Les écoles sont aujourd'hui confrontées à de nombreux défis et exigences pour garantir une protection adéquate des données. La mise en œuvre dans la pratique s'avère toutefois difficile, car les outils appropriés font souvent défaut. C'est pourquoi nous avons développé des outils qui aident les écoles à améliorer de manière autonome leur niveau de protection des données. Les outils sont conçus selon deux perspectives:
- orientée vers les données: le répertoire des activités de traitement est un outil qui sert à cataloguer les données générées dans une école et à déterminer leur sensibilité.
- orientée vers les applications: celles-ci peuvent être analysées à l'aide d'une liste de contrôle afin de déterminer les risques liés à la protection des données.
Le graphique interactif suivant illustre comment une école peut améliorer la conformité en matière de protection des données et situe les deux outils dans le processus global.
Les activités présentées dans le graphique atteignent leur valeur ajoutée maximale lorsqu'elles sont réalisées régulièrement, par exemple chaque année.
Les outils sont conçus de manière générique, de sorte qu'ils peuvent être utilisés dans chaque école. Une adaptation individuelle au contexte cantonal est expressément souhaitée et autorisée.
Avant l'utilisation d'applications, des étapes supplémentaires (par ex. dans le canton de Zurich, une analyse d'impact sur la protection des données) doivent être prises en compte conformément aux lois cantonales applicables en matière de protection des données, dont certaines sont obligatoires.
Registre des activités de traitement
Le registre des activités de traitement fournit, après avoir été rempli, un aperçu des données qui sont enregistrées et traitées, et à quel endroit. Les informations suivantes sont généralement consignées dans un registre des activités de traitement: finalité du traitement des données, nombre d'élèves ainsi que de collaboratrices et de collaborateurs concernés, applications utilisées. Un registre des activités de traitement est même prescrit par la loi pour certaines entreprises en Suisse. Cependant, les écoles ne sont généralement pas obligées de tenir un registre des activités de traitement. Même sans obligation légale, la tenue d'un registre des activités de traitement offre une valeur ajoutée pour atteindre un niveau de protection des données adéquat:
- Il assure la transparence et la traçabilité de l'endroit où les données sont traitées et lesquelles.
- Il aide à identifier les risques potentiels pour la protection des données afin de pouvoir prendre les mesures appropriées.
- Il renforce la protection des données et l'école pour traiter les données de manière appropriée.
Vous pouvez télécharger une première version de cet outil ainsi que les instructions ci-dessous. N'hésitez pas à nous faire part de vos commentaires à ce propos à l'adresse data@. educa.ch
Liste de contrôle des applications
En raison de l'utilisation accrue de moyens pédagogiques numériques dans les écoles, il est important de connaître les risques de protection des données qui y sont liés. Cela concerne surtout les applications acquises par les écoles elles-mêmes, qui peuvent traiter un grand nombre de données personnelles d'élèves, du corps enseignant et d'autres membres du personnel scolaire. Il est donc crucial de s'assurer que l'utilisation de telles applications ne comporte pas de risques intolérables pour la protection des données. Remplir la liste de contrôle pour chaque nouvelle application permet aux écoles d'identifier rapidement et à un stade précoce les risques potentiels pour la protection des données. Dans ce contexte, notre Navigateur peut offrir une orientation sur le marché grâce à un catalogue de critères uniformes.
La liste de contrôle permet de créer une base solide pour la prise de décision. De cette manière, les écoles peuvent identifier les applications qui ne répondent pas aux normes de protection des données et recourir à des alternatives plus sûres ou définir des mesures appropriées.
Vous pouvez télécharger une première version de cet outil ainsi que les instructions ci-dessous. N'hésitez pas à nous faire part de vos commentaires à ce propos à l'adresse data@. educa.ch
La liste de contrôle des applications est conçue pour les applications qui servent majoritairement à un seul objectif. Elle ne convient pas à l'évaluation de solutions de plateforme complètes.
Réduire les risques
Les deux outils mis à disposition permettent d'identifier les risques les plus importants en matière de protection des données. Si ces risques sont trop élevés pour être acceptés, des mesures de réduction des risques doivent être définies. Une mesure appropriée pourrait être l'utilisation du service Edulog.
Les outils mis à disposition servent à faire un premier pas vers la localisation des risques. Toutefois, aucune mesure correspondante n'est proposée. N'hésitez pas à nous faire part de vos remarques sur les outils et à vous adresser à notre guichet pour toute question concrète concernant les mesures à prendre.
Edulog vise à simplifier et à standardiser l'accès aux services en ligne (par exemple offres en ligne des éditeurs de matériel pédagogique, solutions de «cloud» ou applications d'apprentissage) à l’école et pendant la formation pour les élèves, les apprenants et le personnel des institutions d'enseignement. Edulog protège les identités numériques, assure un accès sécurisé aux services en ligne et facilite la mobilité au sein de l'espace suisse de formation