Les outils de La Digitale sont-ils conformes au RGPD ?

par EZ
7 minutes
Les outils de La Digitale sont-ils conformes au RGPD ?

C'est une question qui revient beaucoup dans les échanges avec les utilisatrices et utilisateurs : les outils de La Digitale sont-ils conformes au RGPD ?

Même si des discussions sont en cours avec différentes instances éducatives françaises, les outils de La Digitale ne font l'objet d'aucune contractualisation avec les responsables du traitement des données de l'Éducation nationale, ce qui reste une condition nécessaire à une utilisation dans un cadre scolaire.

Voici toutefois quelques précisions à caractère informatif.

L'hébergement des données

Les outils de La Digitale sont hébergés en Suisse, chez Infomaniak. Depuis mes toutes premières expérimentations en ligne, j'ai toujours été fidèle à cet hébergeur et je n'ai jamais été déçu. Aucune raison de changer une équipe qui gagne.

Les données sont donc hébergées hors de l'UE (Voir Infomaniak et la protection de vos données personnelles).

Les cookies

La majorité des outils n'utilisent aucun cookie. Digipad, Digistorm et Digidoc, qui reposent sur les mêmes technologies, utilisent un cookie fonctionnel pour permettre la mise à jour en temps réel des contenus avec socket.io.

Digiplay est un cas particulier, car il utilise le domaine youtube-nocookie, un domaine officiel de YouTube, pour afficher les vidéos (intégration par l'intermédiaire d'une balise iframe) dans une interface épurée et sans distraction. Contrairement à ce que son nom indique, youtube-nocookie utilise des cookies, mais son utilisation semble conforme au RGPD.

Les données personnelles

Les données à caractère personnel collectées par La Digitale se limitent aux journaux d'accès aux serveurs, qui sont nécessaires au bon fonctionnement des services. La Digitale utilise 5 serveurs (1 serveur mutualisé et 4 serveurs virtualisés) localisés à Genève (Suisse).

Même si de nombreuses personnes sont habituées à créer des comptes avec leur adresse mail et à remplir des formulaires (voire à cliquer sur un lien dans un mail) avant de pouvoir utiliser un service numérique, ce principe n'est pas valable avec les outils de La Digitale.

Toutefois, des données à caractère personnel peuvent apparaître dans les contenus publiés, à travers l'utilisation de noms ou de pseudos, etc. La plus grande vigilance est recommandée lors de la publication de ce type de données par vous-même ou par les participants dans le cas d'activités collectives ou collaboratives.

Même si c'est un objectif à moyen terme, les contenus ne sont pas chiffrés de bout en bout à l'heure actuelle (sauf pour les mots de passe et réponses aux questions secrètes). Tous les domaines utilisés par La Digitale utilisent le protocole sécurisé https://.

Digiscreen et Digicard n'hébergent aucune donnée utilisateur et il n'y a aucune interaction avec le serveur. Le navigateur sert simplement d'interface de travail et d'affichage. Les contenus créés peuvent être téléchargés (format dgs pour Digiscreen et format dgc pour Digicard).

Digitools enregistre les contenus créés dans différentes bases de données SQLite et génère un lien admin et un lien pour diffusion publique. Aucun formulaire, aucun mot de passe, aucun moyen de retrouver son contenu si les liens ne sont pas pris en note lors de la création.

Digiquiz permet de publier en ligne des contenus H5P (fichiers .h5p). Ces contenus sont extraits et stockés dans un dossier spécifique sur le serveur de La Digitale. La Digitale n'a aucun moyen d'identifier la personne qui a publié les contenus. Les contenus sont stockés pour une durée maximale de 2 ans.

Digiwords et Digibunch utilisent un système de question secrète avec une réponse secrète. Aucun pseudo ou mot de passe à proprement parler n'est utilisé. Les contenus sont enregistrés dans une base de données SQLite. Là encore, La Digitale n'a aucun moyen d'identifier la personne qui a publié les contenus.

Digiplay propose de modifier l'interface de visionnage d'une vidéo YouTube à partir du lien de cette vidéo. Le lien et l'URL correspondante sont enregistrés dans une base de données SQLite.

Digilink repose sur le projet open source Shlink. Les liens raccourcis sont enregistrés sur un serveur hébergé chez Infomaniak et géré par La Digitale (dgxy.link) dans une base de données SQLite. Shlink enregistre la position de l'utilisateur à l'ouverture d'un lien raccourci, mais les données sont totalement anonymes (pas d'adresse IP).

Digidoc repose sur le projet open source Etherpad-Lite. Les données sont enregistrées dans une base de données PostgreSQL sur un serveur hébergé chez Infomaniak et géré par La Digitale. Pile de technologies : proxy inversé Nginx, serveur de fichiers Node.js et base de données PostgreSQL.

Digistorm propose un système simple de code et un mot de passe composé de 4 caractères généré automatiquement par le serveur. L'utilisateur ne renseigne aucune donnée personnelle pour accéder au service. Un champ de texte permettant d'indiquer un pseudo ou un nom est toutefois présent pour permettre aux enseignantes et aux enseignants d'identifier les apprenantes et les apprenants lors d'une session à distance. Les fichiers téléversés (images et fichiers audio) sont stockés sur un serveur hébergé par Infomaniak et géré par La Digitale. Pile de technologies : proxy inversé Nginx, serveur de fichiers Node.js (Express + Nuxt.js + socket.io) et base de données Redis.

Digipad est le seul outil permettant de créer un compte utilisateur. Pour la création de ce compte, il n'est pas nécessaire d'indiquer une adresse mail, simplement un identifiant composé de 3 à 24 caractères (lettres non accentuées ou chiffres), sans espace. Digipad ne peut donc envoyer aucun mail et ne transmet aucune notification. Un champ permettant d'indiquer un nom ou un pseudo est disponible dans l'espace utilisateur. Cette information n'est en aucun cas obligatoire. Les utilisateurs qui se connectent à un pad ne font l'objet d'aucun processus d'identification. Les contenus publiés par les utilisateurs sont stockés sur un serveur hébergé par Infomaniak et géré par La Digitale. Ils sont stockés pour une durée maximale de 2 ans. Pile de technologies : proxy inversé Nginx, serveur de fichiers Node.js (Express + Nuxt.js + socket.io) et base de données Redis.

Sauf mention expresse de noms dans les contenus publiés, La Digitale n'a aucun moyen de contacter ou de retrouver l'identité des utilisateurs. Ce principe fondamental est le moteur du projet depuis ses débuts en mars 2020.