Vie INSA

En France, la réglementation informatique et libertés existe depuis la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette loi énonce comme principe que le traitement des données personnelles ne doit pas porter atteinte à notre vie privée et à nos libertés. Le RGPD, Règlement Général sur la Protection des Données, adopté au niveau européen le 27 avril 2016, s’applique à tous les états membres de l’Union européenne à partir du 25 mai 2018 et renouvelle le cadre juridique applicable.

Il renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Il responsabilise les acteurs traitant les données. L’objectif de ce règlement est de trouver l’équilibre entre la protection de la vie privée et des libertés, et le développement du numérique.

La modification principale est le passage d’une logique de déclaration préalable des traitements à une logique basée sur la responsabilité et la transparence.

Des nouveaux droits ont été ajoutés (droit à la portabilité, à la limitation du traitement) aux droits existants (droit d’information, d’accès, de rectification, d’opposition, de retrait du consentement…).

Pour se mettre en conformité avec le RGPD, l’INSA Toulouse doit mettre en œuvre une politique afin d’assurer une protection optimale des données et être en mesure de la démontrer en la documentant. Les différentes étapes sont :

  • la désignation du délégué à la protection des données (ou Data Protection Officer en anglais),
  • la cartographie de l’ensemble des traitements des données personnelles,
  • sur la base de la cartographie, l’identification et la priorisation des actions à mener au regard des obligations et des risques,
  • en cas de risques élevés, la réalisation d’étude d’impact afin de les gérer,
  • la mise en place de procédures internes,
  • la constitution et l’organisation de la documentation.

Le délégué exerce principalement des  missions de pilotage, d’information, de conseil et de contrôle en interne, et de coopération avec la CNIL. Il est le point de contact.

Pour mesurer concrètement l’impact du règlement européen sur la protection des données, il faut recenser de façon précise les traitements mis en œuvre et déterminer pour chacun d’eux :

  • les objectifs poursuivis,
  • les catégories de données personnelles traitées avec l’identification des données particulièrement sensibles,
  • les acteurs internes et externes,
  • l’origine et la destination des données avec la mention du transfert hors de l’Union européenne,
  • la durée de conservation,
  • les mesures de sécurité,
  • la base juridique (consentement de la personne, obligation légale, contrat…).

Le délégué doit être associé à toutes les questions relatives à la protection des données à caractère personnel, notamment lors de tout nouveau projet de traitement.

Le correspondant informatique et libertés José GARCIA, a été désigné auprès de la CNIL comme délégué à la protection des données.

Autour du délégué sera constitué un Groupe Expert en charge de la feuille de route pour le déploiement du RGPD sur l’INSA. La cartographie et la priorisation des secteurs sensibles dans un calendrier à définir seront les premières missions du Groupe Expert. Une conférence de sensibilisation sur le RGPD et sa mise en œuvre à l’INSA sera organisée pour l’ensemble des personnels, courant juin 2018.

Vous pouvez joindre le délégué à la protection des données au 93 73 ou bien par contact-dpo@insa-toulouse.fr.

Bertrand Raquet, directeur de l’INSA Toulouse