La numérisation du quotidien scolaire par le biais d'applications d'apprentissage, de moyens pédagogiques numériques et de logiciels de gestion scolaire entraîne des exigences en matière de protection des données et des questions sur l'utilisation des données. Les principes de protection des données tels que le principe de légalité, la limitation de la finalité ou la transparence sont particulièrement pertinents dans le domaine de la formation – notamment en raison du besoin de protection des élèves et de leur position de dépendance vis-à-vis de l'école.

Dans le domaine du droit public – donc également dans le système éducatif – toute forme d'acquisition, du téléchargement gratuit d'une application au logiciel administratif cantonal, est considérée comme une acquisition. Celle-ci offre une possibilité précieuse d'imposer à un stade précoce et de manière contraignante les directives de protection des données et les exigences d'utilisation des données aux prestataires de services. Actuellement, ce potentiel est encore trop peu, voire pas du tout exploité dans le système éducatif.

Exiger la protection et l'utilisation des données

Les exigences en matière de protection et d'utilisation des données sont prises en compte dans les processus d’acquisition en les définissant au préalable comme standard. En tant que norme, elles sont imposées de manière efficace dans le processus d'acquisition en termes de stratégie de négociation, au moyen d'un cahier des charges ainsi que lors de la définition des critères d’aptitude et d’adjudication. La manière dont ces critères et le cahier des charges peuvent être utilisés de manière stratégique dans le cadre de l’acquisition dépend entre autres de la procédure d’acquisition à appliquer (voir encadré).

Voici quelques exemples d'exigences obligatoires qui pourraient être requises à l'avenir par le biais des acquisitions dans le système éducatif:

  • l'intégration dans une infrastructure d'identité fédérée doit être formulée comme une exigence impérative;
  • de même, il convient de poser des exigences plus larges en matière d'utilisation des données – telles que la portabilité, l'interopérabilité, l'accessibilité et la durabilité;
  • le «Privacy by design» et le «Privacy by default» sont des principes de protection des données auxquels on ne peut pas renoncer, surtout dans le contexte de la formation.

L'exigence de produits respectueux de la protection des données et économes en données lors de l’acquisition a un effet à long terme. Les prestataires de services commenceront ainsi à fabriquer des produits qui répondent aux directives et aux exigences imposées.

Procédure d’acquisition

La procédure d’acquisition décrit le processus juridique par lequel une organisation achète des biens ou des services.

Il existe la procédure de gré à gré, la procédure sur invitation, la procédure sélective et la procédure ouverte. Le choix de la procédure dépend principalement du volume du marché. Les exigences formelles varient en fonction du type de procédure (voir l'Accord intercantonal sur les marchés publics AIMP).

Renforcer la coordination et les échanges

Face à la complexité croissante, aux exigences légales et au besoin de professionnalisation lors de l'acquisition d'applications, une collaboration coordonnée de plusieurs acteurs est utile et nécessaire. D'une part, cela permet au système éducatif d'avoir un meilleur pouvoir de négociation vis-à-vis des prestataires de services. D'autre part, la mise en œuvre des directives de protection des données et des exigences en matière d'utilisation des données peut être exigée même pour de petits volumes.

Afin de mieux exploiter le potentiel des acquisitions communes, il convient de mettre en place une «communauté de pratique (CoP)». Celle-ci permet un échange professionnel sur des thèmes tels que les projets d'acquisition, les cahiers des charges, les analyses de marché et les mesures de coordination. Une telle CoP permet de regrouper les connaissances et les bonnes pratiques, d'exploiter les synergies, de définir des normes, de renforcer les compétences en matière de données et d'encourager la sensibilisation. L'échange de connaissances peut être rendu possible par une plateforme centrale.

En outre, il convient de coordonner davantage les acquisitions. Des organisations telles qu'eOperations Suisse devraient être utilisées de manière ciblée pour piloter les acquisitions supracantonales dans le domaine de la formation, afin d'imposer plus efficacement les exigences en matière de données et de protection des données grâce à un pouvoir de marché concentré.

Conditions préalables à une mise en œuvre réussie

Les conditions suivantes sont essentielles pour une intégration efficace de la protection et de l'utilisation des données dans les processus d’acquisition:

  1. Promouvoir les compétences en matière de données chez les responsables des acquisitions: des formations, une sensibilisation et une compréhension approfondie de la protection des données et du droit des marchés publics sont indispensables, en particulier chez les services d’acquisitions.
  2. Contrôle des applications axé sur le cycle de vie: avant et après l'acquisition, les exigences en matière de protection et d'utilisation des données doivent être vérifiées afin d'identifier les nouveaux risques pour la protection des données ainsi que les possibilités d'utilisation des données (voir également «École conforme à la protection des données)».

Résumé

L'intégration de la protection et de l'utilisation des données dans les marchés publics offre un grand potentiel pour concevoir des solutions numériques dans le domaine de la formation de manière juridiquement sûre, durable et efficace. Les conditions préalables sont des critères contraignants, des actrices et acteurs qualifiés ainsi qu'une coopération renforcée au-delà des frontières institutionnelles. Ainsi, l’acquisition peut devenir l'instrument de pilotage central pour une formation numérique conforme à la protection des données et porteuse d'avenir.

 

Liens complémentaires