Gestion et protection des données numériques institutionnelles
Stockage, sauvegarde, sécurité et protection des données : ce qu’il faut savoir
Cette page résume l’essentiel pour utiliser les outils numériques de manière responsable et conforme à la loi. Elle s’adresse à tout membre de la HES-SO Fribourg, qu’il soit enseignant, chercheur, administratif ou étudiant.
Le service informatique ne définit pas de manière générale quels types d’informations doivent être stockés dans quels outils ou services. Ces stratégies de gestion des données sont propres à chaque établissement et sont élaborées par le service qualité, les directions, les responsables de filière/service, ainsi que d’autres acteurs internes.
Si vous avez un doute sur les règles ou pratiques en vigueur concernant le stockage et la gestion des données dans votre domaine de travail, nous vous invitons à vous rapprocher de votre supérieur hiérarchique, de votre direction ou des responsables concernés afin d’obtenir les informations précises et adaptées à votre contexte.
Le choix dépend du type de données (confidentielles, sensibles, collaboratives, etc.), de votre rôle, du besoin de partage ou non et du niveau de sauvegarde.
Informations générales
- Etant donnée les nombreuses possibilités de stockage des documents et informations à disposition des utilisateurs, il est impossible d’offrir un guide couvrant toutes possibilités et plateforme à leurs dispositions.
- Ce guide prend en compte uniquement une sélection d’outils pour lesquels le service informatique reçoit le plus de questions.
- Tous les outils à disposition des utilisateurs ne sont pas fournis par le service informatique de la HES-SO FR.
- Les stratégies d’utilisation des stockages ne dépendent pas du service informatique mais de décision interne propre à chaque établissement. Le service informatique ne connaît pas toutes les décisions prises au sein de chaque établissement. En cas de doutes, il est important de clarifier en interne les règles en vigueur.
- Chaque personne est responsable de stocker ses données au bon emplacement en prenant en compte les questions de protections des données, stratégie de leur établissement, sécurité des données en fonction du type de données, stockage responsable (uniquement des données professionnelles et stockage avec durée adaptée au besoin, …)
- Les questions ayant attrait à des questions juridiques doivent être adressées aux juristes des établissements.
- Ce guide donne quelques pistes pour définir l’outil le plus adapté en fonction d’une sélection de critères non exhaustives.
- Le service informatique se tient à disposition pour tout complément d’information et analyser tous besoins spécifiques.
- Quel est le type de données à stocker ?
- Existe-t-il des directives internes à votre établissement et/ou filière pour le type de données à stocker ?
- Quelles sont les exigences en matière de protection des données ?
- Quelle est la stratégie de stockage du service envisagé ?
- Quels sont les besoins en termes de sécurité des données ?
- Quelle est la durée nécessaire du stockage ?
- Y a-t-il des exigences spécifiques pour le partage des données ?
- Avantages : Sauvegarde par défaut, Sécurité interne, stockage des données internes. Possibilités d’étendre le stockage si besoins avérés (excepté pour lecteur personnel), support interne HES-SO Fribourg, stratégie HES-SO Fribourg, accès garanti lors de mutation de personnel.
- Inconvénients : partages limités aux utilisateurs internes, possibilités de partages selon stratégie de gestions des droits générale, gestion des droits uniquement avec intervention du service informatique.
- Types d’utilisation : stockage de fichiers internes de services, stockage de fichiers de projets internes, documents personnels professionnels, documents de formation
Stockage et partage de document Cloud Onedrive
- Avantages : Sauvegarde par défaut pour les collaborateurs, sécurité mixte (HES-SO et Microsoft), accès aux données sans VPN, possibilité d’extension jusqu’à 1 To sur justification, partages possibles avec externes, possibilités de partages selon stratégie personnelle, gestion des droits sans intervention du service informatique
- Inconvénients : Pas de sauvegarde pour les étudiants, stockage des données dans cloud, support HES-SO, stratégie HES-SO, pertes des données lors du départ du propriétaire (s'il s’agit de données personnelles pouvant être partagées)
- Types d’utilisation : documents personnels professionnels, documents temporaires à partager avec population diverse
Stockage et partage de document Cloud Switchdrive
- Avantages : stockage des données dans cloud, possibilité d’extension jusqu’à 1 To sur justification, partages possibles avec externes, possibilités de partages selon stratégie personnelle, gestion des droits sans intervention du service informatique, possible de disposer de dossier de projet (IT peut changer le propriétaire de ces dossiers lors de départ du propriétaire)
- Inconvénients : Pas de sauvegarde, sécurité externe (Switch), stockage des données dans cloud, support Switch, stratégie Switch (excepté pour dossier de projet), pertes des données lors du départ du propriétaire (s'il s’agit de données personnelles pouvant être partagées)
- Types d’utilisation : documents personnels professionnels, documents temporaires à partager avec population diverse
Plateforme de partage d'informations GED (Sharepoint on premise)
- Avantages : Sauvegarde par défaut, sécurité interne, stockage des données internes, possibilité d’extension sur justification, partages possibles avec externes, possible de disposer d’espace de projet, support interne HES-SO Fribourg, stratégie HES-SO Fribourg, accès garanti lors de mutation de personnel, possibilités d’afficher / stocker des informations autres que des documents (option de portail collaboratif), fonctionnalités de classement avancées (tag de documents, …)
- Inconvénients : possibilités de partages selon stratégie de gestions des droits générales, gestion des droits avec intervention du service informatique.
- Types d’utilisation : stockage des documents officiels, stockage de données projets, documents de formation
Plateforme de partage d'informations Moodle Cyberlearn
- Avantages : partages possibles avec externes, structure par cours, équipe de support dédié Cyberlearn, possibilités d’afficher / stocker des informations autre que des documents (option de portail de e-learning), stockage des données dans environnement HES-SO, gestion des droits partiellement autonome
- Inconvénients : Sauvegarde limitée, possibilités de partage selon stratégie de gestions des droits générales, stratégie HES-SO (Cyberlearn), sécurité externe (Cyberlearn), support Cyberlearn, stratégie Cyberlearn, pertes des données lors du départ du propriétaire si aucune action prise par celui-ci
- Types d’utilisation : document de formation
Plateforme de partage d'informations Microsoft Teams
- Avantages : Sauvegarde sur demande, partages possibles avec externes, possibilités d’afficher / stocker des informations autres que des documents (option e-learning, option de projet, … ), stockage des données dans cloud, gestion des droits autonome, sécurité mixte (HES-SO et Microsoft), possibilité de stockage étendu, partages possibles avec externes, possibilités de partages selon stratégie personnelle, gestion des droits sans intervention du service informatique, fonctionnalités de classement avancées (tag de documents, …)
- Inconvénients : Chaque création d’équipe génère beaucoup de contenus (Site Sharepoint on cloud, adresse email, ajout de contacts dans des annuaires, …), aucune sauvegarde par défaut, stratégie HES-SO, sécurité externe (HES-SO), support HES-SO, pertes des données possibles lors du départ du propriétaire (s'il supprime l’équipe), stockage des données dans cloud
- Types d’utilisation : documents de formation, stockage de fichiers internes de services, documents personnels professionnels, documents temporaires à partager avec population diverse, stockage de données projets
Il ne faut pas confondre historique de versions, corbeille et sauvegarde.
| Service / Application | Emplacement des données | Type d’utilisation | Sauvegarde | Historique / Corbeille |
|---|---|---|---|---|
| SharePoint (GED) | Suisse (interne) | Documents officiels, projets, formation, informations non-documentaires | Sauvegarde horaire (8 jours), hebdo (4 sem.), mensuelle (1 an) | Historique de versions, corbeille (30 jours), restauration possible |
| Dossiers partagés (réseau) | Suisse (interne) | Fichiers internes, documents perso pro, projets internes, formation | Sauvegarde quotidienne (30 jours), mensuelle (1 an) | Historique de versions (30 jours) |
| OneDrive (HES-SO) | Suisse | Documents perso pro, partage temporaire (collaboration) | Sauvegarde quotidienne (1 an) collaborateurs-trices uniquement ; aucune sauvegarde pour étudiant-e-s | Historique (25 versions), corbeille (90 jours) |
| SWITCHdrive | Suisse | Documents perso pro, partages externes temporaires, projets collaboratifs | ❌ Pas de sauvegarde | Historique de versions (30 jours), corbeille (90 jours) |
| Outlook / Exchange | Suisse | Communication, calendriers, contacts, tâches | Sauvegarde quotidienne (1 an) collaborateurs-trices uniquement ; aucune sauvegarde pour étudiant-e-s | Corbeille (30 jours) |
| Teams – groupe / canal | Suisse (via SharePoint / OneDrive) | Formation, projets, collaboration interne ou externe | ❌ Pas de sauvegarde par défaut ; possible sur demande selon critères | Corbeille (30 jours), récupération possible jusqu’à 90 jours |
| Teams – direct / privé | Suisse (OneDrive) | Partage temporaire ou direct entre deux personnes | Identique à OneDrive | Identique à OneDrive |
| IS-Academia / Oracle / Sage-X | Suisse | Données administratives, RH, financières | Sauvegarde horaire (8 jours), hebdo (4 sem.), mensuelle (1 an) | N/A |
| Moodle / Cyberlearn (AGL) | Suisse | Cours, supports d’enseignement, activités d’apprentissage | Sauvegarde base : 7 jours ; fichiers : 10 jours | N/A |
Cet assistant rapide vous aide à choisir l’outil adapté pour stocker ou partager vos documents, vidéos, données de projet ou supports de formation.
SharePoint Online et Teams sont les plateformes standards institutionnelles.
SharePoint on-premise et les lecteurs réseau sont réservés aux besoins spécifiques ou sensibles.
1. Quel est votre besoin principal ?
| Besoin | Outil recommandé |
|---|---|
| Documents institutionnels / intranet | SharePoint Online |
| Travail d’équipe / projet | Teams / SharePoint Online |
| Documents personnels professionnels | OneDrive |
| Documents de formation / cours | Moodle Cyberlearn |
| Partage temporaire avec des externes | OneDrive ou SWITCHdrive |
| Projet sensible / confidentiel | SharePoint on-premise ou lecteurs réseau |
2. Vos données contiennent-elles des données personnelles ?
Exemples :
- nom / prénom
- photo ou vidéo identifiable
- voix
- données étudiant·e·s
- données RH
→ NON
Utilisation standard possible :
- SharePoint Online
- Teams
- OneDrive
- Moodle
- SWITCHdrive
→ OUI
Limiter les accès aux personnes concernées et continuer avec la question suivante.
3. Les données sont-elles sensibles ?
Exemples :
- données de santé
- religion
- opinions politiques
- sanctions disciplinaires
- données psychologiques
- données biométriques
- sphère intime
→ NON
Utilisation possible :
- SharePoint Online
- Teams
- OneDrive
⚠️ Vérifier les droits d’accès et éviter les partages inutiles.
→ OUI
Continuer avec la question suivante.
4. Le projet est-il particulièrement sensible ?
Exemples :
- recherche confidentielle
- partenaire industriel
- NDA / contrat de confidentialité
- brevet / innovation
- données médicales
- contraintes légales ou contractuelles
→ NON
Utiliser :
- SharePoint Online privé
- Teams privé
⚠️ Limiter les accès et éviter les liens publics.
→ OUI / JE NE SAIS PAS
Contactez compliance ou la juriste avant stockage ou partage.
Un stockage spécifique peut être requis :
- SharePoint on-premise
- lecteurs réseau internes
- stockage isolé
5. Avec qui partagez-vous ?
| Situation | Outil conseillé |
|---|---|
| Moi uniquement | OneDrive |
| Mon équipe HEFR | Teams / SharePoint |
| Formation / étudiants | Moodle |
| Partage externe temporaire | OneDrive / SWITCHdrive |
| Projet structuré long terme | SharePoint |
| Projet très sensible | SharePoint on-premise / lecteurs réseau |
6. Vérification rapide avant stockage
- ✅ Les accès sont-ils limités ?
- ✅ Le partage externe est-il nécessaire ?
- ✅ Les données sont-elles vraiment nécessaires ?
- ✅ Existe-t-il un NDA ou contrat ?
- ✅ Les données doivent-elles être conservées longtemps ?
- ✅ Une sauvegarde existe-t-elle ?
7. Résumé rapide des outils
| Outil | Usage principal | Attention |
|---|---|---|
| OneDrive | Documents personnels professionnels | Suppression possible lors du départ du propriétaire |
| Teams | Collaboration / projets | Pas de sauvegarde par défaut |
| SharePoint Online | Plateforme institutionnelle standard | Gestion correcte des accès importante |
| SharePoint on-premise | Cas sensibles | Validation souvent nécessaire |
| Lecteurs réseau | Stockage interne sécurisé | Peu flexible pour les partages |
| Moodle | Supports de formation | Pas destiné au stockage de projets sensibles |
| SWITCHdrive | Échange externe temporaire | Pas de sauvegarde |
8. Feux de signalisation
🟢 Standard
- documents de cours
- documents internes non sensibles
- collaboration habituelle
➡️ Teams / SharePoint / Moodle / OneDrive
🟠 Attention
- partage externe
- photos / vidéos
- enquêtes
- recherche
- données personnelles nombreuses
➡️ Vérifier les accès, la finalité et la conservation.
🔴 Validation obligatoire
- données de santé
- données RH sensibles
- secret industriel
- NDA strict
- brevet
- partenaire international sensible
- contraintes légales ou contractuelles fortes
➡️ Contacter compliance / juriste / SI avant stockage.
- https://www.microsoft.com/fr-fr/microsoft-teams/group-chat-software/
- https://cyberlearn.hes-so.ch/
- https://moodle.org/
- https://learn.microsoft.com/en-us/sharepoint/getting-started
- https://www.switch.ch/fr/drive
- https://www.microsoft.com/fr-ch/microsoft-365/onedrive/online-cloud-storage/
- https://fr.wikipedia.org/wiki/Serveur_de_fichiers
- https://www.kmu.admin.ch/kmu/fr/home/faits-et-tendances/digitalisation/protection-des-donnees/nouvelle-loi-sur-la-protection-des-donnees-nlpd.html
La HES-SO//Fribourg, en tant qu'institution publique, est soumise à des règles strictes pour la protection des données. Cela est encadré par la Loi cantonale sur la protection des données (LPrD) ainsi que par la nouvelle Loi fédérale sur la protection des données (nLPD).
Ces lois définissent la manière dont toutes les informations, et en particulier les données personnelles, doivent être collectées, utilisées, stockées et protégées.
Qu'est-ce qu'une donnée personnelle ?
C'est toute information qui permet d'identifier une personne physique, directement ou indirectement.
-
Exemples : Votre nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, adresse postale, numéro AVS, photos, etc.
Qu'est-ce qu'une donnée personnelle sensible ?
Ce sont des données personnelles qui, de par leur nature, nécessitent une protection accrue car leur divulgation pourrait entraîner un préjudice important ou une discrimination.
- Exemples : Vos données médicales, vos croyances religieuses ou philosophiques, votre origine ethnique, vos opinions politiques, les informations sur d'éventuelles sanctions pénales ou disciplinaires.
Les principes clés que vous devez respecter :
La loi, et par extension nos politiques internes à la HES-SO//Fribourg, imposent que toute activité manipulant des données personnelles respecte les principes suivants. Votre action quotidienne est essentielle pour cela :
- Transparence : Nous (et donc vous) devons être clairs sur pourquoi et comment les données sont utilisées.
- Minimisation de la collecte : Ne collectez et n'utilisez que les données absolument nécessaires à la tâche ou au projet.
- Sécurité des accès : Assurez-vous que seuls les accès autorisés sont possibles, notamment en protégeant vos équipements et en ne partageant jamais vos identifiants.
- Conservation appropriée : Ne gardez les données que le temps strictement nécessaire à leur objectif ou conformément aux exigences légales, puis supprimez-les de manière sécurisée.
Nos établissements tiennent un inventaire (ou registres) décrivant les types de données personnelles récoltées par thème, indépendamment des logiciels utilisés.
Vous pouvez consulter le registre des traitements des activités sur le site fr.ch.
Par exemple :
Le registre des étudiant·e·s inclut : nom, prénom, adresse, date de naissance, etc.
- Peu importe que ces infos soient saisies dans IS-Academia ou dans un fichier Excel : elles doivent figurer dans le registre.
Que dois-je faire ?
- Si vous utilisez des outils standards (IS-A, Moodle, SharePoint…), aucune action requise.
- Si vous mettez en place un nouveau projet récoltant un nouveau type de données personnelles (ex. : enquête, base ad hoc), vous devez le signaler.
Annoncez-le à : compliance@hefr.ch
L’équipe compliance vous dira si une analyse d’impact (AIPD) est requise.
Référence : art. 4 al. 1 let. h LPrD
Pour mon info, c’est quoi un registre des activités de traitement ?
C’est un document obligatoire (surtout pour les autorités publiques) qui recense tous les traitements de données personnelles effectués par un service ou une organisation.
Que contient-il ?
Pour chaque traitement, on note :
- Qui est responsable,
- Pourquoi on traite les données (la finalité),
- Quelles données sont concernées,
- Qui reçoit ces données,
- Et s’il y a des sous-traitants.
Exceptions
Pas besoin de déclaration pour certains traitements internes simples (ex. : gestion de la correspondance, listes de clients, comptabilité).
Si vous suspectez ou constatez une faille de sécurité ou une mauvaise manipulation de données, en particulier des données personnelles, vous avez la responsabilité de le signaler immédiatement (voir chapitre "Qui contacter selon votre besoin?").
La loi nous impose de notifier certaines violations de données aux autorités.
- Support informatique (accès, outil, bug, vulnérabilités, cyberattaques…) : servicedesk@hefr.ch
- Protection des données, registre, compliance : compliance@hefr.ch
- Sécurité informatique, vol de données, cyberattaques : Incident de cybersécurité
Actions
Documentations
Documentations Internes
Feedback
Votre avis compte ! Aidez-nous à améliorer le site en partageant vos remarques sur le contenu, le design ou les traductions.
Bienvenue
Connectez-vous avec votre compte HES-SO (8.8@hes-so.ch) pour accéder aux ressources internes de la HES-SO Fribourg