A savoir

Cadre légal et réglementaire

Les éléments ci-après précisent le cadre qui s'applique à l'UNIGE en matière de protection des données personnelles.

 

En tant qu’établissement de droit public doté de la personnalité morale, l’UNIGE est soumise à la Loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD) et à son règlement d’application (RIPAD).

Le Rectorat a adopté une directive « Loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD) : application à l’Université » afin de mieux informer les membres de la communauté universitaire sur la LIPAD et d’en permettre une mise en œuvre harmonieuse au sein de l’Université.

Dans certains cas, outre le respect de la LIPAD et du RIPAD, l’UNIGE est également soumise au RGPD.

Le Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (Règlement général sur la protection des données, RGPD, ou General Data Protection Regulation, GDPR, en anglais) est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données personnelles.

Visant à renforcer la protection des individus en matière de données personnelles et à unifier les règles applicables au sein de l’Union européenne, il est entré en vigueur le 25 mai 2018.

Bien que la Suisse ne soit pas membre de l’Union européenne (UE), ce règlement a une application extraterritoriale qui a pour conséquence que l’UNIGE y est soumise dans des cas bien déterminés, lorsque l'une des conditions suivantes est remplie:

  • Le traitement de données personnelles est lié à une offre de biens ou de services (qu’elle soit gratuite ou non) à des personnes se trouvant sur le territoire de l’Union européenne. Il doit y avoir une volonté de cibler des personnes à l’intérieur de l’UE.
  • Le traitement de données personnelles est lié à un comportement de personnes se trouvant sur le territoire de l’Union européenne, dans la mesure où ce comportement a lieu au sein de l’UE.

Quelques exemples :

  • L’UNIGE est soumise au RGPD lorsqu’elle accueille des étudiants-es européens-nes dans le cadre d’un programme de mobilité avec des universités sises dans l’UE ;
  • L’UNIGE est soumise au RGPD lorsqu’elle collecte des données de visiteurs-euses de son site internet en lien avec leur comportement quant à leur utilisation dudit site ;
  • L’UNIGE n’est pas soumise au RGPD lorsqu’elle traite des données personnelles de ses collaborateurs-trices qui résident dans l’Union européenne et/ou ont la nationalité d’un des pays de l’UE ;
  • L’UNIGE n’est pas soumise au RGPD lorsqu’elle traite des données personnelles de ses étudiants-es qui résident dans l’Union européenne et/ou ont la nationalité d’un des pays de l’Union européenne, pour autant que l’Université de Genève n’ait pas fait une promotion particulière de son offre de formation et/ou de recherche dans l’Union européenne.

Pour en savoir plus: Fiche info du PPDT relative à l'application du RGPD et Guide pratique RGPD à l'attention des institutions publiques genevoises.

Le traitement de données personnelles à des fins de recherche peut être soumis à des régimes juridiques différents en fonction du domaine de recherche spécifique dans lequel s’inscrit le projet pris en considération:

a) Pour les recherches portant sur des maladies et sur la structure et le fonctionnement du corps humain ou basées sur des données de santé et/ou du matériel biologique, il convient de se référer à la Loi fédérale relative à la recherche sur l’être humain (LRH) et à ses diverses ordonnances d’exécution (Ordonnance relative à la recherche sur l’être humain – ORH, l’Ordonnance sur les essais cliniques – OClin, l'Ordonnance sur les essais cliniques de dispositifs médicaux – OClin-Dim, et l’Ordonnance d’organisation concernant la LRH – Org LRH) et plus particulièrement aux dispositions particulières en matière de protection des données personnelles contenues dans ces textes ; 

b) Pour toutes les autres recherches, il convient de se référer à la LIPAD, et en particulier à l’article 41 LIPAD.

En marge des dispositions suisses précitées, il conviendra également de se référer au RGPD pour toute recherche pour laquelle un traitement de données:
i) serait confié à un sous-traitant établi sur le territoire de l’Union Européenne (critère de l’établissement) ou
ii) constituerait un suivi du comportement de personnes, pour autant que le comportement ait lieu au sein de l’Union Européenne (critère de ciblage).

La politique en matière de protection des données personnelles, adoptée par le Rectorat, informe les personnes sur les données personnelles collectées et/ou traitées par l’UNIGE et sur les droits qu'elle peuvent faire valoir à l’égard de l’UNIGE en lien avec le traitement de leurs données.

Elle s'applique aux données personnelles collectées et/ou traitées par les structures de l’UNIGE ainsi que lors de visites sur le site web de l’institution et de l’utilisation de l’application mobile UNIGE Mobile.

En tant que membre du personnel de l’UNIGE, le non-respect de la législation en matière de protection des données peut entraîner ma responsabilité administrative au sens de la LIPAD (art. 64 LIPAD) ainsi que ma responsabilité disciplinaire (art. 64 al. 4 LIPAD). Par ailleurs, selon les cas, ma responsabilité pénale et/ou civile peut également être engagée.

Par ailleurs, le non-respect du RGPD par l’Université de Genève peut entraîner des sanctions administratives à son encontre qui peuvent être très importantes (art. 83 RGPD).