Les annuaires contiennent des données à caractère personnel. C'est pourquoi ils doivent se mettre en conformité avec les grands principes du RGPD et de la loi “Informatique et Libertés” :

• finalité : tout traitement doit correspondre à une finalité déterminée, précise et légitime par rapport aux besoins de l'établissement;
• minimisation : seules les données pertinentes au regard de la finalité doivent être collectées et traitées;
• durée limitée de conservation des données : les informations ne peuvent pas être conservées de façon indéfinie; la durée établie doit être adéquate au regard de la finalité;
• sécurité et confidentialité : les données doivent bénéficier de mesures permettant d'assurer leur sécurité, afin d'éviter qu'elles ne soient déformées, endommagées, ou que des personnes non autorisées puissent y avoir accès;
• respect des droits des personnes : tout individu dont les données personnelles font l'objet d'un traitement dispose de droits tels qu'un droit à l'information, un droit d'accès et de rectification des informations le concernant, ainsi que dans de nombreux cas un droit d'opposition

Dans le cadre d'annuaires des personnels et des usagers, voici comment peuvent se décliner ces grands principes.

Dans tous les cas, il est nécessaire d'apporter une information claire aux personnes. L'information doit être faite lorsque l'on recueille les données, via un formulaire papier ou la saisie de ses informations par l'individu concerné.

En pratique, le recueil initial des données d'un agent ou d'un étudiant alimentera de nombreux traitements, pour lesquels il serait fastidieux de détailler toutes les informations les concernant. On privilégiera plutôt l'existence d'une page sur l'intranet donnant ces informations (usage des données recueillies, personnes destinataires, moyens de s'opposer à une parution dans l'annuaire, …). Ces informations pourront être régulièrement rappelées à l'occasion de communications internes.

L'établissement peut considérer que la présence de tous les personnels dans l'annuaire publié sur l'intranet fait partie de ses intérêts légitimes et est obligatoire. Dans ce cas, il n'est pas nécessaire de recueillir leur accord préalable.

Par contre, les personnels sont en droit de s'opposer à figurer dans l'annuaire publié sur internet.

De même, la constitution d'un annuaire des étudiants à destination des enseignants ou des services peut faire partie des intérêts légitimes de l'établissement.

Si l'établissement souhaite constituer un annuaire public des étudiants, il est nécessaire de recueillir leur autorisation expresse. De plus, il faudra gérer leur droit d'opposition ultérieure.

Ce cas est traité dans la fiche n°5 du Guide Informatique et Libertés pour l'enseignement supérieur et la recherche (voir: https://groupes.renater.fr/wiki/supcil/references/index).

Cas particulier de la photo : pour respecter le droit à l'image, la publication de la photo doit faire l'objet d'un consentement explicite de la personne concernée : mise en ligne par ses soins, cocher une case, prendre la pose devant un photographe, … En cas de risque de mise en ligne de photos non appropriées, une modération par un membre de l'établissement peut être tolérée mais elle devra être extrêmement encadrée.

Il est à noter que la fourniture d'une photo peut être rendue obligatoire pour la constitution d'un badge d'accès ou d'une carte professionnelle, mais sera alors réservée à cet effet.

Les personnes doivent être supprimées de l'annuaire à partir du moment où elles n'ont plus de lien avec l’établissement.

Attention à avoir une gestion rigoureuse des personnels hébergés, chercheurs invités, professeurs émérites, etc.

Il est recommandé d'utiliser des techniques permettant de rendre très difficile la collecte automatique d’adresses mail des annuaires exposés sur internet. Les protections utilisées doivent dissuader les spammeurs .De même une balise empêchant l'indexation par les robots des moteurs de recherche est à mettre en place.

La mise en œuvre d'annuaires de personnels, d'étudiants ou d'usagers est considéré comme un traitement au sens du RGPD ou de la loi Informatique et Libertés. Il devra notamment être documenté dans le Registre des Traitements de l'établissement, qui remplace la déclaration CNIL depuis l'entrée en vigueur du RGPD.