Rubrique DPD en cours de mise à jour

Délégué à la protection des donneés (DPD)

 Pourquoi un DPD ?

Le 27 avril 2016, les instances européennes, grâce à la participation active du G29, sont parvenues à un règlement dit « Règlement Général sur la Protection des Données » (ci-après appelé « RGPD »). Ce texte (UE 2016/679 avec application au 25 mai 2018) vise à renforcer les droits des personnes sur leurs données personnelles et, ce faisant, accroit notablement les obligations à la charge des responsables de traitement et sous-traitants. Il impose également, dans les articles 37 à 39, la nomination d’un Délégué à la Protection des Données (DPD ou Data Protector Officer / Data Privacy Officer (DPO)) pour les établissements universitaires.

Qu’est-ce qu’une donnée personnelle ? Qu’est-ce qu’un traitement ?

Est considérée comme donnée à caractère personnel (DCP) toute information se rapportant à une personne physique identifiée ou identifiable. Cette acception large englobe de nombreuses informations : outre les noms, prénoms, adresses, numéro de téléphone, etc., sont également concernés identifiant en ligne, numéro d’identification, adresse IP ou encore donnée biométrique, génétique ou physiologique.

Le traitement désigne quant à lui toute opération ou tout ensemble d’opérations susceptible d’être effectué sur des données à caractère personnel, que ce soit ou non grâce à des procédés automatisés. De façon non exhaustive, il est possible de citer les opérations de collecte, enregistrement, organisation, structuration, conservation, extraction, consultation, utilisation, diffusion, etc.

 Le champ des données personnelles ne se limite donc pas au champ informatique au sens strict et englobe également des domaines tels que le contrôle d’accès aux bâtiments par badge, la surveillance par caméra, la géolocalisation des véhicules …

 Les missions du DPD ?

En synthèse, la mission du DPD est d’être le correspondant de l’autorité de contrôle (CNIL) pour l’application du RGPD au sein de l’établissement. Cela passe notamment par les activités suivantes :

  • Informer et conseiller le président ainsi que l’ensemble des personnels sur les obligations relatives au RGPD;
  • Inventorier et documenter les traitements de données à caractère personnel en tenant compte du risque associé à chacun d’entre eux compte tenu de sa nature, sa portée, du contexte et de sa finalité.
  • Piloter la production et la mise en œuvre de politiques, de lignes directrices, de procédures et de règles de contrôle pour une protection efficace des données personnelles et de la vie privée des personnes concernées
  • Veiller à la mise en œuvre de ces mesures pour permettre de démontrer que les traitements sont effectués en conformité avec le RGPD ;
  • Auditer et contrôler, de manière indépendante, le respect du RGPD par notre organisme, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement et les audits s’y rapportant ;
  • Veiller à la bonne application du principe de protection des données dès la conception et par défaut dans tous nos projets comportant un traitement de données personnelles ;
  • Assurer la bonne gestion des demandes d’exercice de droits, de réclamations et de requêtes formulées par des personnes concernées par nos traitements, vous assurer de leur transmission aux services intéressés et apporter à ces derniers votre conseil dans la réponse à fournir aux requérants ;
  • être l’interlocuteur privilégié de l’Autorité de contrôle (CNIL) et coopérer avec elle ;
  • Mettre l’institution en position de notifier d’éventuelles violations de données auprès de l’Autorité de contrôle et me porter conseil, notamment concernant les éventuelles communications aux personnes concernées et les mesures à apporter ;

Quand contacter votre DPD ?

Deux situations sont envisageables :

1 – Accès, rectification, opposition aux DCP

En tant qu’individu, chacun peut exercer des droits d’accès, de rectification ou d’opposition à ses données personnelles.Le DPD doit être contacté pour que l'exercice de ces droits.

2 – En tant que membre de l’Université de La Réunion

Chaque membre de l’Université peut potentiellement être amené à mettre en place ou utiliser un ou plusieurs traitements de données personnelles : chercheurs souhaitant traiter des données personnelles, doctorants dans le cadre de leur thèse, enseignants dans le cadre pédagogique, personnel souhaitant améliorer l’efficacité administrative, les traitements relatifs au personnel de l’Université … Ces traitements doivent faire l’objet d’une déclaration auprès du DPD.

 

Contacter le DPD

- Mél : dpd[at]univ-reunion.fr