« Élaborer une véritable politique de protection des données »
L’entrée en application, le 25 mai 2018, du Règlement général sur la protection des données (RGPD) à l’échelle de l’Union européenne questionne les universités et écoles qui traitent et produisent des données en continu. À l’Université de Strasbourg, Sarah Piquette, la déléguée à la protection des données, est chargée de s’assurer du respect de la réglementation.
Où en est l’université sur le traitement des données à caractère personnel ?
L’établissement compte plus de 50 000 étudiants et quelque 8 000 personnels ; cela fait beaucoup de données à caractère personnel collectées. À celles-là s’ajoutent les éléments récoltés dans le cadre des études scientifiques. Et avec le big data et l’omniprésence des outils numériques dans nos quotidiens professionnel et personnel, la production des données est en constante augmentation. Mais l’Unistra, qui a désigné un correspondant Informatique et libertés dès 2009, a bien progressé sur les traitements de données de leur gestion à leur archivage. Je les passe tous au crible qu’ils soient internes ou externes. Et je vérifie que les principes fondamentaux d’information des usagers ou d’utilisation des données conforme à la finalité annoncée sont respectés.
Comment l’établissement compte-t-il poursuivre ses efforts en la matière ?
Il existe aujourd’hui un registre qui consigne plus de 200 traitements mais je cherche à élaborer un document accessible à tous, véritable politique de protection des données, pour informer tout un chacun sur le type de données collectées et leurs utilités.
Je travaille aussi sur la mise en place d’un formulaire en ligne qui permettra de faire une prédéclaration.
Par exemple, une composante qui va organiser un événement pour lequel on collecte des données, pourra remplir ce formulaire pour faciliter la remontée d’informations plutôt que faire une demande par mail. Cela servira aussi de base de connaissances.
Et il y a enfin toute la révision des clauses contractuelles-types pour les sous-traitants, dans le cas par exemple du stockage des données de la médecine du travail, et pour les établissements partenaires.
Existe-t-il des limites à cette mise en conformité ?
Lorsque certains établissements clament 100 % de conformité au RGPD, cela m’inspire un sentiment de méfiance.
Lorsque certains établissements clament 100 % de conformité au RGPD, cela m’inspire un sentiment de méfiance. La protection des données a un aspect technique mais aussi organisationnel ; c’est ce dernier qui est difficilement maîtrisable. Je prends l’exemple d’un personnel qui a accès à la liste des étudiants d’une formation et qui la diffuse via un moyen non sécurisé. Mis à part sensibiliser les personnes pour éviter que cela ne se reproduise, on ne peut pas faire beaucoup plus.
L’ouverture de l’accès aux données de la recherche pose aussi question. Il faut que les chercheurs soient attentifs à ne pas fournir trop d’éléments identifiants sur les individus dans leurs études. Mais c’est compliqué, car pour valoriser leurs travaux, ils ont besoin de publier ces informations.
Protéger les personnes des éventuels impacts de la diffusion des données est l’objectif du RGPD. Il faut vraiment être vigilant sur ce qu’on partage et diffuse.