Délégué à la protection des données

Registre des activités de traitement

La protection des données doit s'appliquer à un nombre important de procédures administratives, dont les problématiques seront résolues par le biais des consultations générées et se reflètent dans les lignes directrices, et le guides préparées en fonction des besoins identifiés ; mais il existe au moins deux procédures spécifiques à la protection des données ; exercice des droits prévus par le RGPD, et la mise à jour du registre des activités de traitement, qui fait l’objet de la présente section.

Le registre des activités de traitement (Registre des activités de traitement) recense toutes les activités de traitement de données à caractère personnel effectuées par un organisme. Il sert de base à l'organisation des mesures organisationnelles et techniques nécessaires pour sécuriser les données, respecter les droits des personnes concernées et, de manière générale, se conformer au RGPD et aux autres réglementations applicables. L'inscription au registre atteste que le traitement est correctement encadré par les responsables du traitement de l'organisme.

Le RAT comme pierre angulaire de la protection des données dans l'organisation

L'existence, la mise en œuvre et la gestion adéquates du RAT sont fondamentales pour :

  • Lorsqu'un citoyen exerce ses droits en vertu du RGPD, par exemple son droit d'accès à ses données personnelles, le service chargé du traitement de sa demande doit être en mesure d'identifier les traitements de données le concernant (par exemple, une recherche menée dans le cadre d'une thèse de doctorat en sociologie à partir de données recueillies par questionnaire, une recherche médicale utilisant son dossier médical, des données relatives à sa participation à des cours d'été, à des activités culturelles, ou à son statut d'étudiant ou de prestataire de services). Sans connaissance de l'existence de tels traitements et sans possibilité d'identifier les personnes concernées par chaque traitement, le droit d'accès, et tout autre droit prévu par le RGPD, ne peut être exercé.
  • L’Université, avec les conseils spécialisés appropriés du DPD et en coordination avec les responsables de la sécurité, peut adapter les moyens nécessaires à chaque activité de traitement, en évaluant ses risques pour la liberté et les droits des personnes et en prenant les mesures organisationnelles et techniques nécessaires.
  • Il est possible d'associer les incidents de sécurité à des traitements spécifiques, d'améliorer leur évaluation et de permettre une amélioration continue de la sécurité.

Par conséquent, le registre des traitements (RAT) doit être correctement organisé. Aucun membre de la communauté universitaire ne doit rendre un formulaire accessible à des fins non prévues par le RAT, ni sans adopter ou respecter les mesures organisationnelles et techniques établies pour chaque type de traitement. Voici les recommandations du délégué à la protection des données (DPO) concernant le RAT. Pour enregistrer les procédures dans le RAT, il est conseillé de soumettre un rapport du DPO au Groupe du personnel académique (GAP), en remplissant le formulaire suivant : ce formulaire (instructions incluses) :

Interdiction des traitements non enregistrés

L'exécution de traitements non enregistrés dans le RAT est interdite

Tout traitement de données effectué au sein de l'Université de La Laguna, quel que soit l'organisme responsable, doit être préalablement enregistré au Registre des activités de traitement, ce qui requiert l'autorisation du responsable du traitement. Ce dernier doit demander l'inscription de ses activités de traitement au Registre par voie électronique.

Demande d'inscription au RAT

Pour s'inscrire auprès du RAT, il convient de suivre la procédure décrite à la fin de cette page. Les demandes doivent être faites conformément aux règles suivantes :

L'inscription au RAT doit être demandée par la partie responsable.

Les instances dirigeantes doivent déterminer les responsabilités relatives à chaque type de traitement de données. Actuellement, cette responsabilité incombe à la Direction générale, mais l'hétérogénéité des données utilisées par l'Université de La Laguna et la diversité des finalités de leur utilisation incitent à répartir, dans la mesure du possible et selon le principe du consensus, la responsabilité de leur gestion. Il s'agit de données de recherche, telles que définies par le règlement de l'université, relevant du Vice-recteur à la recherche ; de données académiques, tant sur le plan administratif que sur les aspects liés à l'enseignement et à la recherche, au sens large de l'article 20 de la Constitution, relevant du Vice-recteur à l'enseignement ; de données relatives à l'activité étudiante, relevant du Vice-recteur aux affaires étudiantes ; de données relatives au personnel, qui restent sous la responsabilité de la Direction générale ; et de données organisationnelles et autres procédures administratives, relevant du Secrétariat général, en fonction des dispositions du Cadre national de sécurité en vigueur.

Les demandes des responsables du traitement des données doivent être adressées au responsable du traitement des données.

Cela signifie que toute personne souhaitant effectuer un traitement de données à des fins de recherche doit en faire la demande, selon la procédure décrite ci-dessus, auprès du vice-recteur à la recherche ; s’il s’agit d’un traitement de données de personnel, auprès de la direction, etc. La personne effectuant la demande doit être, dans le cadre de l’ENS, responsable de l’information. Logiquement, ces rôles (responsabilité du traitement et responsabilité de l’information) peuvent se chevaucher.

Traitements à des fins de recherche scientifique

Traitements à des fins de recherche scientifique

Dans le cadre du traitement de données effectué dans le cadre d'activités de recherche, le chercheur principal, ou, s'il n'est pas affilié à l'Université de La Laguna (ULL), le chercheur affilié à l'ULL qui en fait la demande, est considéré comme le responsable du traitement. Cette même personne est également considérée comme l'opérateur de sécurité lors de l'utilisation de systèmes informatiques ne relevant pas du contrôle direct du Service des technologies de l'information et de la communication (STIC). Dans ce cas, elle doit expliquer clairement et en détail les solutions techniques envisagées et suivre scrupuleusement les instructions du responsable de la sécurité, ainsi que la politique de sécurité générale de l'ULL relative aux traitements effectués. Elle est directement responsable de tout dommage pouvant résulter du non-respect de ces instructions. Toute modification de la proposition initiale ou tout incident survenant doit être signalé immédiatement, sans délai indu, au responsable de la sécurité et, le cas échéant, au délégué à la protection des données.

Pour le début et la poursuite du traitement, la personne responsable de l’information doit se soumettre à l’autorisation du responsable du traitement des données, qui, selon le modèle proposé, sera le vice-recteur ou le vice-recteur à la recherche.

Toute personne ayant un lien avec cette université qui participe au traitement de données personnelles et qui estime que celles-ci ne sont pas correctement enregistrées dans le registre des activités de traitement, doit demander au délégué à la protection des données d'engager les procédures d'enregistrement, de modification ou d'annulation des inscriptions.

Lorsque le Comité d'éthique de l'Université de La Laguna constate que des recherches peuvent soulever des questions relatives à la protection des données personnelles, il doit consulter le délégué à la protection des données. Il doit également le saisir systématiquement lorsqu'une attestation de conformité à la réglementation sur la protection des données est demandée.

Ajustement permanent des traitements

Examen des traitements enregistrés
Toutes les activités de traitement de données enregistrées au RAT (Registre des personnes concernées) selon des procédures antérieures à l'entrée en vigueur des présentes règles doivent vérifier leur conformité aux présentes recommandations et demander les modifications nécessaires. Lorsque l'activité de traitement a été enregistrée à la demande d'une personne ou d'une entité autre que celles visées par les présentes, la vérification doit être initiée par l'entité ou la personne qui l'a promue ou réalisée, sans préjudice de la possibilité d'en informer les responsables afin qu'ils puissent demander sa modification ou son annulation s'ils le jugent opportun. Dans tous les cas, ils doivent adapter l'activité de traitement aux conditions de son enregistrement.

Tous les deux ans, le responsable du traitement doit établir un rapport, transmis au délégué à la protection des données et archivé avec la documentation relative au traitement, portant sur son adéquation aux finalités du traitement, évaluant les mesures de sécurité mises en œuvre et signalant l'apparition éventuelle de nouveaux risques pour les droits et libertés des personnes concernées. Ce rapport est sans préjudice de tout réexamen qui pourrait s'avérer nécessaire en cas d'incident de sécurité ou d'évolution technologique ou législative.

Organisation et fonctionnement du RAT

Organisation et fonctionnement du registre

  1. Sections : Le registre doit être organisé en deux sections, l'une (section A) contenant les activités dans lesquelles l'Université effectue le traitement en tant que responsable du traitement, et l'autre (section B) contenant celles dans lesquelles elle le fait en tant que sous-traitant, pour le compte d'un autre responsable du traitement.
  2. Les entrées de la section A (ULL en tant que responsable) doivent contenir :
    1. Nom et coordonnées du responsable du traitement des données et du délégué à la protection des données
    2. Identification du ou des traitements qui sont destinés à être administrés à ces données.
    3. Base juridique du traitement.
    4. Identification des catégories de personnes intéressées et des catégories de données à caractère personnel à traiter.
    5. Objectifs du ou des traitements.
    6. Catégories de destinataires auxquels les données sont communiquées, y compris les transferts internationaux de données et la documentation des garanties appropriées, le cas échéant.
    7. Délais de suppression pour chaque catégorie de données.
    8. Mesures de sécurité techniques et organisationnelles.
    9. Référence et lien vers la publication BOULL dans laquelle le traitement est autorisé.
  3. Les informations relatives à la section B (ULL en tant que partie responsable) doivent contenir :
    1. Nom et coordonnées du sous-traitant et de chaque responsable du traitement pour le compte duquel le sous-traitant agit, ainsi que leurs délégués à la protection des données respectifs, le cas échéant, ou une indication qu'ils n'en ont pas.
    2. Référence précise au contrat, à l’accord, à la convention ou à tout autre document similaire qui précise les conditions dans lesquelles l’ULL doit effectuer le traitement, afin qu’il soit parfaitement identifiable.
    3. Catégories de traitements effectués pour le compte du responsable du traitement.
    4. Transferts de données vers un pays tiers et documentation des garanties appropriées, le cas échéant.
    5. Délais de suppression pour chaque catégorie de données.
    6. Mesures de sécurité techniques et organisationnelles.
    7. Référence et lien vers la publication BOULL dans laquelle le traitement est autorisé.
  4. Gestion interne du registre : Notes marginales : Il est recommandé d'effectuer des annotations instrumentales, sans publicité, qui permettent à l'Université de mieux gérer la supervision des traitements ou de faciliter l'exercice des droits des parties intéressées.
    1. À cette fin, la personne responsable de l'information, et à défaut, la personne chargée du traitement, doit la communiquer et l'enregistrer de cette manière.
      1. Le nom et les coordonnées de la personne habilitée à décider de l'accès aux données et à en autoriser l'accès, qui sera considérée comme responsable de l'information, par exemple, le chercheur principal lorsque, suite à une analyse du flux des données de recherche, la décision lui revient, ou le responsable du service ou de la section où sont principalement gérées les procédures administratives liées au traitement des données. Cette personne doit être identifiée de manière complète ; la simple mention de sa fonction ou de son titre est insuffisante.
      2. Le nom des personnes auxquelles le responsable du traitement a donné accès aux données traitées, en indiquant le type de clauses de confidentialité sous lesquelles elles y ont accès (niveau de confidentialité ULL ou clause spécifique selon la lettre f de ce même numéro).
      3. Les incidents et les failles de sécurité survenant en lien avec les données traitées, ainsi que les mesures techniques, organisationnelles ou autres que vous proposez pour éviter qu'ils ne se reproduisent.
      4. Le contenu des textes d'information qu'elle propose aux parties intéressées doit différer, de manière générique, de ceux contenus par l'Université de La Laguna pour le type de traitements qu'elle effectuera, ainsi que les raisons de cette différence.
      5. Le support sur lequel le consentement des parties intéressées est enregistré, le moment où il doit être obtenu et sa forme de conservation.
      6. Les termes et clauses de confidentialité que les personnes ayant accès aux données sont tenues de signer, lorsqu'il s'agit de personnes extérieures à l'ULL ou qui n'ont pas préalablement signé de clause de confidentialité suffisante avec l'ULL, si lesdits textes doivent différer de ceux proposés par l'ULL.
    2. Les notes suivantes seront obligatoires pour le responsable du service chargé de la gestion de l'exercice des droits RGPD au sein de l'ULL :
      1. L’exercice des droits prévus par le RGPD, en détaillant le droit exercé et l’étendue de son exercice, la motivation si elle est connue, et toute autre circonstance pouvant être utile pour évaluer la nécessité d’un réexamen du traitement, ou des mesures techniques ou organisationnelles qui garantissent sa sécurité.
      2. Incidents et violations de sécurité liés aux données traitées.
    3. Les incidents et violations de sécurité survenant en lien avec les données traitées seront considérés comme des déclarations obligatoires pour le responsable de la sécurité concernant tout traitement effectué sur les systèmes ou infrastructures sur lesquels il exerce ses fonctions.
    4. Les personnes tenues de prendre des notes marginales doivent consigner toutes les informations qu'elles jugent utiles pour évaluer la nécessité d'un examen du traitement ou des mesures techniques ou organisationnelles qui garantissent sa sécurité.
    5. Le délégué à la protection des données, le responsable de la sécurité et le service chargé de la gestion des droits RGPD au sein de l'ULL peuvent ajouter toute note marginale qu'ils jugent appropriée aux fins susmentionnées.
    6. La proposition de nouvelles mesures techniques, organisationnelles ou de toute autre nature sera communiquée au responsable du traitement des données afin qu'il puisse engager la procédure de révision de l'autorisation et de l'enregistrement du traitement, ainsi qu'au délégué à la protection des données et, le cas échéant, au responsable de la sécurité.
    7. Un registre des supports de stockage des données enregistrées doit être tenu afin de garantir l'exercice effectif des droits et le contrôle de la bonne application de la réglementation en vigueur. Le délégué à la protection des données (DPO) et le service chargé de la gestion des droits des personnes concernées en matière de protection des données, pour les traitements effectués dans le cadre de l'Université de La Laguna (ULL), doivent avoir un accès en temps réel aux bases de données de recherche et à toute autre base de données contenant des données enregistrées, au moins pour confirmer l'existence de données appartenant à la personne concernée exerçant ses droits. À cette fin, un système de recherche centralisé sera mis en place, s'appuyant sur la carte nationale d'identité (CNI), le passeport, la carte de résident étranger (NIE) et tout autre document similaire des personnes concernées, permettant au minimum d'identifier les systèmes et les traitements contenant des informations relatives à chaque personne concernée. Ceci est sans préjudice des pouvoirs d'audit des autorités et services compétents.
    8. Les nouvelles inscriptions doivent être signalées par le délégué à la protection des données (DPD). Le délai de déclaration doit être réglementé ; un mois est considéré comme raisonnable une fois toutes les informations requises reçues. Chaque nouvelle inscription nécessitera une demande de mention en marge auprès de la personne responsable des informations, conformément au point a.1 du présent paragraphe 4.
    9. Les résolutions concernant l’enregistrement, la modification ou l’annulation des activités de traitement des données personnelles devraient bénéficier d’une publicité accrue grâce à leur publication préalable dans le BOULL.
  5. La publicité en ligne pour les traitements devrait être organisée par Responsable du traitement et, au sein de celui-ci, par type de services proposés, en essayant de s'adapter à la structure organisationnelle de l'Université.
  6. En règle générale, les annotations marginales, destinées à faciliter le travail interne, seront effectuées automatiquement sur notification des parties autorisées, à l'exception des points 4, 5 et 6 du paragraphe 4, alinéa a), qui nécessiteront l'autorisation du responsable du traitement, après signalement par le délégué à la protection des données. Le responsable du traitement, ou tout tiers ayant accès aux informations traitées, sera tenu de demander des rectifications en cas de divergence entre les informations enregistrées et la situation réelle. Ceci s'applique également aux annotations marginales effectuées à la demande du responsable du traitement ou du sous-traitant.
  7. Toute personne peut informer le délégué à la protection des données (DPO) de l'existence d'activités de traitement non enregistrées dans le RAT ou effectuées d'une manière différente de celle prévue par celui-ci. Le DPO pourra proposer, en les justifiant et directement au responsable du traitement, tout enregistrement, modification ou ajout d'activités de traitement.

Procédure d'inscription au registre des activités de transformation

Le délégué à la protection des données, afin de garantir l’exactitude de la constitution du registre des activités de traitement, et sans préjudice des instructions qui pourraient être émises par les instances compétentes de cette université, recommande, aux fins d’enregistrement d’une procédure dans le RAT, de suivre la procédure suivante (qui résume les recommandations des menus déroulants ci-dessus) :

  • La personne sous la direction de laquelle les données seront traitées devra remplir une demande conformément à ce formulaire (À l'avenir, ce sera au siège social), et envoyez-le par tout moyen approprié au DPD, en indiquant clairement votre identifiant, votre nom complet et votre lien avec l'ULL. (Si le document n'est pas soumis signé par le siège, le DPD exigera la signature avant l'étape suivante, ce qui peut être plus pratique pour les utilisateurs qui ne sont pas à l'aise avec la plateforme de signature institutionnelle).
  • Le délégué à la protection des données (DPD) examinera la demande (actuellement, celle-ci doit lui être soumise par courriel ou tout autre moyen ; sa signature sera requise ultérieurement) et, si elle est complète, proposera l’autorisation au responsable du traitement des données (le vice-recteur ou la direction concernée). Si des informations ou des documents sont manquants, le DPD les demandera au demandeur. Le DPD exigera également la signature électronique du demandeur si elle ne figure pas déjà dans la demande.

La décision du responsable du traitement des données sera communiquée à la direction et au secrétariat général, qui approuveront l'inscription au registre des activités de traitement de l'ULL, chargeront le service d'analyse et de planification de procéder à l'inscription et informeront le demandeur de la finalisation de la procédure. La décision du secrétariat général, en sa qualité d'autorité responsable de l'information, sera communiquée à la personne concernée, l'informant qu'elle doit attendre la confirmation de l'inscription effective au registre des activités de traitement avant de traiter les données, ainsi que de toute autre considération pertinente.