La loi fédérale sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données. La loi actuelle date de 1992, lorsque l'Internet n'était pas encore utilisé à des fins commerciales et que la réalité numérique d'aujourd'hui n'était pas prévisible. La nouvelle loi sur la protection des données tient compte de l'évolution de la situation. En outre, la nLPD remplit également le but d'harmoniser la loi sur la protection des données avec le règlement général sur la protection des données (RGPD) de l'Union européenne. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de surveiller si les dispositions fédérales en matière de protection des données sont respectées.

Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données

La nouvelle loi fédérale sur la protection des données s'applique – comme jusqu'à présent l'actuelle loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées (y compris les entreprises), mais pas par les organismes cantonaux et communaux. Les écoles publiques sont des institutions cantonales ou communales. Elles sont donc soumises à la loi cantonale sur la protection des données, par exemple la loi sur la protection des données personnelles (LPrD) dans le canton de Vaud ou la loi sur la protection des données (LCPD) dans le canton de Neuchâtel.

Mesures dans les écoles publiques

En soi, les écoles publiques ne sont donc pas concernées par la nouvelle loi sur la protection des données. Néanmoins, il convient d'accorder suffisamment d'attention au droit cantonal applicable en matière de protection des données, d'aborder les questions en suspens et de mettre en œuvre des solutions en conséquence.

Pour l'école obligatoire et le degré secondaire II (formation professionnelle ou gymnase), il convient d'examiner au niveau communal ou cantonal si quelque chose doit être adapté en ce qui concerne la protection des données à l'école. Une mesure possible est par exemple la nomination par l'école d'une conseillère ou d'un conseiller à la protection des données par l'école.

Traitement des données par des entreprises privées

La nouvelle loi sur la protection des données s'applique aux écoles privées, aux entreprises Ed-Tech ou aux institutions similaires. Dans ce contexte, il y a un certain nombre de changements importants à prendre en compte. Les plus importante sont:

  • Elargissement du champ d'application: les données génétiques et biométriques sont désormais également considérées comme sensibles.
  • Amélioration de la transparence: informations claires sur chaque collecte de données, l'identité et les coordonnées de la personne responsable du traitement des données, la finalité du traitement, les (catégories de) destinataires et le pays de destination en cas d'exportation des données à l'étranger, ainsi qu'une communication claire des droits et des possibilités des utilisatrices et utilisateurs.
  • Registre des activités de traitement: les entreprises doivent tenir un registre des activités de traitement contenant les informations prescrites. En revanche, l'obligation de tenir un registre des collectes de données est supprimée.
  • Analyse d'impact relative à la protection des données personnelles: lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la per­sonnalité ou les droits fondamentaux de la personne concernée, les entreprises sont désormais tenues d'effectuer une analyse d’impact (documentée) relative à la protection des données personnelles.
  • Privacy by Design et by Default: les principes actuels de protection et de traitement des données doivent être intégrés dès le début, c'est-à-dire dès la planification et la conception des applications.
  • Profilage: la nLPD réglemente également le profilage, c'est-à-dire le traitement automatisé des données dans le but d'évaluer certains aspects personnels d'une personne tels que sa situation économique, sa santé, ses intérêts, son comportement, son lieu de résidence, etc. Contrairement au RGPD, la nLPD ne prévoit pas d'obligation générale d'obtenir un consentement. Celle-ci n'existe qu'en cas de profilage à haut risque.
  • Des conséquences plus sévères: Le PFPDT dispose de plus de pouvoirs pour appliquer plus rapidement des sanctions à l'encontre des entreprises fautives. Dans l'ensemble, les dispositions pénales sont plus sévères.
  • Obligation d'annonce: signaler immédiatement les violations de la protection des données au PFPDT.

Sanctions pénales

Dans la nouvelle loi sur la protection des données, les exigences en matière de règles pénales et de sanctions sont plus élevées. En outre, les amendes sont moins sévères que celles prévues par le RGPD de l'UE.

Aide concernant les risques liés à la protection des données

Dans le cadre du développement d'une politique d'utilisation des données, nous évaluons actuellement le besoin de soutien dans le système éducatif pour identifier et évaluer les risques liés à la protection des données. L'objectif est de développer des outils qui facilitent par exemple la réalisation d'une analyse d'impact relative à la protection des données personnelles.

En outre, nous gérons un guichet pour les questions relatives au traitement des données. Nous soutenons les écoles et l'administration de l'éducation dans les domaines de l'utilisation et de la protection des données. Dans ce cadre, nous avons déjà répondu à des questions sur la nouvelle loi sur la protection des données. Plusieurs cantons proposent en outre du matériel d'information sur la protection des données.

Articles associés

Pour une politique d'utilisation des données qui tienne également compte des questions d'équité en matière d'éducation, il faut un dialogue avec toutes les parties prenantes: la recherche, l'environnement scolaire, les entreprises EdTech et l'administration de l'éducation. Le prof. Dr Kenneth Horvath, directeur du projet de recherche «Algorithmic Sorting in Education» à la HEP de Zurich, l'explique dans sa contribution.

Jessica Dehler Zufferey, directrice exécutive du LEARN, Center for Learning Sciences, de l'EPFL, nous explique pourquoi il faut des données pour façonner l'éducation et quels sont les avantages d'accompagner les projets de formation par une recherche empirique.

La collaboration avec des projets d'utilisation des données nous permet d'éclairer l'écosystème des «données de l'éducation» à l'aide de cas concrets issus de la pratique et de tester des solutions à la croisée des différents groupes d'intérêts. Les expériences faites jusqu'à présent le montrent: malgré toute l'hétérogénéité, les mêmes questions préoccupent.

Qu'est-ce que le fédéralisme suisse a en commun avec la blockchain? Les deux mettent l'accent sur l'autodétermination des petites unités. Lors de notre colloque 2023 sur le thème «blockchains dans la formation», nous nous pencherons sur cette tendance à l'autodétermination. Nous examinerons aussi les significations possibles pour le système éducatif, qui a fait ses preuves en matière de fédéralisme.