La loi fédérale sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données. La loi actuelle date de 1992, lorsque l'Internet n'était pas encore utilisé à des fins commerciales et que la réalité numérique d'aujourd'hui n'était pas prévisible. La nouvelle loi sur la protection des données tient compte de l'évolution de la situation. En outre, la nLPD remplit également le but d'harmoniser la loi sur la protection des données avec le règlement général sur la protection des données (RGPD) de l'Union européenne. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller si les dispositions fédérales en matière de protection des données sont respectées.

Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données

La nouvelle loi fédérale sur la protection des données s'applique – comme jusqu'à présent l'actuelle loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées (y compris les entreprises), mais pas par les organismes cantonaux et communaux. Les écoles publiques sont des institutions cantonales ou communales. Elles sont donc soumises à la loi cantonale sur la protection des données, par exemple la loi sur la protection des données personnelles (LPrD) dans le canton de Vaud ou la loi sur la protection des données (LCPD) dans le canton de Neuchâtel.

Mesures dans les écoles publiques

En soi, les écoles publiques ne sont donc pas concernées par la nouvelle loi sur la protection des données. Néanmoins, il convient d'accorder suffisamment d'attention au droit cantonal applicable en matière de protection des données, d'aborder les questions en suspens et de mettre en œuvre des solutions en conséquence.

Pour l'école obligatoire et le degré secondaire II (formation professionnelle ou gymnase), il convient d'examiner au niveau communal ou cantonal si quelque chose doit être adapté en ce qui concerne la protection des données à l'école. Une mesure possible est par exemple la nomination par l'école d'une conseillère ou d'un conseiller à la protection des données par l'école.

Traitement des données par des entreprises privées

La nouvelle loi sur la protection des données s'applique aux écoles privées, aux entreprises Ed-Tech ou aux institutions similaires. Dans ce contexte, il y a un certain nombre de changements importants à prendre en compte. Les plus importante sont:

  • Elargissement du champ d'application: les données génétiques et biométriques sont désormais également considérées comme sensibles.
  • Amélioration de la transparence: informations claires sur chaque collecte de données, l'identité et les coordonnées de la personne responsable du traitement des données, la finalité du traitement, les (catégories de) destinataires et le pays de destination en cas d'exportation des données à l'étranger, ainsi qu'une communication claire des droits et des possibilités des utilisatrices et utilisateurs.
  • Registre des activités de traitement: les entreprises doivent tenir un registre des activités de traitement contenant les informations prescrites. En revanche, l'obligation de tenir un registre des collectes de données est supprimée.
  • Analyse d'impact relative à la protection des données personnelles: lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la per­sonnalité ou les droits fondamentaux de la personne concernée, les entreprises sont désormais tenues d'effectuer une analyse d’impact (documentée) relative à la protection des données personnelles.
  • Privacy by Design et by Default: les principes actuels de protection et de traitement des données doivent être intégrés dès le début, c'est-à-dire dès la planification et la conception des applications.
  • Profilage: la nLPD réglemente également le profilage, c'est-à-dire le traitement automatisé des données dans le but d'évaluer certains aspects personnels d'une personne tels que sa situation économique, sa santé, ses intérêts, son comportement, son lieu de résidence, etc. Contrairement au RGPD, la nLPD ne prévoit pas d'obligation générale d'obtenir un consentement. Celle-ci n'existe qu'en cas de profilage à haut risque.
  • Des conséquences plus sévères: Le PFPDT dispose de plus de pouvoirs pour appliquer plus rapidement des sanctions à l'encontre des entreprises fautives. Dans l'ensemble, les dispositions pénales sont plus sévères.
  • Obligation d'annonce: signaler immédiatement les violations de la protection des données au PFPDT.

Sanctions pénales

Dans la nouvelle loi sur la protection des données, les exigences en matière de règles pénales et de sanctions sont plus élevées. En outre, les amendes sont moins sévères que celles prévues par le RGPD de l'UE.

Aide concernant les risques liés à la protection des données

Dans le cadre du développement d'une politique d'utilisation des données, nous évaluons le besoin de soutien dans le système éducatif pour identifier et évaluer les risques liés à la protection des données. Nous mettons à disposition deux outils permettant aux écoles d'identifier les risques en matière de protection des données et d'améliorer de manière ciblée le niveau de protection des données. Deux perspectives sont considérées dans ce contexte: l'une orientée vers les données avec le «registre des activités de traitement» et l'autre orientée vers les applications avec une «liste de contrôle des applications».

Vers le dossier «École conforme à la protection des données»

En outre, nous gérons un guichet pour les questions relatives au traitement des données. Nous soutenons les écoles et l'administration de l'éducation dans les domaines de l'utilisation et de la protection des données. Dans ce cadre, nous avons déjà répondu à des questions sur la nouvelle loi sur la protection des données. Plusieurs cantons proposent en outre du matériel d'information sur la protection des données.

Articles associés

Tous les articles

Les applications pour soutenir l'enseignement – mais comment?

Le projet IDENTI du canton de Lucerne s'intéresse à l'identité numérique des élèves et met en lumière les conditions-cadres des moyens d'enseignement numériques ainsi que des applications. Karin Weber et Reto Buchmann, qui assument la codirection du projet, ont esquissé pour nous les premières solutions aux défis identifiés.

La protection des données: une mission commune

Dans le système éducatif fédéral, il existe différentes responsabilités en matière de protection des données pour les moyens d'enseignement numériques et les applications d'apprentissage. Cela entraîne des incertitudes, comme le montre le projet d'utilisation des données dans le canton d'Argovie. Des responsabilités claires et une sensibilisation sont nécessaires.

Gestion des moyens d'enseignement sous l'angle de la protection des données

Dans le cadre du programme d'utilisation des données, nous avons examiné, en collaboration avec le canton d'Argovie, la gestion des moyens d'enseignement sous l'angle de la protection des données. Les résultats de ce projet sont désormais disponibles. Il en ressort des solutions tant aux niveaux cantonal qu'intercantonal.

Educa devient membre de la Swiss Internet Security Alliance

Depuis février, nous sommes membres de la Swiss Internet Security Alliance (SISA). Nous contribuons ainsi à sensibiliser la population, et donc le système éducatif, aux dangers potentiels liés à l'utilisation d'Internet et des dispositifs compatibles avec Internet.