Mise en place du RGPD au CNRS

CNRS

Entrée en application le 25 mai 2018, le Règlement général sur la protection des données (RGPD) organise la protection des données à caractère personnel au niveau européen. Gaëlle Bujan, déléguée à la protection des données du CNRS, nommée en avril 2018, revient sur la mise en place de ce dispositif au CNRS.

Qu’est-ce que le Règlement général sur la protection des données (RGPD) ?

Le RGPD est le règlement européen relatif à la protection des données et la libre circulation de ces dernières. Il fait suite à la Loi informatique et libertés d’application nationale de 1978 et s’étend à tous les pays de l’Union européenne. Il organise les relations et les dispositions que prennent entreprises et institutions pour respecter la vie privée des personnes. Ce règlement s’inscrit dans le contexte actuel du numérique dans lequel les données circulent et l’information va très vite. La protection de la vie privée et des données personnelles est un droit fondamental : les personnes doivent devenir maître de l’utilisation de leurs données personnelles.

Quel impact a-t-il sur les agents du CNRS ?

Le CNRS appliquait la loi informatique et liberté ; il s’agit maintenant de se conformer à la règlementation européenne et française. L’impact porte d’une part sur les données administratives des agents : ils seront progressivement plus précisément informés de l’utilisation des données qui les concernent et peuvent solliciter des modifications, des suppressions des données, par exemple. D’autre part, le RGPD s’applique aux programmes de recherche qui utilisent des données à caractère personnel : la communauté scientifique doit s’approprier les nouveaux textes, les concepts, réaliser des démarches préalables pour protéger les données de la recherche et sécuriser leurs activités scientifiques. Les cinq cent cinquante directeurs d’unité CNRS, responsables de traitements, seront garants de la conformité à la règlementation.

Peut-on revenir sur l’historique du CNRS en matière de protection des données ? Quels choix ont été faits ?

Dès 2010, le CNRS s’est organisé en mesure de protection des données de manière volontariste. Il nommait, en 2011, un Correspondant informatique et liberté (CIL). La mission de ce correspondant était de permettre au CNRS de réaliser des formalités auprès de son service IL et non plus, pour tous les traitements, auprès de la Commission nationale de l'informatique et des libertés : un acte de simplification. Ce service s’est alors organisé pour sensibiliser, faire connaitre la loi et conseiller les chercheurs dans leurs formalités. Tout cet environnement continue avec le service protection des données (SPD). Nous ne souhaitons pas ajouter de lourdeur administrative, mais aider et servir les unités avec, par exemple, la réadaptation à la RGPD des outils mis à disposition pour accomplir les formalités de mise en conformité des traitements, la rédaction de modèles de mention d’informations exigées par le nouveau règlement, ou encore une forte communication sur l’intranet

Comment est organisé le Service protection des données et quels en sont les objectifs ?

Tout d’abord, il faut savoir que notre équipe est joignable pour toute demande de conseils1. L’équipe est composée de cinq personnes : une juriste spécialisée en protection des données, plus particulièrement dans le domaine de la santé et des Sciences Humaines et Sociales (SHS), une assistante juridique pour le traitement de données à caractère administratif, un responsable de la communication (qui a notamment en charge notre intranet), une responsable de projet informatique et moi-même.

Nous souhaitons garantir la réalisation de l’activité de recherche. Cela induit notamment : être en mesure de sécuriser la collecte des données à caractère personnel, être en capacité de sécuriser les pratiques et permettre l’ouverture des données dans le cadre de l’Open Science. Nous conduisons un projet collectif de mise en conformité et voulons apporter un service à la communauté en répondant à toutes les sollicitations et en aidant les chercheurs à mettre en place leurs projets. Pour cela nous avons mis en place un certain nombre de bonnes pratiques comme par exemple des outils2 aux services de la communauté SHS afin de faciliter les pratiques de leurs chercheurs dont les données de recherche ont souvent bien plus un caractère personnel que, disons, la chimie.

Nous avons retenu cinq axes stratégiques : développer une culture de la protection des données au CNRS en sensibilisant sur la règlementation, les droits de chacun ; mettre en conformité « RGPD » les traitements de données déjà existants au CNRS ; constituer la documentation sur la conformité qui inclut une centralisation des registres pour toutes les entités du CNRS concernées ; appuyer le développement des mesures techniques et organisationnelles pour la protection des données, les chiffrement des portables, les outils de l’offre de service de la DSI sont ici essentiels ; enfin, construire des politiques de protection des données adaptées aux disciplines et activités du CNRS qu’elles soient de nature administrative ou scientifique. Sur ce dernier volet, nous travaillons à la mutualisation et la simplification des pratiques, en concertation avec nos partenaires de l’enseignement supérieur et de la recherche.

 

  • 1. Contact à retrouver sur l’intranet du CNRS : https://intranet.cnrs.fr/protection_donnees/reseaux-de-contact/Pages/i-l.aspx
  • 2. La DPD avec l’INSHS construit actuellement un guide « SHS et protection des données à caractère personnel »