Multimédia

Webinaire du CIPVP : Protection du droit à la vie privée des élèves en Ontario

La LAIMPVP impose d'importantes obligations aux écoles et aux conseils scolaires. Ce webinaire traite de ces obligations et décrit des pratiques exemplaires pour protéger les renseignements personnels des élèves.

9 septembre 2021
Illustration d'un élève écrivant dans un cahier.

Note : La vidéo du webinaire n'est disponible qu'en anglais. Une transcription en français est disponible ci-dessous.

Transcriptions

Bonjour et bienvenue au webinaire du CIPVP sur la protection des droits des élèves de l’Ontario en matière de vie privée.

Dans le cadre de son mandat, le CIPVP fournit des conseils concernant les lois sur l’accès à l’information et la protection de la vie privée qui régissent le secteur public et qui s’appliquent aux établissements d’enseignement de l’Ontario.

Ces lois sont : 

  • la Loi sur l’accès à l’information et la protection de la vie privée, ou LAIPVP, et 
  • la Loi sur l’accès à l’information municipale et la protection de la vie privée, ou LAIMPVP.

Aujourd’hui, en plus d’aborder les obligations des écoles et des conseils scolaires en matière de protection de la vie privée en vertu de la LAIMPVP dans le contexte de la prestation de services éducatifs, nous traiterons de pratiques exemplaires à suivre pour respecter ces obligations.

Obligations

Les responsables des conseils scolaires et le personnel enseignant ont des obligations en vertu de la LAIMPVP, la loi ontarienne sur la protection de la vie privée qui s’applique au secteur municipal.

Par exemple, les directions d’école et les responsables des conseils scolaires doivent :

  1. se conformer aux lois ontariennes sur la protection de la vie privée et à d’autres lois, comme la Loi sur l’éducation;
  2. recueillir des renseignements personnels uniquement lorsque la loi l’autorise;
  3. mettre en œuvre des mesures de sécurité raisonnables;
  4. assurer la formation du personnel; et 
  5. conclure des contrats avec les fournisseurs de services et s’y conformer.

Le personnel enseignant et les autres membres du personnel doivent :

  1. recueillir, conserver, utiliser et divulguer des renseignements personnels en conformité avec les textes de loi, normes professionnelles, lignes directrices et politiques du conseil scolaire; 
  2. protéger les renseignements personnels en suivant les politiques et procédures du conseil scolaire; 
  3. informer la direction de l’école s’ils soupçonnent qu’il y a eu atteinte à la vie privée ou à la sécurité; 
  4. suivre une formation sur leurs obligations en matière de protection des renseignements personnels.

Que sont les « renseignements personnels »?

Attardons-nous quelques minutes aux renseignements personnels dans le contexte de la LAIMPVP.

En vertu de la LAIMPVP, les renseignements personnels sont des renseignements consignés ayant trait à un particulier qui peut être identifié.

Dans le cas d’une école ou d’un conseil scolaire, il peut s’agir du nom, de l’adresse ou du numéro de téléphone d’un élève.

Voici d’autres exemples de renseignements personnels :

  • des photos et vidéos prises à l’école;
  • des renseignements sur la santé;
  • les dossiers des élèves, et
  • un numéro d’identification ou un symbole attribué à un élève.

Un document peut contenir des renseignements personnels même s’il ne précise pas le nom d’une personne.

Par exemple, une enseignante divulgue des renseignements personnels si elle affiche les notes des élèves d’une manière qui permet d’identifier ces élèves, même sans indiquer leur nom.

Les renseignements personnels peuvent être consignés sous n’importe quelle forme; dans un milieu scolaire, il peut s’agir notamment :

  • de documents papier, notamment des bulletins scolaires, des listes d’élèves ou des documents d’éducation de l’enfance en difficulté, y compris des plans d’enseignement individualisé, des plans de sécurité ou des plans de soutien du comportement; 
  • des documents électroniques, comme des cahiers électroniques des présences; 
  • des photos, y compris pour l’album des finissants; 
  • des séquences vidéo, y compris celles prises par les caméras de surveillance des écoles.

La LAIMPVP protège la vie privée des élèves en régissant la collecte, l’utilisation et la divulgation de renseignements personnels.

Collecte de renseignements personnels

Une école ou un conseil scolaire peut recueillir des renseignements personnels auprès d’un parent, d’un tuteur ou d’un élève si :

  1. la collecte est autorisée par une loi telle que la Loi sur l’éducation, par exemple, la collecte de renseignements aux fins du Dossier scolaire de l’Ontario; ou 
  2. les renseignements sont nécessaires à la prestation de services éducatifs ou à l’exercice d’autres activités connexes.

Les conseils scolaires ne peuvent s’appuyer uniquement sur le consentement des parents, des tuteurs ou des élèves pour recueillir des renseignements personnels. Ils doivent avoir l’autorité légale de recueillir ces renseignements, ou démontrer que leur collecte est nécessaire pour fournir des services éducatifs.

En règle générale, les renseignements personnels doivent être recueillis directement auprès du particulier, sauf si ce dernier a consenti à une collecte indirecte.

Par exemple, un parent consent à ce qu’un conseil scolaire reçoive un rapport directement d’un psychologue chargé d’évaluer la capacité d’apprentissage de son enfant qui fréquente l’école élémentaire.

La collecte de renseignements personnels qui n’est pas expressément autorisée par la loi mais qui est jugée nécessaire, et non simplement utile, doit quand même être associée de façon rationnelle à une activité autorisée par la loi, et il faut démontrer qu’elle est nécessaire au bon exercice de cette activité.

Par exemple, en vertu de la Loi sur l’éducation, les conseils scolaires doivent promouvoir le rendement des élèves et leur bien-être.

Si un conseil scolaire souhaite recueillir des renseignements personnels pour promouvoir le bien-être des élèves, par exemple en demandant aux élèves de répondre à un sondage sur l’intimidation, la collecte de renseignements personnels au moyen de ce sondage doit être nécessaire pour atteindre cet objectif.

Cette justification doit être fournie dans le cas de tous les renseignements personnels recueillis.

Pour ce faire, il faut tenir compte de la nature des renseignements, de leur caractère délicat et de la quantité de renseignements personnels recueillis.

Par exemple, dans certains cas, on pourrait recourir à la vidéosurveillance pour assurer la sécurité des élèves et de l’école, mais la collecte doit être réservée à ces fins seulement.

Utilisation de renseignements personnels

En règle générale, les renseignements personnels, une fois recueillis, doivent être utilisés uniquement aux fins pour lesquelles ils ont été recueillis ou à des fins compatibles.

Une fin compatible est une fin à laquelle le parent, le tuteur ou l’élève pourrait raisonnablement s’attendre, notamment améliorer l’apprentissage ou l’enseignement.

Enfin, les écoles ne peuvent pas utiliser des renseignements personnels recueillis à une nouvelle fin, à moins que l’élève, le parent ou le tuteur n’y consente, de préférence par écrit.

Divulgation de renseignements personnels

Une école ou un conseil scolaire peut divulguer des renseignements personnels dans des situations limitées, par exemple :

  1. pour rendre des services éducatifs;
  2. à une fin autorisée ou exigée par une loi;
  3. à une fin à laquelle le particulier a consenti.

Rappelons que le consentement n’est valable que si les renseignements personnels ont été recueillis en toute légalité.

Par exemple, les albums de finissants contiennent souvent des renseignements personnels recueillis à diverses fins, par exemple, des photos de classe et des photos individuelles.

La plupart des membres de la communauté scolaire s’attendent à ce que ces photos, accompagnées des noms des élèves, soient publiées dans l’album.

Lorsqu’un particulier peut raisonnablement s’attendre à une divulgation, celle-ci est considérée comme étant effectuée à une fin compatible, et la LAIMPVP l’autorise.

Cependant, dans le cas des renseignements personnels qu’une personne ne pourrait raisonnablement s’attendre à ce qu’ils paraissent dans l’album des finissants, comme un texte autobiographique rédigé pour un travail en classe, l’école doit obtenir le consentement de l’élève avant de l’inclure dans l’album.

Notre Guide sur la protection de la vie privée et l’accès à l’information dans les écoles de l’Ontario contient d’autres indications sur les règles touchant la divulgation.

Accès aux renseignements personnels

Les élèves et leurs parents et tuteurs ont le droit d’avoir accès aux renseignements personnels concernant les élèves que possèdent leur école et leur conseil scolaire.

En vertu de la LAIMPVP, un enfant de moins de 16 ans peut accéder à son propre dossier.

Un parent ou une autre personne ayant la garde légitime de l’enfant peut aussi accéder au dossier de ce dernier en son nom.

Les demandes d’accès peuvent être informelles ou officielles.

L’école ou le conseil scolaire devrait obtenir un consentement écrit, ou s’il a obtenu un consentement oral, en prendre note.

L’école ou le conseil scolaire doit délivrer une lettre de décision dans les 30 jours après avoir reçu la demande d’accès.

D’autres lois, comme la Loi sur l’éducation, peuvent prévoir des obligations et des droits différents en matière d’accès.

Conservation des renseignements personnels et mesures de précaution

Passons maintenant à la conservation ou au stockage de renseignements personnels et à l’importance de prendre des mesures de précaution afin de protéger les renseignements personnels des élèves.

La LAIMPVP prévoit que les documents doivent être conservés pendant au moins un an après leur utilisation, ou pendant la période fixée dans un règlement ou une résolution du conseil scolaire, si cette période est plus courte.

La durée de la période de conservation des documents dans votre conseil scolaire pourrait être assujettie à d’autres règles.

Les documents doivent être détruits complètement de manière sécurisée, de façon à ne pas pouvoir être reconstitués ni récupérés.

Les lois ontariennes sur la protection de la vie privée obligent les écoles et les conseils scolaires à déterminer, documenter et appliquer des mesures de sécurité raisonnables pour empêcher l’accès non autorisé aux documents et éviter que ceux-ci ne soient détruits ou endommagés par inadvertance.

Pour déterminer les mesures de précaution à prendre, l’école et le conseil scolaire doivent tenir compte de la nature des documents, notamment :

  • le caractère délicat des documents et la quantité de renseignements qu’ils contiennent;
  • le nombre de personnes qui ont accès à ces renseignements et leurs caractéristiques;
  • les menaces et risques associés à la façon dont les renseignements sont conservés;

En règle générale, les mesures de précaution doivent être proportionnelles aux risques.

Par exemple, un site Web sur un projet réalisé en classe qui ne contient aucun renseignement identificatoire n’a pas à respecter les normes de sécurité les plus strictes.

Pour déterminer les risques et les mesures à prendre pour les atténuer, le CIPVP encourage vivement toutes les institutions à mener régulièrement une évaluation des menaces et des risques et des évaluations de l’incidence sur la vie privée. Veuillez consulter notre site Web pour obtenir des ressources et conseils supplémentaires sur la gestion des risques.

Atteintes à la vie privée et à la sécurité

Des atteintes à la vie privée et à la sécurité peuvent se produire, surtout si l’école, le conseil scolaire ou un membre du personnel enseignant ne se conforme pas à la LAIMPVP ou à une autre loi applicable qui établit des règles de gestion des renseignements personnels.  

En voici des exemples :

  • perte ou vol d’une clé USB contenant des renseignements personnels; 
  • envoi de correspondance par la poste ou par courriel à la mauvaise personne; 
  • divulgation de renseignements sur un élève sans consentement ou autorisation légale. Il peut s’agir de l’affichage de photos, de vidéos ou d’activités scolaires en ligne qui contiennent des renseignements personnels.

Voici certaines choses à faire et à ne pas faire pour protéger les renseignements personnels des élèves :

CHOSES À FAIRE 

  • protéger les renseignements personnels de vos élèves en sécurisant les fichiers et appareils électroniques;
  • recueillir et divulguer des renseignements personnels uniquement à des fins éducatives; 
  • demander conseil à la direction d’école avant d’utiliser un nouvel outil éducatif en ligne qui recueille des renseignements personnels concernant les élèves; 
  • alerter votre superviseur, votre gestionnaire ou la direction de l’école si vous apprenez qu’il a eu ou pourrait y avoir atteinte à la vie privée, et collaborer à toute enquête.

CHOSES À NE PAS FAIRE

  • recueillir plus de renseignements personnels que ce dont vous avez besoin; 
  • divulguer des renseignements personnels sur un élève, à moins que cela ne soit nécessaire pour des raisons éducatives; 
  • publier sur le site Web de l’école ou les médias sociaux des photos ou des renseignements permettant d’identifier des élèves sans leur consentement.

En cas d’atteinte à la vie privée ou de plainte, le CIPVP pourrait examiner les pratiques relatives aux renseignements des conseils scolaires et de leurs mandataires.  

Si le CIPVP établit qu’il y a eu collecte, utilisation ou divulgation non autorisée de renseignements personnels, un rapport nommant le conseil scolaire pourrait être publié. Dans un tel cas, le conseil scolaire serait tenu d’en informer les parents et les élèves concernés.

Il est important de souligner que les cyberattaques sont des crimes de plus en plus fréquents, et que les contrevenants utilisent des méthodes toujours plus perfectionnées. 

Pour aider les institutions publiques à se protéger contre les cyberattaques, nous avons publié deux feuilles-info, Se protéger contre les rançongiciels et Se protéger contre l’hameçonnage. Ces feuilles-info décrivent des démarches pour protéger les renseignements personnels, notamment la formation du personnel, des restrictions d’accès, des logiciels de protection et plus encore.

Pratiques exemplaires en matière de sécurité : travailler et apprendre dans le monde numérique

La pandémie de COVID-19 a eu une incidence considérable sur les modes traditionnels de travail et sur la prestation des services éducatifs.

L’administration des écoles et le personnel enseignant ont adopté le télétravail, ce qui, pour certains, a brouillé les limites entre la vie personnelle et professionnelle.

Les élèves et le personnel enseignant ont dû s’adapter à de nouvelles formes d’éducation en ligne en utilisant des ordinateurs personnels, des réseaux domestiques et l’accès à Internet.

Les écoles et conseils scolaires ont fait l’acquisition de nouveaux outils de communication numériques et de services de collaboration basés sur l’infonuagique, et dépendent donc dans une plus grande mesure de fournisseurs de services tiers.

Certains de ces outils et des services soulèvent des préoccupations en matière de sécurité de l’information et de protection de la vie privée.

Par exemple, contrairement à l’apprentissage en présentiel, ces solutions technologiques peuvent enregistrer du texte et des images, et consigner l’utilisation des appareils et les activités des utilisateurs.

Que le conseil scolaire fournisse un apprentissage à distance, en présentiel ou les deux, les lois ontariennes sur la protection de la vie privée s’appliquent toujours.
Le CIPVP a publié une feuille-info à l’intention des institutions publiques au sujet du télétravail et du respect des exigences des lois ontariennes sur la protection de la vie privée. Cette feuille-info donne des suggestions sur des aspects tels que :

  • l’aménagement d’un espace de travail à domicile;
  • l’accès Internet à distance sécurisé;
  • la sécurité des vidéoconférences en ligne.

Outils et services éducatifs en ligne

Comme nous l’avons déjà souligné, nombre d’écoles et de conseils scolaires de la province utilisent des outils et services numériques Web ou en ligne qu’ils se procurent auprès de fournisseurs de services afin de répondre à leurs besoins d’ordre éducatif et administratif.

Les écoles et conseils scolaires sont responsables du fonctionnement et de l’utilisation de ces outils et services en ligne, ainsi que des actes des fournisseurs de services.

Les écoles et conseils scolaires doivent s’assurer que ces fournisseurs de services ne recueillent, n’utilisent ou ne divulguent pas de renseignements personnels concernant les élèves de façon irrégulière.

Le CIPVP recommande aux écoles et aux conseils scolaires qui envisagent d’utiliser des outils et services éducatifs en ligne de suivre au moins les étapes suivantes :

  1. Désigner un responsable de l’utilisation des outils éducatifs en ligne.
  2. Appliquer des politiques et procédures d’évaluation, d’approbation et de soutien. 
  3. Fournir au personnel enseignant et aux autres membres du personnel une formation continue sur la protection de la vie privée et la sécurité. 
  4. Informer les élèves, les parents et les tuteurs que ces services pourraient recueillir des renseignements personnels, et expliquer l’usage qui en sera fait.

Plateformes et services de communication

Les services de communication en ligne, comme les plateformes de vidéoconférence, permettent la collaboration à distance et l’apprentissage virtuel.

Les écoles et les conseils scolaires se servent couramment de ces plateformes et services en ligne depuis le début de la pandémie.

Les plateformes de vidéoconférence présentent de nouveaux risques pour la sécurité et la vie privée, ou aggravent les risques existants, particulièrement si les contrôles de sécurité ne sont pas assez stricts et si une formation insuffisante a été fournie aux utilisateurs.

Le CIPVP recommande les pratiques exemplaires suivantes aux écoles et conseils scolaires :

  • faire preuve de diligence lors de l’acquisition de ces outils et services et de leur intégration dans leurs activités;
  • prévoir des modalités contractuelles qui régissent le service et le traitement des renseignements personnels; 
  • contrôler l’accès aux plateformes et services ainsi qu’aux renseignements personnels;
  • normaliser la configuration et les paramètres, et tenir les logiciels à jour;
  • fournir au personnel enseignant une formation adéquate concernant toutes les plateformes;
  • mettre en place des mesures de précaution appropriées afin d’assurer la protection de la vie privée et de la sécurité et d’éviter les atteintes à la vie privée.

Nous recommandons aussi aux écoles et aux conseils scolaires de fournir des directives claires aux élèves et aux parents sur l’utilisation de ces outils à la maison, et de s’assurer qu’ils appliquent les pratiques exemplaires suivantes :

  • utiliser les outils dans un endroit privé où il n’y a pas de distractions;
  • toujours porter des écouteurs;
  • flouter l’arrière-plan;
  • activer l’option permettant de montrer ou de cacher le visage des élèves;
  • limiter la capacité d’enregistrer les séances vidéo.

Les contrats et la sécurité des renseignements personnels

Notre bureau a publié récemment deux rapports sur des plaintes concernant la protection de la vie privée liées à l’utilisation par des conseils scolaires de services de gestion de données basés sur l’infonuagique.

Ces rapports contiennent des indications importantes pour les administrateurs et membres du personnel des écoles.

Ces deux enquêtes ont permis de conclure que le conseil scolaire avait recueilli, utilisé et divulgué des renseignements personnels concernant les élèves en conformité avec la LAIMPVP, et que des modalités contractuelles raisonnables avaient été établies pour assurer la protection et la sécurité de ces renseignements personnels.

Cependant, selon la première enquête, le conseil scolaire en question n’avait pas mis en place des mesures de surveillance raisonnables pour s’assurer que le fournisseur de services s’acquittait de ses obligations en matière de sécurité conformément au contrat.

Le rapport a donc recommandé que le conseil scolaire renforce et documente les mesures prises pour veiller à ce que le fournisseur de services respecte les exigences obligatoires du contrat, notamment en l’obligeant à :  

  • subir une vérification indépendante de la sécurité et de la protection des données dont les résultats et les conclusions seront fournis au conseil scolaire; 
  • confirmer qu’il a mis en œuvre toutes les recommandations formulées par un expert en sécurité lors d’une récente évaluation; 
  • adopter des politiques et des contrôles en matière d’information et de sécurité qui sont alignés sur un cadre technique et organisationnel et qui peuvent faire l’objet d’une vérification indépendante.

La deuxième enquête a recommandé certains changements à l’avis de collecte pour plus de transparence à l’égard des parents et des élèves, et une amélioration de la surveillance par le conseil scolaire des mesures de sécurité prises par des tiers, notamment en :

  • demandant des rapports de sécurité réguliers et des preuves de conformité;
  • examinant tout changement important apporté à la portée des services ou à leurs caractéristiques;
  • déterminant s’il y a lieu d’effectuer une nouvelle évaluation de la protection de la vie privée et de la sécurité.

Ces deux rapports sur des plaintes concernant la protection de la vie privée rappellent aux conseils scolaires de respecter leur obligation de protéger la vie privée des élèves, et non seulement de conclure des contrats solides, mais aussi de surveiller la conformité à ses modalités.

Regard vers l’avenir

Les enfants et les jeunes dans un monde numérique est l’une des priorités stratégiques que le CIPVP a choisies pour orienter ses activités au cours des quatre prochaines années.  

Notre objectif est de défendre les droits des enfants et des jeunes en matière de protection de la vie privée et d’accès à l’information en favorisant leur littératie numérique et l’expansion de leurs droits numériques, tout en tenant les institutions responsables de protéger les enfants et les jeunes qu’elles servent.

Dans le cadre de notre plan d’action visant à faire progresser cette priorité stratégique, nous sommes impatients de collaborer avec les intervenants en éducation de l’Ontario, notamment les écoles et les conseils scolaires, ainsi que les élèves, les parents et les tuteurs.

N’oubliez pas de visiter notre site Web à www.ipc.on.ca; vous y trouverez d’autres ressources. Le CIPVP est toujours au service des institutions publiques ontariennes; veuillez donc communiquer avec nous si vous avez des questions ou si avez besoin d’autres conseils.  

Suivez-nous sur Twitter à @cipvp_ontario pour les dernières nouvelles sur l’accès à l’information et la protection de la vie privée, et abonnez-vous à notre canal YouTube, qui propose des vidéos telles que celle-ci sur une variété de sujets touchant l’accès à l’information et la protection de la vie privée.

Vous pouvez également écouter le balado L’info, ça compte du CIPVP, accessible partout où vous écoutez vos balados préférés.

Merci de votre attention.
 

Topics
Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.