La protection des données personnelles est un enjeu majeur de notre époque. Au sein de l’université, cette mission a été confiée depuis le 1er octobre 2019 à Sarah Pauloin, Directrice du pôle Sécurisation des données et des documents au sein de la direction générale déléguée aux affaires juridiques. Elle est l’interlocutrice incontournable sur le sujet et nous explique son rôle et ses missions principales qui allient contrôle, conseil et sensibilisation.
Comment définissez-vous votre rôle de déléguée à la protection des données (DPD) ?
C’est une fonction relativement récente qui n’existe que depuis 2018 avec la mise en application du RGPD, et vient remplacer le correspondant Informatique et Libertés (CIL). Mon rôle principal est d’assurer la conformité à la réglementation des traitements de données à caractère personnel et permettre leur inscription au “registre des activités de traitement” de l’université.
Quelles sont vos missions principales ?
Je suis chargée de contrôler, sensibiliser et conseiller l’ensemble de la communauté universitaire sur les questions relatives au RGPD. Je suis également le point de contact privilégié auprès de la CNIL (Commission nationale de l’informatique et des libertés) et de l’ensemble des personnes concernées par les traitements de données personnelles. Je suis une sorte de cheffe d’orchestre de la donnée personnelle !
Dans quels cas doit-on faire appel à l’avis du DPD ?
Chaque activité de traitement de données personnelles, que ce soit dans le domaine de la recherche, de la formation ou en matière administrative, doit être inscrite au registre des activités de traitement, préalablement à sa mise en œuvre. Un traitement de données personnelles est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé. Il n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions. Il peut s’agir de projets de recherches scientifiques (doctorants et chercheurs), de la mise en œuvre d’outils numériques traitant des données personnelles, de la mise en œuvre de sondages et questionnaires, demande de transfert de données à d’autres acteurs hors université, traitements RH, traitements relatifs à la gestion de la scolarité… Il est donc nécessaire de me contacter avant toute mise en œuvre d’un traitement de données tout en sachant qu’in fine c’est le responsable de traitement (légalement, la Présidente de l’université) qui autorise ou non la mise en œuvre du traitement de données.
Comment abordez-vous votre mission de sensibilisation sur ce sujet au sein de l’établissement ?
Tout d’abord, je mène des actions de sensibilisation à l’échelle de structures de recherche, de services administratifs ou encore à destination d’une population déterminée, par exemple pour des enseignants-chercheurs (LIEN), des doctorants (LIEN). Je suis également sollicitée directement pour des interventions.
Pour permettre à chacun d’agir avec une certaine autonomie une documentation spécifique concernant l’utilisation de certains outils numériques est également accessible sur Moodle aux liens suivants et peut servir de tutoriel.
- RGPD et Recherche
- Utiliser LimeSurvey pour ma recherche
- Utiliser les outils RENATER pour ma recherche
Je rappelle aussi l’importance d’utiliser le plus possible les outils mis à disposition par l’établissement. Il faut se méfier des outils grand public qui ne permettent pas d’assurer la sécurité et la confidentialité des données.
La règlementation en termes de collecte des données peut parfois sembler complexe. Quels conseils pourriez-vous donner ?
Sans vouloir que chacun devienne un spécialiste de la question, et parce que nous somme toutes et tous concernés sur les plans professionnels et personnels, la connaissance de quelques principes permet d’acquérir de bons réflexes et devenir acteur de la protection des données, les siennes et celles des autres.
Je conseille d’appliquer « le principe de minimisation » c’est-à-dire de garder à l’esprit que la collecte ne doit concerner que les données personnelles strictement nécessaires à l’opération à mener. Autre principe : une fois ces données collectées, il faut bien sûr penser à les conserver de manière sécurisée et confidentielle.
Contact