Explications protection des données

Emplacement des données

De manière générale, il faut prioriser le choix de l'emplacement du stockage des données selon cette ordre :

  1. Plateforme collaborative - GED
  2. Dossiers partagés
  3. Clouds suisses (Microsoft OneDrive , SWITCHdrive)
  4. Autres clouds

On entend par données personnelles toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 de la Loi sur la protection des données (LPrD)).

Les données sensibles sont des données personnelles portant sur:
1) les opinions ou activités religieuses, philosophiques, politiques ou syndicales,
2) la santé, la sphère intime ou l'appartenance à une race,
3) des mesures d'aide sociale,
4) des sanctions pénales ou administratives et les procédures y relatives.

La sphère intime englobe les faits et gestes dont l'individu entend qu'ils échappent à la connaissance d'autrui, sauf les exceptions déterminées par lui. En font notamment partie la vie sexuelle et affective, l'état de santé, l'intégrité psychique, les secrets d'affaires et financiers ou encore les orientations spirituelles. Dans cette optique, les secrets d'affaire et financiers, relatifs aux projets, ne peuvent être communiqués, de même que les données relatives au personnel ou aux étudiants. Il faut considérer que des allégations ayant trait à la sphère intime sont presque toujours illicites.

Il est à considérer que la publication des données sur un cloud public est identifiée comme étant un transfert de données à l'étranger.
La LPrD, à son article 12a stipule que seules les données personnelles et à des conditions particulières pourraient être transférées à l'étranger, à l'exclusion des données sensibles, dont fait partie la sphère intime.
Selon la loi sur la protection des données fribourgeoise, les données personnelles ne peuvent être communiquées à l'étranger que dans les Etats qui garantissent un niveau de protection adéquat.

Si les données fuient et engagent des dommages à l'Etat ou au partenaire commercial, par exemple, la HES-SO Fribourg sera considérée comme responsable. (Art. 17 LPrD).
Par conséquent et concrètement, si des données confidentielles d'un projet de recherche conclu avec une grande société internationale sont posées sur un cloud ou dans une base de données étrangère et que l'essence de la recherche atterrit dans les mains des concurrents, la HES-SO Fribourg sera tenue pour responsable et devra indemniser la société pour sa perte de gain et pour la violation de la clause de confidentialité.

Les données d’un projet en sus d'être soumises à la LPrD, sont soumises à la loi sur le personnel de l'Etat, aux normes pénales (le secret de fonction, soustraction de données personnelles), aux normes civiles protégeant la vie privée, aux clauses contractuelles et au code des obligations, aux secrets d'affaires (en particulier les Brevets), aux droits de la propriété intellectuelle (droit d'auteur), aux normes particulières applicables au secteur d'activité (ex. ISO), aux codes de conduite et déontologiques. C'est pourquoi, il convient de s'attacher en particulier à encourager l'utilisation de techniques et d'instruments destinés à garantir l'intégrité et la sécurité des données de recherche.