Notre école souhaite utiliser une nouvelle application d'apprentissage numérique pour les cours de mathématiques. Le fournisseur demande les données personnelles suivantes pour la création de comptes d'utilisateur:

  • Prénom et nom de famille

  • Adresse courriel

  • Numéro de téléphone portable (authentification à 2 facteurs)

  • Nom d'utilisateur

  • École

  • Âge

  • Date de naissance

  • Genre

Pouvons-nous transmettre ces données au fournisseur?

Les directions d'école sont responsables de la conformité de l'application pédagogique qu'ils utilisent avec la protection des données. Lorsqu'il s'agit de décider si des données à caractère personnel peuvent être transmises à des fournisseurs, il convient de tenir compte de plusieurs aspects relatifs à la protection des données.

Les données personnelles ne peuvent être traitées que dans le cadre du mandat scolaire (défini dans la loi sur l'école obligatoire). Le traitement doit être conforme aux principes de chaque loi cantonale sur la protection des données. Fondamentalement, le principe de finalité s'applique. Par exemple, les données ne peuvent pas être transmises à des services en ligne privés. Souvent, l'âge, la date de naissance et le genre ne sont pas nécessaires à l'exécution du mandat par le fournisseur et ne doivent pas être transmis pour cette raison.

Pour toute communication de données à des tiers, le principe suprême est la proportionnalité. Cela signifie que seules les informations nécessaires à l'accomplissement de la tâche peuvent être transmises.

En raison des différentes conditions, il convient de distinguer, lors de la communication d'informations scolaires, entre

  • la transmission interne,
  • la divulgation externe,
  • la nature de l'information,
  • l'organe qui communique,
  • le destinataire des données.

La communication de données personnelles à des fournisseurs est une communication externe. Les informations à des tiers dans un contexte de droit public ne peuvent être fournies qu'en présence d'un consentement explicite des parents ou pour l'accomplissement d'une obligation légale (vis-à-vis de la police, de l'office des migrations, du service psychologique scolaire, etc.)

Si une direction d'école décide d'utiliser une application pédagogique, les élèves ou leurs responsables légaux doivent être suffisamment informés sur l'application pédagogique. Cela inclut des informations sur les paramètres possibles de protection des données. 

Edulog

Sur mandat des cantons, Edulog propose une solution simple, sûre et mobile. Edulog simplifie et standardise l'accès aux services en ligne pour les élèves, les apprenantes et apprenants ainsi que le personnel des institutions d'enseignement. 

Edulog ne stocke pas d'informations. Celles-ci restent sous le contrôle du fournisseur d'identité (canton, commune ou école). Lors de la connexion, Edulog ne transmet que les données essentielles nécessaires à l'autorisation du service. Edulog détermine contractuellement quelles informations sont transmises à un service. Un tableau de bord est à la disposition des utilisatrices et utilisateurs. Sur ce tableau de bord, ils peuvent voir à tout moment quelles informations Edulog a transmises à quel service pendant la procédure de connexion. En outre, Edulog met en œuvre toutes les mesures techniques et organisationnelles (TOM) nécessaires à la protection des données. Edulog analyse en permanence les nouveaux risques auxquels les données pourraient potentiellement être exposées et améliore leur protection.

Plus d'informations dans le dossier «École conforme à la protection des données»

Ces derniers mois, le secrétariat de notre école a reçu de plus en plus de demandes de la part des titulaires de l'autorité parentale. Ceux-ci souhaitent savoir quelles données sont disponibles à l'école concernant leur enfant et comment nous les utilisons ou les transmettons éventuellement. Ces demandes concernent particulièrement le passage au degré secondaire I. 

Nous aimerions savoir si nous devons répondre à ces demandes et sous quelle forme. Pour nous, ces demandes représentent un investissement en temps considérable et nous sommes intéressés par des recommandations d'action concrètes. 

Votre question concerne le droit d'accès, qui fait partie des droits de la personne concernée (articles 25 et suivants de la Loi fédérale sur la protection des données ou dispositions correspondantes dans les lois cantonales sur la protection des données). Il donne à la personne concernée des instruments lui permettant de faire valoir ses droits découlant de la Loi sur la protection des données auprès du responsable du traitement. Toute personne peut demander au responsable de lui indiquer si des données personnelles la concernant sont traitées. Le droit d'accès garantit un traitement transparent des données. Pour les mineurs, les droits de la personne concernée reviennent aux titulaires de l'autorité parentale. Si les droits de la personne concernée sont régulièrement invoqués dans une école, il vaut la peine de mettre en place des processus internes et de préparer des modèles de réponse. Cela présuppose que chaque traitement de données est connu dans l'école et que celle-ci sait quelles données personnelles sont traitées. Un registre des activités de traitement ou un système de gestion de la protection des données (DSMS) constitue par exemple une bonne solution.

Le registre des activités de traitement contient notamment:

  1. l'identité de la personne responsable
  2. la finalité du traitement
  3. la durée de conservation
  4. la description des mesures techniques et organisationnelles de la protection des données (TOM), le mieux étant de se référer aux directives internes de sécurité informatique.

Le droit d'accès peut être exercé à tout moment et en principe sans justification. En règle générale, la demande d'accès doit être formulée par écrit. Le renseignement doit en principe être fourni gratuitement dans les 30 jours. 

Le canton de Saint-Gall propose une réponse type à la demande d'accès. Vous trouverez d'autres informations sur le droit d'accès dans le lexique de la Préposée à la protection des données du canton de Zurich, sur le site web du Préposé fédéral à la protection des données et à la transparence ainsi que dans le guide sur la protection des données dans les écoles du canton de Bâle-Campagne. 

Une école envisage de mettre à disposition des informations telles que les listes de classe, les horaires et les coordonnées du corps enseignant sur un portail destiné aux parents. Est-ce admissible du point de vue de la protection des données et à quoi faut-il faire attention?

La question de savoir si et dans quelle mesure des informations telles que les listes de classe doivent être publiées et rendues accessibles aux parents doit être considérée de manière critique. Les points les plus importants à respecter pour une utilisation conforme à la protection des données sont énumérés ci-dessous.

Obtenir le consentement: il convient d'obtenir au préalable le consentement de toutes les personnes concernées et de communiquer de manière aussi claire et transparente que possible à celles et ceux qui ont accès au portail. Le consentement doit être tenu à jour et soigneusement documenté.

Limitation de la publication: si une publication a lieu sur le portail de l'école (même si un login est nécessaire), elle doit être limitée autant que possible à la classe.

Affectation à une finalité précise et minimisation des données: si une publication à l'échelle de la classe ne peut être évitée, il faut veiller à ce que l'affectation à une finalité précise et la proportionnalité soient respectées. Cela signifie que l'école doit être transparente quant à la finalité pour laquelle elle a besoin des données. Les données à caractère personnel ne peuvent être traitées que dans le but pour lequel elles ont été collectées et pendant la durée nécessaire à la réalisation de ce but. Ensuite, elles doivent être détruites ou rendues anonymes.

Transparence: les personnes concernées doivent savoir comment, où et pourquoi leurs données sont traitées. Cela suppose que toutes les informations relatives au traitement des données personnelles soient claires, accessibles, compréhensibles et intelligibles.

Consentements différents pour des finalités différentes: si des données à caractère personnel sont collectées pour des finalités différentes, par ex. pour des prestations scolaires ou des excursions, un consentement distinct est nécessaire pour chaque finalité. En règle générale, les consentements globaux ne satisfont pas aux exigences légales.

Un organisateur de camps d'été souhaite obtenir de votre école les noms et adresses électroniques ou postales des élèves afin de pouvoir leur envoyer des informations et des dépliants sur le camp d'été de cette année. En tant que secrétaire de l'école, fournissez-vous ces données?

En tant qu'école, vous avez le droit de collecter et de traiter les données personnelles telles que les noms et adresses des élèves pour l'organisation de l'école, conformément à la loi sur l'école obligatoire de votre canton. Vous n'avez cependant pas le droit d'utiliser ces données en dehors de ce but et de les transmettre à des tiers. La publicité pour un camp d'été extrascolaire ne fait pas partie des objectifs de l'école couverts par la loi sur l'école obligatoire. Vous pouvez par exemple autoriser le prestataire à coller une affiche du camp d'été sur le tableau d'affichage et à y déposer des dépliants. Il serait également envisageable que le corps enseignant distribue (volontairement) les informations et les dépliants si l'offre est compatible avec les objectifs de l'école.

En ce qui concerne le traitement des données personnelles, les écoles publiques sont soumises à la loi cantonale sur la protection des données.

Autres informations des cantons

Des apprenantes et apprenants ont partagé des informations personnelles sur moi en tant qu'enseignante ou enseignant sur les réseaux sociaux. Que puis-je faire?

Tout d'abord, il faut savoir de quel type d'informations il s'agit: fausses informations, informations en libre accès, insultes, vidéos ou autres? Avant toute chose, il est recommandé de demander aux élèves concernés de supprimer le contenu.

Si, en tant qu'enseignante ou enseignant, vous souhaitez qu'un texte ou une image de vous soit retiré des réseaux sociaux parce qu'il porte atteinte à vos droits de la personnalité, vous avez la possibilité de le signaler à la plateforme de réseaux sociaux concernée. La fournisseuse ou le fournisseur examinera le signalement et prendra les mesures appropriées en fonction de ses standards.

Si la publication porte atteinte aux droits de la personnalité (par ex. représentations désavantageuses ou inexactes), la protection de la personnalité selon l'article 28 du Code civil (CC) s'applique. Vous pouvez alors intenter une action en cessation ou en suppression devant le tribunal civil. Les procèdures civiles nécessitent toutefois beaucoup de preuves et sont financièrement coûteuses.

Dans certaines circonstances, il peut même s'agir d'une atteinte à l'honneur au sens de l'article 173 du Code pénal (CP) (diffamation) –  à savoir si vous, en tant qu'enseignante ou enseignant, apparaissez comme une personne peu honorable sur la contribution aux réseaux sociaux. Vous devriez alors déposer une plainte pénale dans les trois mois. Toutefois, toute déclaration jugée diffamatoire ne constitue pas un délit.

Questions bienvenues

Vous avez des questions sur «l'utilisation des données», «les technologies éducatives», «la sécurité informationnelle et juridique» ou «les identités numériques» dans l'espace suisse de formation auxquelles vous ne trouvez pas de réponse ici? Envoyez-nous votre demande.