RGPD / données à caractère personnel

Le RGPD, une obligation légale

Depuis 2018, toute structure (publique ou privée) a l’obligation de respecter la réglementation en matière de données à caractère personnel.

Il s’agit notamment du règlement (UE) 2016-679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE, plus connu sous le nom du Règlement Général sur la Protection des Données, ou plus simplement « RGPD ».

Une question ?

• Pour toute question liée à la protection des données en lien avec l’administration, la formation ou l’administration de la recherche (par exemple la mise en place d’un site internet d’un laboratoire de recherche), vous pouvez vous adresser à la direction des affaires juridiques à l’adresse suivante : daj-rgpd@u-bordeaux.fr 
• Pour l’instruction RGPD des projets de recherche, vous devez contacter la direction de la recherche et de la valorisation à l’adresses suivante : rgpd-recherche@u-bordeaux.fr

Quels types de données ?

• Données à caractère personnel : toute information relative à une personne physique permettant de l’identifier directement ou indirectement (via un croisement de données qui permettrait de remonter jusqu’à la personne).
  Exemple de données à caractère personnel : nom(s), prénom(s), numéro étudiant, numéro Mangue… 
• Données sensibles : toute informations se rapportant à la santé, à l’orientation sexuelle, aux convictions religieuses ou philosophiques, à l’origine ethnique, à l’appartenance syndicaliste, aux opinions politiques, aux données génétiques ou biométriques d’une personne.

• Traitement : opération ou ensemble d’opérations effectuée sur des données à caractère personnel. 
• Exemple : accès, collecte, enregistrement, conservation, extraction, modification, transfert, diffusion, effacement, destruction…
• Responsable de traitement : personne morale ou physique déterminant les finalités et les moyens du traitement de données à caractère personnel. L’université de Bordeaux sera qualifiée de responsable du traitement pour la plupart des traitements mis en œuvre. 
• Sous-traitant : personnel morale ou physique qui traite les données à caractère personnel pour le compte du traitement. 
  Exemple : structure offrant une prestation de service telle que l’hébergement de nos données, prestation de logement pour nos étudiants…
• Personnes concernées : personnes physiques dont les données à caractère personnel sont traitées par l’université. 
  Exemple : les agents de l’UB sont les personnes concernées par nos traitements RH. Les étudiants sont les personnes concernées du traitement portant sur les inscriptions administratives et pédagogiques.
• Anonymisation : ensemble de techniques permettant d’éliminer toute possibilité de réidentification de la personne dont les données ont été traitées.
• Pseudonymisation : processus consistant à transformer des données à caractère personnel afin qu’elles ne puissent plus être attribuées à une personne spécifique sans l’utilisation d’informations supplémentaires. Exemple : remplacement du nom(s) et prénom(s) par un numéro séquentiel, un alias, numéro étudiant, numéro Mangue…

Différence entre anonymisation et pseudonymisation ? 

Ce sont deux mesures de sécurité différentes.

Si vous appliquez la pseudonymisation, le RGPD s’appliquera car il y a toujours la possibilité de réidentifier les personnes dont les données ont été traitées. Il est possible de réidentifier la personne si un tableau recensant les identités des personnes avec leur numéro séquentiels est toujours en votre possession par exemple.

A contrario, dès lors que vous anonymisez vos données à caractère personnel, il n’y a aucune possibilité de réidentifier la personne dont les données ont été traitées. 
Pour la sécurité des données, ces mesures doivent être mises en place dès que la conservation des données nominatives n’est plus nécessaire dans la réalisation de vos missions quotidiennes.

Ce document permet de déclarer votre traitement mais également de le recenser dans le registre de traitement de l’université de Bordeaux. Au sein de cet Excel, vous devrez indiquer : les acteurs du traitement, les données collectées, les mesures de sécurité mises en œuvre ainsi que les personnes concernées par votre traitement. 

NB. Une foire aux questions (FAQ) pour vous aider à remplir votre fiche est en cours d'élaboration.

En cas de difficultés, l’équipe RGPD de la Direction des affaires juridiques est à votre disposition pour vous aider à remplir ce document.

Ce document doit être envoyé à l’adresse daj-rgpd@u-bordeaux.fr

Cette notice s’inscrit dans le cadre de l’obligation de transparence de l’université de Bordeaux.

Ce document permet avant tout : 

• D’offrir aux personnes concernées un descriptif du traitement qui sera mis en œuvre avec leurs données à caractère personnel ; 
• De leur indiquer les modalités d’exercice de leurs droits qui pourront être exercés auprès de l’université de Bordeaux.  

Au sein de ce document vous devrez indiquer : 

1. Les finalités du traitement : les opérations que vous allez réaliser avec les données à caractère personnel collectées. Exemples : réalisation de statistiques, gestion des candidature, réalisation de tableaux de suivi… 
2. La base légale du traitement : votre traitement doit reposer sur l’une des six bases légales proposées.
   Voici quelques exemples : 

• Organisation d’un évènement au sein de l’université : intérêt légitime de l’établissement 
• Conservation des candidatures dans une CVthèque : consentement de la personne 
• Mise en place d’un projet de coopération avec une autre université : mission d’intérêt public 
• Réalisation du RSU : obligation légale 

3. Liste des données à caractère personnel collectées : l’ensemble des données à caractère personnel collectées pour la réalisation de votre traitement doit être recensée. 
4. Hébergement et confidentialité des données : il faut indiquer le lien où les données vont être stockées. Les données peuvent être stockées au sein de nos serveurs ou bien au sein des serveurs mis à disposition par un sous-traitant (il faudra par conséquent mentionner le nom du sous-traitant)  
5. Destinataires : recensement de l’ensemble des organismes externes/services internes étant habilité à recevoir les données à caractère personnel collectées. Exemple : le rectorat, l’espace de santé étudiant, le Ministère de l’Enseignement supérieur et de la recherche…​​​​​​​
6. Durée de conservation : indiquez combien de temps vous devez conserver les données à caractère personnel. Pour cela, vous pouvez vous aider des durées d’utilité administrative (DUA) des documents. ​​​​​​​
7. Partie sur les demandes d’exercice : mention portant sur les demandes d’exercice de droits des personnes concernées. Cette partie indique également les données de contact du Délégué à la protection des données de l’université. Cette mention ne doit pas être changée.

Le Bandeau des cookies/traceurs

Qu’est-ce qu’un cookie/traceur ? C’est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur dès la consultation d’un site web/application.
Deux types de cookies doivent être distingués : 

• Les cookies non-techniques : traceurs généralement utilisés à des fins statistiques ou publicitaires. Le consentement de l’internaute est nécessaire dans ce cadre-là. 
• Les cookies techniques :  cookies purement techniques permettant d’assurer le bon fonctionnement du site/application. Le consentement des internautes n’est pas requis dans ce cas-là. 

Attention ⚠️ ! Depuis 2023, Il est interdit d’utiliser désormais Google Analytics pour la création de son site internet ou de son application.

Quel bandeau cookie doit-on mettre en place ?

Nous vous recommandons d’utiliser le bandeau ci-contre. L’utilisateur pourra ainsi choisir les cookies dont il autorise le dépôt sur son terminal.

Mentions légales 

Ce document permet aux internautes d’identifier la structure et les différents acteurs en charge de la mise en œuvre du site/application. 

• Modèle type (document à venir). 

Si votre site internet/application collecte des données à caractère personnel

Vous devez remplir les documents suivants :

1. Fiche de traitement
2. La politique de confidentialité (document à venir) 
3. CGU (document à venir) ​​​​​

NB. En cas de sous-traitance, un contrat avec le prestataire doit être mis en place obligatoirement. Si vous avez des interrogations à ce sujet, veuillez contacter l’équipe RGPD de la direction des affaires juridiques à l’adresse suivante : daj-rgpd@u-bordeaux.fr

• Modèle-type de contrat de sous-traitance (document à venir)

Mise en conformité de votre enquête 

Vous désirez mettre en place une enquête (exemples : enquête portant sur le devenir professionnel des anciens étudiants, enquête portant sur la satisfaction des agents de l’université).

Documents à mettre en place

• Notice d’information à des fins d’enquêtes (document à venir)
• Fiche de traitement

Mesures obligatoires 

• Pour la réalisation de statistiques, une anonymisation (voir section "Lexique" plus haut pour définition de ce terme) est requise
• Utilisez les outils proposés par l'université tels que LimeSurvey. Il est interdit d’utiliser les outils développés par les GAFAM (Google, Apple, Facebook, Amazon, Microsoft)
• Collectez uniquement les données à caractère personnel strictement nécessaires aux objectifs de votre enquête
   

Organisation d’évènements pour l’université

⚠️Cette partie vous concerne uniquement si vous devez collecter des données à caractère personnel pour l’organisation de votre évènement. 

Si la collecte de données à caractère personnel est nécessaire pour l’organisation de votre évènement (notamment via la mise en place d’un formulaire d’inscription ou d’un questionnaire), vous devez remplir les documents suivants :

1. La notice d’information (document à venir) afin d’informer les participants du traitement de données que vous allez opérer pour l’organisation du futur évènement.
2. La fiche de traitement (permet de recenser le traitement mis en œuvre).