A savoir
Rôles et responsabilités
Le/la Responsable du traitement / Maître du fichier détermine les finalités (le "pourquoi") et les moyens (le "comment") du traitement des données personnelles. Il/elle engage la responsabilité de l'UNIGE et doit s'assurer que le traitement est conforme au cadre légal et réglementaire en matière de protection des données personnelles. A cette fin, il/elle se réfère aux différentes étapes guidant la mise en pratique de la conformité et sécurité des traitements.
A noter que la non-conformité peut engendrer:
- des conséquences négatives pour les personnes concernées
- des conséquences juridiques et financières imporantes pour l'UNIGE
- un impact négatif sur l'image et la réputation de l'UNIGE
Le DPO (Data Protection Officer / Délégué à la Protection des Données personnelles) conseille et accompagne l'institution dans sa conformité au cadre légal et réglementaire relatif aux données personnelles. Ses missions peuvent être regroupées en trois grands domaines: pilotage de la conformité, information et conseil, contrôle du respect de la réglementation.
Pour réaliser ses missions, le DPO doit pouvoir s'appuyer sur des relais/référents à la protection des données au sein des différentes entités et domaines fonctionnels de l'UNIGE. Le DPO travaille en étroite collaboration avec le RSSI (Responsable sécurité du système d'information) et la Direction des affaires juridiques. Le DPO est le point de contact privilégié de l'UNIGE avec le PPDT.
La personne concernée peut s'adresser au DPO pour exercer les droits que la législation en matière de protection des données peronnelles lui octroie.
Le Préposé cantonal à la protection des données et à la transparence (PPDT), autorité indépendante rattachée administrativement à la Chancellerie d'Etat, surveille l’application de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD) auprès des institutions publiques cantonales et communales genevoises.
La LIPAD étend son champ d’application à deux domaines : la transparence et la protection des données personnelles. Le Préposé cantonal et la Préposée adjointe exercent les missions qui leur sont confiées par la LIPAD, soit en matière de protection des données personnelles (art. 56 al. 3 LIPAD):
- d’émettre les préavis et formuler les recommandations requis en vertu LIPAD;
- de collecter et centraliser les avis et informations que les organes des institutions publiques ou les responsables désignés au sein de ces dernières doivent lui fournir, et, s'il y a lieu, de prendre position dans l'exercice de ses compétences;
- de conseiller les instances compétentes des institutions publiques sur les mesures d'organisation et les procédures à prescrire en leur sein;
- d’assister les responsables désignés au sein des institutions publiques dans l'accomplissement de leurs tâches;
- d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de protection des données personnelles;
- de dresser, mettre à jour et rendre accessible au public le catalogue des fichiers des institutions publiques;
- de dresser, mettre à jour et rendre accessible au public la liste des responsables désignés au sein des institutions publiques;
- de renseigner d'office ou sur demande les personnes concernées sur leurs droits;
- d’exercer le droit de recours et de participation aux procédures prévu dans la loi.
Le préposé cantonal peut exiger des responsables désignés au sein des institutions publiques tous renseignements utiles sur le traitement des données qui y est effectué. Il a le droit d’accéder aux fichiers qu’elles tiennent et aux données personnelles qu’elles traitent, sauf disposition légale contraire.
S’il constate la violation de prescriptions sur la protection des données, il recommande au responsable compétent d’y remédier à bref délai. Si la recommandation est rejetée ou n’est pas suivie, il peut porter l’affaire, pour prise de position, auprès des instances mentionnées à l’art. 50, al. 2 LIPAD, puis recourir contre la prise de position de ladite instance, laquelle est assimilée à une décision au sens de l’article 4 de la loi sur la procédure administrative, du 12 septembre 1985.