Click here for the english version
Bonnes pratiques pour le traitement des données à caractère personnel dans la Fédération Éducation-Recherche
1. Introduction
Cette page tente de répondre aux interrogations des organismes gérant un fournisseur d'identité ou des ressources fédérées, quant à leurs responsabilités au regard de la protection des données à caractère personnel (mise en œuvre des obligations issues de la loi “Informatique et Libertés”, relation avec la CNIL). De plus, elle précise en quoi les procédures de gestion mises en œuvre par l'opérateur de la Fédération Éducation-Recherche (RENATER) facilitent une prise en charge rigoureuse de ces enjeux.
Référence :
- Guide Informatique et Libertés pour l'enseignement supérieur et la recherche, CNIL 2011 : voir la fiche n°10 “Mise à disposition ou accès à des ressources numériques via des dispositifs de fédération d'identité”.
Le guide sus-mentionné [“guide I&L ESR” dans la suite du document] décrit le fonctionnement de la fédération d'identité, la problématique de protection des données personnelles qui en découle, ainsi que les formalités à effectuer par les établissements.
Il convient de bien distinguer les rôles des différents acteurs au regard de la loi “Informatique et Libertés” :
- le fournisseur d'identité met en œuvre un traitement de données personnelles, permettant à ses utilisateurs d'accéder à des services ; l’organisme opérant ce fournisseur d'identité est responsable de ce traitement au sens de la loi “Informatique et Libertés”, c'est-à-dire que c'est lui qui en définit les finalités et les moyens ;
- le fournisseur de service, quant à lui, assume également la responsabilité d'un traitement soumis aux obligations de la loi “Informatique et Libertés” dès lors qu'il manipule des données permettant d'identifier des individus, de manière directe ou indirecte ;
- enfin, l'opérateur de la Fédération Éducation-Recherche ne manipule aucune donnée à caractère personnel et n'a donc aucune obligation au regard de la loi “Informatique et Libertés. Il agit en tant que médiateur et va faciliter la tâche des fournisseurs d'identité en effectuant certaines vérifications préalables et en leur mettant à disposition des précisions sur les services offerts au sein de la fédération.
2. Les responsabilités du fournisseur de service
2.1 Limiter la collecte de données personnelles
Il est vivement recommandé de ne collecter des données à caractère personnel que si cela est strictement nécessaire pour la fourniture du service.
Par exemple, il n'est pas nécessaire de collecter des données personnelles pour confirmer l'appartenance d'un individu à un établissement de la fédération : l'utilisation d'un attribut opaque peut être suffisante.
Si aucune donnée personnelle n'est collectée, la mise en oeuvre du service n'est pas soumise aux obligations de la loi “Informatique et Libertés”.
2.2 Évaluer la proportionnalité et les caractéristiques du traitement
Il faut être particulièrement vigilant sur les points suivants :
- les données collectées doivent être pertinentes au regard de la finalité ;
- la durée de conservation des données doit être limitée et proportionnelle à la finalité.
2.3 Informer les utilisateurs
Les utilisateurs doivent être informés des caractéristiques du traitement dont ils font l'objet, tel que décrit dans la fiche thématique n°2 du guide I&L ESR.
Cette information doit intervenir préalablement à la fourniture du service. On peut par exemple faire figurer l'information sur une page web du service.
2.4 Réaliser les formalités adéquates
Ces formalités sont décrites dans la fiche n°10 du guide I&L ESR. Si le fournisseur de service a désigné un correspondant Informatique et Libertés, c'est ce dernier qui réalisera les formalités. Sinon, elles doivent être effectuées auprès de la CNIL.
3. Les responsabilités du fournisseur d'identité
3.1 Évaluer la pertinence du traitement
A partir des informations transmises par les opérateurs de la Fédération, le fournisseur d'identité doit évaluer la pertinence du service avant toute mise à disposition auprès de ses utilisateurs :
- est-il pertinent de donner l'accès à ce service, compte tenu des missions et objectifs de l'établissement ?
- les attributs demandés sont-ils pertinents ?
A l'issue de cette réflexion, le fournisseur d'identité pourra éventuellement faire le choix de ne pas transmettre certains attributs facultatifs.
Au regard de la loi “Informatique et Libertés”, le fournisseur d'identité assume l'entière responsabilité de la transmission de données personnelles aux fournisseurs de service.
3.2 Informer les utilisateurs
Les utilisateurs doivent être informés des caractéristiques du traitement dont ils font l'objet, tel que décrit dans la fiche thématique n°2 du guide I&L ESR.
Cette information peut intervenir à différents niveaux :
- informer l'utilisateur, via un module d'information, avant l'accès à la ressource ;
- lors de la signature de la charte d'utilisation des moyens informatiques faite en début d'année pour les étudiants ou lors de la prise de fonction pour les employés ;
- tout autre moyen respectant l'obligation d'information préalable au traitement des données concernant l'utilisateur.
3.3 Le cas du consentement préalable
Afin d'assurer une information complète des utilisateurs, le fournisseur d'identité peut choisir de recourir à un module de recueil du consentement, tel que UApprove. Toutefois, la loi “Informatique et Libertés” n'impose pas un tel recueil du consentement : une information suffit.
3.4 Réaliser les formalités adéquates
Ces formalités sont décrites dans la fiche n° 10 du guide I&L ESR. Si le fournisseur d'identité a désigné un Correspondant Informatique et Libertés (CIL), c'est ce dernier qui réalisera les formalités (inscription de ce type de traitements au registre de l'établissement). Sinon, elles doivent être effectuées auprès de la CNIL.
Pour la description des finalités et sous-finalités du traitement, le fournisseur d'identité pourra utilement s'appuyer sur les catégories de ressources décrites sur le guichet de la fédération (ressources documentaires, enseignement à distance…).
Exemple :
les caractéristiques du traitement à déclarer peuvent être les suivantes :
- finalités : fourniture d'un accès aux ressources de la fédération RENATER concernant l'enseignement à distance, les outils collaboratifs, la documentation électronique, la distribution de logiciels, les applications métier, l'accès wifi et les sites web institutionnels ;
- personnes concernées par le traitement : étudiants et personnels de l'établissement ;
- catégories de données traitées : identifiants de connexion propres à l'établissement, adresse email…
- durée de conservation des données : jusqu'au départ de la personne de l'établissement.
Dans le cas d'un service opéré hors Union Européenne, le fournisseur d'identité devra respecter les obligations décrites sur le site de la CNIL concernant les transferts de données à l'étranger.
3.5 Que faire si un gestionnaire de ressource demande la levée de l'anonymat d'un utilisateur de mon établissement ?
La levée de l'anonymat pour une ressource qui est enregistrée en tant que ressource ne nécessitant pas de données à caractère personnel, est prohibée.
Seule une requête judiciaire peut amener votre établissement à lever cet anonymat.
3.6 Récapitulatif
- Réaliser, conjointement avec le CIL, les formalités CNIL adéquates quant aux traitements liés au fournisseur d'identité ;
- A chaque nouvel enregistrement de ressource concernant l'établissement, évaluer la pertinence du traitement (avec l'aide du CIL ou du responsable des abonnements numériques de l'établissement par exemple) ;
- Mettre ne place les moyens d'information aux utilisateurs ;
4. Le rôle du gestionnaire de la Fédération
4.1 Les vérifications effectuées avant de valider l'enregistrement d'un nouveau fournisseur de service
L'enregistrement d'un nouveau fournisseur de service est soumis à approbation des administrateurs de la Fédération. Le processus de validation consiste notamment à vérifier les aspects suivants qui concernent la protection des données à caractère personnel :
- la finalité du traitement correspond-elle à une des catégories de ressources dans la fédération (ressource documentaire, accès réseau, enseignement à distance…) ?
- les données demandées (attributs utilisateurs) semblent-elles proportionnelles à la finalité ?
- les traitements sont-ils effectués dans un pays dont le niveau de protection des données personnelles est jugé adéquat par la Commission Européenne ?
4.2 Quel est le processus suivi lors de l'enregistrement d'un nouveau fournisseur de service dans la Fédération ?
Une fois le fournisseur de service enregistré dans la Fédération Éducation-Recherche, un enregistrement le concernant est automatiquement ajouté dans les méta-données de la Fédération.
Enfin, les administrateurs de chaque fournisseur d'identité sont notifiés de l'inscription du nouveau fournisseur de service. Cette annonce est accompagnée :
- d'une description de la ressource proposée ;
- de la catégorie de ressource (enseignement à distance, documentation électronique, etc.) ;
- de la liste des pays où les données sont traitées, dans le cas où le service est opéré hors de l'Union Européenne, ainsi que des garanties apportées (clauses contractuelles types, adhésion au Safe Harbor…) ;
- d'une description des attributs utilisateurs demandés par ce fournisseur de service ;
- du caractère optionnel/obligatoire de chaque attribut ;
- de l'utilisation faite de chaque attribut.
5. Le cas des transferts de données à l'international
Les transferts de données personnelles à l'international ne sont possibles qu'à la condition que le pays destinataire (à défaut l'entreprise destinataire) ait un niveau de protection des données considéré comme adéquat par la Commission Européenne. C'est le cas pour les pays de l'Union Européenne ainsi que quelques autres pays visibles sur la carte interactive du site de la CNIL.
Pour les autres pays, il faut :
- que le fournisseur de service apporte des garanties suffisantes, par exemple au travers de clauses reprenant les “clauses contractuelles types” adoptées par la Commission Européenne ; dans ce cas, le fournisseur d'identité doit effectuer une demande d'autorisation préalable auprès de la CNIL ;
- que le fournisseur de service soit une entreprise américaine adhérant au Safe Harbor ;
- que la ressource rentre dans le cadre de l'exception au transfert nécessaire à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée. Cela est reconnu par la CNIL comme fondement adéquat. La signature de la charte de participation à la Fédération Éducation-Recherche par l'organisme fournisseur de service situé dans un pays ne disposant pas d'un niveau de protection adéquat peut être suffisante.