La déléguée à la protection des données (DPO – Data Protection Officer)

Conformément à l'article 37 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, l'Université de Strasbourg a désigné une déléguée à la protection des données (DPO – Data protection officer).

Comment la joindre ?

  • Soit par courrier postal à l’adresse suivante :

Direction du numérique de l’Université de Strasbourg
Déléguée à la protection des données : Sarah Piquette
14 rue René Descartes
CS 90032
67081 Strasbourg cedex

Son rôle

Mission principale

Elle est la personne en charge de la mise en conformité de l’établissement à la réglementation en matière de protection des données à caractère personnel.

La DPO exerce ses missions d’une manière indépendante, elle est directement rattachée au responsable des traitements et ne reçoit aucune instruction pour l’exercice de ses fonctions.

Plusieurs missions secondaires sont rattachées à cette mission principale

La déléguée à la protection des données...

  • Informe les personnes dont les données sont traitées.
  • Gère les demandes des personnes souhaitant exercer les droits relatifs aux données qui les concernent.
  • Mène des actions de sensibilisation auprès de la communauté universitaire – dans le cadre d’ateliers, de conférences ou de réunions.
  • Accompagne les personnes dans la mise en conformité des traitements de leurs données :
    • en menant une analyse juridique des projets – de traitements des données ;
    • en accomplissant les différentes formalités qui peuvent s’appliquer (réalisation d’études d’impact relatives à la protection des données, inscription au registre des traitements de l’université, rédaction de mentions d’informations…).
  • Mène une activité de veille, informe et conseille l’établissement pour assurer le respect de la réglementation.
  • Coopère avec l’autorité de contrôle qu'est la Commission Nationale de l’Informatique et des Libertés (CNIL). Elle est le contact privilégié entre la CNIL et l'université.
  • Tient à jour le "Registre des traitements de l’université".

Données à caractère personnel

Il s’agit de toute donnée relative à une personne physique pouvant permettre d'identifier cette personne, quel que soit le moyen utilisé, directement ou indirectement.

La réglementation ne s’applique pas qu’aux seules données nominatives (nom, prénom).

En effet, l’association des différentes informations collectées (par exemple : l'âge, le lieu de résidence, le genre, la profession, la formation suivie, un numéro de téléphone, une adresse électronique...) peut permettre d’identifier une personne. Ces données sont donc également protégées par la règlementation.

Pour une définition plus exhaustive des données à caractère personnel consultez les notes en bas de page.

Suis-je concerné·e ?

Dès lors que, dans le cadre de vos activités au sein de l’université (en tant que personnel·le·s ou étudiant·e·s), vous procédez à la collecte ou à des opérations sur des données à caractère personnel, la réglementation s’applique et il est nécessaire de contacter la DPO de l’Université de Strasbourg.

Vous pouvez également prendre contact avec elle lorsque vous souhaitez exercer vos droits sur des données à caractère personnel (qui vous concernent) et sont traitées par l’Université de Strasbourg.

Quand contacter la DPO ?

Si vous traitez ou allez traiter des données...

Par exemple pour :

  • manipuler des données à caractère personnel :
    → adresse IP, nom, prénom, n°INE, adresse de messagerie, adresse postale… ;
  • réaliser un vote électronique, des enquêtes ;
  • tenir des listes de contacts pour un colloque scientifique ;
  • mettre en place un système de biométrie, un système de vidéo-surveillance ;
  • créer un site web ou un blog ;
  • diffuser des résultats d’examen et des notes sur internet ;
  • utiliser des photographies de personnes ;
  • mener des études sur les origines des étudiants et les pratiques discriminatoires, des recherches dans le domaine de la santé ;
  • communiquer à des tiers non autorisés des informations relatives aux personnels et aux étudiants ;
  • transférer des données à destination d’un état non membre de la Communauté Européenne ;
  • inscrire des traitements de données au registre des traitements de l’Université de Strasbourg, en cas de modifications sur :
    → les données, les détails de la finalité du traitement, les destinataires, les catégories de personnes concernées, les interconnexions de traitements...

Si l’université traite vos données et que vous souhaitez exercer les droits qui vous sont reconnus par le RGPD et la loi « informatique et libertés » sur les données vous concernant...

  • Droit d’accès
  • Droit de rectification
  • Droit à l’effacement
  • Droit à la limitation du traitement
  • Droit à la portabilité
  • Droit à d’opposition

Liens utiles et documentations

Notes

Définition des données à caractère personnel...

« toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »

  •  [2] L’article 2 de la loi « Informatique et libertés » (loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, version consolidée au 11 décembre 2018) précise :

« Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »