La tenue d’un registre de traitement

La tenue d’un registre d’activité de traitement est une obligation réglementaire (article 30 du RGPD). L’université de Poitiers tient à jour son registre et est en capacité de démontrer sa conformité (principe d’accountability) en cas de contrôle CNIL. Il est rappelé que tout traitement de données à caractère personnel doit faire l’objet d’une déclaration au registre interne de l’université de Poitiers. Ainsi, avant d’engager une collecte de données vous devez saisir votre DPO. Le DPO vous conseillera et vous accompagnera dans les différentes formalités à accomplir.

Certains traitements nécessitent des actions, déclarations supplémentaires en fonction des sujets (demander l’autorisation à la CNIL, solliciter un comité de protection des personnes (CPP)…).

Toute action (recherche, thèse, mémoire, enregistrement vidéo ou audio, questionnaire, entretien, formulaire, événement, RH, application de vote, application métier, liste de diffusion…) constituant un traitement de données à caractère personnel est soumise au respect des principes fondamentaux réglementaires de protection des données.

Réalisation d’une analyse d’impact sur la vie privée (AIVP ou AIPD)

Le règlement général sur la protection des données impose la réalisation d’une analyse d’impact sur la vie privée (AIPD) pour certains traitements risqués pour les droits et libertés des personnes.

L’AIPD doit être menée avant la mise en œuvre du traitement. Il doit être démarré le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement.

Une AIPD est requise pour les traitements suivants :

  • évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • traitement à grande échelle de catégories particulières de données (données sensibles) ou de données relatives à des condamnations pénales et à des infractions ;
  • surveillance systématique à grande échelle d’une zone accessible au public.

 

Si vous mettez en œuvre un traitement qui n’est pas mentionné dans cette liste mais que vous remplissez deux des neuf critères disponibles sur cette page de la CNIL, une AIPD doit en principe être réalisée.

Si vous mettez en œuvre un traitement qui n’est pas mentionné dans cette liste, il est possible qu’une AIPD soit requise et obligatoire si elle répond à 2 des 9 critères publiés par le G29 à savoir

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Cette analyse des risques est prise en charge par le demandeur. Votre DPO pourra vous conseiller et vous accompagner dans sa mise en œuvre.

Concrètement, quelles sont les démarches ?

A l’université de Poitiers, votre DPO est amenée à traiter de nombreuses demandes de traitements. Dès que l’idée d’un traitement émerge, il est recommandé de saisir votre DPO via le formulaire en ligne. Pourquoi ? Tout simplement parce que certains traitements nécessitent de nombreux échanges, d’autres vont nécessiter des formalités administratives obligatoires supplémentaires (saisie d’un comité de protection des personnes (CPP), mise en œuvre d’une méthodologie de référence (MR), saisie directe de la CNIL pour certains traitements, etc). Ainsi, le simple fait de demander un traitement n’engage pas immédiatement un numéro de traitement ; le processus est parfois plus long.

Pour solliciter une demande d’étude de traitement, vous devez impérativement faire votre dépôt en suivant le lien https://rgpd.appli.univ-poitiers.fr/

Aucune demande de traitement ne sera traitée autrement.

Pour toute question, vous pouvez vous adresser à dpo@univ-poitiers.fr .

Le formulaire GLPI a fait l’objet d’une déclaration au registre interne de l’université conformément à la réglementation.


  • La vie étudiante continue sur les réseaux sociaux !