Gestion et protection des données numériques institutionnelles
Stockage, sauvegarde, sécurité et protection des données : ce qu’il faut savoir
Cette page résume l’essentiel pour utiliser les outils numériques de manière responsable et conforme à la loi. Elle s’adresse à tout membre de la HES-SO Fribourg, qu’il soit enseignant, chercheur, administratif ou étudiant.
Le service informatique ne définit pas de manière générale quels types d’informations doivent être stockés dans quels outils ou services. Ces stratégies de gestion des données sont propres à chaque établissement et sont élaborées par le service qualité, les directions, les responsables de filière/service, ainsi que d’autres acteurs internes.
Si vous avez un doute sur les règles ou pratiques en vigueur concernant le stockage et la gestion des données dans votre domaine de travail, nous vous invitons à vous rapprocher de votre supérieur hiérarchique, de votre direction ou des responsables concernés afin d’obtenir les informations précises et adaptées à votre contexte.
Voici les principales plateformes et supports mis à disposition. Le choix dépend du type de données (confidentielles, sensibles, collaboratives, etc.), de votre rôle, du besoin de partage ou non et du niveau de sauvegarde.
Il ne faut pas confondre historique de versions, corbeille et sauvegarde.
| Service / Application | Emplacement des données | Type d’utilisation | Sauvegarde | Historique / Corbeille |
|---|---|---|---|---|
| SharePoint (GED) | Suisse (interne) | Documents officiels, projets, formation, informations non-documentaires | Sauvegarde horaire (8 jours), hebdo (4 sem.), mensuelle (1 an) | Historique de versions, corbeille (30 jours), restauration possible |
| Dossiers partagés (réseau) | Suisse (interne) | Fichiers internes, documents perso pro, projets internes, formation | Sauvegarde quotidienne (30 jours), mensuelle (1 an) | Historique de versions (30 jours) |
| OneDrive (HES-SO) | Suisse | Documents perso pro, partage temporaire (collaboration) | Sauvegarde quotidienne (1 an) collaborateurs-trices uniquement ; aucune sauvegarde pour étudiant-e-s | Historique (25 versions), corbeille (90 jours) |
| SWITCHdrive | Suisse | Documents perso pro, partages externes temporaires, projets collaboratifs | ❌ Pas de sauvegarde | Historique de versions (30 jours), corbeille (90 jours) |
| Outlook / Exchange | Suisse | Communication, calendriers, contacts, tâches | Sauvegarde quotidienne (1 an) collaborateurs-trices uniquement ; aucune sauvegarde pour étudiant-e-s | Corbeille (30 jours) |
| Teams – groupe / canal | Suisse (via SharePoint / OneDrive) | Formation, projets, collaboration interne ou externe | ❌ Pas de sauvegarde par défaut ; possible sur demande selon critères | Corbeille (30 jours), récupération possible jusqu’à 90 jours |
| Teams – direct / privé | Suisse (OneDrive) | Partage temporaire ou direct entre deux personnes | Identique à OneDrive | Identique à OneDrive |
| IS-Academia / Oracle / Sage-X | Suisse | Données administratives, RH, financières | Sauvegarde horaire (8 jours), hebdo (4 sem.), mensuelle (1 an) | N/A |
| Moodle / Cyberlearn (AGL) | Suisse | Cours, supports d’enseignement, activités d’apprentissage | Sauvegarde base : 7 jours ; fichiers : 10 jours | N/A |
La nouvelle loi fédérale (LPrD) impose que toute activité manipulant des données personnelles :
- respecte la transparence,
- limite la collecte au strict nécessaire,
- sécurise les accès,
- conserve les données de manière appropriée.
Données personnelles = nom, e-mail, date de naissance, adresse, etc.
Données sensibles = données médicales, croyances, sanctions disciplinaires, etc.
Nos établissements tiennent un inventaire (ou registres) décrivant les types de données personnelles récoltées par thème, indépendamment des logiciels utilisés.
Par exemple :
Le registre des étudiant·e·s inclut : nom, prénom, adresse, date de naissance, etc.
- Peu importe que ces infos soient saisies dans IS-Academia ou dans un fichier Excel : elles doivent figurer dans le registre.
Que dois-je faire ?
- Si vous utilisez des outils standards (IS-A, Moodle, SharePoint…), aucune action requise.
- Si vous mettez en place un nouveau projet récoltant un nouveau type de données personnelles (ex. : enquête, base ad hoc), vous devez le signaler.
Annoncez-le à : compliance@hefr.ch
L’équipe compliance vous dira si une analyse d’impact (AIPD) est requise.
Référence : art. 4 al. 1 let. h LPrD
Pour mon info, c’est quoi un registre des activités de traitement ?
C’est un document obligatoire (surtout pour les autorités publiques) qui recense tous les traitements de données personnelles effectués par un service ou une organisation.
Que contient-il ?
Pour chaque traitement, on note :
- Qui est responsable,
- Pourquoi on traite les données (la finalité),
- Quelles données sont concernées,
- Qui reçoit ces données,
- Et s’il y a des sous-traitants.
Exceptions
Pas besoin de déclaration pour certains traitements internes simples (ex. : gestion de la correspondance, listes de clients, comptabilité).
Si vous identifiez une faille de sécurité ou découvrez une vulnérabilité technique dans un outil ou un service informatique, vous devez :
- Ne pas la diffuser publiquement
- La signaler rapidement via la procédure officielle de divulgation coordonnée (CVD)
- Support informatique (accès, outil, bug…) : servicedesk@hefr.ch
- Protection des données, registre, compliance : compliance@hefr.ch
- Sécurité informatique, vulnérabilités, cyberattaques : cybersecurite@hefr.ch
Actions
Documentations
Feedback
Votre avis compte ! Aidez-nous à améliorer le site en partageant vos remarques sur le contenu, le design ou les traductions.
Bienvenue
Connectez-vous avec votre compte HES-SO (8.8@hes-so.ch) pour accéder aux ressources internes de la HES-SO Fribourg