Directives de traitement pour AGP - Intranet HES-SO

Directives de traitement pour AGP HES-SO
Le Rectorat de la Haute école spécialisée de Suisse occidentale
vu la Convention intercantonale sur la Haute école spécialisée de Suisse occidentale (HES-SO), du 26 mai 2011,
vu la Convention intercantonale relative à la protection des données et à la
transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), des 8 et
9 mai 2012,
arrête :
I.
Objectif des directives
Dispositions générales
Article premier
Les présentes directives sont destinées à garantir le respect des principes suivants dans le cadre de l’application informatique pour la
gestion de projets (AGP) au sein de la HES-SO :
a) sécurité des données traitées ;
b) transparence lors de la planification ;
c) transparence lors de l’utilisation ;
d) transparence lors de l’exploitation ;
e) transparence de l’information.
Nature et but du
traitement des
données
1AGP consiste à doter la HES-SO des instruments communs nécesArt. 2
saires à une gestion et au suivi administratif, scientifique et financier des projets, concernant principalement les piliers 2 (études postgrades), 5 (prestations
de services) et 6 (recherche appliquée et développement).
2AGP
pour but d’offrir aux chefs de projet et au personnel administratif qui les
appuie, un outil pour :
a) la gestion des données de bases des projets ;
b) la gestion du suivi de l’avancement du projet (scientifique et financière).
Page 1/5
Directives de traitement pour AGP HES-SO
Etendue du traitement des données
Art. 3
AGP se compose principalement des données suivantes :
a) projets : données de base (titre acronyme, description du projet et de
ses objectifs, date de début et de fin, rattachement du projet aux structures organisationnelles des HES) et financières (budget du projet,
montant du devis, heures de travail réalisées par les collaborateurs et
collaboratrices, charges et produits liés au projet) ;
b) collaborateurs et collaboratrices : données personnelles, droits d’accès
à AGP, taux réel des collaborateurs et collaboratrices, heures de travail ;
c) partenaires de recherche et partenaires financiers impliqués dans la
réalisation des projets (coordonnées, personnes de contact et implication financière dans le projet) ;
d) données financières extraites d’AGF (écritures comptables) ;
e) documents produits dans le cadre du projet (planning, contrats, rapports, etc.) ;
f)
Description des
processus
module de valorisation des projets.
1Chaque processus est documenté par une description des activités,
Art. 4
les règles de gestion, les données gérées, le partage des accès aux données,
les interfaces et reprises des données identifiées (analyse des processus de
gestion).
2Certains
processus nécessitent en outre un schéma présentant la répartition
des activités entre les acteurs.
3Ces
documents sont à disposition au Rectorat HES-SO à Delémont.
Maître de fichier
Art. 5
La HES-SO est responsable de l’application AGP et de la protection et
de la sécurité des données.
Description du
matériel
1L'application fonctionne sur des serveurs centralisés installés au
Art. 6
service informatique de l'Ecole d'ingénieurs et d'architectes de Fribourg (EIAFR). Celui-ci assure la maintenance et l'exploitation des systèmes. Les serveurs
sont installés dans un environnement sécurisé tant au niveau de l'accès physique que de l'alimentation électrique des systèmes.
2L'installation
de l'application est répartie sur les serveurs en ayant la base de
données et l’applicatif sur l'une des machines et l'environnement Discoverer
sur un autre serveur. Un système de sauvegarde se trouvant dans un autre
bâtiment de l'EIA-FR assure la sauvegarde journalière des données ainsi que
des journaux de transaction.
3L'utilisateur
ou l’utilisatrice accède à l'application à l'aide d'un navigateur
après s’être préalablement authentifié-e.
Page 2/5
Directives de traitement pour AGP HES-SO
Description des
logiciels
Art. 7
Les logiciels utilisés sont :
a)
AGP, application de gestion de projets, objet des présentes directives
(voir l’art. 2) ORACLE, base de données sur laquelle sont stockées
toutes les données et l’application ci-dessus ;
b)
DISCOVERER (Oracle), outil d’infocentre permettant d’extraire de la
base de données Oracle les informations nécessaires à la création de
tous documents, listes, statistiques et rapports utilisés dans les différentes écoles.
Déclaration de
fichier
Art. 8
Le fichier est déclaré auprès du préposé à la protection des données
et à la transparence Jura Neuchâtel.
Provenance des
données
1Les données sont fournies par les personnes concernées et généArt. 9
rées par leur vécu dans le réseau.
2Elles
sont saisies principalement par le ou la chef-fe de projet et par le personnel administratif qui offre son appui pour la gestion des projets. Les autres
utilisateurs et utilisatrices sont impliqué-e-s uniquement dans le module de
saisie des heures (en fonction du choix d’implémentation effectué par l’école
ou le site).
Organisation fonctionnelle
Art. 10
1AGP
2L’organisation
est une application commune aux sites et écoles de la HES-SO.
est définie par le diagramme de fonction du plan d’assurance
qualité.
3Un
organe sera désigné à terme par la HES-SO pour la surveillance ou la coordination de l’application du fichier, selon le plan d’assurance qualité.
II. Mesures de sécurité/protection
Procédés de traitement
Art. 11 1Pour garantir la confidentialité, l’application peut être cloisonnée à
différents niveaux.
2Les
programmes d’administration de GESTACplus permettent de définir des
groupes d’utilisateurs ou d’utilisatrices (collaborateurs ou collaboratrices, cheffe-s de projet, responsables d’unité organisationnelle (tant au niveau établissement que HES-SO)) et d’y associer les écrans autorisés. Chaque utilisateur
ou utilisatrice est associé-e à un ou plusieurs groupes.
3Le
ou la responsable de la gestion des utilisateurs ou utilisatrices ou toute
autre autorité désignée définit les restrictions d’accès.
4La
visibilité des projets est également limitée par l’application en fonction des
unités organisationnelles (hiérarchisées) auxquelles est rattaché le projet.
Page 3/5
Directives de traitement pour AGP HES-SO
Art. 12 1Chaque école ou site prend les mesures organisationnelles et techniques appropriées pour garantir la protection des données, pour prévenir la
perte, la falsification, la destruction et le traitement non autorisé des données.
2La
Protection par mot
de passe
HES-SO émet des directives de sécurité pour l’utilisation des applications.
Art. 13 1Le ou la responsable de la gestion des utilisateurs ou utilisatrices au
niveau établissement ou toute autre autorité désignée définit les personnes
autorisées à introduire des données.
2Chaque
personne accédant à l’application doit s’identifier à l’aide d’un nom
d’utilisateur ou d’utilisatrice et d’un mot de passe.
Droits d’accès
Art. 14 1Les utilisateurs et utilisatrices accèdent aux données par
l’application AGP et, pour une partie d’entre eux, avec l’outil d’infocentre Oracle
Discoverer.
2Chaque
utilisateur et chaque utilisatrice a accès aux données qui sont nécessaires à l’accomplissement de son travail. Il n’est pas permis de traiter les
données dans un but autre que celui justifiant le droit d’accès.
Transferts de données
Art. 15 Des données peuvent être transférées dans des banques de données
de travail aux fins de travaux d’exploitation. Au terme de leur période
d’utilisation, les données doivent être effacées.
Transport ou
transmission
Art. 16 Lors du transport ou de la transmission de données, il y a lieu de
s’assurer que des tiers non autorisés ne puissent les lire, les copier, les modifier ou les effacer.
Communication
Art. 17 La communication de données personnelles ou sensibles est soumise
aux conditions strictes de la Convention intercantonale relative à la protection
des données et à la transparence dans les cantons du Jura et de Neuchâtel
(CPDT-JUNE), des 8 et 9 mai 2012.
Archivage et destruction des données
Art. 18 1Les données sont conservées au moins durant cinq ans après la fin
de la période de formation ou d’activité de la personne concernée dans le site
ou l’école.
2A
l’expiration de la durée de conservation, les données sont proposées aux
archives cantonales concernées. Les documents jugés sans valeur archivistique sont effacés.
Page 4/5
Directives de traitement pour AGP HES-SO
III. Disposition finale
Abrogation et
entrée en vigueur
Art. 19 1Les directives de traitement pour AGP/SageX HES-SO et HES-S2, des
19 et 20 mai 2005, sont abrogées.
2Les
présentes directives entrent en vigueur le 15 septembre 2014.
Les présentes directives ont été adoptées par décision n° « R 2014/23/84 »
du Rectorat, lors de sa séance du 15 juillet 2014.
Page 5/5