FORMALITÉS JURIDIQUES À ACCOMPLIR EN CAS DE DÉPLOIEMENT DES SERVICES LIVE@EDU OU GOOGLE APPS DANS LE CADRE DE LA MUTUALISATION DU BEUREAU VIRTUEL DE L UNIVERSITÉ DE LYON SOMMAIRE I - Synthèse... 1 II - Le projet s'inscrit-il dans le cadre la loi Informatique et Libertés?...2 III - Quelles sont les formalités qui doivent être accomplies?... 2 III.1 - CARACTÉRISATION DU PROJET... 2 III.2 - IMPACTS DE L'EXTERNALISATION DU PROJET SUR LA QUALIFICATION DU PROJET ET DONC DES FORMALITÉS... 5 IV - 3-Conclusions générales... 5 I - SYNTHÈSE D'après les éléments étudiés, il apparait que l'externalisation du projet de mutualisation du bureau virtuel de l'université de lyon : Relève du cadre de l'arrêté du 30 novembre 2006 (RU-003) sur les ENT et ne nécessite donc qu'un engagement de conformité à l'arrêté. Que l'externalisation du service dans un pays de l'union ou par une entreprise adhérente du Safe Harbor ne fait pas l'objet de formalité spécifiques si Les clauses nécessaires relatives à la protections des données sont intégralement et contractuellement spécifiées et respectées et Les documents nécessaires fournis. Université de Lyon Page 1/5
II - LE PROJET S'INSCRIT-IL DANS LE CADRE LA LOI INFORMATIQUE ET LIBERTÉS? Domaine d'application : Tout traitement de données à caractère personnel (DAC). Définition d'une DAC Donnée permettant d'identifier une personne de manière directe ou indirecte. La réponse est oui. III - QUELLES SONT LES FORMALITÉS QUI DOIVENT ÊTRE ACCOMPLIES? Il existe 4 types de formalités : La déclaration normale, régime de droit commun lorsque le fichier ne relève pas d'une procédure particulière (Art. 22 Loi Info & Lib) La déclaration simplifiée La demande d'avis La demande d'autorisation Pour déterminer la formalité applicable, il faut déterminer si le projet relève d'un cas particulier (simplifié, avis, autorisation) ou du régime de droit commun. Pour ce faire, il convient de caractériser d'abord la nature du projet pour ensuite mesurer l'impact de l'externalisation des données sur la procédure. III.1 - CARACTÉRISATION DU PROJET DAC du projet : Adresse mail Nom Prénom Login En plus pour Live@edu : ID Live Date de naissance Mot de passe Le projet ne relève pas de la demande d'autorisation CNIL (Art. 25 Loi Info & Lib) En effet les traitements ne comportent aucune donnée considérée comme sensible par la loi : mentions d'origines sociales, religieuses, ethniques données relatives aux infractions ou condamnations interconnexion de fichiers à finalités différentes Université de Lyon Page 2/5
traitant de difficultés sociales des personnes données biométriques Le projet est un télé-service de l'administration électronique relevant à priori d'une demande d'avis CNIL En effet il correspond aux critères définis par la loi Info & Lib : Site Internet => OUI Existence d'un identifiant unique => OUI Service proposé par une administration au sens large => OUI A destination des usagers du service public => OUI Cependant il rentre strictement dans le cadre de l'arrêté du 30 novembre 2006 (RU- 003) sur les ENT. Le projet s'inscrit dans le cadre de l'arrêté du 30 novembre 2006 (RU-003) sur les ENT nécessitant un engagement de conformité audit arrêté Cet arrêté fixe le cadre des services relevant d'un ENT : Le service de mail rentre dans le cadre de l'ent (SDET v2.0 et définition de l'ent). Article 1 : Définition générale Intégration des services dans un WebPortail => OUI Accès unique et sécurisé => OUI Bouquet de services numériques => OUI Aln. 1 et 2 : Objet des services : Mise à disposition aux membres de la communauté de contenus éducatifs et pédagogiques => OUI Informations administratives => OUI Documentation en ligne => OUI Pour tous les membres de la communauté (et ceux-là seulement pour notre projet) => OUI Inscription en ligne dans le cadre d'activités de l'établissement => OUI Inscription à des listes de diffusion => OUI Participation à des espaces communautaires ou collaboratifs (Forums, blogs ) => OUI Article 2 : Définition des DAC DAC du projet : Adresse mail => OK (2.a Aln. 1) Nom => OK (2.a Aln. 1) Prénom => OK (2.a Aln. 1) Université de Lyon Page 3/5
Login => OK : Issu du SI de l'établissement En plus pour Live@edu : ID Live =>!! Devrait être issu du SI de l'établissement Date de naissance => OK (2.a Aln. 1) Mot de passe =>!! Devrait être issu du SI de l'établissement Concernant les avertissements pour Live@edu : voir Article 3 Article 3 : Provenance des DAC Les DAC doivent provenir des SI suivants (en conformité avec le SDET) : Des ministères de tutelle => Non concerné Des collectivités terrotoriales => Non concerné Fournies par les usagers de l'ent => OUI Par le responsable de l'établissement à partir du SI de l'établissement => OUI Article 4 : Les destinataires doivent être des usagers de l'ent => OUI Chaque catégorie n'accède qu'aux informations le concernant : Les étudiants concernant leurs informations personnelles et la vie étudiante => OUI Les enseignants concernant la formation des étudiants et leurs travaux de recherche => OUI (si envisagé) Les personnels concernant leurs fonctions => OUI (si envisagé) Les représentant des collectivités => Non concerné Articles suivants Ces articles concernent des éléments de procédure que l'établissement devra respecter dans ce cadre ainsi que certaines modalités d'application et de mise en œuvre. Article 7 : Dans ce cadre, l'établissement est soumis à un engagement de conformité à cet arrêté. Conclusion concernant notre projet : Rien ne semble s'opposer à ce que la mutualisation du BV en tant que brique de l'ent ne relève de cet arrêté et bénéficie donc d'un simple engagement de conformité. Université de Lyon Page 4/5
III.2 - IMPACTS DE L'EXTERNALISATION DU PROJET SUR LA QUALIFICATION DU PROJET ET DONC DES FORMALITÉS Ces impacts sont déterminés à partir du Guide de la CNIL sur le transfert de données. Ils sont restreints au périmètre du projet. Concernant les transferts dans le cadre de l'union : "Les 27 pays de l Union européenne ont adopté des législations de protection des données personnelles transposant dans leur droit national la directive 95/46/CE du 24 octobre 1995. Ces législations doivent dès lors être considérées comme équivalentes à la loi française. Les transferts vers ces pays sont libres et ne doivent pas faire l objet de formalités spécifiques auprès de la CNIL." Concernant les transferts internationaux dans le cadre du Safe Harbor : "La Commission européenne a adopté le 26 juillet 2000 une décision d adéquation qui reconnaît que ces principes de la «Sphère de sécurité» assurent une protection adéquate pour les besoins des transferts de données à caractère personnel depuis l'union européenne. Les transferts émis à partir de l Union européenne vers une entreprise ayant adhéré au Safe Harbor ne doivent dès lors faire l objet d aucune formalité spécifique (conclusion de contrat, de règles internes, etc.)." "Les responsables de traitement établis en France dont les formalités préalables auprès de la CNIL mentionnent l existence d un transfert de données vers une société adhérente au «Safe Harbor» devront fournir à la Commission les extraits pertinents de la «Safe Harbor List», disponible sur ce site. Cette liste permet d avoir accès aux détails de l auto-certification de la société adhérente." IV - 3-CONCLUSIONS GÉNÉRALES D'après les éléments étudiés, il apparait donc que le projet : Relève du cadre de l'arrêté du 30 novembre 2006 (RU-003) sur les ENT et ne nécessite donc qu'un engagement de conformité à l'arrêté. Que l'externalisation du service dans un pays de l'union ou par une entreprise adhérente du Safe Harbor ne fait pas l'objet de formalité spécifiques si Les clauses nécessaires relatives à la protections des données sont intégralement et contractuellement spécifiées et respectées et Les documents nécessaires fournis. Gaëtan DARDY (UdL) Université de Lyon Page 5/5