La loi fédérale sur la protection des données a pour but de protéger la personnalité et les droits fondamentaux des personnes physiques au sujet desquelles des données personnelles sont traitées. En particulier, la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement et la destruction de données sont des traitements au sens de la protection des données.

Nouveautés pour les organes fédéraux et les particuliers

Diverses modifications concernant les données personnelles et le devoir d'informer s'appliquent aux autorités fédérales et aux particuliers, ainsi qu'aux entreprises.

  • Devoir d'informer étendu: une déclaration sur la protection des données doit notamment contenir les quatre informations minimales suivantes:
    • but du traitement
    • identité et coordonnées de la personne responsable. Le responsable est une personne privée ou un organe fédéral qui décide de la finalité et des moyens du traitement (seul ou conjointement avec d'autres)
    • indication des personnes auxquelles les données personnelles sont transmises

    • en cas de communication ou de mise à disposition des données à l'étranger: mention du pays et, le cas échéant, des garanties de protection des données personnelles.
  • Registre des activités de traitements: les particuliers et les organes fédéraux ont désormais l'obligation de tenir un registre des activités de traitements de données (exceptions pour les entreprises: activités impliquant moins de 250 collaboratrices et collaborateurs et si le traitement des données comporte un faible risque d'atteinte à la personnalité). Selon la loi sur la protection des données, les indications minimales dans le registre des traitements sont un peu plus complètes que dans la déclaration sur la protection des données. Par exemple, la durée de conservation des données personnelles doit être indiquée. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) dresse la liste des informations qui doivent être saisies dans le registre des traitements.
  • Renforcement des sanctions: de nouvelles sanctions sont prévues, notamment des amendes pouvant aller jusqu'à 250 000 CHF. Il est d'autant plus important de répondre correctement aux demandes d'accès, de respecter les règles relatives à la communication de données à l'étranger lors d'un sous-traitement de données.
  • Annonce d'une violation de la sécurité des données: en cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée (par ex. si des données personnelles sont rendues accessibles à des personnes non autorisées), le PFPDT doit être informé le plus rapidement possible. Il existe également un devoir d'information envers les personnes concernées. Un risque est évalué en fonction de ses causes, des dangers, des mesures prises ou prévues pour réduire le risque et de la probabilité ou de la gravité d'une violation de la sécurité des données malgré les mesures prises ou prévues.
  • Analyse d'impact relative à la protection des données personnelles (AIPD): une AIPD doit être établie préalablement à un traitement de données pouvant entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L'AIPD est un instrument qui permet d'identifier et d'évaluer les risques potentiels et d'indiquer les mesures à prendre. Le PFPDT met à disposition des informations détaillées ainsi qu'un aide-mémoire concernant l'AIPD.
  • Sous-traitance: si les entreprises ou les autorités fédérales font appel à des tiers (par ex. externalisation vers le cloud), le sous-traitant doit pouvoir garantir la sécurité des données au même titre que le responsable de traitement. Le cas échéant, un contrat de sous-traitance

Distinction importante entre le droit fédéral et le droit cantonal dans le domaine de la protection des données

La loi fédérale révisée sur la protection des données s'applique – comme l'ancienne loi sur la protection des données – uniquement au traitement de données par les autorités fédérales et les personnes privées, à l'exclusion des organismes cantonaux et communaux. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique, comme jusqu'à présent. Nous avons également examiné les conséquences de la nouvelle loi sur la protection des données pour les écoles publiques

 

.

Articles associés

Qu'est-ce que le fédéralisme suisse a en commun avec la blockchain? Les deux mettent l'accent sur l'autodétermination des petites unités. Lors de notre colloque 2023 sur le thème «blockchains dans la formation», nous nous pencherons sur cette tendance à l'autodétermination. Nous examinerons aussi les significations possibles pour le système éducatif, qui a fait ses preuves en matière de fédéralisme.

Afin de développer la future politique d'utilisation des données pour l'espace suisse de formation, nous avons créé un programme pour les projets d'utilisation des données. Nous avons demandé aux personnes concernées pourquoi elles étaient intéressées à participer à notre programme.

Les infrastructures et technologies innovantes stimulent la numérisation dans le système éducatif. Notre colloque 2023 fait le point sur les «blockchains dans la formation», devient interactif et rend les bases tangibles. Comme dans notre vidéo, David pourrait à l'avenir recevoir son contrôle de compétences via une connexion directe et cryptée.

Jessica Dehler Zufferey, directrice exécutive du LEARN, Center for Learning Sciences, de l'EPFL, nous explique pourquoi il faut des données pour façonner l'éducation et quels sont les avantages d'accompagner les projets de formation par une recherche empirique.