La loi fédérale sur la protection des données a pour but de protéger la personnalité et les droits fondamentaux des personnes physiques au sujet desquelles des données personnelles sont traitées. En particulier, la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement et la destruction de données sont des traitements au sens de la protection des données.

Nouveautés pour les organes fédéraux et les particuliers

Diverses modifications concernant les données personnelles et le devoir d'informer s'appliquent aux autorités fédérales et aux particuliers, ainsi qu'aux entreprises.

  • Devoir d'informer étendu: une déclaration sur la protection des données doit notamment contenir les quatre informations minimales suivantes:
    • but du traitement
    • identité et coordonnées de la personne responsable. Le responsable est une personne privée ou un organe fédéral qui décide de la finalité et des moyens du traitement (seul ou conjointement avec d'autres)

    • indication des personnes auxquelles les données personnelles sont transmises

    • en cas de communication ou de mise à disposition des données à l'étranger: mention du pays et, le cas échéant, des garanties de protection des données personnelles.
  • Registre des activités de traitements: les particuliers et les organes fédéraux ont désormais l'obligation de tenir un registre des activités de traitements de données (exceptions pour les entreprises: activités impliquant moins de 250 collaboratrices et collaborateurs et si le traitement des données comporte un faible risque d'atteinte à la personnalité). Selon la loi sur la protection des données, les indications minimales dans le registre des traitements sont un peu plus complètes que dans la déclaration sur la protection des données. Par exemple, la durée de conservation des données personnelles doit être indiquée. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) dresse la liste des informations qui doivent être saisies dans le registre des traitements.
  • Renforcement des sanctions: de nouvelles sanctions sont prévues, notamment des amendes pouvant aller jusqu'à 250 000 CHF. Il est d'autant plus important de répondre correctement aux demandes d'accès, de respecter les règles relatives à la communication de données à l'étranger lors d'un sous-traitement de données.
  • Annonce d'une violation de la sécurité des données: en cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée (par ex. si des données personnelles sont rendues accessibles à des personnes non autorisées), le PFPDT doit être informé le plus rapidement possible. Il existe également un devoir d'information envers les personnes concernées. Un risque est évalué en fonction de ses causes, des dangers, des mesures prises ou prévues pour réduire le risque et de la probabilité ou de la gravité d'une violation de la sécurité des données malgré les mesures prises ou prévues.
  • Analyse d'impact relative à la protection des données personnelles (AIPD): une AIPD doit être établie préalablement à un traitement de données pouvant entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L'AIPD est un instrument qui permet d'identifier et d'évaluer les risques potentiels et d'indiquer les mesures à prendre. Le PFPDT met à disposition des informations détaillées ainsi qu'un aide-mémoire concernant l'AIPD.
  • Sous-traitance: si les entreprises ou les autorités fédérales font appel à des tiers (par ex. externalisation vers le cloud), le sous-traitant doit pouvoir garantir la sécurité des données au même titre que le responsable de traitement. Le cas échéant, un contrat de sous-traitance

Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données

La loi fédérale révisée sur la protection des données s'applique – comme l'ancienne loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées, à l'exclusion des organismes cantonaux et communaux. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique, comme jusqu'à présent. Nous avons également examiné les conséquences de la nouvelle loi sur la protection des données pour les écoles publiques

 

.

Articles associés

Tous les articles

Pas d'amélioration ciblée sans données

Jessica Dehler Zufferey, directrice exécutive du LEARN, Center for Learning Sciences, de l'EPFL, nous explique pourquoi il faut des données pour façonner l'éducation et quels sont les avantages d'accompagner les projets de formation par une recherche empirique.

Les chemins de données de l'éducation sous la loupe

Les données sur l'éducation et l'apprentissage sont produites de diverses manières. David. H. Schiller est professeur à la Haute école spécialisée des Grisons et responsable du projet de recherche «Chemins de données de l'éducation numériques (Digitale Bildungsdatenwege)». Il explique pourquoi la mise en évidence de ces flux de données numériques aide à identifier les potentiels de développement.

Explorer les développements technologiques: Dossier Educa

Notre nouvelle rubrique a pour but d'informer, transmettre des connaissances et susciter des discussions. Notre premier Dossier Educa est consacré à la thématique très actuelle des «blockchains dans la formation». Notre colloque Educa23 était également placé sous ce thème; notre rétrospective vous donnera des informations détaillées sur cet événement.

Comment peut-on et doit-on utiliser quelles données?

Afin de développer la future politique d'utilisation des données pour l'espace suisse de formation, nous avons créé un programme pour les projets d'utilisation des données. Nous avons demandé aux personnes concernées pourquoi elles étaient intéressées à participer à notre programme.