Rapport d’étape de stage de M2Informatique :

Gestion des processus associés àl’application du RGPD

Auteur :Loïc Meynard1

no étudiant : 34000971—Tuteur :Pr Alain CucchiProfesseur de sciences de gestion, agrégé des universités, DPO de l’Uni-versité de la Réunion—Responsable de Stage :Pr Fredéric MESNARD—Stage effectué du 14 janvier au 12 juillet 2019—1Université de la Réunion & OBSUN, campus du Moufia, 15 Avenue René Cassin, Sainte-Clotilde 97715, La Réunion

RGPD

Page ii

RGPD

Remerciements

En premier lieu, je tiens à exprimer ma reconnaissance à toutes les personnes qui ont contribué à la réali-sation de ce mémoire et au bon déroulement de ce stage de Master. Je souhaite adresser des remerciementsspéciaux à certaines personnes en particulier :

— Pr Alain Cucchi pour son encadrement et le temps qu’il m’a consacré durant toute la période de Stage.— Pr Fred Mesnard, le responsable de stage.— Le personnel de l’IIN avec qui j’ai interagît et travaillé durant le stage.— Les enseignants et le personnel administratif qui sont intervenus dans le cadre du Master 2 Informa-

tique de l’Université de La Réunion.

Page iii

RGPD

Page iv

RGPD

Résumé

Le 25 mai 2018, l’Union européenne a vu l’entrée en vigueur du Règlement Général sur la Protection desDonnées (RGPD ou GDPR) dans le but de renforcer la protection des données personnelles. Ce règlements’applique à toutes les organisations qui traitent ou récoltent des données qui permettent d’identifier despersonnes directement ou indirectement. Le RGPD s’applique à chaque traitement de données, ce qui de-mande un effort supplémentaire aux organisations pour implémenter le RGPD. Cette difficulté est aggravéedans les organisations qui sont complexes et qui traitent beaucoup de données comme l’Université de laRéunion. Le projet de ce stage est de trouver une solution pour que l’Université de la Réunion soit mise enconformité au point de vue du RGPD. Le stage se concentre principalement sur la première étape de la miseen conformité : la création d’un registre des traitements. Les traitements de données qui ont été déclaré dansle passé doivent être modifiés en suivant les nouveaux standards légaux et les nouveaux traitements doiventpouvoir être déclarés facilement avec ces standards. Le stage se porte sur la comparaison des différentes so-lutions et des différents outils pour simplifier la mise en conformité et de la mise en application de ceux-ci.Mots-clefs : RGPD, GDPR, DPO, DPD, APM

Abstract

On May 25, 2018, the European Union’s General Data Protection Regulation (GDPR or RGPD) becameenforceable in order to strengthen the protection of personal data. This regulation applies to all organizationsthat process or collect data that can identify individuals directly or indirectly. The GDPR applies to eachdata processing, requiring an extra effort to implement the RGPD for organizations. This difficulty is moretroublesome in more complex organizations that process a lot of data like the "Université de la Réunion".The plan of this internship is to find a solution so that the University is brought into conformity regardingthe GDPR. The internship focuses primarily on the first step of compliance : the creation of a register of thedata processings. The data processings that have been declared in the past must be modified according tothe new legal standards, and it must be easier to declare new treatments with these standards. The internshipfocuses on testing different solutions and tools to simplify compliance and their enforcement.

Keywords : RGPD, GDPR, DPO, DPD, APM

Page v

RGPD

Page vi

RGPD

Table des matières

1 Introduction 1

2 Organisme d’accueil 32.1 Présentation de l’IIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2.1.1 Fonction de l’IIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1.2 Organisation de l’IIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.1.3 Présentation de l’OBSUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2.2 Présentation de la fonction DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 Contexte du Stage 73.1 Concepts de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1.1 Présentation du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.1.2 Données personnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.1.3 Acteurs dans un traitement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83.1.4 Différence entre CIL et DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.2 Principes du RGPD à respecter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.2.1 Licéité du traitement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.2.2 Finalité du traitement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.2.3 Minimisation des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.2.4 Protection particulière des données sensibles . . . . . . . . . . . . . . . . . . . . 113.2.5 Conservation limitée des données . . . . . . . . . . . . . . . . . . . . . . . . . . 123.2.6 Obligation de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123.2.7 Transparence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133.2.8 Droit des personnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.3 Encadrement du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.3.1 Obligations légales du DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.3.2 Application de la réglementation . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4 Travaux réalisés 154.1 Cahier des charges pour le choix de la solution . . . . . . . . . . . . . . . . . . . . . . . 154.2 Choix de l’outil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4.2.1 MEGA : HOPEX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164.2.2 Privacil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174.2.3 Actecil : APM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184.2.4 Captain DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194.2.5 Privaciz DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194.2.6 Carto SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

5 Mise en application du RGPD 215.1 Configuration d’APM pour l’Université de la Réunion . . . . . . . . . . . . . . . . . . . . 21

5.1.1 Création d’intervenant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215.1.2 Création de structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

5.2 Déclaration des traitements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235.2.1 Création de traitements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Page vii

RGPD

5.2.2 Utilisation du registre CIL pour déclarer les traitements . . . . . . . . . . . . . . . 235.2.3 Mise en contact avec les composantes . . . . . . . . . . . . . . . . . . . . . . . . 245.2.4 Création d’un relais au DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245.2.5 Déclaration des traitements pour les thèses de santé . . . . . . . . . . . . . . . . . 25

6 Conclusion 27

Page viii

RGPD

Table des figures

1 Logo de l’Institut Indianocéanique du Numérique (IIN) . . . . . . . . . . . . . . . . . . . 32 Logos de MEGA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Logo de Privacil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Logo d’APM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Logo de Captain DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Logo de Privaciz DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Logo de Carto SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Page d’acceuil d’APM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Extrait de la liste d’intervenants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2210 Extrait de la liste des structures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2211 Extrait de la liste des traitements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2312 Organisation de la déclaration des traitements . . . . . . . . . . . . . . . . . . . . . . . . 2413 Organigramme INN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii14 Modèle BPMN de la vie de la création à la cloturation traitement . . . . . . . . . . . . . . xiv

Page ix

RGPD

Page x

RGPD

1 Introduction

Avec la démocratisation de l’informatique, la quantité de données générées est devenue de plus en plusélevée. En quelques années, la société est passée a l’ère du numérique. Dans ce nouvel environnement, lesinformations personnelles des individus sont de plus en plus utilisées dans des buts marketing. Les abuset les dangers générés par cette abondance de données (profilage, cyberattaque, etc.) ont poussé les paysà prendre des mesures pour mieux protéger les données. Avec la loi dite "Informatique et Libertés" du 6janvier 1978, la France a créé la CNIL, une autorité administrative indépendante existante toujours aujour-d’hui, qui peut sanctionner les organisations qui ne respectent pas les lois sur les données personnelles.Depuis 1978, plusieurs autres lois ont été mis en place en France dans le but de protéger les données per-sonnelles des individus. Ces textes de loi mis en place par la suite servent à répandre les réglementationsdans toute l’Union européenne (1995), et de mettre à jour la législation au vu des avancées technologiques(2004). Le 25 mai 2018, un nouveau règlement européen entre en application dans tous les pays de l’Unioneuropéenne : le RGPD (Règlement Général sur la Protection des Données).

Le RGPD change de nombreux aspects de l’utilisation des données personnelles. Il s’applique à toutesles structures privées ou publiques qui collectent et/ou traitent des données, quel que soit leur secteur d’ac-tivité ou leur taille. La réglementation a pour but de responsabiliser les acteurs traitant des données surdes personnes dans l’Union européenne en imposant des sanctions systématiquement dissuasives en casde non-respect. Le RGPD demande plus d’efforts à fournir pour les organisations à chaque utilisation dedonnées personnelles. Les petites organisations peuvent gérer les données utilisées au cas par cas, ou créerune solution simple pour répondre à leurs besoins et assurer leur conformité. Dans des organisations plusgrandes, qui possèdent une architecture complexe et utilisent beaucoup de données comme l’Université dela Réunion, il peut être difficile d’assurer la légalité de tous les traitements de données. Ces organisationsdoivent trouver des solutions pour assurer la conformité au RGPD.

Ce stage déroulera donc en plusieurs étapes. Il se portera sur l’étude des différentes solutions pouvantêtre appliquées dans l’Université de la Réunion et leur comparaison et la mise en application des solutionschoisies.

Ce rapport se divise en plusieurs parties après cette introduction. En premier lieu, nous verrons le cadred’accueil dans lequel le stage a été effectué. Ensuite, nous verrons les concepts de base qui ont été employésdans le stage et qui sont importants à sa compréhension. Nous verrons par la suite les travaux que qui ontété réalisés dans le cadre du stage. Nous verrons par la suite plus en détail l’outil que j’ai pu utiliser lors dustage. Enfin, ce rapport se terminera sur la conclusion.

Page 1

RGPD

Page 2

RGPD

2 Organisme d’accueil

Le stage se déroule pour l’IIN (Institut Indianocéanique du Numérique) à l’Université de la Réunion, surle campus du Moufia, au sein de l’Observatoire des Usages du Numérique (OBSUN). Cette partie décritplus en détail les structures de l’Université de la Réunion dans lesquelles le stage s’est effectué, ainsi qu’uneprésentation de la fonction autour de laquelle s’est articulé le stage : DPO.

2.1 Présentation de l’IIN

FIGURE 1: Logo de l’Institut Indianocéanique du Numérique (IIN)

2.1.1 Fonction de l’IIN

L’IIN est une structure qui a été crée pour porter le développement de l’Université Numérique en RégionRéunion. L’IIN suit 3 missions principales, qui sont les axes autour desquels il se structure :

— La formation et la diffusion des connaissances— La recherche, l’innovation et l’expérimentation— L’observation de la société numériqueL’IIN a plusieurs objectifs principaux :• De soutenir le développement de nouveaux parcours de formation en lien avec les autres composantes

ou services communs de l’université et de dispenser des formations portées par le numérique.• De développer une politique d’édition numérique• D’entreprendre et de mener des activités de recherche et développement en relation avec les labora-

toires partenaires• De développer une politique d’innovation• De développer la diffusion des savoirs avec les possibilités offertes par le numérique• De développer un observatoire du numérique et de ses usages• De développer des partenariats régionaux, nationaux et internationaux

Page 3

RGPD

2.1.2 Organisation de l’IIN

L’organisation de l’IIN peut être trouvée dans les appendices (Figure 15). Quelques personnes impor-tantes dans l’IIN :

— Olivier SÉBASTIEN, Vice-président en charge des usages et des développements du numérique Di-recteur de l’IIN

— Christophe PORLIER, Chargé de mission « Université Numérique en Région » Directeur Adjoint del’IIN

— Ilias TIMOL, Responsable Administratif— Véronique SÉBASTIEN, Responsable R&D— Alain Cucchi, DPO

2.1.3 Présentation de l’OBSUN

L’Observatoire des Usages du Numérique (OBSUN) est une structure de l’Université de la Réunion, ilest à l’arrière de l’amphi bioclimatique du Campus du Moufia. L’Observatoire a été créé en mars 2015.L’OBSUN fait partie de l’IIN depuis la création de celui ci.

L’OBSUN coordonne les travaux et implique différents acteurs, universitaires ou régionaux, comme :le laboratoire LCF, le laboratoire ICARE, le laboratoire LIM, la Délégation Académique au Numériqueainsi que des directions du système d’information, des usages du numérique et du service commun dedocumentation de l’Université de La Réunion. L’OBSUN a pour buts :

• De suivre le développement du numérique au sein de l’université et d’observer les pratiques desusagers de la communauté universitaire

• De faire un travail de recherche sur la thématique des usages du numérique• D’informer les acteurs universitaires et publics sur : l’évolution des pratiques et des usages, les ré-

sultats des recherches dans les domaines du numérique appliqué à l’enseignement, la recherche et lespratiques professionnelles

Page 4

RGPD

2.2 Présentation de la fonction DPO

Même si le stage est effectué dans la structure de l’IIN, le stage est réalisé dans le cadre de l’assistancede Pr ALain Cucchi, en tant que DPO de l’Université de la Réunion.

Le rôle du DPO est de conseiller de manière indépendante les responsables de traitement et de s’assurerque le RGPD est bien respecté dans l’organisation. LE DPO doit tenir en compte des risques associés auxdonnées traitées et la manière dont elles sont traitées.

Le DPO a pour responsabilités notamment de :— Informer et conseiller les responsables de traitement dans le cadre des de la protection des données

personnelles— Contrôler le respect du RGPD— Faire office de point de contact avec la CNIL, en gérant les interactions de l’organisation avec celle-ci.

Page 5

RGPD

Page 6

RGPD

3 Contexte du Stage

Nous allons voir dans cette partie les différents concepts de base qui sont nécessaires de définir pourprésenter le stage, ainsi qu’une présentation des parties du RGPD qu’il faut appréhender pour la mise enoeuvre du stage.

3.1 Concepts de base

3.1.1 Présentation du RGPD

Le règlement général de la protection des données (RGPD) est un règlement de l’Union européenne quiencadre la protection des données à caractère personnel dans tout le territoire de l’Union européenne. Cerèglement a été adopté par le parlement européen le 14 avril 2016, et est entré en application le 25 mai 2018.Le RGPD a été défini dans la continuité de la loi française "informatique et libertés" de 1978 et remplace ladirective sur la protection des données personnelles de 1995.

Les objectifs du RGPD sont de :• améliorer la protection des personnes dont les données à caractère personnel sont utilisé dans des

traitements• responsabiliser les acteurs qui traitent des données• donner la possibilité d’appliquer la régulation avec une augmentation du pouvoir des autorités de

protection des données

3.1.2 Données personnelles

«données à caractère personnel», toute information se rapportant à une personne physique iden-tifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personnephysique identifiable» une personne physique qui peut être identifiée, directement ou indirecte-ment, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, desdonnées de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propresà son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Article 4-1 EU RGPD, définition des "données à caractère personnel"

Les données personnelles correspondent en droit français et en droit européen ont une définition similaire,elles représentent toutes les informations relatives à une personne physique identifiée ou identifiable. Ellespeuvent être divisées en plusieurs types d’information :

— liées à l’identité (nom, adresse, image, etc.),

Page 7

RGPD

— sur la vie personnelle (langue parlée, moyen de mobilité, etc.)— sur la vie professionnelle— économiques— les données sensibles (données de santé, opinions religieuses, etc.)— sur les infraction ou condamnations

3.1.3 Acteurs dans un traitement

Lors d’un traitement sur des données, plusieurs entités peuvent entrer en jeu. Pour bien comprendre lefonctionnement d’un traitement, il est important d’en comprendre ses acteurs :

— La personne concernée, regroupe toute personne visée par les données du traitement si elle peut êtrereconnue directement ou indirectement. Elle possède de nombreux droits, notamment ceux de limiterou d’interdire l’utilisation de ses données.

— Le responsable de traitement, est la personne responsable de la mise en oeuvre du traitement et quidoit faire en sorte que le traitement respecte le RGPD.

— La CNIL, est un organisme externe défini qui recense les déclarations de traitement à données sen-sibles. Elle contrôle le respect des réglementations en faisant des vérifications et peut interdire untraitement.

— Le délégué à la protection des données (DPD ou DPO), conseille et contrôle le respect du RGPD encollaboration avec la CNIL.

— Le sous-traitant, est un organisme externe qui traite des données pour le compte du responsablede traitement. Des garanties doivent obligatoirement être présentées en cas d’utilisation d’un soustraitant sur des données à caractère personnel.

— Le destinataire de données, est une personne qui reçoit des données à caractère personnel mais ne faitpas de traitement sur elles.

3.1.4 Différence entre CIL et DPO

En France, avant la création du RGPD, la personne qui avait le rôle de garantir la conformité pour lesquestions relatives à l’informatique et d’être un interlocuteur avec la CNIL était le Correspondant Infor-matique et Libertés (CIL). Cette fonction a été définie dans la loi Informatique et Libertés du 6 janvier1978. Depuis l’application du RGPD, une nouvelle fonction a été définie avec des fonctions similaires vientremplacer le CIL : le DPO (délégué à la protection des données). Les deux fonctions ont des missions etdes responsabilités similaires (conseiller sur la protection des données, contrôle du respect des règlements,médiation avec la CNIL).

Le responsable du traitement et le sous-traitant aident le délégué à la protection des données àexercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercerces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement,et lui permettant d’entretenir ses connaissances spécialisées.

Article 38-2 EU RGPD,

Page 8

RGPD

Le délégué à la protection des données est soumis au secret professionnel ou à une obligation deconfidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Unionou au droit des États membres.

Article 38-5 EU RGPD,

La principale différence entre le DPO et le CIL est qu’il doit se conformer au RGPD. Une différencenotable est que (selon l’article 38 du RGPD) le DPO doit avoir les connaissances nécessaires pour remplirses fonctions, et doit de recevoir formation continue pour rester à niveau. Le DPO est aussi tenu à unecertaine confidentialité qui n’était pas explicitée dans les fonctins du CIL..

Page 9

RGPD

3.2 Principes du RGPD à respecter

Une partie importante du RGPD sont les différents principes qu’il impose, que les organisations doiventrespecter. La réglementation demande aussi aux organisations qu’elles aient un moyen de fournir la preuveque chacun de ces principes a été respecté pour chaque traitement sur des données à caractère person-nel qu’elles effectuent. Ces principes représentent la base pour comprendre comment mettre en oeuvre laconformité au RGPD. Pour se rendre compte des éléments qui devront être dans les déclarations, il est doncnécessaire de comprendre ces principes.

3.2.1 Licéité du traitement

Lorsqu’un organisme souhaite collecter des données à caractère personnel il doit en premier lieu identifierla licéité de la démarche. Ainsi, pour démarrer un traitement de données il est nécessaire de respecter aumoins l’un des critères suivants :

• Le traitement respecte le consentement des personnes dont les données sont utilisées. Le RGPD dé-finit plus précisément le consentement afin que les personnes aient un vrai contrôle sur le traitementde leurs données et pour éviter les abus. Selon le règlement, il est nécessaire de demander le consen-tement des personnes de manière claire et sans leur forcer la main. Le responsable de traitement doitpouvoir prouver le consentement.

• Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou àl’exécution de mesures précontractuelles prises à la demande de celle-ci.

• Le traitement remplit une obligation légale à laquelle le responsable du traitement est soumis.• Le traitement permet la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre per-

sonne physique.• Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de

l’autorité publique dont est investi le responsable du traitement.• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement

ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de lapersonne concernée qui exigent une protection des données à caractère personnel, notamment lorsquela personne concernée est un enfant.

3.2.2 Finalité du traitement

Au moment de la création d’un traitement, il est nécessaire de définir une finalité poursuivie pour lequelles données sont récoltées et exploitées. Il n’est pas possible de changer de finalité pendant un traitement ;cette finalité doit être respectée pendant toute la durée de vie le traitement.

Page 10

RGPD

Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à ca-ractère personnel à des fins de recherche scientifique au moment de la collecte des données.Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce quiconcerne certains domaines de la recherche scientifique, dans le respect des normes éthiques re-connues en matière de recherche scientifique. Les personnes concernées devraient pouvoir don-ner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou decertaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

Considérant 33 EU RGPD, finalité dans la recherche,

3.2.3 Minimisation des données

Lors d’un traitement, les données récoltées doivent être minimales. Ainsi, les données récoltées doiventêtre adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité. Les données doiventaussi être exactes, et les données inexactes doivent être effacées ou rectifiées. (Article 5-1)

Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifiqueou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à desgaranties appropriées pour les droits et libertés de la personne concernée. Ces garanties garan-tissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurerle respect du principe de minimisation des données.

Article 89-1 EU RGPD, garanties spéciales pour la minimisation,

3.2.4 Protection particulière des données sensibles

Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser sesrègles, y compris en ce qui concerne le traitement de catégories particulières de données à ca-ractère personnel (ci-après dénommées «données sensibles»). À cet égard, le présent règlementn’exclut pas que le droit des États membres précise les circonstances des situations particulièresde traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traite-ment de données à caractère personnel est licite.

Considérant 10 EU RGPD, définition des données sensibles dans L’Unioneuropéenne,

Les données particulièrement sensibles au point de vue des libertés et des droits fondamentaux nécessitentune protection renforcée. Ce sont des données qui touchent à l’intimité des individus et dont un mauvaisusage pourrait être dangereux pour une personne. Les données sensibles sont les données qui relèventde nombreux sujets (appartenance syndicale, santé, vie ou orientation sexuelle, données génétiques, etc.).

Page 11

RGPD

Même s’il existe des exceptions, la collecte ou consultation de ces données est par principe interdite par leRGPD.

3.2.5 Conservation limitée des données

Les données personnelles ne peuvent être conservées de manière indéfinie par les organismes. Il est né-cessaire de définir une durée fixe de conservation ou le critère objectif qui détermine cette durée. Après la finde cette durée, les données doivent être effacées, archivées ou faire l’objet d’un processus d’anonymisationafin de rendre impossible l’identification des personnes.

3.2.6 Obligation de sécurité

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée,du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et degravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement etle sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afinde garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

— la pseudonymisation et le chiffrement des données à caractère personnel ;— des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la rési-

lience constantes des systèmes et des services de traitement ;— des moyens permettant de rétablir la disponibilité des données à caractère personnel et

l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;— une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures

techniques et organisationnelles pour assurer la sécurité du traitement.

Article 32-1 EU RGPD,

Plusieurs mesures de sécurité sont à prendre lors de la déclaration d’un traitement en fonction du contexte.Les données doivent respecter les principes suivants :

• Confidentialité : les données ne doivent pas être accessibles aux personnes non autorisées• Intégrité : les données ne doivent pas être modifiées• Disponibilité : les données doivent être accessibles à tout moment par les personnes autorisées

Le RGPD n’impose aucune méthode en particulier, mais laisse les organismes apprécier les mesuresqu’ils souhaitent mettre en place (mesures physiques, logicielles ou organisationnelles).

Page 12

RGPD

3.2.7 Transparence

Le fait que des données à caractère personnel concernant des personnes physiques sont collec-tées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces donnéessont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées.

Considérant 39 EU RGPD,

Les responsables des traitements doivent fournir des informations aux personnes concernées lors de lacollecte et/ou de l’exploitation des données. La transparence implique que le responsable de traitement en-voie de nombreuses informations aux personnes concernées. Il est obligatoire d’envoyer ces informationslors d’une collecte directe ou indirecte des données ou lors d’une modification du traitement (changementde finalité, changement de modalités d’exercice des droits) ou d’un évènement particulier (violation de don-nées). Cette obligation portes des exceptions, si les personnes ont déjà les informations (pour les collectesdirectes et indirectes) ou si la fourniture de ces données est impossible, prévue dans la loi du pays (pour unecollecte indirecte uniquement).

3.2.8 Droit des personnes

Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concer-nant.

Considérant 7 EU RGPD,

Le RGPD a crée plusieurs droits pour les personnes dont les données sont utilisées.

Certains droits sont renforcés :• Les personnes possèdent un droit d’accès sur les données et peuvent les rectifier si elles ne sont pas

exacte.• Il est possible de s’opposer au traitement de leurs données si elles ont un motif pour le faire.• Dans certaines situation, les personnes peuvent utiliser le droit à l’oubli pour avoir leurs données

personnelles effacées.

D’autres droits ont été crée :• Les personnes ont le droit de récupérer les données personnelles qu’elle a fournies au responsable de

traitement.• Les personnes peuvent décider d’empêcher un organisme d’utiliser leurs données durant le délai pour

traiter les demandes de rectification d’informations ou pour s’opposer au traitement. Inversement,les personnes peuvent aussi demander la conservation de certaines données alors que l’organismesouhaite les effacer.

• Pour éviter le profilage, les personnes peuvent refuser de faire l’objet d’une décision totalement au-tomatisée.

Page 13

RGPD

3.3 Encadrement du RGPD

3.3.1 Obligations légales du DPO

Pour rester conforme au RGPD, plusieurs obligations légales doivent être respectées par les organismes.— Tenue d’un registre des traitements de données : Le registre est un document permettant d’avoir une

vue d’ensemble des traitements et de pouvoir respecter les réglementations.— Faire des évaluations des risques : Lorsqu’un traitement est susceptibles d’engendrer des risques éle-

vés, il est obligatoire d’effectuer une analyse d’impact (PIA). Les critères qui définissent un traitementà risque sont définis précisément par la CNIL.

— Déclaration des fuites de données : Lorsqu’une violation du RGPD est effectuée, une documentationen interne détaillant la violation doit être crée, et un document récapitulatif doit être déclaré à laCNIL.

3.3.2 Application de la réglementation

Les principes vus ci dessus doivent être suivis pour permettre le bon déroulement des traitements etassurer une protection optimale des données personnelles. Le règlement s’applique dans tous les pays del’Union Européenne et à tous les traitements portant sur des personnes dans l’UE. Les organisations doiventpouvoir fournir des preuves du respect de ces principes pour ne pas être sanctionnés. Les sanctions pouvantêtre appliqué en cas de non-respect du RGPD peuvent être très élevées. Le montant maximum s’élève à 20000 000 d’euros d’amende ou 4% du chiffre d’affaires de l’entreprise.

Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu duprésent article pour des violations du présent règlement visées [...] soient, dans chaque cas, ef-fectives, proportionnées et dissuasives.

Article 83 EU RGPD,

Page 14

RGPD

4 Travaux réalisés

4.1 Cahier des charges pour le choix de la solution

Pour mettre la cartographie des traitements en place, il est nécessaire d’avoir un outil approprié. L’outilsera utilisé dans l’Université durant les années qui suivront. Ainsi, la sélection de l’outil ne peut pas êtrefaite de manière précipitée.

Pour choisir le bon outil il est nécessaire de respecter plusieurs contraintes :• Fonctionnalités : L’outil doit remplir le plus de fonctionnalités possible pour assister les activités du

DPO. Il est aussi important que l’outil soit modulable, pour pouvoir s’adapter aux besoins diversifiésde l’Université de la Réunion.

• Contrainte de prix : L’outil choisi doit rester dans le budget alloué à la mise en application du RGPD.• Utilisation future : L’outil doit rester fonctionnel dans le temps. Il est donc nécessaire que l’outil soit

mis à jour dans le cas des changements légaux qui peuvent advenir. Il est aussi nécessaire que l’onpuisse extraire les informations de l’outil pour pouvoir les réutiliser dans le cas où le fournisseurde l’outil viendrait à ne plus renouveler l’outil ou que l’on souhaite changer de méthode pour fairerespecter le RGPD.

• Accessibilité : L’outil doit être utilisé par différents membres de l’Université, il doit être ergonomiquepour faciliter son utilisation.

Page 15

RGPD

4.2 Choix de l’outil

Avec la mise en place du RGPD, les différentes organisations qui utilisent des données personnellesdoivent pouvoir prouver qu’elles respectent le règlement. Pour beaucoup d’organisation, ces nouvelles res-ponsabilités sont difficiles à saisir et complexe à mettre en place. Pour régler ce problème, de nombreuxoutils ont été mis à disposition des organisations dans le but de simplifier l’application du RGPD.

La réglementation étant récente, la forme des différents outils diffère, et aucun consensus sur l’approchedu problème n’existe entre les différents outils. Ainsi, les outils permettant de simplifier l’application duRGPD avaient de grandes différences entre eux. Ces différences notables ont créé un besoin de faire uneétude plus approfondie des différents outils pour choisir le plus approprié.

Nous avons établi un contact avec chacun des distributeurs des outils suivants pour pouvoir tester lesoutils afin de les comparer. Ainsi, nous avons pu obtenir une démonstration du logiciel ou une version detest pour presque tous les logiciels ci-dessous.

4.2.1 MEGA : HOPEX

FIGURE 2: Logos de MEGA

MEGA International est une société française créée en 1991. La société crée des logiciels pour simplifierl’organisation des entreprises. Ainsi, MEGA International travaillait déjà sur des outils pour simplifier l’or-ganisation d’une entreprise bien avant la création du RGPD. HOPEX est le nom que MEGA Internationala donné à plusieurs de ses logiciels similaires. Chaque logiciel HOPEX a une application différente dansle but d’améliorer l’agilité métier des entreprises. Pour ces différentes raisons, HOPEX est une solutionintéressante à étudier. Pour utiliser HOPEX, deux solutions sont possibles :

• HOPEX version universitaire : comprend plusieurs outils permettant de gérer de nombreux aspectsd’une entreprise (cartographie applicative, des traitements, etc.) de manière collaborative.

• HOPEX GDPR : version de HOPEX crée spécialement pour le RGPD. Il met en place un espace detravail collaboratif pour les différents acteurs pour mettre en place la conformité RGPD.

Page 16

RGPD

La solution HOPEX est une solution complète au niveau des fonctionnalités et de la modularité. Enutilisant le logiciel, il est possible d’insérer de nombreuses données et de créer de multiples cartographiesà l’intérieur d’une entreprise. Avec HOPEX il est possible d’envisager de cartographier les traitements, lesapplications et les personnes de manière exhaustive.

La solution HOPEX n’a pas été retenue pour plusieurs raisons :

• Complexité : Le logiciel (surtout la version universitaire) n’est pas assez ergonomique. L’outil estoptimisé pour une utilisation fréquente simplifiée au lieu d’avoir une interface facile d’accès. L’ap-plication que nous voulons faire de l’outil nécessite que certains utilisateurs n’utilisent l’outil querarement, ce qui est un problème si le logiciel est difficile d’accès.

• Prix : Le prix du logiciel (en particulier HOPEX GDPR) était très supérieur au prix des autres outils.

4.2.2 Privacil

FIGURE 3: Logo de Privacil

Privacil est un outil créé par le groupe DPMS, il est l’un des premiers outils qui a été instauré dans lebut d’assister la mise en conformité au RGPD des organisations sous toutes les facettes. Le logiciel peutêtre fourni comme une application SaaS ou peut être installé sur un serveur dédié. Le logiciel apporte denombreuses fonctionnalités :

— Tenue du registre des traitements— Création de bilans— Gestion des analyses d’impact— Analyse des risques associés aux traitements— Gestion des notifications de failles— Gestion des workflows— Mise à jour du logiciel en cas de changement légal

Privacil a été retenu comme un candidat pour la mise en conformité grâce à ses nombreux avantages :

— Le logiciel utilise une interface claire et détaillée, ce qui permet une bonne ergonomie— Le prix de Privacil est accessible— Étant l’un des logiciels les plus anciens et ayant eu plusieurs versions, Privacil a été plus mis à

l’épreuve que ses concurrents

Page 17

RGPD

4.2.3 Actecil : APM

FIGURE 4: Logo d’APM

APM est un logiciel d’assistance au DPO qui a été crée par Actecil. Pour aider à la mise en conformité,APM propose une solution sous la forme d’une plateforme collaborative en SaaS ou en serveur dédié. APMpossède des fonctionnalités similaires à Privacil :

— Tenue du registre des traitements— Création et cartographie des traitements— Création de bilans— Evaluation du niveau de risque des traitements— Mise à jour du logiciel en cas de changement légal

APM est le logiciel qui a été retenu pour faire l’application du RGPD dans l’Université de la Réunion grâceau fait qu’il possède de nombreuses fonctionnalités pour un prix compétitif.

Page 18

RGPD

4.2.4 Captain DPO

FIGURE 5: Logo de Captain DPO

Captain DPO est une solution logicielle en SaaS pour aider les DPO à gérer la conformité des organisa-tions. Le logiciel possède les fonctionnalités des logiciels du même genre. Malgré une interface soignée,nous n’avons pas retenu ce logiciel à cause du manque de fonctionnalités ou d’avantages uniques.

4.2.5 Privaciz DPO

FIGURE 6: Logo de Privaciz DPO

Privaciz est un outil web collaboratif pour la mise en conformité RGPD. Privaciz possède les fonctionna-lités de base des logiciels similaires. Nous avons eu un intérêt pour la simplicité d’utilisation et la possibilitéde moduler certaines fonctions du logiciel. Privaciz DPO n’a pas été retenu à cause de problèmes de com-munications avec les fournisseurs du logiciel.

Page 19

RGPD

4.2.6 Carto SI

FIGURE 7: Logo de Carto SI

Carto SI est un outil de cartographie des entreprises avec des fonctions pour simplifier la mise en confor-mité. Carto SI est unique par rapport aux autres outils, il possède des fonctionnalités uniques, il permet enparticulier de représenter les différentes couches (métier, applicative et infrastructure) et de les cartogra-phier entre elles. Nous n’avons pas poursuivi le logiciel, car, même si le logiciel simplifie la gestion duregistre des traitements, il n’a pas la diversité des autres solutions pour simplifier la mise en conformité.

Page 20

RGPD

5 Mise en application du RGPD

5.1 Configuration d’APM pour l’Université de la Réunion

APM est l’outil qui a été choisi et validé comme l’outil de l’Université de la Réunion pour mettre enapplication le RGPD. C’est une solution SaaS qui donne aux organismes la possibilité de se mettre enconformité vis-à-vis du RGPD. C’est un logiciel participatif qui permet de faire la gestion et le suivi destraitements d’une entreprise et d’évaluer le niveau de conformité et de faire des analyses de risques.

FIGURE 8: Page d’acceuil d’APM

5.1.1 Création d’intervenant

APM permet de créer plusieurs profils d’intervenants qui représentent chacun une personne physique etpeuvent être définis en tant qu’utilisateur ou non. De nombreuses informations peuvent être enregistrées surles intervenants (adresse mail, numéro de téléphone, fonction, etc.). Les intervenants utilisateurs peuvents’identifier sur le logiciel et possèdent les droits qui leur ont été affecté. Il est possible de choisir avecprécision les droits de chacun des utilisateurs.

Un intervenant non utilisateur a été créé pour toutes les personnes qui ont été utilisées dans la déclarationd’un traitement (ex : Directeur de l’Université). Toutes les personnes qui étaient susceptibles d’utiliser APMont eu un profil intervenant utilisateur créé pour pouvoir travailler sur le logiciel.

Page 21

RGPD

FIGURE 9: Extrait de la liste d’intervenants

5.1.2 Création de structures

Il est possible de créer la structure de l’organisation en créant des structures internes (organisme possé-dant un numéro de SIRET) ou des directions (pas de numéro SIRET). Il est possible de cartographier lesstructures en déclarant des sous-structures. En plus des données usuelles (nom, mail, adresse, etc.), il estpossible de définir les informations légales que doit respecter la structure. En plus de pouvoir déclarer lesdroits des intervenants depuis leur profil, il est aussi possible de déclarer ces droits depuis les structures.

FIGURE 10: Extrait de la liste des structures

Pour se préparer à l’application des traitements, nous avons créé une direction pour chaque service et pôlede l’Université ainsi que pour toutes les institutions qui pourraient être susceptible de créer des traitements.Nous avons donc implémenté toutes les directions accessibles depuis le site de l’Université.

Page 22

RGPD

5.2 Déclaration des traitements

5.2.1 Création de traitements

L’un des atouts principaux de APM est la possibilité de saisir des traitements de données, et de pouvoirsuivre ces traitements dans toute leur durée de vie. Le logiciel permet aux intervenants de déclarer destraitements et d’entrer toutes les informations pouvant être nécessaires au respect du RGPD. Lors de ladéclaration, il est possible d’y saisir un grand nombre d’informations. APM dirige les informations entréesdans la déclaration de traitement dans le but de respecter les principes du RGPD vus plus haut (licéité,finalité, minimisation des données, etc.).

FIGURE 11: Extrait de la liste des traitements

5.2.2 Utilisation du registre CIL pour déclarer les traitements

La première méthode qui a été utilisée pour récupérer les traitements et les informations nécessaires aété en utilisant les anciennes informations qui étaient utilisées avant la mise en application. Le registreCIL (base de données contenant les déclarations de nombreux traitements en cours) a été l’une des pierresfondatrices de la déclaration des traitements de l’Université.

Tous les traitements de la base de données ont été exporté dans APM. Un problème rencontré a été uneabsence de moyens d’importer la base de données directement dans le logiciel. En plus de ne pas posséderde fonction d’importation, APM est un logiciel de type SaaS impossible à modifier, rendant impossible detransférer les données simplement d’une base de données au logiciel. Tous les traitements ont dû être entrésdans le logiciel un à un.

Le manque de données et d’informations est apparu lors de la déclaration des traitements à partir de labase de données. De nombreuses informations nécessaires au respect du RGPD n’avaient pas été documen-tées dans le document, ce qui a empêché de valider les traitements de la liste.

Page 23

RGPD

5.2.3 Mise en contact avec les composantes

Pour valider les traitements qui ont été crée dans APM, il est nécessaire de récupérer les informationsmanquantes (finalité, données traitées, personnes concernées, etc.). Chaque nouvel utilisateur sur APM doitêtre formé à son utilisation, il est donc important de limiter leur nombre au maximum. L’une des solutionsadoptées a été d’entrer en contact avec les différentes structures qui sont à l’origine des traitements déclarés.

Certaines structures ne déclarent pas des traitements fréquemment. Pour compléter les déclarations detraitements de certaines de ces structures, nous leur avons faits parvenir une demande pour nous donner lesinformations nécessaires. Une autre méthode employée a été d’utiliser des questionnaires pour diriger lesréponses.

5.2.4 Création d’un relais au DPO

La plupart des traitements de données personnelles dans l’Université de la Réunion sont traités par unnombre réduit de structures et ces structures génèrent ces traitements de manière fréquente. La déclarationde multiples traitements venant de plusieurs structures peut être faits par le DPO dans une petite organisa-tion, mais dans le cas de l’Université de la Réunion, le nombre de déclarations est trop élevé pour un uniqueDPO.

La solution qu’apporte APM et que nous avons choisie est de créer plusieurs intervenants qui déclarentles traitements dans le logiciel. En utilisant cette méthode, le rôle du DPO devient de vérifier les traitementset de les valider s’ils sont valides.

Nous avons décidé d’entrer en contact avec les structures qui déclarent de nombreux traitements pourdéfinir un responsable APM dans les structures. Le responsable APM d’une structure est la personne quipossède les droits d’accès sur le logiciel, qui doit déclarer les traitements de la structure et qui est le relaispour tous les contacts avec le DPO. Le responsable, après être choisi reçoit une formation sur l’utilisationd’APM pour être opérationnel.

FIGURE 12: Organisation de la déclaration des traitements

Page 24

RGPD

5.2.5 Déclaration des traitements pour les thèses de santé

Lors de la mise en place des déclarations des traitements, un cas spécial a tout de suite été mis enévidence. De nombreux étudiants de l’UFR Santé de l’Université de la Réunion doivent compléter une thèsed’exercice où ils doivent traiter des données. Ces données sont la plupart du temps des données sensiblesportant sur des sujets médicaux. Pour respecter le RGPD, chacun de ces traitements doit être déclaré. Lenombre traitement à générer tous les ans s’élevant à une centaine en moyenne, il est impossible pour leDPO de s’occuper de toutes les déclarations. APM n’a pas été configuré pour avoir un grand nombre deresponsables de traitement temporaires.

Deux solutions sont possible pour résoudre le problème :• Donner à chaque étudiant un accès à APM : En donnant un compte à chaque étudiant ils peuvent

déclarer eux-même leur traitement dans le cadre de leur thèse d’exercice. Utiliser cette méthodedemande de former les étudiants à l’utilisation d’APM. Les études des thèses de médecine étantsouvent similaires, il est possible de créer un guide simplifié du logiciel. Pour cette méthode il fautaussi créer un utilisateur pour gérer la création de comptes utilisateurs pour ne pas avoir à passer parle DPO pour chaque étudiants.

• Centraliser les étudiants sur un compte : en utilisant un compte unique pour créer les traitementsil est possible de centraliser les déclarations de thèses sur un seul compte et de limiter le nombred’utilisateurs sur APM. Deux solutions sont possibles en utilisant cette méthode, on peut donnerl’accès au compte aux étudiants un à un pour garder un principe similaire à la méthode précédente,ou utiliser un représentant dont le travail est de déclarer les traitements des étudiants à leur place. Sion utilise un représentant il est nécessaire de créer un moyen pour récupérer les données des étudiantsà déclarer dans APM (exemple : un questionnaire dirigé).

Pour simplifier la déclaration des traitements, il est possible de créer des modèles typiques de déclarationde traitements qui ont les informations utilisées usuellement dans les déclarations de thèse de médecine.Ces modèles peuvent être utilisés par la personne responsable de la déclaration du traitement sur APM poursimplifier la déclaration.

Page 25

RGPD

Page 26

RGPD

6 Conclusion

Il peut être compliqué d’appréhender toutes les applications réelles du RGPD à cause du fait qu’il a étémis en application récemment. Même si on sait déjà les points précis sur lesquels les organisations sontcensées s’améliorer, il est impossible de savoir avec précision les limites à respecter. Lors de la déclarationd’un traitement, on ne peut pas savoir quelles règles doivent être obligatoirement déclarées dès le départpour rester dans la légalité, ainsi que le niveau de précision exacte qu’il faut apporté pour chaque élémentdéclaré. Ainsi, lorsqu’on veut déclarer un traitement en restant sur d’être dans la légalité, il est importantd’être le plus exhaustif et précis possible pour être sur de rester dans la légalité. Cet environnement a apportéplusieurs problèmes, le principal étant que dans une organisation hétérogène de taille importante commel’est l’Université de la Réunion, il est difficile de trouver une solution universelle, qui convient simplement àtous les besoins. Pour gérer une telle organisation, il est possible d’implémenter plusieurs petites solutions,ou, le choix que nous avons sélectionné, utiliser une solution généraliste.

La diversité des outils disponibles pour mettre en conformité au RGPD représente bien les niveaux d’ap-préciation possible du règlement. Les outils sont différents les uns des autres et sont plus ou moins détailléssur certains domaines. Les organisations cherchant à être sur d’être bien conforme choisiront les outils lesplus complets, qui sont, à cause des informations superflues, souvent les outils les plus lourds à l’utilisa-tion. Ainsi, pour le compromis idéal pour les grandes organisations serait un outil complet et fortementmodulable pour les différentes utilisations.

Un point qui a été mis en évidence à plusieurs reprises tout au long du stage a été les délais lors de lacommunication. La recherche d’outils pour la mise en conformité a mené au besoin d’entrer en contactavec de nombreux organismes externes pour avoir des versions de démonstration. Ces interactions ont misen évidence les longs délais qui peuvent exister, qui peuvent être extrêmement dommageable à la réalisationde ce genre de projets.

APM a été choisi comme outil de l’Université de la Réunion, et a été implémenté. En testant de nombreuxoutils, il a été possible de choisir celui qui s’approche le plus de nos besoins. Malgré cela, une période detest n’est pas toujours capable de déceler les problèmes du produit. Après avoir mis en place le logicielplusieurs problèmes ont été remarqués, notamment l’impossibilité d’importer des informations en massedepuis l’extérieur du logiciel.

Dans une grande organisation comme l’Université de la Réunion, il est impossible pour le DPO de gérertoutes les déclarations de traitement. Il est donc nécessaire de déléguer ce travail aux personnes concernéesdans les différentes structures de l’Université de la Réunion. Une des problématiques reste encore de savoirles personnes qui seront responsables dans chaque structure dans l’environnement toujours changeant del’Université. Aussi, des réticences existent dans les différentes structures dont les membres ont déjà des res-ponsabilités établies. Si un responsable n’est pas établi dans les structures qui en ont besoin, la déclarationdes traitements associés risque de traîner sur le temps.

De nombreux traitements manquent encore d’informations pour être conforme au RGPD. Il faut encoreentrer en contact avec les structures associées pour effectuer les déclarations. Malgré la préparation effec-

Page 27

RGPD

tuée, beaucoup reste à faire pour arriver à la conformité.

Page 28

RGPD

Appendices

Page xi

RGPD

Références

[1] Site internet de la CNIL,https://www.cnil.fr/

[2] MEGA International, éditeur de logiciel pour les projets liés à la transformation digitale, éditeur del’outil HOPEX,www.mega.com/fr

[3] DPMS, editeur de logiciel pour la mise en conformité sur le sujet de la protéction des données, éditeurde l’outil HOPEX,https://www.dpms.eu/

[4] Site du ministère de l’Économie et des Finances de la République française,https://www.economie.gouv.fr/

[5] Textes de lois portant sur le RGPD,http://www.privacy-regulation.eu/fr/

[6] Journal officiel de l’Union européenne, règlement, RGPD,https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

[7] Site de l’IIN,https://iin.univ-reunion.fr/

[8] Site de l’Université de la Réunion,https://www.univ-reunion.fr/

[9] Site de l’OBSUN,https://obsun.univ-reunion.fr/

[10] Loi no 78-17 du 6 janvier 1978https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

[11] DPO & CIL,https://www.ice-rgpd.com/blog/2018/05/31/rgpd-cil-dpo/

Page xii

RGPD

Inst

itutl

ndia

nocé

aniq

uedu

Num

ériq

ue(II

N)

Con

seil

del'I

IN

Gou

vern

ance

(CO

DIR

)

Dir

ecte

ur a

djoi

ntIIN

Res

pons

able

adm

inis

trat

ifD

irec

teur

dél

égué

à

l'Obs

erva

toir

e de

sU

sage

s d

u N

umér

ique

(OB

SU

N)

Form

atio

n, r

eche

rche

, ing

énie

rie, d

ével

oppe

men

t,in

nova

tion,

rela

tions

inte

rnat

iona

les

Ingé

nier

iede

pro

jet,

adm

inis

trat

ion,

va

loris

atio

n,m

arke

ting

Res

pons

able

adm

inis

trat

if

Ges

tionn

aire

adm

inis

trat

ifet

fina

ncie

r

Ges

tionn

aire

péda

gogi

que

Cha

rgé

de

com

mun

icat

ion

/m

arke

ting

Obs

erva

toire

des

Usa

ges

duN

umér

ique

Dir

ecte

ur d

élég

ué à

l'O

bser

vato

ire

des

Usa

ges

du

Num

ériq

ue(O

BS

UN

)

Res

pons

able

R&

D

Ingé

nieu

r de

rec

herc

he1

Ens

eign

ant c

herc

heur

1

Ens

eign

ant c

herc

heur

2

Ens

eign

ant c

herc

heur

3

Ingé

nieu

r d'

étud

e1

Ens

eign

ant c

herc

heur

N

Form

atio

n, c

ertif

icat

ion

et é

ditio

nnu

mér

ique

Dir

ecte

ur d

élég

ué à

la

stra

tégi

e et

au

dé

velo

ppem

ent d

e

l'Uni

vers

itéN

umér

ique

en R

égio

n ( U

NR)

Res

pons

able

R&

D

Ingé

nieu

rA

udio

visu

el/

mul

timéd

ia1

Ens

eign

ant1

Ens

eign

ant2

Ens

eign

ant c

herc

heur

N

Dir

ecte

urIIN

Ingé

nieu

r pé

dago

giqu

e

Ens

eign

ant c

herc

heur

3

Ens

eign

ant c

herc

heur

4

Ens

eign

ant c

herc

heur

2

Ens

eign

ant c

herc

heur

1

Ens

eign

antN

Ingé

nieu

rA

udio

visu

el/

mul

timéd

ia2

Ingé

nieu

rTI

CE

Ingé

nieu

r de

rec

herc

he2

Cha

rgé

des

affa

ires

juri

diqu

es ,

inst

itut

ionn

elle

s et

in

tern

atio

nale

s

Web

/ C

omm

unity

man

ager

Des

igne

r / I

nfog

raph

iste

Mar

di 2

3 av

ril

2019

Ingé

nieu

r d'

étud

e1

CH

AR

GÉS

DE

MIS

SIO

N

Rel

atio

ns In

tern

atio

nale

sC

ertif

icat

ions

Qua

lité

Ingé

nieu

rdé

velo

ppeu

r S

I

FIG

UR

E13

:Org

anig

ram

me

INN

Page xiii

RGPD

FIG

UR

E14

:Mod

èle

BPM

Nde

lavi

ede

lacr

éatio

nà

lacl

otur

atio

ntr

aite

men

t

Page xiv

RGPD

Glossaire

AIPD Analyse d’Impact relative à la Protection des Données

APM Actecil Privacy Manager

CNIL Commission nationale de l’informatique et des libertés

DPD Délégué à la protection des données

DPO Data Protection Officer

IIN Institut Indianocéanique du Numérique

OBSUN Observatoire des Usages du Numérique

PIA analyse d’impact

RGPD Règlement général sur la protection des données

SaaS Logiciel en tant que service

Page xv