Contenu

Le guichet pour l'utilisation et la protection des données apporte son soutien à ces questions et génère ainsi une base de connaissances collective pour l'espace numérique suisse de formation. Nous élaborons les réponses en collaboration avec des spécialistes. Les perspectives éthiques et les conditions-cadres de la politique de l'éducation sont prises en compte dans nos réponses, tout comme l'adéquation à la pratique de l'éducation et sa connectivité aux composantes existantes du système. Les questions suivantes nous ont été posées par les directions d'école, le corps enseignant et l'administration de l'éducation. Nous complétons les thèmes au fur et à mesure.

Questions bienvenues

Avez-vous des questions sur l'utilisation et la protection des données, auxquelles vous ne trouvez pas de réponse ici? Transmettez-nous votre question.

Transmission des données personnelles

Notre école souhaite utiliser une nouvelle application d'apprentissage numérique pour les cours de mathématiques. Le fournisseur demande les données personnelles suivantes pour la création de comptes d'utilisateur:

  • Prénom et nom de famille

  • Adresse courriel

  • Numéro de téléphone portable (authentification à 2 facteurs)

  • Nom d'utilisateur

  • École

  • Âge

  • Date de naissance

  • Genre

Pouvons-nous transmettre ces données au fournisseur?

Les directions d'école sont responsables de la conformité de l'application pédagogique qu'ils utilisent avec la protection des données. Lorsqu'il s'agit de décider si des données à caractère personnel peuvent être transmises à des fournisseurs, il convient de tenir compte de plusieurs aspects relatifs à la protection des données.

Les données personnelles ne peuvent être traitées que dans le cadre du mandat scolaire (défini dans la loi sur l'école obligatoire). Le traitement doit être conforme aux principes de chaque loi cantonale sur la protection des données. Fondamentalement, le principe de finalité s'applique. Par exemple, les données ne peuvent pas être transmises à des services en ligne privés. Souvent, l'âge, la date de naissance et le genre ne sont pas nécessaires à l'exécution du mandat par le fournisseur et ne doivent pas être transmis pour cette raison.

Pour toute communication de données à des tiers, le principe suprême est la proportionnalité. Cela signifie que seules les informations nécessaires à l'accomplissement de la tâche peuvent être transmises.

En raison des différentes conditions, il convient de distinguer, lors de la communication d'informations scolaires, entre

  • la transmission interne,
  • la divulgation externe,
  • la nature de l'information,
  • l'organe qui communique,
  • le destinataire des données.

La communication de données personnelles à des fournisseurs est une communication externe. Les informations à des tiers dans un contexte de droit public ne peuvent être fournies qu'en présence d'un consentement explicite des parents ou pour l'accomplissement d'une obligation légale (vis-à-vis de la police, de l'office des migrations, du service psychologique scolaire, etc.)

Si une direction d'école décide d'utiliser une application pédagogique, les élèves ou leurs responsables légaux doivent être suffisamment informés sur l'application pédagogique. Cela inclut des informations sur les paramètres possibles de protection des données. 

Edulog

Sur mandat des cantons, Edulog propose une solution simple, sûre et mobile. Edulog simplifie et standardise l'accès aux services en ligne pour les élèves, les apprenantes et apprenants ainsi que le personnel des institutions d'enseignement. 

Edulog ne stocke pas d'informations. Celles-ci restent sous le contrôle du fournisseur d'identité (canton, commune ou école). Lors de la connexion, Edulog ne transmet que les données essentielles nécessaires à l'autorisation du service. Edulog détermine contractuellement quelles informations sont transmises à un service. Un tableau de bord est à la disposition des utilisatrices et utilisateurs. Sur ce tableau de bord, ils peuvent voir à tout moment quelles informations Edulog a transmises à quel service pendant la procédure de connexion. En outre, Edulog met en œuvre toutes les mesures techniques et organisationnelles (TOM) nécessaires à la protection des données. Edulog analyse en permanence les nouveaux risques auxquels les données pourraient potentiellement être exposées et améliore leur protection.

Ces derniers mois, le secrétariat de notre école a reçu de plus en plus de demandes de la part des titulaires de l'autorité parentale. Ceux-ci souhaitent savoir quelles données sont disponibles à l'école concernant leur enfant et comment nous les utilisons ou les transmettons éventuellement. Ces demandes concernent particulièrement le passage au degré secondaire I. 

Nous aimerions savoir si nous devons répondre à ces demandes et sous quelle forme. Pour nous, ces demandes représentent un investissement en temps considérable et nous sommes intéressés par des recommandations d'action concrètes. 

Votre question concerne le droit d'accès, qui fait partie des droits de la personne concernée (articles 25 et suivants de la Loi fédérale sur la protection des données ou dispositions correspondantes dans les lois cantonales sur la protection des données). Il donne à la personne concernée des instruments lui permettant de faire valoir ses droits découlant de la Loi sur la protection des données auprès du responsable du traitement. Toute personne peut demander au responsable de lui indiquer si des données personnelles la concernant sont traitées. Le droit d'accès garantit un traitement transparent des données. Pour les mineurs, les droits de la personne concernée reviennent aux titulaires de l'autorité parentale. Si les droits de la personne concernée sont régulièrement invoqués dans une école, il vaut la peine de mettre en place des processus internes et de préparer des modèles de réponse. Cela présuppose que chaque traitement de données est connu dans l'école et que celle-ci sait quelles données personnelles sont traitées. Un registre des activités de traitement ou un système de gestion de la protection des données (DSMS) constitue par exemple une bonne solution.

Le registre des activités de traitement contient notamment:

  1. l'identité de la personne responsable
  2. la finalité du traitement
  3. la durée de conservation
  4. la description des mesures techniques et organisationnelles de la protection des données (TOM), le mieux étant de se référer aux directives internes de sécurité informatique.

Le droit d'accès peut être exercé à tout moment et en principe sans justification. En règle générale, la demande d'accès doit être formulée par écrit. Le renseignement doit en principe être fourni gratuitement dans les 30 jours. 

Le canton de Saint-Gall propose une réponse type à la demande d'accès. Vous trouverez d'autres informations sur le droit d'accès dans le lexique de la Préposée à la protection des données du canton de Zurich, sur le site web du Préposé fédéral à la protection des données et à la transparence ainsi que dans le guide sur la protection des données dans les écoles du canton de Bâle-Campagne. 

Une école envisage de mettre à disposition des informations telles que les listes de classe, les horaires et les coordonnées du corps enseignant sur un portail destiné aux parents. Est-ce admissible du point de vue de la protection des données et à quoi faut-il faire attention?

La question de savoir si et dans quelle mesure des informations telles que les listes de classe doivent être publiées et rendues accessibles aux parents doit être considérée de manière critique. Les points les plus importants à respecter pour une utilisation conforme à la protection des données sont énumérés ci-dessous.

Obtenir le consentement: il convient d'obtenir au préalable le consentement de toutes les personnes concernées et de communiquer de manière aussi claire et transparente que possible à celles et ceux qui ont accès au portail. Le consentement doit être tenu à jour et soigneusement documenté.

Limitation de la publication: si une publication a lieu sur le portail de l'école (même si un login est nécessaire), elle doit être limitée autant que possible à la classe.

Affectation à une finalité précise et minimisation des données: si une publication à l'échelle de la classe ne peut être évitée, il faut veiller à ce que l'affectation à une finalité précise et la proportionnalité soient respectées. Cela signifie que l'école doit être transparente quant à la finalité pour laquelle elle a besoin des données. Les données à caractère personnel ne peuvent être traitées que dans le but pour lequel elles ont été collectées et pendant la durée nécessaire à la réalisation de ce but. Ensuite, elles doivent être détruites ou rendues anonymes.

Transparence: les personnes concernées doivent savoir comment, où et pourquoi leurs données sont traitées. Cela suppose que toutes les informations relatives au traitement des données personnelles soient claires, accessibles, compréhensibles et intelligibles.

Consentements différents pour des finalités différentes: si des données à caractère personnel sont collectées pour des finalités différentes, par ex. pour des prestations scolaires ou des excursions, un consentement distinct est nécessaire pour chaque finalité. En règle générale, les consentements globaux ne satisfont pas aux exigences légales.

Un organisateur de camps d'été souhaite obtenir de votre école les noms et adresses électroniques ou postales des élèves afin de pouvoir leur envoyer des informations et des dépliants sur le camp d'été de cette année. En tant que secrétaire de l'école, fournissez-vous ces données?

En tant qu'école, vous avez le droit de collecter et de traiter les données personnelles telles que les noms et adresses des élèves pour l'organisation de l'école, conformément à la loi sur l'école obligatoire de votre canton. Vous n'avez cependant pas le droit d'utiliser ces données en dehors de ce but et de les transmettre à des tiers. La publicité pour un camp d'été extrascolaire ne fait pas partie des objectifs de l'école couverts par la loi sur l'école obligatoire. Vous pouvez par exemple autoriser le prestataire à coller une affiche du camp d'été sur le tableau d'affichage et à y déposer des dépliants. Il serait également envisageable que le corps enseignant distribue (volontairement) les informations et les dépliants si l'offre est compatible avec les objectifs de l'école.

En ce qui concerne le traitement des données personnelles, les écoles publiques sont soumises à la loi cantonale sur la protection des données.

Des apprenantes et apprenants ont partagé des informations personnelles sur moi en tant qu'enseignante ou enseignant sur les réseaux sociaux. Que puis-je faire?

Tout d'abord, il faut savoir de quel type d'informations il s'agit: fausses informations, informations en libre accès, insultes, vidéos ou autres? Avant toute chose, il est recommandé de demander aux élèves concernés de supprimer le contenu.

Si, en tant qu'enseignante ou enseignant, vous souhaitez qu'un texte ou une image de vous soit retiré des réseaux sociaux parce qu'il porte atteinte à vos droits de la personnalité, vous avez la possibilité de le signaler à la plateforme de réseaux sociaux concernée. La fournisseuse ou le fournisseur examinera le signalement et prendra les mesures appropriées en fonction de ses standards.

Si la publication porte atteinte aux droits de la personnalité (par ex. représentations désavantageuses ou inexactes), la protection de la personnalité selon l'article 28 du Code civil (CC) s'applique. Vous pouvez alors intenter une action en cessation ou en suppression devant le tribunal civil. Les procèdures civiles nécessitent toutefois beaucoup de preuves et sont financièrement coûteuses.

Dans certaines circonstances, il peut même s'agir d'une atteinte à l'honneur au sens de l'article 173 du Code pénal (CP) (diffamation) –  à savoir si vous, en tant qu'enseignante ou enseignant, apparaissez comme une personne peu honorable sur la contribution aux réseaux sociaux. Vous devriez alors déposer une plainte pénale dans les trois mois. Toutefois, toute déclaration jugée diffamatoire ne constitue pas un délit.

Stockages des données dans le cloud

En tant que directrice ou directeur d'école, à quoi dois-je faire attention si des listes de classe, des notes scolaires, des fiches d'urgence, etc. sont stockées dans un cloud, par ex. Microsoft Office 365 Education?

Même en cas d'externalisation vers un cloud, l'école est entièrement responsable du traitement des données. Il s'agit ici d'un sous-traitement des données personnelles, comme l'école confie le traitement des données à un tiers. Elle ne traite donc pas (uniquement) elle-même les données.

L'école doit s'assurer que le fournisseur du cloud est en mesure de garantir la sécurité des données. Les risques existant dans différents domaines avec les solutions cloud doivent être exclus par l'école au moyen de mesures ou du moins réduits à un niveau supportable.

Les données doivent être cryptées selon l'état actuel de la technique, au moins lors de leur transmission. Lors du traitement des données par le fournisseur du cloud, la confidentialité doit être protégée de manière adéquate par des mesures appropriées. Pour plus d'informations, veuillez consulter l'Aide-mémoire sur les risques et les mesures spécifiques à la technologie du cloud réalisé par privatim.

Le transport et le stockage des données sont déjà cryptés dans Microsoft 365, Microsoft disposant de la clé. Pour le cryptage dans le cloud, il existe différentes approches comme un traitement intégré dans Microsoft 365 avec la souveraineté sur les clés utilisées par l'école (cette solution est techniquement exigeante et coûteuse), le cryptage via une solution d'un fournisseur tiers, le cryptage manuel via une solution d'une application utilisée localement ou via un service d'un fournisseur tiers (voir le guide Microsoft 365 pour le domaine de l'éducation, point 4 de la préposée des données du Canton Zurich). Pour l'application concrète, il peut également être utile de demander conseil à l'autorité cantonale de surveillance de la protection des données compétente.

Utilisation d'appareils personnels à des fins scolaires (BYOD)

Dans notre école, on soupçonne que du harcèlement est mené via des appareils financés de manière mixte. En tant qu'école, avons-nous le droit de consulter les messages sur les appareils? Et que pouvons-nous faire d'autre pour y faire face?

Tout soupçon de harcèlement doit être pris au sérieux et nécessite une action immédiate. Avant de demander à consulter les appareils numériques, il convient de rechercher le dialogue avec les élèves concernés. La gravité de la situation doit être soigneusement examinée. Par exemple, les questions suivantes devraient être clarifiées: les soupçons de harcèlement sont-ils fondés? Existe-t-il des menaces? Quels sont les signes concrets? De tels incidents se multiplient-ils?

Si les soupçons se confirment, l'accès aux appareils peut être vérifié. Parfois, les droits de licence des logiciels utilisés permettent d'accéder au contenu. Par exemple, une licence scolaire pour MS Teams peut donner à l'école des droits d'accès spécifiques.

Il convient de vérifier si les parents ont signé une déclaration de consentement lors de la mise en service des appareils, qui inclut le droit de consulter toutes les applications. La direction de l'école se réserve ainsi le droit d'accéder aux appareils des élèves dans des cas particuliers.

Il est important que l'accès soit possible avant la suppression. Si le donneur de licence et les parents ont un droit de consulter, c'est possible. En outre, toutes les preuves pertinentes se trouvant sur les appareils financés de manière mixte doivent être sauvegardées. Il peut s'agir de messages textuels, d'images ou d'autres communications numériques.

Si l'on soupçonne que le contenu en question est pénalement répréhensible et que l'école n'a aucun moyen légal d'agir, il convient de faire appel à la police. Cela peut être le cas, par exemple, en cas de menaces, de contrainte ou de trafic de drogue.

La plupart des lois scolaires ou éducatives et des ordonnances correspondantes prévoient que des mesures disciplinaires peuvent être prises à l'encontre des apprenantes et apprenants. Dans certaines circonstances, les appareils peuvent également être confisqués. Les règlements de l'école ou de la commune contiennent également des dispositions relatives au comportement incorrect.

Nos élèves utilisent en classe des appareils informatiques qui sont en partie financés de manière privée. Faut-il faire attention à quelque chose de particulier à ce sujet?

Si des appareils (partiellement) privés (smartphones, notebooks, tablettes) sont utilisés pour accomplir les tâches scolaires, les informations doivent être protégées par les mesures organisationnelles et techniques (TOM) appropriées. Les mesures suivantes sont au minimum nécessaires:

  • Une protection par mot de passe ou code PIN
  • L'installation d'une protection antivirus
  • Un pare-feu à jour
  • Des mises à jour régulières
  • Le cryptage lors du stockage et de la transmission de données sensibles

Même les appareils entièrement financés par l'école doivent être protégés conformément aux directives concernant l'utilisation du matériel et des logiciels de l'école ou de la commune.

Droits d'auteur des images, des textes et de la musique

Notre école utilise ChatGPT dans différents contextes d'application comme outil de soutien dans l'enseignement. Actuellement, on lit souvent que le droit d'auteur doit être respecté lors de l'utilisation de l'intelligence articielle (IA). Comment notre école doit-elle procéder pour ne pas enfreindre le droit d'auteur suisse?

La Loi fédérale sur le droit d'auteur et les droits voisins régit notamment la protection des autrices et auteurs d'œuvres littéraires et artistiques. Lors de l'utilisation de l'IA, le droit d'auteur est touché de différentes manières. D'une part, les systèmes d'IA collectent et traitent de très nombreuses données – en partie aussi des œuvres protégées par le droit d'auteur. D'autre part, de nouvelles œuvres protégées par le droit d'auteur peuvent potentiellement être créées. Les questions suivantes se posent donc:

  • L'utilisation de systèmes d'IA est-elle légale en soi au regard de la loi sur le droit d'auteur?
  • Comment les nouveaux résultats générés par les systèmes d'IA doivent-ils être traités en matière de droit d'auteur?

Le droit d'auteur est concerné par l'utilisation de l'IA lors de la «collecte et de la diffusion de données» et de «l'utilisation concrète de ces données pour l'entraînement d'une IA». La collecte de données par copie, sans indication des sources, ainsi que leur stockage ne sont pas autorisés par le droit d'auteur suisse. L'utilisation de ces données pour la diffusion de données ou l'entraînement d'une IA est néanmoins légale pour la raison suivante: certaines pratiques juridiques estiment que la notion de reproduction technique ou de duplication est actuellement axée sur des procédés techniques de copie à long terme. Dans le contexte de la consultation de fichiers et de l'utilisation de logiciels en général, les processus de copie sont souvent de courte durée. L'entraînement de l'IA elle-même ne constituerait donc pas un acte de reproduction relevant du droit d'auteur. Si un acte de reproduction était néanmoins avéré, une exception pourrait être invoquée (par ex. la reproduction temporaire ou la reproduction pour des raisons techniques dans le cadre de la recherche scientifique).

Lors de l'entraînement d'une IA, il n'existe pas d'accord dans la pratique juridique quant à savoir s'il s'agit d'une utilisation relevant du droit d'auteur. Une clarification judiciaire n'a pas encore eu lieu. En outre, cela dépend essentiellement du droit d'auteur concrètement applicable.

Pour l'instant, on peut partir du principe que l'utilisation d'outils d'intelligence artificielle et l'accès à des œuvres protégées par le droit d'auteur ou à d'autres résultats de travail ne violent pas le droit d'auteur suisse en vigueur. Du point de vue du droit d'auteur, ChatGPT peut donc être utilisé en toute légalité dans l'enseignement.

En ce qui concerne les résultats générés par l'IA, il n'est pas possible de répondre clairement à la question de savoir si, dans ces cas, il s'agit en principe d'œuvres nouvellement créées et protégées par le droit d'auteur. Dans tous les cas, il est recommandé d'indiquer que les nouveaux contenus ont été générés par une IA et d'indiquer la date à laquelle ils ont été générés (exemple: ChatGPT d'OpenAI, 14.6.2024). En ce qui concerne les nouvelles œuvres, cela permet de respecter les exigences en matière de droit d'auteur, si elles sont applicables.

Sources:

Lors d'une représentation théâtrale de l'école, une photographe et des parents ont pris des photos et des vidéos. L'enseignant de cette classe souhaite mettre à la disposition de chaque enfant le film de la représentation sur un support de stockage. Des parents ont également pris des photos et des vidéos et les ont publiées sur les réseaux sociaux. Les parents d'un élève apparaissant sur les vidéos se plaignent. Comment faut-il juger la prise et la publication d'images par l'école? Dans quelle mesure l'école est-elle responsable de ces enregistrements?

Le droit à l'image protégé par le droit civil (art. 28 CC) doit toujours être respecté et nécessite toujours, dans le cas présent, une justification sous la forme d'un consentement de la personne concernée ou d'une base légale.

Du point de vue du droit d'auteur, il convient de faire la distinction entre la prise de vue et la mise à disposition (publication) de matériel photographique. Du point de vue du droit d'auteur, l'autorisation des personnes concernées n'est pas nécessaire pour la prise de vue en tant que telle, mais elle l'est pour la publication.

Il convient également de distinguer les différentes personnes qui prennent des photos (parents, corps enseignant, photographe). Il en va de même pour le but de la photographie ou du film, car cela est important pour l'évaluation ultérieure de la finalité. Les exigences juridiques (base légale, consentement) varient en fonction de la personne qui photographie ou filme et du but poursuivi.

Pour la projection du film devant la classe ou la mise à disposition sur un support de stockage accessible à chaque enfant, la loi scolaire cantonale correspondante suffit en général comme base juridique. Pour d'autres publications, l'autorisation expresse des responsables légaux ainsi que des élèves concernés est nécessaire. En cas de publication par l'école, il est important d'obtenir les consentements le plus tôt possible au début de l'année scolaire. La déclaration de consentement doit mentionner le but de la production ou du traitement de l'image. Selon la situation, un nouveau consentement doit être obtenu pour le cas actuel et concret. Les parents et l'enfant peuvent révoquer leur consentement à tout moment sans avoir à se justifier.

La publication sur les médias sociaux par les parents ne relève pas de la responsabilité de l'école. Dans un but de prévention et de sensibilisation, l'école pourrait indiquer avant une représentation théâtrale que la prise de photos des enfants par les parents ainsi que la publication sur les médias sociaux ne sont pas autorisées.

Sur le site web de notre école, nous souhaitons présenter notre école dans un court clip vidéo. La musique de Herbert Grönemeyer doit être diffusée en arrière-plan. Comment devons-nous procéder pour pouvoir utiliser légalement la musique choisie?

Les droits d'auteur de la musique appartiennent à Herbert Grönemeyer ou, le cas échéant, à sa société de production. Comme le site web de l'école est public, vous ne pouvez pas utiliser la musique sans licence. Vous devez déclarer l'utilisation de la musique et obtenir une licence. En Suisse, cela se fait auprès de la SUISA, qui représente les droits d'auteur des créatrices et créateurs de musique ainsi que des éditrices et des éditeurs dans toute la Suisse. La SUISA veille à ce que les compositrices et compositeurs, autrices et auteurs de texte ainsi que les éditrices ou éditeurs reçoivent des redevances de droits d'auteur lorsque leur œuvre est utilisée en public. Vous pouvez demander à la SUISA une licence pour la mise à disposition et l'enregistrement de fichiers audio sur un serveur. Une redevance est alors due.

Il se peut que cette solution soit trop coûteuse pour une école qui choisit par exemple une chanson de Grönemeyer. Vous pouvez alors opter pour de la musique libre de droits ou produire vous-même un fond musical.

Vous trouverez de plus amples informations sur l'utilisation d'œuvres musicales protégées par le droit d'auteur dans les écoles sur le site web de la SUISA.

Durant sa carrière dans notre école, notre professeur de physique a créé un script pour les cours. Comme il quitte l'école, il ne veut plus le mettre à notre disposition en invoquant ses droits d'auteur. Le droit d'auteur s'applique-t-il également au matériel pédagogique?

La loi sur le droit d'auteur (LDA) s'applique également au matériel pédagogique. Toutefois, les enseignantes et enseignants sont également employés et rémunérés pour l'élaboration et la mise à disposition de matériel pédagogique. Les droits d'utilisation de l'auteur sont donc régulièrement transférés à l'école selon la loi sur le personnel, le règlement scolaire ou le contrat d'engagement. En règle générale, l'école peut donc décider de la réutilisation de matériel pédagogique créé par le corps enseignant, comme les scripts et autres.

Il existe des exceptions pour les œuvres créées à titre privé (et pendant le temps libre), car dans ce cas, le droit d'utilisation de l'auteur reste à l'enseignante ou l'enseignant. Il peut ainsi décider si et où l'œuvre sera réutilisée.

Sécurité de l'information et des données à l'école ou dans l'entreprise formatrice

En tant qu'école, nous sommes intéressés par une application qui est conforme au RGPD. Nous souhaitons nous assurer que celle-ci respecte également la législation suisse. Pouvons-nous partir du principe qu'une application qui est conforme à la législation européenne respecte aussi la législation suisse ou devons-nous procéder à des clarifications juridiques supplémentaires? 

Avant toute chose, il est important de savoir que les écoles de droit public sont soumises aux lois cantonales sur la protection des données et non à la loi fédérale sur la protection des données (LPD). Néanmoins, nous renvoyons aux dispositions de la LPD, car les réglementations ont souvent été intégrées dans les actes législatifs cantonaux.

La loi suisse sur la protection des données ne coïncide pas avec le Règlement européen sur la protection des données (RGPD). Souvent, la loi révisée sur la protection des données va moins loin, est moins formaliste ou moins détaillée. Dans certains cas, la loi suisse sur la protection des données impose toutefois des exigences plus élevées. Si une application est conforme au RGPD, il est possible de vérifier avec peu d'effort si l'application respecte également la loi suisse (ou les lois cantonales sur la protection des données).

Les différences pertinentes pour la pratique se trouvent dans les domaines suivants:

  • Devoir d'information: pour satisfaire au devoir d'information et dans un souci de transparence, l'école devrait, selon la LPD, indiquer aux personnes concernées le pays destinataire en cas de communication de données à l'étranger. Une autre possibilité est que la loi scolaire prévoie déjà la transmission à l'étranger.
  • Sous-traitance de données: si les entreprises ou les autorités fédérales font appel à une sous-traitance de données (par ex. externalisation vers un cloud), le prestataire doit pouvoir garantir la sécurité des données au même titre que le client. Les exigences posées par la LPD en matière de sous-traitance de données vont moins loin que les prescriptions du RGPD. Les contrats avec les sous-traitants ne doivent donc être adaptés à la LPD que sur le plan rédactionnel, par exemple en renvoyant aux articles correspondants. 
  • Notification d'une violation de la sécurité des données: selon la LPD, une violation de la sécurité des données doit être notifiée moins rapidement et selon des critères légèrement différents de ceux du RGPD. Toutefois, les définitions des données personnelles sensibles sont plus larges dans la LPD que dans le RGPD. Ces différences peuvent jouer un rôle selon l'école et l'application.

Nous nous sommes penchés sur les adaptations de la loi suisse révisée sur la protection des données dans nos articles «Conséquences de la nouvelle loi sur la protection des données pour les écoles» et «Conséquences de la nouvelle loi sur la protection des données pour les particuliers et les organes fédéraux».

La gestion des mots de passe de nos élèves est un défi pour notre école. En particulier, la procédure correcte de gestion des mots de passe «oubliés» engendre un travail administratif important, tant pour le corps enseignant que pour le secrétariat de l'école. Les droits d'accès des enseignantes, enseignants et de l'administration scolaire aux mots de passe des élèves ne sont pas non plus clairs. Notre gestion des mots de passe doit être sûre, conforme à la protection des données et faciliter le quotidien de l'école. Quelle est la meilleure façon de procéder?

Afin de garantir une gestion des mots de passe sûre et conforme à la protection des données dans les écoles, différentes mesures techniques et organisationnelles (TOM) peuvent être prises. Les mesures possibles sont les suivantes:

  • Elaboration d'un concept de rôles et d'autorisations: il est conseillé de définir dans les applications correspondantes quelles sont les personnes qui doivent avoir accès à la documentation sur les mots de passe (par ex. direction de l'école, secrétariat, responsables informatiques, corps enseignant).
  • Création d'une directive sur les responsabilités: une directive écrite devrait établir clairement les responsabilités, les droits et les obligations des personnes autorisées à accéder et être signée par ces dernières.
  • Restrictions d'accès: l'accès aux documents avec mot de passe devrait être limité au cercle de personnes défini dans le concept de rôles et d'autorisations. Cela peut se faire soit par l'attribution de droits dans le dépôt de fichiers, soit par le cryptage des documents de mots de passe.
  • Gestion des mots de passe par le corps enseignant: une autre possibilité est la gestion des mots de passe par le corps enseignant. Ici aussi, le mieux est d'établir un concept de rôles et d'autorisations.
  • Gestion des mots de passe via un service séparé: les mots de passe peuvent être gérés via un service séparé, soit en ligne, soit localement. Les gestionnaires de mots de passe offrent une bonne vue d'ensemble des mots de passe ainsi que des possibilités de gestion.

L'implémentation de ces mesures permet de garantir une gestion sûre et conforme à la protection des données des mots de passe dans les écoles. Selon le service, le mot de passe peut en outre être réinitialisé de manière autonome. Cela dépend des possibilités techniques.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) propose un guide sur les mesures techniques et organisationnelles. La préposée à la protection des données du canton de Zurich aborde dans un guide Microsoft 365 dans le domaine de l'éducation le concept de rôles et d'autorisations (voir paragraphe 3.4.4) et informe sur les gestionnaires de mots de passe (en allemand). Microsoft 365 propose un aperçu de la réinitialisation des mots de passe.

Qu'est-ce qui va changer pour mon école avec l'introduction de la nLPD le 1er septembre 2023? Dois-je agir moi-même en tant que directrice ou directeur d'école et/ou est-ce qu'un autre organisme me soutient?

Le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur. Cette loi s'applique aux autorités fédérales et aux particuliers, mais pas aux organismes cantonaux et communaux, comme c'est le cas pour les écoles publiques. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique en premier lieu.

Il est préférable de vérifier au niveau communal si une école doit adapter quelque chose (par exemple la déclaration de protection des données sur son site web) (à voir aussi notre article sur les «Conséquences de la nouvelle loi sur la protection des données pour les écoles»).

En tant qu'école, comment pouvons-nous garantir que l'élimination des appareils tels que les ordinateurs et les tablettes se fasse dans le respect de la protection des données et de manière professionnelle? De quoi faut-il tenir compte si nous voulons transmettre les appareils à d'autres institutions?

La protection des données doit aussi être garantie lors de l'élimination des appareils usagés, en particulier lorsqu'ils sont transmis à des tiers.

En règle générale, l'élimination des appareils se fait via Swico, un système de reprise à but non lucratif pour les appareils électriques et électroniques usagés dans les secteurs informatique, électronique grand public, bureautique, communication, industrie graphique, métrologie et médecine. Les écoles peuvent faire enlever gratuitement les appareils usagés à partir d'une quantité de 250 kilos ou les gros appareils d'une hauteur minimale de 80 centimètres. Tous les partenaires contractuels de Swico sont tenus de protéger les données figurant sur les appareils déposés contre une consultation non autorisée. Vous trouverez de plus amples informations sur le site Internet de Swico.

Afin de garantir la protection des données, il est recommandé, indépendamment de l'entreprise d'élimination, de fixer la procédure idéalement par contrat ou au moins par écrit avant de passer commande. En outre, un procès-verbal correspondant devrait être demandé après l'élimination.

La méthode de suppression dépend du type d'appareil et du système d'exploitation. Des instructions gratuites à ce sujet sont disponibles sur Internet sur des portails de médias informatiques sérieux. L'utilisation de programmes d'effacement comporte toutefois un risque résiduel, car certaines zones de mémoire peuvent ne pas être couvertes. C'est pourquoi il est recommandé de démonter et d'éliminer toutes les mémoires avant de transmettre des appareils.

Cela garantit non seulement la protection des données, mais empêche également la transmission involontaire de ses propres licences de logiciels. Même si le corps enseignant utilise les appareils à titre professionnel, l'école doit dans tous les cas veiller à une suppression sécurisée.

Si les appareils doivent être transmis ou revendus pour des raisons de durabilité, il est recommandé de collaborer avec une entreprise spécialisée dans la revente d'appareils informatiques afin de garantir un effacement adéquat et une transmission des appareils conforme à la protection des données.

 

Quels sont les principaux changements dont nous devons tenir compte en tant qu'école privée avec la nouvelle loi sur la protection des données?

Le 1er septembre 2023, la loi fédérale révisée sur la protection des données est entrée en vigueur (nouvelle loi sur la protection des données). Celle-ci ne s'applique qu'aux organes fédéraux et aux personnes privées (y compris les entreprises). Les modifications suivantes s'appliquent pour l'essentiel aux autorités fédérales et aux particuliers (voir également notre article «Conséquences de la nouvelle loi sur la protection des données pour les particuliers et les organes fédéraux») ((Link))):

  • Extension du devoir d'informer: une déclaration de protection des données doit notamment être établie, qui mentionne notamment la finalité du traitement et la personne responsable avec ses coordonnées.
  • Il existe désormais une obligation de tenir un registre de traitement des données (avec des exceptions).
  • Les sanctions ont été renforcées, avec entre autres des amendes pouvant aller jusqu'à CHF 250'000.
  • En cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l'école privée (par ex. par le biais de la direction de l'école ou de la personne responsable) doit en informer le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais.

En tant qu'enseignante ou enseignant, j'aimerais utiliser l'intelligence artificielle (IA) pour évaluer les travaux de mes élèves. À quoi dois-je faire attention d'un point de vue juridique?

Si, en tant qu'enseignante ou enseignant, vous souhaitez utiliser l'IA pour évaluer des travaux, vous devez respecter non seulement les dispositions relatives à la protection des données, mais aussi celles relatives aux droits d'auteur. Cela signifie par exemple que vous n'avez pas le droit d'introduire des données issues de la création d'apprenantes et d'apprenants dans ChatGPT. De même, les systèmes d'IA ne peuvent être utilisés uniquement comme outils lors d'évaluations. En tant qu'enseignante ou enseignant, vous devez également vérifier le résultat conformément à la grille d'évaluation.

Le Digital Learning Hub du canton de Zurich propose des informations complètes sur l'IA/ChatGPT. Il a notamment élaboré, en allemand, des guides et des recommandations pour les écoles, les élèves et le corps enseignant concernant l'utilisation de l'IA dans les travaux d'approfondissement et de fin d'études.

Cyberharcèlement

Dans notre école, une élève est victime de harcèlement depuis environ trois mois. Des camarades de classe diffusent des commentaires insultants via TikTok. En outre, des photos prises dans l'enceinte scolaire et montrant l'élève concernée dans des situations embarrassantes sont publiées – parfois retouchées et falsifiées. Quels sont les moyens juridiques dont dispose l'élève et que pouvons-nous faire en tant qu'école contre le cyberharcèlement?

L'élève peut faire valoir la loi fédérale sur la protection des données (LPD). Cette loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement. La manipulation d'images sur lesquelles des personnes sont représentées constitue un traitement de données personnelles.

En outre, la disposition pénale relative à l'usurpation d'identité (art. 179decies Code pénal suisse) protège l'élève. Il s'agit de l'utilisation de l'identité d'une autre personne sans son consentement, dans le dessein de lui nuire ou de procurer un avantage illicite à un tiers. Il est possible qu'il s'agisse également d'un délit d'atteinte à l'honneur.

Il est recommandé à l'élève d'engager une procédure pénale. Contrairement à une procédure civile qui nécessite une avance de frais, une plainte pénale peut en général être déposée sans frais. De plus, la maxime d'office s'applique. Cela signifie que les autorités de poursuite pénale enquêtent d'office.

Enfin, il existe la possibilité d'invoquer une atteinte à la personnalité de droit civil selon l'article 28 du Code civil. On peut alors faire valoir la suppression de l'atteinte, la publication du jugement ainsi que, le cas échéant, des dommages et intérêts et des prétentions financières. Une procédure civile est toutefois beaucoup plus coûteuse qu'une procédure pénale. Elle est plus coûteuse pour le plaignant et exige de lui davantage de moyens de preuve. De plus, la partie défenderesse doit être connue.

Plusieurs cantons, l'Association faîtière des enseignantes et enseignants suisses (LCH) ainsi que d'autres services spécialisés proposent des informations détaillées sur la procédure concrète et la prévention du cyberharcèlement dans les écoles. Voici une liste de matériel disponible sur le thème du cyberharcèlement: