En pratique
Dans le cadre de mes missions et activités à l’UNIGE, j’agis conformément à la Charte d’éthique et de déontologie et respecte les lois et règlements. Je vais nécessairement utiliser des services numériques pour effectuer mon travail et possiblement traiter des données personnelles, que je dois protéger adéquatement. J’engage alors l’UNIGE en tant que Responsable du traitement / Maître du fichier au sens de la législation sur la protection des données personnelles.
En tant que Responsable du traitement de données personnelles, je dois m'assurer du respect de la législation en la matière et de la protection adéquate des données, qu'elles soient sous forme numérique ou non. Ceci implique en particulier que:
- Je respecte l'ensemble des principes de protection des données personnelles et des droits des personnes concernées qui sont définis par la législation, et je suis en mesure de le démontrer
- Je procède si nécessaire à une analyse d'impact du traitement envisagé relativement à la protection des données personnelles afin d'évaluer le niveau de risque induit et prendre le cas échéant les mesures juridiques, organisationnelles et techniques pour que le risque résiduel soit acceptable
- Si je traite des données sous forme numérique, je collabore avec un acteur informatique/sécurité (DiSTIC et/ou Correspondant facultaire) afin d'utiliser des services numériques conformes aux normes légales (marchés publics, protection des données personnelles, secret de fonction, ...) et sécuritaires (confidentialité, intégrité et disponibilité des données) en fonction du niveau de sensibilité des données. A cette fin , je me réfère en particuleir à la documentation disponible sur le portail sécurité numérique / cybersécurité de l'UNIGE:
- Si j'envisage un traitement utlisant des ressources dans le cloud qui n'ont pas encore été vérifiées/validées, notamment sous l'angle juridique et sécuritaire, je collabore avec un acteur informatique/sécurité (DiSTIC et/ou Correspondant facultaire) afin de renseigner un dossier d'évaluation, qui sera revu par les experts concernés (DPO, Direction juridique, RSSI) et fera l'objet si besoin d'un préavis du PPDT et d'une décison du Rectorat. A cette fin, je me réfère à la documentation suivante (accès restreint réseau UNIGE):
- Cadre institutionnel pour les solutions cloud, fixant les exigences "Privacy" et Sécurité
- Questionnaire sur une solution cloud pouvant être rempli par le fournisseur
- Grille d'évaluation d'une solution cloud, à remplir par le responsable du traitement puis à transmettre pour revue à
- Je déclare le traitement / fichier de données personnelles, conformément aux exigences légales et réglementaires. A cette fin, je remplis le formulaire (accès restreint réseau UNIGE) qui sera revu par le DPO puis déclaré au Catalogue des fichiers tenu par le PPDT