J’ai eu la chance récemment d’être invité pour intervenir lors des rencontres 2017 de la communauté Scenari (un logiciel libre permettant de créer des chaînes éditoriales pour produire – entre autres – des ressources pédagogiques). On m’avait demandé à cette occasion de traiter le sujet des Learning Analytics (analyse des données d’apprentissage, en français) dans leurs liens avec la protection des données personnelles et je vous propose la présentation ci-dessous, qui essaie de balayer les divers aspects de la question.
Les Learning Analytics constituent un enjeu important du numérique appliqué aux activités pédagogiques, que ce soit à l’école, à l’université ou dans le secteur privé. C’est typiquement le genre de technologies présentant une nature « pharmacologique » – pour reprendre la notion de Pharmakon développée par Bernard Stiegler. A la fois remède est poison, l’analyse des traces laissées par les utilisateurs des ressources pédagogiques offre des perspectives révolutionnaires d’accompagnement et de personnalisation des enseignements, de manière à ce que chacun puisse bénéficier au mieux des contenus numériques en fonction de son profil et de ses besoins.
Mais évidemment, ces outils technologiques peuvent aussi se révéler passablement intrusifs et porter atteinte à la vie privée des utilisateurs, en favorisant le fichage ou le profilage des individus, ainsi que la marchandisation des données qu’ils produisent en contexte d’apprentissage. La CNIL a d’ailleurs publié le mois dernier un article intéressant sur la question des Learning Analytics qui souligne bien cette nature ambivalente :
Si elles sont utiles à l’amélioration globale de la plateforme, la production et la réutilisation de ces données interrogent : elles pourraient tout aussi bien être utilisées pour prédire des situations d’échec, détecter des élèves à risque, enfermer les élèves dans des parcours scolaires « adaptés à leur profil », prédire les abandons dans les Moocs, voire même fournir des profils adaptés à des employeurs potentiels… Des finalités qui pour certaines, si elles ne sont pas encadrées, pourraient aboutir à des formes de discrimination.
[…] Au-delà de l’aspect juridique, des questions seront certainement à soulever du côté de l’éthique, dès lors que l’on cherchera à classer les élèves dès leur plus jeune âge pour repérer des cas de déviance, avec le risque de les enfermer dans des bulles d’échec. Pour que les données de leur enfance ne les poursuivent pas tout au long de leur vie.
Le (controversé) rapport « Enseignement supérieur et numérique », publié il y a quelques semaines par l’Institut Montaigne, accorde lui aussi une large place aux Learning Analytics, en lien avec l’enjeu du pilotage des établissements académiques :
L’analyse des données d’apprentissage (learning analytics) a également une importance capitale, puisqu’elle permet à la fois aux professeurs de connaître les attentes de leurs étudiants et leurs difficultés, et aux étudiants d’individualiser leurs parcours, d’identifier leurs faiblesses et de bénéficier d’une pédagogie sur mesure. La généralisation de cette analyse quantitative pourrait notamment être un moyen de lutter efficacement contre le décrochage en licence. Rappelons en effet que près de 60 % des inscrits en première année de licence ne passent pas en deuxième année. Plus globalement, elle constitue un réel levier pour améliorer la performance générale du système éducatif.
Il y a donc beaucoup de gains à attendre des Learning Analytics, mais elles risquent aussi de générer de redoutables externalités négatives, notamment si les communautés d’apprentissage ne maîtrisent pas les outils et l’environnement numérique où ces pratiques auront lieu (oui, je pense très fort au partenariat entre Microsoft et l’éducation nationale en écrivant ces lignes…).
Dans la présentation ci-dessus, j’essaie de passer en revue quelles sont les règles de protection des données personnelles applicables à ce type de traitements, dans le cadre de la réglementation CNIL actuellement en vigueur. Mais je m’efforce aussi d’anticiper des évolutions importantes à venir, notamment celle de l’entrée en vigueur l’année prochaine du Règlement Général de Protection des Données (RGPD) d’origine européenne, qui va profondément bouleverser la matière.
Là où la législation française reposait essentiellement sur des formalités préalables de déclaration à la CNIL, le règlement européen les supprime pour mettre en place un principe de « redevabilité » (accountability) qui va imposer aux établissements de définir a priori des politiques de protection des données (études d’impact, privacy by design, sécurisation, etc.). Par ailleurs, le règlement va désormais nécessiter de recueillir le consentement éclairé des personnes intéressées par un traitement des données personnelles, là où la loi française antérieure ne réservait cette obligation qu’à des hypothèses bien déterminées (données sensibles, cookies, prospection commerciale) et se limitait en dehors de ces cas à un devoir d’information préalable des individus. Si le règlement paraît globalement renforcer la protection des données et consacrer de nouveaux droits (comme celui à la portabilité des données), il a aussi des effets plus ambigus dans la mesure où certains acquis du cadre français paraissent fragilisés (l’exigence d’anonymisation des données par exemple est remplacée par une simple pseudonymisation moins protectrice). Le règlement permet aussi de mettre en place des pratiques de profilage prédictif du comportement des individus, qui peuvent avoir leur intérêt dans le cadre des Learning Analytics, mais dont le caractère intrusif pose aussi de nombreuses questions.
Au-delà du Règlement européen, j’essaie également de voir quelles vont être les incidences de la loi numérique sur les Learning Analytics. A priori, ces données devraient être concernées par l’obligation d’Open Data par défaut que la loi Lemaire impose aux administrations (y compris les universités). Cela signifie qu’elles devront mettre en ligne et rendre librement réutilisables les données d’apprentissage, sans pouvoir fixer de redevances de réutilisation (y compris pour les éventuels usages commerciaux réalisés par des entreprises). Mais ces principes ne vaudront que pour les données anonymisées, car l’Open Data par défaut ne s’applique pas aux documents contenant des informations à caractère personnel. Et cela ne concerna pas non plus le contenu des ressources pédagogiques elles-mêmes, lorsqu’il est protégé par le droit d’auteur. Une licence libre peut bien sûr être appliqué pour entrer dans la logique des Ressources Educatives Libres (REL), mais ce n’est pas une obligation pour les établissements.
Au final, le cadre juridique n’empêche pas bien sûr pas de déployer des technologies de Learning Analytics, mais il impose de prendre des précautions pour garantir les droits des individus concernés (information, consentement, accès, effacement, portabilité) et la maîtrise de leurs données. La mise en place peut être relativement simple si l’on se contente de traiter des données anonymisées (à condition de garantir que les réidentifications indirectes soient impossibles, ce qui peut ne pas être si évident). Mais il faudra établir des politiques de protection précises et spécifiques pour être en mesure d’effectuer des traitements de données personnelles, ce qui paraît inévitable si l’on veut bénéficier à plein du potentiel des Learning Analytics.
Ce sujet est extrêmement intéressant, car il se trouve au carrefour de plusieurs évolutions juridiques importantes – et parfois contradictoires, puisque les administrations vont bientôt se retrouver à devoir gérer en même temps des exigences accrues de protection, mais aussi d’ouverture. Il faudra sans doute du temps et beaucoup d’expérimentations pour trouver où positionner le curseur de manière à tirer le meilleur parti de ces technologies, sans fragiliser les droits des individus.
Classé dans :Données personnelles et vie privée Tagged : éduction, données personnelles, learning analytics, open data, ressources pédagogiques, RGPD 
