Sécurité
Informations
- Guide de la sécurité des données personnelles (CNIL 2024)
- Recommandations 2023 de l'OFCS
- Bande dessinée d'information à propos de la sécurité
- Explications du PPDT GE sur la sécurité des données
- 10 Conseils en matière de cyberattaque
- Check-liste déchiffrement
- Sécurité informatique - Préposé BE
- Informations du Service des Renseignements Suisse (SRC)
- Fiche d'informations sur la sécurité informatique (Préposée ZG)
- Fiche d'informations sur la sécurité des sites web (Préposée ZH)
- Fiche d'informations sur les solutions informatiques pour l'IT (Préposée ZH)
- Fiche d'informations sur l'offre d'un WLAN public (Préposée ZH)
- Fiches d'informations sur la cybersécurité (canton de Neuchâtel)
Avis publiés par le PPDT
- 2023.12.20_Envoi de gros fichiers à l'administration (2023.4993)
- 2019.05.10_Bonnes pratiques en matière de mots de passe (2019.2715)
- 2017.12.31_Vidéosurveillance du domaine public par des privés (2017.1749 et 2013.0494)
- 2015.08.21_Sécurité de la circulation des e-mails (2015.1175)
- 2015.06.29_Contrôles du taux d'alcoolémie des personnes employées par une commune (2015.1088)
- 2013.09.13_Récolte des fiches d'hôtel (2013.0514)
- 2013.07.26_Délégations de tâches de polices communales à des entreprises privées de sécurité (2013.0532)
- 2013.06.17_Vidéosurveillance installée dans un centre sportif (2011.0237)
- 2013.06.10_Renseignements sur la sécurité intérieure récoltés par les autorités cantonales (2012.0352)
- 2013.05.08_Stockage d'informations dans un cloud (Sky Drive, Google Drive, Dropbox, iCloud) (2013.0388, 0453, 0461)
- 2010.07.27_Communication des coordonnées des détenteurs de véhicules à moteurs (2010.0042)
Prises de position sommaires du PPDT
2023 - 2022 - 2021 - 2018 - 2017 - 2016 - 2014 - 2013 et avant
-
Si une entité ne poste pas de données personnelles (photos de personnes reconnaissables par exemple), l’utilisation d’un réseau social n’échappe que « partiellement » aux exigences des règles de protection des données. C’est-à-dire que, même si l’entité ne publie aucune donnée personnelle, il n’empêche qu’elle n’a aucune garantie que le réseau social ne siphonne pas les données, plus ou moins à l’insu des utilisateurs. Or, en 2018, la Cour de justice de l’UE a déclaré qu’il existait une responsabilité conjointe entre le réseau social et les entreprises utilisant les « Fan page ». Autrement dit, si le réseau social enfreint les règles de protection données, l’entreprise qui a ouvert la page engage aussi sa responsabilité relative aux traitements de données (pour les détails, voir l’avis 2018.2320), (dossier 2023.4975).
-
L’emploi du temps professionnel des membres de la fonction publique est transparent. Autrement dit, il est accessible à tout un chacun. En d’autres termes, les règles de protection des données ne s’appliquent pas dans un tel cas, à commencer par celle relative au lieu d’hébergement. Par conséquent, il n’y a pas de contre-indication à l’utilisation de Framadate, selon les conditions contractuelles du 13.05.2022, (dossier 2022.4283).
-
Selon les conditions contractuelles du 30.05.2022, et dans la mesure où l’application Wiris Quizzes for Moodle ne récolte absolument aucune donnée personnelle, il n’y a pas de contre-indication à l’utilisation (dossier 2022.4302).
-
Au regard de la politique de confidentialité du fournisseur et sans règles d’utilisation particulières, l’application Kailo-edu n’est pas utilisable dans le respect des règles de protection des données, selon les conditions contractuelles du 30.05.2022 (dossier 2022.4306).
-
Selon les conditions contractuelles du 31.05.2022, l’application Algopyhton peut être utilisée conformément aux règles de protection des données, sous réserve que l’enseignant crée un compte pour lui et les élèves, en utilisant des pseudos non significatifs pour ces derniers et sans adresse e-mail (dossier 2022.4309).
-
Selon les conditions contractuelles du 02.09.2022, la plateforme La Digitale https://ladigitale.dev/ hébergée en Suisse peut être utilisée, pour autant que le service informatique concerné confirme que les standards usuels de sécurité sont respectés, selon les conditions contractuelles du 02.09.2022 (dossier 2022.4416).
-
Selon les conditions contractuelles du 10.03.2022, l'application DeeplPro payante est en principe conforme à la protection données, sous réserve que plusieurs conditions soient remplies. Faute d’une analyse de risques approfondie garantissant qu’il n’y a aucun risque à communiquer des données confidentielles ou/et personnelles, le respect du principe de précaution impose de restreindre l’utilisation de DeeplPro à l’aide de directives, en étendant la limitation d’utilisation aux données personnelles (dossier 2022.4193).
-
L'application anti-virus Trend Micro System est en principe conforme à la protection des données, dans la mesure où il n'y a pas de données personnelles traitées, , selon les conditions contractuelles du 28.01.2022 (dossier 2022.4119).
-
L’application Padlet n’offre pour l’instant pas les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Pour parer à ces exigences juridiques, il faudrait que les utilisateurs puissent rester anonymes ou que la Suisse reconnaisse à nouveau les USA comme un pays offrant une protection équivalente. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 18.10.2021 (dossier 2021.3970).
-
L’application Pix peut être utilisée, sous réserve d’indiquer clairement et préalablement aux utilisateurs : le lieu de situation du service, le nom du fournisseur de service, les données récoltées ainsi que les finalités, selon les conditions contractuelles du 19.10.2021 (dossier 2021.3970).
-
L’application Kahoot n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Elle peut être utilisée pour autant que l’accès à un quiz ne se fasse pas avec la création d’un compte par les élèves. Ces derniers ne doivent pouvoir se connecter sur l’application qu’en entrant le code PIN du quizz créé par leur enseignant, en s’identifiant à l’aide d’un prénom fictif d’utilisateur. De plus, les résultats des exercices ne pourront pas être associés facilement à un élève. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 20.10.2021 (dossier 2021.3970).
-
L’application Quizlet n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Le principe de la proportionnalité impose que d’autres produits plus respectueux de la protection des données soient utilisés, vue que l'offre en la matière existe, selon les conditions contractuelles du 21.10.2021 (dossier 2021.3970).
-
L’application Active Presenter n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une utilisation est possible si les étudiants/élèves restent anonymes, en ne livrant pas de données personnelles reconnaissables pour se connecter et si l’utilisation se fait exclusivement depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 29.11.2021 (dossier 2021.4034).
-
L’application BlinkLearning n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une possibilité pour une utilisation conforme aux règles de protection des données serait le chiffrement des données selon les standards usuels, avec la conservation de la clef par l’entité responsable du traitement, selon les conditions contractuelles du 02.09.2021 (dossier 2021.3918).
-
Les règles de protection des données n’interdisent pas l’utilisation de clefs USB. Cependant, comme le fait la CNIL, il est préconisé une utilisation limitée à l’indispensable. Il est aussi recommandé le contrôle de l’usage des ports USB sur les postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues dans un fichier. A relever que la campagne de l’administration fédérale à propos de la sécurité informatique va dans le même sens (dossier 2021.3962).
-
Conformément à plusieurs règles de la protection des données, il n'est pas autorisé de transférer les e-mails professionnels contenant des données personnelles sur une messagerie privée, excepté si cette dernière offre le même degré de sécurité et de confidentialité que la professionnelle. Il est vivement conseillé aux responsables d'entités d'intégrer ce passage dans leurs directives informatique : « Il est interdit à l’utilisateur de procéder à la redirection automatique des messages émis ou reçus vers un compte de messagerie personnelle » (dossier 2018.2462).
-
L’article 13 du Concordat sur les entreprises de sécurité permet à l'autorité décisionnaire d’adresser à l'entreprise concernée : le retrait d’autorisation, une suspension de l’autorisation ou une interdiction de pratiquer d'un agent, mais en aucun cas le courrier d’ouverture d’une procédure administrative, ou les antécédents si la décision est positive (dossier 2018.2565).
-
Les entités doivent assurer la sécurité des données personnelles lors du recyclage des emballages de médicaments. Elles doivent s'assurer qu'aucune donnée personnelle ne puisse être accessible par des personnes non autorisées (dossier 2017.1863).
-
L'envoi sous forme de carte postale de données personnelles par la Poste est conforme aux exigences de la CPDT-JUNE, et plus particulièrement du principe de la proportionnalité (dossier 2017.1913).
-
La sécurité urbaine communale n'est pas en droit d'enregistrer les conversations téléphoniques, faute de base légale, voire de motifs légitimes (dossier 2016.1406).
-
Les autorités scolaires cantonales sont en droit de contrôler le statut vaccinal des élèves (art. 58 Loi sur les épidémies (LEp), RS 818.101). Usuellement, il appartient à l'infirmerie scolaire d'effectuer le contrôle (dossier 2015.1187).
-
Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe Harbor (dossier 2015.1017).
-
Seules les autorités de poursuites pénales et les autorités judiciaires des cantons et de la Confédération sont en droit d'obtenir des listes de détenteurs d'armes (2015.1062).
-
La police cantonale se doit d'informer les CFF si un pilote de locomotive conduisant sa voiture a été mesuré avec un taux d'alcoolémie supérieur à la norme autorisée pour la route. En revanche, la question reste ouverte lorsqu'il a un taux inférieur à 0.5 pour mille, mais supérieur au 0.1 pour mille autorisé pour conduire un locomotive (dossier 2014.0825).
-
Excepté la police, une entité ne peut pas effectuer une surveillance photographique sans respecter les règles sur la protection des données. Elle ne peut notamment pas l'effectuer en toute discrétion (dossier 2013.0578).
-
Le service s'occupant de recouvrer la taxe militaire est en droit d'obtenir directement des informations de SIPP (dossier 2013.0459).
-
Liste pouvant être acceptée : des hooligans fichés demandées par les services de sécurité privés des clubs sportifs (dossier 2010.0016).
Avis publiés par le PPDT
Prises de position sommaires du PPDT
2023 - 2015 - 2014 - 2013
-
Si une entité ne poste pas de données personnelles (photos de personnes reconnaissables par exemple), l’utilisation d’un réseau social n’échappe que « partiellement » aux exigences des règles de protection des données. C’est-à-dire que, même si l’entité ne publie aucune donnée personnelle, il n’empêche qu’elle n’a aucune garantie que le réseau social ne siphonne pas les données, plus ou moins à l’insu des utilisateurs. Or, en 2018, la Cour de justice de l’UE a déclaré qu’il existait une responsabilité conjointe entre le réseau social et les entreprises utilisant les « Fan page ». Autrement dit, si le réseau social enfreint les règles de protection données, l’entreprise qui a ouvert la page engage aussi sa responsabilité relative aux traitements de données (pour les détails, voir l’avis 2018.2320), (dossier 2023.4975).