La loi fédérale sur la protection des données a pour but de protéger la personnalité et les droits fondamentaux des personnes physiques au sujet desquelles des données personnelles sont traitées. En particulier, la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement et la destruction de données sont des traitements au sens de la protection des données.

Nouveautés pour les organes fédéraux et les particuliers

Diverses modifications concernant les données personnelles et le devoir d'informer s'appliquent aux autorités fédérales et aux particuliers, ainsi qu'aux entreprises.

  • Devoir d'informer étendu: une déclaration sur la protection des données doit notamment contenir les quatre informations minimales suivantes:
    • but du traitement
    • identité et coordonnées de la personne responsable. Le responsable est une personne privée ou un organe fédéral qui décide de la finalité et des moyens du traitement (seul ou conjointement avec d'autres)

    • indication des personnes auxquelles les données personnelles sont transmises

    • en cas de communication ou de mise à disposition des données à l'étranger: mention du pays et, le cas échéant, des garanties de protection des données personnelles.
  • Registre des activités de traitements: les particuliers et les organes fédéraux ont désormais l'obligation de tenir un registre des activités de traitements de données (exceptions pour les entreprises: activités impliquant moins de 250 collaboratrices et collaborateurs et si le traitement des données comporte un faible risque d'atteinte à la personnalité). Selon la loi sur la protection des données, les indications minimales dans le registre des traitements sont un peu plus complètes que dans la déclaration sur la protection des données. Par exemple, la durée de conservation des données personnelles doit être indiquée. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) dresse la liste des informations qui doivent être saisies dans le registre des traitements.
  • Renforcement des sanctions: de nouvelles sanctions sont prévues, notamment des amendes pouvant aller jusqu'à 250 000 CHF. Il est d'autant plus important de répondre correctement aux demandes d'accès, de respecter les règles relatives à la communication de données à l'étranger lors d'un sous-traitement de données.
  • Annonce d'une violation de la sécurité des données: en cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée (par ex. si des données personnelles sont rendues accessibles à des personnes non autorisées), le PFPDT doit être informé le plus rapidement possible. Il existe également un devoir d'information envers les personnes concernées. Un risque est évalué en fonction de ses causes, des dangers, des mesures prises ou prévues pour réduire le risque et de la probabilité ou de la gravité d'une violation de la sécurité des données malgré les mesures prises ou prévues.
  • Analyse d'impact relative à la protection des données personnelles (AIPD): une AIPD doit être établie préalablement à un traitement de données pouvant entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L'AIPD est un instrument qui permet d'identifier et d'évaluer les risques potentiels et d'indiquer les mesures à prendre. Le PFPDT met à disposition des informations détaillées ainsi qu'un aide-mémoire concernant l'AIPD.
  • Sous-traitance: si les entreprises ou les autorités fédérales font appel à des tiers (par ex. externalisation vers le cloud), le sous-traitant doit pouvoir garantir la sécurité des données au même titre que le responsable de traitement. Le cas échéant, un contrat de sous-traitance

Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données

La loi fédérale révisée sur la protection des données s'applique – comme l'ancienne loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées, à l'exclusion des organismes cantonaux et communaux. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique, comme jusqu'à présent. Nous avons également examiné les conséquences de la nouvelle loi sur la protection des données pour les écoles publiques

 

.

Articles associés

Tous les articles

Espaces de données: l'avenir pour l'utilisation multiple des données de l'éducation?

Le sixième épisode de notre série de podcasts «Les données dans l'espace numérique de formation» se penche sur les espaces et les écosystèmes de données. Nous discutons de ce que sont les espaces et les écosystèmes de données, et de la manière dont un éventuel espace de données de l'éducation pourrait être créé.

Sécurité de l'information dans le système éducatif

Les chiffres actuels de l'Office fédéral de la cybersécurité montrent que la sécurité de l'information est plus importante que jamais. Les attaques se professionnalisent et leur nombre augmente. Notre dossier Educa «Sécurité de l'information dans le système éducatif» propose une introduction sur ce sujet et montre des possibilités d'amélioration.

Les applications pour soutenir l'enseignement – mais comment?

Le projet IDENTI du canton de Lucerne s'intéresse à l'identité numérique des élèves et met en lumière les conditions-cadres des moyens d'enseignement numériques ainsi que des applications. Karin Weber et Reto Buchmann, qui assument la codirection du projet, ont esquissé pour nous les premières solutions aux défis identifiés.

Une évaluation réaliste des systèmes d'IA est nécessaire

L'intelligence artificielle (IA) a pris une place importante dans les salles de classe. Le professeur Dr. Tobias Röhl de la HEP de Zurich évalue pour nous les potentiels et les défis de l'utilisation de l'IA dans les écoles et explique les aspects éthiques de l'utilisation des systèmes d'IA.