Cette article est de la catégorie Services et du dossier Identity Management

Conservation de données à vie et droit à l'oubli

Quelles réponses SWITCH apporte-t-elle aux questions en rapport avec la protection des données et la Swiss edu-ID ?

Texte: Esther Zysset, publié le 01.10.2015

Carte d'étudiant-e, carte de bibliothèque, login universitaire et bien plus – mais sans carte physique : la Swiss edu-ID sera tout cela. Mais du point de vue juridique, la Swiss edu-ID est en premier lieu synonyme de données, aussi nommées attributs. Ces derniers sont des informations sur l'utilisateur qui proviennent de différentes sources ou attribute authorities et qui sont enregistrées et transmises, généralement à des service providers.

Il en allait déjà ainsi avec SWITCHaai (voir aussi contribution page 4). La Swiss edu-ID présente cependant les nouveautés suivantes :

  • SWITCH en tant qu'instance de création de comptes : Le compte Swiss edu-ID n'est plus créé par la haute école, mais par SWITCH, et ce comme auparavant à l'initiative de l'utilisateur. Il existe donc dorénavant une instance centrale de création de comptes, appelée identity provider en jargon technique. Cette solution est avantageuse en ce sens que les hautes écoles ont moins de travail et que les redondances sont évitées. Le fait que toutes les données soient concentrées à un endroit constitue néanmoins un risque. La sécurité et la disponibilité des données sont dès lors d'autant plus déterminantes. Se pose, pour SWITCH, la question de savoir comment gérer la protection des données.
  • Disponibilité à vie : La Swiss edu-ID doit être à la disposition de l'utilisateur tout au long de sa vie, ce qui soulève la question du "droit à l'oubli" (right to be forgotten). Des implications pratiques surgissent pour SWITCH : comment l'identité peut-elle être utilisée à vie sans entraîner, sans raison et des années ou des décennies durant, le stockage d'une montagne de données personnelles inutilisées ?

Il faut de surcroît veiller à distinguer les deux usages de la Swiss edu-ID. Il importe alors de savoir qu'en matière de protection des données, s'applique le droit de celui qui décide du but de l'utilisation des données, soit, pour le dire avec les mots de la loi, du but de leur traitement :

 

  • Premier but : La simplification des processus administratifs pour l'administration des hautes écoles. Dans ce cas, c'est la haute école qui décide du but du traitement. SWITCH a par contre le rôle de mandataire assurant le traitement des données de la haute école En tant que telle, elle est soumise aux mêmes règles de protection des données que la haute école – dans la plupart des cas à des règles cantonales.
  • Second but : L'utilisation de la Swiss edu-ID à des fins privées par le détenteur de l'identité, par exemple pour l'achat d'un produit dont le prix est réduit pour les étudiant-e-s. Dans ce cas, l'utilisateur décide seul qui reçoit quelles données le concernant. En tant que partenaire contractuelle de l'utilisateur, SWITCH n'a alors d'obligations qu'envers ce dernier et est soumise à la loi fédérale sur la protection des données.

Comme nous l'avons montré ci-dessus, les hautes écoles sont, s'agissant de la simplification des processus administratifs, soumises aux règles cantonales concernant le traitement des données. Lesdites règles peuvent varier considérablement d'un canton à l'autre. Pour tenir compte dès le stade de la conception de la Swiss edu-ID des exigences des différentes lois cantonales, SWITCH a pris contact avec diverses autorités chargées de la protection des données et leur a demandé leur avis. Des entretiens ont eu lieu avec le préposé fédéral à la protection des données et à la transparence (PFPDT) ainsi qu'avec les autorités des cantons de Zurich, Fribourg et Lucerne. Les informations ainsi rassemblées seront progressivement intégrées aux travaux à venir.

Les connaissances suivantes l'ont déjà été :

  • Conservation des attributs chez SWITCH : Une fois que l'utilisateur a quitté la haute école, ses attributs doivent être conservés, s'il souhaite continuer d'utiliser la Swiss edu-ID. La haute école a, dans la plupart des cas, besoin à cet effet d'une base légale qui n'existe pas à l'heure actuelle. Par conséquent, les attributs de l'utilisateur doivent être transmis à SWITCH pour pouvoir continuer d'être utilisés, car SWITCH n'est pas soumise à cette exigence.
  • Conservation des données à vie : La Swiss edu-ID doit, d'une part, être disponible tout au long de la vie de l'utilisateur, c'est-à-dire pouvoir être réactivée en cas de besoin. D'autre part, les attributs d'une Swiss edu-ID inutilisée ne peuvent pas être conservés éternellement eu égard à la protection de la personnalité. Pour concilier ces intérêts contradictoires, il faut demander à intervalles réguliers – par exemple tous les cinq ans – au détenteur d'une Swiss edu-ID inutilisée si ses données doivent continuer d'être conservées ou si elles doivent être supprimées.

Le point suivant doit demeurer inchangé par rapport à SWITCHaai : c'est à l'utilisateur de décider de la communication de ses attributs aux service providers moyennant un user consent.

Cet article a paru au Journal SWITCH octobre 2015.
Autres articles sur des questions juridiques en rapport avec la Swiss edu-ID :

 

L'auteur
Esther   Zysset

Esther Zysset

Esther Zysset dirige le service juridique chez SWITCH depuis 2012. Précédemment, elle travaillait comme avocate dans une étude économique.

E-mail

Swiss edu-ID

SWITCH est en train de créer, en collaboration avec les hautes écoles suisses, une identité numérique valable à vie. Grâce à elle, tous les titulaires pourront avoir accès à des services universitaires. Plutôt que d’avoir plusieurs identités pour des accès différents, ils n’en auront plus besoin que d’une seule. La Swiss edu-ID est une évolution de SWITCHaai, mis en place il y a dix ans et utilisé par plus de 400 000 personnes. La Swiss edu-ID représente une avancée décisive : SWITCHaai a été conçu pour l’utilisation de ressources web et présuppose l’appartenance à une institution. En revanche, la Swiss edu-ID a été créée pour être utilisée de manière plus globale et en tant qu’identité durable.

http://projects.switch.ch/eduid/
Autres articles