Dans le domaine des médias et de l’informatique, il convient de respecter les recommandations aux communes et aux directions d’école.
Les écoles doivent protéger leurs données en prenant les mesures de sécurité appropriées sur les plans organisationnel et technique. Les mesures à prendre dépendent du type de données, de la manière dont celles-ci sont traitées, du but dans lequel celles-ci sont traitées et de l’état actuel de la technique. Plus les données sont dignes de protection, plus les mesures à prendre doivent être exhaustives. Les mesures sont déterminées par les principaux objectifs de protection (ou objectifs de sécurité) qui sont fixés dans la législation sur la protection des données :
- Confidentialité
Il faut éviter que des personnes non autorisées prennent connaissance des données.
Mesures possibles: mise en place d’une stratégie en matière d’accès aux données et limitation de l’accès aux données nécessaires pour l’exercice de la fonction, cryptage des données, installation d’un anti-virus et d’un pare-feu, utilisation de mots de passe sécurisés (voir le point « Mots de passe sécurisés » ci-dessous). En outre, les dossiers papier qui comportent des données personnelles particulièrement dignes de protection (p. ex. ceux du Service psychologique pour enfants et adolescents) doivent être conservés sous clé.
- Intégrité
Les données doivent être exactes et exhaustives.
Mesure possible: établissement d’un procès-verbal des modifications
- Disponibilité
Les données doivent être disponibles en cas de besoin.
Mesure possible : sauvegarde des données (back-up)
- Imputabilité
Toute modification des données doit pouvoir être imputée à une personne précise.
Mesures possibles : journalisation des accès aux données, création de comptes d’utilisateurs personnels
- Traçabilité
Toute modification des données doit être identifiable et claire.
Mesure possible : établissement d’un procès-verbal des modifications et journalisation des accès aux données
Pour de plus amples informations, veuillez-vous adresser à l’autorité communale de surveillance de la protection des données.
Courriels
Il convient d’être prudent·e lors de la transmission des données sensibles. Les services de courrier électronique qui sont proposés par des entreprises privées (Swisscom, GMX, G-Mail, etc.) sans option de cryptage des données ne sont pas sécurisés, car les courriels peuvent être interceptés par des tiers lors de leur envoi. Par conséquent, les données personnelles particulièrement dignes de protection ne doivent en aucun cas être envoyées au moyen de ces services.
Les courriels comportant des informations générales, des invitations, etc. (c.-à-d. sans données personnelles particulièrement dignes de protection) peuvent être envoyés sans être cryptés. À cet égard, il est crucial qu’il soit impossible de remonter jusqu’aux élèves, même si leur nom est raccourci ou anonymisé.
Utilisation des adresses électroniques professionnelles (école/administration)
Les courriels qui ne sont pas envoyés via Internet au moyen de services proposés par des tiers (Microsoft, Google, GMX, Swisscom, etc.), mais via le réseau de l’administration scolaire (systèmes internes de l’école/administration), sont réputés sécurisés.
Dans tous les cas, il est essentiel de toujours envoyer les données au(x) bon(s) destinataires(s).
Adresses électroniques privées des membres du corps enseignant, des directions d’école ou de la commission scolaire
Pour les raisons de sécurité susmentionnées, il est déconseillé d’utiliser une adresse électronique privée à des fins professionnelles ou de faire dévier automatiquement les courriels adressés à l’adresse électronique professionnelle vers l’adresse électronique privée.
Adresses électroniques pour les élèves
Il est possible de créer des adresses électroniques scolaires pour les élèves en se basant sur leur nom. Les parents doivent en être informés.
Il est préférable de ne pas utiliser les noms en entier, mais plutôt des abréviations. En cas d’inquiétude ou sur demande, il est possible d’utiliser des pseudonymes.
Les élèves doivent être sensibilisés au traitement sécurisé des données personnelles.
Appareils personnels / approche Apportez Votre Équipement personnel de Communication (AVEC)
Si des appareils personnels (smartphones, ordinateurs portables, tablettes) sont utilisés pour effectuer des tâches scolaires, les données doivent être protégées au moyen de mesures organisationnelles et techniques appropriées.
De nombreux éléments doivent être pris en compte lors de l’introduction de l’approche AVEC. À cet égard, les recommandations relatives à l’introduction de l’approche AVEC pour les écoles du degré secondaire II sont aussi très utiles pour les établissements de la scolarité obligatoire.
Mots de passe sécurisés
Les mots de passe sécurisés sont importants pour protéger les données sensibles contre les accès non autorisés. Les mots de passe et les codes PIN doivent toujours être définis personnellement et ne doivent jamais être communiqués à des tiers.
Sur le site Internet du délégué du canton de Zurich à la protection des données, vous pouvez vérifier rapidement et simplement si vos mots de passe sont sûrs.
Accès VPN
En ce qui concerne l’accès aux données personnelles particulièrement dignes de protection via un VPN (p. ex. accès aux rapports du Service psychologique pour enfants et adolescents), il faut prendre les mesures suivantes en sus des mesures de sécurité usuelles :
- procédure d’authentification à deux facteurs (p. ex. au moyen d’un code envoyé par SMS et d’un mot de passe, d’une carte à puce avec code PIN, etc.),
- envoi des données via Internet uniquement en cas de cryptage sécurisé,
- journalisation et contrôle régulier des accès externes.
- Définitions relevant du droit de la protection des données
- Principes régissant la protection des données
- Recommandations aux communes et aux directions d’école
- Sécurité des courriels (en allemand)
- Recommandations relatives à l'introduction de l'approche AVEC
- Site Internet du délégué du canton de Zurich à la protection des données (en allemand)
- Service psychologique pour enfants et adolescents