La loi fédérale sur la protection des données a pour but de protéger la personnalité et les droits fondamentaux des personnes physiques au sujet desquelles des données personnelles sont traitées. En particulier, la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement et la destruction de données sont des traitements au sens de la protection des données.

Nouveautés pour les organes fédéraux et les particuliers

Diverses modifications concernant les données personnelles et le devoir d'informer s'appliquent aux autorités fédérales et aux particuliers, ainsi qu'aux entreprises.

  • Devoir d'informer étendu: une déclaration sur la protection des données doit notamment contenir les quatre informations minimales suivantes:
    • but du traitement
    • identité et coordonnées de la personne responsable. Le responsable est une personne privée ou un organe fédéral qui décide de la finalité et des moyens du traitement (seul ou conjointement avec d'autres)
    • indication des personnes auxquelles les données personnelles sont transmises

    • en cas de communication ou de mise à disposition des données à l'étranger: mention du pays et, le cas échéant, des garanties de protection des données personnelles.
  • Registre des activités de traitements: les particuliers et les organes fédéraux ont désormais l'obligation de tenir un registre des activités de traitements de données (exceptions pour les entreprises: activités impliquant moins de 250 collaboratrices et collaborateurs et si le traitement des données comporte un faible risque d'atteinte à la personnalité). Selon la loi sur la protection des données, les indications minimales dans le registre des traitements sont un peu plus complètes que dans la déclaration sur la protection des données. Par exemple, la durée de conservation des données personnelles doit être indiquée. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) dresse la liste des informations qui doivent être saisies dans le registre des traitements.
  • Renforcement des sanctions: de nouvelles sanctions sont prévues, notamment des amendes pouvant aller jusqu'à 250 000 CHF. Il est d'autant plus important de répondre correctement aux demandes d'accès, de respecter les règles relatives à la communication de données à l'étranger lors d'un sous-traitement de données.
  • Annonce d'une violation de la sécurité des données: en cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée (par ex. si des données personnelles sont rendues accessibles à des personnes non autorisées), le PFPDT doit être informé le plus rapidement possible. Il existe également un devoir d'information envers les personnes concernées. Un risque est évalué en fonction de ses causes, des dangers, des mesures prises ou prévues pour réduire le risque et de la probabilité ou de la gravité d'une violation de la sécurité des données malgré les mesures prises ou prévues.
  • Analyse d'impact relative à la protection des données personnelles (AIPD): une AIPD doit être établie préalablement à un traitement de données pouvant entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L'AIPD est un instrument qui permet d'identifier et d'évaluer les risques potentiels et d'indiquer les mesures à prendre. Le PFPDT met à disposition des informations détaillées ainsi qu'un aide-mémoire concernant l'AIPD.
  • Sous-traitance: si les entreprises ou les autorités fédérales font appel à des tiers (par ex. externalisation vers le cloud), le sous-traitant doit pouvoir garantir la sécurité des données au même titre que le responsable de traitement. Le cas échéant, un contrat de sous-traitance

Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données

La loi fédérale révisée sur la protection des données s'applique – comme l'ancienne loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées, à l'exclusion des organismes cantonaux et communaux. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique, comme jusqu'à présent. Nous avons également examiné les conséquences de la nouvelle loi sur la protection des données pour les écoles publiques

 

.

Articles associés

Notre nouvelle série de podcasts est consacrée aux données dans l'espace numérique de formation. Le premier épisode de cette série répond aux questions suivantes: que sont les flux de données, pourquoi sont-ils importants et que pouvons-nous en apprendre?

La meilleure façon d'apprendre une langue étrangère est de la parler. Le temps de parole est toutefois souvent insuffisant dans le cadre scolaire. Un chatbot basé sur la voix pourrait y remédier. Co-directeur du projet «Towards a Voice-based Chatbot for Language Learners (ChaLL)», Michael Geiss de la HEP de Zurich explique notamment quelles sont les prémisses à respecter.

Dans un monde numérique, la transmission de diplômes et de certificats de travail analogiques pose des problèmes et génère des montagnes de données personnelles. Les justificatifs numériques peuvent aider dans ce cas, car ils améliorent deux choses: la connectivité – c'est-à-dire la transmission la plus simple possible – et l'économie de données de tels échanges de données. Nous montrons comment cela se passe concrètement dans la quatrième vidéo de la série sur le thème «Blockchains dans la formation».

Notre nouvelle rubrique a pour but d'informer, transmettre des connaissances et susciter des discussions. Notre premier Dossier Educa est consacré à la thématique très actuelle des «blockchains dans la formation». Notre colloque Educa23 était également placé sous ce thème; notre rétrospective vous donnera des informations détaillées sur cet événement.