“I agree” data and privacy concerns for educational apps / « J’accepte » Préoccupations concernant les données et la protection des renseignements personnels dans le contexte des applications éducatives

By May 12, 2020 General

***Version française au bas de la page***

Vetting data-handling practices of educational apps requires knowledge of the educational product but also a review of the privacy, terms and conditions, functionality surrounding the data that may be collected.

We would like to extend a special thanks to Sally Landon, Manager, Research & Analytics Department at the Hamilton Wentworth DSB for sharing information drawn from her experience co-leading the OASBO Joint ICT-PIM working group in the emerging area of educational web apps.

Here are some of the areas that are reviewed and some concerns that have been identified:

Privacy

  • A review will catch when an app is over-collecting data or using data in ways that are inconsistent with the purpose for which it was collected. Sometimes free apps sell the extra data they collect to third parties for creating behavioural profiles of students to target them with advertising. This could be a violation of MFIPPA unless consent is obtained.
  • A review of the app will alert educators to not provide full student identifying details and where they can enter partial or pseudonymous data instead, and to leave other, non-mandatory fields blank.
  • In many cases, providers do not have retention periods for data and may retain student data indefinitely. School boards may have to contact the company to request the erasure of data to maintain compliance with their school board’s retention policies.
  • Sometimes apps have security programs that are not sufficient to protect the personal information (PI) they collect.

Often the Terms & Conditions state that by clicking “I agree” the educator is consenting on behalf of the school board and all students:

  • That they will NOT inform users if there is a privacy breach regardless of the cause or fault and that school board must accept full liability.
  • That all users give up copyright of their own material, which could have implications for students who plan to do more with their work in the future.
  • Free apps may track student activity outside of their use of the app and access PI such as their browsing history, contact list and GPS location.

Functionality

  • Reviewers have found inconsistencies between how an app is supposed to work and how it does work surrounding profile access, parental access, and notifications.
  • Many apps have no way to authenticate users which can result in opportunities for invaders and child luring.
  • Apps may encourage students to sign in using a social media account – which facilitates a whole new level of data collection by both the app provider and social media company.
  • Reviewers use test accounts for a parent, student, and teacher to see how the app functions and what can be learned that is not in the privacy policy and terms & conditions. In many cases reviewers find that the app collects more PI than what is stated in the privacy policy.

Availability of education apps will increase with countless new apps becoming available. Having an awareness of these issues, the benefits for a privacy/security and risk management review and following school board policy for use of educational apps will help mitigate this exposure. A special thanks to all school boards’ IT, Procurement and Privacy resources who continue to identify and assess these associated risks to help keep staff and students cyber safe. If you have questions, contact your school board privacy/IT/Procurement resources.

Want to learn more?

CBC Marketplace produced an episode called “Privacy and smartphone apps: What data your phone may be giving away” although not directly linked to educational apps – this outlines just how much access can be granted when you click “I agree”.

https://www.youtube.com/watch?v=xx1AUupLn2w&t=1096s

***

« J’accepte » ‑ Préoccupations concernant les données et la protection des renseignements personnels dans le contexte des applications éducatives

La vérification des pratiques de traitement des données relatives aux applications éducatives exige une connaissance du produit, mais aussi un examen portant sur la protection des renseignements personnels, des modalités et des fonctions touchant les données qui peuvent être recueillies.

Nous tenons à remercier tout particulièrement Sally Landon, gestionnaire à la Division de la recherche et de l’analyse au CSD de Hamilton Wentworth, d’avoir partagé des renseignements tirés de son expérience de codirection du groupe de travail conjoint de l’OASBO sur les TIC et la GRP dans le nouveau domaine des applications Web éducatives.

Voici des exemples de questions examinées et de préoccupations relevées :

Protection des renseignements personnels

  • Un examen permettra de déterminer si une application recueille trop de données ou utilise des données d’une manière qui ne correspond pas aux fins de la collecte. Parfois, les entreprises qui offrent des applications gratuites vendent les données supplémentaires qu’elles recueillent à des tiers pour créer des profils comportementaux d’étudiants dans le but de les cibler avec de la publicité. Dans ce cas, il pourrait s’agir d’une violation de la LAIMPVP, à moins que le consentement n’ait été obtenu.
  • Un examen de l’application permettra d’aviser les enseignants de ne pas fournir toutes les coordonnées des élèves et de leur indiquer là où ils peuvent plutôt saisir des données partielles ou des pseudonymes, et de ne rien inscrire dans d’autres champs non obligatoires.
  • Dans de nombreux cas, les fournisseurs n’ont pas de période de conservation des données et ils peuvent conserver indéfiniment les données sur les élèves. Les conseils scolaires pourraient devoir communiquer avec l’entreprise pour demander l’effacement des données afin de se conformer à leurs politiques de conservation.
  • Parfois, les applications renferment des programmes de sécurité qui ne suffisent pas à protéger les renseignements personnels recueillis.

Souvent, les modalités indiquent qu’en cliquant sur « J’accepte », l’enseignant donne son consentement au nom du conseil scolaire et de tous les élèves, notamment :

  • que les utilisateurs ne seront pas informés d’une atteinte à la vie privée, quelle que soit la cause ou la faute, et que le conseil scolaire doit en accepter l’entière responsabilité;
  • que tous les utilisateurs renoncent au droit d’auteur rattaché à leurs propres documents, ce qui pourrait avoir des répercussions sur les élèves qui prévoient en faire davantage avec leurs travaux à l’avenir;
  • que les applications gratuites peuvent effectuer le suivi des activités des élèves au‑delà de leur utilisation de l’application et avoir accès aux renseignements personnels, comme leur historique de navigation, leur liste de contacts et leur positionnement GPS.

Fonctionnement

  • Les examinateurs ont relevé des incohérences entre le fonctionnement prévu d’une application et son fonctionnement réel en ce qui concerne l’accès aux profils, l’accès des parents et les avis.
  • De nombreuses applications sont incapables d’authentifier les utilisateurs, ce qui peut donner lieu à des cas d’intrusion et de leurre d’enfants.
  • Les applications peuvent encourager les élèves à ouvrir une session au moyen d’un compte sur les médias sociaux, ce qui facilite la collecte d’un tout nouveau type de données par le fournisseur de l’application et l’entreprise de médias sociaux.
  • Les examinateurs utilisent des comptes d’essai pour un parent, un élève et un enseignant pour voir comment fonctionne l’application et ce qui peut être appris qui ne figure pas dans la politique de protection des renseignements personnels et de sécurité et dans les modalités. Dans bien des cas, les examinateurs constatent que l’application recueille plus de renseignements personnels que ce qui est énoncé dans la politique sur la protection des renseignements personnels.

L’offre d’applications éducatives augmentera avec l’arrivée d’innombrables nouvelles applications. Grâce à la sensibilisation à ces préoccupations, les avantages d’un examen de la protection des renseignements personnels et de la sécurité, et de la gestion des risques, ainsi que le respect de la politique du conseil scolaire concernant l’utilisation d’applications éducatives contribueront à atténuer cette exposition. Nous tenons à remercier tout particulièrement les ressources des conseils scolaires en matière de TI, d’approvisionnement et de protection des renseignements personnels, qui continuent de cerner et d’évaluer ces risques afin d’assurer la sécurité informatique du personnel et des élèves. Si vous avez des questions, veuillez communiquer avec les ressources en matière de protection des renseignements personnels, de TI et d’approvisionnement de votre conseil scolaire.

Vous souhaitez en savoir plus?

Dans la série Marketplace, la chaîne CBC a produit un épisode intitulé « Privacy and smartphone apps: What data your phone may be giving away »; même si ces applications ne sont pas directement liées à des applications éducatives, cette émission souligne l’ampleur de l’accès que vous pouvez accorder lorsque vous cliquez sur « J’accepte ».

https://www.youtube.com/watch?v=xx1AUupLn2w&t=1096s

This content is restricted to site members. If you are an existing user, please log in. New users may register below.

Existing Users Log In
   
New User Registration
*Required field