Les communes traitent des données personnelles lorsqu’elles gèrent un site Internet : les données personnelles des personnes qui visitent le site Internet (p. ex. adresse IP), d’une part, et les données de tierces personnes qui sont publiées sur leur site (communication de données personnelles), d’autre part. Elles doivent donc remplir les conditions générales qui sont fixées aux articles 5 et 6 de la loi cantonale sur la protection des données (LCPD) (base légale, proportionnalité et affectation à un usage déterminé).
L’utilisation de cookies est particulièrement problématique. Selon leur fonction, ceux-ci relèvent de l’une des catégories suivantes :
- cookies nécessaires sur le plan technique : ils peuvent être utilisés sans le consentement de la personne concernée, mais cette dernière doit être informée de manière appropriée au sujet de l’usage qui sera fait de ses données (« politique relative à la protection des données ») ;
- cookies permettant d’améliorer le confort d’utilisation (fonctionnels) et de procéder à des analyses statistiques (analytiques) : ils ne sont pas nécessaires à la gestion du site Internet, mais utiles et donc soumis à consentement. Selon le principe « privacy by default », la personne concernée doit explicitement donner son accord à l’utilisation de ces cookies (opt in) et non refuser leur utilisation (opt out) (et, afin de disposer de moyens de preuve, elle doit se connecter ou enregistrer son choix) ;
- cookies analytiques à des fins de marketing : l’utilisation de tels cookies est exclue faute de base légale.
En particulier lors de l’utilisation de cookies (p. ex. cookies analytiques à des fins statistiques), il faut veiller à ce qu’aucune donnée personnelle ne soit envoyée dans un pays où le niveau de protection est insuffisant (p. ex. Google-Analytics, USA). Il convient d’utiliser des services alternatifs et respectueux de la protection des données.
Gestion du site Internet par un prestataire externe
La gestion du site Internet par un prestataire privé constitue une délégation. Il faut conclure un contrat conforme à la loi avec le prestataire et veiller à ne pas publier de données personnelles particulièrement dignes de protection.
Formulaire de contact
Si le site de l’école comporte un formulaire de contact ou une adresse électronique de contact, il faut préciser qu’aucune information confidentielle ne doit être transmise via ce canal, à moins que le formulaire ou l’adresse électronique ne soit cryptée.