Protection des données personnelles

Trois exemples pour illustrer la protection des données personnelles dans le cadre scolaire

1. Stockage en ligne dans les nuages tels que Google Drive, Dropbox, SkyDrive, iCloud, …

nuage

Est-ce qu’un membre du corps enseignant ou d’une direction d’école peut déposer des ressources dans un service de stockage en ligne ?
La Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE) ne permet pas le stockage en ligne de données personnelles professionnelles (fichiers, images, vidéos, etc.). La plupart des services de stockage en ligne pour les particuliers ne garantissent pas la totale confidentialité des données et leurs sites d’hébergement ne sont pas basés en Suisse ou dans l’Union Européenne.

Quel est le risque ? En mettant des informations dans de tels services de stockage en ligne, on participe implicitement au profilage des personnes. Les informations déposées pourraient être utilisées par un potentiel employeur, créancier, publicitaire ou par une administration étrangère. Par exemple, un document déposé dans un service de stockage en ligne qui mentionnerait le comportement violent d’un élève pourrait entraîner son interdiction d’entrée sur le territoire des Etats-Unis sans que les raisons lui soient expliquées. Cette éventualité n’est plus de la science-fiction, les cas concrets se multiplient. De plus, en cas de fuite ou de vol de données, les éventuels préjudices sont sous la responsabilité exclusive de celui qui les a déposées.

Quel pourrait être un préjudice poursuivi ?
La personne concernée (élève ou enseignant) par le vol de ses données stockées chez un fournisseur en ligne pourrait poursuivre la personne qui les a déposées sur un serveur ne présentant pas toutes les garanties d’usage. Le préjudice serait évalué en fonction des pertes estimées (assurances vies, activités
professionnelles, pertes de gains, etc.) par la publication de données personnelles et/ou sensibles.

Que propose le Réseau pédagogique neuchâtelois (RPN) ?
– Le dispositif RPNomade permet un accès sécurisé aux données pour tous les adultes titulaires d’un compte RPN et ceci depuis tout ordinateur connecté à Internet.
– Le partage de fichiers est possible en passant par les dossiers P:\Tous ou P:\Profs de chaque collège. Nous vous encourageons vivement à utiliser ce dispositif et sommes à votre disposition pour vous accompagner dans sa mise en œuvre.
– Pour la récolte de données, nous vous proposons des formulaires en ligne sécurisés. Pour en savoir plus, envoyez un message à oiso@rpn.ch.

Et l’avenir ?
Nous travaillons continuellement à adapter nos services aux nouveaux usages. La question de la mise en place d’un service de stockage en ligne pour le RPN en fait partie.

2. Le transport d’élèves

Un établissement scolaire peut-il transmettre à une société de transport une liste d’élèves comportant les données, nom, prénom et date de naissance ?
Oui, sous conditions. Les institutions soumises à la CPDT-JUNE peuvent, sous conditions, communiquer ces données. Toutefois, cette communication est sous la responsabilité de celui qui communique, soit du maître du fichier. La loi prévoit la possibilité de transférer des données des « sous-traitants ». Dans notre cas, la société de transport est considérée comme « sous-traitant » mandatée par l’école pour assurer le transport des élèves. Dans le droit neuchâtelois, le contrat passé avec la société de transport doit préciser que l’entreprise s’engage :

  • à respecter la loi sur la protection des données en vigueur (au même titre que l’école);
  • ne pas communiquer ces données à d’autres personnes;
  • à les utiliser uniquement pour le transport en question;
  • à détruire la liste des élèves une fois le mandat rempli.

Si la société de transport ne respectait pas les modalités définies, c’est elle qui en supporterait les éventuels préjudices.

Protection des données
personnelles

3. La promotion d’une association de métiers

Un établissement scolaire peut-il transmettre pour la promotion d’une association de métiers une liste d’élèves en fin de scolarité comportant les données, nom, prénom et date de naissance ?
Oui, sous réserve de l’accord du Conseil d’Etat. Les institutions soumises à la CPDT-JUNE peuvent communiquer des données à des fins dites « idéales ». Dans le droit neuchâtelois, le contrat passé avec une association de métiers doit préciser qu’elle s’engage :

  • à respecter la loi sur la protection des données en vigueur (au même titre que
    l’école);
  • à ne pas communiquer ces données à d’autres personnes;
  • à les utiliser uniquement pour l’action de promotion convenue;
  • à détruire la liste des élèves une fois l’action terminée.

Si l’association concernée ne respectait pas les modalités définies, c’est elle qui en supporterait les éventuels préjudices. En revanche, on ne peut pas communiquer des données pour une demande motivée par des besoins commerciaux.

L’OISO se tient à disposition des établissements scolaires pour tout complément.

Article rédigé avec la collaboration de Monsieur Christian Flueckiger, préposé intercantonal à la protection des données et à la transparence, docteur en droit et avocat.

Références