Traitement des données Dybuster

Dybuster prend la protection des données très au sérieux. Nous manipulons avec soin les données qui nous sont confiées et nous les utilisons uniquement pour soutenir idéalement les élèves avec Dybuster. Sur cette page, nous décrivons d’abord les systèmes de stockage dans un résumé, puis nous expliquons quelles données sont stockées à quelles fins et quelles précautions techniques sont prises pour protéger ces données.

Table des matières

Résumé des systèmes d'entraînement de Dybuster
Entraînement et coaching
Licences et gestion des utilisateurs
Protection et sécurité des données
Comptes anonymes
Accès aux données contrôlées par les rôles utilisateurs
Utilisation des données par Dybuster
Procédure normale
Maintenance et assistance
Données transmises et stockées
Politique relative aux mots de passe
Données en dehors des systèmes d'entraînement de Dybuster
Dispositions techniques
Structure d'hébergement et localisation
Cryptage des données
Sauvegardes
Réglementation
Droit applicable
Responsable de la confidentialité des données

Résumé des systèmes d'entraînement de Dybuster

Entraînement et coaching

Les systèmes d'entraînement de Dybuster, Dybuster Orthograph pour l'écriture et Dybuster Calcularis pour les compétences en mathématiques, sont informatisés. Les systèmes évaluent automatiquement ce que les élèves saisissent, c'est-à-dire leurs réponses aux questions posées, et estiment ainsi les difficultés et les forces des élèves en ce qui concerne les tâches d'écriture et de mathématiques contenues dans les systèmes d'entraînement. En se basant sur ces estimations, les systèmes calculent des plans d'apprentissage optimisés de manière individuelle. Les élèves peuvent utiliser les applications d'entraînement de manière autonome, tandis que les parents et/ou enseignants peuvent les superviser et les aider à utiliser les applications de coaching.

Au départ, les systèmes d'entraînement doivent être utilisés 3 à 4 fois par semaine, pour une durée de 15 à 20 minutes, soit l'équivalent de 3 mois d'entraînement (ou 12 semaines). Afin de permettre une telle régularité, un élève peut utiliser les applications d'entraînement sur autant d'appareils auxquels l'élève a accès. Le progrès de l'élève et son plan d'entraînement sont stockés sur un serveur, afin que celui-ci continue à travailler où il s'est arrêté sur un appareil différent et avec son propre plan d'apprentissage personnalisé. Outre l'élève, ses parents et/ou enseignants peuvent accéder aux données relatives au progrès et au plan d'apprentissage via les applications de coaching, afin d'assister l'élève. L'échange entre les appareils et le serveur s'effectue via Internet.

Figure 1: aperu du système Dybuster et des données transmises

Afin de fournir un plan d'apprentissage personnalisé, chaque élève doit être uniquement identifiable par son propre nom d'utilisateur. De même, ses parents et/ou enseignants doivent aussi être uniquement identifiables par leurs propres noms d'utilisateurs, afin de vérifier que seules les personnes qui ont droit d'accéder aux données de l'élève sont autorisées à y accéder.

Licences et gestion des utilisateurs

Les licences permettant aux utilisateurs d'accéder aux systèmes de Dybuster sont louées pour une durée limitée, en général pour 6 ou 12 mois. Dans le cas de licences privées, les parents enregistrent un utilisateur parent pour eux-mêmes et des utilisateurs élèves pour leurs enfants. Ces derniers utilisateurs sont associés à l'utilisateur parent. Afin que Dybuster et/ou ses partenaires de distribution puissent facturer les parents, ils doivent fournir leur vrai nom et leur vraie adresse, qui resteront associés à l'utilisateur parent pour la validation et le renouvellement de la licence. Il n'est toutefois pas requis de fournir les noms de leurs enfants ou toute autre information relative à leurs enfants.

Dans le cas de licences institutionnelles, Dybuster ou l'un de ses distributeurs partenaires fournit un utilisateur administrateur aux institutions. Cet utilisateur administrateur peut générer des utilisateurs enseignants, qui peuvent créer à leur tour des utilisateurs élèves pour leurs élèves. L'utilisateur administrateur reste associé aux utilisateurs enseignants et ces derniers restent associés à leurs utilisateurs élèves. Il existe ainsi une association indirecte entre l'utilisateur administrateur et les utilisateurs élèves. L'institution doit fournir son nom et son adresse ainsi que le nom d'un interlocuteur à Dybuster ou à l'un de ses partenaires de distribution afin que ceux-ci puissent la facturer et communiquer avec elle. Ces informations seront associées à l'utilisateur administrateur et aux informations sur la licence de cette institution. La validité des licences des utilisateurs enseignants et des utilisateurs élèves est vérifiée grâce à leur association avec l'utilisateur enseignant. Il n'est pas obligatoire de fournir un vrai nom ou toute autre information personnelle sur les utilisateurs enseignants et les utilisateurs élèves.

Si un district scolaire achète une licence, le district scolaire obtient un utilisateur administrateur de district, qui peut créer à son tour les utilisateurs d'institutions et leurs utilisateurs administrateurs. Cela élargira la chaîne d'association d'utilisateurs: des utilisateurs élèves aux utilisateurs enseignants, en passant par les utilisateurs administrateurs et les utilisateurs administrateurs de district. Seul le district doit fournir un vrai nom et une vraie adresse afin de pouvoir le facturer et communiquer avec lui.

Protection et sécurité des données

Remarque générale sur les «comptes anonymes»

Comme indiqué ci-dessus dans Licences et gestion des utilisateurs, il suffit de fournir une adresse et un interlocuteur par client (district scolaire, école, famille, etc.). En particulier, les élèves n'ont pas à fournir de premier ou deuxième prénom. Seuls les noms d'utilisateur et les mots de passe sont obligatoires. Afin de rendre presque impossible à quiconque d'associer un vrai élève à un utilisateur élève de Dybuster, un enseignant ou un parent peut utiliser des «noms d'utilisateurs anonymes» tels que «MineyMouse27» ou «batman493», et peut aussi utiliser des mots de passe non spécifiques tels que «chien» ou «i9Pxkr3». Ainsi, seul l'enseignant ou le parent qui génère les utilisateur élèves connait le vrai élève derrière le nom d'utilisateur (mis à part l'élève lui-même qui doit aussi connaître son propre nom d'utilisateur).

Le prénom et le nom de famille de tout utilisateur (enseignants, élèves, administrateur), l'adresse électronique et le sexe peuvent être indiqués comme informations non obligatoires. Ces informations sont utilisées pour s'adresser aux élèves de manière plus personnelle, ce qui augmente leur engagement. Les enseignants peuvent notamment imprimer des certificats sur lesquels le vrai nom des élèves est utilisé si disponible:

Figure 2: certificat de Dybuster Orthograph pour un utilisateur élève. À gauche, on observe que le prénom et le nom de famille sont fournis pour les utilisateurs. Le certificat est ainsi plus personnel et individuel.

D'après l'expérience de Dybuster, plus de 95% de toutes les institutions stockent les vrais noms de leurs élèves, dans la mesure où cela est plus personnel et par conséquent plus engageant. Cela facilite aussi le travail des enseignants: ils peuvent notamment organiser des rapports en utilisant les vrais noms au lieu d'avoir à se souvenir des noms d'utilisateur. La fourniture d'une adresse électronique permet d'envoyer automatiquement des certificats et rapports aux utilisateurs élèves. Le sexe est utilisé pour s'adresser à eux correctement dans des langues où l'on s'adresse aux garons et aux filles de manière différente.

Selon Dybuster, les avantages que présente la fourniture d'informations non obligatoires, notamment le prénom, sont supérieurs aux éventuels risques (très faibles selon Dybuster) car les données stockées ne sont pas sensibles. Elles consistent principalement en une liste de tâches dans les applications d'entraînement de Dybuster, pour chaque utilisateur, voir section ci-dessus. En particulier, elles ne contiennent aucune information relative aux notes, à l'origine ethnique, aux évaluations des enseignants, à des questions sociales, etc. Selon Dybuster, le fait qu'un élève utilise Dybuster constitue l'information la plus sensible, car les outils de Dybuster sont en général utilisés plus fréquemment par des enfants ayant des difficultés d'apprentissage que par ceux qui n'en ont pas. Par conséquent, l'utilisation des outils de Dybuster pourrait suggérer des difficultés d'apprentissage.

Les administrateurs de district et d'institutions peuvent définir une politique applicable à l'échelle de l'institution ou du district dans le système de gestion des utilisateurs, qui stipule que les utilisateurs élèves ne peuvent être créés qu'avec des noms d'utilisateur et des mots de passe aléatoires, et qu'aucune autre information à leur sujet ne peut être fournie.

Accès aux données contrôlées par les rôles utilisateur

Pour les institutions, Dybuster utilise la hiérarchie d'utilisateurs à plusieurs niveaux suivante:

Dybuster

Partenaires utilisateurs*

Administrateurs de district

Enseignants utilisateurs*

Élèves utilisateurs

Pour les utilisateurs privés, le niveau des administrateurs de district n'existe pas et celui des enseignants utilisateurs est remplacé par les parents utilisateurs.

Chaque utilisateur peut créer des utilisateurs au niveau immédiatement inférieur et définir le nombre d'utilisateurs qu'il peuvent créer à ce même niveau. Le rôle d'administrateur de l'institution peut être accordé à un ou plusieurs enseignants utilisateurs d'une institution, ce qui leur permet de créer d'autres enseignants utilisateurs et de leur attribuer également le rôle d'administrateur de l'institution. Le rôle d'administrateur partenaire peut être accordé à un ou plusieurs partenaires utilisateurs d'une entité partenaire, ce qui leur permet de créer d'autres partenaires utilisateurs et de leur attribuer également le rôle d'administrateur partenaire.

Chaque utilisateur ne peut créer des rapports que pour les utilisateurs se situant à un niveau inférieur au sien. Un utilisateur ne peut pas avoir accès aux données d'un utilisateur se situant dans sa propre section de la hiérarchie des utilisateurs, sauf les enseignants utilisateurs ayant le rôle d'administrateur de l'institution, qui peuvent aussi établir des rapports sur l'utilisation au sein de toute l'institution ou sur celle des utilisateurs élèves ou d'autres enseignants utilisateurs.

Utilisation des données par Dybuster

Procédure normale

Dybuster et ses partenaires utilisent seulement les données des élèves pour les services d'entraînement et d'intervention ainsi que pour l'amélioration de ces derniers. En particulier, Dybuster et ses partenaires n'utilisent pas les données à des fins de marketing, de publicité comportementale, de profilage (hormis la personnalisation des plans d'apprentissages pour l'intervention elle-même), de vente à des tiers, etc.

Dybuster se réserve le droit d'utiliser les données d'utilisation (état actuel de l'apprentissage et registre des actions l'utilisateur) pour ses propres recherches et son développement continu, une fois qu'elle les a rendues anonymes (en supprimant tout lien entre les données d'utilisation et l'utilisateur). Dybuster se réserve aussi le droit d'afficher l'efficacité de l'intervention sur des ensembles de données agrégés, rendus anonymes.

Cette utilisation des données respecte la législation, notamment la loi suisse sur la confidentialité et la protection des données, voir Réglementation.

Maintenance et assistance

Les employés de Dybuster ou les employés de ses partenaires de distribution n'ont pas besoin d'accéder aux données d'utilisateurs pour la maintenance et les mises à jour de ses environnements d'hébergement (voir Hébergement). Il pourrait être nécessaire de déplacer des blocs de données, notamment en cas de réorganisation des structures de données. Des formats de données peuvent aussi être changés ou étendus automatiquement afin d'être compatible avec de nouvelles fonctionnalités et versions des applications. De telles actions seront néanmoins réalisées de manière globale et anonyme, sans consulter les données, dans la mesure du possible.

Pour certains incidents exigeant une assistance, c'est-à-dire des incidents dans lesquels un client ou un utilisateur contacte Dybuster ou l'un de ses partenaires de distribution en ce qui concerne un problème d'un compte utilisateur spécifique, un accès direct et éventuellement une inspection manuelle des données de l'utilisateur de ce compte pourraient être nécessaires. Ni Dybuster, ni ses partenaires de distribution ne réaliseront une telle inspection sans contacter au préalable le client ou utilisateur.

Les données de l'utilisateur sont stockées avec un identifiant aléatoire et pas un identifiant spécifique comme le nom d'utilisateur. Dans la plupart des incidents exigeant une assistance, la communication de l'identifiant aléatoire suffit, de sorte que Dybuster n'a même pas à connaître le nom d'utilisateur, l'institution ou similaire. (Le lien entre les données utilisateur et le nom d'utilisateur est stocké séparément et ne doit pas être récupéré dans la plupart des cas d'assistance.)

Transmission et stockage des données

Le tableau suivant liste les données transmises et stockées, et explique pourquoi l'ensemble des données collectées sont nécessaires pour fournir les services de Dybuster, comme indiqué dans la section Utilisation des données.

Quelles données sont transmises et stockées? Comment les données transmises sont-elles utilisées?
Nom d'utilisateur, mot de passe Le nom d'utilisateur est lié à un identifiant aléatoire qui est utilisé à son tour pour accéder aux données utilisateur. Le mot de passe est utilisé pour décider s'il faut accorder l'accès à cet utilisateur. La validité de la licence de l'utilisateur est également vérifiée.
Informations personnelles supplémentaires (si fournies) : premier et deuxième prénom, adresse électronique, sexe Le premier et le deuxième prénom ne sont utilisés qu'à des fins d'affichage (ex. : pour saluer un élève par son prénom plutôt que par son nom d'utilisateur).
Informations relatives à l'institution de l'utilisateur: identifiant Dybuster, adresse, utilisateurs de niveau supérieur (utilisateurs enseignants, utilisateurs administrateurs et/ou utilisateurs parents) Les informations relatives à l'institution sont utilisées pour vérifier la validité de la licence. Elles sont aussi utilisées pour afficher l'adresse sur des rapports, notamment.
Utilisation des données: état actuel de l'apprentissage L'état actuel de l'apprentissage permet à l'utilisateur de continuer à travailler sur un ordinateur différent, au lieu de s'entraîner sur le même sujet en parallèle, sur des ordinateurs différents.
Utilisation des données: registre de l'utilisateur avec presque chaque entrée dans les applications Dybuster. Ces informations sont regroupées dans une synthèse du travail (durée d'apprentissage, types d'erreurs, tâches effectuées, etc.), présentée aux enseignants dans les applications de coaching. Ces informations sont indispensables aux enseignants pour qu'ils puissent soutenir au mieux un élève. Il est possible d'établir d'autres rapports agrégés au niveau de l'institution et du district.
Les données techniques sur la session d'entraînement, notamment: le début et la fin de la session, le numéro de version du programme utilisé, l'identifiant de l'ordinateur Ces information sont utilisées principalement pour l'assistance technique en cas d'erreurs. De plus, elles permettent aux enseignants de voir si des problèmes de connexion sont survenus dans les applications de coaching.
En cas de «plantage» de la vérsion installée de Dybuster Calcularis: il est demandé à l'utilisateur si des informations sur le «plantage» doivent être envoyées à Dybuster. Assistance ciblée.

Dybuster ne stocke aucune information relative aux cartes de crédit. Si les clients paient par carte de crédit via la boutique en ligne de Dybuster, le traitement des transactions par carte de crédit est effectué par un prestataire de services certifié.

Politique relative aux mots de passe

Les mots de passe sont transmis comme valeurs de hachage (condensés) salées. Les clients peuvent choisir si les mots de passe doivent être stockés sous forme de texte clair ou comme condensés. Les mots de passe sont stockés par défaut comme condensés.

Il est habituel dans le secteur de ne pas sauvegarder les mots de passe sous forme de texte clair, mais de stocker un condensé du mot de passe qui permet de vérifier un mot de passe sans le reproduire. Cela signifie que ni Dybuster ni l'un de ses partenaires de distribution ne connaîtra le mot de passe d'un utilisateur, mais que Dybuster peut vérifier sa validité. Cela signifie aussi qu'un utilisateur se sera pas en mesure de voir le mot de passe qu'il/elle a choisi. La seule manière d'obtenir un mot de passe est d'avoir recours à un mécanisme de réinitialisation du mot de passe, qui nécessitera soit une adresse électronique soit l'intervention de l'utilisateur supérieur qui fixera un nouveau mot de passe.

Dybuster suggère de stocker les mots de passe des élèves sous forme de texte. C'est nettement plus convivial pour les enseignants et cela leur permet de voir les mots de passe de leurs élèves et d'imprimer notamment une lettre d'instruction contenant les identifiants des élèves pour l'utilisation à la maison.

Les administrateurs de district et d'institutions peuvent définir une politique applicable à l'échelle de l'institution ou du district dans le système de gestion des utilisateurs, en utilisant uniquement des mots de passes hachés ainsi que la longueur et la date d'expiration en ce qui concerne la complexité des mots de passe.

Données en dehors des systèmes d'entraînement de Dybuster

Dans le cadre de ses activités de marketing et pour le maintien des relations avec la clientèle, Dybuster AG offre la possibilité de s'inscrire à des bulletins d'information par courriel et de recevoir des informations sur l'utilisation du programme et les licences. La demande peut être faite sans utiliser les programmes de support de Dybuster. Par ailleurs, ce n'est pas une condition préalable à l'utilisation de versions de test. De plus, vous pouvez vous désabonner des listes de diffusion à tout moment.

Dybuster gère les listes de diffusion correspondantes sur la plate-forme de MailChimp (www.mailchimp.com) et Customer.io (www.customer.io), et transmet les adresses e-mail ainsi qu'un minimum de données supplémentaires, nécessaires à l'organisation de la newsletter, à MailChimp et Customer.io. Les données supplémentaires sont, si elles ont été transmises par les intéressés à Dybuster :

  • La langue des intéressés afin que les lettres d'information puissent être envoyées dans la langue correspondante.
  • Le nom du programme (Orthograph ou Calcularis ou les deux) que le participant utilise ou qui l'intéresse, ainsi que sa nature institutionnelle ou privée, afin que le contenu puisse être adapté aux intérêts.
  • Dates d'expiration possibles des licences afin de distinguer les clients et les non-clients dans la newsletter.
  • Prénom et nom de la personne afin de les aborder de manière amicale.
  • Nom d'utilisateur Dybuster, de sorte que si vous oubliez votre nom d'utilisateur, vous puissiez le signaler dans votre message ou newsletter.

Les données ne seront utilisées que pour l'envoi de messages et de bulletins d'information relatifs à Dybuster. En particulier, elles ne seront pas utilisées pour faire de la publicité pour d'autres produits ou services ou pour faire de la publicité en ligne. Ni MailChimp ni Customer.io n'utilisent les données transmises par Dybuster et ne les transmettent pas à des tiers, à moins que cela ne soit prévu dans le "Data Processing Agreement" entre Dybuster et MailChimp ou Customer.io, afin que MailChimp et Customer.io puissent fournir des services critiques tels que la protection contre les abus. Cela est conforme à la jurisprudence actuelle en Suisse, dans l'UE et aux Etats-Unis. Dybuster, MailChimp et Customer.io se conforment à toutes les réglementations légales dans ces domaines.

Dispositions techniques

Structure d'hébergement et localisation

Dybuster héberge les données utilisateur dans différents centres de données, en fonction de la localisation de ses clients. Tous les centres de données et environnements d'hébergement utilisés par Dybuster pour les données utilisateur satisfont aux conditions suivantes :

  • Tous les serveurs sont des serveurs dédiés.
  • Les serveurs sont protégés par des pare-feux dédiés.
  • Les centres de données garantissent une disponibilité de 99.99%.
  • Dybuster maintient à jour les systèmes d'exploitation, les logiciels open source et les autres logiciels.

Clients américains (us.dybuster.com)

Les données utilisateur des clients américains sont hébergées aux États-Unis. Elles respectent les lois fédérales américaines relatives au stockage des données des élèves. La structure d'hébergement est conforme aux normes SOC 2 et PCI.

Pour qu'un client et tous ses utilisateurs associés soient identifiés comme localisés aux États-Unis, le client doit déclarer les États-Unis comme son pays (p. ex. comme partie de l'adresse du client) à Dybuster ou à son partenaire de distribution.

Clients canadiens (ca.dybuster.com)

Les données utilisateur des clients canadiens sont hébergées au Canada. Elles respectent la législation sur le stockage des données des élèves au Canada.

Pour qu'un client et tous ses utilisateurs associés soient identifiés comme localisés au Canada, le client doit déclarer le Canada comme son pays (p. ex. comme partie de l'adresse du client) à Dybuster ou à son partenaire de distribution.

Clients européens et autres clients

Les données utilisateur des clients européens et des clients qui ne sont pas explicitement mentionnés ci-dessus sont hébergées en Allemagne. L'Allemagne est un pays membre de l'Union européenne, régie par les lois européennes sur la sécurité, la confidentialité et la protection des données.

Pour la plupart des pays, notamment tous les pays de l'UE et la Suisse, l'Allemagne est considérée par les régulateurs comme un pays sûr en ce qui concerne les données utilisateur. Cela signifie que les données utilisateur sont aussi bien protégées en Allemagne que si elles étaient hébergées dans les pays dont sont originaires les clients.

Cryptage des données

Les système de cryptage suivants sont utilisés pour protéger les données des utilisateurs:

  • Toutes les communication impliquant des données utilisateur (c'est-à-dire tout sauf les mises à jour automatiques) sont protégées par une connexion sécurisée TLS/SSL. Le certificat d'authentification peut être vérifié en se connectant notamment à https://go.dybuster.com/ et en affichant les informations sur le certificat comme indiqué dans la figure 3.
  • Les identifiants stockés localement pour un usage hors ligne sont protégés par des valeurs de hachage salées MD5.
  • Les informations d'avancement stockées localement sont protégées par le mot de passe de l'utilisateur et stockées au format binaire.
Figure 3: certificat SSL de go.dybuster.com

Sauvegardes et persistance des données utilisateur

Toutes les sauvegardes des données utilisateur effectuées par Dybuster sont encryptées pendant leur transit et sur disque. Le système de sauvegarde suivant permet de protéger les données utilisateur contre toute perte:

  • Les données utilisateur sur le serveur de «progrès» et de «stockage du plan d'apprentissage» sont sauvegardées en continu sur un second serveur dans le centre de données.
  • Les données relatives à la gestion des utilisateurs et aux licences (noms d'utilisateurs, mots de passe, relations utilisateur-institution, etc.) sont dupliquées une fois par jour sur un second serveur.
  • A partir de ce second serveur dans le centre de données, les données sont sauvegardées tous les soirs sur un serveur hors site. Ces lieux extérieurs sont:
    • pour les clients américains : un second centre de données aux États-Unis.
    • pour les clients canadiens : un second centre de données au Canada.
    • Pour les clients européens et les autres clients: un serveur dans les bureaux de Dybuster à Zurich.

En règle générale, Dybuster estime que les dispositions techniques prises pour protéger les données sont raisonnables et ultramodernes en ce qui concerne des logiciels comme ceux de Dybuster. Bien évidemment, ces dispositions n'empêchent pas certaines personnes, qui pourraient casser le cryptage SSL, d'accéder aux données. Par ailleurs, une double authentification telle qu'elle existe pour les logiciels de banque en ligne, offrirait une protection légèrement accrue. Mais cela rendrait la manipulation presque impossible pour les écoles.

Réglementation

Droit applicable

Dybuster est une société suisse régie par le droit suisse. Elle respecte la loi suisse en matière de protections des données, la «loi fédérale sur la protection des données». Cette loi inclut notamment:

  • Le droit de chaque utilisateur d'obtenir des renseignements sur toutes les données personnelles que Dybuster a stockées à propos de l'utilisateur.
  • Le droit qu'a chaque utilisateur en ce qui concerne la suppression intégrale de ses données personnelles. ("Right to erasure")
  • Le droit de chaque utilisateur de faire corriger ses données personnelles ("Right to rectification").

De plus, Dybuster respecte la réglementation locale en matière de protection et de sécurité des données de ses clients, telle que la FERPA, la SOPIPA et la COPPA (le cas échéant) pour les États-Unis.

En cas de doute relatif à l'autorisation d'utilisation des applications de Dybuster conformément à la réglementation locale, veuillez consulter votre partenaire de distribution local pour les produits Dybuster afin d'obtenir des informations sur la réglementation locale et la manière dont elle s'applique.

Responsable de la confidentialité des données

Le PDG de Dybuster est responsable de toutes les relations publiques de Dybuster. Dans l'exercice de ses fonctions, le PDG est aussi le responsable de la confidentialité et de la sécurité des données de Dybuster.

Le responsable de la confidentialité des données, c'est à dir le PDG de Dybuster dans son rôle de responsable de la confidentialité des données, peut être contacté à dpo@dybuster.com.

Zurich, 14. 12. 2018