Directives de traitement pour AGP - Intranet HES-SO
Transcription
Directives de traitement pour AGP - Intranet HES-SO
Directives de traitement pour AGP HES-SO Le Rectorat de la Haute école spécialisée de Suisse occidentale vu la Convention intercantonale sur la Haute école spécialisée de Suisse occidentale (HES-SO), du 26 mai 2011, vu la Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), des 8 et 9 mai 2012, arrête : I. Objectif des directives Dispositions générales Article premier Les présentes directives sont destinées à garantir le respect des principes suivants dans le cadre de l’application informatique pour la gestion de projets (AGP) au sein de la HES-SO : a) sécurité des données traitées ; b) transparence lors de la planification ; c) transparence lors de l’utilisation ; d) transparence lors de l’exploitation ; e) transparence de l’information. Nature et but du traitement des données 1AGP consiste à doter la HES-SO des instruments communs nécesArt. 2 saires à une gestion et au suivi administratif, scientifique et financier des projets, concernant principalement les piliers 2 (études postgrades), 5 (prestations de services) et 6 (recherche appliquée et développement). 2AGP pour but d’offrir aux chefs de projet et au personnel administratif qui les appuie, un outil pour : a) la gestion des données de bases des projets ; b) la gestion du suivi de l’avancement du projet (scientifique et financière). Page 1/5 Directives de traitement pour AGP HES-SO Etendue du traitement des données Art. 3 AGP se compose principalement des données suivantes : a) projets : données de base (titre acronyme, description du projet et de ses objectifs, date de début et de fin, rattachement du projet aux structures organisationnelles des HES) et financières (budget du projet, montant du devis, heures de travail réalisées par les collaborateurs et collaboratrices, charges et produits liés au projet) ; b) collaborateurs et collaboratrices : données personnelles, droits d’accès à AGP, taux réel des collaborateurs et collaboratrices, heures de travail ; c) partenaires de recherche et partenaires financiers impliqués dans la réalisation des projets (coordonnées, personnes de contact et implication financière dans le projet) ; d) données financières extraites d’AGF (écritures comptables) ; e) documents produits dans le cadre du projet (planning, contrats, rapports, etc.) ; f) Description des processus module de valorisation des projets. 1Chaque processus est documenté par une description des activités, Art. 4 les règles de gestion, les données gérées, le partage des accès aux données, les interfaces et reprises des données identifiées (analyse des processus de gestion). 2Certains processus nécessitent en outre un schéma présentant la répartition des activités entre les acteurs. 3Ces documents sont à disposition au Rectorat HES-SO à Delémont. Maître de fichier Art. 5 La HES-SO est responsable de l’application AGP et de la protection et de la sécurité des données. Description du matériel 1L'application fonctionne sur des serveurs centralisés installés au Art. 6 service informatique de l'Ecole d'ingénieurs et d'architectes de Fribourg (EIAFR). Celui-ci assure la maintenance et l'exploitation des systèmes. Les serveurs sont installés dans un environnement sécurisé tant au niveau de l'accès physique que de l'alimentation électrique des systèmes. 2L'installation de l'application est répartie sur les serveurs en ayant la base de données et l’applicatif sur l'une des machines et l'environnement Discoverer sur un autre serveur. Un système de sauvegarde se trouvant dans un autre bâtiment de l'EIA-FR assure la sauvegarde journalière des données ainsi que des journaux de transaction. 3L'utilisateur ou l’utilisatrice accède à l'application à l'aide d'un navigateur après s’être préalablement authentifié-e. Page 2/5 Directives de traitement pour AGP HES-SO Description des logiciels Art. 7 Les logiciels utilisés sont : a) AGP, application de gestion de projets, objet des présentes directives (voir l’art. 2) ORACLE, base de données sur laquelle sont stockées toutes les données et l’application ci-dessus ; b) DISCOVERER (Oracle), outil d’infocentre permettant d’extraire de la base de données Oracle les informations nécessaires à la création de tous documents, listes, statistiques et rapports utilisés dans les différentes écoles. Déclaration de fichier Art. 8 Le fichier est déclaré auprès du préposé à la protection des données et à la transparence Jura Neuchâtel. Provenance des données 1Les données sont fournies par les personnes concernées et généArt. 9 rées par leur vécu dans le réseau. 2Elles sont saisies principalement par le ou la chef-fe de projet et par le personnel administratif qui offre son appui pour la gestion des projets. Les autres utilisateurs et utilisatrices sont impliqué-e-s uniquement dans le module de saisie des heures (en fonction du choix d’implémentation effectué par l’école ou le site). Organisation fonctionnelle Art. 10 1AGP 2L’organisation est une application commune aux sites et écoles de la HES-SO. est définie par le diagramme de fonction du plan d’assurance qualité. 3Un organe sera désigné à terme par la HES-SO pour la surveillance ou la coordination de l’application du fichier, selon le plan d’assurance qualité. II. Mesures de sécurité/protection Procédés de traitement Art. 11 1Pour garantir la confidentialité, l’application peut être cloisonnée à différents niveaux. 2Les programmes d’administration de GESTACplus permettent de définir des groupes d’utilisateurs ou d’utilisatrices (collaborateurs ou collaboratrices, cheffe-s de projet, responsables d’unité organisationnelle (tant au niveau établissement que HES-SO)) et d’y associer les écrans autorisés. Chaque utilisateur ou utilisatrice est associé-e à un ou plusieurs groupes. 3Le ou la responsable de la gestion des utilisateurs ou utilisatrices ou toute autre autorité désignée définit les restrictions d’accès. 4La visibilité des projets est également limitée par l’application en fonction des unités organisationnelles (hiérarchisées) auxquelles est rattaché le projet. Page 3/5 Directives de traitement pour AGP HES-SO Art. 12 1Chaque école ou site prend les mesures organisationnelles et techniques appropriées pour garantir la protection des données, pour prévenir la perte, la falsification, la destruction et le traitement non autorisé des données. 2La Protection par mot de passe HES-SO émet des directives de sécurité pour l’utilisation des applications. Art. 13 1Le ou la responsable de la gestion des utilisateurs ou utilisatrices au niveau établissement ou toute autre autorité désignée définit les personnes autorisées à introduire des données. 2Chaque personne accédant à l’application doit s’identifier à l’aide d’un nom d’utilisateur ou d’utilisatrice et d’un mot de passe. Droits d’accès Art. 14 1Les utilisateurs et utilisatrices accèdent aux données par l’application AGP et, pour une partie d’entre eux, avec l’outil d’infocentre Oracle Discoverer. 2Chaque utilisateur et chaque utilisatrice a accès aux données qui sont nécessaires à l’accomplissement de son travail. Il n’est pas permis de traiter les données dans un but autre que celui justifiant le droit d’accès. Transferts de données Art. 15 Des données peuvent être transférées dans des banques de données de travail aux fins de travaux d’exploitation. Au terme de leur période d’utilisation, les données doivent être effacées. Transport ou transmission Art. 16 Lors du transport ou de la transmission de données, il y a lieu de s’assurer que des tiers non autorisés ne puissent les lire, les copier, les modifier ou les effacer. Communication Art. 17 La communication de données personnelles ou sensibles est soumise aux conditions strictes de la Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), des 8 et 9 mai 2012. Archivage et destruction des données Art. 18 1Les données sont conservées au moins durant cinq ans après la fin de la période de formation ou d’activité de la personne concernée dans le site ou l’école. 2A l’expiration de la durée de conservation, les données sont proposées aux archives cantonales concernées. Les documents jugés sans valeur archivistique sont effacés. Page 4/5 Directives de traitement pour AGP HES-SO III. Disposition finale Abrogation et entrée en vigueur Art. 19 1Les directives de traitement pour AGP/SageX HES-SO et HES-S2, des 19 et 20 mai 2005, sont abrogées. 2Les présentes directives entrent en vigueur le 15 septembre 2014. Les présentes directives ont été adoptées par décision n° « R 2014/23/84 » du Rectorat, lors de sa séance du 15 juillet 2014. Page 5/5