Dans quelle mesure la protection des données a-t-elle été garantie au sein des institutions de formation pendant le confinement? Et si une situation similaire devait se produire à l'avenir, que faudrait-il faire de mieux du point de vue des institutions de formation?

Cécile Kerboas (C.K.): Face à la crise sanitaire, le secteur de l’enseignement a été contraint de se réinventer et d’imaginer, dans l’urgence, des solutions inédites pour assurer la continuité pédagogique sous tous ces aspects (enseignement à distance, contrôle des présences pour l’enseignement obligatoire, contrôle des acquis, etc.). Comme cela a été évoqué dans les médias, certaines solutions déployées par les institutions ont, à juste titre, suscité le questionnement sous l’angle de la protection des données. Le respect des règles en la matière n’a pas toujours pu être garanti. L’intervention des autorités compétentes a même été nécessaire dans certains cas. A l’échelle vaudoise, il apparaît toutefois important de relever que tant les enseignant-e-s, les institutions que le département concerné ont régulièrement sollicité l’avis de notre Autorité. Pour ce qui est de l’avenir, la survenance d’une situation similaire devrait être anticipée afin que des solutions conformes puissent être déployées. Les règles relatives à la sous-traitance sont complexes et il est difficile, si ce n’est impossible, d’évaluer correctement une solution dans un contexte d’urgence. Cet aspect est d’autant plus important que la question de l’enseignement à distance ne se limite pas à la période de la crise sanitaire, mais s’inscrit dans la démarche plus globale de transition numérique.

Dominika Blonski (D.B.): La situation a été une surprise et un imprévu pour nous tous. C'était donc un défi pour nous tous, à des niveaux très différents, et cela a suscité une grande incertitude. Jusqu'alors, l'enseignement à distance n'avait pas été prévu dans les écoles, mais il devait être proposé rapidement. Il y a eu une prise de conscience générale des questions de protection des données, mais de nombreuses personnes ont atteint leurs limites lorsqu'il s'agissait de questions techniques. Nous devrions utiliser cette expérience pour l'avenir: les structures doivent être renforcées et les enseignants mieux soutenus – et pas seulement dans les situations de crise. Il est maintenant temps d'examiner ce qui peut être mis en œuvre et comment. Quelles applications peuvent être utilisées, à quelles fins? Quelles données peuvent être transférées et comment? S'il est clarifié ce qui peut et ne peut pas être fait, et comment, les enseignants – en particulier – seront soulagés dans une situation similaire à l'avenir.

La vie publique revient progressivement à la normale. Cela signifie que les solutions logicielles qui avaient été jugées admissibles pendant le confinement sur la base de l'évaluation des risques sont à nouveau soumises aux exigences normales – qu'est-ce que cela signifie concrètement pour les institutions de formation?

C.K.: Concrètement, cela implique que les solutions logicielles déployées pendant le confinement devront être réévaluées. En fonction des résultats, certains outils pourront être pérennisés, tandis que d’autres devront être abandonnés. Il est également possible que des outils puissent continuer à être utilisés, mais dans un cadre différent de celui initialement prévu dans le contexte de la crise sanitaire. Il est en effet important de rappeler que la question de la conformité d’une solution doit toujours être analysée à la lumière de l’utilisation qui en est faite et des conditions contractuelles qui la régissent. Ainsi, les modalités d’utilisation et la nature des données traitées, ont une importance significative dans le cadre de l’analyse de la conformité, notamment sous l’angle sécuritaire.

D.B.: Ce ne sont pas les exigences qui ont changé pendant cette période; l'évaluation des risques est maintenant différente. La loi sur la protection des données et les exigences techniques s'appliquent toujours – avec ou sans confinement. Pendant la situation de crise, une école pourrait conclure que l'utilisation d'un outil est temporairement possible en évaluant le risque avant de l'utiliser. Après la situation de crise aiguë, cependant, une évaluation des risques peut conduire à une conclusion différente. Dans tous les cas, la responsabilité incombe à l'école qui utilise les services et les produits. Lors de la prise de décision, il est important de se demander quel type de données personnelles est traité, si et à qui les données seront transmises, comment et où elles seront stockées, quelle loi sera applicable en cas de litige et où elle pourra être appliquée. Les aspects techniques doivent également être évalués. Ici, par exemple, on peut se demander si le cryptage des données personnelles est possible et où se trouve la gestion des clés, si une authentification à deux facteurs est envisagée ou si des outils de suivi ou des cookies sont utilisés.

Comment évaluez-vous de manière générale la garantie de la protection des données dans les institutions de formation et quels sont, selon vous, les défis à relever à l'avenir?

C.K.: Dans la plupart des cas, une plus grande sensibilité à la question de la protection des données peut être constatée au sein des institutions. Toutefois, ces dernières pourraient encore apporter de nombreuses améliorations en la matière, cela indépendamment de la problématique des outils utilisés. A l’avenir, les institutions seront confrontées à de nombreux défis, notamment en lien avec l’enseignement à distance et l’éducation des enseignant-e-s et des élèves au numérique. Si la transition numérique est essentielle, il conviendra de veiller au respect des législations en matière de protection des données. Or, et comme dans de nombreux domaines, face au développement sans cesse croissant des offres de services numériques, la tentation de recourir à des outils performants fournis par des tiers et permettant la récolte massive et disproportionnée de données personnelles peut être grande pour les entités concernées. La sensibilité des données en jeu devrait cependant appeler à la vigilance des acteurs de l’enseignement.

D.B.: La sensibilisation aux questions de protection des données s'accroît. Toutefois, certaines questions restent encore sans réponse en ce qui concerne la mise en œuvre concrète. La numérisation représente un défi majeur. Elle exige des ressources, tant financières qu'en termes de savoir-faire, qu'il est presque impossible aux petites institutions de gérer.

 

Mise en oeuvre par les écoles

Comment les établissements d'enseignement peuvent-ils examiner une solution logicielle en matière de protection des données?

Cécile Kerboas (C.K.): Avant de se lancer dans tout essai de solution logicielle, il est essentiel de réfléchir en termes de conformité aux principes de protection des données. Cela implique d’avoir notamment à l’esprit les considérations suivantes: la nature des données traitées, les personnes concernées, le type de traitement envisagé et l’impact que ce traitement pourrait être avoir sur les personnes concernées. Dans le contexte de l’enseignement, et plus spécifiquement lorsque cela implique le traitement de données de personnes mineures, on ne peut pas faire l’économie d’une analyse préalable des risques et des conditions de la sous-traitance des données personnelles. Dans leur rôle de conseil, les autorités de protection des données peuvent apporter leur éclairage pour orienter les entités concernées, raison pour laquelle ces dernières sont vivement invitées à les contacter.

Dominika Blonski (D.B.): Notre Autorité publiera bientôt une brochure qui présentera les critères les plus importants pour l'évaluation d'une solution logicielle. Sur la base de ces critères, un établissement d'enseignement peut décider quel logiciel il peut utiliser, pour quel traitement de données. Les préposés à la protection des données des cantons respectifs sont à disposition pour conseiller dans le cadre de cet examen.

La plupart des délégués cantonaux à la protection des données publient des directives et d'autres aides pour diverses solutions logicielles. Comment puis-je, en tant qu'école X, savoir quelles directives s'appliquent à moi?

C.K.: Il n’est en effet pas toujours aisé pour les écoles de déterminer quelle est la législation applicable aux traitements de données qu’elles réalisent. De manière générale, si les écoles privées sont soumises à la loi fédérale sur la protection des données et à la compétence du préposé fédéral à la protection des données, les écoles publiques sont pour leur part soumises aux législations cantonales sur la protection des données et à la compétence de la ou du préposé-e cantonal-e à la protection des données. De plus, il arrive bien souvent que les entités cantonales en charge de la formation émettent des directives en lien avec la protection des données, en particulier en lien avec l’utilisation d’outils de formation. En cas de doute ou de question, il ne faut pas hésiter à s’adresser directement à l’entité cantonale en charge de la formation ou aux autorités compétentes en matière de protection des données, lesquelles redirigeront les personnes concernées le cas échéant.

D.B.: Le traitement des données d'une école doit être conforme à la loi fédérale sur la protection des données dans le cas d'une école privée et à la loi cantonale sur la protection des données dans le cas d'une école publique. En conséquence, une école peut s'adresser au préposé fédéral ou cantonal à la protection des données compétent. Les exigences de l'autorité compétente en matière de protection des données s'appliquent en conséquence.

Si une solution est classée comme non conforme à la protection des données, quelles sont les options qui s'offrent à moi en tant qu'école?

C.K.: Les écoles, en leur qualité de responsable de traitement, disposent d’une certaine autonomie en matière de protection des données. Il leur appartient dès lors de prendre les décisions y relatives. Toutefois, il est important de garder à l’esprit qu’un traitement de données qui ne respecterait pas la législation sur la protection des données constitue une atteinte illicite à la personnalité des personnes concernées. Dans un tel cas, la ou le préposé-e compétent-e pourrait émettre une recommandation à l’encontre de l’école concernée, de même que les autorités judiciaires pourraient être saisies. C’est pourquoi, en cas de doute, les entités concernées devraient privilégier le dialogue et contacter systématiquement l’autorité de protection des données compétente afin de déterminer dans quelle mesure le traitement de données projeté est ou non conforme. Les autorités de protection des données privilégient généralement une approche collaborative et de proximité.

D.B.: Dans ce cas, l'école doit d'abord se demander ce qu'elle veut exactement obtenir en utilisant cette solution non conforme à la protection des données. Est-il absolument nécessaire d'utiliser exactement cette application? Dans une étape ultérieure, elle peut chercher des alternatives. Il arrive souvent que certaines tâches puissent être effectuées d'une autre manière. Si une école veut changer cette façon de faire, elle doit se demander pourquoi elle veut faire ce changement. Tout ce qui est nouveau ne convient pas non plus à un changement envisagé.

Articles associés

Tous les articles

Blockchains: des connexions directes et cryptées

Les infrastructures et technologies innovantes stimulent la numérisation dans le système éducatif. Notre colloque 2023 fait le point sur les «blockchains dans la formation», devient interactif et rend les bases tangibles. Comme dans notre vidéo, David pourrait à l'avenir recevoir son contrôle de compétences via une connexion directe et cryptée.

Ensemble pour la transformation numérique

Le développement des écoles aujourd'hui implique l'utilisation de la technologie. Le secteur EdTech connaît une croissance rapide et permet de nouvelles approches dans l'éducation. Il expérimente, interagit directement avec les écoles et continue à se développer. Le Swiss EdTech Collider à Lausanne, avec lequel nous avons conclu une alliance, est un centre pour les start-ups EdTech.

Fédéralisme et blockchains: l'autodétermination comme point commun

Qu'est-ce que le fédéralisme suisse a en commun avec la blockchain? Les deux mettent l'accent sur l'autodétermination des petites unités. Lors de notre colloque 2023 sur le thème «blockchains dans la formation», nous nous pencherons sur cette tendance à l'autodétermination. Nous examinerons aussi les significations possibles pour le système éducatif, qui a fait ses preuves en matière de fédéralisme.

Conséquences de la nouvelle loi sur la protection des données pour les écoles

La nouvelle loi fédérale sur la protection des données (nLPD) entrera en vigueur le 1er septembre 2023. Que signifie-t-elle pour les écoles? Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique comme précédemment.