La loi fédérale sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données. La loi actuelle date de 1992, lorsque l'Internet n'était pas encore utilisé à des fins commerciales et que la réalité numérique d'aujourd'hui n'était pas prévisible. La nouvelle loi sur la protection des données tient compte de l'évolution de la situation. En outre, la nLPD remplit également le but d'harmoniser la loi sur la protection des données avec le règlement général sur la protection des données (RGPD) de l'Union européenne. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller si les dispositions fédérales en matière de protection des données sont respectées.

Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données

La nouvelle loi fédérale sur la protection des données s'applique – comme jusqu'à présent l'actuelle loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées (y compris les entreprises), mais pas par les organismes cantonaux et communaux. Les écoles publiques sont des institutions cantonales ou communales. Elles sont donc soumises à la loi cantonale sur la protection des données, par exemple la loi sur la protection des données personnelles (LPrD) dans le canton de Vaud ou la loi sur la protection des données (LCPD) dans le canton de Neuchâtel.

Mesures dans les écoles publiques

En soi, les écoles publiques ne sont donc pas concernées par la nouvelle loi sur la protection des données. Néanmoins, il convient d'accorder suffisamment d'attention au droit cantonal applicable en matière de protection des données, d'aborder les questions en suspens et de mettre en œuvre des solutions en conséquence.

Pour l'école obligatoire et le degré secondaire II (formation professionnelle ou gymnase), il convient d'examiner au niveau communal ou cantonal si quelque chose doit être adapté en ce qui concerne la protection des données à l'école. Une mesure possible est par exemple la nomination par l'école d'une conseillère ou d'un conseiller à la protection des données par l'école.

Traitement des données par des entreprises privées

La nouvelle loi sur la protection des données s'applique aux écoles privées, aux entreprises Ed-Tech ou aux institutions similaires. Dans ce contexte, il y a un certain nombre de changements importants à prendre en compte. Les plus importante sont:

  • Elargissement du champ d'application: les données génétiques et biométriques sont désormais également considérées comme sensibles.
  • Amélioration de la transparence: informations claires sur chaque collecte de données, l'identité et les coordonnées de la personne responsable du traitement des données, la finalité du traitement, les (catégories de) destinataires et le pays de destination en cas d'exportation des données à l'étranger, ainsi qu'une communication claire des droits et des possibilités des utilisatrices et utilisateurs.
  • Registre des activités de traitement: les entreprises doivent tenir un registre des activités de traitement contenant les informations prescrites. En revanche, l'obligation de tenir un registre des collectes de données est supprimée.
  • Analyse d'impact relative à la protection des données personnelles: lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la per­sonnalité ou les droits fondamentaux de la personne concernée, les entreprises sont désormais tenues d'effectuer une analyse d’impact (documentée) relative à la protection des données personnelles.
  • Privacy by Design et by Default: les principes actuels de protection et de traitement des données doivent être intégrés dès le début, c'est-à-dire dès la planification et la conception des applications.
  • Profilage: la nLPD réglemente également le profilage, c'est-à-dire le traitement automatisé des données dans le but d'évaluer certains aspects personnels d'une personne tels que sa situation économique, sa santé, ses intérêts, son comportement, son lieu de résidence, etc. Contrairement au RGPD, la nLPD ne prévoit pas d'obligation générale d'obtenir un consentement. Celle-ci n'existe qu'en cas de profilage à haut risque.
  • Des conséquences plus sévères: Le PFPDT dispose de plus de pouvoirs pour appliquer plus rapidement des sanctions à l'encontre des entreprises fautives. Dans l'ensemble, les dispositions pénales sont plus sévères.
  • Obligation d'annonce: signaler immédiatement les violations de la protection des données au PFPDT.

Sanctions pénales

Dans la nouvelle loi sur la protection des données, les exigences en matière de règles pénales et de sanctions sont plus élevées. En outre, les amendes sont moins sévères que celles prévues par le RGPD de l'UE.

Aide concernant les risques liés à la protection des données

Dans le cadre du développement d'une politique d'utilisation des données, nous évaluons actuellement le besoin de soutien dans le système éducatif pour identifier et évaluer les risques liés à la protection des données. L'objectif est de développer des outils qui facilitent par exemple la réalisation d'une analyse d'impact relative à la protection des données personnelles.

En outre, nous gérons un guichet pour les questions relatives au traitement des données. Nous soutenons les écoles et l'administration de l'éducation dans les domaines de l'utilisation et de la protection des données. Dans ce cadre, nous avons déjà répondu à des questions sur la nouvelle loi sur la protection des données. Plusieurs cantons proposent en outre du matériel d'information sur la protection des données.

Articles associés

Le 1er septembre 2023, la loi fédérale révisée sur la protection des données est entrée en vigueur. Pour les personnes privées (y compris les entreprises) et les organes fédéraux, cela implique des changements importants dans la manière de traiter les données personnelles et d'informer.

Afin de développer la future politique d'utilisation des données pour l'espace suisse de formation, nous avons créé un programme pour les projets d'utilisation des données. Nous avons demandé aux personnes concernées pourquoi elles étaient intéressées à participer à notre programme.

Dans un monde numérique, la transmission de diplômes et de certificats de travail analogiques pose des problèmes et génère des montagnes de données personnelles. Les justificatifs numériques peuvent aider dans ce cas, car ils améliorent deux choses: la connectivité – c'est-à-dire la transmission la plus simple possible – et l'économie de données de tels échanges de données. Nous montrons comment cela se passe concrètement dans la quatrième vidéo de la série sur le thème «Blockchains dans la formation».

Avec le nouveau «Swiss National EdTech Testbed Programm» du Swiss EdTech Collider, le corps enseignant dispose pour la première fois d'une offre nationale lui permettant de tester et de participer à l'élaboration d'outils numériques pour l'enseignement. Carmen Sieber du Swiss EdTech Collider donne un aperçu du programme.