CELCAT Timetabler et la conformité au RGPD

Share

17/04/2018 03:24

Nous savons tous que le Règlement Général sur la Protection des Données (RGPD) deviendra applicable à compter du 25 mai 2018. Le secteur de l’enseignement supérieur sera bien sûr concerné.

Le RGPD

Le fait que le RGPD ait été adopté il y a deux ans et ne sera applicable que cette année suggère qu’il y a de nombreuses dispositions que les organisations doivent prendre au préalable. Elles doivent entre autres permettre aux individus dont les données personnelles sont détenues par une organisation de demander:

  • d’avoir accès à ces données;
  • que ces données soient corrigées;
  • que ces données soient supprimées;
  • que le traitement de ces données soit restreint.

Le règlement mentionne également l’utilisation de pseudonymes, grâce auxquels il ne sera plus possible de faire le lien entre l’utilisateur et ses données, donc de l’identifier sans information supplémentaire. Le droit à l’effacement des données a été egalement été introduit; il s’agit d’une version allégée du droit à l’oubli.

Ces nouvelles obligations ont des implications sur les établissements qui utilisent le logiciel CELCAT Timetabler.

CELCAT n’est en général pas la source principale des données personnelles détenues par un établissement – il s’agit souvent du SI de gestion des étudiants ou du SI de gestion du personnel*. Toutefois, la base de données CELCAT pourrait contenir des informations personnelles sur le personnel et les étudiants – ces données doivent donc être accessibles et corrigeables.

CELCAT Timetabler est conforme au RGPD!

Une nouvelle fonctionnalité a été introduite dans le Portail en libre-service (SSP) de CELCAT. Elle permet aux étudiants et au personnel d’avoir accès, à partir de leurs portables, aux données personnelles stockées dans la base de données de CELCAT Timetabler. Cette fonctionnalité est configurée par un administrateur (pouvant être le délégué à la protection des données) de sorte que les données appropriées puissent être affichées et que soient définis les champs pouvant être consultés, modifiés voire supprimés.

Un temps de réflexion sur les modalités de mise en œuvre de cette fonctionnalité sera nécessaire. Par exemple, l’adresse email des étudiants pourrait être stockée pour pouvoir remplir certaines obligations, telles qu’informer les étudiants de changements dans leur emploi du temps ou leur faire parvenir un emploi du temps personnalisé.

Les établissements devront également considérer s’il est opérationnellement nécessaire de conserver certaines informations sur le personnel et les étudiants. Par exemple, est-il nécessaire de détenir les informations sur le sexe des étudiants? Dans CELCAT, seuls les champs Nom et Code sont désormais obligatoires dans les enregistrements du personnel et des étudiants.

Quand CELCAT Timetabler est synchronisé avec une base de données maître à l’aide d’outils d’intégration CELCAT, les administrateurs et les délégués à la protection des données pourraient décider d’importer uniquement les données essentielles à la production des emplois du temps et d’utiliser les solutions CELCAT pour remplir les obligations de l’établissement.

Le RGPD et les anciennes bases de données

Nous avons vu comment le RGPD peut être appliqué dans un environnement de production – qu’en est-il des anciennes bases de données qui ne sont plus accessibles aux personnes dont elle contient les données? Même s’il peut y avoir de bonnes raisons, voire des raisons légales,  pour lesquelles un établissement doit stocker d’anciennes bases de données, une procédure doit être établie afin d’obfusquer les données aussitôt que possible. L’Assistant Ressources de CELCAT Timetabler permet aux gestionnaires de modifier des enregistrements en bloc, ce qui est particulièrement utile pour les données considérées comme sensibles. Il suffit d’identifier la clé primaire pour le personnel et les étudiants (il s’agit soit du champ Nom, soit du champ Code) puis de configurer l’Assistant Ressources de sorte que tous les autres champs deviennent vides. Les données sensibles seront ainsi supprimées tout en conservant l’essentiel, peut-être uniquement le code.

Il est également possible de créer et d’exécuter des scripts SQL pour pseudonymiser les données.

* Quand des outils d’intégration sont utilisés, il est important de vérifier que tout changement apporté dans CELCAT Timetabler soit également apporté dans la base de données maitre, autrement les modifications et suppressions pourraient être écrasées.

Adrian Gough - GDPR & CELCAT.png