Que sont les données sensibles? Pouvons-nous stocker des informations sur les élèves, par exemple sur leur santé ou leurs difficultés d'apprentissage, dans un cloud?

Les informations relatives à la santé ou aux difficultés d'apprentissage font par exemple partie des données personnelles sensibles. Dans la loi suisse sur la protection des données, certaines catégories de données personnelles bénéficient d'une protection particulière en raison de leur caractère sensible (comme dans les lois cantonales sur la protection des données). D'autres exemples de données personnelles sensibles sont les informations sur les opinions religieuses ou politiques, les informations sur la sphère intime, l'appartenance ethnique, les données génétiques et biométriques, les données sur les sanctions administratives ou pénales et les mesures d'aide sociale. Le traitement de ces données présente un risque accru de violation des droits de la personnalité des personnes concernées.

Position des préposées et préposés cantonaux à la protection des données

En ce qui concerne le traitement de données personnelles sensibles, la plupart des préposées et préposés cantonaux à la protection des données déconseillent clairement l'utilisation d'un cloud public.

Les préposées et préposées cantonaux à la protection des données sont donc majoritairement d'avis que les services en ligne peuvent être utilisés dans l'enseignement de manière conforme à la protection des données. En effet, aucune donnée sensible n'y est généralement créée.

Dans l'administration scolaire, on trouve des données sensibles dans le contexte de l'école, dans les dossiers relatifs aux élèves comme dans les dossiers personnels (par ex. expertises psychologiques scolaires et certificats médicaux, rapports de diagnostic, données relatives aux procédures disciplinaires, données relatives à la santé ou à la sphère intime). Il convient de noter que les données personnelles sensibles comprennent également les données qui permettent de tirer des conclusions indirectes sur la personne, par exemple sur son état de santé.

Pour protéger ces données, il convient de définir et de mettre en œuvre des mesures techniques et organisationnelles (TOM). D'autres mesures sont par exemple la formation et la sensibilisation des collaboratrices et des collaborateurs ainsi que l'identification claire des informations (voir aussi notre dossier «École conforme à la protection des données»), le chiffrement des documents.

D'autres indications concernant le traitement des données nécessitant une protection plus élevée se trouvent également dans les recommandations de l'aide-mémoire sur les risques et les mesures spécifiques au cloud de privatim.

En tant que directrice ou directeur d'école, à quoi dois-je faire attention si des listes de classe, des notes scolaires, des fiches d'urgence, etc. sont stockées dans un cloud, par ex. Microsoft Office 365 Education?

Même en cas d'externalisation vers un cloud, l'école est entièrement responsable du traitement des données. Il s'agit ici d'un sous-traitement des données personnelles, comme l'école confie le traitement des données à un tiers. Elle ne traite donc pas (uniquement) elle-même les données.

L'école doit s'assurer que le fournisseur du cloud est en mesure de garantir la sécurité des données. Les risques existant dans différents domaines avec les solutions cloud doivent être exclus par l'école au moyen de mesures ou du moins réduits à un niveau supportable.

Les données doivent être chiffrées selon l'état actuel de la technique, au moins lors de leur transmission. Lors du traitement des données par le fournisseur du cloud, la confidentialité doit être protégée de manière adéquate par des mesures appropriées. Pour plus d'informations, veuillez consulter l'Aide-mémoire sur les risques et les mesures spécifiques à la technologie du cloud réalisé par privatim.

Le transport et le stockage des données sont déjà chiffrés dans Microsoft 365, Microsoft disposant de la clé. Pour le chiffrement dans le cloud, il existe différentes approches comme un traitement intégré dans Microsoft 365 avec la souveraineté sur les clés utilisées par l'école (cette solution est techniquement exigeante et coûteuse), le chiffrement via une solution d'un fournisseur tiers, le chiffrement manuel via une solution d'une application utilisée localement ou via un service d'un fournisseur tiers (voir le guide Microsoft 365 pour le domaine de l'éducation, point 4 de la préposée des données du Canton Zurich). Pour l'application concrète, il peut également être utile de demander conseil à l'autorité cantonale de surveillance de la protection des données compétente.

Questions bienvenues

Avez-vous des questions sur l'utilisation et la protection des données, auxquelles vous ne trouvez pas de réponse ici? Transmettez-nous votre question.