Légalité
Les autorités (p. ex. les collaborateurs·trices d’une école) sont autorisées à traiter des données personnelles lorsque les données sont appropriées et nécessaires à l’accomplissement des tâches légales. Ces tâches sont décrites dans des lois, des ordonnances ou des règlements.
Pour le traitement des données personnelles particulièrement dignes de protection (p. ex. données relatives à la santé), des exigences supérieures à celles en vigueur pour les données personnelles (normalement dignes de protection) s’appliquent. L’autorisation du traitement des données doit découler d’une base légale formelle. Un arrêté doit ainsi être édicté par le Grand Conseil ou, au niveau des communes, par le législateur compétent, généralement le conseil communal.
Proportionnalité
Les données ne doivent être traitées que dans le respect du principe de proportionnalité. Cela veut dire qu’elles doivent être appropriées et nécessaires à l’accomplissement des tâches définies.
Le traitement des données est approprié lorsqu’il permet d’atteindre l’objectif visé. Il est nécessaire lorsque la tâche en question ne peut pas être accomplie sans le traitement des données et lorsque des mesures moindres qui atteignent peu la sphère privée sont épuisées.
Affectation précise
Les autorités ne sont autorisées à traiter les données personnelles que dans le but qui est défini lors de leur collecte, à moins qu’il n’existe une base légale ou que les personnes concernées acceptent au cas par cas un traitement à des fins différentes. Les tâches de l’école obligatoire fixent le cadre de l’affectation à laquelle le traitement est lié.
Les données anonymisées ne permettant pas d’identifier une personne en particulier peuvent être traitées et communiquées sans consentement.
Bonne foi (transparence)
Le principe de la bonne foi impose que le traitement des données soit identifiable et transparent. Les élèves et leurs parents doivent pouvoir identifier sans effort quelles données personnelles les concernant sont traitées.
Sécurité de l’information
Toute personne qui traite des données personnelles est responsable de leur sécurité. Les données doivent être protégées par des mesures appropriées.
Cela signifie par exemple que seules les personnes autorisées ont accès et donc connaissance de données. Les mesures garantissant que les données soient disponibles ou empêchant que les données soient perdues sont également des mesures appropriées.
Exactitude et exhaustivité
Ce principe donne aux élèves et à leurs parents le droit de faire corriger ou détruire toute donnée personnelle fausse les concernant. Les données personnelles doivent être exactes et, dans la mesure où le but du traitement l’exige, complètes.