Axe D
Contacts DPD
- UBO – François Roels dpo/at/univ-brest.fr
- Ifremer – Jean-Marc Sinquin dpo/at/ifremer.fr
- CNRS – Gaëlle Bujan dpd.demandes/at/cnrs.fr
Axe D
AMURE étant une UMR à 3 tutelles chacune des tutelles a son DPD. Vous êtes libre de choisir la tutelle avec laquelle vous souhaitez réaliser cette démarche. Toutefois, la DPD CNRS, Gaëlle BUJAN, est désormais désignée auprès de la CNIL comme la DPD de l’unité, aussi nous vous invitons à effectuer la démarche auprès du service protection des données du CNRS, et ce pour différentes raisons :
Le service protection des données du CNRS saura donc vous apporter soutien et accompagnement tout au long de votre démarche, avec des compétences particulières sur le domaine des SHS, de premier intérêt pour l’UMR Amure.
Cependant, si vos travaux concernent la tutelle Ifremer (personnel Ifremer en charge du traitement ou du pilotage du projet, financements Ifremer…), il vous sera demandé de tenir informé le DPD de l’Ifremer (dpo/at/ifremer.fr) en lui transmettant l’ensemble des documents que vous aurez échangés avec la DPD CNRS à l’issue de votre démarche.
Cependant, si vos travaux concernent la tutelle Ifremer (personnel Ifremer en charge du traitement ou du pilotage du projet, financements Ifremer…), il vous sera demandé de tenir informé le DPD de l’Ifremer (dpo/at/ifremer.fr) en lui transmettant l’ensemble des documents que vous aurez échangés avec la DPD CNRS à l’issue de votre démarche.
Guide « Les SHS et la protection des données », InSHS, CNRS
Pour mener à bien cette démarche, notamment dans le cadre de la collecte de données (enquêtes, entretiens) pour vos travaux de recherche, 3 documents sont à compléter et/ou rédiger
Le formulaire permettant d’inscrire votre traitement dans le registre de l’unité ;
Ce sera l’occasion de vous projeter sur l’ensemble du processus de traitement de la donnée, depuis sa collecte jusqu’à sa diffusion en passant par les étapes de stockage et de traitements pouvant faire intervenir plusieurs acteurs.
Les questions que vous serez amené à vous poser :
NB : au CNRS, le responsable de traitement est toujours le directeur de l’unité (DU).
Une mention d’information à destination des enquêtés.
Elle est à remettre AVANT le début de la collecte, et se veut explicite : finalité collecte, destinataires, durée de conservation des données… (cf. memento CNRS)
Un formulaire de consentement à recueillir auprès des enquêtés AVANT la collecte.
Le consentement doit être clair et explicite (daté, signé, nom, prénom).
Les formulaires de consentement (papier, numériques) doivent être supprimés à la fin du projet
NB 1 : Anticiper la démarche suffisamment en amont de la réalisation des travaux car le service du CNRS traite de nombreuses demandes ;
NB 2 : Si besoin de conseils pour compléter les documents, ne pas hésiter à leur en faire part par mail et les solliciter pour un échange téléphonique (03 83 85 64 26) ou visio pour clarification.
[1] Tous les personnels de l’unité ont accès à l’intranet CNRS via les identifiants JANUS.
Si vos travaux concernent la tutelle Ifremer (personnel Ifremer en charge du traitement ou du pilotage du projet, financements Ifremer…), alors transmettre également l’ensemble de ces documents (incluant le certificat) au DPD de l’Ifremer (Jean-Marc Sinquin : dp/at/ifremer.fr) pour qu’il en soit informé.
La démarche RGPD est également à mettre en œuvre dans le cadre de traitements administratifs au sein de l’unité, du type :
Pour ce faire, une procédure simplifiée est disponible pour l’enregistrement de ces traitements à travers l’engagement de conformité à une ‘fiche référentiel’.
Une fiche référentiel est disponible pour chacun des types de traitements listés ci-dessus. Les informations relatives à la finalité du traitement, les données à caractère personnel collectées, leur durée de conservation, les destinataires des données et les mesures de sécurité sont pré-remplies, offrant un cadre de référence pour ce genre de traitement.
En pratique, la personne ou le service en charge du traitement doit transmettre les documents suivants à la déléguée à la protection des données (dpd.demandes/at/cnrs.fr ) :
Le Service Protection des Données du CNRS se charge ensuite de :
Attention ! Si des données personnelles supplémentaires par rapport aux fiches Référentiel sont recueillies dans le traitement, le responsable de traitement doit réaliser les formalités d’enregistrement classique du traitement (cf. procédure dans le paragraphe précédent).
L’ensemble des documents et le détail de la procédure sont disponibles sur l’intranet du CNRS.
Toute information relative à toute personne physique identifiée ou identifiable à partir du croisement de plusieurs informations. Exemple de personne identifiable : la collègue d’Amure aux cheveux frisés, qui porte le même prénom que 3 autres collaboratrices et qui ne boit pas de café…
A noter
• Les données anonymisées de manière irréversible, qui ne permettent plus la réidentification d’une personne, ne sont pas soumises à la règlementation sur la protection des données personnelles.
• Les données pseudonymisées sont les données à caractère personnel qui ne peuvent plus directement être attribuées à la personne concernée. Mais le recours à des informations supplémentaires, par exemple une table de correspondance, permet de réidentifier cette dernière. Dans ce cas la réglementation sur la protection des données personnelles s’applique.
Elles forment une catégorie particulière des données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, dans certains cas, et notamment si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée).
Chaque établissement public doit être doté d’un délégué à la protection des données chargé de conseiller et d’informer les responsables de traitement de leurs obligations pour l’application des règlementations en matière de protection des données à caractère personnel (Cf. articles 37 à 38 du RGPD). Il conseille sur le respect de la règlementation, coopère avec l’autorité de contrôle, s’assure du respect de la règlementation sur la protection des personnes.
La Commission nationale Informatique et Libertés (CNIL) est l’autorité de contrôle et de conseil en France chargée de surveiller, d’informer, d’accompagner l’application du règlement européen et de la règlementation française en matière de protection des données à caractère personnel (Cf. article 51 du RGPD) et chapitre 2 de l’ordonnance 2018-1125 du 12 décembre 2018 relative à la protection des données personnelles (modifiant la loi Informatique et Libertés du 6 janvier 1978).
Un traitement de données est toute opération qui porte sur des données à caractère personnel, quel que soit le procédé, le support utilisé, informatisé ou non. Les données sont utilisées pour répondre à des objectifs/des finalités. Le traitement de données au sens « protection des données à caractère personnel » dépasse l’analyse ou l’exploitation de la donnée, il concerne la collecte, l’analyse, la réutilisation des données, l’archivage …..Article 4.2 du RGPD.
Exemple : L’hébergement de données par Huma-Num et l’archivage par le CINES sont des traitements de données personnelles.
Un DMP est un document formalisé qui explicite la manière dont sont obtenues et traitées les données tout au long de leur cycle de vie, de leur collecte à l’archivage. Il doit indiquer :
• quel est le traitement des données de recherche avant, pendant et après la fin du projet,
• les données qui seront collectées, traitées et/ou générées,
• si les données sont partagées, rendues accessibles, comment les données seront organisées et conservées (y
compris après la fin d’un projet).
Un DMP :
Les éléments relatifs à la protection des données personnelles n’alimentent qu’une partie des informations dans un DMP, même si la conformité à la règlementation concerne toutes les étapes d’un DMP.
Le pôle observation, données et méthodes de l’UMR AMURE vous propose une nouvelle série basée sur des retours d’expérience de collègues amuriennes et amuriens autour des nouvelles pratiques induites par le mouvement de la science ouverte.
Pour ce premier numéro il s’agit de l’expérience vécue par notre collègue Florence Ménez concernant la mise en œuvre de la démarche RGPD : pourquoi et comment a-t-elle été amenée à réaliser cette démarche? Comment l’a-t-elle vécu et comprise dans sa pratique d’anthropologue? Qu’est-ce que son expérience peut nous apprendre sur cette démarche?
Vous pouvez télécharger ce témoignage en ligne sur le site ZENODO : https://zenodo.org/record/6867057#.YxsH7bTP0uV
Le pôle obs’ vous propose en complément un tuto pas à pas sur la démarche RGPD en ligne sur le site amure : https://www.umr-amure.fr/demarche-rgpd/
Cette nouvelle rubrique “science ouverte” (SO) sera enrichie au fur et à mesure afin de vous donner des informations utiles concernant toutes démarches en lien avec le mouvement de la SO.
Le prochain numéro traitera du phénomène “data paper”!
Envie de réagir? Une proposition de retour d’expérience? N’hésitez pas à nous contacter!
Pour le pôle observation, données et méthodes d’AMURE,
Sophie Léonardi, Séverine Julien & Pascal Raux
pole-obs-amure@univ-brest.fr