Ce texte règlementaire a pour objectif de protéger les libertés et droits fondamentaux des personnes physiques notamment en établissant des règles relatives à la protection des données à caractère personnel.
Applicable depuis 2018, il étend les droits des personnes concernées et responsabilise l’ensemble des acteurs qui traitent des données personnelles. Ce règlement européen définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Il garantit un certain nombre de droits pour les personnes concernées.
- qu'elle est établie sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
L’Université Paul Valery, organisme public traitant des données personnelles est donc concernée par ce texte.
En cas de non respect du RGPD, certains risques sont encourus :
- Risque financier : le RGPD prévoit la possibilité d’être condamné financièrement. Par ailleurs, il consacre la réparation du préjudice de chaque personne lésée par un manquement à ses dispositions ainsi que la possibilité de mettre en œuvre une action de groupe pour avoir de meilleures chances d’obtenir réparation ;
- Risque pénal : de nombreux manquements aux dispositions du RGPD constituent des infractions pénales ;
- Risque sur le système d’information et la continuité de l’activité : le RGPD rend possible la suspension, l’arrêt ou la limitation du traitement litigieux ;
- Risque réputationnel : certaines décisions de condamnation sont susceptibles d’être rendues publiques par la Cnil.
Par exemple : un nom, une photo, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, une adresse IP, etc (article 4 du RGPD).
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : numéro de sécurité sociale, numéro étudiant, plaque d’immatriculation…)
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)
Traiter de telles données est normalement interdit sauf si :
- les personnes concernées ont donné leur « consentement explicite » éclairé, ou
- si les informations sont manifestement rendues publiques par la personne concernée, ou
- le responsable du traitement a sollicité et obtenu de la CNIL une autorisation datée pour effectuer ce traitement de données sensibles, ou
- si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.
Le responsable du traitement prend toutes les mesures nécessaires à la préservation des droits des personnes concernées (article 9 du RGPD).
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Exemple de données traitées au sein de l’Université Paul Valery :
• Données d’identification (nom, prénom, photo, âge, numéro de sécurité sociale, lieu de naissance, INE, numéro étudiant…)
• Données de situation familiale (situation matrimoniale, nombre d’enfants, …)
• Données de contacts (téléphone, adresse, courriel, adresse mail professionnelle…)
• Données financières (avis d’imposition, relevé bancaire, …)
• Données professionnelles (profession, cv, …)
• Données de connexions (adresse IP de votre ordinateur, nombre de logs, …)
• Données de scolarité (diplômes, notes, candidatures, …)
• Données d’enquêtes (avis, commentaires, appréciation, …)
Exemple de sources des données :
• Données issues des plateformes de candidatures
• Données issues d’un entretien
Statut | Définition | Articles concernés |
Personne concernée | Personne dont les données sont collectées traitées, ce qui permet soit de l’identifier, soit de la rendre identifiable par recoupements avec d’autres données. | Considérants, Article 4, Articles 12 et s., Articles 77 et s. |
Responsable de traitement | Présidente de l’Université Paul Valéry | Considérants, Article 4, Articles 24, Article 82. |
Sous-traitant | Personne physique ou morale, autorité publique, service ou tout organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. Le sous-traitant doit présenter des garanties de fiabilité au sous-traitant et est assujetti à un certain nombre d’obligations. | Considérants, Article 4, Article 28, Article 82. |
Destinataire de données | Personne physique ou morale, autorité publique, service ou tout autre organisme qui reçoit communication de données à caractère personnel. Contrairement au responsable de traitement et au sous-traitant, le destinataire ne traite pas les données. | Considérants, Article 4, Article 19. |
Délégué à la protection des données (DPO) | Personne physique désigné de façon obligatoire, par un responsable de traitement ou un sous-traitant afin d’être associé à toutes les questions relatives à la protection des données à caractère personnel. Le DPO est titulaire de missions de conseil, de contrôle du respect du RGPD et de coopération avec la Cnil. | Articles 37-39 relatifs à sa désignation, ses missions et fonctions |
Responsable conjoint de traitement | Responsable de traitement qui détermine les finalités et moyens d’un traitement de façon conjointe avec un autre responsable de traitement : les prérogatives peuvent être librement réparties entre les co-responsables de traitement. | Considérants, Article 4, Article 26, Article 82. |
Il y a donc de nombreuses personnes concernées par les traitements : personnel BIATSS et enseignants-chercheurs, vacataires, stagiaires, stagiaires de la formation continue, apprentis étudiants… : ce sont les personnes internes à l’Université ; prestataires, visiteurs… : ce sont les personnes externes à l’établissement.
Pour que des données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible et de manière irréversible toute identification de la personne concernée : noms masqués, visages floutés, etc.
Attention : s'il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l'utilisation de moyens techniques divers, d'identifier une personne, les données sont toujours considérées comme personnelles, le RGPD s’applique donc. Il ne faut pas simplement pseudonymiser les données. L’anonymisation n’est donc pas à confondre avec la pseudonymisation (considérant 26 du RGPD).
- La licéité du traitement, c’est-à-dire le fondement du traitement, la loyauté et transparence du traitement
- La finalité du traitement
- La minimisation des données
- L’exactitude des données
- La conservation limitée des données
- L’intégrité et la confidentialité des données
- Licéité, loyauté et transparence du traitement
Le responsable du traitement doit vérifier que le traitement des données est licite, c’est-à-dire qu’il repose sur une base juridique. Il faut pouvoir expliquer pourquoi le traitement de telle donnée est réalisé. Le RGPD énonce 6 bases juridiques sur lesquels le traitement peut reposer :
- La personne a consenti au traitement de ses données
- Le traitement est nécessaire à l’exécution d’un contrat
- Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
- Le traitement est nécessaire à l'exécution d'une mission d'intérêt public
- Le traitement est nécessaire aux fins des intérêts légitimes pour responsable du traitement
En outre, il faut :
- Limiter les finalités
La finalité du traitement doit correspondre à l’objectif suivi.
- Minimiser les données
Les données ne peuvent être collectées que si cela est strictement nécessaire à la finalité du traitement.
- Exactitude
Les données collectées doivent être exactes et tenues à jour si cela est nécessaire. Si tel n’est pas le cas, elles doivent être effacées.
- Limitation de la conservation
Les données ne peuvent être conservées que pour une durée prédéfinie et limitée ; la finalité du traitement détermine la durée de conservation. A l’issue du traitement, les données peuvent être anonymisées.
- Intégrité et confidentialité
Le responsable de traitement doit prendre « les mesures techniques ou organisationnelles appropriées » pour garantir la sécurité des données personnelles. Il doit donc veiller à ce que l’intégrité et la confidentialité des données soient garanties. Il peut par exemple mettre en place des mots de passe, ranger les données dans une armoire fermée à clé… Il faut mettre en place des mesures appropriées de protection des données personnelles pour être en conformité avec le RGPD.
- Droit à l’information : toute personne concernée par un traitement de ses données personnelles doit être informée de cela. La personne doit être informée de la finalité du traitement, l’utilisation des données, la durée de conservation des données
- Droits d’accès et de rectification : la personne concernée a le droit d’accéder à ses données et d’introduire une demande de rectification ou limitation du traitement.
- Droits d’opposition et droit à l’effacement : le responsable du traitement doit effacer toutes les données dès lors qu’elles ne sont plus nécessaires aux ou dès lors que la personne concernée le demande. Cependant, les données peuvent être conservées si leur suppression risquerait de rendre impossible ou d’entraver sérieusement la réalisation des finalités.
- Droit à la portabilité des données : les personnes concernées ont le droit de recevoir les données les concernant et de les transmettre à un autre responsable de traitement sans obstacle.
- Droit à la limitation du traitement : les personnes concernées peuvent demander à ce que soit gelée temporairement l’utilisation de certaines ou de la totalité de leurs données.
Pour les documents papiers, il est nécessaire de veiller à les conserver dans un lieu verrouillé.
Enfin, n’hésitez pas à contacter votre déléguée à la protection des données.
- la finalité du traitement,
- les catégories de données personnelles concernées,
- les destinataires de ces données,
- les catégories et les droits des personnes concernées,
- comment vous allez les utiliser,
- si vous avez fait signer des consentements,
- combien de temps vous allez conserver les données,
- si vous avez fait appel à un sous-traitant,
- si vos données sont transférées hors UE.
Pour la joindre : dpo(arobase)univ-montp3(point)fr (Sonia Greze).
Elle vous accompagnera dans vos démarches, son rôle étant d’informer et conseiller le responsable de traitement, contrôler le des normes applicables en matière de protection des données, coopérer avec l’autorité de contrôle (CNIL) (articles 38 et 39 du RGPD).
Enfin, dans chaque composante, vous pourrez trouver un référent RGPD. La liste est fournie sur le site de l’Université en mode « connecté » : https://www.univ-montp3.fr/fr/universit%C3%A9/universit%C3%A9-durable-citoyenne-et-solidaire/r%C3%A9f%C3%A9rents-rgpd/les-r%C3%A9f%C3%A9rents
- RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
- Loi informatique et libertés : https://www.legifrance.gouv.fr/loda/id/LEGISCTA000006095896
- Charte des droits fondamentaux de l’Union européenne : https://www.europarl.europa.eu/charter/pdf/text_fr.pdf
- Site de la CNIL : https://www.cnil.fr/fr
