Alternative RGPD à Kahoot : le guide pratique pour enseignants

De plus en plus d'enseignants se posent la question : "puis-je vraiment utiliser Kahoot avec mes élèves sans risque RGPD ?" La réponse honnête est nuancée — ce n'est pas illégal, mais c'est juridiquement fragile. Cet article explique pourquoi, et présente les alternatives qui résolvent vraiment le problème.

Pourquoi Kahoot pose problème côté RGPD

Kahoot est une entreprise norvégienne. La Norvège fait partie de l'Espace Économique Européen (EEE) donc en théorie le RGPD s'applique. Mais les serveurs de Kahoot sont en partie hébergés aux États-Unis (notamment AWS), et les données peuvent être réclamées par les autorités américaines via le Cloud Act, indépendamment de la nationalité de l'entreprise.

Concrètement, voici ce qui se passe quand un élève rejoint un quiz Kahoot :

1. Son adresse IP, son user-agent, ses informations de session sont envoyés aux serveurs Kahoot
2. Plusieurs trackers tiers se déclenchent (Google Analytics, etc.) — chacun envoie ses propres données
3. Si l'élève a un compte Kahoot (ce qui peut arriver pour les modes asynchrones), ses interactions sont liées à son profil
4. Une partie de ces données transite par des datacenters US, soumis au Cloud Act

Pour un prof, le risque concret est faible (on n'a jamais vu un IPR sanctionner un usage de Kahoot). Mais pour un chef d'établissement ou un DPO académique, c'est de plus en plus regardé. Le récent renforcement de la doctrine "Cloud de confiance" en France pousse les institutions à privilégier les outils européens.

Les critères d'une vraie alternative RGPD

Pour qu'un outil de quiz soit "RGPD-friendly" pour un usage scolaire, il doit cumuler :

1. Hébergement dans l'Union européenne (vérifiable). Pas un hébergement "EU-compliant" via une filiale d'une entreprise américaine — vraiment dans l'UE, sans détour par les US.

2. Pas de trackers tiers type Google Analytics, Facebook Pixel, Hotjar, Microsoft Clarity. Chaque tracker est un fournisseur de données supplémentaire à inscrire au registre RGPD, et la plupart sont américains.

3. Pas de compte élève requis. Si l'élève doit créer un compte avec email, c'est une donnée personnelle de mineur qui doit être déclarée dans le registre RGPD de l'établissement. Compliqué.

4. Données de session éphémères. Idéalement, les pseudos et réponses sont supprimés à la fin de la session, pour minimiser le périmètre de données traitées.

5. Politique de confidentialité claire et courte. Si la politique fait 30 pages avec des exceptions tortueuses, c'est mauvais signe.

6. Possibilité d'obtenir un DPA (Data Processing Agreement) si l'établissement le demande. Document qui formalise la sous-traitance RGPD entre l'établissement et l'éditeur.

Les alternatives RGPD qui cochent ces critères

La Quizinière (Réseau Canopé)

Service public français hébergé en France. Coche tous les critères RGPD par construction puisque c'est l'Éducation Nationale elle-même.

Avantage RGPD : maximum. Limite : interface plus orientée évaluation formative que ludification, performance variable selon les périodes, format de questions limité.

Kwizou

Hébergé en Allemagne (IONOS, datacenter UE). Aucun tracker tiers, aucun cookie analytics, aucun pixel publicitaire. Anonymat élève complet (pseudo de session uniquement, supprimé à la fin du quiz). Politique de confidentialité de 2 pages. DPA disponible sur demande.

Avantage RGPD : maximum. Limite : projet récent, format QCM uniquement (pas de nuage de mots ou questions ouvertes).

Wooclap (avec précautions)

Wooclap est belge donc UE, mais ses serveurs sont aussi européens. Il utilise quelques outils analytics propriétaires (pas Google Analytics) qui restent en interne. Le profil RGPD est correct, surtout en plan payant qui inclut un DPA standardisé.

Avantage RGPD : bon. Limite : tarification individuelle élevée si pas de licence d'établissement.

Ce qu'il faut éviter (en priorité)

Kahoot : hébergement partiellement US, trackers tiers, compte élève possible.

Quizizz : entreprise américaine, Cloud Act applicable, multiples trackers tiers.

Blooket : entreprise américaine, Cloud Act applicable.

Mentimeter : entreprise suédoise mais infra largement US, trackers tiers.

Ces outils ne sont pas illégaux à utiliser — il y a juste un risque juridique théorique que personne ne sanctionne en pratique pour un prof individuel. Mais si vous êtes dans un établissement sensible (école privée d'élite, lycée d'état où le DPO est actif, formation continue avec audits), mieux vaut éviter.

Le cas spécifique des élèves mineurs

Le RGPD prévoit un régime renforcé pour les mineurs. En France, l'article 8 RGPD complété par la loi Informatique et Libertés fixe à 15 ans l'âge à partir duquel un mineur peut consentir seul au traitement de ses données. En dessous, il faut le consentement parental.

Concrètement, ça veut dire que pour des élèves de collège et de primaire (donc <15 ans pour la majorité), tout traitement de données personnelles devrait théoriquement faire l'objet d'une information voire d'un consentement parental. C'est ingérable en pratique pour chaque outil utilisé en classe.

La parade : utiliser des outils qui ne traitent pas de données personnelles identifiables des élèves. Un quiz où l'élève entre juste un pseudo non-nominatif, où aucun tracker ne se déclenche, et où les données sont supprimées en fin de session, est essentiellement neutre côté RGPD. C'est ce que vise Kwizou par construction.

Vérifier vous-même

Si vous avez un doute sur un outil, vous pouvez vérifier facilement :

1. Inspectez le code source de la page (clic droit → "Voir le code source"). Cherchez les domaines comme googletagmanager.com, google-analytics.com, facebook.net, hotjar.com. Si vous en trouvez, c'est mauvais signe.

2. Ouvrez les outils développeur (F12), onglet "Réseau", rechargez la page. Toutes les requêtes vers des domaines tiers s'affichent. Sur Kwizou par exemple, vous ne verrez que des requêtes vers kwizou.fr et fonts.googleapis.com (qui sert juste les polices d'écriture).

3. Lisez la politique de confidentialité. Si elle parle de "transferts hors UE", de "partenaires publicitaires", ou de "données traitées à des fins marketing", fuyez.

Mon conseil concret

Si vous êtes prof et que vous voulez un outil de quiz vraiment conforme :

• Pour de l'évaluation formative / écrite → La Quizinière
• Pour du quiz live ludique → Kwizou
• Si votre établissement a une licence Wooclap → Wooclap (correct côté RGPD)

Ces trois outils vous permettent de couvrir 95% des usages d'un quiz pédagogique en classe, en restant conforme RGPD sans complexité administrative.

Tester Kwizou en quelques minutes

Pour voir si Kwizou peut remplacer Kahoot dans votre cas, créez un compte gratuit sur kwizou.fr/start. Pas de carte bancaire, pas d'engagement, vous pouvez vérifier vous-même le code source et constater l'absence de tracker.

Pour aller plus loin

• Kwizou vs Kahoot : le comparatif complet
• Alternative française à Kahoot : le panorama complet
• Quiz pédagogique et RGPD : ce qu'un enseignant doit vérifier
• Pourquoi pas de Google Analytics dans une edtech ?