Préposé à la protection des données et transparence Jura-Neuchâtel

Informatique

Protection des données

  

  

Prises de position sommaires du PPDT

2023 - 2022 - 2021 - 2018 - 2017 - 2015 - 2014 - 2013

  1. Lorsqu’une entité ne répond pas à une demande fondée sur la CPDT-JUNE rapidement, comme les art. 39 et 76 CPDT-JUNE le prévoient, la partie demanderesse peut demander au PPDT la tenue d’une séance de conciliation (art. 40 CPDT-JUNE) (voir modèles) (dossier 2023.4954).

  2. Selon la loi cantonale sur la géoinformation, et plus particulièrement son ordonnance, le nom des propriétaires est accessible par l’intermédiaire du Géoportail JU ou du Guichet cartographique NE, conformément au droit fédéral (dossier 2022.4174).

  3. L’emploi du temps professionnel des membres de la fonction publique est transparent. Autrement dit, il est accessible à tout un chacun. En d’autres termes, les règles de protection des données ne s’appliquent pas dans un tel cas, à commencer par celle relative au lieu d’hébergement. Par conséquent, il n’y a pas de contre-indication à l’utilisation de Framadate, selon les conditions contractuelles du 13.05.2022, (dossier 2022.4283).

  4. Selon les conditions contractuelles du 30.05.2022, et dans la mesure où l’application Wiris Quizzes for Moodle ne récolte absolument aucune donnée personnelle, il n’y a pas de contre-indication à l’utilisation (dossier 2022.4302).

  5. Au regard de la politique de confidentialité du fournisseur et sans règles d’utilisation particulières, l’application Kailo-edu n’est pas utilisable dans le respect des règles de protection des données, selon les conditions contractuelles du 30.05.2022 (dossier 2022.4306).

  6. Selon les conditions contractuelles du 31.05.2022, l’application Algopyhton peut être utilisée conformément aux règles de protection des données, sous réserve que l’enseignant crée un compte pour lui et les élèves, en utilisant des pseudos non significatifs pour ces derniers et sans adresse e-mail (dossier 2022.4309).

  7. Selon les conditions contractuelles du 02.09.2022, la plateforme La Digitale  https://ladigitale.dev/ hébergée en Suisse peut être utilisée, pour autant que le service informatique concerné confirme que les standards usuels de sécurité sont respectés, selon les conditions contractuelles du 02.09.2022 (dossier 2022.4416).

  8. Selon les conditions contractuelles du 10.03.2022, l'application DeeplPro payante est en principe conforme à la protection données, sous réserve que plusieurs conditions soient remplies. Faute d’une analyse de risques approfondie garantissant qu’il n’y a aucun risque à communiquer des données confidentielles ou/et personnelles, le respect du principe de précaution impose de restreindre l’utilisation de DeeplPro à l’aide de directives, en étendant la limitation d’utilisation aux données personnelles (dossier 2022.4193).

  9. L'application Zoom payante est, en principe, conforme à la protection données, sous réserve que plusieurs conditions soient remplies, y compris celles pour les clouds. Le produit Zoom gratuit ne répond pas aux exigences des règles suisses de protection des données, selon les conditions contractuelles du 12.01.2022 (dossier 2022.4106).

  10. L'application anti-virus Trend Micro System est en principe conforme à la protection des données, dans la mesure où il n'y a pas de données personnelles traitées, , selon les conditions contractuelles du 28.01.2022 (dossier 2022.4119).

  11. Il est permis de journaliser les activés des collaborateurs lors de l'utilisation des applications, mais la mise en place et l'utilisation doit préalablement être cadrée, et annoncée, à l'image de la Loi sur le personnel JU (dossier 2022.4133).

  12. L’application Padlet n’offre pour l’instant pas les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Pour parer à ces exigences juridiques, il faudrait que les utilisateurs puissent rester anonymes ou que la Suisse reconnaisse à nouveau les USA comme un pays offrant une protection équivalente. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 18.10.2021 (dossier 2021.3970).

  13. L’application Pix peut être utilisée, sous réserve d’indiquer clairement et préalablement aux utilisateurs : le lieu de situation du service, le nom du fournisseur de service, les données récoltées ainsi que les finalités, selon les conditions contractuelles du 19.10.2021 (dossier 2021.3970).

  14. L’application Kahoot n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Elle peut être utilisée pour autant que l’accès à un quiz ne se fasse pas avec la création d’un compte par les élèves. Ces derniers ne doivent pouvoir se connecter sur l’application qu’en entrant le code PIN du quizz créé par leur enseignant, en s’identifiant à l’aide d’un prénom fictif d’utilisateur. De plus, les résultats des exercices ne pourront pas être associés facilement à un élève. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 20.10.2021 (dossier 2021.3970).

  15. L’application Quizlet n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Le principe de la proportionnalité impose que d’autres produits plus respectueux de la protection des données soient utilisés, vue que l'offre en la matière existe, selon les conditions contractuelles du 21.10.2021 (dossier 2021.3970).

  16. L’application Active Presenter n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une utilisation est possible si les étudiants/élèves restent anonymes, en ne livrant pas de données personnelles reconnaissables pour se connecter et si l’utilisation se fait exclusivement depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 29.11.2021 (dossier 2021.4034).

  17. L’application BlinkLearning n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une possibilité pour une utilisation conforme aux règles de protection des données serait le chiffrement des données selon les standards usuels, avec la conservation de la clef par l’entité responsable du traitement, selon les conditions contractuelles du 02.09.2021 (dossier 2021.3918).

  18. Une plateforme en ligne pour le parascolaire nécessite une base légale adoptée par l’organe législatif; les collaborateurs et les conseillers communaux n’ont accès qu’aux données qui leur sont nécessaires. L’application ou les instructions doivent être adaptées en conséquence (dossier 2020.3559).

  19. Il n’est pas conseillé aux entités de s’engager à respecter le RGPD. Les obligations imposées par ce dernier sont plus exigeantes et onéreuses que celles prévues dans la CPDT-JUNE (dossier 2021.4061).

  20. Un centre de loisir communal situé dans une zone frontière et fréquenté par des frontaliers n’est pas soumis au RGPD si son site internet ne cible pas expressément cette clientèle. Pour plus de détails, voir l’avis 2018.2320 (dossier 2020.3468).

  21. Conformément à plusieurs règles de la protection des données, il n'est pas autorisé de transférer les e-mails professionnels contenant des données personnelles sur une messagerie privée, excepté si cette dernière offre le même degré de sécurité et de confidentialité que la professionnelle. Il est vivement conseillé aux responsables d'entités d'intégrer ce passage dans leurs directives informatiques : « Il est interdit à l’utilisateur de procéder à la redirection automatique des messages émis ou reçus vers un compte de messagerie personnelle » (dossier 2018.2462).

  22. Les écoles peuvent utiliser Microsoft Office365, pour autant qu'elles utilisent le contrat spécial prévu à cet effet, disponible auprès d'Educa.ch et qu'elles se limitent aux applications figurant dans liste disponible auprès du PPDT (dossier 2018.2465).

  23. L'accès en ligne à la BDP par des entités soumises à la CPDT-JUNE doit être prévu dans une base légale ou par un accord exprès du Conseil d'Etat. Il doit également respecter les principes généraux des règles de la protection des données (dossier 2018.2153).

  24. Le PPDT a eu l'occasion de rappeler que selon la loi, il est chargé de surveiller l'application des règles, promouvoir la protection des données et la transparence, mais pas de choisir entre plusieurs solutions informatiques respectant de manière équivalente les règles de la protection des données (dossier 2017.1755).

  25. Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe Harbor (dossier 2015.1017).

  26. Le Service des ressources humaines jurassien est en droit d'utiliser le système d'information Biings pour communiquer les informations aux assureurs maladies et accidents. Il veillera à ne communiquer que les données nécessaires au traitement des sinistres. Le service informatique veillera quant à lui que les exigences de sécurité soient respectées (dossier 2014.0840).

  27. Le service informatique de l'école obligatoire est en droit de décrypter les requêtes Google pour ensuite les recrypter afin d'éviter l'accès des élèves à des sites qui ne leur sont pas destinés (dossier 2014.0680).

  28. Les rapports d'audit sur le fonctionnement de l'administration sont en principe accessibles, sauf si des exceptions sont réalisées (dossier 2013.0559).

  29. L'utilisation de formulaire Google Drive n'est pas conforme aux règles sur la protection des données si des données personnelles sont saisies, telles que, par exemple, les motifs d'absence d'enseignants ou d'élèves (dossier 2013.0558).

  30. Les entités soumises à la CPDT-JUNE ne peuvent pas migrer leur messagerie dans un cloud, sans prendre beaucoup de précautions contractuelles (dossier 2013.0538).

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.