La loi fédérale sur la protection des données a pour but de protéger la personnalité et les droits fondamentaux des personnes physiques au sujet desquelles des données personnelles sont traitées. En particulier, la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement et la destruction de données sont des traitements au sens de la protection des données.

Nouveautés pour les organes fédéraux et les particuliers

Diverses modifications concernant les données personnelles et le devoir d'informer s'appliquent aux autorités fédérales et aux particuliers, ainsi qu'aux entreprises.

  • Devoir d'informer étendu: une déclaration sur la protection des données doit notamment contenir les quatre informations minimales suivantes:
    • but du traitement
    • identité et coordonnées de la personne responsable. Le responsable est une personne privée ou un organe fédéral qui décide de la finalité et des moyens du traitement (seul ou conjointement avec d'autres)

    • indication des personnes auxquelles les données personnelles sont transmises

    • en cas de communication ou de mise à disposition des données à l'étranger: mention du pays et, le cas échéant, des garanties de protection des données personnelles.
  • Registre des activités de traitements: les particuliers et les organes fédéraux ont désormais l'obligation de tenir un registre des activités de traitements de données (exceptions pour les entreprises: activités impliquant moins de 250 collaboratrices et collaborateurs et si le traitement des données comporte un faible risque d'atteinte à la personnalité). Selon la loi sur la protection des données, les indications minimales dans le registre des traitements sont un peu plus complètes que dans la déclaration sur la protection des données. Par exemple, la durée de conservation des données personnelles doit être indiquée. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) dresse la liste des informations qui doivent être saisies dans le registre des traitements.
  • Renforcement des sanctions: de nouvelles sanctions sont prévues, notamment des amendes pouvant aller jusqu'à 250 000 CHF. Il est d'autant plus important de répondre correctement aux demandes d'accès, de respecter les règles relatives à la communication de données à l'étranger lors d'un sous-traitement de données.
  • Annonce d'une violation de la sécurité des données: en cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée (par ex. si des données personnelles sont rendues accessibles à des personnes non autorisées), le PFPDT doit être informé le plus rapidement possible. Il existe également un devoir d'information envers les personnes concernées. Un risque est évalué en fonction de ses causes, des dangers, des mesures prises ou prévues pour réduire le risque et de la probabilité ou de la gravité d'une violation de la sécurité des données malgré les mesures prises ou prévues.
  • Analyse d'impact relative à la protection des données personnelles (AIPD): une AIPD doit être établie préalablement à un traitement de données pouvant entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L'AIPD est un instrument qui permet d'identifier et d'évaluer les risques potentiels et d'indiquer les mesures à prendre. Le PFPDT met à disposition des informations détaillées ainsi qu'un aide-mémoire concernant l'AIPD.
  • Sous-traitance: si les entreprises ou les autorités fédérales font appel à des tiers (par ex. externalisation vers le cloud), le sous-traitant doit pouvoir garantir la sécurité des données au même titre que le responsable de traitement. Le cas échéant, un contrat de sous-traitance

Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données

La loi fédérale révisée sur la protection des données s'applique – comme l'ancienne loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées, à l'exclusion des organismes cantonaux et communaux. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique, comme jusqu'à présent. Nous avons également examiné les conséquences de la nouvelle loi sur la protection des données pour les écoles publiques

 

.

Articles associés

Tous les articles
25.1.2023

Développements sur les microcertifications  au niveau de l'UE

Les justificatifs numériques nous intéressent dans le cadre de la conception d'une fédération des données pour la formation professionnelle. Les microcertifications sont un bon exemple de l'utilisation possible des justificatifs numériques à l'avenir. Dans cet interview, nous faisons le point avec Laurin Reding de SwissCore sur les microcertifications et les développements en la matière dans l'Union européenne (UE).

2.5.2023

Pas d'amélioration ciblée sans données

Jessica Dehler Zufferey, directrice exécutive du LEARN, Center for Learning Sciences, de l'EPFL, nous explique pourquoi il faut des données pour façonner l'éducation et quels sont les avantages d'accompagner les projets de formation par une recherche empirique.

21.3.2023

Gouvernance des données et politique (d'utilisation) des données

La réglementation de l'accès aux données ou leur suppression sont des questions de gouvernance cruciales. Avec une bonne stratégie de gouvernance des données, les entreprises et les institutions permettent une utilisation efficace des informations pour atteindre leurs objectifs. Des objectifs qui varient fortement selon les acteurs du système éducatif. C'est là que la politique d'utilisation des données a un rôle à jouer.

19.6.2023

Connectable et économe en données: deux avantages des justificatifs numériques

Dans un monde numérique, la transmission de diplômes et de certificats de travail analogiques pose des problèmes et génère des montagnes de données personnelles. Les justificatifs numériques peuvent aider dans ce cas, car ils améliorent deux choses: la connectivité – c'est-à-dire la transmission la plus simple possible – et l'économie de données de tels échanges de données. Nous montrons comment cela se passe concrètement dans la quatrième vidéo de la série sur le thème «Blockchains dans la formation».