Règles et Politiques
Classification de l'information / des données
Cette politique décrit les exigences relatives à la classification et à la protection de l’information à l’Université de Genève.
Les actifs informationnels (informations et activités/processus) de l’Université de Genève peuvent être classés en fonction de leur criticité et niveau de risque :
Sensibilité faible |
Sensibilité moyenne |
Sensibilité élevée |
Pas de secret de fonction |
Secret de fonction simple1 |
Secret de fonction qualifié2 |
Les actifs sont classés comme à faible risque s'ils ne sont pas considérés comme à risque modéré ou élevé, et :
Pour les données destinées au public, des garanties en termes d’intégrité et de disponibilité des données sont nécessaires. |
Les actifs sont classés comme à risque modéré s'ils ne sont pas considérés comme à haut risque, et :
L’accès à ce type d’actifs est limité à la communauté universitaire ou à un sous-ensemble de celle-ci, ou à des tiers clairement identifiés et légitimes. |
Les actifs sont classés comme à haut risque si :
Sensibilité très élevée (secret) Information qui doit être connue de l’utilisateur lui-même, ou d’un ensemble très restreint d’utilisateurs. |
1 Secret de fonction simple : secret de fonction tel qu’édicté notamment par la LIPAD ou d'autres lois et règlements généraux comme le règlement du personnel
2 Secret de fonction qualifié : cas particuliers du secret de fonction relatif à des activités ou domaines spécifiques tels que les secrets professionnels, de fabrication ou d’affaires, le secret fiscal, le secret bancaire, le secret statistique, la loi sur les données de santé, les lois sur l’éthique, la gestion des données personnelles sensibles selon la LIPAD…
3 L’échelle détaillée des niveaux d’impact et de probabilité, induisant le niveau de risque est disponible en annexe (§6).
Indépendamment des niveaux de risques à considérer, il existe une 4ème classe d’actifs :
Privé |
Il s’agit des données personnelles de l’utilisateur-trice, sans lien avec son activité ou ses interactions avec l’UNIGE, et ayant donc vocation à rester privées. |
Rappelons que selon la charte d’usage des ressources numériques, l’utilisation des ressources numériques à titre privé n'est tolérée que si elle est minime en temps et en fréquence, qu'elle n'entraîne qu'une utilisation négligeable des ressources, qu'elle ne compromet ni n'entrave l'activité professionnelle ou celle de la structure, qu'elle ne relève pas d'une activité lucrative privée, et qu'elle n'est ni illicite, ni contraire à la bienséance ou à la décence.
Il est de la responsabilité de chaque division, faculté, entité de l’UNIGE, et de chaque utilisateur pour les données qu’il crée ou gère, d’identifier les informations et données pour lesquelles le risque est modéré ou élevé.
Voici des exemples généraux ci-dessous qui vous aideront à déterminer quelle classification de risque est appropriée pour un type particulier de données.
Sensibilité faible |
Sensibilité moyenne |
Sensibilité élevée |
• Données de recherche publiées (à la discrétion du propriétaire des données), Open Data o Ces données ne doivent pas contenir de données personnelles ou celles-ci doivent être anonymisées • Informations autorisées à être disponibles sur ou via le site Web de l’UNIGE sans authentification ISIs • Manuels de politiques et de procédures désignés par le propriétaire comme publics • Offres d'emploi • Données de contact de l’annuaire de l'université non désignées par l'individu comme « privées » • Informations du domaine public • Plans du campus accessibles au public • Séances publiques • Rapport d’activité / statistiques • Documents dont l’accès est possible par le public selon la LIPAD … |
• Données personnelles • Données de recherche non publiées (à la discrétion du propriétaire des données) o Ces données ne doivent pas contenir de données personnelles ou celles-ci doivent être anonymisées • Dossiers étudiants et demandes d'admission • Candidatures à l'emploi du corps professoral / du personnel, dossiers et données des collaborateurs, avantages sociaux, salaire, date de naissance, coordonnées personnelles • Politiques et manuels de politiques internes • Marchés non publics, AIMP • Notes et e-mails internes de l’UNIGE, rapports non publics, budgets, plans, informations financières • Numéros d'identification de l'université et des utilisateurs • Informations générales d'ingénierie, de conception concernant l'infrastructure SI • Séance non publiques |
• Données personnelles sensibles* dont : Sensibilité très sensible (secret) • Tout mot de passe : ISIs, Oracle, SAP, etc.• Recherche : tableau de correspondance entre identifiants anonymisés et identités • …
|
* Selon la LIPAD, les données personnelles sensibles sont les suivantes : données personnelles sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l’appartenance ethnique, les mesures d’aide sociale, les poursuites ou sanctions pénales ou administratives.