Accueil > Les NewsLetters de RESINFO > Gaëlle BUJAN, DPD au CNRS

Gaëlle BUJAN, DPD au CNRS

Publié le dimanche 16 décembre 2018, mis à jour le lundi 17 décembre 2018

Quel est le plan de mise en œuvre du RGPD au CNRS ?
Vous savez ce qu’est le RGPD ? : une réglementation qui s’applique depuis le 25 mai 2018 à toute l’Union Européenne pour ce qui concerne la protection des données à caractère personnel et qui étend la loi informatique et libertés appliquée depuis 1978 en France.

Le CNRS est très attentif à respecter cette règlementation qui a pour but la protection des personnes et corrélativement la protection de la recherche. En effet l’organisme dans ses différentes composantes (unités, délégations régionales, directions fonctionnelles) manipule et traite un nombre considérable de données personnelles : celles des 35 000 agents du CNRS et assimilés et les données des personnes, collectées pour des projets de recherche.

Je suis donc chargée de mettre en place une politique de protection des données au CNRS en tant que Déléguée à la protection des données de l’établissement avec l’assistance d’un service dédié de 4 personnes (juriste, assistante juridique, communication, développement informatique) et d’un réseau de 40 correspondants dans les DR, les instituts et les directions de la DGDS et de la DGDR.

Mon objectif est d’inscrire la protection des données à caractère personnel donc la protection de la vie privée des personnes dans le quotidien du CNRS.

Pour ce faire, nous déclinons un plan d’action en cinq axes visant la conformité et la facilitation de la recherche :

1. Construire la gouvernance
Avec la tenue des registres des traitements opérés dans les structures du CNRS, la mise en conformité des traitements existants, l’élaboration de procédures internes de déclaration de traitements, de référentiels, de méthodologies d’analyse de risque, de gestion des violations de données, de gestion des données par nos sous-traitants etc.

2. Organiser la documentation de la conformité
En faisant évoluer le registre des traitements, en concevant pour les différentes structures des modèles de mentions obligatoires, de clauses types pour les contrats, des formulaires etc.

3. Développer une culture de la protection des données
Avec des pages web sur l’intranet, la formation continue des correspondants, des sessions de sensibilisation in situ ou en visio pour les structures ou les réseaux métiers, le partage de pratiques et la mutualisation de l’information avec les partenaires de l’ESR et un guide de vulgarisation pour les agents.

4. Mettre en place les modalités techniques et organisationnelles pour protéger les données
En appuyant la DSI, le RSSI, le FSD pour l’organisation d’un hébergement sécurisé des données, en concevant le descriptif de traitements types pour une facilitation de leur inscription au registre, en définissant une procédure pour la gestion des violations de données au CNRS.

5. Mettre en place des politiques de protection des données adaptées à nos activités

En tenant compte de la diversité des disciplines et de la sensibilité des données (SHS, Santé en particulier).
Pour tenir compte des risques et des enjeux de cette politique pour le CNRS, un comité de pilotage assurera le suivi de cette mise en conformité.

Dans ce cadre, quelles sont les obligations des ASR ?
Il y a un principe auquel je suis attachée : la protection des données est l’affaire de tous. Avant même de parler d’obligations et de procédures à mettre en place pour tel ou tel métier, ou dans telle ou telle situation nous devons acquérir nous-mêmes les réflexes et les bonnes pratiques de la protection de la vie privée : la nôtre et celle des autres.

Nous devons adopter un « comportement numérique » : sécuriser nos données et celles qui nous sont confiées dans la pratique quotidienne : nous assurer par exemple que nos PC, nos téléphones portables et autres outils numériques et nomades sont chiffrés, que nous ne laissons pas nos matériels allumés et non verrouillés quand nous nous absentons. Il nous faut insister sur la bonne mise en application des règles d’hygiène informatique de base telles que l’ANSSI les rappelle (https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/), applicables par tous, de l’utilisateur à l’administrateur.

Pour revenir à votre question sur les obligations de l’ASR, il est un acteur de la protection des données dans l’organisme. Il est impliqué dans l’administration des systèmes réseaux, le développement web et participe à la sécurisation physique de l’infrastructure réseau. Dans les différents aspects de son métier et en particulier dans le développement de services web (partage de fichiers, configuration d’espaces Core, développement et installation de sites web, de questionnaires en ligne…), il doit être vigilant à la problématique des données personnelles et il doit développer une expertise minimale qui lui permette d’alerter les personnes avec lesquelles il travaille à la mise en conformité des traitements comportant ces données.

Quelques questions préalables doivent être posées quand on traite des données à caractère personnel :
A-t-on besoin de toutes ces informations sur les personnes ?
Les personnes ayant accès à ces données sont-elles légitimes ?
Les personnes dont on collecte les données ont-elles été informées de cette collecte ?
Quelle est la sensibilité des données qui sont collectées et traitées, leur impact sur la vie privée des personnes concernées en cas de divulgation ?
le traitement est-il ou va-t-il être enregistré par le service Protection des données du CNRS ? etc.

L’ASR doit connaître un minimum sur la protection des données et des données personnelles, il est un relais important au CNRS pour la culture de la sécurité des données dans les entités de notre établissement.

Quelles sont les conséquences de la RGPD pour les laboratoires ?
Les unités sont bien entendu concernées au premier chef par la conformité de leurs traitements avec la RGPD, particulièrement celles qui traitent des données de recherche comportant des données de personnes.

Le directeur d’unité est le responsable de traitement et il doit désigner un délégué à la protection des données qui l’aidera à mettre son unité en conformité. La CNIL a préconisé que les DU qui ont le CNRS comme employeur désignent la DPD du CNRS comme DPD de leur unité. J’ai donc été désignée par un peu plus de 550 unités comme DPD de leur unité ; avec mon service nous les aidons et les conseillons avec l’aide si nécessaire de la DAJ pour les questions juridiques et sur le plan de la sécurité informatique avec l’aide du RSSI du CNRS.

Comment vous contacter et en savoir plus ?
Nous avons un courriel unique : dpd.demandes@cnrs.fr

un numéro de téléphone unique : 03 83 85 64 26

et un site intranet mis à jour régulièrement 
https://intranet.cnrs.fr/protection_donnees/donnees/Pages/default.aspx

Lexique :
DGDS : Direction Générale Déléguée à la Science
DGDR : Direction Générale Déléguée aux Ressources
DAJ : Direction des Affaires Juridiques
DPD : Délégué à la Protection des Données
DR : Délégation Régionale
DSI : Direction des Systèmes d’information
FSD : Fonctionnaire de Sécurité Défense
RSSI : Responsable de la Sécurité du Système d’Information
RGPD : Règlement Général sur la Protection des Données
SHS : Sciences Humaines et Sociales