Axe D
Contacts DPD
- UBO – François Roels dpo/at/univ-brest.fr
- Ifremer – Jean-Marc Sinquin dpo/at/ifremer.fr
- CNRS – Gaëlle Bujan dpd.demandes/at/cnrs.fr
RGPD?Les interlocuteursPas à pasEn pratiquetraitements administratifsA savoirUn partage d’expérience
Dans quel cas puis-je être concerné.e par une démarche de mise en œuvre du règlement général sur la protection des données?
Vous prévoyez de traiter des données à caractère personnel dans le cadre de vos travaux de recherche ou de traitements administratifs ?
A savoir, collecter, extraire, analyser, archiver ou réutiliser toute information relative à toute personne physique identifiée ou identifiable à partir du croisement de plusieurs informations ?
Alors, vous devez en faire la déclaration auprès du délégué à la protection des données (DPD ou DPO) de votre établissement.
QUI SONT MES INTERLOCUTEURS?
AMURE étant une UMR à 3 tutelles chacune des tutelles a son DPD. Vous êtes libre de choisir la tutelle avec laquelle vous souhaitez réaliser cette démarche. Toutefois, la DPD CNRS, Gaëlle BUJAN, est désormais désignée auprès de la CNIL comme la DPD de l’unité, aussi nous vous invitons à effectuer la démarche auprès du service protection des données du CNRS, et ce pour différentes raisons :
- Il enregistrera le traitement dans le registre de l’unité, assurant ainsi le suivi centralisé des traitements effectués au sein de l’unité ;
- Ce service dispose d’une équipe composée notamment d’une juriste spécialisée en protection des données et plus particulièrement dans le domaine de la santé et des SHS ;
- Il peut également vous conseiller sur l’utilisation, l’hébergement et le stockage des données ;
- Il assure par ailleurs une veille juridique et réglementaire liée aux questions de protection des données ;
- Le service interagit également avec la direction des affaires juridiques (DAJ) du CNRS pour les dossiers complexes, mais aussi pour les demandes d’accès, de modification ou de suppression de données personnelles.
Le service protection des données du CNRS saura donc vous apporter soutien et accompagnement tout au long de votre démarche, avec des compétences particulières sur le domaine des SHS, de premier intérêt pour l’UMR Amure.
Cependant, si vos travaux concernent la tutelle Ifremer (personnel Ifremer en charge du traitement ou du pilotage du projet, financements Ifremer…), il vous sera demandé de tenir informé le DPD de l’Ifremer (dpo/at/ifremer.fr) en lui transmettant l’ensemble des documents que vous aurez échangés avec la DPD CNRS à l’issue de votre démarche.
Cependant, si vos travaux concernent la tutelle Ifremer (personnel Ifremer en charge du traitement ou du pilotage du projet, financements Ifremer…), il vous sera demandé de tenir informé le DPD de l’Ifremer (dpo/at/ifremer.fr) en lui transmettant l’ensemble des documents que vous aurez échangés avec la DPD CNRS à l’issue de votre démarche.
A LIRE!
Guide “Les SHS et la protection des données”, InSHS, CNRS
EN QUOI CONSISTE LA DEMARCHE?
3 étapes en 3 documents
Pour mener à bien cette démarche, notamment dans le cadre de la collecte de données (enquêtes, entretiens) pour vos travaux de recherche, 3 documents sont à compléter et/ou rédiger
1
Le formulaire permettant d’inscrire votre traitement dans le registre de l’unité ;
Ce sera l’occasion de vous projeter sur l’ensemble du processus de traitement de la donnée, depuis sa collecte jusqu’à sa diffusion en passant par les étapes de stockage et de traitements pouvant faire intervenir plusieurs acteurs.
Les questions que vous serez amené à vous poser :
- Quelle est la finalité du traitement de ces données ?
- Quels en sont les destinataires ?
- Qui sont les acteurs en charge de traiter les données à caractère personnel en dehors du service dont c’est la charge (notion de sous-traitant) ?
- Quelles sont les données à caractère personnel traitées ? Appartiennent-elles à des catégories particulières (ex. données sensibles) ?
- Quelles mesures techniques et organisationnelles vont être mises en place pour garantir un niveau de sécurité adapté au risque ?
NB : au CNRS, le responsable de traitement est toujours le directeur de l’unité (DU).
2
Une mention d’information à destination des enquêtés.
Elle est à remettre AVANT le début de la collecte, et se veut explicite : finalité collecte, destinataires, durée de conservation des données… (cf. memento CNRS)
3
Un formulaire de consentement à recueillir auprès des enquêtés AVANT la collecte.
Le consentement doit être clair et explicite (daté, signé, nom, prénom).
Les formulaires de consentement (papier, numériques) doivent être supprimés à la fin du projet
EN PRATIQUE : LA PROCEDURE QUE NOUS VOUS CONSEILLONS
- Prendre contact avec le service protection des données du CNRS par mail dpd.demandes/at/cnrs.fr et mettre le Pôle Observation, Données et Méthodes de l’UMR AMURE en copie pour suivi (pole-obs-amure/at/univ-brest.fr), en fournissant :
- La présentation du projet ;
- Le questionnaire ou le guide d’entretien (si collecte) ;
- Les avis du comité de protection des personnes ou du comité d’éthique (si votre recherche y est soumise) ;
- Le formulaire d’inscription de votre traitement dans le registre de l’unité. Retrouvez sur l’intranet du CNRS la dernière version du « formulaire DPD » à télécharger et compléter ainsi que le guide sur le RGPD et les SHS[1].
- La mention d’information à destination des enquêtés en cas de collecte. Retrouvez sur l’intranet du CNRS un mémento et des exemples de mentions à télécharger.
- Le formulaire de consentement à recueillir auprès des enquêtés en cas de collecte. Retrouvez sur l’intranet du CNRS un exemple de formulaire de consentement.
NB 1 : Anticiper la démarche suffisamment en amont de la réalisation des travaux car le service du CNRS traite de nombreuses demandes ;
NB 2 : Si besoin de conseils pour compléter les documents, ne pas hésiter à leur en faire part par mail et les solliciter pour un échange téléphonique (03 83 85 64 26) ou visio pour clarification.
- La DPD CNRS peut vous soumettre pour relecture/ajout/correction, le brouillon saisi dans le registre de votre unité sur la base du formulaire d’inscription que vous aurez transmis précédemment ;
- Une fois la version finale du formulaire d’inscription validée, la DPD CNRS réalise l’inscription de votre enquête dans le registre de votre unité et vous transmet le certificat attestant que votre traitement a été porté au registre tenu par la DPD du CNRS et que votre dossier est formellement complet. Ce document est à conserver ;
- Lorsque les documents ci-dessus seront finalisés, les transmettre au Pôle Observation, Données et Méthodes de l’UMR AMURE (par mail : pole-obs-amure/at/univ-brest.fr) pour mémoire et partage de retours d’expérience ;
[1] Tous les personnels de l’unité ont accès à l’intranet CNRS via les identifiants JANUS.
IFREMER
Si vos travaux concernent la tutelle Ifremer (personnel Ifremer en charge du traitement ou du pilotage du projet, financements Ifremer…), alors transmettre également l’ensemble de ces documents (incluant le certificat) au DPD de l’Ifremer (Jean-Marc Sinquin : dp/at/ifremer.fr) pour qu’il en soit informé.
PROCEDURE SIMPLIFIEE POUR LES DONNEES ADMINISTRATIVES
La démarche RGPD est également à mettre en œuvre dans le cadre de traitements administratifs au sein de l’unité, du type :
- Gestion des accès aux locaux
- Liste de diffusion
- Organisation des colloques
- Vidéosurveillance
- Gestion des réseaux et des groupes de travail
- Évaluation des unités
- Gestion des ressources et/ou moyens disponibles dans l’unité (attribution de moyens)
- Gestion du personnel dans les unités
Pour ce faire, une procédure simplifiée est disponible pour l’enregistrement de ces traitements à travers l’engagement de conformité à une ‘fiche référentiel’.
Une fiche référentiel est disponible pour chacun des types de traitements listés ci-dessus. Les informations relatives à la finalité du traitement, les données à caractère personnel collectées, leur durée de conservation, les destinataires des données et les mesures de sécurité sont pré-remplies, offrant un cadre de référence pour ce genre de traitement.
En pratique, la personne ou le service en charge du traitement doit transmettre les documents suivants à la déléguée à la protection des données (dpd.demandes/at/cnrs.fr ) :
- Engagement de conformité à compléter et faire valider par le responsable du traitement /Directeur d’unité ;
- La copie de la mention d’information des personnes (des exemples sont joints aux fiches Référentiels) ;
- Tout autre document utile à la collecte des données
Le Service Protection des Données du CNRS se charge ensuite de :
- L’analyse de la conformité au Référentiel ;
- L’enregistrement du traitement dans le registre de l’unité ;
- La transmission du certificat d’enregistrement au responsable du traitement.
Attention ! Si des données personnelles supplémentaires par rapport aux fiches Référentiel sont recueillies dans le traitement, le responsable de traitement doit réaliser les formalités d’enregistrement classique du traitement (cf. procédure dans le paragraphe précédent).
L’ensemble des documents et le détail de la procédure sont disponibles sur l’intranet du CNRS.
QUELQUES DEFINITIONS
Données à caractère personnel
Toute information relative à toute personne physique identifiée ou identifiable à partir du croisement de plusieurs informations. Exemple de personne identifiable : la collègue d’Amure aux cheveux frisés, qui porte le même prénom que 3 autres collaboratrices et qui ne boit pas de café…
A noter
• Les données anonymisées de manière irréversible, qui ne permettent plus la réidentification d’une personne, ne sont pas soumises à la règlementation sur la protection des données personnelles.
• Les données pseudonymisées sont les données à caractère personnel qui ne peuvent plus directement être attribuées à la personne concernée. Mais le recours à des informations supplémentaires, par exemple une table de correspondance, permet de réidentifier cette dernière. Dans ce cas la réglementation sur la protection des données personnelles s’applique.
Les données sensibles
Elles forment une catégorie particulière des données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, dans certains cas, et notamment si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée).
Le Délégué à la protection des données
Chaque établissement public doit être doté d’un délégué à la protection des données chargé de conseiller et d’informer les responsables de traitement de leurs obligations pour l’application des règlementations en matière de protection des données à caractère personnel (Cf. articles 37 à 38 du RGPD). Il conseille sur le respect de la règlementation, coopère avec l’autorité de contrôle, s’assure du respect de la règlementation sur la protection des personnes.
La CNIL
La Commission nationale Informatique et Libertés (CNIL) est l’autorité de contrôle et de conseil en France chargée de surveiller, d’informer, d’accompagner l’application du règlement européen et de la règlementation française en matière de protection des données à caractère personnel (Cf. article 51 du RGPD) et chapitre 2 de l’ordonnance 2018-1125 du 12 décembre 2018 relative à la protection des données personnelles (modifiant la loi Informatique et Libertés du 6 janvier 1978).
Le traitement des données
Un traitement de données est toute opération qui porte sur des données à caractère personnel, quel que soit le procédé, le support utilisé, informatisé ou non. Les données sont utilisées pour répondre à des objectifs/des finalités. Le traitement de données au sens « protection des données à caractère personnel » dépasse l’analyse ou l’exploitation de la donnée, il concerne la collecte, l’analyse, la réutilisation des données, l’archivage …..Article 4.2 du RGPD.
Exemple : L’hébergement de données par Huma-Num et l’archivage par le CINES sont des traitements de données personnelles.
Un Plan de Gestion de Données (DMP)
Un DMP est un document formalisé qui explicite la manière dont sont obtenues et traitées les données tout au long de leur cycle de vie, de leur collecte à l’archivage. Il doit indiquer :
• quel est le traitement des données de recherche avant, pendant et après la fin du projet,
• les données qui seront collectées, traitées et/ou générées,
• si les données sont partagées, rendues accessibles, comment les données seront organisées et conservées (y
compris après la fin d’un projet).
Un DMP :
- Garantit la qualité de la recherche
- Contribue à des données FAIR « facilement accessibles, identifiables, reproductibles » (pour les projets H2020)
- Est un outil de fiabilité à l’ère du numérique et de connaissance pour permettre la potentielle réutilisation des données liée à l’Open access
- Répond à une demande des financeurs : Union européenne, ANR, … Les frais associés peuvent être intégrés dans les dépenses éligibles.
Les éléments relatifs à la protection des données personnelles n’alimentent qu’une partie des informations dans un DMP, même si la conformité à la règlementation concerne toutes les étapes d’un DMP.
Un retour d’expérience science ouverte : la mise en œuvre de la démarche RGPD
Le pôle observation, données et méthodes de l’UMR AMURE vous propose une nouvelle série basée sur des retours d’expérience de collègues amuriennes et amuriens autour des nouvelles pratiques induites par le mouvement de la science ouverte.
Pour ce premier numéro il s’agit de l’expérience vécue par notre collègue Florence Ménez concernant la mise en œuvre de la démarche RGPD : pourquoi et comment a-t-elle été amenée à réaliser cette démarche? Comment l’a-t-elle vécu et comprise dans sa pratique d’anthropologue? Qu’est-ce que son expérience peut nous apprendre sur cette démarche?
Vous pouvez télécharger ce témoignage en ligne sur le site ZENODO : https://zenodo.org/record/6867057#.YxsH7bTP0uV
Le pôle obs’ vous propose en complément un tuto pas à pas sur la démarche RGPD en ligne sur le site amure : https://www.umr-amure.fr/demarche-rgpd/
Cette nouvelle rubrique “science ouverte” (SO) sera enrichie au fur et à mesure afin de vous donner des informations utiles concernant toutes démarches en lien avec le mouvement de la SO.
Le prochain numéro traitera du phénomène “data paper”!
Envie de réagir? Une proposition de retour d’expérience? N’hésitez pas à nous contacter!
Pour le pôle observation, données et méthodes d’AMURE,
Sophie Léonardi, Séverine Julien & Pascal Raux
pole-obs-amure@univ-brest.fr
