
Le «Center for Information Technology, Society, and Law» (ITSL) a réalisé, sur mandat d'Educa, une évaluation juridique sur le thème de la «réutilisation des données dans le domaine de la formation». Samuel Mätzler – qui a travaillé à l'ITSL – explique dans un entretien avec Tobias Schlegel ce que signifie la réutilisation des données. Il décrit comment celle-ci est liée au principe de finalité de la protection des données. Samuel Mätzler montre en outre des pistes pour qu'une réutilisation des données soit possible dans le cadre de la protection des données en vigueur. Dans ce contexte, il aborde également les défis juridiques liés à l'anonymisation des données.
Le podcast est disponible sous licence Creative Commons CC BY-NC-ND.
Résumé du podcast en français
En préambule, Samuel Mätzler souligne que les données peuvent être répliquées pratiquement gratuitement et qu'il existe donc un grand potentiel pour la réutilisation des données déjà existantes. D'un point de vue juridique, on entend par «réutilisation des données» le traitement ultérieur de données personnelles à des fins autres que celles pour lesquelles elles ont été collectées à l'origine. La protection des données connaît le principe de la limitation de la finalité, afin de protéger les personnes contre l'utilisation de leurs données à des fins différentes de celles pour lesquelles elles ont été collectées. Dans le système éducatif, majoritairement public, la limitation de la finalité signifie également que tout traitement de données nécessite une base légale, par exemple dans une loi scolaire. Ces bases légales peuvent être très larges, notamment dans le contexte de la formation. Les traitements de données sont alors souvent autorisés pour remplir la mission éducative. Le défi pour la réutilisation des données consiste donc à déterminer quelles finalités du traitement de données relèvent encore de cette définition large de la finalité. Pour ce faire, il convient d'effectuer une évaluation séparée de chaque cas.
Réutilisation des données à des fins personnelles
Afin d'évaluer de tels cas concrets, l'ITSL a étudié la réutilisation des données dans différents cas d'application. Selon Samuel Mätzler, un cas d'application envisageable serait un système d'apprentissage assisté par l’intelligence artificielle qui proposerait des offres d'apprentissage individualisées à chaque élève. Cependant, cela nécessite la réutilisation d'une multitude de données entrées par les élèves dans ce système, par exemple en résolvant des devoirs. Pour pouvoir utiliser ces données afin d'individualiser le système d'apprentissage, une école ou une administration doit donc vérifier si cette finalité est conforme ou compatible avec la finalité initiale ou s'il existe un changement de finalité. Pour Samuel Mätzler, c'est également l'un des principaux messages du rapport: on ne peut pas utiliser les données à n'importe quelle fin, simplement parce que l'on dispose des données. Le traitement de données doit toujours être évalué en fonction de sa conformité avec les obligations d'une école ou d'une administration. Comme le cercle des traitements de données autorisés est large en raison des bases légales souvent étendues pour les écoles et les administrations, ces dernières devraient souvent rencontrer des situations dans lesquelles elles peuvent réutiliser les données.
Réutilisation des données par des tiers
Samuel Mätzler estime que la situation est plus complexe lorsque les données sont communiquées à des tiers en vue d'une réutilisation, car une base légale est généralement nécessaire. Une réutilisation pourrait servir à la recherche, à la planification ou la production de statistiques. L'ITSL recommande de se baser sur la possibilité d'un «traitement des données à des fins ne se rapportant pas à des personnes». Ce traitement est autorisé lorsque les résultats ne présentent plus de lien avec la personne. Comme il n'est pas possible de tirer des conclusions sur l'individu, le respect du principe de finalité est également supprimé. Concernant la réutilisation des données, l'ITSL recommande par ailleurs de rendre celles-ci systématiquement anonymes. En supprimant de manière irréversible la référence à la personne, ces données ne sont plus soumises à la loi sur la protection des données. Toutefois, comme le souligne Samuel Mätzler en conclusion, l'anonymisation des données dans le contexte du «big data» est techniquement très exigeante.
Avez-vous manqué les précédents épisodes?
Retrouvez l'ensemble des épisodes de la série de podcasts «Données dans l'espace numérique de formation» en un seul endroit.