Loi sur les droits en matière d’éducation familiale et la protection de la vie privée (FERPA)

Article
01/31/2024

Vue d’ensemble de LA FERPA

Le Family Educational Rights and Privacy Act (FERPA) est une loi fédérale américaine qui protège la confidentialité des dossiers scolaires des étudiants, y compris les informations d’identification personnelle et d’annuaire. La FERPA a été promulguée pour s’assurer que les parents et les élèves âgés de 18 ans et plus puissent accéder à ces dossiers, demander des modifications à ceux-ci et contrôler la divulgation de l’information, sauf dans des cas spécifiques et limités où la FERPA autorise la divulgation sans consentement.

La loi s’applique aux écoles, aux districts scolaires et à toute autre institution qui reçoit des fonds du ministère de l’Éducation des États-Unis, c’est-à-dire pratiquement toutes les écoles et districts scolaires publics de la maternelle à la 12e année, ainsi que la plupart des établissements d’enseignement postsecondaire, tant publics que privés.

La sécurité est essentielle à la conformité à la FERPA, qui nécessite la protection des informations sur les étudiants contre les divulgations non autorisées. Les établissements d’enseignement qui utilisent le cloud computing doivent être assurés contractuellement qu’un fournisseur de technologie gère les données sensibles des étudiants de manière appropriée.

Microsoft et FERPA

FERPA n’exige pas ou ne reconnaît pas d’audits ou d’autres certifications. Par conséquent, tout établissement universitaire soumis à FERPA doit évaluer lui-même si et comment son utilisation d’un service cloud affecte sa capacité à se conformer aux exigences FERPA. Dans l’Addendum sur la protection des données (DPA) des conditions des services en ligne, Microsoft accepte d’être désigné comme « responsable scolaire » avec des « intérêts éducatifs légitimes » dans les données client, comme défini dans la FERPA. Les données client incluent tous les enregistrements d’étudiants fournis par le biais de l’utilisation d’Azure par un établissement scolaire. Lorsque Microsoft gère les dossiers de formation des étudiants, Microsoft accepte de respecter les limitations et les exigences imposées par 34 CFR 99.33(a) comme le font les responsables scolaires. Microsoft a publié une documentation d’aide pour aider les clients Azure à satisfaire leurs exigences de conformité FERPA.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Les services pour lesquels Microsoft accepte d’être désigné comme « responsable scolaire » ayant des « intérêts éducatifs légitimes » dans les données client sont les suivants :

Azure et Azure Government
Azure DevOps Services
Dynamics 365
Intune
Office 365, Office 365 gouvernement des États-Unis, Office 365 gouvernement des États-Unis - Haut, et Office 365 défense du gouvernement américain

Documents d’aide sur Azure

Vous pouvez télécharger les documents suivants pour obtenir de l’aide pour répondre aux exigences de conformité FERPA :

Office 365 et FERPA

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité	Les Services dans l’étendue
Commerciale	Microsoft Entra ID, Azure Information Protection, Bookings, Gestionnaire de conformité, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender pour Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do pour le web, MyAnalytics, module complémentaire Conformité avancée Office 365, Sécurité des applications cloud Office 365, Office 365 Groupes, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, StaffHub, Stream, Sway, Viva Engage
GCC	Microsoft Entra ID, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, harePoint Online, Skype Entreprise, Stream
GCC High	Microsoft Entra ID, Exchange Online, Formulaires, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise
DOD	Microsoft Entra ID, Exchange Online, Formulaires, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise

Audits, rapports et certificats Office 365

FERPA ne nécessite ni ne reconnaît les audits ni les certifications.

Forum aux questions

Pourquoi la FERPA est-elle importante ?

Cette loi fédérale américaine impose la protection de la vie privée des dossiers scolaires des étudiants. Il donne également aux parents et aux étudiants admissibles l’accès à ces dossiers et la possibilité de les corriger, ainsi que certains droits liés à la divulgation de documents à des tiers.

Quelles sont les implications en matière de conformité de COPPA et CIPA sur Azure ?

COPPA et CIPA sont des lois supplémentaires destinées à protéger la vie privée des enfants ; Toutefois, elles ne s’appliquent pas directement à Azure. Le Children’s Online Privacy Protection Act (COPPA) est une loi fédérale américaine promulguée pour protéger la vie privée des enfants de moins de 13 ans. La Federal Trade Commission (FTC) gère la COPPA. Coppa s’applique aux sites Web et aux services en ligne destinés aux enfants et stipule que ces sites et services doivent exiger le consentement des parents pour la collecte et l’utilisation de tout renseignement personnel appartenant à des enfants. La Loi sur la protection de l’internet des enfants (CIPA) a été promulguée pour répondre aux préoccupations concernant l’accès des enfants à des contenus préjudiciables sur Internet. La Federal Communications Commission (FCC) a publié des règles mettant en œuvre la CIPA et défini des exigences pour les écoles et les bibliothèques soumises à la CIPA. Les clients ayant des questions sur COPPA et CIPA dans le contexte de l’adoption d’Azure doivent consulter la section intitulée Établissements d’enseignement dans les conditions d’utilisation des services en ligne DPA, où nous expliquons que les clients sont responsables de l’obtention du consentement parental pour l’utilisation de Microsoft services en ligne par tout utilisateur final.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.