ScoDoc et le règlement général sur la protection des données (RGPD) de l'UE

ScoDoc est un logiciel libre livré sans aucune garantie. Il revient aux établissements utilisateurs de s'assurer que leurs pratiques respecte la réglementation en vigueur dans leur pays.

Un certain nombre de fopnctionnalités de ScoDoc aide ses utilisateurs à respecter le règlement général sur la protection des données (RGPD) européen, décrit entre autres sur la page de la CNIL.

Délégué à la protection des données (DPO)

Le panneau de configuration général de ScoDoc, accessible uniquement au super-administrateur, permet de saisir le champ "coordonnées du DPO" est un texte libre, qui est affiché tel quel sur la page À propos, accessible à tous les utilisateurs.

Accès aux données personnelles des étudiants

Le RGPD impose que les accès aux données personnelles (des étudiants, dans notre cas) soient restreints à ce qui est réellement nécessaire au travail de chaque utilisateur.

ScoDoc définit des rôles et permissions (voir les pages rôles et permissions et liste des permissions), et calcule aussi des autorisations contextuelles (par exemple, un utilisateur avec le rôle "Ens" qui est responsable de semestre pourra effectuer plus d'opérations sur ce semestre particulier qu'un enseignant standard).

Données personnelles

Concernant la protection des données personnelles des étudiants, la permission EtudViewData est particulièrement intéressante: elle protège l'accès à certains champs:

• annotations (saisies sur la fiche de l'étudiant)
• boursier
• nationalité
• emailperso
• domicile
• codepostaldomicile
• villedomicile
• telephone
• telephonemobile
• fax

(voir aussi la page sur la gestion des adresses).

Par défaut, les enseignants (rôle Ens) ont la permission EtudViewData. Vous pouvez leur retirer via le panneau de configuration, page Définition des rôles et permissions:

et créer un rôle spécifique pour les collègues habilités à accéder aux données personnelles des étudiants.

Photos

Les photos des étudiants sont protégées par la permission EtudViewPhoto ("Voir les photos des étudiants"). Cette permission donne accès aux photos dans les fiches, listes et trombinoscopes.

Les exports de trombinoscopes au format PDF ou document bureautique contiennent des photos associées aux identités des étudiants. ScoDoc affiche donc une page d'avertissement avant le téléchargement de ces fichiers, rappelant que l'usage doit être professionnel, temporaire, protégé contre les accès non autorisés, et que le fichier doit être effacé lorsqu'il n'est plus nécessaire.

Comme pour EtudViewData, il est recommandé de n'attribuer EtudViewPhoto qu'aux utilisateurs qui en ont réellement besoin (sauf politique locale contraire, les enseignants et secrétariat ont un besoin légitime des photos).

Avertissements

Certains exports sensibles déclenchent une page de confirmation avant le téléchargement. C'est notamment le cas :

• de l'export complet des données étudiants au format tableur ;
• des trombinoscopes exportés en PDF ou document bureautique (doc).

Ces avertissements ne remplacent pas une politique de sécurité : ils rappellent à l'utilisateur que les fichiers téléchargés doivent rester sous son contrôle, ne pas être diffusés sans nécessité, et être supprimés dès qu'ils ne sont plus utiles.

Pseudonymisation des anciennes données

Le RGPD impose de limiter la conservation des données personnelles à la durée nécessaire aux finalités du traitement. Les établissements doivent donc définir leur propre politique de conservation : durée de conservation des données étudiantes nominatives, finalités statistiques, personnes habilitées, modalités de sauvegarde et d'effacement.

ScoDoc fournit un script Python/SQL d'aide à la pseudonymisation des anciennes données : tools/anonymize_db.py. Il peut être utilisé par exemple lors d'une opération de fin d'année, après sauvegarde, pour supprimer ou remplacer certaines données personnelles tout en conservant un historique scolaire exploitable pour les statistiques.

Ce traitement n'est pas une anonymisation irréversible au sens strict : il conserve volontairement des éléments de parcours, d'inscriptions, de notes et de validations afin de permettre le suivi de cohortes, les taux de réussite et les statistiques pédagogiques. La base obtenue doit donc être considérée comme pseudonymisée et rester protégée.

Avant toute exécution en production, il est recommandé de :

1. arrêter le serveur ScoDoc et les traitements susceptibles d'écrire dans la base ;
2. effectuer et vérifier une sauvegarde complète ;
3. tester avec l'option --dry-run ;
4. contrôler le nombre d'étudiants sélectionnés, les semestres concernés et les archives signalées ;
5. exécuter le traitement réel selon la politique de conservation retenue ;
6. supprimer séparément les archives listées par le manifeste produit.

Exemple de simulation :

cd /opt/scodoc
tools/anonymize_db.py --dry-run --users --before 2020-01-01 NOM_BASE

Exemple de traitement réel des étudiants dont la dernière inscription est dans un formsemestre terminé avant la date indiquée :

# Vous êtes connecté comme utilisateur scodoc
cd /opt/scodoc
tools/anonymize_db.py \
  --users \
  --before 2020-01-01 \
  --archives-file /tmp/archives-a-supprimer.txt \
  SCODOC
# Puis supprimer les fichiers externes (hors base SQL): photos, documents divers
tools/delete_anonymized_archives.sh /tmp/archives-a-supprimer.txt

Les options permettent aussi de traiter les anciens comptes utilisateurs inactifs (--users --before DATE) ou, dans des cas particuliers, tous les utilisateurs (--all-users). Le script affiche en fin de traitement le nombre d'étudiants pseudonymisés, les semestres concernés et les archives à supprimer.

Pour le détail des options, des données traitées et des limites de pseudonymisation, voir la page Anonymisation et pseudonymisation d'une base ScoDoc.

Résumé: respecter le RGPD avec ScoDoc

En résumé, en Europe, l'administrateur doit:

• Indiquer les coordonnées du DPO de l'établissement (panneau de configuration global)
• Suivant la politique de l'établissement, créer des rôles supplémentaires avec permissions EtudViewDataet/ou EtudViewPhoto, et éventuellement retirer ces permissions aux rôle Ens standard (si l'on souhaite que tous les enseignants n'accèdent pas aux données ou photos).
• En fin d'année, suivant le délais de conservation défini localement, faire une sauvegarde et lancer les scripts de nettoyage:

tools/anonymize_db.py \
  --users \
  --before 2020-07-31 # <<< adapter la date \
  --archives-file /tmp/archives-a-supprimer.txt \
  SCODOC
tools/delete_anonymized_archives.sh /tmp/archives-a-supprimer.txt

Rappel: la date à indiquer est celle de fin du dernier semestre dont on veut anonymiser les étudiants.

Pour plus d'information sur ces scripts, voir la page technique dédiée.

Voir aussi

• Données personnelles pour l'étudiant
• Gestion des adresses
• Rôles et permissions
• Liste des permissions
• FAQ
• Contacts