FERPA s’applique-t-elle aux outils de recherche utilisés uniquement par les enseignants-chercheurs ?

Cela dépend. FERPA protège les dossiers éducatifs des étudiants ; ainsi, si l’outil est utilisé uniquement par les enseignants-chercheurs pour leurs propres travaux (sans données étudiantes), FERPA n’est généralement pas déclenchée. En revanche, si des étudiants utilisent la plateforme dans le cadre d’un cours, ou si des noms d’étudiants, des notes ou des identifiants sont stockés dans le système, FERPA s’applique. De nombreuses universités appliquent largement les exigences FERPA à l’ensemble des SaaS comme stratégie de gestion des risques, même lorsque son applicabilité stricte est incertaine.

Qu’est-ce que HECVAT et pourquoi les fournisseurs doivent-ils le remplir ?

HECVAT (Higher Education Community Vendor Assessment Toolkit) est un questionnaire de sécurité standardisé développé par EDUCAUSE et Internet2. Il évite à chaque université de créer son propre questionnaire, ce qui fait gagner du temps aux fournisseurs comme aux établissements. Il existe deux versions : HECVAT Lite (pour les outils à plus faible risque) et HECVAT Full (pour les outils traitant des données sensibles). La plupart des services achats des universités n’iront pas plus loin sans un HECVAT complété.

Un fournisseur sans certification SOC 2 peut-il tout de même être approuvé ?

Techniquement oui, mais cela ajoute des frictions importantes. Sans SOC 2, l’équipe sécurité de l’université exigera généralement une revue plus approfondie — incluant une documentation d’architecture détaillée, les résultats de tests d’intrusion et éventuellement un audit sur site. De nombreuses universités ont pour politique d’exiger SOC 2 Type II pour tout outil qui traite des données institutionnelles. Les petits fournisseurs peuvent parfois s’appuyer sur des preuves alternatives (ISO 27001, un CAIQ complété ou des rapports d’audit de sécurité indépendants), mais il faut s’attendre à un processus d’achat plus long.

Article de recherche

SSO, FERPA et conformité : ce dont les universités ont besoin de la part des SaaS de recherche

Une liste de contrôle pour les équipes informatiques et les achats afin d’évaluer les plateformes SaaS de recherche. Couvre le SSO/SAML, FERPA, SOC 2, la résidence des données, HECVAT, l’accessibilité et la manière de mener une revue de sécurité.

Les équipes informatiques universitaires ont besoin de SaaS de recherche conformes aux exigences en matière de SSO, FERPA, SOC 2 et d’accessibilité. Ce guide fournit une liste de contrôle pratique pour l’évaluation et explique les considérations de conformité propres à l’enseignement supérieur.

Si vous travaillez dans l’informatique universitaire, la sécurité de l’information ou les achats, vous savez que l’adoption d’un nouveau logiciel n’est jamais aussi simple que de trouver un outil qui plaît aux chercheurs. Toute plateforme SaaS qui touche à des données institutionnelles doit passer par un parcours semé de revues de sécurité, de contrôles de conformité et de négociations contractuelles. Pour les outils orientés recherche — qui peuvent traiter des travaux d’étudiants, des données non publiées et les résultats de projets financés par des fonds fédéraux — les exigences sont particulièrement strictes.

Ce guide fournit une liste de contrôle pratique pour évaluer les plateformes SaaS de recherche, en mettant l’accent sur les exigences propres à l’enseignement supérieur.

L’authentification unique n’est pas facultative pour les logiciels institutionnels. Les universités exploitent des systèmes d’identité centralisés, et tout outil qui exige un nom d’utilisateur et un mot de passe distincts crée un risque de sécurité, une charge supplémentaire pour le support et des frictions pour les utilisateurs.

Exigences à imposer Prise en charge de SAML 2.0 — le protocole standard pour le SSO d’entreprise dans l’enseignement supérieur Compatibilité Shibboleth — de nombreuses universités utilisent Shibboleth comme fournisseur d’identité SAML, en particulier celles de la fédération InCommon Intégration Azure AD / Entra ID — de plus en plus courante à mesure que les universités migrent vers Microsoft 365 Prise en charge d’Okta — utilisée par un nombre croissant d’établissements, en particulier aux États-Unis Provisioning SCIM — création et désactivation automatiques des utilisateurs en fonction des changements dans l’annuaire (essentiel pour gérer les comptes lorsque les étudiants obtiennent leur diplôme ou que des employés quittent l’établissement) Application de la MFA — la plateforme doit respecter les politiques MFA de l’établissement, et non les contourner

Lire ensuite

Explorer davantage sur sso
Explorer davantage sur ferpa
Explorer davantage sur conformité
Explorer davantage sur université
Explorer davantage sur achats
Explorer davantage sur sécurité

Commencer gratuitement Voir Doxa

Articles associés

Licences en consortium de bibliothèques pour les outils de recherche en IA : guide pratique Comment les consortiums de bibliothèques peuvent négocier des licences pour des outils de recherche en IA. Couvre les modèles de consortium, les principes de l’ICOLC, les formules de partage des coûts, les parcours du pilote à la licence et des exemples d’Overleaf et de Zotero. 30 % de réduction sur PapersFlow pour les étudiants et le corps enseignant des universités PapersFlow offre une réduction académique de 30 % aux étudiants et au corps enseignant de plus de 1 100 universités dans 80 pays. Vérifiez votre adresse e-mail universitaire — aucun code promo nécessaire. Voici qui est éligible et comment cela fonctionne.

Découvrir PapersFlow

Outils de recherche Découvrez les workflows IA pris en charge par PapersFlow. Comparer PapersFlow Guides de transition pour Elicit, Zotero, Overleaf et plus encore. Cas d’usage par domaine Trouvez des workflows de recherche spécifiques à chaque discipline.

Frequently Asked Questions

FERPA s’applique-t-elle aux outils de recherche utilisés uniquement par les enseignants-chercheurs ?: Cela dépend. FERPA protège les dossiers éducatifs des étudiants ; ainsi, si l’outil est utilisé uniquement par les enseignants-chercheurs pour leurs propres travaux (sans données étudiantes), FERPA n’est généralement pas déclenchée. En revanche, si des étudiants utilisent la plateforme dans le cadre d’un cours, ou si des noms d’étudiants, des notes ou des identifiants sont stockés dans le système, FERPA s’applique. De nombreuses universités appliquent largement les exigences FERPA à l’ensemble des SaaS comme stratégie de gestion des risques, même lorsque son applicabilité stricte est incertaine.
Qu’est-ce que HECVAT et pourquoi les fournisseurs doivent-ils le remplir ?: HECVAT (Higher Education Community Vendor Assessment Toolkit) est un questionnaire de sécurité standardisé développé par EDUCAUSE et Internet2. Il évite à chaque université de créer son propre questionnaire, ce qui fait gagner du temps aux fournisseurs comme aux établissements. Il existe deux versions : HECVAT Lite (pour les outils à plus faible risque) et HECVAT Full (pour les outils traitant des données sensibles). La plupart des services achats des universités n’iront pas plus loin sans un HECVAT complété.
Un fournisseur sans certification SOC 2 peut-il tout de même être approuvé ?: Techniquement oui, mais cela ajoute des frictions importantes. Sans SOC 2, l’équipe sécurité de l’université exigera généralement une revue plus approfondie — incluant une documentation d’architecture détaillée, les résultats de tests d’intrusion et éventuellement un audit sur site. De nombreuses universités ont pour politique d’exiger SOC 2 Type II pour tout outil qui traite des données institutionnelles. Les petits fournisseurs peuvent parfois s’appuyer sur des preuves alternatives (ISO 27001, un CAIQ complété ou des rapports d’audit de sécurité indépendants), mais il faut s’attendre à un processus d’achat plus long.