Accueil universit > Intranet > RGPD > FAQ


FAQ (foire aux questions)

Q1 - Ai-je le droit d'afficher les notes dans le couloir (ou de les publier sur Facebook ou autre) ?

R : 
Non, il n'est pas possible d'afficher les notes dans les couloirs (ou de les publier sur les réseaux sociaux).
Complément : les notes des étudiants sont des données à caractère personnel même s'il n'y a que le numéro d'étudiant (il est très simple de retrouver le nom d'un étudiant par l'intermédiaire de son numéro par exemple à l'aide du carnet d'adresse Zimbra). Les notes des étudiants, si elles sont rendues publiques peuvent porter préjudice à l'étudiant quand bien même celui-ci a obtenu son diplôme.
Proposition : En revanche, il est possible d'afficher l'obtention ou non des UE ou du semestre.
 
Q2 - Quand solliciter les RIL ? ou le DPO ?

R : 
À la moindre question concernant des données à caractère personnel ou lorsque vous initiez un projet ou une procédure qui traitera des données à caractère personnel.
Complément : l'utilisation de données à caractère personnel est très encadrée. Tout utilisateur qui estime que ses données n'ont pas été traitées conformément au règlement européen ou qui estime ne pas avoir été suffisamment informé peut déposer une réclamation auprès de la CNIL. Les sanctions à l'encontre des établissements qui ne respectent pas le RGPD sont devenues très lourdes et peuvent aller jusqu'à 4% du CA de l'entreprise ou 20M€ (la somme maximale étant retenue). Pour l'université, l'amende maximale pourrait donc être de 20M€ !
 
Q3 - Qu'est-ce qu'une donnée à caractère personnel ?

R : 
Une donnée à caractère personnel est une donnée permettant d'identifier une personne soit à partir de son nom, d'un identifiant ou d'un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Complément : par exemple, au niveau des étudiants de l'université, l'année de naissance des étudiants inscrits une année N à l'université est une donnée à caractère personnel car, grâce à cette information, il est possible d'identifier individuellement plusieurs étudiants (notamment certains étudiants en reprise d'étude).
 
Q4 - Je dois collecter des données, que dois-je faire ?

R : 
Contacter votre relai informatique et libertés ou le DPO afin de réaliser l'inscription du traitement au registre de l'établissement ou de signer l'engagement de conformité à un traitement déjà déclaré.
Complément : il est important avant toute chose de bien définir les éléments suivants :
    • La finalité du traitement (pourquoi ce traitement est nécessaire)
    • Quelles sont les données dont vous avez besoin (proposition : toutes les données collectées doivent être utilisées)
    • Combien de temps ces données seront conservées
Q5 - Qu'est-ce qu'une donnée sensible ?

R : 
Au sens du RGPD, une donnée sensible est une donnée relative à la santé, à la vie sexuelle, aux opinions philosiques, religieuses ou politiques, aux origines raciales. Sont incluses aussi dans les données sensibles, les données génétiques et les données biométriques en vue d'identification.
Ces données ne doivent pas être collectées sauf après avoir réalisé avec le DPO une étude d'impact sur la vie privée et/ou obtenu un accord de la CNIL.
Complément : d'autres données peuvent être considérées comme sensibles à partir du moment où leur divulgation peut porter atteinte à la vie privée ou à la réputation d'une personne (peut-on citer en exemple l'affichage des notes ?)
Selon moi, l'affichage des notes ne peut pas être considéré comme donnée sensible au sens du RGPD car l'effet peut être limité. Il s'agirait plutôt des données bancaires (numéro de carte bleue par exemple) ou de données realtives à la situation sociale.
 
Q6 - Le RGPD est-il rétroactif ?

R : 
Oui, pour les traitements qui ont démarré avant le 25 mai 2018 et qui ont toujours cours. Les traitements qui ont démarré et qui se sont achevés avant le 25 mai 2018 ne sont pas concernés (mais ils devaient être conformes à la loi informatique et libertés 78-17...).
Complément : pour les traitements ayant démarré avant le 25 mai 2018, nous disposons de 3 ans après l'entrée en vigueur du règlement pour les mettre en conformité. Ces traitements doivent donc être en conformité pour le 25 mai 2021.
 
Q7 - Suis-je concerné(e) par le RPGD ?

R : 
Oui, tout le monde est concerné par le RGPD.
Explications : chacun de nous est concerné par le RGPD. Au niveau professionnel, lorsque l'on collecte des données à caractère personnel, il est nécessaire de s'assurer que les traitements sont conformes au RGPD. Dans notre vie personnelle, dès que l'on transmet des données pouvant nous identifier directement ou indirectement (même par profilage), nos données sont protégées par le RGPD et il est du devoir de chacun de respecter et de faire respecter ce règlement.
 
Q8 - Puis-je réutiliser des données ?

R : 
Oui, si la personne concernée a été informée que ses données pouvaient être réutilisées et qu'elle a donné son accord, il est possible de réutiliser les données.
Complément : il existe une exception pour la recherche, toute donnée peut être réutilisée à des fins de recherche sous réserve que la personne concernée en soit informée avant le début de la réutilisation et qu'elle ait la possibilité de s'opposer au traitement.
 
Q9 - Combien de temps puis-je conserver des données ?

R : 
D'après le règlement, les données ne doivent pas être conservées au-delà du temps nécessaire à la poursuite de la finalité. Ainsi, dans le cadre de l'université les données ne doivent pas être conservées au-delà de la date d'utilité administrative (DUA). S'agissant de données publiques, la destruction ne doit se faire qu'en accord avec le service des archives.
Complément : certains documents n'ont pas de DUA définie ou ne sont pas considérés comme des archives publiques, cela peut être le cas, par exemple, d'un historique d'impression sur une imprimante, dans ce cas, la durée de conservation doit être réduite au maximum.

Télécharger la page

Dernière modification : 23 aot 2019



UNICAEN
Université de Caen Normandie
Esplanade de la Paix | CS 14032 | 14032 CAEN cedex 5