Direction des Systèmes d'Information et Binet Réseau

Protection des données personnelles

Avec la nouvelle réglementation en vigueur au 25 mai 2018, le CIL est devenu DPD ou Délégué à la Protection des Données. Pour mémoire, en cas de non-conformité au RGPD, les établissements publics peuvent être sanctionnés par des amendes de plus de 20 millions d'euros.

Protection des données personnelles
01 fév. 2016
Divers 1
Un nouveau cadre légal, de nouvelles obligations pour les professionnels européens
 
La protection des données à caractère personnel fait l'objet de toutes les attentions à l'École polytechnique. Les activités de traitement de données doivent être mises en conformité avec les normes de référence en la matière (Loi Informatique et Libertés du 6 janvier 1978 modifiée et RGPD).
 
Afin de "contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes physiques", les autorités européennes ont fait le choix ambitieux d'uniformiser le droit à la protection des données personnelles sur l'ensemble du territoire de l'Union Européenne (UE).
 
Dans ce cadre, le règlement général sur la protection des données (règlement (UE) 2016/679 du Parlement et du Conseil du  27 avril 2016 - ci-après "RGPD") fait désormais office de norme de référence pour ce sujet si particulier qui touche aux droits fondamentaux.
Il est d'application directe depuis le 25 mai 2018, et s'applique aux activités de l'ensemble des professionnels qui traitent des données personnelles de ressortissants européens, ainsi qu'à tous les professionnels situés sur le territoire de l'UE.
 
Si vous traitez des données personnelles à des fins professionnelles (ex : nom, prénom, identifiants, date et lieu de naissance, adresse e-mail ou physique, données GPS, adresses IP, photos identifiantes, vidéos identifiantes...) , vous êtes donc concernés.
 
Le RGPD impose des obligations renforcées aux responsables de traitement, ce sont notamment :
  1. l'obligation d'informer les personnes qu'elles font l'objet d'un traitement de données (art. 13 et 14 du RGPD). Pour avoir un modèle de mentions d'information générique [à modifier en fonction des situations], vous pouvez vous référer à l'annexe de cette note de procédure : https://gargantua.polytechnique.fr/siatel-web/linkto/mIC5YYZMdxY ;
     
  2. l'obligation de collecter le consentement des personnes qui font l'objet d'un traitement de données sauf si leurs données sont traitées dans le cadre de l'exécution de missions de service public, d'un contrat de prestation avec elles, d'une obligation légale, notamment. La preuve du recueil du consentement doit être apportée par le responsable de traitement (cochage de case opt-in et suivi de ces actions de validation dans le cadre de registres informatisés | recueil de signatures sur des formulaires papier | ...) ;
     
  3. l'obligation de garantir la confidentialité et la sécurité des données traitées, en mettant notamment en oeuvre des mesures techniques et organisationnelles appropriées et proportionnées aux risques connus  :

    - il peut s'agir de mesures organisationnelles telles que : des procédures d'accès restreint aux données (accès sécurisés par id/mot de passe aux systèmes d'information, identification précise des personnes qui peuvent accéder et modifier les données, procédures avec validation spécifique pour l'incrémentation, la modification ou la suppression de données particulières ...), des moyens matériels pour protéger les données si elles se trouvent sous format papier (armoires à clef, archives sécurisées, ...)

    - il peut s'agir de mesures techniques telles que : hébergement sécurisé des données en propre, solution logicielle de sécurité informatique respectant les principales règles de l'art en la matière, contrôle régulier (tests) des mesures de sécurité informatique et évaluation de la résilience, ...
     
  4. l'obligation de notifier au délégué à la protection des données (Data Protection Officer) de notre organisation les traitements que l'on met en oeuvre pour cette organisation. Pour information, le délégué à la protection des données de l'École polytechnique peut être contacté sur son adresse générique :
    dpd [at] polytechnique.fr.
     
  5. Pour plus d'informations sur les procédures internes, se rapporter aux décisions et notes suivantes : note de procédure relative à la protection des données et décision sur l'organisation de la gouvernance des données à l'Ecole polytechnique

Gestion de projets & application du Règlement Général sur la Protection des Données

Dans le cadre de tout contrat conclu entre  et l'École polytechnique et un prestataire , ce dernier est défini comme  "sous-traitant" au sens de l’article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD »).

Le prestataire est informé que le respect de la règlementation en matière de protection des données à caractère personnel est un élément fondamental pour l'École polytechnique.

En conséquence, et au préalable de toute notification de marché, le prestataire doit présenter les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. La déclaration est effective au travers d'une annexe RGPD, accessible ici.

Cette annexe doit être signée des 2 partie, représentées chacune par une personne physique :

- le représentant légal du prestataire
- le Président de l’École polytechnique, ou son représentant légal (le responsable projet École polytechnique).

Le responsable projet École polytechnique doit conserver l'original de cette annexe et en remettre une copie au DPD de l'École polytechnique.

Retour à la liste