Pour les applications, services en ligne et logiciels en salle de classe
Les critères énoncés suivants sont fondés sur les protections des données relatives aux enfants approuvées par des organismes de réglementation et des experts de toute l’Amérique du Nord et de l’Union européenne de façon à s’assurer que les applications, logiciels et services en ligne utilisés dans les conseils scolaires de l’Ontario respectent des normes de sécurité et de confidentialité élevées et sans compromis.
Intentions
- Les fournisseurs doivent indiquer le détail de toutes les informations que leurs applications ou services Web collectent et fournir les raisons de leur collecte et de leur traitement.
Consentement
- Les écoles doivent s’assurer qu’il existe un consentement parental vérifiable pour la collecte, l’utilisation et la divulgation des renseignements personnels des enfants de moins de 18 ans dans le cas où il n’existe pas de base légale pour l’utilisation des applications/logiciels/services Web par les élèves, telle que déterminée par une loi ou établie par les régulateurs.
- À moins que le consentement ne soit obtenu, les fournisseurs doivent permettre aux élèves de conserver la propriété et le contrôle du contenu qu’ils créent et téléchargent sur l’application/le logiciel/le service Web.
- Les fournisseurs doivent proposer des options de recueil de consentement afin que les utilisateurs (ou les parents/tuteurs) puissent consentir à la collecte et à l’utilisation des renseignements personnels nécessaires au service fournis, sans pour autant consentir à l’utilisation ou à la divulgation de ces informations à des sous-traitants pour d’autres fins (ex : pour leur commercialisation).
Recueil
- Les fournisseurs ne doivent recueillir que les renseignements personnels nécessaires à l’utilisation de l’application/logiciel/service web de la classe, c’est-à-dire ne pas accéder à l’historique du navigateur, aux listes de contacts, aux mots recherchés, aux préférences, à l’identification de l’appareil, à la géo-localisation, etc…, sauf si cela est directement nécessaire à l’offre du service.
- Lorsque des applications doivent être téléchargées sur des appareils mobiles, les fournisseurs doivent offrir des options aux utilisateurs concernant l’étendue de la divulgation des données en provenance de leur appareil, telles que la géo-localisation, les identifiants personnels, les contacts, etc…
- Les fournisseurs ne doivent jamais recueillir de renseignements personnels de manière cachée, à l’insu de l’utilisateur, notamment des informations audio/vidéo en provenance de l’appareil de l’utilisateur.
- Les profils des élèves et leur activité au sein de l’application ou du service web doivent rester confidentiels de façon qu’ils ne puissent pas être accessibles à d’autres personnes, sauf si l’application ou le service lui-même est à caractère collaboratif et nécessite ce type de partage.
- Les enseignants devraient être autorisés à créer des comptes génériques pour les élèves (par exemple, élève 1, élève 2, etc.) et/ou à créer des profils utilisant le moins de renseignements personnels possible afin d’éviter une collecte excessive de renseignements personnels.
Utilisation, rétention, divulgation
- Les fournisseurs doivent uniquement utiliser, divulguer et conserver des renseignements personnels dans le but de fournir un accès à l’application/au logiciel/au service web pour les élèves d’une classe.
- Les fournisseurs ne doivent pas tirer profit ou prendre avantage des renseignements personnels des élèves.
- Les fournisseurs ne doivent pas faire de profil d’élèves à des fins de marketing qui pourrait mener à un traitement injuste, discriminatoire, contraire à l’éthique.
- Les fournisseurs ne peuvent pas réutiliser les données des élèves dans un autre but, par exemple pour des recherches sans obtenir un consentement explicite, à moins que l’utilisation ne soit autorisée par la loi ou que les informations ne soient rendues anonymes.
- Les fournisseurs doivent détruire en toute sécurité ou rendre anonymes au moment approprié, tous les renseignements personnels qui ne sont plus nécessaires pour fournir le service. Ils doivent indiquer explicitement les conditions et délais de rétention des données.
Mesures de précaution
- Le fournisseur doit avoir mis en place un programme de sécurité complet qui est raisonnablement conçu pour protéger la sécurité, la vie privée, la confidentialité et l’intégrité des renseignements personnels des élèves contre des risques tels que leur accès ou leur utilisation non autorisée, leur divulgation non intentionnelle ou inappropriée. Cela, en utilisant des mesures de protection administratives, technologiques et physiques qui prennent en compte le niveau de sensibilité des renseignements.
- Les fournisseurs doivent définir les mesures de protection qui sont en place.
- Les fournisseurs doivent s’assurer que tous les sous-traitants auxquels ils font appel pour offrir le service, appliquent les mêmes mesures et niveau de sécurité.
- Les fournisseurs doivent s’assurer que toutes les entités qui leur succèdent sont tenues de mettre en œuvre les mêmes mesures de sécurité pour la protection des renseignements personnels précédemment collectées.
- Les fournisseurs doivent mettre en place des protocoles d’intervention en cas de violation de leur système de protection qui inclut un contrôle, traitement et notification.
Accessibilité et transparence
- Les fournisseurs doivent communiquer leurs politiques de confidentialité, les conditions d’utilisation, les contrats, etc., dans un langage clair, spécifique et sans ambiguïté qui explique aux utilisateurs comment leurs renseignements personnels sont utilisés, traités, divulgués et conservés par le fournisseur et tout sous-traitant.
- Les fournisseurs doivent faire en sorte que les liens vers les politiques de confidentialité et les conditions d’utilisation, etc… soient faciles à trouver suite à la création d’un compte.
- Les fournisseurs doivent identifier les sous-traitants auxquels ils communiquent des informations personnelles pour traitement, les éléments de données spécifiques communiqués et un résumé des protections/assurances en place.
- Lorsque les fournisseurs utilisent des données à des fins d’analyse statistique et de profilage pour effectuer des évaluations subjectives, pour prédire un comportement ou dans le cadre d’un processus décisionnel, ils doivent en informer clairement les utilisateurs et mettre en place un mécanisme permettant de contester ces évaluations.
- Les fournisseurs doivent indiquer si l’application/service pour la salle de classe permet ou non aux utilisateurs de rendre leurs renseignements personnels publiquement disponibles en ligne.
- Les fournisseurs doivent informer directement les utilisateurs avant que des modifications ne soient apportées aux politiques et aux conditions d’utilisation etc., avant que les données ne soient utilisées d’une manière incompatible avec les conditions qui leur avaient été initialement fournies.
- Les fournisseurs doivent divulguer la présence et l’utilisation de cookies de sous-traitant et proposer des options pour les gérer.
- Le fournisseur doit confirmer qu’il est en conformité avec toutes les lois.
- Les fournisseurs doivent directement notifier les gérants des comptes et/ou les utilisateurs, lors de violation des accès qui ont un impact sur les renseignements personnels.
Accès et correction
- Les fournisseurs doivent identifier le nom et les coordonnées d’une personne qui est en charge de répondre aux demandes de renseignements et aux contestations des utilisateurs ou des parents/tuteurs concernant les politiques de confidentialité, les pratiques de traitement des données, l’exactitude, l’exhaustivité et l’utilisation des renseignements personnels.
- Les fournisseurs doivent disposer d’un mécanisme permettant aux utilisateurs d’accéder au contenu qu’ils ont créé, de le corriger, de l’effacer et de le télécharger dans un format fonctionnel.
- Les utilisateurs ont le droit d’effacer leurs données, y compris les inférences de métadonnées, les évaluations et les profils (s’ils ne sont pas requis à des fins administratives par le fournisseur ou par le conseil scolaire). Les fournisseurs ne factureront pas de frais pour ce service.
- Les fournisseurs doivent s’assurer que lorsqu’un élève supprime son travail dans son compte créé par un enseignant lorsque ce dernier conserve des droits administratifs exclusifs, les copies dans le compte de l’enseignant doivent également disparaître.
- Les fournisseurs doivent veiller à ce que les enseignants aient la possibilité de supprimer leurs propres comptes et classes virtuelles.
- Les fournisseurs ne doivent pas exiger des utilisateurs qu’ils renoncent à leurs droits d’auteur sur leurs propres travaux lorsqu’ils les publient sur le site de l’application ou du service.