Bureau de la protection des données

Politique de protection des données

version du 14 mai 2018

Calendrier d’approbation :

  • Soumis à la délégation du personnel : 27 juin 2017
  • Rectorat : 20 février 2018
  • Conseil universitaire : 7 mars 2018
  • Conseil de gouvernance : 14 mai 2018

Les employés de l’Université du Luxembourg (ci-après « l’Université ») collectent et traitent de grandes quantités de données à caractère personnel dans le cadre de leurs tâches de recherche, d’enseignement et d’administration.

La présente politique (ci-après « la Politique ») s’inscrit dans l’engagement pris par l’Université de protéger les données à caractère personnel traitées par son personnel ainsi que les données à caractère personnel afférentes à son personnel. Le traitement de données à caractère personnel tel qu’effectué à l’Université peut se définir de façon très large et inclut des activités comme la collecte, le stockage, la consultation, la modification, la divulgation (y compris la publication) et la destruction de données.

Les réglementations européennes et luxembourgeoises relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après les « règles de protection des données ») s’appliquent au traitement de toutes les données à caractère personnel en question.

L’objectif de la Politique est de fournir des règles et directives afin d’assurer le respect des règles de protection des données. Les responsables du traitement et les sous-traitants des données tels que l’Université ont le devoir de se conformer strictement à la politique de protection des données.

Tout membre du personnel, chercheur principal d’un projet de recherche, responsable de service à l’administration centrale ou membre du personnel administratif d’une faculté ou d’un centre interdisciplinaire a l’obligation fondamentale de protéger les données à caractère personnel et de se conformer à la politique de protection des données dans l’exercice de ses fonctions.

Les termes utilisé dans la Politique sont définis dans l’Annexe – Glossaire sur cette page.

La présente Politique poursuit les objectifs suivants :

  • Aider le personnel de l’Université à identifier très tôt le traitement de données à caractère personnel et lui fournir des directives.
  • Assurer que des procédures adéquates sont en place pour le traitement et la gestion des données à caractère personnel.
  • Informer les employés et les sensibiliser à leurs responsabilités lorsqu’ils stockent et traitent des données à caractère personnel, et veiller à ce qu’ils adoptent des mesures appropriées.
  • Rassurer les personnes sur le fait que leurs données à caractère personnel sont traitées en conformité avec la politique de protection des données, qui stipule que ces données restent toujours en sécurité, à l’abri de tout accès non autorisé et de tout abus, altération ou perte.
  • Veiller à ce que les autres organisations avec lesquelles l’Université partage des données à caractère personnel répondent aussi aux exigences en la matière.
  • Garantir que tout système existant ou futur mis en œuvre par l’Université pour traiter des données à caractère personnel sera évalué afin de déterminer s’il pose un risque pour les données à caractère personnel et s’il s’accompagne de mesures techniques et organisationnelles appropriées.
  • Assurer que les membres du personnel de l’Université contactent le délégué à la protection des données en temps utile pour tout problème relatif à la protection des données à caractère personnel.
  • Assurer que les membres du personnel de l’Université documentent le traitement des données à caractère personnel afin de garantir sa conformité avec les règles de protection des données.

La politique de protection des données s’applique à toutes les données à caractère personnel et à toutes les données sensibles qui leur sont associées – indépendamment de leur format (électronique, papier, audiovisuel, etc.) – qui sont collectées et traitées par l’Université dans le cadre des activités de recherche, d’enseignement et d’administration au sein de l’administration centrale, des facultés et des centres interdisciplinaires.

La Politique s’applique à tous les employés de l’Université, permanents ou temporaires, et au personnel externe tel que les prestataires, consultants, fournisseurs de services, vacataires, professeurs/chercheurs visiteurs, professeurs invités et professeurs affiliés (ci-après le « personnel »). Elle s’applique à tous les membres de l’Université, rémunérés ou non, y compris les doctorants finançant eux-mêmes leurs études.

L’Université assume les rôles de responsable du traitement, de sous-traitant et de destinataire des données à caractère personnel traitées dans le cadre de projets de recherche, d’activités d’enseignement et de tâches administratives, telles que les données à caractère personnel des personnes concernées suivantes :

  • Les personnes physiques qui participent volontairement à des projets de recherche et consentent à la collecte et au traitement de leurs données à caractère personnel.
  • Les personnes physiques dont les données à caractère personnel sont collectées de façon indirecte aux fins d’un projet de recherche.
  • Les personnes physiques qui ont sollicité ou reçu un financement pour des travaux de recherche ou des activités scientifiques connexes, y compris des événements, séminaires ou ateliers.
    • Les anciens employés, employés actuels ou potentiels.
    • Les anciens étudiants, étudiants actuels ou potentiels.
    • Les fournisseurs, consultants, partenaires commerciaux externes ou autres tiers avec lesquels l’Université communique.

Le traitement des données à caractère personnel est régi par la loi luxembourgeoise sur la protection des données du 2 août 2002, par la directive européenne sur la protection des données 95/46/CE, remplacée le 25 mai 2018 par le règlement général sur la protection des données (RGPD) de l’Union européenne (ci-après l’« UE »), et par toute nouvelle législation luxembourgeoise relative à la protection des données adoptée pour mettre en œuvre le RGPD.

Ce cadre juridique a été mis en place pour protéger la liberté et les droits fondamentaux des individus, en particulier leur vie privée, à l’égard du traitement de leurs données à caractère personnel.

Au Luxembourg, la Commission nationale pour la protection des données (CNPD) est chargée d’assurer le respect de ces règles par les responsables du traitement et les sous-traitants de données établis dans le pays.

D’autres contenus et références peuvent être trouvés sur le site web de la CNPD et sur les sites de l’Union européenne concernés, ou en consultant le délégué à la protection des données (ci-après le « DPD ») de l’Université.

  • 5.1. Collecte et traitement loyaux

    • Les données à caractère personnel ne sont collectées et traitées que dans la mesure où elles sont nécessaires pour répondre aux besoins de la recherche, de l’enseignement ou de l’administration (ci-après « les besoins de l’Université ») ou pour satisfaire aux exigences légales.
    • Les données à caractère personnel conservées sont exactes et mises à jour.
    • La conservation des données à caractère personnel fait l’objet d’une appréciation et d’une évaluation des risques à la lumière des besoins de l’Université et des exigences légales, et des calendriers de conservation des données appropriés sont établis. La durée de stockage des données à caractère personnel doit être déterminée au début du projet. S’il n’est pas possible de déterminer cette période de stockage immédiatement, des critères doivent être appliqués pour la déterminer ultérieurement.
    • Les données à caractère personnel sont traitées dans le respect des droits des personnes concernées.
    • Le personnel est tenu d’informer le DPD de toute nouvelle finalité prévue pour le traitement de données à caractère personnel. Aucune nouvelle finalité autre que celles pour lesquelles le consentement initial a été donné ne sera autorisée, à moins que la personne concernée n’y consente ou que le formulaire de consentement ne prévoie un consentement explicite pour des recherches ultérieures.
    • Le personnel de l’Université et les personnes concernées sont spécialement informés de l’utilisation de leurs données et de la façon dont leurs objections légitimes seront traitées. Si la loi l’exige, le consentement de la/des personne(s) concernée(s) est demandé, obtenu et documenté à chaque collecte de données à caractère personnel.
    • Les données à caractère personnel ne sont utilisées que si leur confidentialité est assurée, y compris par une anonymisation ou pseudonymisation appropriée chaque fois qu’elle est nécessaire et techniquement faisable. 
    • Le personnel ne peut accéder aux données à caractère personnel que si l’accomplissement de ses tâches le nécessite.
  • 5.2. Sécurité

    La sécurité des données à caractère personnel est une exigence légale envers laquelle l’Université s’est pleinement engagée :

    • L’Université a approuvé des politiques et procédures visant à assurer la sécurité des informations/données présentes dans les bâtiments, bureaux, etc.
    • L’Université met en œuvre des politiques pour assurer la sécurité de ses systèmes informatiques ainsi que la sécurité physique à la fois de ses systèmes informatiques et de ses fichiers manuels/en version papier. Cette disposition s’applique aux données à caractère personnel conservées à l’Université ainsi qu’à la transmission et à la suppression de ces données.
    • Par défaut, l’Université se conforme à la règle fondamentale selon laquelle l’accès aux données à caractère personnel se limite aux personnes concernées selon le principe du « besoin d’en connaître ».
    • La sécurité et la confidentialité des données à caractère personnel traitées par un sous-traitant ou un partenaire externe sont assurées par des accords de service, des accords de collaboration, des accords de partage ou de traitement de données qui comprennent une clause de protection des données et/ou une politique de protection des données. Si nécessaire, consulter le DPD au sujet de ces accords.
    • Le personnel doit signaler toute violation de données potentielle au portail de services de l’Université dès qu’il en a connaissance, si possible dans les 24 heures et au plus tard dans les 48 heures après la découverte de la violation. Le bureau de services se chargera d’informer le DPD de toute violation de données à caractère personnel. Les violations de données confirmées seront documentées par le responsable de la sécurité de l’information (ci-après le « RSI ») et le DPD. Une procédure spécifique est appliquée pour traiter toute violation de données à caractère personnel et un registre des violations de données à caractère personnel est tenu.
    • Toute tentative, de la part d’un membre du personnel de l’Université, d’identifier des participants de projets sera considérée comme une violation de la Politique, à moins que des participants de projets de recherche n’aient expressément consenti par écrit à pouvoir être identifiés et contactés.
    • Sont considérées comme des violations de la Politique toute divulgation ou transmission de données sensibles ou à caractère personnel vers des personnes non autorisées ainsi que tout envoi de données sensibles ou à caractère personnel par e-mail sans garanties appropriées telles que le chiffrement ou une autre mesure équivalente.
    • L’utilisation par le personnel d’adresses e-mail privées pour envoyer ou recevoir des données sensibles ou à caractère personnel est considéré comme une violation de la Politique.
    • Le personnel de l’Université est tenu de prendre des mesures pour protéger et sécuriser tout document contenant des informations personnelles, et d’informer les destinataires des mesures appropriées qui seront adoptées.
    • L’utilisation de données à caractère personnel sur des équipements hors du contrôle de l’Université relève de la responsabilité de l’utilisateur. L’utilisateur doit régulièrement vérifier les paramètres de sécurité de tels équipements en appliquant des méthodes de protection reconnues.
    • La responsabilité de protéger la confidentialité des données à caractère personnel s’étend à toute personne ou institution à laquelle des informations sont transmises. L’Université inclut dans les contrats pertinents (accords de services, de collaboration et de partage de données) des dispositions établissant que toute donnée à caractère personnel fournie par l’Université l’est sur le principe que le destinataire maintiendra sa sécurité et sa confidentialité et ne l’utilisera que pour la finalité convenue.
    • Les données pseudonymisées sont également considérées comme des données à caractère personnel. Le traitement de données pseudonymisées doit donc obéir aux principes de la Politique.
  • 5.3. Registre de protection des données à caractère personnel

    Un registre de protection des données à caractère personnel (ci-après le « Registre » est tenu par le DPD aux fins d’identification et d’enregistrement des données à caractère personnel traitées à l’Université, cela en collaboration avec les chercheurs principaux, les responsables de service de l’administration centrale et les membres du personnel administratif des facultés et des centres interdisciplinaires. En particulier, le Registre indique où les données à caractère personnel sont conservées, comment elles sont traitées, qui les traite, quelle est la base juridique de leur traitement, qui a accès aux données et quelles mesures sont en place pour assurer leur sécurité et leur confidentialité. Chaque chercheur principal, responsable de service à l’administration centrale et membre du personnel administratif d’une faculté ou d’un centre interdisciplinaire est tenu d’informer le DPD de toute donnée à caractère personnel traitée sous sa responsabilité, cela afin de permettre de compléter le Registre en temps utile. La tâche consistant à remplir le Registre peut être déléguée à un collègue ou au coordinateur de la protection des données du service. Le Registre est tenu à la disposition de la CNPD.

  • 5.4. Partage de données

    Le partage de données à caractère personnel doit obéir aux règles suivantes :

    • Les procédures de partage de données à caractère personnel par tout moyen électronique doivent permettre de maintenir au minimum les risques de violations imprévues de la sécurité des informations. Des directives générales sont fournies dans les politiques de sécurité des informations de l’Université, et des conseils spécifiques peuvent être demandés au RSI.
    • Si un contrat est conclu avec une autre organisation concernant des services impliquant la divulgation ou le partage de données à caractère personnel, il doit explicitement énoncer les exigences et les normes de protection des données, y compris en matière de confidentialité et de sécurité.
    • Les données à caractère personnel ne peuvent être transférées hors de l’UE ou de l’Espace économique européen (EEE), sauf si le pays ou territoire en question garantit un niveau de protection adéquat pour les données à caractère personnel ou si les données sont transférées avec le consentement de la personne concernée, le cas échéant, ou avec une garantie appropriée et légalement admissible.  Le DPD doit être informé de tout transfert de données hors de l’UE ou de l’EEE et il donne des conseils sur les garanties appropriées.
    • Les données à caractère personnel de quelque format que ce soit ne peuvent pas être partagées avec un tiers, sauf s’il existe une base juridique et/ou un accord approprié, et sans le consentement de la personne concernée si ce consentement est requis.
    • Dans certains cas, la seule suppression des identifiants personnels (nom, prénom, initiales, etc.) peut ne pas suffire à protéger l’identité d’une ou de plusieurs personnes concernées, par exemple les participants d’une étude ou des employés. S’il faut recourir à une anonymisation comme condition d’une divulgation sans consentement, il convient de supprimer, par tout moyen raisonnable, toute information susceptible de permettre d’identifier la personne concernée.
  • 5.5. Approche basée sur les risques et analyse d’impact sur la protection des données

    L’Université accomplit tous les efforts raisonnables pour garder sous contrôle le traitement des données à caractère personnel et mettre en œuvre des mesures de protection adaptées au niveau de risque de ses activités de traitement de données à caractère personnel. Si ses activités impliquent un risque élevé pour la personne concernée, une analyse d’impact relative à la protection des données (ci-après « AIPD ») doit être réalisée en collaboration avec le DPD et le RSI. L’AIPD est une procédure qui décrit tout traitement de données, évalue la nécessité et la proportionnalité dudit traitement, facilite la gestion des risques résultant du traitement de données à caractère personnel et protège les libertés des personnes physiques à cet égard.

    En d’autres termes, l’AIPD est un processus qui sert à concrétiser et à démontrer le respect des exigences dans les cas où le traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’AIPD doit faciliter l’évaluation des risques associés au traitement de données à caractère personnel et la détermination des mesures à prendre pour atténuer ces risques.

    Une AIPD est notamment requise dans les cas suivants :

    • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
    • le traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
    • la surveillance systématique à grande échelle d’une zone accessible au public.

    L’Université met en place la méthodologie et le modèle d’AIPD à travers une procédure spécifique conforme au RGPD.

  • 5.6. Droit d’accès des personnes concernées

    Les personnes concernées peuvent exercer leurs droits, en particulier le droit d’accès, conformément aux principes suivants mais sans s’y limiter :

    • Toute personne concernée a le droit d’accéder à ses propres données à caractère personnel ; l’Université s’engage à y aider les personnes concernées en les renseignant sur la façon de demander leurs données à caractère personnel conservées par l’Université ou d’y accéder.
    • Les formulaires de consentement éclairé doivent comporter une adresse de contact à utiliser par les personnes concernées qui souhaitent soumettre une demande d’accès de personne concernée, retirer leur consentement ou demander des informations complémentaires.
    • Les demandes d’accès de personne concernée sont traitées et les informations pertinentes sont fournies aux personnes concernées dans un délai raisonnable. Ce délai ne devrait pas dépasser un mois, conformément à la Politique.
    • Les données à caractère personnel d’une personne concernée ne lui sont pas divulguées tant que son identité n’a pas été vérifiée.
    • Une demande d’accès de personne concernée n’est possible que pour les données à caractère personnel du demandeur. Il n’est pas donné suite aux demandes d’accès aux données à caractère personnel faites par des tiers tant que la personne concernée n’y a pas formellement consenti.
    • En cas de demande faite par la police d’accéder à des informations d’une base de données de l’Université contenant des données à caractère personnel, il faut consulter au préalable le DPD, qui vérifiera la légalité de la demande et consultera le responsable des affaires juridiques.
  • 5.7. Autres droits des personnes concernées

    Les personnes concernées ont d’autres droits dans ce domaine : le droit d’information, le droit de faire rectifier les données à caractère personnel qui les concernent, le droit à l’oubli (également appelé « droit à l’effacement »), le droit de limiter le traitement de leurs données à caractère personnel et le droit d’opposition.

    Pour renforcer encore le contrôle qu’elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l’objet d’un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable permettant la portabilité des données.

  • 5.8. Droits des personnes concernées dont les données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques

    Le RGPD autorise les États membres à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d’information et les droits à la rectification, à l’effacement, à l’oubli, à la limitation du traitement, à la portabilité des données et le droit d’opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Ces dérogations s’appliquent lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

    Les lois sur la protection des données au Luxembourg et dans d’autres États membres de l’UE prévoient des dérogations aux droits des personnes concernées dans les conditions énoncées dans le RGPD. Ces lois sur la protection des données informent sur les garanties appropriées à établir en fonction de la nature, de la portée, du contexte et des finalités du traitement des données ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Les garanties appropriées peuvent comprendre les techniques de pseudonymisation, l’analyse d’impact préalable, le chiffrement, les limitations d’accès, la sensibilisation ou des plans de gestion des données.

    Il peut être difficile d’obtenir un consentement spécifique pour le traitement de données à caractère personnel à des fins de recherche. Dans nombre de cas, la finalité exacte du traitement de données à caractère personnel à des fins de recherche scientifique n’est pas entièrement connue au moment où les données sont collectées. Par conséquent, les personnes concernées devraient pouvoir donner un consentement plus large en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues.

    En cas de doute, le DPD peut fournir des directives et des conseils.

  • 5.9. Expression universitaire

    Les États membres de l’UE devraient concilier les règles régissant la liberté d’expression, y compris l’expression universitaire, et le droit à la protection des données à caractère personnel en vertu du RGPD. Le traitement de données peut faire l’objet de dérogations ou d’exemptions, en particulier concernant les principes généraux, afin de protéger les droits de la personne concernée (par exemple le droit d’information) ainsi que pour le transfert de données à caractère personnel vers des pays tiers.

    Par dérogation aux principes généraux de protection des données en vertu du RGPD, le traitement de données à caractère personnel aux fins de l’expression universitaire est autorisé dans les États membres de l’UE selon les conditions établies dans les mesures législatives adoptées.

    Par exemple, les États membres de l’UE peuvent autoriser le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions et lever les limitations aux transferts de données à caractère personnel vers des pays tiers. Les États membres peuvent aussi permettre une dérogation au droit d’information lorsque les données à caractère personnel ont été collectées de façon indirecte, dans certaines conditions.

    En cas de doute, le DPD peut fournir des directives et des conseils.

  • 5.10. Sensibilisation et formation

    Cette Politique est soutenue par des campagnes de sensibilisation destinées à l’ensemble du personnel de l’Université ainsi que par des formations appropriées pour les personnes assumant des responsabilités spécifiques.

    Le personnel impliqué dans le traitement de données à caractère personnel reçoit une formation sur la façon de préserver la sécurité et la confidentialité de ces informations. Il apprend quelles informations peuvent ou non être divulguées en dehors de son environnement de travail immédiat, conformément aux règles de protection des données.

    La Politique est couverte par le programme de formation du nouveau personnel.

    Le personnel traitant des données sensibles doit suivre une séance de formation avant de recevoir l’accès à de telles données.

  • 5.11. Conservation et effacement

    La conservation de données à caractère personnel est documentée et justifiée. La conservation de données à caractère personnel fait l’objet d’une évaluation des risques à la lumière des besoins de l’Université et des exigences légales, et des calendriers de conservation appropriés sont établis. Les données à caractère personnel peuvent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles ont été collectées et traitées. La personne concernée est informée de la durée pendant laquelle les données à caractère personnel seront stockées ou, si cela n’est pas possible, des critères utilisés pour déterminer cette durée.

  • 5.12. Documentation

    Tout traitement de données à caractère personnel est documenté avec clarté pour confirmation de la conformité avec la Politique ; cette conformité doit être démontrée lors des audits menés par la CNPD ou d’autres auditeurs ainsi que lors des vérifications effectuées par le DPD.

La responsabilité globale de la protection des données est assumée par le rectorat et/ou le directeur administratif et financier, conformément à la loi ayant pour objet l’organisation de l’Université du Luxembourg. Tous les membres du personnel ont aussi la responsabilité d’assurer la conformité avec la Politique. Les fonctions assorties de responsabilités spécifiques sont notamment les suivantes :

1) Le délégué à la protection des données (DPD) assume un rôle stratégique dans la protection des données. La fonction du DPD consiste à accomplir les tâches suivantes à l’Université :

  • Élaborer les politiques de protection des données et les meilleures pratiques pour la recherche, l’enseignement et les activités menées par l’administration centrale.
  • Assurer la formation du personnel en matière de protection des données.
  • Fournir des conseils, des directives et des procédures concernant le traitement des données à caractère personnel.
  • Collaborer avec l’autorité de contrôle et agir comme point de contact.
  • Informer la direction de l’Université sur les exigences de protection des données, la conseiller sur les plans annuels d’amélioration ainsi que convenir d’un rapport annuel de protection des données et le présenter à l’équipe de direction.
  • Assister l’Université lors de la réalisation des AIPD.
  • Mettre en œuvre et tenir le registre de protection des données à caractère personnel de l’Université, en tant que responsable du traitement ou sous-traitant des données, en se basant sur les informations fournies par les chercheurs principaux, les responsables de service de l’administration centrale et les membres du personnel administratif des facultés et des centres interdisciplinaires.

2) Le responsable de la sécurité de l’information (RSI) est un partenaire stratégique du DPD pour assurer la conformité avec la Politique.

Le RSI est chargé du suivi, de la documentation et de la communication concernant la sécurité des informations, y compris le traitement des violations ; il est également responsable d’assurer la conformité des réseaux informatiques avec les normes reconnues de sécurité des informations. Il/elle collabore avec le DPD pour les questions de protection des données et fait état de toute violation de données à caractère personnel que le DPD lui signale.

3) Les responsables de service de l’administration centrale, les membres du personnel administratif des facultés ou des centres interdisciplinaires ainsi que les chercheurs principaux ont les responsabilités suivantes :

  • S’assurer, par la formation et le suivi, que leur personnel comprend comment les principes de protection des données s’appliquent à son travail quotidien, et suivre le respect de ces principes dans leurs domaines de responsabilité.
  • S’assurer que des coordinateurs de la protection des données ont été nommés pour leurs services ou centres interdisciplinaires respectifs et que ces coordinateurs reçoivent la formation et les directives appropriées, avec le soutien du DPD et du RSI.
  • S’assurer que des mesures techniques et organisationnelles appropriées sont adoptées dans leur service pour veiller à la conformité avec la politique de protection des données de l’Université et prévenir les violations de données à caractère personnel.
  • Informer le DPD de tout traitement de données à caractère personnel effectué dans leur faculté, centre interdisciplinaire ou service, ainsi que de toute modification de la nature d’un tel traitement et des procédures concernées.
  • Assurer la conformité aux procédures de la CNPD des nouveaux projets de recherche ou des autres activités de traitement de données liées à l’administration ou à l’enseignement, informer le DPD si nécessaire et introduire les informations dans le registre de protection des données à caractère personnel.
  • Signaler toute violation de données à caractère personnel au RSI et au DPD via le portail de services de l’Université dans les 24 heures si possible et au plus tard dans les 48 heures après la découverte de la violation.
  • Réaliser une AIPD si nécessaire, avec l’aide du DPD et du RSI.
  • Assister le DPD pour toute requête de la CNPD ou des autorités étrangères de protection des données ainsi que pour les audits menés par la CNPD ou tout autre organisme (interne ou externe).

4) Les coordinateurs de la protection des données sont le point de contact pour le DPD et le RSI concernant la protection des données dans les facultés, les centres interdisciplinaires et les services. Les tâches qu’ils assument sont les suivantes :

  • Sensibiliser à la protection des données au sein de leur service, faculté ou centre de recherche, en collaboration avec le DPD et le RSI.
  • Diffuser les informations relatives à la protection des données.
  • Renforcer la conformité par rapport à la Politique. Ces tâches peuvent aussi être accomplies par une autre personne du service.

5) Le Comité pour l’éthique dans la recherche (CER) collabore avec le DPD sur les projets de recherche soumis au CER pour les questions relatives aux problèmes de protection des données, le cas échéant.

6) Les utilisateurs autorisés sont ceux qui ont été autorisés (et formés) à utiliser des systèmes ou collectes de données particuliers, conformément à la Politique et aux procédures de l’Université.

Anonymisation : processus consistant à rendre anonymes des données à caractère personnel de sorte que la personne concernée ne soit pas ou plus identifiable.

Consentement de la personne concernée : toute manifestation de volonté, libre, spécifique et éclairée par laquelle la personne concernée ou son représentant légal, judiciaire ou statutaire accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. Ce consentement doit être documenté sous la forme d’un formulaire de consentement éclairé.

Destinataire : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement Les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une enquête juridique ne sont pas considérées comme des destinataires.

Données à caractère personnel : toute information de tout type, quel que soit son support, y compris les images et le matériel audio ou vidéo, concernant une personne physique identifiée ou identifiable (« personne concernée »). Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier à partir d’un identifiant tel qu’un nom, un numéro d’identification ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Données concernant la santé : toute information relative à la santé physique ou mentale de la personne concernée, y compris des informations génétiques.

Données génétiques : les données relatives aux caractéristiques génétiques héréditaires d’une personne ou d’un groupe de personnes liées entre elles.

Données sensibles à caractère personnel ou catégories particulières de données à caractère personnel : des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que des données concernant la santé ou la vie sexuelle et des données génétiques. Les données sensibles à caractère personnel font l’objet d’un régime juridique plus strict.

Pays tiers : un pays qui n’est pas un État membre de l’Union européenne ou de l’Espace économique européen. Le RGPD établit que les données à caractère personnel ne peuvent être transférées vers des pays extérieurs à l’UE et à l’EEE que si un niveau de protection adéquat est garanti. Le RGPD exige que les transferts de données ne se fassent pas vers des pays hors UE/hors EEE qui ne garantissent pas un niveau de protection adéquat. Des exceptions ou dérogations à cette règle sont prévues.
La Commission européenne peut déterminer si un pays extérieur à l’UE ou à l’EEE offre un niveau de protection adéquat des données, et adopter une décision d’adéquation à l’égard de ce pays. L’effet d’une telle décision est que les données à caractère personnel peuvent circuler depuis les 28 États membres de l’UE et de trois États membres de l’EEE (Norvège, Liechtenstein et Islande) vers ce pays tiers sans qu’une autre garantie ne soit exigée. À ce jour, la Commission a reconnu Andorre, l’Argentine, le Canada (organisations commerciales), les Îles Féroé, Guernesey, Israël, l’Île de Man, Jersey, la Nouvelle-Zélande, la Suisse, l’Uruguay et les États-Unis (transferts limités au cadre du « bouclier de protection des données ») comme des pays offrant un niveau de protection adéquat.

Pseudonymisation : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. Des données pseudonymisées sont, par exemple, des données dont les informations personnelles identifiables (nom, prénom) ont été remplacées par un code pour éviter l’identification de la personne concernée.

Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit national ou par celui de l’UE, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit national ou par celui de l’UE.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Tiers : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel. Dans le secteur public, un tiers est un ministère, une administration, une institution publique, une autorité régionale ou un service public autre que le responsable du traitement ou le sous-traitant des données.

Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

FAQ sur la politique de protection des données de l’Université du Luxembourg

L’objectif de cette Politique consiste à :

  • fournir aux employés des directives et règles pour leur faciliter la mise en conformité avec le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018 ;
  • documenter les règles de l’Université en matière de protection des données ;
  • aligner l’approche de l’Université sur celle du RGPD, qui met davantage l’accent sur le principe de responsabilité au sein des organisations.

La Politique s’applique à toutes les données personnelles et sensibles traitées par l’Université (concernant la santé, les opinions politiques, l’appartenance syndicale, les infractions pénales, etc.) dans l’un des contextes suivants :

  • recherche ;
  • enseignement ;
  • tâches administratives.

Tous les employés (permanents ou temporaires) de l’Université, les doctorants (y compris ceux qui financent eux-mêmes leurs étude) ainsi que le personnel externe tel que les prestataires, consultants, fournisseurs de services, professeurs et chercheurs visiteurs ou affiliés doivent se conformer à la Politique.

La Politique est fondée sur des principes qui facilitent le respect de la législation en matière de protection des données.

Elle contient des directives sur :

  • la collecte et le traitement loyaux ;
  • la sécurité ;
  • le partage de données ;
  • la conservation et l’effacement des données.

Elle contient aussi de nouvelles obligations introduites par le RGPD :

  • établissement et tenue d’un registre de protection des données à caractère personnel de l’Université ;
  • approche basée sur les risques ;
  • documentation de la conformité avec le RGPD.

La Politique est axée sur l’introduction de nouveaux droits et le renforcement des droits existants. 

La Politique comporte une section sur les adaptations dans les domaines de la recherche et de l’expression universitaire, en conformité avec le RGPD et la législation nationale.

Les rôles et responsabilités des acteurs clés sont clairement énoncés dans la Politique.

Le délégué à la protection des données (DPD), le responsable de la sécurité de l’information (RSI) et d’autres acteurs clés sont en première ligne quand il s’agit de protection des données, mais le respect du RGPD ne concerne pas uniquement les services informatiques ou juridiques : chacun a un rôle à y jouer.

Oui. L’Université étant une institution publique, elle est obligée de nommer un DPD.