Millionroads s’engage pour un traitement éthique des données personnelles sur les parcours scolaires et professionnels, au bénéfice de tous
Par Benoit Bonte — Co-fondateur et CEO -Millionroads
À l’ère de la digitalisation et de l’exploitation des données personnelles, l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 marque un point d’étape important en matière d’harmonisation des législations européennes. Un règlement qui, renforcé par la crise actuelle et la place toujours plus importante des outils digitaux et des usages accrus du numérique, montre combien la protection des données est plus que jamais un sujet d’actualité. L’arrivée du RGPD a eu pour effet de soulever des interrogations, parfois même des inquiétudes, sur les bonnes pratiques à adopter et sur le rôle qu’il est amené à jouer dans le paysage numérique européen.
Pour beaucoup, le RGPD se confond encore aujourd’hui avec l’interdiction de collecter des données personnelles sans le recueil du consentement assorti d’une information claire. Cela s’est traduit pratiquement sur le terrain des cookies, avec des bannières à l’entrée des sites dont l’impact et la pertinence restent à démontrer. Et cela, aussi bien au niveau de pratiques jugées (trop) intrusives, noyées dans les “petites lignes”, que de l’information et du comportement des utilisateurs, souvent pressés d’accéder au contenu.
Or, le RGPD encadre un ensemble plus vaste de traitements et notamment de collectes, qu’elles soient directes ou indirectes. Cela dans le respect de l’intégrité des individus, avec la vocation de leur redonner le contrôle sur leurs données personnelles, mais aussi la prise en compte des enjeux auxquels font face les organisations. Nous revenons dans cet article sur cette mesure phare de protection des données et sur la vision que Millionroads, en tant qu’éditeur de solutions numériques d’orientation et d’aide à la décision, prône pour une exploitation éthique et raisonnée des données personnelles.
RGPD : que faut-il savoir ?
Le RGPD pose un cadre réglementaire à l’échelle de l’Union Européenne qui rend responsable chaque organisation publique ou privée opérant un traitement de données personnelles devant la loi. Selon la CNIL (Commission nationale de l’informatique et des libertés), ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Mais comment se définit le traitement des données ? Selon le RGPD [1], un traitement de données personnelles est “une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement)”. Il peut être informatisé ou sur papier. Un traitement des données doit avoir une finalité qui lui est propre. C’est-à-dire qu’il n’est pas autorisé de traiter ni de collecter des données personnelles en prévision d’un éventuel besoin futur. Chaque traitement de données doit avoir un but précis, légal et légitime au regard de l’activité professionnelle de celui qui la collecte. Dans le cadre de son activité, une organisation peut être amenée à collecter des informations sur ses clients, que ce soit pour éditer une facture ou effectuer une livraison, ou sur ses employés, afin de gérer les paies ou encore les ressources humaines. Il s’agit précisément d’un traitement des données personnelles ayant pour finalité la gestion de la clientèle ou des ressources en interne. Il en va de même pour le secteur de l’éducation où les écoles et les organismes de formation ont des besoins similaires en matière de suivi de leur activité.
La CNIL est chargée de contrôler les organismes traitant des données personnelles en France et de sanctionner, en cas de manquement aux règles du RGPD. Hors du tribunal, elle seule possède la possibilité de contrôler, d’arbitrer et de juger la conformité d’un traitement. En aucun cas, des experts juridiques peuvent se substituer à son arbitrage. Les vérifications de la CNIL sont particulièrement encadrées et plusieurs entreprises en France ont déjà été sanctionnées. C’est le cas tout récemment par exemple de la société Spartoo, spécialisée dans la vente en ligne de chaussures, en août 2020 ou encore du géant américain Google en janvier 2019. Par ailleurs, l’idée selon laquelle une méthode de collecte directe avec consentement représenterait systématiquement un gage de pratique éthique ne se vérifie pas toujours. Par exemple, une application offrant aux étudiants une rémunération en échange de leurs données personnelles, s’est vue opposer en février 2020 la question fondamentale de l’éthique par une association de défense des internautes [2]. Cette dernière a saisi la CNIL afin d’engager une procédure de contrôle sur les pratiques de monétisation des données de l’application qui, selon elle, ne répondaient pas à toutes les exigences du RGPD en matière de consentement et s’adressait également à un public considéré comme “vulnérable”. Un traitement s’appuyant sur le consentement n’exonère pas son responsable de toute question éthique, notamment en ce qui concerne sa finalité.
Le RGPD propose donc un cadre, notamment en matière de collecte de données personnelles. Le transfert de responsabilité découlant de l’entrée en vigueur du RGPD impose aux acteurs une posture inédite. Pour autant, il ne s’agit pas d’appréhender ces dispositions comme un frein à l’innovation et aux usages, mais bien d’inscrire collectivement l’action des acteurs dans une perspective éthique de la mobilisation des données personnelles.
Data et pouvoir d’agir : tous concernés
L’analyse des données sur les parcours de formation et les trajectoires professionnelles des individus constituent un enjeu majeur en matière d’aide à la décision.
Pour les acteurs en charge des politiques publiques de formation et d’accompagnement, la data permet de renforcer le diagnostic et le pilotage des actions mises en œuvre sur les territoires et au plus près des besoins des bénéficiaires. S’orienter et se former “est une construction en perpétuel mouvement en fonction de l’interaction dynamique entre les différentes catégories de l’environnement (formations, emplois, contexte socio-économique [3] )”. Les missions des observatoires régionaux des métiers, des OPCO ou bien encore des Carif-Oref illustrent cela : la collecte et l’analyse de données permettent de produire une information utile à l’écosystème local d’acteurs en charge des politiques de formation d’insertion et de prise en charge des publics. La problématique de la “vérité des prix” entre l’offre de formation de la voie professionnelle et la réalité des perspectives d’insertion vers l’emploi pour les jeunes diplômés est un autre exemple pregnant en la matière. La data est un puissant levier d’aide à la décision afin de mieux appréhender l’écart entre la perception de l’écosystème -jeunes, familles, services déconcentrés, équipes éducatives- et la réalité du marché du travail, en lien avec l’émergence de nouveaux métiers et l’évolution des entreprises en matière de compétences.
Les établissements d’enseignement supérieur et les organismes de formation voient également leurs pratiques en matière de pilotage de leur activité interrogée par la mise à disposition d’outils de data intelligence sur les parcours de formation et les trajectoires professionnelles des individus. L’exemple des enquêtes d’insertion est bien connu dans l’écosystème. Celles-ci permettent notamment d’apprécier la performance des diplômes et leur évolution. Mais il existe de nombreux autres champs d’application ou la data vient renforcer la capacité de pilotage des établissements. La relation école-entreprise, la mise en place de réseaux d’alumni performants ou bien encore le travail conduit par les services des établissements dans le cadre des procédures d’accréditation, sont autant de cas d’application où l’intérêt à agir des établissements est manifeste. La data propose également de nouvelles perspectives en matière de renouvellement des pratiques pédagogiques et d’accompagnement des étudiants, que ce soit dans le cadre de la construction de leur projet personnel ou professionnel, ou bien lors de la prise en charge qui peut leur être proposée à l’occasion d’une réorientation. Plus généralement, les dynamiques à l’œuvre au sein des CFA ou des universités, afin de renforcer l’individualisation des parcours des apprentis et des étudiants, peuvent être amplifiées avec l’apport de la data. C’est d’ailleurs l’une des principales recommandations du tout nouveau rapport de l’IGÉSR (Inspection générale de l’éducation, du sport et de la recherche), sorti ce mercredi 14 octobre 2020 : “Améliorer la capacité de pilotage des établissements en renforçant la fonction statistique au sein des établissements”[4].
Millionroads a déjà eu l’occasion de préciser [5] les enjeux proposés par la data en matière d’accompagnement des individus. Les données sur les parcours de formation et les trajectoires professionnelles renouvellent l’approche en matière d’accès à l’information à des fins d’orientation, de réorientation, de reconversion ou de retour à l’emploi. La collecte et l’analyse de données permettent d’explorer des millions de trajectoires d’autres individus. Cette exploration est l’occasion d’identifier des voies, des passerelles et des opportunités de manière vivante. Mais c’est également un outil puissant au service de l’accompagnement des professionnels qui conseillent et orientent les jeunes, les publics fragiles ou bien encore les personnes qui en manifestent le besoin. En effet, bien davantage qu’avec ce qui est proposé par un catalogue de formation [6] ou une fiche métier, la donnée sur les parcours réels propose d’explorer des possibles sur la base d’un discours de preuve. Le travail réalisé par Millionroads et Réseau Canopé afin d’accompagner la formation des acteurs en académie, dans le cadre du projet lauréat PIA 3 “MOOC et solutions numériques pour l’orientation vers les études supérieures [7]”, illustre l’apport de la data dans les pratiques en matière d’orientation des lycéens [8].
La vocation de Millionroads : accompagner ses clients et partenaires avec une data fiable et éclairante
En tant qu’éditeur de solutions numériques, Millionroads prend la pleine mesure du RGPD en s’appuyant sur son cadre législatif afin “d’encapaciter” les individus et les acteurs en matière d’utilisation de la donnée sur les parcours de formation et les trajectoires professionnelles. Nos équipes s’efforcent de collecter une donnée toujours plus représentative et à jour, tout en co-designant des solutions qui la rendent accessible.
Millionroads met en place un service de collecte directe et indirecte de données sur les parcours de formation et les trajectoires professionnelles. Millionroads permet ainsi de mobiliser les données dites “publiques”, c’est-à-dire celles que les individus mettent en libre accès sur le web, dans des bases de données institutionnelles ou encore au sein de systèmes d’information d’établissements de formation et d’entreprises.
La balance des intérêts
Le RGPD prévoit six bases légales, non hiérarchisées, sur lesquelles un traitement de données peut être fondé. L’intérêt légitime en est une, et doit se justifier par une mise en balance. On évalue d’un côté le traitement et les intérêts qu’il supporte, soit ceux de Millionroads et de ses partenaires, clients et utilisateurs particuliers déjà explicités plus haut. De l’autre, “les intérêts ou libertés et droits fondamentaux des personnes” recoupés avec la notion “d’attentes raisonnables”.
Dans le cadre d’une collecte sur des données non sensibles et mises en libre accès sur la décision des individus, le cadre précis fourni par les autorités compétentes nous permet d’affirmer l’absence de préjudice. Il peut également être considéré que les finalités des solutions de Millionroads s’inscrivent dans les finalités mêmes des individus ayant la démarche active de se créer un profil professionnel public, en renforçant leur position, leur visibilité et leurs chances d’opportunités au sein de réseaux bien identifiés et mis volontairement en avant. Cela est garanti par le respect de leurs choix en termes de confidentialité de leurs données, une donnée à jour impliquant pour Humanroads de respecter tout changement de paramètres à cet égard ainsi que la suppression pure et simple de ces données. Le principe fondateur du RGPD est bien respecté : redonner le contrôle aux individus sur leurs données personnelles.
Un modèle de collecte raisonné…
Il s’agit pour Millionroads de recueillir le minimum de données pour assurer notre service de cartographie des trajectoires scolaires et professionnelles réelles auprès de nos utilisateurs. Ainsi, les informations nominatives et relatives aux parcours scolaires et professionnels sont-elles collectées selon le principe de minimisation de la donnée : nous nous limitons à ce qui est strictement nécessaire au regard de la finalité des outils de Millionroads et de leurs usages par nos clients et partenaires. Des processus de pseudonymisation et d’anonymisation sont également appliqués sur toutes les strates de nos solutions quand ils ne remettent pas en cause leur pertinence auprès de nos utilisateurs.
… qui répond au devoir d’information
Dans le cadre de leur collecte indirecte de données personnelles, les acteurs du numérique ont le devoir d’informer les personnes concernées par ce traitement. Des exceptions peuvent s’appliquer à cette obligation, notamment lorsque l’effort qui doit être déployé en ce sens est considéré comme disproportionné par le RGPD (article 14). Cette exception s’applique au traitement réalisé par Millionroads : il faudrait non seulement des dizaines d’années homme pour informer l’ensemble des personnes actuellement dans notre base de données, mais aussi passer par des services tiers et onéreux pour remplir ce devoir d’information. En effet, Millionroads ne dispose d’aucune coordonnée d’individus dans le cadre de la collecte indirecte mise en œuvre.
Millionroads ne cherche pas à s’exonérer de tout effort pour autant et mobilise l’ensemble des canaux et dispositifs accessibles à son échelle, notamment avec ses partenaires, premier relais d’information auprès des publics.
Privacy by design et Analyse d’impact
Dès le lancement de son activité, Millionroads s’est entouré de juristes spécialisés pour appliquer le principe de Privacy by design [9]. Ce travail est conduit également en co-design avec nos partenaires, nos clients et leurs DPO.
Millionroads a pour objectif d’accompagner le développement d’un usage éthique et responsable de la data dans l’écosystème de la formation, tout au long de la vie. À cette fin, Millionroads a réalisé un PIA (Privacy Impact Assessment) ou analyse d’impact. Ce PIA, très cadré par le RGPD, permet d’évaluer la conformité des processus de traitement, de déterminer leur incidence sur les données personnelles et les effets potentiels sur les personnes concernées par ces données. Il analyse par exemple de façon approfondie la durée de conservation, la localisation des traitements ou encore la sécurisation des accès. Le PIA réalisé par Millionroads indique un “risque négligeable”[10] sur les droits et libertés des personnes concernées par nos traitements. Il a également ouvert des portes et des pistes de réflexion visant à renforcer la conformité de ces derniers.
A disposition de nos clients et partenaires, ce document illustre parfaitement l’esprit avec lequel Millionroads aborde le RGPD : une démarche positive et responsable, qui place au cœur de son activité le respect des individus et de leur contrôle sur leurs données. Cette intégrité se construit sur le long cours, au gré des transformations digitales qui devancent l’évolution du cadre juridique, enjoignant tout acteur attentif à se réinventer sans cesse sur le terrain fondamental de l’éthique.
Bibliographie
[1] https://www.cnil.fr/fr/definition/traitement-de-donnees-personnelles
[2] https://www.lebigdata.fr/cnil-laisse-tadata-tranquille
[3] https://livre.fnac.com/a13542485/Frederique-Weixler-L-orientation-scolaire
[5] Data et formation : la révolution copernicienne — https://medium.com/@humanroads/data-et-formation-la-r%C3%A9volution-copernicienne-en-rajoutant-2-3-f429bb0a19bd
[6] Open data et trajectoires : l’avenir des catalogues de formations https://medium.com/@humanroads/open-data-et-trajectoires-lavenir-des-catalogues-de-formations-1ea54a3655e3
[8] Cycle de webconférences « S’orienter dans un monde incertain » DRAIO PACA Année scolaire 2020/21
[9] Les enjeux pour 2018 (1) : accompagner les professionnels dans leur transition au règlement jusqu’au 25 mai et après
