Obligation de l’EPFL

Dans cette section, nous résumons les principales obligations légales en matière de traitement des données personnelles.

Tenir un registre des activités de traitement des données

L’EPFL doit tenir un registre de ses activités de traitement de données personnelles, qui contient au moins les informations suivantes:

  1. l’identité du responsable du traitement;
  2. la finalité du traitement;
  3. une description des catégories de personnes concernées et des catégories de donnée personnelles traitées;
  4. les catégories de bénéficiaires;
  5. dans la mesure du possible, le délai de conservation des données personnelles ou les critères de détermination de la période de conservation;
  6. dans la mesure du possible, une description générale des mesures prises pour assurer la sécurité des données;
  7. en cas de divulgation de données personnelles à l’étranger, le nom de l’État concerné et les garanties applicables.

La ou le DPO coordonne le registre des activités de traitement des données de l’EPFL.

Veuillez la ou le contacter pour déclarer le traitement de données personnelles dont vous êtes responsable.

Notez qu’il s’agit d’une obligation (article 12 de la LPD), applicable aux activités de traitement des données administratives et de recherche.

Notification d’une violation de données aux autorités chargées de la protection des données

En cas de violation de données1 La ou le DPO de l’EPFL formera une cellule de crise et la communication sera assurée par un porte-parole de Mediacom.

L’unité examinera les exigences légales pertinentes (par exemple, si les autorités de protection des données et/ou les personnes concernées doivent être informées de la violation et, si oui, comment), déterminera les mesures techniques à prendre et définira une stratégie de communication optimale pour les parties prenantes au sein de l’EPFL et à l’extérieur de notre école.

Le RGPD exige que l’EPFL notifie l’organisme européen compétent dans les 72 heures suivant une violation de données. Tout retard peut avoir des conséquences graves pour notre école.

En vertu de la nLPD, nous sommes tenus d’informer le Préposé fédéral à la protection des données et à la transparence dans un délai similaire.

Composition de la cellule de crise en cas de violation des données [PDF]

Information des personnes concernées

L’EPFL a publié une politique de confidentialité informant de la manière dont elle peut traiter vos données personnelles et des droits auxquels vous avez droit. Cette politique de confidentialité fournit des informations générales applicables dans la plupart des situations et peut être complétée par des avis ou des règlements plus spécifiques, le cas échéant.

Prendre des mesures techniques et organisationnelles (TOM)

L’une des obligations de l’EPFL en tant que responsable du traitement des données est de prendre les mesures techniques et organisationnelles adéquates pour protéger les données personnelles qu’elle traite, notamment pour prévenir les violations de données.

Lorsque l’EPFL délègue le traitement à un sous-traitant, elle doit s’assurer que ce dernier prend des mesures adéquates pour protéger les données qu’il traite pour le compte de l’EPFL, en donnant au sous-traitant des instructions précises et en procédant à des audits.

Mais tout d’abord, qu’est-ce qu’une mesure technique ou organisationnelle? Quand ces mesures doivent-elles être mises en œuvre ? Jusqu’où faut-il aller dans la mise en œuvre de ces mesures?

Exemples de mesures techniques
  • Authentification (ID utilisateur/mot de passe ou authentification à double facteur)
  • Gestion des droits d’accès
  • Pseudonymisation et anonymisation
  • Cryptage
  • Enregistrement
  • Sécurité de l’espace de travail, des serveurs et des sites web
  • Sauvegarde des données
Exemples de mesures organisationnelles
  • Sensibilisation et formation des employées et employés
  • Documentation (de procédures, d’instructions, de lignes directrices,…)
  • Clauses contractuelles (par exemple, contrôle de l’externalisation)
  • Réalisation de contrôles et d’audits
Lignes directrices disponibles
  • Le PFPDT a publié un guide sur les mesures techniques et organisationnelles à mettre en place lors du traitement de données personnelles.
  • La sécurité informatique de l’EPFL a développé des bonnes pratiques à adopter lors du traitement de données personnelles (authentification requise)
  • La DPO a élaboré des modèles d’accords sur le traitement des données à joindre à vos contrats. En outre, elle a repris les clauses contractuelles types de l’UE reconnues par le PFPDT ainsi que le questionnaire à joindre en cas d’externalisation aux États-Unis. Compte tenu de la variété des situations qui peuvent se présenter et de la complexité des transferts à l’étranger, si vous devez rédiger des clauses spécifiques de protection des données, vous pouvez la contacter  et/ou les affaires juridiques de la recherche (dans le cas d’un projet de recherche).
Quand ces mesures doivent-elles être mises en œuvre?

Dès la phase de conception du traitement, la question des mesures techniques et organisationnelles à mettre en place doit être envisagée (principe du respect de la vie privée dès la conception et par défaut).

En cas de violation de données, des mesures techniques et/ou organisationnelles sont également prises pour limiter l’impact de la violation ou pour empêcher qu’un problème similaire ne se reproduise à l’avenir.

La mise en œuvre des mesures de protection peut varier dans le temps car ce sont souvent les besoins qui changent avec le temps. Il est essentiel d’adapter ces mesures tout au long du cycle de vie des données.

Jusqu’où devons-nous aller dans la mise en œuvre de ces mesures ?

L’EPFL, en tant que responsable du traitement, prend les mesures techniques et organisationnelles nécessaires pour garantir la sécurité des données personnelles traitées, en tenant compte de l’état de la technique, des coûts engendrés par ces mesures, des finalités et des risques du traitement.

Une analyse de tous ces facteurs doit être entreprise dans chaque situation.

  1.   Violation de données : Une violation de données est une violation de la sécurité qui entraîne la perte, l’altération, la suppression, la destruction, la divulgation ou l’accès non autorisé à des données à caractère personnel, de manière accidentelle ou illicite.

Généralités

Définitions

Quelques définitions générales sur les données personnelles, le contrôleur des données, etc.

Principes essentiels à garder à l’esprit

L’important lors du traitement des données personnelles est de garder à l’esprit les principes fondamentaux de la loi.

Droits de l’individu

Le droit d’accès est l’un des droits fondamentaux prévus par les lois sur la protection des données (RGPD et GDPR).

Formation

La formation du personnel à la protection des données est l’une des principales activités du DPD.