Questions adressées au guichet pour l'utilisation et la protection des données

Un organisateur de camps d'été souhaite obtenir de votre école les noms et adresses électroniques ou postales des élèves afin de pouvoir leur envoyer des informations et des dépliants sur le camp d'été de cette année. En tant que secrétaire de l'école, fournissez-vous ces données?

En tant qu'école, vous avez le droit de collecter et de traiter les données personnelles telles que les noms et adresses des élèves pour l'organisation de l'école, conformément à la loi sur l'école obligatoire de votre canton. Vous n'avez cependant pas le droit d'utiliser ces données en dehors de ce but et de les transmettre à des tiers. La publicité pour un camp d'été extrascolaire ne fait pas partie des objectifs de l'école couverts par la loi sur l'école obligatoire. Vous pouvez par exemple autoriser le prestataire à coller une affiche du camp d'été sur le tableau d'affichage et à y déposer des dépliants. Il serait également envisageable que le corps enseignant distribue (volontairement) les informations et les dépliants si l'offre est compatible avec les objectifs de l'école.

En ce qui concerne le traitement des données personnelles, les écoles publiques sont soumises à la loi cantonale sur la protection des données.

Des apprenantes et apprenants ont partagé des informations personnelles sur moi en tant qu'enseignante ou enseignant sur les réseaux sociaux. Que puis-je faire?

Tout d'abord, il faut savoir de quel type d'informations il s'agit: fausses informations, informations en libre accès, insultes, vidéos ou autres? Avant toute chose, il est recommandé de demander aux élèves concernés de supprimer le contenu.

Si, en tant qu'enseignante ou enseignant, vous souhaitez qu'un texte ou une image de vous soit retiré des réseaux sociaux parce qu'il porte atteinte à vos droits de la personnalité, vous avez la possibilité de le signaler à la plateforme de réseaux sociaux concernée. La fournisseuse ou le fournisseur examinera le signalement et prendra les mesures appropriées en fonction de ses standards.

Si la publication porte atteinte aux droits de la personnalité (par ex. représentations désavantageuses ou inexactes), la protection de la personnalité selon l'article 28 du Code civil (CC) s'applique. Vous pouvez alors intenter une action en cessation ou en suppression devant le tribunal civil. Les procèdures civiles nécessitent toutefois beaucoup de preuves et sont financièrement coûteuses.

Dans certaines circonstances, il peut même s'agir d'une atteinte à l'honneur au sens de l'article 173 du Code pénal (CP) (diffamation) –  à savoir si vous, en tant qu'enseignante ou enseignant, apparaissez comme une personne peu honorable sur la contribution aux réseaux sociaux. Vous devriez alors déposer une plainte pénale dans les trois mois. Toutefois, toute déclaration jugée diffamatoire ne constitue pas un délit.

En tant que directrice ou directeur d'école, à quoi dois-je faire attention si des listes de classe, des notes scolaires, des fiches d'urgence, etc. sont stockées dans un cloud, par ex. Microsoft Office 365 Education?

Même en cas d'externalisation vers un cloud, l'école est entièrement responsable du traitement des données. Il s'agit ici d'un sous-traitement des données personnelles, comme l'école confie le traitement des données à un tiers. Elle ne traite donc pas (uniquement) elle-même les données.

L'école doit s'assurer que le fournisseur du cloud est en mesure de garantir la sécurité des données. Les risques existant dans différents domaines avec les solutions cloud doivent être exclus par l'école au moyen de mesures ou du moins réduits à un niveau supportable.

Les données doivent être cryptées selon l'état actuel de la technique, au moins lors de leur transmission. Lors du traitement des données par le fournisseur du cloud, la confidentialité doit être protégée de manière adéquate par des mesures appropriées. Pour plus d'informations, veuillez consulter l'Aide-mémoire sur les risques et les mesures spécifiques à la technologie du cloud réalisé par privatim.

Le transport et le stockage des données sont déjà cryptés dans Microsoft 365, Microsoft disposant de la clé. Pour le cryptage dans le cloud, il existe différentes approches comme un traitement intégré dans Microsoft 365 avec la souveraineté sur les clés utilisées par l'école (cette solution est techniquement exigeante et coûteuse), le cryptage via une solution d'un fournisseur tiers, le cryptage manuel via une solution d'une application utilisée localement ou via un service d'un fournisseur tiers (voir le guide Microsoft 365 pour le domaine de l'éducation, point 4 de la préposée des données du Canton Zurich). Pour l'application concrète, il peut également être utile de demander conseil à l'autorité cantonale de surveillance de la protection des données compétente.

Nos élèves utilisent en classe des appareils informatiques qui sont en partie financés de manière privée. Faut-il faire attention à quelque chose de particulier à ce sujet?

Si des appareils (partiellement) privés (smartphones, notebooks, tablettes) sont utilisés pour accomplir les tâches scolaires, les informations doivent être protégées par les mesures organisationnelles et techniques (TOM) appropriées. Les mesures suivantes sont au minimum nécessaires:

• Une protection par mot de passe ou code PIN
• L'installation d'une protection antivirus
• Un pare-feu à jour
• Des mises à jour régulières
• Le cryptage lors du stockage et de la transmission de données sensibles

Même les appareils entièrement financés par l'école doivent être protégés conformément aux directives concernant l'utilisation du matériel et des logiciels de l'école ou de la commune.

Sur le site web de notre école, nous souhaitons présenter notre école dans un court clip vidéo. La musique de Herbert Grönemeyer doit être diffusée en arrière-plan. Comment devons-nous procéder pour pouvoir utiliser légalement la musique choisie?

Les droits d'auteur de la musique appartiennent à Herbert Grönemeyer ou, le cas échéant, à sa société de production. Comme le site web de l'école est public, vous ne pouvez pas utiliser la musique sans licence. Vous devez déclarer l'utilisation de la musique et obtenir une licence. En Suisse, cela se fait auprès de la SUISA, qui représente les droits d'auteur des créatrices et créateurs de musique ainsi que des éditrices et des éditeurs dans toute la Suisse. La SUISA veille à ce que les compositrices et compositeurs, autrices et auteurs de texte ainsi que les éditrices ou éditeurs reçoivent des redevances de droits d'auteur lorsque leur œuvre est utilisée en public. Vous pouvez demander à la SUISA une licence pour la mise à disposition et l'enregistrement de fichiers audio sur un serveur. Une redevance est alors due.

Il se peut que cette solution soit trop coûteuse pour une école qui choisit par exemple une chanson de Grönemeyer. Vous pouvez alors opter pour de la musique libre de droits ou produire vous-même un fond musical.

Vous trouverez de plus amples informations sur l'utilisation d'œuvres musicales protégées par le droit d'auteur dans les écoles sur le site web de la SUISA.

Durant sa carrière dans notre école, notre professeur de physique a créé un script pour les cours. Comme il quitte l'école, il ne veut plus le mettre à notre disposition en invoquant ses droits d'auteur. Le droit d'auteur s'applique-t-il également au matériel pédagogique?

La loi sur le droit d'auteur (LDA) s'applique également au matériel pédagogique. Toutefois, les enseignantes et enseignants sont également employés et rémunérés pour l'élaboration et la mise à disposition de matériel pédagogique. Les droits d'utilisation de l'auteur sont donc régulièrement transférés à l'école selon la loi sur le personnel, le règlement scolaire ou le contrat d'engagement. En règle générale, l'école peut donc décider de la réutilisation de matériel pédagogique créé par le corps enseignant, comme les scripts et autres.

Il existe des exceptions pour les œuvres créées à titre privé (et pendant le temps libre), car dans ce cas, le droit d'utilisation de l'auteur reste à l'enseignante ou l'enseignant. Il peut ainsi décider si et où l'œuvre sera réutilisée.

Qu'est-ce qui va changer pour mon école avec l'introduction de la nLPD le 1er septembre 2023? Dois-je agir moi-même en tant que directrice ou directeur d'école et/ou est-ce qu'un autre organisme me soutient?

Le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur. Cette loi s'applique aux autorités fédérales et aux particuliers, mais pas aux organismes cantonaux et communaux, comme c'est le cas pour les écoles publiques. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique en premier lieu.

Il est préférable de vérifier au niveau communal si une école doit adapter quelque chose (par exemple la déclaration de protection des données sur son site web) (à voir aussi notre article sur les «Conséquences de la nouvelle loi sur la protection des données pour les écoles»).

Quels sont les principaux changements dont nous devons tenir compte en tant qu'école privée avec la nouvelle loi sur la protection des données?

Le 1er septembre 2023, la loi fédérale révisée sur la protection des données est entrée en vigueur (nouvelle loi sur la protection des données). Celle-ci ne s'applique qu'aux organes fédéraux et aux personnes privées (y compris les entreprises). Les modifications suivantes s'appliquent pour l'essentiel aux autorités fédérales et aux particuliers (voir également notre article «Conséquences de la nouvelle loi sur la protection des données pour les particuliers et les organes fédéraux») ((Link))):

• Extension du devoir d'informer: une déclaration de protection des données doit notamment être établie, qui mentionne notamment la finalité du traitement et la personne responsable avec ses coordonnées.
• Il existe désormais une obligation de tenir un registre de traitement des données (avec des exceptions).
• Les sanctions ont été renforcées, avec entre autres des amendes pouvant aller jusqu'à CHF 250'000.
• En cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l'école privée (par ex. par le biais de la direction de l'école ou de la personne responsable) doit en informer le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais.