Protection des données des utilisateurs d’ELAO

Objet de cette page

La présente page explique la manière dont les données à caractère personnel sont traitées dans le cadre de l’utilisation de la plateforme ELAO.

Elle a pour objectif d’informer les clients de Learnstudio ainsi que les utilisateurs finaux d’ELAO sur les principaux traitements mis en œuvre pour permettre l’organisation, la passation, le suivi et l’analyse des évaluations linguistiques.

Cette page concerne la plateforme ELAO. Elle est distincte de la politique de confidentialité applicable à la simple navigation sur le site web.

Rôles des parties

Dans le cadre de l’utilisation d’ELAO par une entreprise, une université, un centre de formation ou toute autre organisation cliente, cette organisation agit en principe comme responsable du traitement des données de ses candidats, étudiants, collaborateurs, apprenants ou autres utilisateurs.

Dans ce cadre, Learnstudio agit en principe comme sous-traitant, en mettant à disposition la plateforme ELAO et en assurant son fonctionnement technique, sa maintenance, son hébergement, sa sécurité et son support.

Pour certains traitements liés à sa propre gestion contractuelle, à la sécurité de ses systèmes, à la facturation, à la gestion des incidents ou au respect de ses obligations légales, Learnstudio peut agir comme responsable du traitement.

Identité et coordonnées de Learnstudio

Learnstudio SRL
TVA : BE1012453534
Parc Artisanal 11-13, Complexe Arrobas
4671 Barchon
Belgique

E-mail général : info@learnstudio.be
Contact protection des données : Quentin Naveau – quentin@learnstudio.be

Quelles données peuvent être traitées ?

Selon la configuration choisie par le client, ELAO peut traiter différentes catégories de données.

Données d’identification

Selon les besoins du client et les paramètres activés dans la plateforme, il peut s’agir notamment du nom, du prénom, de l’adresse e-mail, d’un identifiant interne, d’un groupe, d’une classe, d’un service, d’un site, d’un code filière, d’une langue cible ou de toute autre donnée nécessaire à l’organisation des évaluations.

Données liées à l’évaluation

ELAO permet de déterminer le niveau linguistique dans une langue cible. À cette fin, la plateforme peut traiter les réponses fournies par l’utilisateur, la durée de l’évaluation, la date de passation, le score global, les scores par module ainsi que les points de grammaire ou axes d’amélioration identifiés.

Données techniques

Certaines données techniques peuvent également être traitées pour assurer le bon fonctionnement, la sécurité et la traçabilité de la plateforme, notamment des identifiants techniques, journaux de connexion et informations nécessaires au support ou à la maintenance.

Données liées au module oral ELAO+

Lorsque le module ELAO+ est activé, des enregistrements vocaux peuvent être réalisés afin de permettre l’évaluation de l’expression orale.

Données liées au proctoring

Lorsque l’option de proctoring est activée par le client, des données supplémentaires peuvent être traitées afin de sécuriser la passation des évaluations. Il peut notamment s’agir de flux vidéo issus de la webcam, de flux audio, d’une capture d’écran lorsque cette fonctionnalité est activée, ainsi que de données techniques telles que les horodatages, les événements de déconnexion, les pertes de réseau, les tentatives d’ouverture externe ou les interruptions imprévues.

La solution de proctoring utilisée n’a pas pour objet de collecter les fichiers personnels du candidat, d’accéder à ses applications extérieures, d’intercepter ses communications privées ou de mettre en œuvre des traitements de reconnaissance faciale, de biométrie, d’analyse émotionnelle ou de profilage intrusif.

Finalités du traitement

Les données traitées dans ELAO le sont notamment pour les finalités suivantes : organiser les évaluations linguistiques, permettre la passation des tests, calculer les résultats, générer des rapports d’analyse, permettre au client de consulter et d’exploiter les résultats de ses utilisateurs, assurer l’administration, le support, la maintenance et la sécurité de la plateforme, prévenir les abus et sécuriser les évaluations lorsque des fonctions de contrôle ou de proctoring sont activées, et améliorer la qualité du service, notamment au moyen de données anonymisées lorsque cela est possible.

S’agissant plus spécifiquement du proctoring, la finalité est strictement limitée à la surveillance de l’épreuve, à la détection d’anomalies susceptibles d’altérer les conditions de passation et, lorsque cela est requis, à la vérification de l’identité du candidat.

Base juridique

La base juridique applicable dépend du contexte dans lequel la plateforme ELAO est utilisée et du rôle de chaque partie dans le traitement.

Dans la plupart des cas, les traitements réalisés dans le cadre d’ELAO reposent sur l’exécution d’un contrat ou de mesures précontractuelles, sur l’intérêt légitime du client à organiser, gérer et sécuriser ses évaluations linguistiques, sur l’intérêt légitime de Learnstudio à assurer la sécurité, la maintenance et l’amélioration de la plateforme, ou encore sur le respect d’obligations légales lorsque celles-ci s’appliquent.

Lorsque des fonctionnalités de proctoring sont activées, les traitements associés reposent sur la base juridique retenue par l’organisation cliente en fonction de son propre contexte, de la nature de l’évaluation et de la réglementation applicable. Il peut notamment s’agir de l’exécution d’un contrat, de l’intérêt légitime à garantir l’intégrité et l’équité des épreuves, ou, dans certains cas spécifiques, d’une mission d’intérêt public.

Destinataires des données

L’accès aux données est limité aux personnes qui en ont besoin pour l’exercice de leurs fonctions, notamment les personnes autorisées au sein de l’organisation cliente, les collaborateurs de Learnstudio en charge de la gestion de la plateforme, ainsi que les prestataires techniques ou informatiques intervenant dans le fonctionnement, l’hébergement, la maintenance ou la sécurité de la plateforme.

Le cas échéant, certains prestataires peuvent également intervenir dans le cadre de services spécifiques, comme le module oral ou le proctoring, dans la stricte mesure nécessaire à leur mission.

Hébergement et sous-traitants

L’application ELAO est hébergée sur l’infrastructure Microsoft Azure, dans des datacenters situés à Amsterdam, au sein de l’Union européenne.

Learnstudio peut également faire appel à des sous-traitants pour certains traitements spécifiques, notamment pour l’hébergement et l’infrastructure cloud, le traitement du module oral ELAO+ et le proctoring.

Dans le cadre du proctoring, Learnstudio peut recourir à Mereos. D’après la documentation fournie, Mereos héberge sa solution sur une infrastructure AWS localisée en Europe, notamment en France et en Allemagne.

Cas spécifique du module oral ELAO+

Dans le cadre de l’évaluation de l’expression orale via ELAO+, les données directement identifiantes des utilisateurs, telles que le nom, le prénom ou l’adresse e-mail, ne sont pas transmises au prestataire externe. Seul un identifiant technique pseudonymisé, généré par les serveurs européens, est transmis. Les fichiers audio peuvent être hébergés temporairement chez un prestataire situé aux États-Unis. La correspondance entre cet identifiant technique et l’identité de l’utilisateur reste gérée sur les serveurs européens. Le traitement est limité au temps nécessaire à l’évaluation et le transfert est encadré par des clauses contractuelles types.

Cas spécifique du proctoring

Lorsque le client active une solution de proctoring, des traitements complémentaires peuvent être mis en œuvre afin de vérifier l’identité du candidat, d’enregistrer certains éléments de session, de détecter des anomalies techniques ou comportementales et de renforcer l’intégrité de l’évaluation.

La solution de proctoring utilisée par Learnstudio repose sur des mécanismes de détection assistée. Les outils automatisés peuvent signaler des événements factuels, tels qu’une absence prolongée du candidat dans le champ de la caméra, la présence d’un second visage, une variation sonore inhabituelle ou une tentative d’accès à une ressource extérieure. Ces mécanismes n’emportent toutefois aucune décision automatisée sur une fraude. Toute alerte doit être revue par une intervention humaine habilitée, qui analyse le contexte avant toute qualification éventuelle.

Des informations complémentaires relatives au traitement des données personnelles dans le cadre du proctoring peuvent également être consultées dans la documentation RGPD mise à disposition par Mereos.

Durée de conservation

La durée de conservation dépend de la nature des données traitées et de la finalité poursuivie. Sauf disposition particulière, les données liées à l’utilisation générale d’ELAO sont conservées en principe douze mois après la fin de la relation contractuelle. Les données traitées dans le cadre du proctoring font l’objet d’une durée de conservation spécifique définie contractuellement, puis sont supprimées ou anonymisées.

Certaines données peuvent être conservées plus longtemps lorsqu’elles ont été rendues anonymes, notamment à des fins d’amélioration du service.

Sécurité

Learnstudio met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre l’accès non autorisé, la perte, l’altération, la divulgation ou le vol.

Cela comprend notamment une gestion restrictive des droits d’accès, la sécurisation du réseau d’entreprise, des outils de protection contre les intrusions, la sécurisation des accès physiques ainsi que la sensibilisation des équipes métiers et IT.

S’agissant du proctoring, la documentation Mereos indique notamment un chiffrement des échanges en TLS 1.2 ou TLS 1.3, un chiffrement des données stockées en AES-256, une séparation stricte des environnements de développement, de test et de production, un accès limité au personnel habilité selon le principe du moindre privilège, des mécanismes de journalisation des opérations sensibles, une authentification multi-facteur sur les principaux systèmes internes ainsi que des politiques de sécurité, de formation et de gestion des incidents.

Droits des personnes concernées

Sous réserve des conditions prévues par la réglementation applicable, toute personne concernée peut demander l’accès à ses données, leur rectification, leur effacement, la limitation du traitement, l’opposition au traitement lorsque cela est applicable, ainsi que la portabilité de ses données lorsque cela est applicable.

Lorsque Learnstudio agit comme sous-traitant, ces demandes doivent en principe être adressées d’abord à l’organisation cliente responsable du traitement. Learnstudio peut toutefois assister ses clients dans le traitement de ces demandes.

Dans le cadre du proctoring, l’outil utilisé permet également d’aider l’établissement à répondre aux demandes d’accès, de rectification, d’effacement, de limitation et, lorsque cela est applicable, d’opposition.

Contact

Pour toute question relative à la protection des données dans le cadre d’ELAO, vous pouvez contacter Learnstudio à l’adresse générale info@learnstudio.be ou contacter directement le contact protection des données :

Quentin Naveau
quentin@learnstudio.be

Réclamation

Si une personne concernée estime que le traitement de ses données n’est pas conforme à la réglementation applicable, elle peut introduire une réclamation auprès de l’Autorité de protection des données compétente.

Mise à jour

La présente page peut être mise à jour à tout moment afin de refléter l’évolution de la plateforme, des traitements mis en œuvre ou de la réglementation applicable. La version la plus récente publiée sur le site web prévaut.