En septembre 2020, l’International Digital Accountability Council (IDAC) a publié les résultats d’une enquête sur les problèmes de confidentialité des applications ed tech et la nécessité d’améliorer la confidentialité et la sécurité de ces applications (« Considérations relatives à la confidentialité alors que les écoles et les parents développent l’utilisation des applications Ed Tech pendant la pandémie COVID-19”).
Cette enquête porte sur les préoccupations des organisations éducatives, mais il y a un chevauchement des préoccupations avec notre public pour Solutions d’apprentissage, principalement des praticiens du eLearning travaillant dans des entreprises et des organisations gouvernementales.
Le 3 septembre 2020, j’ai parlé avec Quentin Palfrey, président de l’IDAC, de l’enquête et de sa possible relation avec des préoccupations similaires Solutions d’apprentissage les lecteurs peuvent avoir.
Bill Brandon: Comment voyez-vous les résultats de votre enquête sur les pratiques de confidentialité des applications ed tech liées à Solutions d’apprentissage les lecteurs qui sont principalement des concepteurs pédagogiques et des gestionnaires de l’éducation et de la formation en ligne pour les entreprises et les organisations gouvernementales?
Quentin Palfrey: Certaines des leçons que nous avons apprises en regardant les applications ed tech qui font partie de l’univers que nous avons étudié sont applicables. Plus généralement, il y a probablement un chevauchement entre certaines des applications que nous avons examinées et certains des sujets qui intéressent vos lecteurs.
Il serait utile de commencer par décrire le processus que nous avons suivi pour déterminer quelles applications entraient dans le cadre de cette étude. Cela peut se concentrer sur cette question du chevauchement des sujets.
BB: Ce serait très utile. Je vous remercie.
QP: L’une des choses que nous cherchions à faire était de contribuer à la conversation concernant l’augmentation spectaculaire de l’utilisation des outils d’apprentissage à distance qui a été précipitée par la pandémie dans le contexte de la maternelle à la 12e année. Cela oblige de nombreux parents à se débattre avec quelque chose qui ressemble beaucoup à l’école à la maison. Et pour les enseignants, il s’agit d’un cours intensif pour apprendre à fournir divers outils à leurs élèves qui les aideront à compléter les autres éléments traditionnels du programme dans un monde où ils ne sont pas physiquement au même endroit aussi souvent, voire pas du tout. Et pour les districts scolaires, cela a nécessité des tentatives assez rapides de refonte de leur programme.
Nous avons examiné des applications d’apprentissage assez largement définies dans deux environnements: le Google Play Store et l’App Store d’Apple. En discutant avec certains éducateurs des outils qu’ils ont trouvés utiles, et en effectuant également certaines de nos propres recherches manuelles, nous avons trouvé cet univers d’applications qui sont pertinentes pour l’apprentissage à distance mais qui ne se limitent pas à l’ensemble d’outils supplémentaires qui, par exemple, un grand district scolaire qui a un processus d’achat officiel pourrait utiliser. C’est un peu plus large que ça. Ensuite, nous avons examiné ceux qui utilisent deux techniques. La première technique était un processus manuel, qui est un peu plus intensif. Nous avons examiné 98 applications uniques. C’est un peu plus compliqué que cela, car il y a un certain chevauchement entre les applications qui étaient sur l’environnement Android et sur l’environnement Apple. Nous sommes passés par ce processus, en téléchargeant essentiellement les applications sur les appareils et en interagissant avec eux de nombreuses façons dont les utilisateurs interagissent généralement. Nous avons également examiné notre univers plus large d’applications via un processus automatisé et le processus automatisé simule certaines des façons dont l’utilisateur interagirait généralement avec une application. C’est un peu moins complet mais cela nous donne quelques tendances. En examinant ces deux approches, nous avons pu identifier certains endroits où des applications particulières ne répondaient pas aux meilleures pratiques liées à la confidentialité et à la sécurité, et également dégager des tendances et des recommandations quant aux risques qui existent dans cet écosystème.
BB: Ces 98 applications, je suppose que je pourrais les caractériser comme des applications destinées à la livraison et à l’interaction entre un instructeur ou du matériel pédagogique et des apprenants, est-ce exact? Ceux-ci ne sont pas utilisés pour le développement de contenu, par exemple.
QP: Ils sont un peu plus larges qu’une simple sorte d’aides pédagogiques. Je pense que dans certains cas, ce sont des applications qu’un utilisateur pourrait utiliser pour son propre développement éducatif. Nous y avons pensé comme une combinaison d’applications qui se décrivent comme des applications éducatives, des applications qui étaient des applications de classe virtuelle, divers types de contenu éducatif, divers types d’applications d’apprentissage des langues, des jeux d’apprentissage, des applications de bibliothèque ou de lecture. Des outils de communication d’équipe qui ont été déployés dans le cadre de l’apprentissage à distance. Nous avons donc essayé d’avoir une ouverture assez large en termes de portée.
BB: Pensiez-vous du tout à Exigences du RGPD? C’est une préoccupation de l’Union européenne et une préoccupation valable, mais je ne sais pas dans quelle mesure vous envisagiez les choses.
QP: Si strictement intéressés par une étude internationale, nous avons examiné les applications à travers les pays, et nous gardions à l’esprit les exigences du RGPD et dans un certain nombre d’autres pays. Nous sommes également intéressés par le respect des conditions de service des plates-formes elles-mêmes. Dans de nombreux cas, les conseils qu’Apple fournira aux développeurs sont beaucoup plus spécifiques que la jurisprudence juridique de la juridiction où les applications sont proposées. Savoir ce qui enfreint ou non la charte ou les pratiques commerciales trompeuses dans le contexte de certains États américains ou de la compétence de la Federal Trade Commission est une question, mais il y a un certain nombre de choses qui peuvent être considérées comme inappropriées dans le contexte des conditions de service de , disons, le Google Play Store ou l’App Store d’Apple. Ils peuvent ne pas atteindre le niveau d’une violation réelle, par exemple, du RGPD ou d’une autre norme juridique, mais ce serait quand même le genre de chose que nous considérerions comme préoccupant et que nous évoquerions dans cette étude.
BB: Dans le communiqué de presse initial que j’ai reçu au sujet de cette étude, il y avait cinq domaines spécifiques qui ont été cités comme préoccupations. Par exemple, ceux dont j’ai pris note avaient à voir avec sur-collecte d’informations sur les utilisateurs et les identifiants persistants, les interruptions de partage de données par des tiers en contournant les améliorations de la confidentialité et l’inclusion d’analyses publicitaires et de médias sociaux. Ce sur quoi je voudrais me concentrer dans vos conclusions sont celles que vous avez trouvées les plus inquiétantes. Ils sont tous préoccupants dans une certaine mesure, mais qu’y a-t-il en haut de votre liste?
QP: Oui, si vous regardez l’écosystème dans son ensemble, je pense que la plus grande préoccupation est la grande quantité de collecte de données et de partage de données par des tiers que les utilisateurs ne voient pas et ne peuvent pas contrôler et ne peuvent pas choisir en dehors. Nous avons trouvé des cas où il y avait une collection d’informations de géolocalisation, où il y avait l’utilisation d’identifiants persistants – où une personne spécifique se trouvait à un moment précis. Et c’est assez sensible.
Lorsque cela est partagé avec des tiers, il y a un problème ultérieur concernant la perte de contrôle de ces informations. Le problème en ce qui concerne les candidats au développement logiciel est que les SDK (kits de développement logiciel) sont très couramment utilisés dans le codage et qu’ils ne constituent pas à première vue une pratique inappropriée. Lorsque les développeurs codent des applications, ils prennent souvent tout à partir de zéro et travaillent souvent des morceaux de code à partir d’autres domaines de ce code, fournissent souvent des fonctionnalités utiles pour les utilisateurs, y compris les travailleurs.
Nous sommes dans une préoccupation constante dans le contexte de la technologie électronique où il n’y a pas de concordance entre la fonctionnalité fournie par ce code et l’expérience utilisateur. Donc, le code, s’il fournit des outils auxquels l’utilisateur pourrait raisonnablement s’attendre si le code est utile. À des fins de publicité ou d’analyse ou pour le partage avec des sociétés de médias sociaux pour l’expérience utilisateur, cela s’accompagne parfois des problèmes de confidentialité correspondants, lorsque le SDK peut collecter des informations qui peuvent ne pas fournir d’avantages utilisateur pertinents. Le contexte compte vraiment dans ce que l’utilisateur pense obtenir, la direction de l’application compte vraiment.
Mais au fond, s’il y a beaucoup d’informations collectées, beaucoup d’informations partagées avec des tiers, et que l’utilisateur ne le sait pas et ne peut rien y faire, cela commence à créer des risques pour la confidentialité. Les risques pour la sécurité sont également réels. Les risques de sécurité que nous avons constatés étaient principalement liés à l’inclusion d’informations sensibles dans les requêtes URL. Si vous avez l’URL et qu’elle comprend des informations sur le nom ou l’adresse e-mail ou l’emplacement de l’utilisateur, ou si elle comprend un identifiant pouvant être lié à l’utilisateur, cela crée le risque que vous ayez des informations qui se retrouvent entre d’autres mains. n’étaient pas destinés. C’est une mauvaise pratique de codage et nous recommandons aux gens d’éviter afin de protéger les informations des utilisateurs.
Il y avait donc une combinaison de problèmes de confidentialité et de sécurité. Je tiens à dire une chose générale, c’est que dans l’ensemble, nous étions généralement satisfaits du fait que de nombreuses applications d’apprentissage intégraient des fonctionnalités améliorant la confidentialité dans la conception de leurs applications. Dans l’ensemble, nous avons pensé que ce que nous avons vu parmi ces applications était encourageant, et nous y arrivons certainement dans le but d’essayer de faciliter cet ensemble d’outils vraiment essentiel dans le paysage de travail. Nous ne voulons certainement pas que les gens extrapolent à partir de nos conclusions que nous sommes profondément préoccupés par cet environnement. Nous identifions certaines préoccupations qui devraient être abordées par les développeurs, par les plates-formes, par les régulateurs, par les universitaires, par les groupes industriels afin de nous permettre à tous de profiter de ces outils. Notre objectif final est d’en faire un environnement digne de confiance dont tout le monde peut bénéficier.
BB: Comment les pratiques des praticiens de l’apprentissage dans l’entreprise ou au sein du gouvernement devraient-elles changer? Y a-t-il des tendances dont les lecteurs devraient être conscients?
QP: Oui, permettez-moi de vous faire part de quelques suggestions et d’une tendance.
Les développeurs doivent se concentrer sur la confidentialité dès la conception et la minimisation des données lorsqu’ils créent ces œuvres. Une grande partie du comportement que nous constatons et qui est préoccupant est le résultat de pratiques de codage qui pourraient être modifiées assez facilement et qui ont pour effet de fournir un contenu éducatif de valeur sans le prix. Je pense que l’éducation des développeurs est la clé pour s’assurer que moins d’informations sont collectées et partagées avec des tiers.
Il en va de même pour les pratiques de sécurité. Certains des risques de sécurité peuvent être corrigés assez facilement en suivant de bonnes pratiques de codage et des protocoles de sécurité. Nous devrions essayer d’aider à donner aux développeurs une formation et des outils, des pratiques. Je pense que d’autres acteurs devraient insister sur certains d’entre eux. Les consommateurs devraient insister sur le fait qu’il existe de bonnes pratiques, mais les plateformes, les régulateurs et les vendeurs devraient également examiner leurs pratiques et insister pour que les développeurs adhèrent aux bonnes pratiques. Les codeurs peuvent utiliser des kits de développement logiciel en particulier avec plus de soin, ce qui aura pour effet de minimiser certains des risques liés à la collecte de données et à la confidentialité. Je pense que c’est un domaine d’attention.
Quelles tendances nous préoccupent? Une des choses que je mentionnerais et qui nous préoccupe et qui mérite plus d’attention est cette tendance au pontage d’identité. Le pontage d’identification peut être mieux compris en sachant qu’il y a quelques années, une fonctionnalité de confidentialité était incluse dans les principales plates-formes, ce qui permet à un utilisateur de réinitialiser l’identifiant qui lui est associé à des fins publicitaires. Les annonceurs collectent donc des profils sur les utilisateurs au fil du temps, et il existe cette fonctionnalité de confidentialité qui vous permet de réinitialiser l’adresse IP sans remplacer l’ID de votre appareil. Le pontage d’identifiant est un moyen de partager à la fois l’identifiant réinitialisable associé à l’appareil à des fins publicitaires, puis l’identifiant non réinitialisable en même temps. Si le consommateur réinitialise l’identifiant publicitaire, les informations passées et les informations prospectives peuvent être reliées, contournant ainsi les actions de protection de la vie privée du consommateur. Cette pratique, connue sous le nom de pontage des identifiants, est interdite par les politiques de développement de Google et constitue un moyen de contribuer à la mise en œuvre de cette bonne confidentialité.
Mais nous voyons la pratique de la transition d’identité se produire assez fréquemment, non seulement dans l’environnement d’apprentissage, mais aussi plus largement que cela. C’est un domaine qui semble contourner certaines des mesures que les professionnels de la protection de la vie privée et les décideurs ont tenté de mettre en pratique pour s’assurer que les consommateurs disposent d’outils pour se protéger. J’aimerais voir une plus grande élimination de cette pratique et des mesures plus importantes mises en place pour empêcher le contournement de ces principes.
Vous voulez plus d’informations sur ce sujet?
La confidentialité et la sécurité sont de plus en plus préoccupantes! Dans cette section de commentaires, veuillez partager votre intérêt et vos besoins pour plus d’informations sur la réglementation (internationale et régionale) de ces questions. La guilde d’apprentissage utilisera ces informations pour planifier le contenu et la recherche futurs.