Caroline Boyer-Capelle : « Le RGPD veille à la garantie des droits des personnes et à la sécurisation des données »
Caroline Boyer-Capelle, déléguée à la protection des données, vous explique les implications liées au nouveau Règlement Général sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018.
Vous êtes déléguée à la protection des données, pouvez-vous nous expliquer en quoi cela consiste ?
La fonction de déléguée à la protection des données (DPD) remplace celle de Correspondant Informatique et Libertés qui existait auparavant. Mais le changement est essentiellement sémantique car les missions restent les mêmes : accompagner la mise en œuvre de la protection des données personnelles au sein de l’université. Cela se traduit par différentes actions : informer et conseiller sur cette question, tenir à jour un registre dans lequel sont listés les traitements de données personnelles développés au sein de l’université, contrôler le respect des principes de protection des données, servir de relais entre l’université et la Commission Nationale Informatique et Libertés (CNIL). Le ou la DPD agit de manière indépendante et doit être impliqué.e dans toutes les questions relatives à la protection des données personnelles.
Le règlement général sur la protection des données personnelles est rentré en application le 25 mai 2018. Qu’est-ce que cela change concrètement pour les utilisateurs et utilisatrices ? Et plus particulièrement à l’Université de Limoges ?
Le RGPD a pour ambition d’uniformiser les réglementations relatives à la protection des données au sein des pays membres de l’Union Européenne et de développer ou perfectionner les garanties offertes aux personnes en ce qui concerne le respect de leurs données personnelles. Il s’inscrit dans la continuité de la réglementation déjà existante mais fait évoluer les attentes qui pèsent sur le ou la responsable de traitement, c’est-à-dire celui au nom de qui des données personnelles sont collectées, exploitées, etc.
Le principe est désormais celui de l’accountability : le cas échéant, le responsable de traitement doit pouvoir rendre compte, c’est-à-dire pouvoir démontrer qu’il a respecté les obligations et garanties attachées à la protection des données. C’est un changement important car auparavant, le système était fondé sur une logique de déclaration : ponctuellement, il appartenait au responsable de traitement de déclarer à la CNIL les traitements de données personnelles. Désormais, il y aura beaucoup moins de déclarations à faire, mais une démarche éthique à démontrer, de manière globale. C’est une évolution importante pour l’Université de Limoges, qui, comme toutes les universités, concentre beaucoup de données personnelles, dans le cadre de la gestion administrative des personnels et étudiants comme dans celui des activités pédagogiques et de recherche.
Quel est l’objectif de cette évolution ?
L’objectif principal est une responsabilisation des acteurs et actrices, qui doivent, dès la conception et durant toute la durée du traitement de données personnelles, veiller à la garantie des droits des personnes et à la sécurisation des données.
Quels sont les principes fondamentaux de la protection des données ?
Le principe essentiel est celui du consentement de la personne, qui doit accepter, en toute connaissance de cause, le traitement de données lui appartenant. Ce consentement n’est pas libre et éclairé si la personne n’a pas été informée de certaines caractéristiques essentielles attachées au traitement. Ces caractéristiques doivent être définies avec soin par le ou la responsable du traitement dès la conception de ce dernier :
- quelle est la finalité du traitement, son but ?
- Quelles sont, au minimum, les données nécessaires pour atteindre cette finalité ?
- Durant combien de temps ces données doivent-elles être conservées ?
- Quelles sont les mesures assurant la sécurité, l’intégrité, la confidentialité de ces données ?
L’information donnée aux personnes doit également rappeler qu’ils ont des droits sur leurs données : droit d’accès, de rectification, de suppression, etc.
Avez-vous des conseils à donner aux personnes qui collectent des données ?
D’abord, de bien réfléchir à la nécessité ou non de collecter des données personnelles, et dans le cas où cela est nécessaire, de minimiser autant que possible le nombre de données à collecter.
Ensuite, de faire attention à la réutilisation des données : la réutilisation ultérieure de données pour une nouvelle finalité est interdite si la personne n’a pas donné son consentement.
Faire attention également aux transfert de données dans des pays hors Union européenne, qui ne relèvent pas du même niveau de protection.
Utiliser des solutions informatiques validées par l’Université de Limoges, qui respectent le niveau de sécurité RGPD
Et ne pas hésiter à me contacter dès lors que l’on envisage de traiter des données personnelles, afin de pouvoir examiner ensemble la conformité du traitement !
Comment peut-on vous contacter ?
L’adresse est la suivante : cil@unilim.fr
BP 23204
87032 Limoges - France
Tél. +33 (0)5 55 14 91 00