Politique externe Amue

Politique externe de protection des données à caractère personnel à l'Amue

La présente politique externe relative au respect de la vie privée ainsi qu'à la protection des données à caractère personnel est publiée par l'Amue, AGENCE DE MUTUALISATION DES UNIVERSITES ET ETABLISSEMENTS D'ENSEIGNEMENT SUPERIEUR OU DE RECHERCHE ET DE SUPPORT A L'ENSEIGNEMENT SUPERIEUR OU A LA RECHERCHE, 2 RUE ALBERT EINSTEIN, 75013 PARIS (N° SIREN: 180043127 + NIC: 00059) - dpo(at)amue.fr.

Objet de la présente publication

L'Amue vous informe au sujet du mode de collecte et de traitement de vos données à caractère personnel ainsi que sur sa manière de définir et de garantir les rôles et responsabilités de chacun des acteurs impliqués dans la chaine de traitements. 

Publication et fréquence de réactualisation de notre politique externe de protection

La présente politique est entrée en vigueur le 1er décembre 2015. Elle fait l'objet d'une réactualisation/validation en cas de changement de délégué à la protection des données, ou bien du cadre légal ou du référentiel CNIL auxquels elle se réfère et, a minima, tous les trois ans.

Date de dernière réactualisation/validation de cette publication : 18 mai 2018.

Notre politique externe de protection

Notre politique externe de protection de la vie privée et des données à caractère personnel s'impose à tout agent de l'Amue amené à manipuler ce type de données ainsi qu'à toute personne physique ou morale externe intervenant pour notre compte dans la chaine de traitements. La formalisation de cette politique et sa publication traduisent notre volonté d'adhérer à toutes les exigences du référentiel de gouvernance établi par la commission nationale de l'informatique et des libertés (la CNIL). Notre politique de protection est diffusée afin d'informer toute personne extérieure (dont les données sont traitées par l'Amue) de ses droits fondamentaux et de l'attitude responsable de notre personnel.

Cette politique a été au préalable validée par notre délégué à la protection des données (DPO).
Nous respectons les grands principes de protection de la vie privée et des données à caractère personnel :

• Finalité déterminée : vos données sont recueillies pour un usage précis et bien défini à l'Amue ;
• Finalité explicite : les finalités sont énoncées a priori de manière compréhensible par les personnes dont les données vont être traitées ; si tel n'était pas le cas pour vous, s'agissant de vos propres données, nous vous invitons à nous contacter à l'adresse dpo(at)amue.fr pour toute clarification ou complément d'explication nécessaire ;
• Finalité licite : nous n'allons jamais à l'encontre de la loi, ni de vos droits ou de vos libertés fondamentales ;

Données ajustées/proportionnées aux finalités : nous veillons à ce que les données collectées soient adéquates, pertinentes et strictement nécessaires à la finalité déclarée ;​

Accès restreint aux données : vos données sont traitées de manière confidentielle et divulguées uniquement aux personnes habilitées à en prendre connaissance dans le cadre de leurs missions ;

Sécurité physique et logique : l'Amue prend toutes les précautions utiles, au regard de la nature des données et des risques induits par le traitement, pour préserver la sécurité des données et, notamment, éviter qu'elles ne soient déformées, endommagées, ou que des tiers non autorisés n'y aient accès ;

Information pour chaque traitement vous concernant :

• Nous vous informons de l'existence de toute collecte de données effectuée par ou pour l'Amue en nous identifiant et en vous indiquant la finalité que nous poursuivons ainsi que le caractère obligatoire ou facultatif de vos réponses et, le cas échéant, les conséquences d'un défaut de réponse ;
• Lorsqu'il y en a, nous vous signalons les partenaires destinataires de vos données ;
• Nous vous rappelons vos droits ainsi que les canaux vous permettant de les exercer : vous pouvez si vous le souhaitez accéder à vos données, les faire rectifier et même vous opposer à ce qu'elles fassent l'objet d'un traitement, dès lors qu'une obligation contractuelle ou légale n'impose pas ce traitement (auquel cas nous vous exposons et explicitons au besoin cette obligation) ;

Transfert de données : Nous ne transférons pas vos données à caractère personnel hors de France ; mais si tel devait être le cas pour un traitement particulier, nos services vous en informeraient au préalable et s'assureraient que le destinataire de vos données opère dans un État membre de la Communauté européenne ou un État qui garantisse un niveau de protection équivalent au nôtre.

Qui est notre délégué à la protection des données (dit DPO) ?

La mission de notre délégué à la protection des données (DPO) consiste à veiller au respect du droit Informatique et Libertés au sein de l'organisme.

A l’Amue nous avons volontairement opté pour un DPO à « désignation étendue » ce qui signifie qu’il se consacre à la conformité de la totalité de nos traitements de données à caractère personnel vis-à-vis des contraintes légales. Nous nous employons à suivre sa démarche et ses conseils afin de répondre aux exigences du label de gouvernance Informatique et Libertés de la CNIL.
Nous avons également renforcé sa position stratégique par :

• son rattachement direct et exclusif au directeur de l’Amue tout en respectant le principe d’indépendance en vertu duquel le DPO ne peut recevoir d’instruction de quiconque dans l’exercice de ses fonctions ;
• son intégration au comité de direction élargi avec possibilité pour lui de mettre à l’ordre du jour un point Informatique et Libertés dès qu’il le juge nécessaire ;
• son positionnement en transverse à tous les services sur lesquels il exerce une autorité fonctionnelle concernant les sujets Informatiques et Libertés (cette autorité se traduisant notamment par l’accès à toute information en lien avec l’exercice de ses fonctions) ; 
• un pouvoir de communiquer avec toute personne quelle que soit sa hiérarchie et en dehors de celle-ci ; 
• l’obtention en tant que de besoin de la collaboration du responsable de la sécurité des systèmes d’Information, du département de production des solutions SI qu’offre l’Amue à ses adhérents, du service des ressources informatiques internes et logistiques, du pôle communication ainsi que du service juridique.

Cette position stratégique et les missions du DPO sont formalisées dans sa lettre de mission portée à la connaissance des instances représentatives et de l’ensemble de notre personnel afin que nul n’en ignore. Ce rôle central confié à notre DPO nous conduit à entretenir régulièrement ses compétences d’organisation et de communication ainsi que ses connaissances juridiques et techniques bien au-delà de sa participation à l’ensemble des ateliers de la CNIL. Afin d’assoir son indépendance, un budget annuel lui est alloué dont il arrête seul les décisions d’utilisation. Ce budget est fixé en adéquation avec ses missions qu’il assure à temps plein.
Le DPO actuellement désigné à l’Amue est Monsieur Frantz GOURDET, directeur de projet.

Comment pilotons-nous la mise en conformité de nos traitements au droit Informatique et Libertés

L' Amue place son délégué à la protection des données (DPO) au cœur du pilotage opérationnel de la conformité des données et des processus permettant d’appliquer et de respecter la loi ainsi que les exigences du label CNIL en matière de gouvernance. Ce pilotage s’appuie sur l’ensemble des acteurs de l’Amue dont les rôles et missions se trouvent résumés ci-dessous :

Agents de l’Amue

En matière d’Informatique et Libertés comme en tout autre domaine, tout agent de l’Amue a pour devoir de respecter le droit.

Afin de contribuer en toute intelligence aux processus de maintien et de mise en conformité des traitements de données à caractère personnel, tout agent a pour mission de :

• participer aux actions de sensibilisation et de formation aux problématiques et principes Informatique et Libertés organisées cycliquement par le DPO et en particulier :
  • prendre connaissance des principes fondamentaux de la protection de la vie privée et du droit informatique et libertés ;
  • prendre connaissance de la conduite citoyenne à tenir dans la chaine de traitements des données à caractère personnel ; ​
• consulter le DPO préalablement à tout nouveau traitement (dpo(at)amue.fr) ;
• lui fournir spontanément ou à sa demande expresse tout support ou information nécessaire à l’exercice de ses missions garantissant le respect à l’Amue de la vie privée et droits fondamentaux des personnes ainsi que des contraintes légales attachées à recommandations complémentaires du référentiel de gouvernance de la CNIL auquel l’Amue adhère ;
• garder la rigueur et la vigilance indispensables au respect des principes de protection lors de chaque collecte ou utilisation de données à caractère personnel, informatisées ou «manuelles» (classeur papiers).

Relais ou référents Informatique et Libertés (dit RIL)

Un réseau de relais ou référents Informatique et Libertés (RIL) couvre l’ensemble des traitements, des services et départements de l’Amue.
Chaque RIL fait équipe, hors hiérarchie, avec ses collègues du réseau et contribue dans sa sphère propre :

• à l’application générale du droit Informatique et Libertés ;
• à l’exactitude et à la complétude de la cartographie des traitements et des formalités déclaratives auprès du DPO ;
• au dispositif de permanence auprès de la CNIL en cas d’absence ponctuelle du DPO lors d’un éventuel contrôle ;
• au maintien du niveau d’excellence conforme au référentiel de gouvernance de la CNIL.

En particulier, pour les traitements le concernant, le RIL participe au circuit d’exercice des droits des personnes et notamment à la prise en considération des demandes d’accès, de rectification ou d’opposition (constitution des réponses à transmettre dans le respect du délai légal, avec l’aide du DPO).

Le directeur de l’Amue (dit Responsable de traitement)

Responsable de tout manquement à la loi informatique et Libertés qui pourrait être constaté au sein de son organisme sans s’exonérer d’aucune responsabilité civile, administrative ou pénale sur ce plan, le directeur de l’Amue est garant du respect des politiques de protection interne et externe telles que publiées par l’Amue après validation par son DPO. 

En fournissant notamment les moyens nécessaires, il veille au bon fonctionnement de l’organisation qui porte ces politiques de protection afin de répondre aux recommandations du référentiel de gouvernance de la CNIL auquel l’Amue a volontairement choisi de souscrire.  Il garantit en particulier la totale intégration du DPO dans les circuits de validation de l’ensemble des activités liées à la protection des données.

Le délégué à la protection des données (dit DPO)

Notre DPO pilote la mise en conformité de l’ensemble des traitements. Avec le concours des RIL et de tous les autres acteurs internes, il établit une cartographie détaillée de chaque traitement mis en œuvre par ou pour l’Amue.  Il programme régulièrement des actions de sensibilisation à destination de l’ensemble du personnel afin d’améliorer continument la qualité de nos processus au regard du respect de votre vie privée et de vos droits fondamentaux. 

Enfin, potentiellement associé aux contrôles de la CNIL, notre DPO a mis en place les procédures permettant à l’Amue d’être en situation de transparence et d’apporter les preuves de notre grand respect de la vie privé de tous.  Nous sommes en situation d’accueillir à tout moment la délégation de contrôle de la commission nationale. C’est là un gage de conduite citoyenne et responsable ainsi qu’un facteur de confiance en nos procédures de prise en charge des données que vous nous confiez.

Quelles sont les grandes lignes de notre méthode de mise en conformité ?

L’Amue met tout en œuvre pour garantir la conformité juridique de ses traitements de données à caractère personnel. Elle applique de manière préventive à vos données des mesures de sécurité, tant physiques que logiques, permettant de garantir leur intégrité, leur confidentialité, leur disponibilité, leur non répudiation et l’authentification qui y est attachée. Elle opère une révision triennale des risques attachés à chaque traitement sensible effectué. 

L’Amue étudie en amont l'impact sur la vie privée de la mise en œuvre des traitements. Cela conduit à des solutions conformes dès leur livraison aux contraintes légales, et qui évitent en phase d'exploitation, de par leur conception même, la rupture de la chaîne de conformité.

Tout au long du cycle de vie des services et des systèmes d’information internes et de ceux qu’elle propose à ses adhérents et, en particulier dès leur conception, l' Amue prend en compte la protection des données à caractère personnel ainsi que l’ensemble des exigences Informatique et Libertés (principe de Privacy by default/design). Elle intègre ce principe dans son kit des marchés publics ainsi que dans l’ensemble de ses processus de construction et de maintenance de son offre « système d’information » et, au final, dans sa démarche qualité pour tout domaine d'activité impliquant l'emploi de données à caractère personnel.

De quel circuit disposez-vous pour exercer vos droits ?

Procédure, pilotage et outils d’aide à la gestion de vos réclamations

Vous disposez d'un droit d'accès aux données vous concernant et il vous est loisible d’en obtenir la rectification ou d’exercer votre droit d'opposition, effacement (droit à l’oubli), limitation du traitement, portabilité et gestion post mortem en envoyant par voie postale un courrier  au Délégué à la protection des données de l’Amue :

Délégué à la protection des données - DPO
Amue - Bâtiment Oz’One 
181, Place Ernest Granier 
34000 Montpellier

N’oubliez pas de justifier de votre identité en joignant à votre demande signée une photocopie de tout document d’identité officiel comportant votre nom, vos prénoms, votre date et votre lieu de naissance. 
Mentionnant notamment les modalités d’exercice, la chaine de traitement et les délais de communication, la procédure de gestion des demandes relatives à l’exercice des droits des personnes comporte la tenue d’un journal.

Cette procédure est mise en ligne sur notre intranet à la disposition de tous les acteurs internes, notamment les relais ou référents Informatique et Libertés appelés à l’appliquer.
La gestion des réclamations et des demandes relatives à l’exercice des droits des personnes est pilotée par notre DPO en mode guichet unique. Il lui sera transmis toute demande, même mal adressée, par exemple suite à une erreur de routage ou au manque d’information préalable du demandeur. 
Le DPO redistribue chaque demande aux référents internes concernés, suit le traitement qui y est apporté et s’assure du respect d’un délai de réponse de deux mois maximum.
La procédure en ligne vise donc à la fois l’interne et l’externe. Aussi comporte-elle des modèles de courrier de demande et des modèles de réponse aux demandes formulées, ainsi que des outils d’aide à la gestion des réclamations tels que des liens de modélisation et de formalisation des tâches.

 
Gestion de vos traces sur notre système d’information  

Un plan de contrôle strict de la journalisation des incidents de sécurité et de la politique générale des traces est en vigueur à l’Amue. La procédure mobilisée intègre, également sur ce plan, les grands principes de la protection de votre vie privée ainsi que de vos données à caractère personnel. 
Ainsi, n’utilisant les données vous concernant que pour les strictes finalités pour lesquelles elles sont collectées et dont vous pouvez prendre connaissance en exerçant votre droit d’accès comme tout précédemment indiqué, l’Amue n’effectue aucun rapprochement de fichiers de traces.  
En prévention de risques contre la sécurité de notre système d’information et dans le plus grand respect des principes de transparence et de proportionnalité, notre procédure inclut la conservation de traces de flux d’information globales ou nominatives circulant sur le réseau afin de rendre possible, au besoin, leur analyse postérieure pour la détermination de l’origine d’éventuels incidents ou leur résolution. Cette conservation prévisionnelle ne va  jamais au-delà des délais légaux et normatifs prescrits. 
Vous trouverez finalement, en fin de nos mentions légales, les indications concernant nos statistiques de visites ainsi que l’utilisation de traceurs (cookies).

Procédures de gestion et de notification d’une éventuelle violation

Si, par extraordinaire, une violation de donnée à caractère personnel devait survenir malgré les mesures de sécurité éprouvées mise en place à l’Amue, notre responsable de la sécurité des systèmes d’information (RSSI) en informerait notre délégué à la protection des données (DPO) en lui indiquant, notamment, la nature de la violation, au plus tard 24 heures après sa détection. Et notre DPO vous notifierait cette violation dans un délai maximal de 72 heures s’il s’agissait de vos données.
Cette volonté de respect et de transparence s’inscrit dans nos procédures spécifiques de notification et de gestion d’une éventuelle violation. Au-delà de leurs aspects préventifs, ces procédures intègrent un volet curatif prévoyant, au cas échéant, la formulation immédiate d’un plan d’actions adapté, sous l’impulsion du DPO et l’égide du Directeur de l’Amue.
 

D'autres questions ?

Le DPO de l'Amue se tient à votre disposition pour tout complément relatif à vos données.
Adressez-lui vos questions par courriel à l'adresse dpo(at)amue.fr : Il pourra vous aider au besoin ​à exercer vos droits fondamentaux et vous répondra dans les plus brefs délais.