Comment pouvons-nous développer une ligne directrice sur la sécurité de l'information qui sensibilise nos enseignantes et enseignants ainsi que le secrétariat de l'école à nos objectifs de protection? Comment pouvons-nous mettre en œuvre efficacement cette ligne directrice dans le quotidien de l'école?
Les objectifs de protection de la sécurité de l'information constituent la base permettant de protéger les données et les systèmes sensibles contre les accès non autorisés, les manipulations ou les pannes. Ils aident également à satisfaire aux exigences légales et à renforcer la confiance dans le traitement des données. Les trois objectifs principaux sont:
- Confidentialité: garantir que seules les personnes autorisées ont accès aux informations confidentielles.
- Intégrité: s'assurer que les données restent correctes et inchangées.
- Disponibilité: s'assurer que les informations et les systèmes sont accessibles en cas de besoin.
Dans une ligne directrice qui s'oriente au moins vers les objectifs de protection mentionnés, il vaut la peine de fixer des règles de comportement et des mesures concrètes concernant l'utilisation des ressources informatiques. La ligne directrice contient par exemple des explications sur la protection des données, la transmission des données personnelles ou l'utilisation d'appareils personnels dans la salle de classe. En outre, les responsabilités devraient être clairement définies dans une ligne directrice. Par exemple, qui est responsable de la protection des données administratives? La ligne directrice devrait être régulièrement vérifiée et adaptée aux nouvelles menaces ou aux développements technologiques.
Pour s'assurer que la ligne directrice est vécue activement, il est judicieux de l'intégrer dans le processus d'entrée des nouvelles collaboratrices et des nouveaux collaborateurs. Cela permet de sensibiliser dès le départ à la sécurité de l'information. Il est également important de sensibiliser régulièrement les collaboratrices et les collaborateurs, par exemple en organisant des formations sur la ligne directrice ou des ateliers sur les développements actuels en matière de sécurité de l'information. Veillez à ce que la ligne directrice soit facilement accessible à tout moment pour toutes les collaboratrices et tous les collaborateurs, que ce soit via un portail scolaire interne ou sous forme imprimée.
Cette approche permet à la ligne directrice sur la sécurité de l'information d'être compréhensible pour toutes les personnes concernées et d'être appliquée avec succès dans le quotidien de l'école.
En tant qu'école, nous constatons régulièrement que la gestion des mots de passe représente un défi pour le corps enseignant, les élèves ainsi que pour le secrétariat de l'école. Quels sont les points les plus importants pour la gestion des mots de passe?
Une utilisation sûre des mots de passe est d'une grande importance dans les écoles. Il est important de protéger les données du corps enseignant, des élèves et du secrétariat de l'école, non seulement lors de la manipulation de données sensibles, mais aussi de manière générale. Les principaux points à prendre en compte dans la gestion des mots de passe sont les suivants:
Utilisation de mots de passe forts
Les mots de passe devraient comporter au moins huit caractères, 12 étant encore plus sûrs. Ils devraient contenir une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Évitez les mots de passe simples ou faciles à deviner comme «123456», «password» ou les noms des membres de la famille.
Changer régulièrement de mot de passe
Les mots de passe devraient être changés régulièrement afin de minimiser le risque d'abus. En outre, les anciens mots de passe ne devraient pas être réutilisés.
Pas d'utilisation multiple des mots de passe
Le même mot de passe ne devrait pas être utilisé pour plusieurs comptes. Cela permet de réduire le risque qu'en cas d'attaque réussie sur un compte, d'autres comptes soient également compromis.
Des moyens mnémotechniques pour vous aider
Pour faciliter la mémorisation de mots de passe complexes, il est possible d'utiliser un moyen mnémotechnique ou une phrase de passe. Comme moyen mnémotechnique, une phrase est utilisée comme base pour le mot de passe, par ex. «à8H*jOuvre!mes3m@ils». Une phrase de passe est une chaîne de caractères plus longue, composée de mots et d'expressions. Si un système exige des mots de passe courts, les premières lettres des mots d'une phrase peuvent être utilisées. Par exemple : «Mon chien aime jouer dans le jardin» devient «Mcajdlj».
Protection des comptes de messagerie
Les comptes de messagerie électronique doivent être particulièrement bien protégés, car ils peuvent servir à initier des changements de mot de passe pour d'autres services. Des mots de passe complexes et des modifications régulières sont particulièrement importants.
Utilisation de l'authentification à deux facteurs
Dans la mesure du possible, l'authentification à deux facteurs (2FA) devrait être activée. Celle-ci exige, en plus du mot de passe, un code supplémentaire qui est envoyé par SMS ou via une application.
Conserver les mots de passe en toute sécurité
Les mots de passe ne devraient pas être stockés sans protection. Les gestionnaires de mots de passe cryptés permettent une gestion sécurisée et centralisée des mots de passe et offrent la possibilité d'attribuer des autorisations de manière ciblée. Veillez à ce que l'accès au gestionnaire de mots de passe lui-même soit protégé par un mot de passe fort.
Sensibilisation et formation
Le corps enseignant, les élèves et le secrétariat de l'école devraient être régulièrement informés et formés à la gestion sécurisée des mots de passe.
L'Office fédéral de la cybersécurité (OFCS) donne d'autres conseils sur la protection des comptes contre les accès externes ainsi que sur la sécurité des mots de passe et propose une formation de base dans le domaine de la cybersécurité à l'attention des autorités. Pour pouvoir évaluer ce qu'il faut pour générer un mot de passe sûr, il est possible d'utiliser le contrôle de mot de passe. Lors de l'utilisation de la vérification du mot de passe, le mot de passe saisi est vérifié localement et n'est jamais transmis au serveur.
Un membre du corps enseignant a proposé que les apprenantes et apprenants utilisent des données fictives en classe pour s'inscrire à des applications numériques afin de protéger leurs données (par exemple, des noms inventés, des dates de naissance). Cette pratique est-elle légale et conforme à la législation sur la protection des données?
En Suisse, il n'existe pas de droit explicite à l'anonymat. Il n'existe pas non plus de décision judiciaire à ce sujet. C'est pourquoi, dans le cas présent, nous considérons le règlement général européen sur la protection des données (RGPD) qui, comme en Suisse, s'oriente également vers le principe de minimisation des données.
Conformément au RGPD, l'utilisation de réseaux sociaux sous un pseudonyme doit être expressément autorisée (article 5, paragraphe 1, alinéa c du RGPD), à moins que des noms réels ne soient nécessaires à la fourniture du service. En Allemagne, la Cour fédérale de justice (BGH) s'est en outre prononcée en faveur de la possibilité pour les utilisatrices et utilisateurs d'apparaître sur une plateforme sous un pseudonyme. Le vrai nom ne doit être mentionné qu'à l'opérateur de la plateforme – par exemple Meta. Si tout le monde était obligé d'apparaître sous son nom réel sur les réseaux sociaux, beaucoup plus de traces de données seraient générées sur Internet. Le principe de minimisation des données s'oppose donc déjà à une obligation légale d'utiliser un nom réel. La décision du tribunal allemand concernait les réseaux sociaux. Elle peut toutefois être appliquée de la même manière aux applications numériques.
Comme nous l'avons mentionné, le principe de minimisation des données s'applique également en Suisse. Celui-ci est par exemple inscrit dans la loi fédérale sur la protection des données (art. 6, paragraphe 2, LPD) ou dans les lois cantonales sur la protection des données. Compte tenu de la même pratique et des mêmes circonstances, il devrait également suffire en Suisse que seule l'application numérique ou le réseau social connaisse la véritable identité de la personne pour éviter les abus. Les utilisatrices et utilisateurs seraient en principe libres d'utiliser ou non des pseudonymes. Il faut donc partir du principe que l'utilisation de pseudonymes est autorisée lors de l'inscription à des services.
Une autre solution est offerte par Edulog. Edulog permet d'accéder à plusieurs services en ligne à l'aide d'un pseudonyme. Cela permet de garantir un accès sécurisé aux services en ligne et de protéger les identités numériques.
Notre école prévoit d'acquérir une nouvelle application logicielle. Lors de l'acquisition, nous souhaitons nous assurer que la protection des données est garantie. Devons-nous préciser explicitement que les données ne peuvent pas être traitées par des tiers? Quelles autres mesures de sécurité sont nécessaires?
Les applications numériques peuvent traiter un grand nombre de données personnelles d'apprenantes, d'apprenants, d'enseignantes, d'enseignants et d'autres collaboratrices et collaborateurs de l'école. Il vaut la peine de se renseigner sur la protection des données, en particulier pour les applications que l'on achète soi-même. Il est important de pouvoir évaluer les risques pour la protection des données. Si l'application est connectée à Edulog, un accès conforme à la protection des données est garanti.
Pour s'assurer que la protection des données est respectée, il convient dans un premier temps de recenser quelles données sont traitées par quelles personnes, dans quelle mesure et avec quel besoin de protection. A cet effet, il est utile d'établir un registre des activités de traitement.
Dans une prochaine étape, il est recommandé d'examiner l'application sous l'angle de la protection des données, du droit des contrats et de la sécurité de l'information. Notre liste de contrôle des applications permet aux écoles d'identifier rapidement et à un stade précoce les risques potentiels en matière de protection des données. La plupart du temps, les informations nécessaires se trouvent dans la déclaration de protection des données et dans les conditions d'utilisation et les conditions générales (CG) du fournisseur.
Si l'analyse révèle peu ou pas de risques, rien ne s'oppose à l'utilisation de l'application. En revanche, si l'analyse révèle des risques moyens ou élevés, il est nécessaire de procéder à des clarifications plus détaillées avant d'utiliser la solution à acquérir. Les approches suivantes peuvent être envisagées:
- Renseignez-vous sur les outils correspondants dans votre canton car les exigences peuvent varier.
- Les services cantonaux de surveillance de la protection des données fournissent également des informations et des conseils à ce sujet.
- Echangez dans votre réseau professionnel sur les évaluations de produits déjà réalisées dans d'autres écoles.
- Notre Navigateur vous indique les alternatives potentiellement plus respectueuses de la protection des données.
Si les clarifications supplémentaires révèlent qu'une utilisation conforme à la protection des données est en principe autorisée, des mesures techniques et organisationnelles (TOM) doivent être définies et mises en œuvre pour réduire les risques. Si, par exemple, les droits et obligations correspondants des conditions générales cantonales pour la sécurité de l'information et la protection des données (CG SIPD) sont transférés contractuellement au prestataire, il n'est plus nécessaire de mentionner explicitement que les données ne peuvent pas être traitées par des tiers (voir le CG SIPD du canton de Berne). En outre, les obligations de confidentialité, la publicité, le droit applicable et le for peuvent être définis.
Ces dispositions contractuelles constituent une première étape en ce qui concerne les mesures techniques et organisationnelles. En ce qui concerne les autres mesures de sécurité, il est difficile de faire des déclarations générales. Chaque application et son scénario d'utilisation doivent être examinés au cas par cas. La responsable de la protection des données du canton de Zurich propose par exemple un guide sur la sécurité de l'information et d'autres informations pour l'école obligatoire.
En tant qu'école, nous sommes intéressés par une application qui est conforme au RGPD. Nous souhaitons nous assurer que celle-ci respecte également la législation suisse. Pouvons-nous partir du principe qu'une application qui est conforme à la législation européenne respecte aussi la législation suisse ou devons-nous procéder à des clarifications juridiques supplémentaires?
Avant toute chose, il est important de savoir que les écoles de droit public sont soumises aux lois cantonales sur la protection des données et non à la loi fédérale sur la protection des données (LPD). Néanmoins, nous renvoyons aux dispositions de la LPD, car les réglementations ont souvent été intégrées dans les actes législatifs cantonaux.
La loi suisse sur la protection des données ne coïncide pas avec le Règlement européen sur la protection des données (RGPD). Souvent, la loi révisée sur la protection des données va moins loin, est moins formaliste ou moins détaillée. Dans certains cas, la loi suisse sur la protection des données impose toutefois des exigences plus élevées. Si une application est conforme au RGPD, il est possible de vérifier avec peu d'effort si l'application respecte également la loi suisse (ou les lois cantonales sur la protection des données).
Les différences pertinentes pour la pratique se trouvent dans les domaines suivants:
- Devoir d'information: pour satisfaire au devoir d'information et dans un souci de transparence, l'école devrait, selon la LPD, indiquer aux personnes concernées le pays destinataire en cas de communication de données à l'étranger. Une autre possibilité est que la loi scolaire prévoie déjà la transmission à l'étranger.
- Sous-traitance de données: si les entreprises ou les autorités fédérales font appel à une sous-traitance de données (par ex. externalisation vers un cloud), le sous-traitant doit pouvoir garantir la sécurité des données au même titre que le mandant. Les exigences posées par la LPD en matière de sous-traitance de données vont moins loin que les prescriptions du RGPD. Les contrats avec les sous-traitants ne doivent donc être adaptés à la LPD que sur le plan rédactionnel, par exemple en renvoyant aux articles correspondants.
- Notification d'une violation de la sécurité des données: selon la LPD, une violation de la sécurité des données doit être notifiée moins rapidement et selon des critères légèrement différents de ceux du RGPD. Toutefois, les définitions des données personnelles sensibles sont plus larges dans la LPD que dans le RGPD. Ces différences peuvent jouer un rôle selon l'école et l'application.
Nous nous sommes penchés sur les adaptations de la loi suisse révisée sur la protection des données dans nos articles «Conséquences de la nouvelle loi sur la protection des données pour les écoles» et «Conséquences de la nouvelle loi sur la protection des données pour les particuliers et les organes fédéraux».
La gestion des mots de passe de nos élèves est un défi pour notre école. En particulier, la procédure correcte de gestion des mots de passe «oubliés» engendre un travail administratif important, tant pour le corps enseignant que pour le secrétariat de l'école. Les droits d'accès des enseignantes, enseignants et de l'administration scolaire aux mots de passe des élèves ne sont pas non plus clairs. Notre gestion des mots de passe doit être sûre, conforme à la protection des données et faciliter le quotidien de l'école. Quelle est la meilleure façon de procéder?
Afin de garantir une gestion des mots de passe sûre et conforme à la protection des données dans les écoles, différentes mesures techniques et organisationnelles (TOM) peuvent être prises. Les mesures possibles sont les suivantes:
- Elaboration d'un concept de rôles et d'autorisations: il est conseillé de définir dans les applications correspondantes quelles sont les personnes qui doivent avoir accès à la documentation sur les mots de passe (par ex. direction de l'école, secrétariat, responsables informatiques, corps enseignant).
- Création d'une directive sur les responsabilités: une directive écrite devrait établir clairement les responsabilités, les droits et les obligations des personnes autorisées à accéder et être signée par ces dernières.
- Restrictions d'accès: l'accès aux documents avec mot de passe devrait être limité au cercle de personnes défini dans le concept de rôles et d'autorisations. Cela peut se faire soit par l'attribution de droits dans le dépôt de fichiers, soit par le cryptage des documents de mots de passe.
- Gestion des mots de passe par le corps enseignant: une autre possibilité est la gestion des mots de passe par le corps enseignant. Ici aussi, le mieux est d'établir un concept de rôles et d'autorisations.
- Gestion des mots de passe via un service séparé: les mots de passe peuvent être gérés via un service séparé, soit en ligne, soit localement. Les gestionnaires de mots de passe offrent une bonne vue d'ensemble des mots de passe ainsi que des possibilités de gestion.
L'implémentation de ces mesures permet de garantir une gestion sûre et conforme à la protection des données des mots de passe dans les écoles. Selon le service, le mot de passe peut en outre être réinitialisé de manière autonome. Cela dépend des possibilités techniques.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) propose un guide sur les mesures techniques et organisationnelles. La préposée à la protection des données du canton de Zurich aborde dans un guide Microsoft 365 dans le domaine de l'éducation le concept de rôles et d'autorisations (voir paragraphe 3.4.4) et informe sur les gestionnaires de mots de passe (en allemand). Microsoft 365 propose un aperçu de la réinitialisation des mots de passe.
Qu'est-ce qui va changer pour mon école avec l'introduction de la nLPD le 1er septembre 2023? Dois-je agir moi-même en tant que directrice ou directeur d'école et/ou est-ce qu'un autre organisme me soutient?
Le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur. Cette loi s'applique aux autorités fédérales et aux particuliers, mais pas aux organismes cantonaux et communaux, comme c'est le cas pour les écoles publiques. Pour les écoles publiques, c'est la loi cantonale sur la protection des données qui s'applique en premier lieu.
Il est préférable de vérifier au niveau communal si une école doit adapter quelque chose (par exemple la déclaration de protection des données sur son site web) (à voir aussi notre article sur les «Conséquences de la nouvelle loi sur la protection des données pour les écoles»).
En tant qu'école, comment pouvons-nous garantir que l'élimination des appareils tels que les ordinateurs et les tablettes se fasse dans le respect de la protection des données et de manière professionnelle? De quoi faut-il tenir compte si nous voulons transmettre les appareils à d'autres institutions?
La protection des données doit aussi être garantie lors de l'élimination des appareils usagés, en particulier lorsqu'ils sont transmis à des tiers.
En règle générale, l'élimination des appareils se fait via Swico, un système de reprise à but non lucratif pour les appareils électriques et électroniques usagés dans les secteurs informatique, électronique grand public, bureautique, communication, industrie graphique, métrologie et médecine. Les écoles peuvent faire enlever gratuitement les appareils usagés à partir d'une quantité de 250 kilos ou les gros appareils d'une hauteur minimale de 80 centimètres. Tous les partenaires contractuels de Swico sont tenus de protéger les données figurant sur les appareils déposés contre une consultation non autorisée. Vous trouverez de plus amples informations sur le site Internet de Swico.
Afin de garantir la protection des données, il est recommandé, indépendamment de l'entreprise d'élimination, de fixer la procédure idéalement par contrat ou au moins par écrit avant de passer commande. En outre, un procès-verbal correspondant devrait être demandé après l'élimination.
La méthode de suppression dépend du type d'appareil et du système d'exploitation. Des instructions gratuites à ce sujet sont disponibles sur Internet sur des portails de médias informatiques sérieux. L'utilisation de programmes d'effacement comporte toutefois un risque résiduel, car certaines zones de mémoire peuvent ne pas être couvertes. C'est pourquoi il est recommandé de démonter et d'éliminer toutes les mémoires avant de transmettre des appareils.
Cela garantit non seulement la protection des données, mais empêche également la transmission involontaire de ses propres licences de logiciels. Même si le corps enseignant utilise les appareils à titre professionnel, l'école doit dans tous les cas veiller à une suppression sécurisée.
Si les appareils doivent être transmis ou revendus pour des raisons de durabilité, il est recommandé de collaborer avec une entreprise spécialisée dans la revente d'appareils informatiques afin de garantir un effacement adéquat et une transmission des appareils conforme à la protection des données.
Quels sont les principaux changements dont nous devons tenir compte en tant qu'école privée avec la nouvelle loi sur la protection des données?
Le 1er septembre 2023, la loi fédérale révisée sur la protection des données est entrée en vigueur (nouvelle loi sur la protection des données). Celle-ci ne s'applique qu'aux organes fédéraux et aux personnes privées (y compris les entreprises). Les modifications suivantes s'appliquent pour l'essentiel aux autorités fédérales et aux particuliers (voir également notre article «Conséquences de la nouvelle loi sur la protection des données pour les particuliers et les organes fédéraux»):
- Extension du devoir d'informer: une déclaration de protection des données doit notamment être établie, qui mentionne notamment la finalité du traitement et la personne responsable avec ses coordonnées.
- Il existe désormais une obligation de tenir un registre de traitement des données (avec des exceptions).
- Les sanctions ont été renforcées, avec entre autres des amendes pouvant aller jusqu'à CHF 250'000.
- En cas de violation de la sécurité des données présentant un risque vraisemblablement élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l'école privée (par ex. par le biais de la direction de l'école ou de la personne responsable) doit en informer le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais.
En tant qu'enseignante ou enseignant, j'aimerais utiliser l'intelligence artificielle (IA) pour évaluer les travaux de mes élèves. À quoi dois-je faire attention d'un point de vue juridique?
Si, en tant qu'enseignante ou enseignant, vous souhaitez utiliser l'IA pour évaluer des travaux, vous devez respecter non seulement les dispositions relatives à la protection des données, mais aussi celles relatives aux droits d'auteur. Cela signifie par exemple que vous n'avez pas le droit d'introduire des données issues de la création d'apprenantes et d'apprenants dans ChatGPT. De même, les systèmes d'IA ne peuvent être utilisés uniquement comme outils lors d'évaluations. En tant qu'enseignante ou enseignant, vous devez également vérifier le résultat conformément à la grille d'évaluation.
Le Digital Learning Hub du canton de Zurich propose des informations complètes sur l'IA/ChatGPT. Il a notamment élaboré, en allemand, des guides et des recommandations pour les écoles, les élèves et le corps enseignant concernant l'utilisation de l'IA dans les travaux d'approfondissement et de fin d'études.
Plus d'informations dans le dossier «l'IA dans la formation»
Avez-vous des questions sur l'utilisation et la protection des données, auxquelles vous ne trouvez pas de réponse ici? Transmettez-nous votre question.