meta données pour cette page
[2023-04-19] Protection des données personnelles
La CNIL donne cette définition des données personnelles : « toute information se rapportant à une personne physique identifiée ou identifiable. ».
Les données sensibles sont quant à elles définies dans l’II 901 comme suit : « Les informations sensibles sont celles dont la divulgation à des personnes non autorisées, l’altération ou l’indisponibilité sont de nature à porter atteinte à la réalisation des objectifs des entités qui les mettent en œuvre. » (article premier). Charge donc aux entités de définir la criticité des données vis à vis :
- de la confidentialité
- de l’intégrité
- de la disponibilité
Enfin, les données professionnelles sont sous la responsabilité des agents, ils ont le devoir de les protéger, voir à ce sujet [2024-01-17] Protection des données professionnelles.
La DSI n’est pas responsable de la protection des données personnelles, c’est du ressort du délégué à la protection des données (ou DPO pour Data Protection Officer).
Néanmoins, la DSI est un acteur majeur de cette protection étant entendu que ces données sont stockées ou transitent sur des serveurs ou des postes de travail qu’elle gère, dans des applications qu’elle exploite, etc. Elle se doit évidemment de respecter et faire appliquer la réglementation. Elle agit aussi suivant les instructions du DPO comme du RSSI.
Les personnels sont souvent amenés de par leurs missions à manipuler des données personnelles d’auditeurs, d’enseignants ou de tiers (identité, coordonnées bancaires, cursus…), communément appelées données personnelles. Une FAQ est disponible de même qu’un guide pratique de la Cnil.
L’établissement se doit bien évidemment de protéger systématiquement ces données. Leur collecte et leur conservation doivent répondre au principe de minimisation et donc :
- n’être disponibles et accessibles qu’aux seules personnes habilitées
- être détruites dès que possible
Pour limiter les possibilités de fuites de données, le RSSI pousse au chiffrement systématique des disques des ordinateurs portables (voir aussi Chiffrer des données avec Cryptomator).
La DSI organise le séquestre des clefs de récupération (pour accéder aux données en cas de perte du mot de passe). Ne pas hésiter à prendre contact avec assistance@cnam.fr pour la mise en place et des conseils éventuels.
Attention aux disques portatifs et autres clefs USB : eux aussi doivent être chiffrés (qu’ils contiennent de telles données ou non).
Pour simplifier la manipulation, outre la minimisation, penser à limiter les supports de stockage à un serveur de fichiers sécurisé, par la DSI du Cnam.
Pour les enseignants-chercheurs et les données de recherche mais aussi les notes ou travaux d’étudiants, la problématique n’est pas très différente et le personnel informatique qualifié de leur EPN ou de leur laboratoire sauront les conseiller efficacement pour mettre en œuvre ces bonnes pratiques, cf. https://securite-informatique.cnam.fr.
← Retour