Que peut stocker un enseignant comme type de document sur le serveur local de l’établissement scolaire ou sur la plate-forme pédagogique collaborative ?
Nouvellement chargée d’enseignement dans l’établissement X., Y. se familiarise avec les différents outils mis à sa disposition.
Lorsqu’elle reçoit d’un étudiant un certificat médical, en format papier, justifiant de l’absence au contrôle précédent, elle s’interroge sur le lieu où elle doit concrètement classer ce document, après l’avoir scanné.
Elle demande conseil à un collègue enseignant, rompu aux nouvelles technologies, qui l’informe qu’en ce qui le concerne il met « tout sur la plate-forme collaborative que Google met généreusement à notre disposition », parce que expérience faite, c’est vraiment le plus facile.
Bien que n’étant pas spécialiste en protection des données personnelles, Y. s’étonne car elle pensait que cette plate-forme était dédiée au matériel pédagogique, et elle fait le choix de stocker le certificat médical scanné sur le serveur local, où elle dispose d’un espace. Mais lors d’un café avec un ami spécialiste en ressources humaines, elle comprend que là n’est pas non plus la place d’un tel document.
L’administration de l’établissement lui confirme ce fait, et prend en charge le certificat médical. Sur question, la direction des systèmes d’information lui indique qu’en effet la plate-forme pédagogique collaborative est dédiée, comme son nom l’indique, à des activités purement pédagogiques, et que le serveur local est lui aussi uniquement à disposition d’activités d’enseignement.
Recommandations
Les règles applicables en matière de traitement des données personnelles imposent de traiter celles-ci de manière confidentielle. C’est particulièrement le cas des données personnelles sensibles, comme le sont des données de santé. En aucun cas des documents comprenant de telles données ne doivent être déposés sur des espaces communs, ou sur des espaces privés dédiés à des activités pédagogiques. Les plates-formes mises à disposition par des sociétés soumises aux lois américaines ne sont pas recommandées pour le traitement de données personnelles ou sensibles, mais bien pour le partage de documents professionnels, pédagogiques, de recherche, etc. En effet, le responsable de traitement doit pouvoir garder la main sur les données qu’il traite.
Principes de base
art. 7 LPD, art. 8 et 9 OLPD : sécurité (confidentialité, disponibilité, intégrité)
Ressources
Voir le guide de privatim sur le cloudcomputing
https://www.privatim.ch/wp-content/uploads/2019/02/photo-1514185877401-f095202777ce.jpeg