Protection des données

Présentation

Protéger les données, qui lui sont confiées, est l'essence même de la Politique de Sécurité des Systèmes d’Information de l’Université de Lorraine. Elle augure la confiance, que les usagers portent à l’UL, et l’établissement y est particulièrement attentif.

Un nouveau règlement sur la protection des données est entré en vigueur le 25 mai 2018. Il attribue à chaque personne, gérée par les services de l’UL et/ou qui utilise les services de l’UL et fournit des données personnelles pour y accéder, de nouveaux droits pour le respect de sa vie privée. Il confère également à l’université des obligations supplémentaires quant à la manière dont elle utilise ces données.

Pour garantir son engagement dans l’application rigoureuse de cette règlementation, l’UL a nommé Jean-Daniel DURAND, en qualité de Délégué à la Protection des Données (DPO). Son rôle est de veiller au bon respect des nouvelles dispositions sur tout le périmètre de l’UL. Il est aussi l’interlocuteur privilégié des usagers et personnels de l’université pour répondre aux questions qu’ils se posent sur le sujet : dpo-contact@univ-lorraine.fr.

Règlement Général sur la Protection des Données (RGPD)

Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence qui encadre le traitement des données personnelles sur tout le territoire de l’Union Européenne. Composé de 99 articles, ses 173 considérants de principe détaillent la nouvelle législation. Conçu pour harmoniser le cadre juridique européen, il donne notamment davantage de contrôle aux individus sur leurs données personnelles.

Toutes les entreprises, organismes publics et associations, des États membres de l'UE, qui collectent et/ou traitent des informations sur les résidents européens, sont concernés. L’Université de Lorraine y est donc assujettie de fait.

Le règlement européen ouvre des droits supplémentaires aux personnes pour protéger leur vie privée et de nouveaux devoirs aux responsables de traitement qui recueillent et utilisent ces données.

Le RGPD s’inscrit dans la dynamique et la continuité des règlementations précédentes, qu'elles soient européennes ou françaises :

Données personnelles

Présentation

Le RGPD définit comme donnée personnelle, toute information qui permet d’identifier directement ou indirectement une personne physique. Le champ des possibles est très large. Il peut s’agir du nom et du prénom d’un individu, mais aussi de son identifiant, du numéro de sa plaque d’immatriculation, de son adresse ip ou même encore de sa voix. L’identification peut être réalisée à partir d’une seule information ou par recoupement de plusieurs.

Certaines données sont qualifiées de « sensibles ». C’est le cas, par exemple, des informations qui ont trait à l’origine ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à la santé, … Le règlement européen interdit leur traitement sauf dans le cas d’exceptions clairement identifiées.

Typologie des données collectées par l’UL

Lors d’une inscription à l’Université, dans le cadre d’un contrat de travail, pour obtenir des notes d’examens, via une enquête de satisfaction et dans bien d’autres situations, l’Université de Lorraine collecte des données qui vous sont personnelles. Une grande partie d’entre-elles sont à l’usage de services comme les RH, la compta, la scolarité, la médecine du travail, …

  • Données d’identification (nom, prénom, photo, âge, numéro de sécurité sociale, lieu de naissance, …)
  • Données de situation familiale (situation matrimoniale, nombre d’enfants, …)
  • Données de contacts (téléphone, adresse, courriel, …)
  • Données financières (avis d’imposition, relevé bancaire, …)
  • Données professionnelles (profession, cv, …)
  • Données de connexions (adresse IP de votre ordinateur, nombre de logs, …)
  • Données de scolarité (diplômes, notes, candidatures, …)
  • Données d’enquêtes (avis, commentaires, appréciation, …)

D’autres informations, vous concernant, ont pu être recueillies différemment. C’est le cas par exemple si vous avez participé à une cohorte dans le cadre de travaux de recherche d’un laboratoire de l’UL. Il peut s’agir de données sensibles et confidentielles. Sachez que, dans tous les cas, elles vous appartiennent et que des droits y sont liés quant à l’usage qui peut en être fait.

Traitement des données

Présentation

L’utilisation faite des données personnelles ou sensibles est nommée « traitement ». La CNIL le définit comme « une opération, ou un ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement) ».

Traitement des données collectées par l’UL

L’Université de Lorraine traite les données collectées dans le strict respect de la règlementation et pour les seuls besoins du fonctionnement de ses services ou de son organisation et de l’accomplissement de ses missions (formation, recherche, orientation, insertion).
A titre d’exemples, ci-dessous les traitements les plus fréquents :

  • Traitement pour la gestion des comptes informatiques
  • Traitement pour la gestion administrative
  • Traitement pour la constitution de listes de diffusion
  • Traitement pour la mise à disposition de services numériques
  • Traitement à des fins de gestion de la vie étudiante ou du personnel

obligations liées au traitement des données

A l’UL, les données des usagers sont utilisées dans le respect des 6 points de responsabilité, énoncés dans l’Article 5 du RGPD, à savoir :

Droits liés au TRAITEMENT DES données personnelles

En conformité avec l’article 6 du RGPD, l’Université de Lorraine ne collecte et ne traite des informations personnelles que de manière licite avec l’accord de ses usagers lorsque c’est nécessaire et en respectant le droit d’opposition. Elle utilise en toute transparence les données recueillies et respecte les droits de leurs propriétaires tels qu’ils sont définis par le RGPD.

Délégué à la Protection des Données (DPO)

Présentation

Le RGPD introduit un nouvel acteur dans le domaine de la protection des données, le Data Protection Officer (DPO), soit en français le Délégué à la Protection des Données. Cette fonction s’inscrit dans la lignée du « Correspondant Informatique et Libertés » (CIL) instauré par la Loi dite « Informatique et Liberté » de 1978, modifiée. Il est, pour l’université, l’interlocuteur de la CNIL.

Missions

La mission principale du DPO est de s’assurer que l’Université de Lorraine respecte le cadre légal relatif à la protection des données personnelles lorsqu’elle collecte et traite les données de ses usagers (étudiants, personnels, partenaires, fournisseurs, …). Son rôle l’amène à travailler avec de nombreux départements et personnels : les Ressources Humaines (RH), la Direction de la Communication, les RSSI, les services juridiques, les équipes de développement, … Il s’informe également des nouvelles obligations, conseille et émet des recommandations aux responsables des traitements et à la gouvernance du numérique en matière de protection des données.

Pour assurer cette mission le DPO de l’UL est principalement chargé de :

  • Informer, conseiller et accompagner les décideurs et porteurs de projet afin de faire respecter le règlement européen et le droit national en matière de protection des données personnelles
  • Sensibiliser au sein des services et composantes aux enjeux de la protection des données personnelles
  • Recevoir et répondre à toute question ou réclamation relative à la protection des données
  • Superviser des audits internes sur la protection des données personnelles
  • Conseiller les responsables des traitements sur l'opportunité de réaliser une analyse d'impact vie privée et en vérifier l'exécution

Pour rappel, le DPO de l’UL est Jean-Daniel DURAND. Il est votre interlocuteur pour toutes problématiques ayant trait à vos données :  dpo-contact@univ-lorraine.fr.

Liens recommandés

Les kits pratiques que la CNIL met à disposition pour mettre en place au mieux le RGPD.
Le MOOC en ligne sur le RGPD,  L'atelier RGPD, pour se former aux droits et obligations du Règlement européen.