Contenu

Le guichet pour l'utilisation et la protection des données apporte son soutien à ces questions et génère ainsi une base de connaissances collective pour l'espace numérique suisse de formation. Nous élaborons les réponses en collaboration avec des spécialistes. Les perspectives éthiques et les conditions-cadres de la politique de l'éducation sont prises en compte dans nos réponses, tout comme l'adéquation à la pratique de l'éducation et sa connectivité aux composantes existantes du système. Les questions suivantes nous ont été posées par les directions d'école, le corps enseignant et l'administration de l'éducation. Nous complétons les thèmes au fur et à mesure.

Questions bienvenues

Avez-vous des questions sur l'utilisation et la protection des données, auxquelles vous ne trouvez pas de réponse ici? Transmettez-nous votre question.

Transmission des données personnelles

Une école envisage de mettre à disposition des informations telles que les listes de classe, les horaires et les coordonnées du corps enseignant sur un portail destiné aux parents. Est-ce admissible du point de vue de la protection des données et à quoi faut-il faire attention?

La question de savoir si et dans quelle mesure des informations telles que les listes de classe doivent être publiées et rendues accessibles aux parents doit être considérée de manière critique. Les points les plus importants à respecter pour une utilisation conforme à la protection des données sont énumérés ci-dessous.

Obtenir le consentement: il convient d'obtenir au préalable le consentement de toutes les personnes concernées et de communiquer de manière aussi claire et transparente que possible à celles et ceux qui ont accès au portail. Le consentement doit être tenu à jour et soigneusement documenté.

Limitation de la publication: si une publication a lieu sur le portail de l'école (même si un login est nécessaire), elle doit être limitée autant que possible à la classe.

Affectation à une finalité précise et minimisation des données: si une publication à l'échelle de la classe ne peut être évitée, il faut veiller à ce que l'affectation à une finalité précise et la proportionnalité soient respectées. Cela signifie que l'école doit être transparente quant à la finalité pour laquelle elle a besoin des données. Les données à caractère personnel ne peuvent être traitées que dans le but pour lequel elles ont été collectées et pendant la durée nécessaire à la réalisation de ce but. Ensuite, elles doivent être détruites ou rendues anonymes.

Transparence: les personnes concernées doivent savoir comment, où et pourquoi leurs données sont traitées. Cela suppose que toutes les informations relatives au traitement des données personnelles soient claires, accessibles, compréhensibles et intelligibles.

Consentements différents pour des finalités différentes: si des données à caractère personnel sont collectées pour des finalités différentes, par ex. pour des prestations scolaires ou des excursions, un consentement distinct est nécessaire pour chaque finalité. En règle générale, les consentements globaux ne satisfont pas aux exigences légales.

Un organisateur de camps d'été souhaite obtenir de votre école les noms et adresses électroniques ou postales des élèves afin de pouvoir leur envoyer des informations et des dépliants sur le camp d'été de cette année. En tant que secrétaire de l'école, fournissez-vous ces données?

En tant qu'école, vous avez le droit de collecter et de traiter les données personnelles telles que les noms et adresses des élèves pour l'organisation de l'école, conformément à la loi sur l'école obligatoire de votre canton. Vous n'avez cependant pas le droit d'utiliser ces données en dehors de ce but et de les transmettre à des tiers. La publicité pour un camp d'été extrascolaire ne fait pas partie des objectifs de l'école couverts par la loi sur l'école obligatoire. Vous pouvez par exemple autoriser le prestataire à coller une affiche du camp d'été sur le tableau d'affichage et à y déposer des dépliants. Il serait également envisageable que le corps enseignant distribue (volontairement) les informations et les dépliants si l'offre est compatible avec les objectifs de l'école.

En ce qui concerne le traitement des données personnelles, les écoles publiques sont soumises à la loi cantonale sur la protection des données.

Des apprenantes et apprenants ont partagé des informations personnelles sur moi en tant qu'enseignante ou enseignant sur les réseaux sociaux. Que puis-je faire?

Tout d'abord, il faut savoir de quel type d'informations il s'agit: fausses informations, informations en libre accès, insultes, vidéos ou autres? Avant toute chose, il est recommandé de demander aux élèves concernés de supprimer le contenu.

Si, en tant qu'enseignante ou enseignant, vous souhaitez qu'un texte ou une image de vous soit retiré des réseaux sociaux parce qu'il porte atteinte à vos droits de la personnalité, vous avez la possibilité de le signaler à la plateforme de réseaux sociaux concernée. La fournisseuse ou le fournisseur examinera le signalement et prendra les mesures appropriées en fonction de ses standards.

Si la publication porte atteinte aux droits de la personnalité (par ex. représentations désavantageuses ou inexactes), la protection de la personnalité selon l'article 28 du Code civil (CC) s'applique. Vous pouvez alors intenter une action en cessation ou en suppression devant le tribunal civil. Les procèdures civiles nécessitent toutefois beaucoup de preuves et sont financièrement coûteuses.

Dans certaines circonstances, il peut même s'agir d'une atteinte à l'honneur au sens de l'article 173 du Code pénal (CP) (diffamation) –  à savoir si vous, en tant qu'enseignante ou enseignant, apparaissez comme une personne peu honorable sur la contribution aux réseaux sociaux. Vous devriez alors déposer une plainte pénale dans les trois mois. Toutefois, toute déclaration jugée diffamatoire ne constitue pas un délit.

Stockages des données dans le cloud

En tant que directrice ou directeur d'école, à quoi dois-je faire attention si des listes de classe, des notes scolaires, des fiches d'urgence, etc. sont stockées dans un cloud, par ex. Microsoft Office 365 Education?

Même en cas d'externalisation vers un cloud, l'école est entièrement responsable du traitement des données. Il s'agit ici d'un sous-traitement des données personnelles, comme l'école confie le traitement des données à un tiers. Elle ne traite donc pas (uniquement) elle-même les données.

L'école doit s'assurer que le fournisseur du cloud est en mesure de garantir la sécurité des données. Les risques existant dans différents domaines avec les solutions cloud doivent être exclus par l'école au moyen de mesures ou du moins réduits à un niveau supportable.

Les données doivent être cryptées selon l'état actuel de la technique, au moins lors de leur transmission. Lors du traitement des données par le fournisseur du cloud, la confidentialité doit être protégée de manière adéquate par des mesures appropriées. Pour plus d'informations, veuillez consulter l'Aide-mémoire sur les risques et les mesures spécifiques à la technologie du cloud réalisé par privatim.

Le transport et le stockage des données sont déjà cryptés dans Microsoft 365, Microsoft disposant de la clé. Pour le cryptage dans le cloud, il existe différentes approches comme un traitement intégré dans Microsoft 365 avec la souveraineté sur les clés utilisées par l'école (cette solution est techniquement exigeante et coûteuse), le cryptage via une solution d'un fournisseur tiers, le cryptage manuel via une solution d'une application utilisée localement ou via un service d'un fournisseur tiers (voir le guide Microsoft 365 pour le domaine de l'éducation, point 4 de la préposée des données du Canton Zurich). Pour l'application concrète, il peut également être utile de demander conseil à l'autorité cantonale de surveillance de la protection des données compétente.

Utilisation d'appareils personnels à des fins scolaires (BYOD)

Dans notre école, on soupçonne que du harcèlement est mené via des appareils financés de manière mixte. En tant qu'école, avons-nous le droit de consulter les messages sur les appareils? Et que pouvons-nous faire d'autre pour y faire face?

Tout soupçon de harcèlement doit être pris au sérieux et nécessite une action immédiate. Avant de demander à consulter les appareils numériques, il convient de rechercher le dialogue avec les élèves concernés. La gravité de la situation doit être soigneusement examinée. Par exemple, les questions suivantes devraient être clarifiées: les soupçons de harcèlement sont-ils fondés? Existe-t-il des menaces? Quels sont les signes concrets? De tels incidents se multiplient-ils?

Si les soupçons se confirment, l'accès aux appareils peut être vérifié. Parfois, les droits de licence des logiciels utilisés permettent d'accéder au contenu. Par exemple, une licence scolaire pour MS Teams peut donner à l'école des droits d'accès spécifiques.

Il convient de vérifier si les parents ont signé une déclaration de consentement lors de la mise en service des appareils, qui inclut le droit de consulter toutes les applications. La direction de l'école se réserve ainsi le droit d'accéder aux appareils des élèves dans des cas particuliers.

Il est important que l'accès soit possible avant la suppression. Si le donneur de licence et les parents ont un droit de consulter, c'est possible. En outre, toutes les preuves pertinentes se trouvant sur les appareils financés de manière mixte doivent être sauvegardées. Il peut s'agir de messages textuels, d'images ou d'autres communications numériques.

Si l'on soupçonne que le contenu en question est pénalement répréhensible et que l'école n'a aucun moyen légal d'agir, il convient de faire appel à la police. Cela peut être le cas, par exemple, en cas de menaces, de contrainte ou de trafic de drogue.

La plupart des lois scolaires ou éducatives et des ordonnances correspondantes prévoient que des mesures disciplinaires peuvent être prises à l'encontre des apprenantes et apprenants. Dans certaines circonstances, les appareils peuvent également être confisqués. Les règlements de l'école ou de la commune contiennent également des dispositions relatives au comportement incorrect.

Nos élèves utilisent en classe des appareils informatiques qui sont en partie financés de manière privée. Faut-il faire attention à quelque chose de particulier à ce sujet?

Si des appareils (partiellement) privés (smartphones, notebooks, tablettes) sont utilisés pour accomplir les tâches scolaires, les informations doivent être protégées par les mesures organisationnelles et techniques (TOM) appropriées. Les mesures suivantes sont au minimum nécessaires:

  • Une protection par mot de passe ou code PIN
  • L'installation d'une protection antivirus
  • Un pare-feu à jour
  • Des mises à jour régulières
  • Le cryptage lors du stockage et de la transmission de données sensibles

Même les appareils entièrement financés par l'école doivent être protégés conformément aux directives concernant l'utilisation du matériel et des logiciels de l'école ou de la commune.

Droits d'auteur des images, des textes et de la musique

Lors d'une représentation théâtrale de l'école, une photographe et des parents ont pris des photos et des vidéos. L'enseignant de cette classe souhaite mettre à la disposition de chaque enfant le film de la représentation sur un support de stockage. Des parents ont également pris des photos et des vidéos et les ont publiées sur les réseaux sociaux. Les parents d'un élève apparaissant sur les vidéos se plaignent. Comment faut-il juger la prise et la publication d'images par l'école? Dans quelle mesure l'école est-elle responsable de ces enregistrements?

Le droit à l'image protégé par le droit civil (art. 28 CC) doit toujours être respecté et nécessite toujours, dans le cas présent, une justification sous la forme d'un consentement de la personne concernée ou d'une base légale.

Du point de vue du droit d'auteur, il convient de faire la distinction entre la prise de vue et la mise à disposition (publication) de matériel photographique. Du point de vue du droit d'auteur, l'autorisation des personnes concernées n'est pas nécessaire pour la prise de vue en tant que telle, mais elle l'est pour la publication.

Il convient également de distinguer les différentes personnes qui prennent des photos (parents, corps enseignant, photographe). Il en va de même pour le but de la photographie ou du film, car cela est important pour l'évaluation ultérieure de la finalité. Les exigences juridiques (base légale, consentement) varient en fonction de la personne qui photographie ou filme et du but poursuivi.

Pour la projection du film devant la classe ou la mise à disposition sur un support de stockage accessible à chaque enfant, la loi scolaire cantonale correspondante suffit en général comme base juridique. Pour d'autres publications, l'autorisation expresse des responsables légaux ainsi que des élèves concernés est nécessaire. En cas de publication par l'école, il est important d'obtenir les consentements le plus tôt possible au début de l'année scolaire. La déclaration de consentement doit mentionner le but de la production ou du traitement de l'image. Selon la situation, un nouveau consentement doit être obtenu pour le cas actuel et concret. Les parents et l'enfant peuvent révoquer leur consentement à tout moment sans avoir à se justifier.

La publication sur les médias sociaux par les parents ne relève pas de la responsabilité de l'école. Dans un but de prévention et de sensibilisation, l'école pourrait indiquer avant une représentation théâtrale que la prise de photos des enfants par les parents ainsi que la publication sur les médias sociaux ne sont pas autorisées.

Sur le site web de notre école, nous souhaitons présenter notre école dans un court clip vidéo. La musique de Herbert Grönemeyer doit être diffusée en arrière-plan. Comment devons-nous procéder pour pouvoir utiliser légalement la musique choisie?

Les droits d'auteur de la musique appartiennent à Herbert Grönemeyer ou, le cas échéant, à sa société de production. Comme le site web de l'école est public, vous ne pouvez pas utiliser la musique sans licence. Vous devez déclarer l'utilisation de la musique et obtenir une licence. En Suisse, cela se fait auprès de la SUISA, qui représente les droits d'auteur des créatrices et créateurs de musique ainsi que des éditrices et des éditeurs dans toute la Suisse. La SUISA veille à ce que les compositrices et compositeurs, autrices et auteurs de texte ainsi que les éditrices ou éditeurs reçoivent des redevances de droits d'auteur lorsque leur œuvre est utilisée en public. Vous pouvez demander à la SUISA une licence pour la mise à disposition et l'enregistrement de fichiers audio sur un serveur. Une redevance est alors due.

Il se peut que cette solution soit trop coûteuse pour une école qui choisit par exemple une chanson de Grönemeyer. Vous pouvez alors opter pour de la musique libre de droits ou produire vous-même un fond musical.

Vous trouverez de plus amples informations sur l'utilisation d'œuvres musicales protégées par le droit d'auteur dans les écoles sur le site web de la SUISA.

Durant sa carrière dans notre école, notre professeur de physique a créé un script pour les cours. Comme il quitte l'école, il ne veut plus le mettre à notre disposition en invoquant ses droits d'auteur. Le droit d'auteur s'applique-t-il également au matériel pédagogique?

La loi sur le droit d'auteur (LDA) s'applique également au matériel pédagogique. Toutefois, les enseignantes et enseignants sont également employés et rémunérés pour l'élaboration et la mise à disposition de matériel pédagogique. Les droits d'utilisation de l'auteur sont donc régulièrement transférés à l'école selon la loi sur le personnel, le règlement scolaire ou le contrat d'engagement. En règle générale, l'école peut donc décider de la réutilisation de matériel pédagogique créé par le corps enseignant, comme les scripts et autres.

Il existe des exceptions pour les œuvres créées à titre privé (et pendant le temps libre), car dans ce cas, le droit d'utilisation de l'auteur reste à l'enseignante ou l'enseignant. Il peut ainsi décider si et où l'œuvre sera réutilisée.

Sécurité de l'information et des données à l'école ou dans l'entreprise formatrice

Qu'est-ce qui va changer pour mon école avec l'introduction de la nLPD le 1er septembre 2023? Dois-je agir moi-même en tant que directrice ou directeur d'école et/ou est-ce qu'un autre organisme me soutient?

Le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur. Cette loi s'applique aux autorités fédérales et aux particuliers, mais pas aux organismes cantonaux et communaux, comme c'est le cas pour les écoles publiques. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique en premier lieu.

Il est préférable de vérifier au niveau communal si une école doit adapter quelque chose (par exemple la déclaration de protection des données sur son site web) (à voir aussi notre article sur les «Conséquences de la nouvelle loi sur la protection des données pour les écoles»).

En tant qu'école, comment pouvons-nous garantir que l'élimination des appareils tels que les ordinateurs et les tablettes se fasse dans le respect de la protection des données et de manière professionnelle? De quoi faut-il tenir compte si nous voulons transmettre les appareils à d'autres institutions?

La protection des données doit aussi être garantie lors de l'élimination des appareils usagés, en particulier lorsqu'ils sont transmis à des tiers.

En règle générale, l'élimination des appareils se fait via Swico, un système de reprise à but non lucratif pour les appareils électriques et électroniques usagés dans les secteurs informatique, électronique grand public, bureautique, communication, industrie graphique, métrologie et médecine. Les écoles peuvent faire enlever gratuitement les appareils usagés à partir d'une quantité de 250 kilos ou les gros appareils d'une hauteur minimale de 80 centimètres. Tous les partenaires contractuels de Swico sont tenus de protéger les données figurant sur les appareils déposés contre une consultation non autorisée. Vous trouverez de plus amples informations sur le site Internet de Swico.

Afin de garantir la protection des données, il est recommandé, indépendamment de l'entreprise d'élimination, de fixer la procédure idéalement par contrat ou au moins par écrit avant de passer commande. En outre, un procès-verbal correspondant devrait être demandé après l'élimination.

La méthode de suppression dépend du type d'appareil et du système d'exploitation. Des instructions gratuites à ce sujet sont disponibles sur Internet sur des portails de médias informatiques sérieux. L'utilisation de programmes d'effacement comporte toutefois un risque résiduel, car certaines zones de mémoire peuvent ne pas être couvertes. C'est pourquoi il est recommandé de démonter et d'éliminer toutes les mémoires avant de transmettre des appareils.

Cela garantit non seulement la protection des données, mais empêche également la transmission involontaire de ses propres licences de logiciels. Même si le corps enseignant utilise les appareils à titre professionnel, l'école doit dans tous les cas veiller à une suppression sécurisée.

Si les appareils doivent être transmis ou revendus pour des raisons de durabilité, il est recommandé de collaborer avec une entreprise spécialisée dans la revente d'appareils informatiques afin de garantir un effacement adéquat et une transmission des appareils conforme à la protection des données.

 

Quels sont les principaux changements dont nous devons tenir compte en tant qu'école privée avec la nouvelle loi sur la protection des données?

Le 1er septembre 2023, la loi fédérale révisée sur la protection des données est entrée en vigueur (nouvelle loi sur la protection des données). Celle-ci ne s'applique qu'aux organes fédéraux et aux personnes privées (y compris les entreprises). Les modifications suivantes s'appliquent pour l'essentiel aux autorités fédérales et aux particuliers (voir également notre article «Conséquences de la nouvelle loi sur la protection des données pour les particuliers et les organes fédéraux») ((Link))):

  • Extension du devoir d'informer: une déclaration de protection des données doit notamment être établie, qui mentionne notamment la finalité du traitement et la personne responsable avec ses coordonnées.
  • Il existe désormais une obligation de tenir un registre de traitement des données (avec des exceptions).
  • Les sanctions ont été renforcées, avec entre autres des amendes pouvant aller jusqu'à CHF 250'000.
  • En cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l'école privée (par ex. par le biais de la direction de l'école ou de la personne responsable) doit en informer le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais.

En tant qu'enseignante ou enseignant, j'aimerais utiliser l'intelligence artificielle (IA) pour évaluer les travaux de mes élèves. À quoi dois-je faire attention d'un point de vue juridique?

Si, en tant qu'enseignante ou enseignant, vous souhaitez utiliser l'IA pour évaluer des travaux, vous devez respecter non seulement les dispositions relatives à la protection des données, mais aussi celles relatives aux droits d'auteur. Cela signifie par exemple que vous n'avez pas le droit d'introduire des données issues de la création d'apprenantes et d'apprenants dans ChatGPT. De même, les systèmes d'IA ne peuvent être utilisés uniquement comme outils lors d'évaluations. En tant qu'enseignante ou enseignant, vous devez également vérifier le résultat conformément à la grille d'évaluation.

Le Digital Learning Hub du canton de Zurich propose des informations complètes sur l'IA/ChatGPT. Il a notamment élaboré, en allemand, des guides et des recommandations pour les écoles, les élèves et le corps enseignant concernant l'utilisation de l'IA dans les travaux d'approfondissement et de fin d'études.

Cyberharcèlement

Dans notre école, une élève est victime de harcèlement depuis environ trois mois. Des camarades de classe diffusent des commentaires insultants via TikTok. En outre, des photos prises dans l'enceinte scolaire et montrant l'élève concernée dans des situations embarrassantes sont publiées – parfois retouchées et falsifiées. Quels sont les moyens juridiques dont dispose l'élève et que pouvons-nous faire en tant qu'école contre le cyberharcèlement?

L'élève peut faire valoir la loi fédérale sur la protection des données (LPD). Cette loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement. La manipulation d'images sur lesquelles des personnes sont représentées constitue un traitement de données personnelles.

En outre, la disposition pénale relative à l'usurpation d'identité (art. 179decies Code pénal suisse) protège l'élève. Il s'agit de l'utilisation de l'identité d'une autre personne sans son consentement, dans le dessein de lui nuire ou de procurer un avantage illicite à un tiers. Il est possible qu'il s'agisse également d'un délit d'atteinte à l'honneur.

Il est recommandé à l'élève d'engager une procédure pénale. Contrairement à une procédure civile qui nécessite une avance de frais, une plainte pénale peut en général être déposée sans frais. De plus, la maxime d'office s'applique. Cela signifie que les autorités de poursuite pénale enquêtent d'office.

Enfin, il existe la possibilité d'invoquer une atteinte à la personnalité de droit civil selon l'article 28 du Code civil. On peut alors faire valoir la suppression de l'atteinte, la publication du jugement ainsi que, le cas échéant, des dommages et intérêts et des prétentions financières. Une procédure civile est toutefois beaucoup plus coûteuse qu'une procédure pénale. Elle est plus coûteuse pour le plaignant et exige de lui davantage de moyens de preuve. De plus, la partie défenderesse doit être connue.

Plusieurs cantons, l'Association faîtière des enseignantes et enseignants suisses (LCH) ainsi que d'autres services spécialisés proposent des informations détaillées sur la procédure concrète et la prévention du cyberharcèlement dans les écoles. Voici une liste de matériel disponible sur le thème du cyberharcèlement: