Nos enseignantes et enseignants utilisent une plateforme numérique (comme Google Classroom ou autre) pour communiquer avec les élèves et fournir des contenus de cours. La législation sur la protection des données autorise-t-elle le corps enseignant à communiquer les appréciations et les notes des élèves via ces plateformes numériques?
Certaines catégories de données personnelles sont soumises à une protection particulière dans la loi cantonale sur la protection des données en raison de leur caractère sensible. Leur traitement comporte un potentiel de risque accru pour les droits de la personnalité des personnes concernées, par exemple le risque de discrimination ou de stigmatisation.
Les appréciations et les notes dont il est question ici sont des données personnelles sensibles. Pour le traitement de telles données, il convient d'utiliser des applications spécialisées. De telles applications répondent généralement à des exigences élevées en matière de sécurité de l'information. En règle générale, elles garantissent en outre que les données sont enregistrées dans des pays offrant un niveau de protection des données adéquat.
En ce qui concerne le traitement de données personnelles sensibles, la plupart des préposées et préposés cantonaux à la protection des données déconseillent clairement l'utilisation de services dans un cloud (voir le paragraphe «Protection des données» des Caractéristiques de l'accord-cadre).
Comment un registre des activités de traitement aide-t-il les écoles à utiliser le cloud?
Un registre des activités de traitement offre une valeur ajoutée essentielle lors de l'utilisation du cloud dans les écoles, en particulier pour le stockage et le traitement des données des élèves conformément à la protection des données (voir également notre dossier «École conforme à la protection des données»). Même si les écoles ne sont généralement pas légalement tenues de tenir un registre des activités de traitement, celui-ci offre de nombreux avantages qui améliorent la protection et la sécurité des données:
Transparence et traçabilité
Le registre des activités de traitement permet aux écoles d'avoir une vue d'ensemble claire des données qui sont stockées et traitées, et à quel endroit. Ceci est particulièrement important lors de l'utilisation de services cloud. L'école doit s'assurer qu'aucune donnée n'est traitée sans autorisation et peut, le cas échéant, procéder aux ajustements nécessaires.
Clarté sur les responsabilités et les risques (de protection des données)
Le registre des activités de traitement contribue à clarifier les responsabilités lors du stockage des données et à identifier à temps les risques potentiels liés au traitement des données. L'école sait ainsi quelles données sont stockées dans le cloud et quelles données sensibles nécessitent une protection supplémentaire. Il devient ainsi possible d'évaluer les risques liés au stockage au traitement des données ainsi que de définir les mesures techniques et organisationnelles nécessaires.
Respect des exigences en matière de protection des données
Le registre des activités de traitement constitue une base solide pour garantir que les écoles respectent toutes les dispositions pertinentes en matière de protection des données. Il aide à documenter les étapes nécessaires à une utilisation des services cloud conforme à la protection des données. Identifier le type et la sensibilité des données stockées dans le cloud est essentiel pour mettre en place des mesures de protection appropriées. Cela peut par exemple concerner le cryptage ou la localisation des données au sein de la Suisse ou de l'UE.
Aide au choix de services cloud appropriés
Un registre des activités de traitement aide les écoles à choisir des services cloud sur la base de critères de protection des données. Les services cloud spécialisés, fournis par les autorités et les cantons et offrant des normes de sécurité élevées, sont privilégiés. Pour les données moins sensibles, les services cloud commerciaux peuvent être suffisants. Dans ce cas également, le registre des activités de traitement aide à prendre les mesures de sécurité appropriées, par exemple des contrôles d'accès.
Construire la confiance
En documentant de manière transparente et structurée la manière dont elles traitent les données de leurs élèves ainsi que de leurs collaboratrices et collaborateurs, les écoles renforcent la confiance des responsables légaux ainsi que des collaboratrices et collaborateurs dans la protection des données. Un registre des activités de traitement montre que l'école garantit de manière proactive un traitement sûr des données et qu'elle est consciente de l'importance de la protection des données. Cela favorise la confiance dans les processus scolaires et permet d'éviter les malentendus.
Dans l'ensemble, le registre des activités de traitement constitue un outil important pour que l'utilisation du cloud soit conforme à la protection des données. Il crée non seulement de la transparence, mais aussi une base solide pour minimiser les risques et définir des mesures de protection.
Que sont les données sensibles? Pouvons-nous stocker des informations sur les élèves, par exemple sur leur santé ou leurs difficultés d'apprentissage, dans un cloud?
Les informations relatives à la santé ou aux difficultés d'apprentissage font par exemple partie des données personnelles sensibles. Dans la loi suisse sur la protection des données, certaines catégories de données personnelles bénéficient d'une protection particulière en raison de leur caractère sensible (comme dans les lois cantonales sur la protection des données). D'autres exemples de données personnelles sensibles sont les informations sur les opinions religieuses ou politiques, les informations sur la sphère intime, l'appartenance ethnique, les données génétiques et biométriques, les données sur les sanctions administratives ou pénales et les mesures d'aide sociale. Le traitement de ces données présente un risque accru de violation des droits de la personnalité des personnes concernées.
Position des préposées et préposés cantonaux à la protection des données
En ce qui concerne le traitement de données personnelles sensibles, la plupart des préposées et préposés cantonaux à la protection des données déconseillent clairement l'utilisation d'un cloud public.
Les préposées et préposées cantonaux à la protection des données sont donc majoritairement d'avis que les services en ligne peuvent être utilisés dans l'enseignement de manière conforme à la protection des données. En effet, aucune donnée sensible n'y est généralement créée.
Dans l'administration scolaire, on trouve des données sensibles dans le contexte de l'école, dans les dossiers relatifs aux élèves comme dans les dossiers personnels (par ex. expertises psychologiques scolaires et certificats médicaux, rapports de diagnostic, données relatives aux procédures disciplinaires, données relatives à la santé ou à la sphère intime). Il convient de noter que les données personnelles sensibles comprennent également les données qui permettent de tirer des conclusions indirectes sur la personne, par exemple sur son état de santé.
Pour protéger ces données, il convient de définir et de mettre en œuvre des mesures techniques et organisationnelles (TOM). D'autres mesures sont par exemple la formation et la sensibilisation des collaboratrices et des collaborateurs ainsi que l'identification claire des informations (voir aussi notre dossier «École conforme à la protection des données»), le chiffrement des documents.
D'autres indications concernant le traitement des données nécessitant une protection plus élevée se trouvent également dans les recommandations de l'aide-mémoire sur les risques et les mesures spécifiques au cloud de privatim.
En tant que directrice ou directeur d'école, à quoi dois-je faire attention si des listes de classe, des notes scolaires, des fiches d'urgence, etc. sont stockées dans un cloud, par ex. Microsoft Office 365 Education?
Même en cas d'externalisation vers un cloud, l'école est entièrement responsable du traitement des données. Il s'agit ici d'un sous-traitement des données personnelles, comme l'école confie le traitement des données à un tiers. Elle ne traite donc pas (uniquement) elle-même les données.
L'école doit s'assurer que le fournisseur du cloud est en mesure de garantir la sécurité des données. Les risques existant dans différents domaines avec les solutions cloud doivent être exclus par l'école au moyen de mesures ou du moins réduits à un niveau supportable.
Les données doivent être chiffrées selon l'état actuel de la technique, au moins lors de leur transmission. Lors du traitement des données par le fournisseur du cloud, la confidentialité doit être protégée de manière adéquate par des mesures appropriées. Pour plus d'informations, veuillez consulter l'Aide-mémoire sur les risques et les mesures spécifiques à la technologie du cloud réalisé par privatim.
Le transport et le stockage des données sont déjà chiffrés dans Microsoft 365, Microsoft disposant de la clé. Pour le chiffrement dans le cloud, il existe différentes approches comme un traitement intégré dans Microsoft 365 avec la souveraineté sur les clés utilisées par l'école (cette solution est techniquement exigeante et coûteuse), le chiffrement via une solution d'un fournisseur tiers, le chiffrement manuel via une solution d'une application utilisée localement ou via un service d'un fournisseur tiers (voir le guide Microsoft 365 pour le domaine de l'éducation, point 4 de la préposée des données du Canton Zurich). Pour l'application concrète, il peut également être utile de demander conseil à l'autorité cantonale de surveillance de la protection des données compétente.
Avez-vous des questions sur l'utilisation et la protection des données, auxquelles vous ne trouvez pas de réponse ici? Transmettez-nous votre question.