La désignation d’un.e délégué.e à la protection (DPD ou DPO pour data protection officer) des données est obligatoire selon l’article 37 du RGDP lorsque « le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ».

Conformément à l’article 37 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, l’université de Poitiers a désigné une déléguée à la protection des données.

Le DPO veille au respect du RGDP ainsi qu’aux dispositions de la loi informatique et libertés au sein de l’établissement. Conformément à la réglementation, il est indépendant et ne reçoit pas d’instruction. Le DPO de l’université de Poitiers est rattaché au directeur général des services.

La mission de la déléguée à la protection des données est transversale et recouvre tous les secteurs d’activités comme par exemple : appui et conseils aux étudiants dans le cadre de leurs travaux de thèse ou de mémoire, conseils pour la réalisation d’enquête, conseils aux enseignants-chercheurs, conseils aux services administratifs. L’étude de certains traitements est parfois longue et nécessite de nombreux échanges notamment pour les traitements susceptibles d’engendrer des risques élevés pour les droits fondamentaux des personnes (personnes vulnérables, collecte de données de santé, etc…). Son champ d’action est très large et les interactions et sollicitations sont nombreuses. La DPO de l’université de Poitiers est aussi engagée sur de nombreux dossiers de structuration (mise en conformité, travail en proximité avec des laboratoires, actions de sensibilisation…) ou des dossiers transverses (gestion des urgences, relecture de conventions, gestion des demandes de droits, sensibilisation à la protection des données personnelles…). Les missions d’un DPO ne sont pas circonscrites à l’enregistrement des traitements. Son activité est plurielle.

Le DPO travaille en partenariat avec :

• le RSSI (Responsable de la Sécurité des Systèmes d’Information) de l’établissement et l’équipe de I-MÉDIA (le service informatique et multimédia de l’université de Poitiers) ;
• le DAJ (directeur des affaires juridiques) et son équipe ;
• l’Observatoire de la Réussite et de la Vie Etudiante qui fait partie du pôle FRE (Formation et réussite étudiante).

Conformément à l’article 39, la DPO de l’université de Poitiers a comme action principale la mise en conformité de l’établissement à la réglementation en matière de protection des données à caractère personnel.

 

Les missions du délégué à la protection des données sont au moins les suivantes :

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

d) coopérer avec l’autorité de contrôle;

e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

La tenue d’un registre d’activité de traitement est une obligation réglementaire (article 30 du RGPD). L’université de Poitiers tient à jour son registre et est en capacité de démontrer sa conformité (principe d’accountability) en cas de contrôle CNIL. Il est rappelé que tout traitement de données à caractère personnel doit faire l’objet d’une déclaration au registre interne de l’université de Poitiers. Ainsi, avant d’engager une collecte de données vous devez saisir votre DPO. Le DPO vous conseillera et vous accompagnera dans les différentes formalités à accomplir.

Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.