Principes du droit de protection des données
Les dispositions contenues dans les lois cantonales sur la protection des données s’adressent à toutes les administrations du canton. Elle ne ciblent donc pas spécialement le traitement de données personnelles à l’école. C’est pourquoi il est important de connaître les principes de la loi sur la protection des données. Il faut en déduire des solutions concrètes pour l’école au quotidien.
Légitimité du traitement des données personnelles
Le traitement de données personnelles doit toujours être légitime. À cet égard, la loi sur la protection des données fait la distinction entre données personnelles "normales" et "sensibles" (voir ci-dessus). En simplifiant, cela revient à dire que la distinction implique que l’on observe des règles plus sévères lors du traitement de données personnelles "sensibles" que lors du traitement de données personnelles "normales".
Traitement de données personnelles "normales"
Des données personnelles "normales" peuvent être traitées, quand
-
une loi (le niveau de l’ordonnance est une base de référence suffisante) l’autorise ou
-
le traitement est indispensable à l’exécution d’une mission légale (c’est-à-dire que l’exécution d’une mission légale serait considérablement entravée sans le traitement de données envisagé).
Traitement de données personnelles "sensibles"
Des données personnelles "sensibles" ne peuvent être traitées que si en plus
-
une loi (le niveau de la loi est ici requis comme base de référence) le prévoit clairement ou
-
l’exécution d’une mission légale rend le traitement de données impérativement nécessaire (c’est-à-dire que l’exécution d’une mission légale serait rendue impossible sans le traitement de données envisagé) ou
-
la personne concernée a donné expressément son accord.
Principe de finalité
Les données issues du domaine scolaire rassemblées selon les règles expliquées ci-dessus ne peuvent en principe être traitées qu’en vue des buts pour lesquels elles ont été collectées ou auxquels les écolières et les écoliers ou les parents doivent s’attendre. Dans le cadre scolaire, ces buts résultent des missions de l’école maternelle et de l’école primaire citées plus haut. Pour cette raison il est par exemple absolument exclu de publier des listes de classes à des fins commerciales.
Principe de proportionnalité
De ce principe il découle d’une part que des données personnelles, comme on l’a indiqué plus haut, ne peuvent être traitées que dans la mesure où c’est nécessaire à l’accomplissement d’une tâche légale. Rassembler des données en vue de constituer des réserves (par ex. la collecte de données dont la destination n’est pas connue au moment de la collecte) est illégal. Le principe de proportionnalité exige d’autre part qu’entre diverses possibilités de traitement des données il faille toujours choisir celle qui représente l’intervention la moins lourde dans les droits de personnalité de la personne concernée.
Principe de bonne foi
Du principe de bonne foi il découle que le traitement de données doit être visible et transparent. Un traitement de données occulte est dès lors interdit. Il faut que les écolières et les écoliers ainsi que les parents puissent s’apercevoir sans effort particulier que l’on traite des données personnelles les concernant et savoir quelle données sont traitées. Aussi, en règle générale, les données personnelles sont elles à collecter auprès des écolières et des écoliers concernés ou auprès de personnes ayant la garde et non auprès d’une autre personne privée ou d’une administration.
Principe d’exactitude
Ce principe donne aux écolières et aux écoliers ainsi qu’aux parents le droit de faire corriger ou de détruire des données personnelles inexactes les concernant.
Sécurité des données
Celui qui traite des données personnelles est aussi responsable de leur protection.
Conditions requises
L’accord peut être une base de la légitimité du traitement des données. Toutefois, l’accord donné pour le traitement de données ne peut concerner qu’une situation très précise, strictement définie dans l’espace et dans le temps. Jamais il ne sera global ni ne permettra un traitement des données à durée indéterminée. La personne concernée est en règle générale l’écolière ou l’écolier. Puisqu’un accord ne peut être donné que par une personne capable de jugement, il faut élucider d’abord à quelles conditions des écolières et des écoliers sont capables de jugement. Une deuxième étape prévoit que l’on vérifie les exigences concernant la forme de l’accord. Est capable de jugement au sens du code civil celui qui n’est pas hors d’état d’agir raisonnablement en raison de son bas âge ou à la suite de "maladie mentale, faiblesse mentale, ivresse ou situations semblables". Ceci signifie qu’un enfant ou un jeune est capable de jugement quand il peut former sa propre décision et agir selon cette décision. La loi ne connaît pas de limites d’âge fixes. L’horizon d’expérience d’un enfant qui grandit est variable selon son degré de développement. Les écolières et les écoliers de l’école maternelle et de l’école primaire ont en règle générale entre 4 et 16 ans. Lors de ce laps de temps, la capacité de former sa propre décision et d’agir selon cette décision varie considérablement. Même parmi des enfants du même âge, cette faculté peut être développée de façon très variable.
En principe, on peut toutefois dire ce qui suit :
Comme il est souvent difficile même pour des adultes d’évaluer les conséquences d’un traitement de données, ceci est d’autant plus difficile pour des enfants. C’est pourquoi, concernant le traitement de données personnelles "sensibles" ainsi que de données personnelles "normales" pouvant compromettre leurs droits de personnalité et entraîner des suites qu’il est difficile d’évaluer, la capacité de juger ne peut leur être reconnue au plus tôt que vers la fin du temps de l’école obligatoire. Il est recommandé avant cela de demander l’accord des responsables légaux. Ce n’est que dans des cas très clairs et très simples qu’un enfant peut évaluer les conséquences d’un traitement de données et se former à cet égard une décision propre.
Accords
Pour ce qui est des accords, on distingue ceux qui sont oraux et ceux qui sont écrits, les accords formels et les accords tacites. Quand on traite des données personnelles "normales", qui ne constituent pas une menace considérable pour les personnes concernées, un accord tacite peut suffire. Un accord tacite est supposé quand aucune objection n’est élevée contre un traitement de données prévu réglementairement ou communiqué sans restriction. Afin de pouvoir en produire la preuve, des accords devraient toutefois être autant que possible demandés par écrit.
