Les annuaires contiennent des données à caractère personnel. C'est pourquoi ils doivent se mettre en conformité avec les grands principes de la loi “Informatique et Libertés” qui sont au nombre de 5 :

• finalité : tout traitement doit correspondre à une finalité déterminée, précise et légitime ;
• proportionnalité : les données traitées doivent être pertinentes au regard de la finalité ;
• durée limitée de conservation des données : les informations ne peuvent pas être conservées de façon indéfinie ; la durée établie doit être adéquate au regard de la finalité ;
• sécurité et confidentialité : les données doivent bénéficier de mesures permettant d'assurer leur sécurité, afin d'éviter qu'elles ne soient déformées, endommagées, ou que des personnes non autorisées puissent y avoir accès ;
• respect des droits des personnes : tout individu dont les données personnelles font l'objet d'un traitement dispose d'un droit à l'information, d'un droit d'accès et de rectification des informations le concernant, ainsi que d'un droit d'opposition (à moins que le traitement ne présente un caractère obligatoire)

Dans le cadre d'annuaires des personnels et des usagers, voici comment peuvent se décliner ces grands principes.

Dans tous les cas, il est nécessaire d'apporter une information claire aux personnes, dès leur ajout dans l'annuaire.

L'établissement peut considérer que la présence de tous les personnels dans l'annuaire publié sur l'intranet est obligatoire.
Par contre, les personnels sont en droit de s'opposer à figurer dans l'annuaire publié sur internet. Néanmoins, il n'est pas nécessaire de recueillir leur accord préalable.

Si l'établissement souhaite constituer un annuaire public des étudiants, il est nécessaire de recueillir leur autorisation expresse. En effet, la CADA considère que la liste des étudiants est protégée par le secret de la vie privée.

De plus, il faudra gérer leur droit d'opposition ultérieure.

Ce cas est traité dans la fiche n°5 du Guide Informatique et Libertés pour l'enseignement supérieur et la recherche.

Cas particulier de la photo : pout respecter le droit à l'image, il est nécessaire de recueillir l’autorisation expresse de la personne (ou de laisser la mise en ligne à son initiative, c'est plus simple à gérer)

Les personnes doivent être supprimées de l'annuaire à partir du moment où elles n'ont plus de lien avec l’établissement.

Il est recommandé d'utiliser des techniques permettant de rendre très difficile la collecte automatique d’adresses mail. Les protections utilisées doivent dissuader les spammeurs.

La mise en oeuvre d'annuaires de personnels ou d'usagers est soumise au régime de déclaration :

• si l'établissement a désigné un correspondant Informatique et Libertés (CIL), ce dernier inscrira l'annuaire dans le registre des traitements à caractère personnel de l'établissement ;
• sinon, l'établissement devra réaliser une déclaration normale auprès de la CNIL.