Au cours des deux années écoulées depuis la date d’entrée en vigueur du RGPD le 25 mai 2018, ou du règlement général sur la protection des données, les organisations ont dû ajuster leurs pratiques de capture et de stockage des données, divulguer quelles informations seront collectées et pourquoi, et la transparence dans la manière dont ces données sera utilisé. Cette loi fournit des protections aux personnes de l’Union européenne (UE) ou de l’Espace économique européen (EEE) au sujet de leurs PII ou informations personnellement identifiables, et fait explicitement référence aux employeurs.

Pourtant, dans les conversations avec un large éventail de personnes dans tout l’écosystème d’apprentissage – des concepteurs pédagogiques au stratège d’apprentissage en passant par les administrateurs du système de gestion de l’apprentissage – peu de gens savaient ou croyaient que les dispositions du RGPD s’appliquaient à ce qu’ils font.

Fait: les dispositions du RGPD s’appliquent au L&D

Parmi ceux qui ont été confrontés à cette situation, il y a Nancy McMonigal, directrice, Sciences de la vie et soins de santé, chez Bluewater Learning. Elle a déclaré que « les organisations, en particulier en Allemagne, ne peuvent pas ajouter Google Analytics à leur LMS ou à d’autres systèmes, en conséquence directe du RGPD. » De nombreux professionnels de la formation utilisent le code de suivi Google Analytics dans leurs systèmes de gestion de la formation, mais cela pourrait constituer une violation de la loi.

Quels autres outils courants pourraient également nécessiter une divulgation ou éventuellement être abandonnés? Les vidéos YouTube et les conférences de Ted pourraient nécessiter un second regard. Assurez-vous que vos apprenants ont accepté et comprennent que des informations sont collectées, non seulement au sein du LMS et de votre entreprise… mais aussi avec ces tiers, et éventuellement d’autres parties externes. Par exemple, de nombreux sites Web incluent un «pixel Facebook» – le site Web de votre propre entreprise pourrait très bien le faire. Vos apprenants savent-ils quelles données sont collectées, pourquoi et comment elles seront utilisées? Si vous faites la promotion ou exigez la consommation de ce contenu, la responsabilité et la responsabilité pourraient s’étendre à votre entreprise pour toute violation des conditions du RGPD.

Qu’en est-il des cours développés spécifiquement pour votre entreprise?

Eh bien, avez-vous des évaluations? Suivez-vous les réponses? Ou qu’en est-il de la durée d’un cours, de l’endroit où les gens cliquent ou de l’historique des réponses? Qu’en est-il des nombreux points de données actuellement collectés via xAPI?

Pour rester dans les limites du RGPD, soyez transparent sur ce que vous mesurez et comment, demandez aux employés de s’inscrire et n’utilisez les données collectées que de la manière dont vous l’avez dit. Il est tentant, une fois que vous disposez de données, de vouloir évaluer d’autres tendances ou perspectives potentielles. Cependant, comme le souligne Anna Rose Leach, associée en enseignement diplômée et doctorante à l’Université de l’Arizona et anciennement analyste senior en analyse de données et en rapports à l’Ohio State University, «Une fois que vous commencez à regarder au-delà des analyses fournies et à regarder l’intention , vous modifiez l’intention des données. »

En d’autres termes, une fois que vous allez au-delà de ce que vous avez explicitement divulgué était votre objectif en collectant les données, vous avez violé le RGPD. Autrement dit, une fois que vous commencez à attribuer un sens et un objectif – un «pourquoi» – aux données, vous êtes allé au-delà de ce que l’individu a consenti à partager. En outre, lorsque les données sont utilisées pour une analyse différente de ce qui était initialement prévu, la loi a été enfreinte.

Suppression de données

Selon les termes du RGPD, on peut demander que ses informations personnelles soient supprimées des archives d’une entreprise. Boris Khazin, responsable des services GRC (Gouvernance, Risque et Conformité) pour la division Business Information Solutions Practice à l’EPAM, déplore que «la suppression des données soit la grande peur des entreprises».

Les entreprises fonctionnent avec des données et l’apprentissage a également ressenti la pression d’augmenter leur dépendance aux données. L’apprentissage, avec les RH, utilise les données pour éclairer les décisions, les promotions et pour développer des parcours d’apprentissage qui correspondent aux performances de l’entreprise. Pourtant, lorsque des données doivent être supprimées, cela déforme les résultats et pourrait conduire à de mauvaises décisions fondées sur des ensembles de données incomplets.

Il est impératif de disposer d’un plan pour gérer cette suppression de données, au-delà de la suppression physique des données du LMS lui-même. Données historiques, rapports historiques, différences entre les nouveaux rapports et les rapports plus anciens en raison de la suppression de données, tous doivent être pris en compte.

L’apprentissage doit également tenir compte de la disposition de l’article 22 (1) limitant les «décisions automatisées», qui se traduisent par un «effet significatif[s] sur les individus. » Les possibilités d’emploi s’inscrivent parfaitement dans cette limite. Lors de la création de parcours d’apprentissage et d’apprentissage adaptatif, nous devons veiller à ce que ceux-ci ne limitent pas les opportunités pour cette personne, ou pour celles qui ne sont pas engagées dans un chemin particulier, d’être considérées pour des promotions ou une rétention. La conception humaine des chemins à l’avance n’est pas considérée comme suffisante… et l’utilisation de l’intelligence artificielle pour formuler complètement des recommandations de cours serait probablement suspecte.

Travail à domicile

En 2020, avec la transition rapide entre le travail à domicile et le travail à distance en raison de la pandémie de COVID-19, les professionnels de l’apprentissage ont joué un rôle de premier plan dans la mise à niveau ou la requalification des employés pour s’adapter à cette nouvelle situation. Parmi les nombreuses priorités concurrentes de cette transition, il faut aider les employés à comprendre à quel point il est essentiel de se conformer aux exigences du RGPD et comment le faire efficacement.

Bon nombre des problèmes en jeu ont été traités simplement par des procédures de sécurité dans les bureaux, des serrures sur les portes au travail du service informatique. Désormais, avec les employés distants, de nouveaux risques et exigences importants doivent être gérés par tous les employés à tous les niveaux de l’organisation.

Le site Web GDPR.EU note:

Le considérant 83 stipule essentiellement que les données à caractère personnel doivent être protégées à la fois en transit et au repos. Les données sont en transit à peu près chaque fois que quelqu’un y accède. Les données passant des serveurs de ce site Web à votre appareil sont un exemple de données en transit. D’autre part, les données au repos font référence aux données stockées, comme sur le disque dur de votre appareil ou sur une clé USB.

Les deux clés pour maintenir la protection des données lorsque vos équipes travaillent toutes à distance sont le cryptage et le contrôle de l’accès.

De nombreux cours eLearning ont été déployés pour résoudre des problèmes tels que l’utilisation du réseau privé virtuel (VPN) de l’entreprise, l’authentification à deux facteurs et les changements de mot de passe réguliers. Cependant, autant de problèmes ont-ils été développés pour résoudre des problèmes au-delà de ces étapes technologiques?

«L’orientation de l’écran d’un employé lorsqu’il travaille à domicile peut facilement entraîner une violation du RGPD», a noté M. Khazin. Par exemple, «Que se passe-t-il s’il y a quelqu’un d’autre dans la maison qui non seulement peut voir les données PII à l’écran, comme les scores d’une évaluation de l’apprentissage, puis que ce colocataire prend une photo et, pire, la publie sur les réseaux sociaux. Peut-être que les données se trouvent juste à l’arrière d’un selfie, mais cela constitue une violation flagrante du RGPD. »

Doit-on s’inquiéter?

Le litige pré-COVID comprend Google condamné à une amende de plus de 68,4 millions de dollars pour les violations du RGPD en Belgique, en Suède et en France. Pourtant, ce ne sont pas seulement les grandes entreprises qui encourent des amendes. Des amendes ont été appliquées à une personne pour avoir publié une vidéo sur YouTube qui contenait des plaques d’immatriculation.

Le site GDPR.EU traite spécifiquement du travail à domicile et du fait que les employés doivent être formés pour se conformer à la réglementation dans ce nouvel environnement. La pandémie n’excuse pas la conformité. Les professionnels de tous les domaines de l’apprentissage et du développement doivent aider chacun dans l’entreprise à comprendre les enjeux et comment s’y conformer.

Par exemple, les cours de travail à domicile (WFH) doivent couvrir:

  • Comment protéger et détruire ultérieurement les impressions contenant les données des employés
  • Ce qui peut et ne peut pas être enregistré ou accessible sur un ordinateur ou un appareil domestique partagé
  • Faut-il télécharger ou enregistrer, même temporairement, des rapports ou des données d’employés sur un appareil domestique ou personnel?
  • Politiques de l’entreprise sur l’effacement à distance des appareils, y compris s’il s’agit d’un appareil personnel, peut-être familial
  • Quelle est la sécurité des données des outils de visioconférence et de toute intégration avec un LMS, des téléchargements de chat, de l’enregistrement et / ou de la publication, et comment assurer le respect de toute demande de quelqu’un à oublier dans les années à venir

Conclusion

Le RGPD a eu un impact significatif sur la manière dont les entreprises collectent et utilisent les données. Cela a également aidé les individus à se concentrer sur leurs propres préoccupations en matière de confidentialité des données et les a rendus plus intentionnels dans les données qu’ils collectent et pourquoi. La capture et l’utilisation accrues des données par les équipes d’apprentissage s’accompagnent d’une responsabilité accrue d’être transparent sur les données qui seront collectées, comment elles seront utilisées et comment elles seront sauvegardées. Le travail à distance ayant un impact sur tant de personnes, les professionnels de l’apprentissage sont au centre de la formation des employés non seulement pour être conformes, mais aussi pour devenir des praticiens et des défenseurs des données en toute sécurité.

Voyons ce que les deux prochaines années apporteront.

Envie d’en savoir plus?

Demander l’approbation pour un cours gratuit de l’EPAM.