Journée « protection des données » à Neuchâtel

Mercredi 16 novembre 2011 a eu lieu une journée sur la protection des données à Neuchâtel. Les questions de protection des données sont particulièrement aigues dans le contexte des plateformes web, et notamment des offres sur le Cloud.

Cette journée était organisée par l’IRDP et proposait des interventions de Madame Isabelle Dubois, Préposée à la Protection des données et à la transparence du canton de Genève, Messieurs Patrick Duvanel, Chef du Bureau de l’informatique scolaire, et Christian Flueckiger, Préposé cantonal à la gestion de l’information du canton de Neuchâtel, et de Matthis Behrens, Directeur de l’IRDP.

Conférence d’Isabelle Dubois

Mme Dubois rappelle quelques notions importantes, à commencer par ce que sont les données personnelles:

Les données personnelles sont toutes les informations qui se rapportent à une personne identifiée ou identifiable, par exemple le nom, le prénom, l’adresse postale, la date de naissance, mais aussi l’adresse IP, le numéro AVS (NAVS13), etc.

Les conditions pour la récolte des données personnelles sont strictement définies par le cadre législatif: la loi ou un règlement doit la prévoir et les principe de proportionnalité (pertinence et nécessité de la récolte), de l’exactitude (les données récoltées doivent être exactes et maintenues à jour) et de la transparence (la récolte doit être faite de manière reconnaissable). En outre les données doivent être détruites dès qu’elles ne sont plus utiles.

Les notes (par exemple sur un post-it ou une feuille volante), documents de travail, textes inachevés ne sont pas des données, dans la mesure où elles ne sont pas utilisables et versées à un dossier.

Questions réponses à Mme Dubois

Q. Qu’en est-il des législations communales en matière de protection des données ?
R. La législation « supérieure », par exemple cantonale, puis fédérale prime.

Q. Est-ce que le transfert de données sensibles par courriel est légal ?
R. En théorie, il faut sécuriser et historiciser tous les transferts par courriel. Cependant, ce n’est concrètement pas possible à l’heure actuelle pour des raisons techniques. Il faut donc appliquer des mesures raisonnables.

Q. Quels sont les risques du NAVS13 ?
R. Dès que des liens sont effectués entre des bases de données avec NAVS13 et sans NAVS13, les données sont connectées et potentiellement permettent d’identifier la personne, ce qui est problématique. Il faut alors anonymiser systématiquement les données avant tout transfert. En revanche, l’utilisation du NAVS13 à des fins de vérification (par exemple de cohérence) interne est légale, mais le NAVS13 ne doit pas être transmis.

Q. Les backups sont-ils des traitements de données ?
R. Oui, tout comme la copie des données dans la mémoire vive ou sur un disque dur. Pour cette raison, le stockage des données personnelles devrait toujours être effectué dans le canton, au pire sur le territoire suisse.

Q. Peut-on utiliser des outils comme Facebook ou GoogleApps si l’on demande le consentement de l’utilisateur ?
R. Le consentement ne permet pas tout. En effet, la législation demande que le consentement soit éclairé. Les observations actuelles montrent malheureusement que les utilisateurs ne sont pas conscients des implications de l’utilisation de telles offres (vente de leur données pour des motifs commerciaux). En outre, il faut que cela soit pleinement dans le cadre de la mission de l’école. Le principe de la loi dit que s’il n’y a pas de loi justifiant la récolte des données, on ne peut pas l’effectuer et donc le consentement n’apporte rien.