En matière de gestion des données à caractère personnel, l'université est soumise au cadre européen du RGPD. Sonia Greze, déléguée à la protection des données, a pour mission de faire appliquer cette réglementation dans les services via, notamment, un réseau de correspondants.
Quel est le cadre juridique qui s'impose à l'université en matière de collecte et de gestion des données à caractère personnel des usagers et des personnels ?
C’est le Règlement général sur la protection des données (RGPD) qui est le cadre juridique de nos traitements de données à caractère personnel. Ce règlement européen vise à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il est applicable depuis le 25 mai 2018. Il vient compléter la loi informatique et liberté du 6 janvier 1978 qui a notamment créé la CNIL (Commission nationale de l'informatique et des libertés).
La protection des données à caractère personnel constitue l’une des dimensions du droit au respect de la vie privée, c’est un droit fondamental. Le RGPD définit les principes à respecter lors de la collecte, du traitement et de la conservation des données.
Il est destiné à renforcer la protection des données personnelles de tout un chacun à une époque où nous laissons partout des traces numériques, lesquelles sont devenues un objet commercial.
Il responsabilise l’ensemble des acteurs qui traitent les données personnelles. En tant que citoyen nous trouvons rassurant d’avoir notre mot à dire quand une plateforme commerciale sur internet enregistre des données nous concernant ; et nous nous réjouissons que les informations confiées à notre médecin où à notre employeur ne puissent pas se retrouver « en ligne » ou mises à la disposition du plus offrant.
Au sein de l'université quels sont les services concernés et pour quels types de données ?
En réalité tous les services de l’université collectent et traitent de données à caractère personnel. Il suffit de collecter une liste de données identifiantes directement (nom, prénom) ou indirectement (numéro étudiant) pour constituer un traitement de données à caractère personnel.
Bien sûr, les services tels que la DRRH (identité, coordonnées personnelles, RIB), la DES (identité, coordonnées, qualité de boursier), la Recherche (tout type de données personnelles), l’Agence comptable, collectent et traitent de nombreuses données personnelles. Celles-ci n’ont pas toutes le même statut, certaines étant plus « sensibles » que d’autres, nécessitant une sécurisation particulière (ex : données de santé).
Pour gérer les données personnelles détenues par l'université, pourquoi avoir créé un réseau des correspondants RGPD ?
C’est notamment pour avoir un relais dans chaque service que ce réseau a été créé. Les personnels en charge des traitements sont les mieux placés pour protéger les données qu’ils traitent. Se conformer au RGPD ne se limite pas à remplir des fiches de traitements, cela doit se traduire concrètement dans les services par la mise en place de bonnes pratiques telles que la minimisation des données, le respect des durées de conservation, la loyauté et la licéité des traitements.
Les référents sont les porteurs de ces bonnes pratiques, ils veillent à leur échelle au respects des règles du RGPD. Leur rôle est donc primordial.
Nous avons organisé un petit déjeuner des référents au mois d’octobre pour lancer notre plan d’action 2023-2024, avec notamment la reprise des ateliers et des formations. Notre objectif pour cette année universitaire est de finaliser la cartographie des traitements de l’université.
Les référents sont venus nombreux et enthousiastes !