Follow

Ah, oui. Comme 42 est légalement obligé de comptabiliser les heures de présence des boursiers pour leurs dossiers du CROUS, il fallait bien qu'ils trouvent quelque chose.

Je crois que c'est l'une des pires solutions possibles.

😬

· · Web · 2 · 3 · 0

Petite question juridique :

Obliger les élèves à utiliser une plateforme tierce comme ça (ou qu'il s'agisse de Google, Slack ou autre), est-ce que ça respecte la notion de consentement telle que définie dans le RGPD ?

S'ils obligeaient les élèves à utiliser une solution autohébergée, est-ce que cette notion de consentement serait alors respectée ?

Ou dans les deux cas, c'est légal ? C'est illégal ? Hmm.... 😕

@Neil Dans ce cas précis ça relève peut-être d’une base légale « obligation légale » et donc non soumis à un quelconque consentement.

@Neil Ça en devient compliqué pour savoir ce qu’il est possible de faire ou non… Pas vraiment d’avis sur le sujet… 🤔

@aeris Mince, pourtant ils peuvent comptabiliser les horaires de tant d'autres manières... Le choix d'imposer à tout le monde d'avoir discord est si peu pertinent et intrusif :(
J'ai du mal à concevoir que ça soit légal.

@Neil Faudrait surtout voir les CGU & cie de Discord sur le sujet.

@aeris Un bon résumé sur cette question : privacyspy.org/product/discord

C'est comme si une université imposait à leurs élèves d'utiliser Teams ou d'avoir un compte Google pour valider leur cursus, je suppose. Sauf qu'on est dans le privé, donc c'est probablement différent sur de nombreux points...

@Neil C’est un peu différent ici parce que comme signalé, ça peut relever d’une autre base légale que le consentement. Si ici la base légale est « obligation légale », c’est de suite beaucoup plus compliqué.

@Neil Et ce TLDR des CGU par privacyspy est assez mauvais.
Par exemple est faux et archi faux, puisque le RGPD impose à Discord une communication aux utilisateurs dans un tel cas. Une clause disant l’inverse serait nulle et non écrite, et l’absence de clause fait que c’est bien le RGPD qui prime.

@Neil Idem ici, les notations détaillées sont un non sens et il faut aller lire dans le détail les CGU pour avoir la réalité de la conformité.
Le RGPD n’a jamais interdit la collecte par des tiers, mais sous la seule réserve que les 3 points d’en dessous soient remplis. Ce qui est a priori plutôt le cas chez Discord. La conformité globale serait donc bonne d’après ce TLDR et ce rouge n’a pas lieu d’être.

@aeris @Neil est ce que ça s'applique aux utilistaeus US aussi ?

@Neil
Le consentement n'est qu'une des 6 bases légales possibles pour le traitement de données.

Et de toute façon le consentement c'est pour le traitement, pas les moyens du traitement (donc les prestataires).

Mais tu peux toujours interroger 42 sur la base légale choisie. Ça fait partie des infos qu'ils doivent fournir.

@Neil
En revanche ça pourrait porter atteinte au privacy by design et au principe de minimisation des données. L'illégalité du système a plus de chances de se trouver là.

@Neil D’intuition, dès qu'il y a le mot "obliger" dans la phrase, ça va mal s'accorder avec la notion de "consentement"
(un des critère est "Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.")

cnil.fr/fr/conformite-rgpd-com

@Neil
Toutefois, il se peut que l'école aie le droit de contraindre les élèves d'une manière qui respecte la RGPD en regardant du côté des contrats :
cnil.fr/fr/le-contrat-dans-que

(je connais mal le sujet, donc je n'ai pas d'avis au-delà de ce lien)

@Neil
Tu as trouvé une réponse fiable ? Je retourne en cours en février (université publique dans mon cas) et je n'ai pas prévu d'utiliser Teams et al.

J'ai lu une bonne partie du RGPD et j'ai trouvé flou la définition de finalité dans le sens "collectées pour des finalités déterminées, explicites et légitimes". C'est au cœur de tout mais la seule définition est celle que je viens de citer (article 5).

@tleb J'admets avoir lâché l'affaire hélas, je doute d'avoir des éléments assez solides pour les convaincre ou pour prouver que leur dispositif est manifestement illégal.
Comme l'a dit @aeris : social.imirhil.fr/@aeris/10543
ça peut relever d'une obligation légale, donc demander le consentement pourrait ne pas être nécessaire.

Voir également cette réponse cela dit :
mastodon.xyz/@Roka/10543653439

Sign in to participate in the conversation
Shelter

Discussions adultes, otaku et geek, avec des gens sympa