Chapitre 15.5 — Atelier : FormaCampus conforme
⏱️ TL;DR — On rassemble tout le cours en une mise en conformité complète de FormaCampus, notre EdTech à deux visages (LMS pour écoles + organisme de formation). En huit étapes — cartographier, qualifier les rôles, poser les bases légales, tenir le registre, sécuriser, cadrer les sous-traitants et les transferts, gérer droits et violations, industrialiser — on transforme une plateforme « qui a un bandeau cookies » en un service réellement conforme, prouvable et vendable. C’est le plan que tu pourras rejouer sur n’importe quel projet EdTech (ou pour le facturer en prestation).
🎯 Objectifs
- Dérouler une mise en conformité de bout en bout sur un cas réel.
- Relier chaque étape à la partie du cours qui la fonde.
- Repérer les spécificités EdTech (mineurs, RT/ST, outils, transferts).
- Repartir avec un plan réutilisable (et facturable).
Le point de départ
FormaCampus, version « avant » : un joli site, un bandeau cookies, une politique de confidentialité générique copiée sur un concurrent, des données d’anciens élèves jamais purgées, les aménagements de handicap dans un champ notes, un hébergeur américain choisi « parce que c’est pratique », un LLM US branché sur les copies pour l’aide aux devoirs, et la conviction d’« être aux normes ». On va corriger, étape par étape.
Étape 1 — Cartographier les traitements
On liste ce qu’on traite et pourquoi (Partie 1, Partie 11) :
| Traitement | Finalité | Public |
|---|---|---|
| Comptes & authentification | Donner accès au service | Élèves, stagiaires, formateurs |
| Scolarité (cours, résultats) | Suivre l’apprentissage | Élèves (pour le compte des écoles) |
| Formation pro | Gérer stagiaires & preuves | Stagiaires adultes |
| Aménagements handicap | Adapter la pédagogie | Élèves/stagiaires concernés |
| Support & aide IA | Répondre, corriger | Apprenants |
| Prospection | Vendre des formations | Prospects |
| Analytics & logs | Mesurer, exploiter, sécuriser | Visiteurs, utilisateurs |
Étape 2 — Qualifier les rôles (RT / ST)
Le réflexe EdTech (Partie 3, 15.1) :
- Pour la scolarité des écoles, FormaCampus est sous-traitant (l’école est responsable).
- Pour son propre organisme de formation, son site, sa prospection, ses comptes, FormaCampus est responsable.
Cette dualité change tout : sur le périmètre « écoles », FormaCampus redirige les demandes de droits vers l’établissement et l’assiste ; sur son périmètre propre, il répond lui-même.
Étape 3 — Poser les bases légales
Une base par finalité (Partie 4), en évitant le réflexe « consentement partout » :
| Finalité | Base légale |
|---|---|
| Comptes / accès | Contrat (ou mission d’intérêt public côté école) |
| Scolarité (écoles) | Mission d’intérêt public — portée par l’école |
| Formation pro | Contrat + obligation légale (émargements, compta) |
| Aménagements (santé) | Base spécifique art. 9, accès restreint |
| Aide IA | Contrat / intérêt légitime, avec information et minimisation |
| Prospection | Consentement (B2C) / intérêt légitime (B2B) |
| Analytics | Consentement pour les traceurs non exemptés |
Étape 4 — Tenir le registre
On documente pour prouver (Partie 11) : une fiche de registre par traitement (finalité, base, catégories, destinataires, durées, sécurité, transferts), avec la distinction registre responsable / registre sous-traitant. On repère les traitements exigeant une AIPD (art. 35) : la scolarité (données de mineurs à grande échelle, avec de la santé) en fait clairement partie.
Étape 5 — Sécuriser
On applique l’art. 32 (Partie 9) : HTTPS partout, mots de passe hachés (argon2/bcrypt), chiffrement au repos des champs sensibles, cloisonnement des accès (un formateur ne voit que ses groupes, le référent handicap seul voit les aménagements), journaux sans données personnelles en clair, sauvegardes chiffrées et testées. On sort les aménagements du champ notes vers une table dédiée, chiffrée et journalisée.
Étape 6 — Cadrer sous-traitants et transferts
On cartographie la chaîne (Partie 12) et on signe un DPA avec chaque sous-traitant. Puis on regarde les transferts (Partie 13) :
- Hébergeur américain → on migre vers un hébergement UE (le contexte EdTech et l’exemple de l’Éducation nationale l’imposent quasiment), ou on l’encadre très strictement (CCT + analyse d’impact du transfert), en gardant à l’esprit que le DPF est fragile (appel Latombe pendant).
- LLM américain pour l’aide aux devoirs → sous-traitant et transfert : on minimise les prompts (pseudonymiser avant d’envoyer), on interdit contractuellement l’entraînement sur nos données, on privilégie une offre hébergée en UE, et on redouble de prudence car ce sont des données de mineurs. À défaut, on remplace par une alternative européenne.
Étape 7 — Droits et violations
On outille les droits (Partie 6) : endpoints d’accès/export et de suppression, procédure de réponse en 1 mois, et redirection vers l’école quand FormaCampus n’est que sous-traitant. On prépare le playbook violation (Partie 10) : détecter, qualifier, notifier la CNIL en 72 h, informer les personnes si le risque est élevé, tenir le registre des violations. (Le scénario « export CSV envoyé au mauvais parent » a sa fiche prête.)
Étape 8 — Industrialiser et prouver
On rend la conformité durable (Partie 11, Partie 14) : durées de conservation codées en tâches de purge, privacy by design dans le schéma, politique de confidentialité à jour et versionnée, mentions claires pour parents/élèves/stagiaires, DPO (mutualisé) identifié, et une revue régulière. FormaCampus peut désormais répondre à un appel d’offres d’académie preuves à l’appui.
🧭 Sur FormaCampus — Version « après » : hébergement UE, aménagements cloisonnés et chiffrés, bases légales propres à chaque finalité, registre tenu, DPA signés, prompts d’IA minimisés, purges automatiques, droits outillés, playbook violation prêt. La plateforme n’a pas seulement « un bandeau cookies » : elle est conforme, prouvable et exemplaire — ce qui, en EdTech, est le premier argument de vente.
💡 Réflexe — Ce plan en 8 étapes est un livrable. Tu peux le rejouer sur n’importe quel produit, et le vendre en prestation (audit + mise en conformité + accompagnement) : l’expertise RGPD appliquée à l’EdTech est rare et recherchée. Le cours Monétiser (Dev + IA) explique comment en faire une offre.
🔒 Côté personne concernée — Au bout de ces 8 étapes, ce qui change pour un enfant, un parent, un stagiaire, c’est simple : ses données ne servent qu’à ce pour quoi il les a confiées, restent en Europe, ne nourrissent pas un modèle ou une pub à son insu, sont protégées, et il peut exercer ses droits. La conformité n’est pas une formalité : c’est cette promesse-là, tenue.
✏️ Exercices
Exercice 1 — Priorise. FormaCampus a un budget conformité limité et doit choisir trois chantiers à lancer en premier. Lesquels, et pourquoi ?
✅ Solution
Défendable : (1) sortir les aménagements du champ notes vers une table chiffrée à accès restreint — c’est une donnée de santé de mineurs exposée, le risque le plus grave ; (2) migrer/encadrer l’hébergement et le LLM hors UE — transferts illicites potentiels sur des données d’enfants ; (3) poser les bases légales + le registre — sans ça, rien n’est prouvable et tout appel d’offres est perdu. On traite d’abord le risque élevé pour des personnes vulnérables, puis le prouvable. Le bandeau cookies attendra.
Exercice 2 — Qui répond ? Un parent demande l’accès aux données de son enfant scolarisé via une école cliente, ET un stagiaire adulte demande la suppression de son compte de formation. FormaCampus répond-il lui-même dans les deux cas ?
✅ Solution
Non, pas dans les deux. Pour l’enfant scolarisé, FormaCampus est sous-traitant de l’école : il transmet la demande à l’école (responsable) et l’assiste techniquement. Pour le stagiaire de son propre organisme de formation, FormaCampus est responsable : il répond lui-même, dans le délai d’un mois, en tenant compte des données qu’une obligation légale impose de conserver (émargements, compta) et qu’on archive plutôt que de supprimer. La dualité RT/ST commande la bonne réponse.
🧠 Quiz de révision
1. Pourquoi FormaCampus est-il à la fois responsable et sous-traitant ?
Parce qu’il porte deux casquettes : sous-traitant des écoles pour la scolarité de leurs élèves (l’école reste responsable), et responsable pour son propre organisme de formation, son site, sa prospection et ses comptes. Le rôle détermine qui répond aux droits et qui porte les obligations.
2. Quel traitement de FormaCampus exige clairement une AIPD ?
La scolarité : données de mineurs traitées à grande échelle, avec des éléments de santé (aménagements). Le croisement « personnes vulnérables + grande échelle + données sensibles » déclenche l’analyse d’impact (art. 35).
3. Que faire de l’hébergeur et du LLM américains ?
Les traiter comme sous-traitants (DPA) et comme transferts hors UE : migrer vers de l’hébergement UE quand c’est possible (fortement indiqué en EdTech), sinon encadrer (CCT + analyse d’impact du transfert), minimiser les prompts envoyés au LLM, interdire l’entraînement sur les données, et redoubler de prudence car ce sont des données de mineurs.
4. Par quel chantier commencer avec un budget limité ?
Par le risque le plus élevé pour des personnes vulnérables : sortir les données de santé des mineurs d’un champ exposé, sécuriser les transferts, puis poser bases légales + registre (le prouvable). Le bandeau cookies n’est pas la priorité.
5. En quoi cette mise en conformité est-elle un atout commercial ?
Parce qu’en EdTech, écoles, académies et financeurs ne contractualisent qu’avec des prestataires offrant des garanties (art. 28) et leur permettant de rester conformes. Une conformité prouvable (registre, DPA, hébergement UE, droits outillés) fait gagner les appels d’offres — et peut se facturer en prestation.
Fin de la Partie 15. On termine par les outils prêts à l’emploi : Partie 16 — Cookbook & Annexes — checklists, modèles, cheatsheet des articles, glossaire et quiz final.