Intervention lors des rencontres Scenari 2017.

1. Ressources
pédagogiques,
Learning Analytics
et données
personnelles
Par Calimaq.

2. «»
De quoi parle-t-on ?
Deux disciplines pédagogiques
émergentes structurent actuellement
les usages, méthodes et outils de
l’exploitation des traces numériques en
contexte pédagogique : l’Exploration de
Données Éducatives (Educational Data
Mining) , plutôt centrée sur
l’amélioration des conditions de
pilotage des organisations éducatives,
et l’Analytique de l’Apprentissage
(Learning Analytic), davantage centrée
sur l’apprenant.
https://dcla.fr/?p=410#more-410
L’Adaptative Learning
serait le moyen de
conduire un étudiant ou
un stagiaire vers le plus
court chemin de la
réussite, au travers de
l’analyse de ses données
comportementales tout
au long de son parcours
de formation.
https://dcla.fr/?p=410#more-410

3. Exemples d’applications
• Identifier les étudiants en risque
d’abandon ou d’échec ;
• Cibler les interventions pédagogiques
pour aider ces derniers à réussir ;
• Adapter les parcours et les approches
pédagogiques selon le profil et le
comportement des apprenants ;
• Communiquer aux apprenants des
informations sur leur propre
comportement d’apprentissage.

4. De nombreux rapports depuis plusieurs
années évoquent la question…
2014 – Rapport CNNum « Jules Ferry 3.0 »
2016 – Rapport Terra Nova
« L’école sous algorithmes »
2017 – Rapport Institut Montaigne
« Université, une nouvelle ambition »

5. Les Learning Analytics comme pharmakon ?
« En grec, le pharmakon
désigne à la fois le
remède et le poison. Et
pour Stiegler, toute
technologie est
pharmakon, elle est à la
fois poison et remède.
Mais qu’elle soit à la fois
poison et remède ne
signifie pas qu’elle soit
neutre. »
Xavier de la Porte
https://www.franceculture.fr/emissions/ce-qui-nous-arrive-sur-la-
toile/internet-nest-pas-neutre-internet-est-un-pharmakon

6. Un côté clair…
Learning Analytics :
quelles sont les
données du
problème ? CNIL.
« L’analyse de ces traces constitue
une nouvelle discipline, les Learning
Analytics, soit « la mesure, la collecte,
l’analyse et la production de données
des processus d’apprentissage »
(wikipedia), par des techniques
d’analyse de données. L’objectif
annoncé est de permettre d’améliorer
les formations et la pédagogie, par
une connaissance fine de l’efficacité
des exercices, des points sur lesquels
butent les apprenants. Ces
plateformes permettraient en outre
d’optimiser le coût des formations, de
personnaliser les cursus et idéalement
de motiver les étudiants, en leur
apportant des retours sur les
apprentissages. »

7. Et un côté obscur…
• « Si elles sont utiles à l’amélioration globale de
la plateforme, la production et la réutilisation
de ces données interrogent : elles pourraient
tout aussi bien être utilisées pour prédire des
situations d’échec, détecter des élèves à risque,
enfermer les élèves dans des parcours scolaires
« adaptés à leur profil », prédire les abandons
dans les Moocs, voire même fournir des profils
adaptés à des employeurs potentiels… Des
finalités qui pour certaines, si elles ne sont pas
encadrées, pourraient aboutir à des formes de
discrimination.
• Au-delà de l’aspect juridique, des questions
seront certainement à soulever du côté de
l’éthique, dès lors que l’on cherchera à classer
les élèves dès leur plus jeune âge pour repérer
des cas de déviance, avec le risque de les
enfermer dans des bulles d’échec. Pour que les
données de leur enfance ne les poursuivent pas
tout au long de leur vie. »
Learning Analytics :
quelles sont les
données du
problème ? CNIL.

8. Les MOOCs et le précédent « Coursera »…
« les MOOCs qui se mettent en place dans l’éducation supérieure sont
rarement transparents quant à la gouvernance des données
recueillies dans le cadre de leur usage. Ce manque de transparence
doit être levé sans attendre ». Rapport CNNum Jules Ferry 3.0
« Dans les contrats que
Coursera a signé avec
les universités
allemandes, qui
comportent une clause
de confidentialité, il est
inscrit qu'avec l'accord
des utilisateurs,
Coursera «autorisera
les employeurs ou les
recruteurs à interroger
les données sur les
utilisateurs». (2015)

9. https://www.fun-mooc.fr/privacy
Respect global du principe de finalité et de
proportionnalité de la collecte des données,
encadrement du transfert à des tiers, exclusion
des usages commerciaux
Données personnelles
Les données personnelles vous concernant et collectées par le site www.fun-
mooc.fr vous appartiennent. Ces données sont protégées et non diffusées
conformément à la loi française.
Ces données sont utilisées pour assurer la délivrance des services offerts par le
site : délivrance de certificats et attestations, échanges de pairs à pairs,
échanges entre l’équipe pédagogique et les apprenants, envoi d’informations de
manière proactive, etc.
Nous nous engageons à ce que ces données ne soient pas diffusées à des tiers
ni commercialisées sans votre accord explicite.

10. Déjà des coups de semonces…
http://www.lemonde.fr/ecole-primaire-et-secondaire/article/2010/04/26/la-
creation-contestee-d-un-fichier-des-decrocheurs_1342729_1473688.html
2010… 2017…
http://eduscol.education.fr/pid23269-cid55057/plates-
formes-de-suivi-et-d-appui-aux-decrocheurs.html

11. En France, polémique autour du partenariat entre le
Ministère de l’Education nationale et Microsoft
Recours en justice par le collectif
Edunathon, pour contournement de la
législation sur les marchés publics.
http://www.zdnet.fr/actualites/accord-microsoft-face-au-nouveau-ministere-
edunathon-persiste-et-signe-39854514.htm

12. Mise en garde de la CNIL à propos de la
« Charte de confiance » du Ministère
http://www.cafepedagogique.net/lexpr
esso/Pages/2017/05/24052017Article6
36312108828390337.aspx
« La CNIL faisait part en mai 2017 de ses
positions quant à l’encadrement des
services numériques dans l’éducation,
dans le cadre de l’initiative de la Charte de
confiance portée par le Ministère de
l’Education, précisant que « compte tenu
de la sensibilité de ces données, cette
charte devrait se traduire par un
encadrement juridique contraignant tant
en ce qui concerne la non utilisation des
données scolaires à des fins
commerciales, l’hébergement de ces
données en France ou en Europe ou
encore l’obligation de prendre des
mesures de sécurité conformes aux
normes en vigueur. »

13. L’affaire Microsoft,
l’arbre qui cache la forêt ?
https://www.snes.edu/Comment-l-Ecole-laisse-le-prive-
acceder-aux-donnees-personnelles-au-nom-du.html

14. Le cadre actuel de la protection des données personnelles
et de la vie privée

15. Au commencement était la loi de 78…
Cadre légal :
Loi du 6 août 2004 relative à la
protection des personnes physiques
à l’égard des traitement de données
à caractère personnel
Directive européenne du 24
octobre 1995 sur la protection des
données personelles
Loi « Informatique et Libertés » du 6
janvier 1978
« L’informatique doit être au service
de chaque citoyen. Son
développement doit s’opérer dans le
cadre de la coopération
internationale. Elle ne doit porter
atteinte ni à l’identité humaine, ni
aux droits de l’homme, ni aux
libertés individuelles ou publiques ».
Loi Informatique et Libertés+ Nouveau Règlement Général sur la Protection
des données (Adoption, 2016 -> Entrée en
vigueur, 25 mai 2018)

16. « Ensemble des informations qui permettent sous quelque forme que ce
soit, directement ou non, l’identification des personnes physiques
auxquelles elles se rapportent ».
Exemples : nom, numéro d’identification, voix et image, appartenance à
un organisme ou à une association, enregistrements de
vidéosurveillance, adresse mail, adresse IP, etc.
Définition des données personnelles et de
leur traitement :
• Traitement des données personnelles
= « toute opération ou ensemble
d’opérations portant sur des données
à caractère personnel, quel que soit le
procédé utilisé ».
 Collecte, enregistrement, conservation, adaptation,
modification, extraction, consultation, utilisation,
communication par transmission, diffusion ou toute autre
forme de mise à disposition, le rapprochement ou
l’interconnexion, ainsi que le verrouillage, l’effacement ou
la destruction
CC-BY-SAlightsoutfilms

17. l’article 10 de la loi informatique et libertés
dispose qu’aucune « décision produisant des
effets juridiques à l'égard d'une personne ne
peut être prise sur le seul fondement d'un
traitement automatisé de données destiné à
définir le profil de l'intéressé ou à évaluer
certains aspects de sa personnalité.
Un encadrement strict des
traitements automatisés

18. 18
Les obligations en cas de collecte et de
traitement de données personnelles
La loi impose d’informer les personnes
« fichées » que des données nominatives
les concernant sont collectées
(modèle de mentions sur site de la CNIL)
Ces personnes doivent avoir la
possibilité d’être retirées du fichier ou
d’obtenir la modification des données les
concernant ;
Il est interdit de divulguer ces
informations à des tiers, sauf accord des
personnes concernées ;
La durée de conservation des données
doit être limitée dans le temps.
La collecte de
certaines données
sensibles est prohibée
par la loi : origines
raciales, opinions
politiques,
philosophiques,
appartenance
syndicale, données
relatives à la santé ou
à la vie sexuelle.

19. 5 principes de protection des
données personnelles

20. 5 principes de protection
des données personnelles
Voir : site de la CNIL

21. Les droits des personnes sur
les données les concernant

22. Un certain nombre de dispenses de déclaration
CNIL pour l’éducation nationale
Dispense de déclaration pour les traitements
automatisés de données personnelles relatifs à la
gestion administrative, comptable et pédagogique des
écoles et des établissements d’enseignement
secondaire.
« Ces traitements ne doivent porter
que sur des données objectives,
strictement nécessaires à la gestion
de la scolarité des enfants
concernés et aisément contrôlables
par les intéressés grâce à l'exercice
du droit individuel d'accès. Ces
traitements sont dispensés de
déclaration à condition qu'ils se
conforment au cadre défini par la
CNIL.
La mise à disposition de
téléservices, à l'attention des
élèves ou de leurs responsables
légaux n'est pas couverte par
cette dispense et doit faire l'objet
de formalités spécifiques auprès de
la CNIL. »
Ces formations simplifiées ne valent pas
pour les Learning Analytics, qui
comportent nécessairement une part
d’appréciation subjective.

23. Mettre en place les Learning
Analytics dans le cadre CNIL ?
 Toujours possible sur des données anonymisées
(en prenant garde aux risques de réi-dentification
indirecte par croisement de données) ;
 Possible sur des données personnelles non-
anonymisées à condition d’informer les personnes
et de leur permettre d’exercer leurs droits (accès,
rectification, opposition) ;
 Pas de transferts des données à des tiers sans
consentement explicite des individus. Attention
notamment à prévoir à l’avance les finalités de
recherche et les transferts à des chercheurs.
 Prévoir une durée de traitement limitée dans le
temps et une sécurisation du stockage des
données.

24. Exemple de mention dans la politique
de confidentialité de FUN MOOC
Données d’usage
Les données d’usage sont les données collectées par le site www.fun-mooc.fr et concernent les usages des services du site.
Il s’agit de données brutes, totalement anonymisées, utilisées pour produire des statistiques sur l’utilisation des services
du site, et dont l’analyse permet d’améliorer les services et les fonctionnalités du site.
Nous collectons des informations lorsque vous vous créez un compte utilisateur, participez à des cours en ligne, envoyez des
messages courriel et / ou participez à nos forums, nos wiki…. Nous recueillons des informations sur les performances et les
modes d'apprentissage des apprenants. Nous enregistrons des informations indiquant, entre autres, les pages de notre site
ayant été visitées, l'ordre dans lequel elles ont été visitées, quand elles ont été visitées et quels sont les liens et autres
contrôles de l'interface utilisateur qui ont été utilisés.
Nous pouvons enregistrer l'adresse IP, le système d'exploitation et le navigateur utilisé par chaque utilisateur du site. Divers
outils sont utilisés pour recueillir ces informations.
Les donnés d’usage peuvent être utilisées :
- Pour permettre aux établissements de proposer, administrer et améliorer leurs cours.
- Pour nous aider, nous et les établissements, à améliorer l'offre de www.fun-mooc.fr, de manière individuelle (par exemple
au travers de l'équipe pédagogique travaillant avec un apprenant) et de manière globale pour personnaliser l'expérience et
évaluer l'accessibilité et l'impact de www.fun-mooc.fr dans la communauté éducative internationale.
- A des fins de recherche scientifique, en particulier dans les domaines des sciences cognitives et de l'éducation.
- Pour suivre la fréquentation, à la fois individuelle et globale, la progression et l'achèvement d'un cours en ligne et pour
analyser les statistiques sur la performance des apprenants et la façon dont ils apprennent.
- Pour détecter des violations de la charte utilisateur, la manière d’utiliser le site ainsi que des utilisations frauduleuses ou
l'étant potentiellement.
- Pour publier des informations, mais pas des données personnelles, recueillies par www.fun-mooc.fr sur les accès,
l'utilisation, l'impact et la performance des apprenants.
- Pour archiver ces informations et / ou les utiliser pour des communications futures avec vous.
- Afin de maintenir et d'améliorer le fonctionnement et la sécurité du site et de nos logiciels, systèmes et réseaux.
https://www.fun-mooc.fr/privacy

25. Le nouveau Règlement Général de
Protection des données
A lire: les 10 points clés du nouveau règlement
- Plus de formalités de déclarations, mais
« privacy by design », registre des activités
de traitement, études d’impact ;
- Rôle de la CNIL réorienté vers le contrôle,
la sensibilisation, la sanction ;
- Obligation pour entreprises et
administrations de désigner un Délégué à
la Protection des Données (DPO) ;
- Sanctions pour violation augmentées (20
millions d’€, 4% du chiffre d’affaires
mondial ;
- Application territoriale du règlement sans
limite. Nouveaux droits pour les
personnes : droit à la
portabilité des données, droit
à l’oubli, droit d’information,
consentement, protection
des mineurs, etc.

26. Notion centrale = Accountability
(principe de redevabilité)
https://www.alain-bensoussan.com/avocats/accountability-
reglement-donnees/2016/09/19/
L’obligation d’accountability
implique pour le responsable du
traitement :
- de prendre des mesures
efficaces et appropriées afin de
se conformer au règlement
européen ;
- d’apporter la preuve, sur
demande de l’autorité de
contrôle, que les mesures
appropriées ont été prises.

27. Une application territoriale
sans limite
Mais à combiner avec les règles du Privacy
Shield et les Binding Corporate Rules (BCR)…

28. Un renversement important : le passage à
un principe de consentement
Le règlement consacre que le
consentement de la personne
doit être donné en étant
« univoque » (manifestation de
volonté libre, éclairée,
spécifique et univoque) pour
tout traitement de données
personnelles, sauf pour le
traitement de données
sensibles où le consentement
doit être donnée de façon
« explicite ».
Mais grandes failles autour de la notion d’intérêt légitime du
responsable de traitement et de variations des finalités.

29. De nouveaux droits pour
les individus
• Droit à la portabilité des données
(déjà introduit en France par la loi
République numérique)
• Droit à l’effacement (ou droit à l’oubli
numérique)
• Mais aussi des fragilisations des droits
existants (exceptions au droit à
l’information, restrictions du droit
d’objection, etc.)
Quels liens entre les Learning Analytics
et le droit à la portabilité ?
Risque en réalité d’être assez limité, car
ne concerne que les données fournies par
l’individu et pas celles élaborées à partir
du traitement de celles-ci.
https://www.haas-avocats.com/data/portabilite-des-
donnees-comment-les-consommateurs-peuvent-
recuperer-leurs-donnees-les-transferer-autre-
operateur/

30. Vers une nouvelle signalétique
pour la vie privée (Privacy Icons)?
https://www.privacytech.fr/privacy-icons/
Le règlement prévoit que
les conditions de
traitement des données
personnelles pourront
être exprimées sous
forme d’icones.

31. Anonymisation vs
Pseudonymisation
Là où la CNIL raisonnait
en terme
d’anonymisation, le
règlement parle
seulement de
« pseudonymisation ».
« La pseudonymisation (remplacement
d'un nom par un pseudonyme) est un
processus par lequel les données perdent
leur caractère nominatif. Elle diffère de
l'anonymisation car les données restent
liées à la même personne dans tous les
dossiers et systèmes informatiques sans
que l’identité ne soit révélée. »
https://www.iso.org/fr/news/2009/03/Ref1209.html
Plus de marge de manœuvre dans le cadre du
règlement pour les Learning Analytics que dans le
cadre CNIL actuel ?

32. La question du « profilage »
Déf° : « fait de prendre des
décisions adaptées à un individu en
particulier et de prédire ses futurs
choix, son rendement professionnel,
sa situation économique, sa
localisation, ses mouvements, sa
santé, ses préférences personnelles,
sa fiabilité ou son comportement. »
Interdit par le règlement lorsqu’il
porte sur des « données sensibles »,
mais possible dans le cadre de
l’exécution d’un contrat, de
consentement explicite de la
personne ou pour un objectif d’intérêt
public général.
Or les Learning Analytics peuvent impliquer des
opérations de profilage à des fins prédictives.

33. Question des traitements
algorithmiques / Big Data
Le Big Data soulève des problèmes de protection des données personnelles, notamment du
point de vue du respect du principe de proportionnalité et de finalité.
Mais le règlement est plus souple là aussi, dans la mesure où il admet des changements de
finalité dans le traitement des données personnelles.

34. Les Learning Analytics dans le
cadre du RGPD
 Il faudra sans doute réaliser des études d’impact
préalables pour les projets innovants et formaliser
des politiques de protection des données pour
respecter le principe d’accountability ;
 Il faudra recueillir le consentement et pas
seulement informer les individus en cas de
traitement des données personnelles (case à
cocher dans formulaire possible) ;
 Les techniques de profilage prédictif des
comportements des individus semblent possibles
à mettre en place, à condition de recueillir le
consentement.
 Le règlement s’appliquera sans ambiguïté à des
opérateurs étrangers (type Coursera, Microsoft,
etc).

35. Quelle articulation avec les nouvelles règles en matière
d’ouverture des données publiques (Open Data)

36. Y compris pour les universités

37. Consécration d’un principe de libre réutilisation
et de gratuité (Loi Valter)
Seules quelques administrations listées par décret pourront encore lever
des redevances de réutilisation de leurs données.

38. Obligation de publication et d’ouverture des
codes sources des algorithmes de
l’administration
http://www.letudiant.fr/educpros/actualite/apb-la-mission-etalab-
recommande-de-publier-le-code-source-de-l-algorithme.html

39. Mais obligation de protéger les données
personnelles et la vie privée des individus
« Lorsque les documents comportent des données à
caractère personnel, ils ne peuvent être rendus publics
qu’après avoir fait l’objet d’un traitement afin de
rendre impossible l’identification des personnes
concernées. »

40. Respect des droits de propriété
intellectuelle appartenant à des tiers.
Exclut les documents produits par les enseignants,
les chercheurs, les étudiants (publications
scientifiques, contenus pédagogiques, mémoires,
thèses, etc.)

41. Les Learning Analytics
et l’Open Data
 Les données d’apprentissage feront partie des
données entrant dans le principe d’Open Data par
défaut fixé par la loi République numérique ;
 Il faudra les publier spontanément et les rendre
réutilisables, y compris par des entreprises sans
contrepartie de redevances à payer ;
 Mais ces données devront être anonymisées et ne
pas permettre de réidentification indirecte des
individus.
 Par contre, l’obligation d’Open Data par défaut ne
concerne pas les contenus pédagogiques eux-
mêmes, couverts par le droit d’auteur.
L’application d’une licence libre est possible, mais
pas obligatoire pour les administrations.

42. Quels encadrements pour les
projets de recherche ?
http://hubblelearn.imag.fr/wp-content/uploads/2015/02/charte-
ethique-Hubble-juin-2016.pdf

43. L’initiative Apereo Learning Analytics
http://www.sup-numerique.gouv.fr/cid113065/learning-
analytics-une-tendance-emergente-dans-l-education.html

44. De l’inspiration à chercher en
Angleterre ?
http://www.open.ac.uk/students/charter/essential-documents/ethical-use-
student-data-learning-analytics-policy#

45. Il faut désormais se battre sans relâche pour préserver un espace du Commun :
une infrastructure nous permettant d’agir et d’innover sans être déterminés par
les plateformes et les algorithmes de tiers. L'Etat, en devenant Etat
plateforme peut contribuer à desserrer l'étau des plateformes privées.
Il faudra intégrer au débat public de nouveaux concepts, comme le droit de
reprendre possession de ses données personnelles (la « dataportabilité »), le droit
à demander l'effacement de ses données, le droit au silence des puces et à celui
des algorithmes.
Il faudra organiser la transparence sur l’existence et le fonctionnement de ces
algorithmes, la nécessité de pouvoir en vérifier le fonctionnement effectif, la
possibilité de leur demander des comptes, comme s'y emploie désormais l'Etat
pour ses propres algorithmes.
http://www.henriverdier.com/2017/07/quand-
zuckerberg-veut-faire-le-bonheur.html
Conclusion : profiter des nouvelles opportunités ouvertes par les
Learning Analytics, mais conserver les conditions de choix individuels
ou collectifs sur le déploiement de ces technologies.