Protection des données

Puisque l’EPFL est une institution publique, la collecte ou un autre traitement de données doit en principe reposer sur une base légale pour être licite. Dans certains cas, en particulier s’agissant du domaine de la recherche, une autre base juridique – consentement de la personne concernée notamment – peut constituer une base adéquate. Au moment de la collecte des données, la personne concernée doit notamment être informée de la collecte, de ses finalités, de ses droits, des catégories de destinataires et d’un éventuel transfert de données à des tiers et/ou à l’étranger.

Les données personnelles doivent être traitées dans le but poursuivi et indiqué lors de la collecte.

Seules les données aptes et nécessaires à atteindre les finalités du traitement peuvent être traitées. Par ailleurs, il doit y avoir un rapport raisonnable entre les finalités et le moyen utilisé, les droits de la personne concernée devant être préservés dans la plus large mesure possible.

Les données personnelles qui s’avèrent inexactes doivent être effacées ou rectifiées dans les meilleurs délais.

La durée de conservation des données doit être limitée au strict nécessaire pour réaliser l’objectif que le traitement entend atteindre, dans le respect des différentes dispositions légales de conservation pouvant s’appliquer selon la nature des données. Dès que les données personnelles ne sont plus nécessaires au regard des finalités du traitement, elles sont détruites ou anonymisées.

Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.

Les mesures doivent permettre d’éviter toute violation de la sécurité des données. Parmi ces mesures on peut citer la pseudonymisation, le chiffrement, l’utilisation de mot de passe ou d’authentification forte, l’autorisation d’accès limitée aux personnes ayant une nécessité objective d’y accéder pour exercer leur fonction à l’EPFL. Les documents physiques doivent également faire l’objet de protection. Ils doivent être enfermés sous clés.

Par violation de la sécurité des données personnelles, on entend toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces données.

Tout cas suspect ou avéré de violation de données, doit être immédiatement signalé à la Conseillère indépendante à la Protection des données / Data Protection Officer (DPO), par le biais du formulaire ServiceNow (authentification requise). L’EPFL est dans l’obligation de notifier au Préposé fédéral à la protection des données et, le cas échéant, aux autorités européennes compétentes, toute violation des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. La DPO coordonne la notification de la violation de données dans le respect des délais légaux. La communication de la violation des données, vis-à-vis des personnes concernées est également coordonnée par la DPO.

Sous réserve de la licéité d’un tel transfert et en l’absence d’alternative valable, il est possible de transférer des données personnelles en dehors de la Suisse (le cas échéant en dehors de l’UE si RGPD applicable), pour autant que certaines mesures de protection soient mises en place au préalable: clauses contractuelles types du Préposé fédéral à la protection des données (Commission Européenne si RGPD applicable), ou décision d’adéquation du Préposé fédéral à la protection des données (Commission Européenne si RGPD applicable) à propos de l’Etat destinataire. Les transferts vers les Etats-Unis doivent faire l’objet d’une attention toute particulière en raison du risque de surveillance opérée par le Gouvernement américain (des mesures de sécurité supplémentaires devraient ainsi être prises).

La protection des données doit être appliquée dès la conception des systèmes informatiques. La ou le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Cette obligation s’applique tant à la quantité de données personnelles recueillies, qu’à l’ampleur du traitement, à la période de conservation des données et à l’accessibilité des données. L’application du principe de privacy by design et by default est un instrument important pour prévenir des violations de sécurité des données personnelles.

Lorsqu’une solution cloud est envisagée, il sied d’être attentif aux enjeux et risques inhérents à l’envoi de données personnelles sur les serveurs d’un fournisseur de service tiers. Il faut en effet veiller à ne pas violer le secret de fonction (art. 320 du Code pénal). Des mesures techniques de protection adéquates (chiffrement, anonymisation, fonction de hachage, etc) doivent par ailleurs être assurées. La Direction de l’EPFL a décidé en 2023 de passer au travers d’un canevas d’évaluation de solutions informatiques en nuage (authentification requise) qui comprend une évaluation de risques basée sur la couverture d’exigences juridiques et techniques standards.

Avant de lancer une nouvelle technologie ou un nouveau projet impliquant des traitements de données personnelles, il s’agit de mener une analyse d’impact sur la protection des données (Data Protection Impact Assessment – DPIA) pour toute situation où le traitement des données engendre un risque élevé d’atteinte aux droits et libertés des personnes. Des templates de DPIA sont disponibles auprès de la DPO.

Le fait que des données personnelles soient librement accessibles au public ne signifie pas forcément que ces données peuvent être utilisée librement. L’utilisation de ces données personnelles «publiques», notamment pour la recherche, nécessite une analyse à l’aune de la protection des données. S’agissant de la base juridique de traitement, certaines exceptions peuvent être soulevées, par exemple dans le cadre de la recherche, ou si les personnes concernées ont déjà reçu une information sur le traitement. En général, la ou le responsable de traitement doit effectuer une pesée des intérêts entre l’effort à fournir pour informer les personnes concernées et les effets possibles sur celles-ci. Cette pesée des intérêts doit être documentée et doit aboutir à la mise en œuvre de mesures appropriées. Cela peut consister à rendre les informations accessibles au public sur le site web de la ou du responsable du traitement ou dans un journal, ou bien alors à réaliser un DPIA.

Par anonymisation, on entend un traitement permettant d’empêcher de manière irréversible la ré-identification d’une personne. Elle suppose la suppression de tout identifiant direct ou indirect lié à cette personne rendant excessivement difficile, voire impossible, toute réidentification. Elle suppose également l’absence de moyens juridiques permettant au détenteur des données d’obtenir des informations identifiantes supplémentaires auprès d’un tiers. Parmi les moyens techniques envisageables, on peut citer le chiffrement homomorphe, les techniques de randomisation (ajout de bruit, permutation de valeurs, confidentialité différentielle) et les techniques de généralisation (agrégation et k-anonymat, l-diversité). Les données anonymisées ne sont pas soumises à la loi sur la protection des données. Si l’anonymisation se révèle finalement défaillante, le droit à la protection des données s’appliquera.

Toute personne peut demander à l’EPFL si des données la concerne et, le cas échéant, se voir communiquer ces données personnelles, ainsi que le but, la base juridique du traitement, les catégories de données traitées, de participants au fichier et de destinataires des données. La demande d’accès est à envoyer à [email protected].