Ecoles et formations

Les infirmières scolaires, traitant des informations connues alors qu’elles n'étaient pas sous la responsabilité d’un médecin, sont en principe soumises au secret de fonction. Selon l’art. 170 du Code de procédure pénale, celles-ci doivent obtenir l’autorisation écrite de leur autorité d’engagement pour répondre à des questions des autorités pénales (dossier 2022.4346).

Sous réserve du respect de certaines conditions, il est possible de faire remonter les données d’élèves ukrainiens dans CLOEE depuis la BPD (dossier 2022.4198).

Il n’est pas possible d’utiliser l’empreinte digitale des enfants pour l’accès à des services scolaires, du moins sans loi adoptée par le législateur. De plus, le cas échéant, il faut respecter le principe de la proportionnalité. A ce sujet, Le PFPDT avait déjà pris clairement position à ce sujet dans un avis et a particulièrement recommandé « qu’une solution de rechange, sans relevé de données biométriques, soit proposée aux clients aux mêmes coûts, et que les données biométriques des autres clients, au lieu d’être enregistrées de façon centralisée, soient stockées sur une carte à puce conservée par l’abonné. Le PFPDT a également insisté sur la nécessité de fixer des délais d’effacement des données et des modèles qui se rapportent aux clients, de même que sur l’importance de rendre anonymes les données transactionnelles. ». Voir aussi cette page (dossier 2022.4217).

L’emploi du temps professionnel des membres de la fonction publique est transparent. Autrement dit, il est accessible à tout un chacun. En d’autres termes, les règles de protection des données ne s’appliquent pas dans un tel cas, à commencer par celle relative au lieu d’hébergement. Par conséquent, il n’y a pas de contre-indication à l’utilisation de Framadate, selon les conditions contractuelles du 13.05.2022, (dossier 2022.4283).

Selon les conditions contractuelles du 30.05.2022, et dans la mesure où l’application Wiris Quizzes for Moodle ne récolte absolument aucune donnée personnelle, il n’y a pas de contre-indication à l’utilisation (dossier 2022.4302).

Au regard de la politique de confidentialité du fournisseur et sans règles d’utilisation particulières, l’application Kailo-edu n’est pas utilisable dans le respect des règles de protection des données, selon les conditions contractuelles du 30.05.2022 (dossier 2022.4306).

Selon les conditions contractuelles du 31.05.2022, l’application Algopyhton peut être utilisée conformément aux règles de protection des données, sous réserve que l’enseignant crée un compte pour lui et les élèves, en utilisant des pseudos non significatifs pour ces derniers et sans adresse e-mail (dossier 2022.4309).

Selon les conditions contractuelles du 02.09.2022, la plateforme La Digitale  https://ladigitale.dev/ hébergée en Suisse peut être utilisée, pour autant que le service informatique concerné confirme que les standards usuels de sécurité sont respectés, selon les conditions contractuelles du 02.09.2022 (dossier 2022.4416).

Il appartient aux employeurs de demander directement à leurs employés s'ils ont suivi un cours de formation continue ou non, et non pas de s'adresser directement à l'organisateur (dossier 2022.4164).

L'application Zoom payante est, en principe, conforme à la protection données, sous réserve que plusieurs conditions soient remplies, y compris celles pour les clouds. Le produit Zoom gratuit ne répond pas aux exigences des règles suisses de protection des données (dossier 2022.4106).

Les adresses courriels professionnelles des enseignants peuvent être utilisées comme identifiant pour une plateforme et cette dernière devra, en principe, être utilisée depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP) (dossier 2021.4060).

Les écoles sont en droit de demander un extrait spécial du casier judiciaire aux personnes entourant les élèves/étudiants d’un camp extra muros (dossier 2021.4055).

L’application Padlet n’offre pour l’instant pas les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Pour parer à ces exigences juridiques, il faudrait que les utilisateurs puissent rester anonymes ou que la Suisse reconnaisse à nouveau les USA comme un pays offrant une protection équivalente. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 18.10.2021 (dossier 2021.3970).

L’application Pix peut être utilisée, sous réserve d’indiquer clairement et préalablement aux utilisateurs : le lieu de situation du service, le nom du fournisseur de service, les données récoltées ainsi que les finalités, selon les conditions contractuelles du 19.10.2021 (dossier 2021.3970).

L’application Kahoot n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Elle peut être utilisée pour autant que l’accès à un quiz ne se fasse pas avec la création d’un compte par les élèves. Ces derniers ne doivent pouvoir se connecter sur l’application qu’en entrant le code PIN du quizz créé par leur enseignant, en s’identifiant à l’aide d’un prénom fictif d’utilisateur. De plus, les résultats des exercices ne pourront pas être associés facilement à un élève. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 20.10.2021 (dossier 2021.3970).

L’application Quizlet n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Le principe de la proportionnalité impose que d’autres produits plus respectueux de la protection des données soient utilisés, vue que l'offre en la matière existe, selon les conditions contractuelles du 21.10.2021 (dossier 2021.3970).

L’application Active Presenter n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une utilisation est possible si les étudiants/élèves restent anonymes, en ne livrant pas de données personnelles reconnaissables pour se connecter et si l’utilisation se fait exclusivement depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 29.11.2021 (dossier 2021.4034).

L’application BlinkLearning n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une possibilité pour une utilisation conforme aux règles de protection des données serait le chiffrement des données selon les standards usuels, avec la conservation de la clef par l’entité responsable du traitement, selon les conditions contractuelles du 02.09.2021 (dossier 2021.3918).

Les règles de protection des données n’interdisent pas l’utilisation de clefs USB. Cependant, comme le fait la CNIL, il est préconisé une utilisation limitée à l’indispensable. Il est aussi recommandé le contrôle de l’usage des ports USB sur les postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues dans un fichier. A relever que la campagne de l’administration fédérale à propos de la sécurité informatique va dans le même sens (dossier 2021.3962).

L’accès à un système d’information d’une entité par une autre doit répondre à plusieurs conditions, dont les deux principales sont la nécessité et l’autorisation de l’organe exécutif compétent (art. 28 CPDT-JUNE) (dossier 2021.3806).

Par déduction de l’application de l’art. 275a CC, la personne détentrice de l’autorité parentale, sans avoir la garde de l’enfant, est en principe en droit de recueillir auprès de tiers qui participent à la prise en charge de l’enfant, notamment auprès de ses enseignants ou de son médecin, des renseignements sur son état et son développement (dossier 2021.3911).

Une école ne peut pas communiquer des horaires nominatifs d'élèves aux formateurs par l’intermédiaire d’internet. Une telle communication revient, faute de protection technique adéquate, à une diffusion de données personnelles sur internet. Certes, les art. 38 et 57a Règlement d’application de la loi sur la formation professionnelle prévoient effectivement la communication aux formateurs, mais ils doivent être appliqués à la lumière des articles 16 et 20 CPDT-JUNE. Ces derniers imposent que les entités ne peuvent communiquer que si une base légale le prévoit et doivent s'assurer que les données sont protégées contre un emploi abusif, en prenant des mesures organisationnelles et techniques appropriées. En l’occurrence, aucune loi ne permet de communiquer des horaires nominatifs sur internet (dossier 2021.3820).

Compte tenu des missions de contrôle attribuées aux autorités scolaires pour s’assurer que les conditions d’attribution d’un congé sont respectées, ces dernières sont en droit d’utiliser des informations venues à leur connaissance par l’intermédiaire de What’s app, avec le consentement des personnes concernées (dossier 2020.3165).

L’énumération des données sensibles figure à l’article 14 CPDT-JUNE et des précisions sont données sur cette page. Ce catalogue est imposé par la Convention 108 du Conseil de l’Europe ou dans la directive européenne Schengen-Dublin. Les notes des élèves « stricto sensu » ne sont pas relatives à la santé. Si tel était le cas, il faudrait alors aussi juger que la couleur des habits ou d’une voiture donne des pistes sur le profil psychologique de leurs propriétaires. En revanche, il faut examiner au cas par cas les rapports d’évaluation pour déterminer s’il en ressort ou non des données relatives à la santé de l’élève. Si d’aventure il est évoqué, par exemple, une dyslexie, son contenu devient sensible (dossier 2019.2820).

Selon l’avis du 29 juin 2018 les écoles jurassiennes ne sont pas en droit de communiquer la religion des élèves aux Églises. Par conséquent, les règles de protection des données ne permettent pas de récolter une telle donnée, avec ou sans le consentement des personnes concernées (dossier 2019.2659).

Les écoles peuvent utiliser Microsoft Office365, pour autant qu'elles utilisent le contrat spécial prévu à cet effet, disponible auprès d'Educa.ch et qu'elles se limitent aux applications figurant dans liste disponible auprès du PPDT (dossier 2018.2465).

Une liste d'élèves peut être communiquée à une fondation pour la remise d'un prix, pour autant que ceux-ci en soient préalablement informés par l'intermédiaire du formulaire d'inscription (dossier 2018.2299).

Les cercles scolaires ne sont pas en droit d'accéder à ETIC pour obtenir des informations qu'ils pourraient demander directement aux représentants légaux (dossier 2018.2318).

Excepté si une école du secondaire II fait du recrutement « actif » d’étudiants au sein de l’Union européenne, elle n’est en principe pas concernée par le RGPD. Le fait que l'école accueille des ressortissants de l’UE ne suffit pas pour être soumis au RGPD. Autrement dit, il faut aller "recruter" activement et pas seulement les accueillir (dossier 2018.2187).

La liste des participants à un camp Jeunesse+Sports ne peut être communiquée qu'aux personnes qui en ont besoin et avec l'accord préalable des personnes concernées (dossier 2018.2144).

Une caisse de chômage peut se prévaloir de l’article 32 LPGA pour demander des renseignements à une école sur un apprenti. Cette règle fédérale constitue la base légale suffisante exigée par l’article 25 CPDT-JUNE pour légitimer un tel traitement de données. De plus, celle-ci n’offre pas simplement la possibilité de répondre, mais oblige les autorités cantonales à communiquer les données. Toutefois, l'entité sollicitée doit néanmoins juger, avant de répondre, si le principe de la proportionnalité est respecté. C’est-à-dire s'assurer que les données demandées sont à priori propres à effectuer les tâches légales du destinataire (dossier 2017.1812).

Il n'est pas possible de faire figurer le handicap (physique, dyslexie, dysorthographie…) nécessitant des mesures particulières dans les listes de classe d'élèves (dossier 2015.1194).

Pour filmer/photographier des élèves/étudiants de plus de 12 ans, il est nécessaire d'avoir préalablement leur consentement (dossier 2016.1644).

Les écoles ne sont pas en droit du publier sur internet/intranet/mur de l'école/… la liste des élèves ayant leur anniversaire, sans avoir préalablement obtenu leur consentement (dossier 2015.1268).

Les écoles ne sont pas en droit d'échanger ou communiquer des données personnelles d'élèves avec des établissements hors canton, sans le consentement de l'élève concerné, ou que le secret de fonction soit levé (dossier 2015.1251).

Les autorités scolaires cantonales sont en droit de contrôler le statut vaccinal des élèves (art. 58 Loi sur les épidémies (LEp), RS 818.101). Usuellement, il appartient à l'infirmerie scolaire d'effectuer le contrôle (dossier 2015.1187).

La communication de la liste des personnes inscrites à l'ensemble des participants à un cours est conforme aux règles sur la protection des données. Elle repose sur le consentement tacite des personnes inscrites. Il est admis que l’usage d’établir des listes de participants est traditionnellement pratiqué et que la personne qui s’inscrit doit s’attendre à y figurer et à la transmission de cette liste. Si elle ne le souhaite pas, elle doit faire la démarche pour y faire enlever son nom (dossier 2015.1137).

Une entité peut récolter le numéro de téléphone mobile et l'adresse e-mail privée pour autant que les personnes concernées y consentent et soient suffisamment informées des modalités du traitement de données (dossier 2013.0421 et 2013.0420).

En principe, il serait bien d'obtenir le consentement exprès d'une personne lorsqu'il est prévu de publier sur internet, ou dans d'autres médias, des résultats ou la remise d'un prix. Cette solution devrait être favorisée par rapport à celle de la présomption du consentement tacite (dossier 2012.0359).

Les directions d'école et les services de l'enseignement ne sont pas en droit de recevoir la liste des enseignants ayant suivi une formation obligatoire à la HEP-BEJUNE. Conformément au principe de la proportionnalité, il appartient aux enseignants d'apporter les justificatifs (dossier 2015.1115).

Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe-Harbord (dossier 2015.1017).

Les lycées cantonaux ne sont pas en droit de récolter la liste des élèves susceptibles de remplir les conditions pour s'y inscrire (dossier 2014.0814).

Les Conseils d'établissement scolaire sont en droit de récolter des listes d'élèves que si elles sont nécessaires pour l'accomplissement d'une tâche légale. Or, il semblerait que cette dernière n'existe pas (dossier 2014.0791).

Le service informatique de l'école obligatoire est en droit de décrypter les requêtes Google pour ensuite les recrypter afin d'éviter l'accès des élèves à des sites qui ne leur sont pas destinés (dossier 2014.0680).

Les services de la formation professionnelle sont en droit de livrer des données à l'IFFP lorsqu'il s'agit d'une recherche et que les conditions de conditions de l'article 53 CPDT-JUNE sont remplies (dossier 2014.0682).

L'utilisation de formulaire Google Drive n'est pas conforme aux règles sur la protection des données si des données personnelles sont saisies, telles que, par exemple, les motifs d'absence d'enseignants ou d'élèves (dossier 2013.0558).

Le Conservatoire de musique neuchâtelois ayant pour tâche le développement de la culture musicale en général (art. 2 LCMN, RSN 451.20), il est en droit de recevoir une liste comprenant, les noms, adresses et dates de naissance d'enfants susceptibles d'être intéressés (dossier 2013.0426).          

Le cahier des charges des enseignants est un document officiel accessible, pour autant qu'il soit anonymisé (dossier 2018.2169).

Les contrats passés entre les bibliothèques universitaires et des éditeurs sont des documents accessibles (dossier 2016.1375).

Une lettre envoyée par le service des communes à une commune concernant des comptes annuels communaux est un document officiel accessible (dossier 2016.1428).

Une liste d'anciens élèves figurant dans un registre d'école est une archive accessible après le délai ordinaire de protection de 30 ans (dossier 2014.0852).