Victor Larger (Fun Mooc) "Nous avons travaillé sur la notion de coresponsabilité"

Alors que la Nuit du data protection officer approche, le DPO de Fun Mooc, opérateur de la plateforme Fun qui associe plus de 150 établissements d'enseignement supérieur dans le monde, évoque son dernier challenge.

 Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer. 

JDN. Quel a été votre dernier projet au sein de Fun Mooc ?

Victor Larger. Mon projet s'inscrivait dans le cadre de l'audit général sur la conformité et l'entrée en application du RGPD, le règlement général sur la protection des données. Lors de ma prise de poste, je me suis rendu compte qu'il fallait avant tout redéfinir la responsabilité de chacun. L'idée était donc de repartir de la base, de reposer les fondations de toute la conformité au RGPD, de prendre en compte les apports du RGPD sur la responsabilité conjointe et de voir la situation particulière de Fun Mooc, qui est un groupement d'intérêt public. Le projet mené entre septembre et mars 2019 a été de redéfinir les responsabilités de chacun pour pouvoir repartir sur des bases saines et respectueuses de la réalité, puis construire la conformité au RGPD sur ces bases, en associant tous les partenaires c'est-à-dire principalement les universités et les autres établissements d'enseignement supérieur.

D'où partiez-vous ?

Il existait une convention avec chacun des producteurs de mooc qui considérait que Fun Mooc était seul responsable de tout ce qui était mis en œuvre sur les différentes plateformes - Fun Mooc est la plateforme la plus visible du grand public mais il existe d'autres plateformes comme Fun-Campus, qui dématérialise l'enseignement des universités ou Fun-Corporate, qui s'occupe de formation continue pour les salariés d'entreprise. Nous nous sommes donc demandé si cette convention, à l'ère du RGPD, était toujours juridiquement juste et si elle correspondait toujours à la façon dont les données étaient traitées. Et si ce n'était pas le cas, comment réorganiser les choses.

En deux mots : est-ce qu'il fallait avenanter chacune de ces conventions ? Après avoir fait valider cette approche par le responsable des traitements, j'ai eu des échanges avec la Cnil, qui a confirmé qu'il paraissait opportun d'envisager cette notion de responsabilité conjointe. Nous avons donc lancé un appel auprès de tous les DPO de l'écosystème de Fun afin de les associer à la rédaction d'un accord en coresponsabilité. Un accord qui a été adopté par le conseil d'administration de Fun Mooc.

Comment avez-vous réussi à fédérer tous les DPO concernés ?

"Nous sommes désormais au clair sur la responsabilité juridique de chacun"

Dans l'enseignement supérieur, nous avons depuis longtemps un réseau efficace et actif qui regroupe tous les DPO de toutes les structures liées à l'enseignement supérieur : SupDPO. Nous nous connaissions donc et cela a facilité leur association très en amont du projet. Nous avons mis à profit les différentes compétences disponibles, juridiques et techniques, sur cette question, dont nous avons assuré un retour d'expérience à l'ensemble du réseau, même si tous n'étaient a priori pas directement concernés.

Quel a été le résultat ?

Nous sommes désormais au clair sur la responsabilité juridique de chacun en fonction de l'usage qu'ils font des plateformes et nous avons donc pu rédiger les actes juridiques correspondants : un établissement qui utilise une plateforme sait désormais qu'il peut être coresponsable des traitements de données et des demandes d'accès aux données personnelles que ses étudiants peuvent formuler. La Cnil a confirmé que ce point de coresponsabilité était pleinement d'actualité, en inscrivant la répartition des responsabilités à sa stratégie de contrôle 2019.

En quoi le projet est innovant ?

Cette notion de coresponsabilité s'est avérée être une vraie question d'actualité. Et cela m'a permis d'intégrer tous les éléments de notre travail dans un cours en format SPOC à destination de nos membres afin d'informer au mieux les DPO et équipes pédagogiques.

En quoi le projet est ambitieux ?

Il est ambitieux car nous avons mis le doigt dans un engrenage ! Après avoir défini la responsabilité conjointe, il nous faut en tirer toutes les conclusions, adapter toutes les conventions, les mentions légales, assurer la bonne information des personnes, être à jour sur les règles juridiques nouvelles…

En quoi le projet est fédérateur ?

Fun Mooc est un groupement d'intérêt public : nous mettons à contribution l'expertise de tous les acteurs, dont les DPO qui ont travaillé ensemble mais également les experts techniques, pédagogiques, ainsi que les utilisateurs.