Accueil>Sécurité & protection des données>Règlement général sur la protection des données (RGPD)

Règlement général sur la protection des données (RGPD)

Maîtriser les fondamentaux de la protection des données

Définitions

Le terme "données" désigne l’ensemble des informations et documents comportant des informations nominatives ou non. Certaines peuvent être considérées comme essentielles pour Sciences Po, d’autres confidentielles, d’autres encore publiques.

il est impératif d’indiquer dans vos documents leur caractère confidentiel ou non.

Une "donnée personnelle" correspond à toute information identifiant directement ou indirectement une personne physique (ex. nom, n° d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale...).

Un "traitement de données" désigne toute opération, ou un ensemble d’opérations, portant sur des informations confidentielles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou inter-connexion, verrouillage, effacement ou destruction, etc.).

La "protection des données" désigne l’ensemble des principes et obligations juridiques à respecter lors de la collecte, du traitement, de la diffusion et de la conservation de données.

Mes traitements de données sont-ils autorisés ?

Cf. Article 9 du Règlement général à la protection des données, sur les catégories particulières de données personnelles (“RGPD”)

Traiter de données personnelles sensibles est soumis à autorisation

Liste des catégories de données personnelles sensibles ou particulières au sens du RGPD :

  • Origine raciale ou ethnique,
  • Opinions politiques,
  • Convictions religieuses ou philosophiques,
  • Appartenance syndicale,
  • Données génétiques,
  • Données biométriques,
  • Données concernant la santé,
  • Données concernant la vie sexuelle ou l'orientation sexuelle.

Le traitement de ces données peut être autorisé si

  1. la personne concernée a donné son consentement écrit,
  2. le traitement est nécessaire au droit du travail, de la sécurité sociale et de la protection sociale,
  3. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée,
  4. le traitement est effectué par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées,
  5. le traitement porte sur des données rendues publiques par la personne concernée,
  6. le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice,
  7. le traitement est nécessaire pour des motifs d’intérêt public important, à condition qu’il soit proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;
  8. le traitement est nécessaire à la médecine préventive ou la médecine du travail, à l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale. Ces données doivent être traitées par un professionnel de la santé soumis à une obligation de secret professionnel,
  9. le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sous réserve que le secret professionnel soit assuré,
  10. le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Que dois-je faire en terme de formalités et autorisations ?

Il est de ma responsabilité personnelle d’engager les démarches de conformité avant toute collecte des données personnelles et traitements associés, en lien avec mon Délégué à la protection des données et d'obtenir les autorisations adéquates.

Je dois :

  • déclarer mon traitement de données dans le registre institutionnel : voir la page Protection des données sur l’intranet, pour les personnels de Sciences Po, ou le site de la CNIL pour tout autre personne,
  • informer les personnes (mentions légales et de confidentialité),
  • obtenir leur consentement (Cases à cocher, autorisations, cessions de droits),
  • obtenir les autorisations adéquates, si nécessaire.

Comment protéger les données sensibles ou confidentielles ?

  • Avoir un mot de passe complexe et ne jamais le partager à quiconque, ou l'écrire
  • Ne partager les données sensibles ou confidentielles qu'à des personnes nommément choisies et habilitées
  • Ne jamais partager le lien URL par mail
  • Chiffrer si vos traitements de données sont sensibles

Comment chiffrer ?

L'outil 7-Zip permet de compresser et chiffrer un document. Il répond au besoin de transfert sécurisé de données vers des tiers. Il est donc recommandé lorsque vous avez besoin de transmettre des extractions de données (Excel, PDF, Word, etc.), comportant des données confidentielles, sensibles ou personnelles.

Documentation : Chiffrement de données avec 7-Zip

Pour toute question : Contactez le helpdesk

Pour en savoir plus

Documents utiles

Guide sécurité du numérique (PDF, 829 Ko)

Charte d'utilisation des systèmes d'informations (PDF, 129Ko)