Peut-on utiliser des outils informatiques gratuits mais non sécurisés pour la gestion de données scolaires ?
Un établissement scolaire de l’enseignement post-obligatoire dispose depuis peu d’un outil de gestion des notes et des absences.
La direction des systèmes d’information a fait une communication à ce sujet auprès des directions, en les enjoignant à prendre toutes mesures organisationnelles permettant d’utiliser désormais uniquement cet espace, qui est sécurisé et interne à l’État.
Enseignants vacataires dans cet établissement, depuis la rentrée scolaire, X et Y ont bien reçu l’information relative à cette plate-forme, mais se rendent compte qu’ils n’y ont pas accès. Ils interpellent la direction des systèmes d’information.
Celle-ci investigue, et se rend compte qu’aucun enseignant vacataire n’a reçu de code d’accès pour cette plate-forme. Certaines directions ont même renoncé à l’utilisation de cet espace sécurisé au profit d’outils gratuits proposés par un grand groupe américain.
La direction des systèmes d’information se rend compte qu’aucune procédure jusqu’alors ne prévoyait la transmission à leur service des coordonnées des nouveaux enseignants et des enseignants vacataires aux fins de création d’un compte pour cette plate-forme. Elle intervient dans ce sens auprès des ressources humaines, formule de nouvelles recommandations et instructions à l’usage des directions et supprime purement et simplement l’accès aux outils gratuits.
Recommandations
La gestion administrative des élèves, comprenant les évaluations, les relevés d’absence, les demandes de dispense, les arrêts maladie ou accident de longue durée, doit être traitée de manière sécurisée, comme toutes les données personnelles des élèves. En particulier, l’établissement scolaire doit garder la maîtrise sur ces informations et garantir aux parents des élèves un traitement conforme des données personnelles de leurs enfants. Cela exclut l’usage de solutions de gestion administrative certes gratuites, mais non sécurisée, en particulier la conservation des données dans les serveurs situés dans les pays soit inconnue, soit dans la législation en matière de protection des données n’est pas adéquate.
Principes de base
art. 7 LPD, art. 8 et 9 OLPD : sécurité (confidentialité, disponibilité, intégrité)
Ressources
Voir le guide de privatim sur le cloudcomputing
https://www.privatim.ch/wp-content/uploads/2019/02/photo-1514185877401-f095202777ce.jpeg