Catalogue de services
Directives d'utilisation des équipements informatiques
Dernière mise à jour le 01 juillet 2025

Gestion et protection des données numériques institutionnelles

Stockage, sauvegarde, sécurité et protection des données : ce qu’il faut savoir

Cette page résume l’essentiel pour utiliser les outils numériques de manière responsable et conforme à la loi. Elle s’adresse à tout membre de la HES⁠-⁠SO Fribourg, qu’il soit enseignant, chercheur, administratif ou étudiant.

Le service informatique ne définit pas de manière générale quels types d’informations doivent être stockés dans quels outils ou services. Ces stratégies de gestion des données sont propres à chaque établissement et sont élaborées par le service qualité, les directions, les responsables de filière/service, ainsi que d’autres acteurs internes.

Si vous avez un doute sur les règles ou pratiques en vigueur concernant le stockage et la gestion des données dans votre domaine de travail, nous vous invitons à vous rapprocher de votre supérieur hiérarchique, de votre direction ou des responsables concernés afin d’obtenir les informations précises et adaptées à votre contexte.

Voici les principales plateformes et supports mis à disposition. Le choix dépend du type de données (confidentielles, sensibles, collaboratives, etc.), de votre rôle, du besoin de partage ou non et du niveau de sauvegarde.

Service / Application Emplacement des données Type d’utilisation Sauvegarde Historique / Corbeille
SharePoint (GED) Suisse (interne) Documents officiels, projets, formation, informations non-documentaires Sauvegarde horaire (8 jours), hebdo (4 sem.), mensuelle (1 an) Historique de versions, corbeille (30 jours), restauration possible
Dossiers partagés (réseau) Suisse (interne) Fichiers internes, documents perso pro, projets internes, formation Sauvegarde quotidienne (30 jours), mensuelle (1 an) Historique de versions (30 jours)
OneDrive (HES-SO) Suisse Documents perso pro, partage temporaire (collaboration) Sauvegarde quotidienne (1 an) collaborateurs-trices uniquement ; aucune sauvegarde pour étudiant-e-s Historique (25 versions), corbeille (90 jours)
SWITCHdrive Suisse Documents perso pro, partages externes temporaires, projets collaboratifs ❌ Pas de sauvegarde Historique de versions (30 jours), corbeille (90 jours)
Outlook / Exchange Suisse Communication, calendriers, contacts, tâches Sauvegarde quotidienne (1 an) collaborateurs-trices uniquement ; aucune sauvegarde pour étudiant-e-s Corbeille (30 jours)
Teams – groupe / canal Suisse (via SharePoint / OneDrive) Formation, projets, collaboration interne ou externe ❌ Pas de sauvegarde par défaut ; possible sur demande selon critères Corbeille (30 jours), récupération possible jusqu’à 90 jours
Teams – direct / privé Suisse (OneDrive) Partage temporaire ou direct entre deux personnes Identique à OneDrive Identique à OneDrive
IS-Academia / Oracle / Sage-X Suisse Données administratives, RH, financières Sauvegarde horaire (8 jours), hebdo (4 sem.), mensuelle (1 an) N/A
Moodle / Cyberlearn (AGL) Suisse Cours, supports d’enseignement, activités d’apprentissage Sauvegarde base : 7 jours ; fichiers : 10 jours N/A

La HES-SO//Fribourg, en tant qu'institution publique, est soumise à des règles strictes pour la protection des données. Cela est encadré par la Loi cantonale sur la protection des données (LPrD) ainsi que par la nouvelle Loi fédérale sur la protection des données (nLPD).

Ces lois définissent la manière dont toutes les informations, et en particulier les données personnelles, doivent être collectées, utilisées, stockées et protégées.

Qu'est-ce qu'une donnée personnelle ?
C'est toute information qui permet d'identifier une personne physique, directement ou indirectement.

  • Exemples : Votre nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, adresse postale, numéro AVS, photos, etc.

Qu'est-ce qu'une donnée personnelle sensible ?
Ce sont des données personnelles qui, de par leur nature, nécessitent une protection accrue car leur divulgation pourrait entraîner un préjudice important ou une discrimination.

  • Exemples : Vos données médicales, vos croyances religieuses ou philosophiques, votre origine ethnique, vos opinions politiques, les informations sur d'éventuelles sanctions pénales ou disciplinaires.

Les principes clés que vous devez respecter :
La loi, et par extension nos politiques internes à la HES-SO//Fribourg, imposent que toute activité manipulant des données personnelles respecte les principes suivants. Votre action quotidienne est essentielle pour cela :

  • Transparence : Nous (et donc vous) devons être clairs sur pourquoi et comment les données sont utilisées.
  • Minimisation de la collecte : Ne collectez et n'utilisez que les données absolument nécessaires à la tâche ou au projet.
  • Sécurité des accès : Assurez-vous que seuls les accès autorisés sont possibles, notamment en protégeant vos équipements et en ne partageant jamais vos identifiants.
  • Conservation appropriée : Ne gardez les données que le temps strictement nécessaire à leur objectif ou conformément aux exigences légales, puis supprimez-les de manière sécurisée.

Explications simplifiées sur la LPrD

Nos établissements tiennent un inventaire (ou registres) décrivant les types de données personnelles récoltées par thème, indépendamment des logiciels utilisés.

Par exemple :

Le registre des étudiant·e·s inclut : nom, prénom, adresse, date de naissance, etc.

  • Peu importe que ces infos soient saisies dans IS-Academia ou dans un fichier Excel : elles doivent figurer dans le registre. 
Que dois-je faire ?
  • Si vous utilisez des outils standards (IS-A, Moodle, SharePoint…), aucune action requise.
  • Si vous mettez en place un nouveau projet récoltant un nouveau type de données personnelles (ex. : enquête, base ad hoc), vous devez le signaler.

Annoncez-le à : compliance@hefr.ch 
L’équipe compliance vous dira si une analyse d’impact (AIPD) est requise.

Référence : art. 4 al. 1 let. h LPrD

Pour mon info, c’est quoi un registre des activités de traitement ?

C’est un document obligatoire (surtout pour les autorités publiques) qui recense tous les traitements de données personnelles effectués par un service ou une organisation.

Que contient-il ?

Pour chaque traitement, on note :

  • Qui est responsable,
  • Pourquoi on traite les données (la finalité),
  • Quelles données sont concernées,
  • Qui reçoit ces données,
  • Et s’il y a des sous-traitants.

Exceptions
Pas besoin de déclaration pour certains traitements internes simples (ex. : gestion de la correspondance, listes de clients, comptabilité).

Si vous suspectez ou constatez une faille de sécurité ou une mauvaise manipulation de données, en particulier des données personnelles, vous avez la responsabilité de le signaler immédiatement (voir chapitre "Qui contacter selon votre besoin?"). 

La loi nous impose de notifier certaines violations de données aux autorités.

  1. Support informatique (accès, outil, bug, vulnérabilités, cyberattaques…) : servicedesk@hefr.ch
  2. Protection des données, registre, compliance : compliance@hefr.ch
  3. Sécurité informatique, vol de données, cyberattaques : Incident de cybersécurité

Actions

Emplacement des données
Sauvegarde des données
Annonce d'une faille ou divulgation coordonnée d'une vulnérabilité (CVD)
Sensibilisation à la sécurité et annonce d'email suspect
Guide de bonnes pratiques pour un développement sécurisé

Documentations

Explications protection des données
Incident de cybersécurité
Choisir le meilleur emplacement de stockage pour vos données
Guide de sauvegarde (Windows)
Guide de sauvegarde (MacOS)
Elimination sécurisée disque dur
Stratégie et bonnes pratiques pour votre mot de passe
Guide des bonnes pratiques pour une utilisation responsable des IA
Merci pour votre commentaire
Feedback

Votre avis compte ! Aidez-nous à améliorer le site en partageant vos remarques sur le contenu, le design ou les traductions.

Bienvenue