La loi fédérale sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données. La loi actuelle date de 1992, lorsque l'Internet n'était pas encore utilisé à des fins commerciales et que la réalité numérique d'aujourd'hui n'était pas prévisible. La nouvelle loi sur la protection des données tient compte de l'évolution de la situation. En outre, la nLPD remplit également le but d'harmoniser la loi sur la protection des données avec le règlement général sur la protection des données (RGPD) de l'Union européenne. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller si les dispositions fédérales en matière de protection des données sont respectées.
Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données
La nouvelle loi fédérale sur la protection des données s'applique – comme jusqu'à présent l'actuelle loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées (y compris les entreprises), mais pas par les organismes cantonaux et communaux. Les écoles publiques sont des institutions cantonales ou communales. Elles sont donc soumises à la loi cantonale sur la protection des données, par exemple la loi sur la protection des données personnelles (LPrD) dans le canton de Vaud ou la loi sur la protection des données (LCPD) dans le canton de Neuchâtel.
Mesures dans les écoles publiques
En soi, les écoles publiques ne sont donc pas concernées par la nouvelle loi sur la protection des données. Néanmoins, il convient d'accorder suffisamment d'attention au droit cantonal applicable en matière de protection des données, d'aborder les questions en suspens et de mettre en œuvre des solutions en conséquence.
Pour l'école obligatoire et le degré secondaire II (formation professionnelle ou gymnase), il convient d'examiner au niveau communal ou cantonal si quelque chose doit être adapté en ce qui concerne la protection des données à l'école. Une mesure possible est par exemple la nomination par l'école d'une conseillère ou d'un conseiller à la protection des données par l'école.
Traitement des données par des entreprises privées
La nouvelle loi sur la protection des données s'applique aux écoles privées, aux entreprises Ed-Tech ou aux institutions similaires. Dans ce contexte, il y a un certain nombre de changements importants à prendre en compte. Les plus importante sont:
- Elargissement du champ d'application: les données génétiques et biométriques sont désormais également considérées comme sensibles.
- Amélioration de la transparence: informations claires sur chaque collecte de données, l'identité et les coordonnées de la personne responsable du traitement des données, la finalité du traitement, les (catégories de) destinataires et le pays de destination en cas d'exportation des données à l'étranger, ainsi qu'une communication claire des droits et des possibilités des utilisatrices et utilisateurs.
- Registre des activités de traitement: les entreprises doivent tenir un registre des activités de traitement contenant les informations prescrites. En revanche, l'obligation de tenir un registre des collectes de données est supprimée.
- Analyse d'impact relative à la protection des données personnelles: lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, les entreprises sont désormais tenues d'effectuer une analyse d’impact (documentée) relative à la protection des données personnelles.
- Privacy by Design et by Default: les principes actuels de protection et de traitement des données doivent être intégrés dès le début, c'est-à-dire dès la planification et la conception des applications.
- Profilage: la nLPD réglemente également le profilage, c'est-à-dire le traitement automatisé des données dans le but d'évaluer certains aspects personnels d'une personne tels que sa situation économique, sa santé, ses intérêts, son comportement, son lieu de résidence, etc. Contrairement au RGPD, la nLPD ne prévoit pas d'obligation générale d'obtenir un consentement. Celle-ci n'existe qu'en cas de profilage à haut risque.
- Des conséquences plus sévères: Le PFPDT dispose de plus de pouvoirs pour appliquer plus rapidement des sanctions à l'encontre des entreprises fautives. Dans l'ensemble, les dispositions pénales sont plus sévères.
- Obligation d'annonce: signaler immédiatement les violations de la protection des données au PFPDT.
Sanctions pénales
Dans la nouvelle loi sur la protection des données, les exigences en matière de règles pénales et de sanctions sont plus élevées. En outre, les amendes sont moins sévères que celles prévues par le RGPD de l'UE.
Aide concernant les risques liés à la protection des données
Dans le cadre du développement d'une politique d'utilisation des données, nous évaluons le besoin de soutien dans le système éducatif pour identifier et évaluer les risques liés à la protection des données. Nous mettons à disposition deux outils permettant aux écoles d'identifier les risques en matière de protection des données et d'améliorer de manière ciblée le niveau de protection des données. Deux perspectives sont considérées dans ce contexte: l'une orientée vers les données avec le «registre des activités de traitement» et l'autre orientée vers les applications avec une «liste de contrôle des applications».
En outre, nous gérons un guichet pour les questions relatives au traitement des données. Nous soutenons les écoles et l'administration de l'éducation dans les domaines de l'utilisation et de la protection des données. Dans ce cadre, nous avons déjà répondu à des questions sur la nouvelle loi sur la protection des données. Plusieurs cantons proposent en outre du matériel d'information sur la protection des données.