Quiz pédagogique et RGPD : ce qu'un enseignant doit vérifier

"Le RGPD c'est pour les juristes, pas pour les profs". C'est ce qu'on entend souvent en salle des profs. C'est faux, et c'est même problématique : à chaque fois qu'un prof choisit un outil numérique pour ses élèves, il engage la responsabilité de son établissement (et un peu la sienne) sur le traitement des données personnelles. Cet article démystifie ce qu'il faut vraiment vérifier, sans jargon.

Pourquoi ça vous concerne, même comme prof

Quand un élève utilise un outil dans votre classe, plusieurs personnes sont juridiquement concernées :

• L'élève (et ses parents si mineur) : titulaires des droits sur leurs données
• L'établissement : responsable de traitement
• L'éditeur de l'outil : sous-traitant
• Vous, prof : vous êtes celui qui choisit l'outil, donc vous engagez la chaîne

En cas de problème (fuite de données, plainte de parents, contrôle CNIL), c'est l'établissement qui répond. Mais le prof qui a choisi l'outil sera questionné : "qui a validé cet outil ? Sur quels critères ?"

Ce n'est pas alarmiste : la CNIL ne va pas sanctionner un prof. Mais elle peut sanctionner l'établissement, et l'ambiance derrière n'est pas agréable. Mieux vaut choisir un outil propre dès le départ.

Les 7 questions à se poser avant de choisir

Voici la checklist concrète que je me pose pour évaluer un outil pédagogique numérique avant de l'utiliser avec une classe.

Question 1 — Où sont hébergées les données ?

L'idéal : dans l'Union européenne, sans détour par les États-Unis.

Comment vérifier : la politique de confidentialité de l'outil mentionne souvent l'hébergeur (AWS, OVH, IONOS, etc.). Si c'est AWS sans précision, partez du principe que c'est partiellement aux États-Unis. Si c'est "OVH France" ou "IONOS Allemagne", c'est UE.

Drapeau rouge : la politique mentionne "transferts vers les États-Unis", "Cloud Act", "Privacy Shield" (qui n'existe plus). Évitez si possible.

Question 2 — Y a-t-il des trackers tiers ?

Les trackers tiers sont des outils embarqués dans la page web qui envoient des données à des entreprises externes. Le plus connu : Google Analytics. Mais il y en a beaucoup d'autres : Hotjar, FullStory, Mixpanel, Facebook Pixel, etc.

Comment vérifier : sur la page d'accueil de l'outil, faites F12 (outils développeur), onglet "Réseau". Rechargez la page. Toutes les requêtes externes apparaissent. Si vous voyez googletagmanager.com, google-analytics.com, facebook.net, c'est un signal.

Drapeau rouge : l'outil charge des dizaines de trackers. Chaque tracker = un nouveau sous-traitant à inscrire au registre RGPD de l'établissement.

Question 3 — Faut-il un compte élève ?

Si l'élève doit créer un compte avec son adresse email, c'est une donnée personnelle de mineur qui doit être déclarée. C'est complexe administrativement. Pire : si l'email fournit par l'élève est son adresse personnelle (gmail, etc.), elle peut être réutilisée pour du spam, du tracking publicitaire, du phishing.

L'idéal : pas de compte élève du tout. L'élève entre juste un pseudo de session, qui est éphémère et non-identifiant.

C'est ce que font Kwizou, Kahoot (en mode "non-account"), Plickers, Wooclap (mode standard).

Question 4 — Quelle est la durée de conservation des données ?

Combien de temps les pseudos, scores, réponses des élèves sont-ils conservés ?

L'idéal : supprimés en fin de session. Une fois le quiz terminé, plus rien. Pas d'historique, pas de profilage, pas de risque.

Acceptable : conservés quelques jours pour permettre au prof de récupérer les résultats, puis supprimés.

Drapeau rouge : conservation indéfinie ou plusieurs mois sans justification.

Question 5 — Y a-t-il une politique de confidentialité claire ?

Lisez la politique de confidentialité. Elle doit être :

• Disponible sans avoir à créer un compte
• Lisible (pas un mur de texte juridique inintelligible)
• Explicite sur les transferts hors UE (s'il y en a)
• Datée récemment (si elle date de 2018, c'est suspect)

Drapeau rouge : politique de 30+ pages avec des renvois en cascade vers d'autres documents. Souvent, c'est conçu pour être incompréhensible.

Question 6 — Y a-t-il un DPO et un DPA disponible ?

DPO = Data Protection Officer (Délégué à la Protection des Données). Personne dédiée chez l'éditeur.

DPA = Data Processing Agreement. Document qui formalise la sous-traitance entre l'établissement (responsable) et l'éditeur (sous-traitant).

Si votre établissement a un DPO, il vous demandera potentiellement le DPA de l'outil que vous voulez utiliser. Vérifiez qu'il est disponible (souvent sur demande à dpo@editeur.fr ou équivalent).

Pour Kwizou : un modèle de DPA gratuit est disponible sur demande à contact@kwizou.fr.

Question 7 — L'éditeur est-il transparent ?

Pas un critère RGPD strict, mais un signal qualité.

Bons signaux :

• Code source consultable (open source ou semi-ouvert)
• Politique de confidentialité courte et claire
• DPA standard disponible
• Contact direct possible (pas juste un formulaire)

Mauvais signaux :

• Politique impossible à comprendre
• Pas de DPO mentionné
• Contact uniquement via un chatbot
• "Tarification sur devis" pour un usage scolaire basique

Les outils que vous pouvez vérifier vous-même

Voici une grille rapide pour les outils les plus courants. À jour à la date de publication de cet article — vérifiez vous-même si vous lisez tard.

Kahoot

• Hébergement : partiellement US (AWS) → ⚠️ Cloud Act
• Trackers : oui (Google Analytics et autres) → ⚠️
• Compte élève : optionnel selon mode → ✅
• DPA : disponible (plan payant requis) → ⚠️

Quizizz

• Hébergement : entreprise US → ❌ Cloud Act
• Trackers : nombreux → ❌
• Compte élève : variable → ⚠️
• DPA : disponible → ⚠️

Wooclap

• Hébergement : Belgique (UE) → ✅
• Trackers : peu, propriétaires → ✅
• Compte élève : non en mode standard → ✅
• DPA : disponible → ✅

La Quizinière (Réseau Canopé)

• Hébergement : France → ✅
• Trackers : aucun → ✅
• Compte élève : optionnel → ✅
• DPA : implicite (Éducation Nationale) → ✅

Kwizou

• Hébergement : Allemagne (UE) → ✅
• Trackers : aucun → ✅
• Compte élève : non (juste pseudo de session, supprimé en fin) → ✅
• DPA : disponible sur demande → ✅

Et les exigences spécifiques pour les mineurs ?

L'article 8 du RGPD prévoit un régime renforcé pour les mineurs. En France, l'âge plancher pour qu'un mineur consente seul est 15 ans.

Concrètement, pour vos élèves :

• <15 ans (collège, primaire) : le consentement parental est théoriquement requis pour tout traitement
• >15 ans (lycée) : l'élève peut consentir seul

Ça paraît ingérable pour chaque outil utilisé en classe — et ça l'est. La parade pratique : utiliser des outils qui ne traitent pas de données personnelles identifiables. Si un élève entre juste un pseudo non-nominatif, qu'aucun tracker ne se déclenche, et que les données sont supprimées en fin de session, vous êtes essentiellement neutre côté RGPD.

C'est le modèle de Kwizou (et de La Quizinière en mode anonyme). Le pseudo de session n'est pas une donnée personnelle au sens du RGPD parce qu'il n'identifie personne.

Mon conseil concret

Niveau 1 (acceptable) : utilisez les outils américains type Kahoot/Quizizz si :

• Vous le faites de manière ponctuelle (1-2 fois par trimestre)
• Vous avez prévenu vos élèves que c'est un outil américain
• Vous n'utilisez pas de fonctionnalités qui demandent un compte élève

Niveau 2 (recommandé) : utilisez des outils européens / français pour vos quiz récurrents :

• Kwizou pour le quiz live ludique en classe
• La Quizinière pour l'évaluation formative ou les quiz à la maison
• Wooclap si votre établissement a une licence

Niveau 3 (optimal) : si votre établissement est très regardant (DPO actif, audits réguliers, école privée d'élite), utilisez uniquement des outils européens et demandez le DPA à chaque éditeur.

Le passage du niveau 1 au niveau 2 ne demande pas beaucoup d'effort et améliore considérablement votre profil RGPD. C'est mon conseil principal.

Pour aller plus loin

Si la conformité RGPD vous tient à cœur, voici quelques ressources :

• Le site de la CNIL pour la doctrine officielle française : cnil.fr
• La fiche CNIL "Le numérique éducatif" spécifique aux usages scolaires
• Le DPO de votre académie pour les questions concrètes — contacter le rectorat

Tester Kwizou

Pour démarrer un usage RGPD-friendly du quiz pédagogique, Kwizou est conçu exactement dans cet esprit. Création gratuite sur kwizou.fr/start, pas de carte bancaire, et vous pouvez vérifier vous-même l'absence de tracker et l'hébergement européen.

Pour aller plus loin

• Alternative RGPD à Kahoot : le guide pratique
• Pourquoi pas de Google Analytics dans une edtech ?
• Outils pédagogiques souverains : panorama
• Kwizou vs Kahoot : le comparatif complet