcer, ce qui aurait pour conséquence de rendre le programme dysfonctionnel.
Confidentialité et télésurveillance d’épreuves en ligne
Un élément important à considérer lorsque l’on traite des données personnelles est la proportionnalité: la fin justifie-t-elle les moyens ? Lorsqu’il est question de télésurveillance d’épreuves en ligne, la confidentialité est un enjeu majeur. Les images vidéo font partie d’une catégorie à part dans les directives européennes de la protection des données. Spécifiquement, elles sont considérées comme des données personnelles sensibles. Par exemple, les images vidéo pourraient être utilisées pour repérer des informations médicales (ex. « porte des lunettes »), la couleur de la peau et l’origine ethnique. Il convient de tenir compte de la proportionnalité au cas par cas. Or, il est presque certain que le fait d’utiliser la télésurveillance en ligne pour tous les examens et pour tous les étudiants ne respecte pas la proportionnalité.
De plus, l’accord des étudiants est évidemment un préalable au traitement de leurs données. Cet accord doit être donné librement et un étudiant devrait pouvoir refuser sans subir des conséquences négatives. Si les étudiants dépendent de leur établissement, alors on ne peut pas considérer que leur consentement soit libre. Les institutions doivent être très vigilantes par rapport à cela et ne devraient en aucun cas pénaliser les refus. La télésurveillance d’épreuves en ligne doit rester optionnelle et une alternative gratuite doit être proposée aux étudiants.
Les institutions doivent aussi s’assurer que leurs demandes de permission sont aussi claires que possible. En particulier, elles doivent spécifier : quelles données seront traitées, dans quel but, qui y aura accès, la durée de stockage, et ce qu’il en adviendra après traitement. Ces informations doivent être formulées de façon claire et sur la même page où l’étudiant accorde sa permission. Il ne convient pas de dissimuler ces informations, ni de les faire figurer dans une déclaration de confidentialité.
Enfin, les institutions doivent avoir des exigences strictes quant au stockage et au traitement des données personnelles. Il est important de souligner que des exigences encore plus strictes régissent le stockage et le traitement des images vidéo.
Directive européenne de protection des données
Cette nouvelle série de règles établie par l’UE poursuit deux objectifs : permettre le contrôle des données personnelles par les citoyens, et simplifier l’environnement réglementaire pour les entreprises. La réforme de la protection des données personnelles est un outil clé du « marché unique numérique » auquel la Commission a accordé la priorité. La réforme permettra aux citoyens européens et aux entreprises de bénéficier pleinement de l’économie numérique. Néanmoins, avec les progrès rapides d’internet, la notion de protection des données reste forcément imprécise. Pour cette raison, les bonnes pratiques recommandent une approche plus conservative en ce qui concerne l’utilisation des données qui pourraient relever de la législation (1).