Le stagiaire juridique de l'EFF, Rob Ferrari, était l'auteur principal de cet article.
Une nouvelle année scolaire a commencé, la deuxième depuis le début de la pandémie. Notre système éducatif devenant de plus en plus dépendant de l'utilisation de la technologie (« edtech »), en particulier pour l'apprentissage à distance pendant la pandémie , la protection de la vie privée des étudiants est plus importante que jamais. Malheureusement, le Future of Privacy Forum 2020 Student Privacy Pledge , comme la version héritée , continue de fournir aux écoles, aux parents et aux étudiants une fausse assurance en raison de nombreuses lacunes pour les signataires de la société edtech qui collectent et utilisent les données des étudiants.
Le Future of Privacy Forum (FPF) a initialement lancé le Student Privacy Pledge en 2014 pour encourager les entreprises de technologie électronique à prendre des mesures volontaires pour protéger la vie privée des étudiants de la maternelle à la 12e année. En 2016, nous avons critiqué le Legacy Pledge après avoir atteint 300 signataires, au grand désarroi de FPF .
L'engagement 2020 est encore une fois insuffisant dans la façon dont il définit les termes matériels, tels que « PII étudiant » et « fournisseurs de services scolaires » ; de nombreux engagements de l'Engagement 2020 sont conditionnés au consentement de l'école ou des parents/élèves, ce qui peut ne pas protéger correctement la vie privée des élèves ; et les nouveaux engagements sont insuffisamment précis.
De plus, alors que le Student Privacy Pledge est un programme d'autoréglementation, FPF souligne que les entreprises qui choisissent de signer le Pledge s'engagent à respecter des promesses publiques qui sont exécutoires par la Federal Trade Commission (FTC) et les procureurs généraux des États en vertu des lois sur la protection des consommateurs, mais c'est une froide consolation, car les mesures d'exécution contre les entreprises de technologie électronique pour violation de la vie privée des étudiants ont été rares.
Lacunes dans les définitions
Semblable à nos critiques antérieures du Legacy Student Privacy Pledge de FPF, le 2020 Pledge est rempli d'une terminologie incohérente et ne définit pas les termes matériels. Cela crée un décalage entre ce à quoi les écoles, les parents et les élèves peuvent raisonnablement s'attendre lors de la lecture de l'Engagement 2020 et ce que les entreprises doivent réellement faire pour s'y conformer. En bref, des termes incohérents et vagues sapent la capacité du Pledge à demander des comptes aux entreprises.
L'engagement 2020 protégera-t-il les données sensibles des étudiants ?
C'est vague.
Premièrement, les engagements 2020 Pledge s'appliquent principalement aux « informations personnellement identifiables des étudiants » (« PII des étudiants »), un nouveau terme qui aurait la même définition que les « informations couvertes » telles que définies dans la loi californienne sur la protection des informations personnelles en ligne des étudiants ( SOPIPA ). Mais les «informations couvertes» dans SOPIPA incluent le terme «informations personnellement identifiables», ce qui rend la définition de l'engagement 2020, en partie, circulaire. De plus, la SOPIPA ne définit pas les « informations personnellement identifiables », et il ne suffit pas de laisser le soin aux entreprises. Cela crée des problèmes de conformité pour les signataires, car ils doivent évaluer les données fournies sur l'étudiant pour déterminer si elles peuvent être interprétées comme des «informations personnellement identifiables». Ironiquement, la FPF elle-même a reproché à la SOPIPA (pp. 18-19) d'être difficile à mettre en œuvre parce que la loi ne définit pas les « informations personnellement identifiables ». Alors pourquoi le Pledge 2020 fait-il référence à SOPIPA alors que FPF pense que le statut est difficile à mettre en œuvre ?
Deuxièmement, la définition du 2020 Pledge de « PII étudiant » comprend une exception pour les « informations anonymisées ». Les signataires sont donc libres de collecter et d'utiliser les données des étudiants contrairement aux engagements du Pledge tant que les données sont « dépersonnalisées ». Alors que le département américain de l'Éducation a rédigé des directives sur la désidentification des données, l'Engagement de 2020 ne définit pas ce terme et ne fournit donc pas de norme de désidentification qui offre une protection de base de la vie privée et qui peut être utilisée pour déterminer la conformité des signataires. avec l'Engagement.
Tous les processus d'anonymisation n'offrent pas une protection adéquate. Par exemple, un fournisseur edtech peut créer un profil d'étudiant qui contient des données d'étudiant sensibles, puis simplement remplacer le nom de cet étudiant par un numéro d'identification. Cette pratique protégerait faiblement la vie privée des étudiants, mais relèverait-elle de l'exception des « informations anonymisées » du Pledge 2020 ? Des processus d'anonymisation plus stricts, tels que l'agrégation des données des étudiants, pourraient toujours compromettre la confidentialité des étudiants, car certains types de données sont plus sensibles que d'autres. Par exemple, les données de localisation sont extrêmement sensibles, et même isolées, elles peuvent révéler des modèles d'habitudes quotidiennes d'un élève ; suivre les allées et venues précises de l'élève à tout moment ; et compromettre l'identité de l'élève par extrapolation.
Certes, les normes peuvent être difficiles à rédiger, et même les meilleures pratiques en matière d'anonymisation comportent un certain risque, car les processus de réidentification deviendront de plus en plus sophistiqués au fil du temps. Mais une exigence minimale d'anonymisation aiderait à combler cette lacune par ailleurs assez importante. En revanche, laisser le terme non défini et ouvert à l'interprétation individuelle de l'entreprise crée une large exception qui sape la capacité de l'Engagement à tenir les entreprises responsables et à protéger de manière significative la vie privée des étudiants.
Quelles entreprises sont soumises à l'engagement 2020 ?
Les engagements de l'engagement 2020 s'appliquent aux « fournisseurs de services scolaires », qui est un terme d'engagement hérité qui a été révisé. Malgré les révisions, le terme continue de créer de la confusion quant au moment où une entreprise signataire est soumise aux obligations du Pledge 2020.
Premièrement, la définition d'un « fournisseur de services scolaires » de l'engagement 2020 est incohérente quant à savoir si une entreprise doit à la fois concevoir et commercialiser un produit/service pour les écoles afin d'être liée par l'engagement, ou simplement commercialiser son produit/service pour les écoles est suffisant.
Comme le prévoit la première ligne de la définition, pour être qualifiée de « fournisseur de services scolaires », une entreprise doit simplement commercialiser son produit/service pour une utilisation dans les écoles. Cette définition plus laxiste est meilleure pour les étudiants. Mais dans la deuxième ligne, le Pledge crée une exception lorsqu'un produit/service n'est pas à la fois conçu et commercialisé pour les écoles. La FAQ de FPF explique en outre qu'un produit/service doit être conçu pour l'éducation, pas seulement pour être commercialisé (voir « Mon entreprise est-elle éligible pour prendre l'engagement ? » ).
Semblable à notre critique antérieure du Legacy Pledge, cela est problématique car une entreprise pourrait être signataire du Pledge et se qualifier en tant que « Fournisseur de services scolaires » en commercialisant son produit/service (ou l' un de ses produits/services) pour les écoles, mais cette même entreprise pourrait alors faire valoir que la collecte de données via un produit/service particulier n'est pas soumise aux engagements du Pledge parce que le produit/service n'était commercialisé que – et pas également conçu – pour les écoles.
Par exemple, Beanstack de Zoobean, signataire du Pledge 2020, est un produit qui encourage la lecture à travers divers défis. Alors que Beanstack est commercialisé auprès des écoles ainsi que des bibliothèques, des entreprises et des consommateurs, Zoobean serait-il autorisé à affirmer que son produit était simplement commercialisé, mais pas conçu pour les écoles ? Et si Beanstack était en fait conçu pour être utilisé par des bibliothèques ou des consommateurs, mais que les écoles montraient incidemment une demande pour le produit ?
Zoobean n'est pas seul. On ne sait pas pour quel marché le signataire AvePoint , un "fournisseur de solutions de gestion de données" de Microsoft 365, a été conçu, bien qu'il semble être commercialisé auprès des entreprises, des gouvernements et de l'enseignement supérieur (ce qui est ironique, étant donné que l'engagement s'applique aux fournisseurs en K -12 écoles, pas les collèges et universités). Botdoc , un service de transfert de données sécurisé, ne semble même pas être conçu pour les écoles, mais doit être commercialisé auprès des écoles (étant donné qu'il est signataire d'un Pledge). Ce ne sont là que quelques exemples des raisons pour lesquelles la définition confuse de « fournisseur de services scolaires » est un problème.
Deuxièmement, une entreprise peut être considérée comme signataire de l'Engagement si elle propose ne serait-ce qu'un seul produit/service qui correspond à la définition de FPF de « Fournisseur de services scolaires » (nonobstant la confusion entourant la définition). Mais cette société ne serait liée par le Pledge pour aucun de ses autres produits/services qui ne relèvent pas de la définition de FPF. Comme FPF l'a expliqué dans un article de blog (ajoutant encore une fois à la confusion marketing/conception) : « L'un des malentendus les plus courants concernant le Pledge est l'hypothèse selon laquelle le Pledge s'applique à tous les produits proposés par un signataire ou utilisés par un étudiant. Cependant, le Student Privacy Pledge s'applique aux « fournisseurs de services scolaires », des entreprises qui conçoivent et commercialisent leurs services et appareils pour une utilisation dans les écoles. » Ceci est préoccupant car les écoles, les parents et les élèves peuvent faire confiance à tort à l'ensemble de la gamme de produits/services d'une marque en fonction de son statut de signataire de l'Engagement de confidentialité des élèves. Cela n'aide pas non plus que cette mise en garde ne soit pas facilement discernable même à une lecture attentive de l'Engagement de 2020 et de la FAQ.
De même, il est regrettable que l'Engagement ne s'applique qu'à l'enseignement K-12 et ne s'applique pas aux collèges et universités. Les établissements d'enseignement supérieur et les étudiants peuvent croire à tort qu'un signataire d'un engagement est tenu de protéger la confidentialité des données recueillies auprès des étudiants de niveau postsecondaire, lorsque ce n'est pas le cas.
Notification requise pour les modifications apportées à quelle politique de confidentialité ?
L'Engagement 2020 exige que les signataires fournissent un avis bien visible aux écoles, aux parents et aux élèves lorsqu'ils apportent des modifications aux « politiques de confidentialité éducatives ». Il s'agit d'un changement restrictif par rapport au Legacy Pledge, qui obligeait les entreprises à notifier lorsqu'elles modifient leurs « politiques de confidentialité des consommateurs ». La section définitionnelle de l'Engagement 2020 ne définit pas les « politiques de confidentialité éducatives », au lieu de définir uniquement les « politiques de confidentialité des consommateurs » (ce qui est probablement une erreur commise lors du processus de révision).
Sans fournir une définition de « politiques de confidentialité éducatives », ce changement est problématique. Par exemple, Google Workspace for Education a un avis de confidentialité qui renvoie aux politiques générales de confidentialité de l'entreprise. Google pourrait-il faire valoir qu'il n'est pas obligé en vertu de l'Engagement 2020 d'informer les écoles, les parents et les élèves lorsqu'il modifie ses politiques générales de confidentialité, car celles-ci ne concernent pas uniquement ses produits éducatifs ? En omettant de définir des « politiques de confidentialité éducatives », l'Engagement de 2020 crée une incertitude qui pourrait permettre aux entreprises d'être en conformité technique tout en évitant la transparence pour leurs utilisateurs.
Lacunes dans la confidentialité basée sur le consentement
De nombreux engagements du Pledge prévoient des exceptions lorsqu'une entreprise de technologie de pointe exécute des « fins éducatives/scolaires autorisées » ou lorsque l'entreprise acquiert le consentement des parents/étudiants. Le consentement de l'école ou du parent/élève contrôle les obligations d'une entreprise edtech en ce qui concerne la collecte, la conservation ou le partage des informations personnelles des élèves ; construire des profils personnels d'un étudiant; et à la durée pendant laquelle les données personnelles des étudiants peuvent être conservées. Structurer les engagements clés de cette manière peut ne pas protéger adéquatement la vie privée des étudiants.
Premièrement, les écoles peuvent déterminer si une activité est un « objectif éducatif/scolaire autorisé », qui donne effectivement le consentement au nom du parent/élève. Ce contournement du consentement des parents/élèves est particulièrement préoccupant pour les écoles ou les districts scolaires qui négligent les problèmes de confidentialité des parents/élèves, font implicitement confiance aux politiques de confidentialité ou manquent de ressources pour former correctement les administrateurs et les enseignants sur les meilleures pratiques en matière de confidentialité des élèves.
Deuxièmement, la vie privée des élèves qui dépend du consentement des parents/élèves a ses propres lacunes inhérentes. Les parents/étudiants peuvent consentir à une conduite de l'entreprise qui compromet la vie privée des étudiants en raison de pratiques trompeuses telles que la désinscription par défaut (par opposition à la collecte et l'utilisation de données) et d'autres « modèles sombres ». La FAQ elle-même indique qu'« un parent ou un élève peut autoriser un signataire à utiliser les informations personnelles des étudiants à des fins non éducatives », ce qui est préoccupant étant donné le risque de paramètres trompeurs (voir « Que dit l'Engagement sur les limites imposées aux signataires utilisant des PII?” ). De plus, les parents/étudiants peuvent ne pas avoir de choix significatif car il existe des obstacles à la désinscription , comme lorsqu'une école, un district ou des enseignants individuels dépendent fortement des produits/services d'une entreprise de technologie de l'éducation et qu'il n'existe aucune véritable alternative, c'est-à-dire les parents/étudiants. sont forcés par inadvertance à consentir au risque d'une éducation médiocre.
Les nouveaux engagements ne vont pas assez loin
L'engagement 2020 de FPF comprend des engagements supplémentaires qui pourraient réellement améliorer la confidentialité des étudiants par rapport à l'engagement Legacy, mais le langage contraignant ne va pas assez loin.
Premièrement, l'Engagement 2020 exige désormais des fournisseurs de services scolaires qu'ils fournissent des « ressources » pour éduquer les écoles, les parents et les élèves sur la façon d'utiliser leurs produits/services d'une manière qui favorise la confidentialité et la sécurité. L'EFF croit fermement qu'une formation appropriée est essentielle pour garantir la confidentialité des étudiants. Mais le langage de cet engagement est vague et faible car il ne fixe pas de norme minimale sur les « ressources » qui doivent être fournies. La FAQ fournit des conseils grâce à une liste non exhaustive des « ressources » que FPF a en tête, dont beaucoup devraient, selon nous, faire partie d'une approche globale de la confidentialité des étudiants (voir « Quelles autres informations sont disponibles sur la fourniture de ressources pour aider les utilisateurs et/ou titulaires de compte ? » ). Mais la FAQ n'est pas le Pledge. Et la vie privée des étudiants peut ne pas être protégée de manière adéquate même si l'engagement 2020 est lu à côté de la FAQ – par exemple, si un produit / service lui-même n'a pas de paramètres de confidentialité robustes, ou si une entreprise fournit simplement des « manuels » à des non avertis en technologie utilisateurs.
Deuxièmement, l'Engagement 2020 exige également que les entreprises « intègrent la confidentialité et la sécurité lors du développement ou de l'amélioration » de leurs produits/services. Cette obligation est détaillée dans la FAQ (voir « Quelles informations supplémentaires sont disponibles sur l'intégration de la confidentialité et de la sécurité dans le processus de conception ?" ), qui indique, par exemple, qu'une entreprise pourrait se conformer en « appliquant les principes de confidentialité et de sécurité dès la conception ». Alors que l'EFF soutient pleinement la confidentialité dès la conception, l'approche de FPF se heurte ici aux mêmes problèmes que le nouvel engagement de « ressources ». La FAQ n'est pas le Pledge, et il n'y a pas de norme minimale requise pour cette obligation. Une entreprise pourrait faire le strict minimum et prétendre qu'elle a rempli son obligation, par exemple en suivant les principes de transparence ou d'ouverture de la confidentialité dès la conception en ayant une politique de confidentialité, mais en ne faisant rien d'autre. On est loin de l'esprit de la confidentialité dès la conception, qui met l'accent sur la confidentialité à tous les niveaux du processus de conception.
La protection de la vie privée des étudiants nécessite un programme solide et complet – les engagements génériques travaillant isolément ne sont pas suffisants.
L'engagement de confidentialité des étudiants n'est rien sans application
Même si l'engagement 2020 de FPF était un document hermétique capable d'être appliqué avec précision pour évaluer si les entreprises ont tenu leurs promesses publiques juridiquement contraignantes, les entreprises edtech ne seront pas tenues pour responsables à moins qu'il n'y ait application. La FPF elle-même n'a apparemment pas créé de mécanisme d'application pour évaluer régulièrement la conformité des signataires à l'Engagement, et il reste à voir si la FTC et les procureurs généraux des États sont prêts à l'appliquer.
Malgré l' organisation d'un atelier sur la vie privée des étudiants en 2017, la FTC apporte rarement des mesures d'application axées sur la vie privée des étudiants. En fait, depuis le début de 2018, la FTC a examiné 66 cas de confidentialité des consommateurs , dont aucun ne vise principalement à résoudre les problèmes de confidentialité des étudiants. La confidentialité des étudiants par rapport aux entreprises de technologie électronique devrait être au centre des préoccupations , en particulier à la lumière d'une année remplie d'apprentissage à distance et de l'augmentation subséquente des problèmes de confidentialité des étudiants . La présidente de la FTC ayant exprimé plus tôt cette année son intérêt à s'attaquer aux problèmes de confidentialité des étudiants, il est temps de passer des mots à l'action.
L'EFF n'est pas opposé aux mécanismes volontaires comme le Student Privacy Pledge pour protéger les utilisateurs, s'ils fonctionnent. Les écoles, les parents et les élèves doivent avoir la certitude qu'une entreprise dont ils utilisent les produits dans les salles de classe – et c'est un signataire de l'Engagement – non seulement respecte l'Engagement, mais protège en fait de manière significative la vie privée des élèves.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/09/fpfs-2020-student-privacy-pledge-new-pledge-similar-problems le Wed, 29 Sep 2021 03:19:19 +0000.