La Politique de gestion des données institutionnelles de l'Université de Genève (UNIGE), ci-après « la Politique », s’inscrit dans une démarche institutionnelle de réduction des risques en matière de sécurité des données et de mise en conformité aux lois et règlements régissant l’usage des données (LIPAD, LArch, LRH, par exemple). La formalisation de principes et de règles de gestion en matière de cycle de vie, de valorisation et de protection/sécurité des données fournit un cadre institutionnel fort qui contribue au respect de la Charte d’éthique et de déontologie des hautes écoles universitaire et spécialisée de Genève et des directives institutionnelles en matière d’intégrité de la recherche. Cette ambition ancre ainsi la démarche au plus haut niveau en favorisant l’adhésion de toutes les parties. La présente politique répond également aux recommandations de l’audit du service d’Audit de l’État de Genève mené en 2021 sur la gouvernance des Systèmes d’Information (SI) de l’UNIGE. D’une part, cet audit a mis en avant la nécessité d’impliquer les responsables métiers (Data owners) lors du processus de classification des données dans les différents niveaux de sensibilité (pour une application de mesures de protection adéquates), d’autre part il souligne que cette classification doit s’articuler avec une politique de gestion globale, prenant en considération l’ensemble du cycle de vie des données et des documents, de la collecte à l’archivage ou destruction. 
La mise en place d'une gouvernance des données au sein de l’UNIGE offre une multitude d'avantages qui vont de la conformité réglementaire à la maîtrise des données, en passant par l’optimisation des processus métiers et la valorisation des données produites dans le cadre des activités d’enseignement, de recherche, de service et de support. C’est en respectant et en appliquant les principes contenus dans cette politique que l’ensemble de la communauté universitaire pourra contribuer de manière significative à améliorer l’intégrité, la fiabilité et la sécurité des données et contribuer à la conservation du patrimoine scientifique et historique de l’institution. 

Objectifs de la politique et bénéfices attendus

Les données traitées et produites par l’UNIGE sont de nature diverse et touchent des domaines d’activité variés (formation/étudiant-es, ressources humaines, finances, logistique, recherche, etc.). Les traitements opérés sur ces données et les usages qui en sont faits se doivent d’être conformes et appropriés en regard des exigences légales et règlementaires propres à chaque domaine, mais également en matière de sécurité de l’information. 
La présente Politique s’inscrit dans une approche à long terme qui se veut saine en définissant les bonnes pratiques en matière de gestion des données. Elle vise à fournir à l’ensemble des parties prenantes des principes directeurs et des règles opérationnelles de mise en œuvre en vue de garantir une gestion efficiente des données. Par la mise en place d’une organisation autour de rôles clairement identifiés et dont les responsabilités sont assignées en fonction de compétences métiers fortes, elle doit contribuer non seulement à l’amélioration de la qualité des données, mais également à renforcer leur gestion efficiente et à assurer la protection des données sensibles. 

Principaux bénéfices attendus par la mise en place d’une gouvernance des données

Responsabilités et gouvernance 

Portée par le Secrétaire général de l’UNIGE, la Politique s’appuie sur les recommandations évoquées plus haut pour assurer une gestion des données responsable, efficace et maîtrisée au sein de l'Institution. Son application concrète consiste à : 

•  la constitution d’un Data Office institutionnel regroupant des rôles-clefs en matière de gestion des données au sein de l’institution. Ce nouvel organe permettra d’accompagner et de conseiller les métiers et les entités dans la mise en œuvre progressive de la politique. Il fournira par ailleurs une expertise transversale à la demande des entités et services qui souhaitent améliorer des processus existants, édictera des directives ou formera et sensibilisera le personnel. 
• la mise en place d’une organisation structurée par domaine métier et fondée sur l’identification de rôles existants au sein de chaque domaine pour lesquels des responsabilités spécifiques seront attribuées. Cette organisation facilitera ainsi la gouvernance des données à tous les échelons de l’organisation.

Organisation de la politique de gouvernance des données 

Le premier chapitre précise la portée du document et définit la terminologie employée. Les chapitres suivants décrivent les règles de cette politique et les directives associées. Elles sont regroupées selon les thématiques suivantes :

 

Mesures de mise en œuvre

L’application de cette politique implique de définir et de mettre en place une déclinaison stratégique et opérationnelle par domaine métier. Pour ce faire, un set documentaire est mis à disposition des domaines métiers afin de les guider sur les actions opérationnelles à mettre en œuvre : il comprend une data map du domaine, l’affectation des rôles de CDO domaine, Data Owners et Data Stewards par sous-domaine et les actions opérationnelles de mise en œuvre. Ces actions sont découpées selon l’ordre des chapitres de la politique et peuvent être ajustées en fonction des spécificités propres à chaque domaine. Dans cette optique, le Data Office institutionnel fournit un appui à l’application de la Politique et accompagne la formalisation de nouveaux processus. La déclinaison opérationnelle est priorisée en fonction des besoins métiers exprimés, par exemple en fonction du risque sécuritaire, de la non-conformité d’un processus, ou d’un besoin d’optimisation des ressources. 

La formation et la sensibilisation des personnes en charge de différents traitements de données (saisie, mise à jour, transmission, etc.) est un volet important du déploiement de la politique de gestion des données. Elle est conçue en tenant compte des spécificités des domaines métiers, rappelle le cadre légal auquel est soumise l’institution, présente les mesures de protection et de sécurité des données et promeut les bonnes pratiques simples et efficaces à mettre en œuvre au quotidien. 

Portée du document

La présente politique s’applique à l’ensemble des parties prenantes de l’Université qu’il s’agisse du corps étudiant ^[1] du corps professoral, du corps des collaborateurs et collaboratrices de l’enseignement et de la recherche, du personnel administratif et technique ou des partenaires et intervient à plusieurs échelles : individuelle, collective, facultaire, administrative et universitaire.

Ce document est diffusé et mis à disposition de la communauté universitaire afin d’être connu et respecté. 

La présente politique de gestion des données institutionnelles prévaut sur toute politique de gestion des données antérieure. 

Respect du cadre légal et réglementaire en vigueur

Le cadre légal et réglementaire s’applique quelle que soit la nature de la donnée et prévaut sur les directives UNIGE

Cadre légal et réglementaire en vigueur :

• Loi sur l’Université (LU) du 13 juin 2008
• Statut de l’Université, entré en vigueur le 28 juillet 2011
• Accord intercantonal universitaire (AIU) du 27 juin 2019
• Loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD) du 5 octobre 2001
• Règlement d’application de la Loi sur l’information du public, l’accès aux documents et la protection des données personnelles (RIPAD) du 21 décembre 2011
• Loi sur les archives publiques (LArch) du 1er décembre 2000
• Règlement d’application de la Loi sur les archives publiques (RArch) du 21 août 2001
• Loi sur la statistique fédérale (RS 431.01) et l’ordonnance du 30 juin 1993 concernant l’exécution des relevés statistiques fédéraux (RS 431.012.1)
• Loi sur les services de certification dans le domaine de la signature électronique (Loi sur la signature électronique, SCSE) du 19 décembre 2003
• Loi fédérale concernant le droit d’auteur et les droits voisins (LDA) du 9 octobre 1992
• Toutes les lois métiers susceptibles d’avoir un impact sur le cycle de vie des données

Documents officiels de l’UNIGE sur lesquels la politique s’appuie

Les documents officiels s’appliquant en particulier :

• Règlement d’organisation de la gouvernance du système d’information (ROGSI) du 28 septembre 2023
• La politique de protection des données personnelles
• La politique de sécurité du système d'information
• La politique de classification de l'information / des données
• La charte d’éthique et de déontologie des hautes écoles universitaire et spécialisée de Genève
• Les directives institutionnelles en matière d’intégrité dans la recherche
• La politique Open Access
• La directive institutionnelle pour l’Archive ouverte UNIGE
• La politique institutionnelle sur la gestion des données de la recherche
• La politique de préservation des données de la recherche
• La politique de gestion des documents et des archives, en attente de validation

La politique de gestion des données institutionnelles de l’UNIGE est appliquée, promue et respectée par l’ensemble de la communauté universitaire. Elle est accessible à toutes et tous et s’intègre dans une stratégie de gouvernance des données, alignée sur le cadre légal suisse et genevois, ainsi que sur les stratégies institutionnelles. Cette stratégie se décline selon des dimensions fonctionnelles, organisationnelles et technologiques, en tenant compte des usages de l’institution. La mise en œuvre opérationnelle repose sur une organisation technologique et humaine adaptée, s’appuyant sur les structures existantes pour garantir son application efficace et cohérente.

^{[1] Les principes présentés dans la présente politique s’appliquent également aux données utilisées dans le cadre de travaux pratiques et/ou de recherche conduits par des étudiant-es (enquêtes et récoltes de données)} 

Organigramme de gouvernance des données

La gouvernance des données suit un organigramme défini et connu de toutes et tous (règle OD01). 

 

^{Le schéma ci-dessus illustre un exemple d’organisation au sein d’une division administrative. La distribution des casquettes suit l'organisation hiérarchique, ce qui n'est pas systématiquement le cas ailleurs et/ou dans une vision transverse des métiers.} 

 

Cet organigramme illustre et formalise les multiples rôles clés au sein de l’UNIGE participant à la bonne gouvernance des données, que ce soit au niveau de leur collecte, de leur gestion, de leur mise à jour, de leur sécurisation ou de leur exploitation à des fins de prise de décision.

Il s’agit d’une recommandation de haut niveau, selon l’état de l’art. Une personne peut assumer un ou plusieurs rôles. Chaque domaine métier est tenu de s’organiser en conséquence et peut identifier les personnes ou groupe de personnes les plus à même d'occuper ces rôles. Les règles associées à chaque rôle sont décrites dans ce document et sa déclinaison opérationnelle s’appuiera en partie sur des rôles existants à l’UNIGE.

Rôles composant le Data Office institutionnel

Le/la CDO institutionnel est garant-e de la politique et de sa bonne application au sein de l’institution et s’appuie sur un collectif formant le Data Office (règle OD02,OD03).

Les rôles du Data Office couvrent la stratégie, la sécurité, la protection et la gestion des données dans l'organisation, chaque fonction ayant des responsabilités spécifiques pour assurer une gouvernance des données efficaces et conformes.

Rôles clefs et actions – Mise en œuvre de la politique par domaine de données

Les points clefs de la politique et de son organisation

​​​​​

La mise en œuvre de la politique de gestion des données institutionnelles de l’UNIGE pour le volet Sécurité et protection des données s’appuie sur la Politique de sécurité du système d’information et sur la Politique de protection des données personnelles, assurant ainsi un traitement conforme aux exigences légales et réglementaires. Les données sont classées selon leur sensibilité et leur criticité, ce qui permet d’adopter des mesures de protection adaptées aux risques associés. Les Data Owners et les CDO domaine ont la responsabilité d’assurer la traçabilité des données, de documenter leur classification et d’appliquer les mesures de sécurité définies par le CISO. Par ailleurs, les traitements de données personnelles doivent respecter des principes fondamentaux tels que la licéité, la proportionnalité et la finalité, garantissant ainsi les droits des personnes concernées. Enfin, un registre des activités de traitement est maintenu à jour afin d’assurer une transparence et un contrôle efficace des données gérées par l’institution.

Rôles clefs et actions – Sécurité et protection des données 

Les points clefs des principes de sécurité et protection des données

 

La mise en place d'une gouvernance des données au sein de l’UNIGE offre une multitude d'avantages qui vont de la conformité réglementaire à la maîtrise des données, en passant par l’optimisation des processus métiers et la valorisation des données produites dans le cadre des activités d’enseignement, de recherche, de service et de support. Cette démarche s’inscrit dans une perspective progressive et sur le long terme qui nécessite un accompagnement du Data Office institutionnel et des services transverses pour mettre en œuvre la politique. Enfin c’est en respectant et en appliquant les principes contenus dans cette politique que l’ensemble de la communauté universitaire pourra contribuer de manière significative à améliorer l’intégrité, la fiabilité et la sécurité des données et contribuer à la conservation du patrimoine scientifique et historique de l’institution. 

a)    Objets liés à la politique de gestion des données 

Archives  patrimoniales

• Ensemble des documents et données produits ou reçus dans le cadre des activités de l'UNIGE, quels qu'en soient la date, le type ou le support, et destinés à la conservation à long terme en raison de leur valeur archivistique - juridique, politique, économique, historique, sociale ou culturelle.

Catalogue de données

• Répertorie et décrit les ensembles de données au sein d'un domaine en fournissant aux utilisateurs et utilisatrices une vue d'ensemble des données disponibles, ainsi que des informations sur leurs définition, modèle, droits d’accès et utilisation potentielle.

Cartographie du SI

• Inventaire institutionnel des entités de données, des applications qui les exploitent, des technologies sous-jacentes offrant une vue d’ensemble des éléments collectés et de leurs traitements. 

Cycle de vie

• Ensemble des étapes que franchit un document ou une donnée, de sa collecte ou de sa création jusqu'à sa conservation permanente ou à sa destruction.

Domaines de données métier

• Un domaine de données est un groupe de données liées par un thème, un sujet ou un contexte commun. Il peut avoir des sous-domaines plus précis sous la responsabilité d’un-e ou de plusieurs Data Owners, qui garantissent la qualité, la sécurité et la gouvernance des données de leur domaine.

Données de recherche

• des « enregistrements factuels (chiffres, textes, images et sons), qui sont utilisés comme sources principales pour la recherche scientifique et sont généralement reconnus par la communauté scientifique comme nécessaires pour valider des résultats de recherche »^[2] . Les données de recherche sont produites par la plupart des disciplines et domaines de recherche et leur format peut varier (documents, photographies, sondages/enquêtes, codes informatiques, bibliographies, bases de données, etc.)^[3]

Donnée institutionnelle

• Un élément d'information est qualifié de donnée institutionnelle s'il est engendré par les opérations courantes et les activités académiques et administratives de l’UNIGE, s’il sert à la planification, la gestion, l'exploitation, le contrôle ou la vérification d'une entité organisationnelle, s’il porte sur un domaine de l’UNIGE (étudiantes et étudiants, personnel, finances, logistique, activités de recherche). L’usage des données institutionnelles peut être interne (données utilisées par le personnel de l’UNIGE dans le cadre de l’exercice de leur fonction), à usage restreint (contraintes légales – par exemple LIPAD –, réglementaires, éthiques, de sécurité),  et à usage public. Ceci inclut également les documents, physiques ou numériques, produits, gérés et utilisés par l’institution.

Données personnelles

• Toutes les informations se rapportant à une personne physique ou morale de droit privé, identifiée ou identifiable ^[4].

Données personnelles sensibles (au sens de la loi ^[5]) : 

• Données personnelles sur :

1. les opinions ou activités religieuses, philosophiques, politiques ou syndicales, 
2. la santé, la sphère intime ou l’origine raciale ou ethnique,
3. des mesures d'aide sociale,
4. des poursuites ou sanctions pénales ou administratives, 
5. les données génétiques, 
6. les données biométriques identifiant une personne physique de façon unique.

Durée d'utilité administrative et légale (DUAL)

• Durée pendant laquelle les documents et données doivent être conservés et rester accessibles pour des raisons administratives (DUA) et légales (DUL). Au terme de cette période, les documents et données sont soit éliminés, soit versés aux Archives administratives et patrimoniales (AAP).

Qualité

• La qualité est le degré de conformité d’une donnée à un ensemble de critères définis au préalable, tels que la pertinence, l’exactitude, l’exhaustivité, la cohérence, l’actualité ou l’accessibilité. Elle permet de mesurer et d’améliorer la fiabilité, l’utilité et la crédibilité des données.

Référentiel de classement et de gestion des données et des documents

• Outil de pilotage des documents et des données qui associe le plan de classement et les règles de conservation. Le plan de classement structure l’organisation des documents et données de l’UNIGE en fonction de ses activités au sein de séries ; les règles de conservation assignent à chaque série une durée d’utilité administrative et légale (DUAL) et un sort final.

Sort final

• Résultat de l'évaluation de la valeur archivistique des documents et données selon laquelle les documents et données sont, au terme de leur durée d’utilité administrative et légale (DUAL), soit éliminés, soit versés aux Archives administratives et patrimoniales (AAP).

Traçabilité

• Capacité à connaître la composition, l’origine, le parcours et les transformations d’une donnée tout au long de son cycle de vie. La traçabilité permet de garantir la conformité, la sécurité et la fiabilité des données.

   b)    Rôles impliqués dans la gestion des données 

CDO (Chief Data Officer)

• Le ou la CDO porte la vision et pilote la stratégie des données , en définit et en valide les usages de valorisation. Il/elle s’assure de l’efficacité de l’organisation mise en place pour la gouvernance des données et garantit l’application de la politique de gestion des données.

DPO (Data Protection Officer)

• Le ou la DPO^[6]  est responsable du maintien et de la bonne application de la politique de protection des données personnelles.

CISO (Chief Information Security Officer)

• Dans le cadre de cette politique le ou la CISO est responsable du maintien et de la bonne application de la politique de sécurité du Système d’information et de la politique de classification de l’information.

Représentant-e du Collège de DSI

• Est le point de contact privilégié du Collège de direction du SI et assure l’interface ainsi que la cohérence entre la politique institutionnelle de gestion des données et la gouvernance SI.

PDO (Patrimonial Data Officer)

• Est responsable de la constitution, de la gestion et de la conservation des archives patrimoniales de l’UNIGE ; à ce titre, il/elle accompagne le/la CDO institutionnel et les CDO domaines en ce qui concerne la gestion du cycle de vie des documents et données à travers la définition de leur durée d'utilité administrative et légale (DUAL) et de leur sort final.

CAO (Chief Analytics Officer)

• Est responsable de fournir un accès aux données institutionnelles à des fins de gouvernance et de prise de décision, en respect des principes de protection et de sécurité des données. Le/la CAO participe à la structuration des données et à la conception de modèles en vue de leur exploitation. Il/elle accompagne les métiers et les conseille en matière de reporting institutionnel et d’exploitation de données à des fins statistiques. 

Responsable référentiels des données du SI

• Met en place et tient à jour la cartographie des données du SI et offre une vue centralisée de ces dernières.

CDO Domaine (Chief Data Officer Domaine)

• Les CDO Domaine déclinent et garantissent l’application de la politique de gestion des données de leur domaine. Les CDO Domaine en définissent et en valident les usages de valorisation, tout en s’assurant de l’efficacité de l’organisation mise en place dans leur domaine.

Data Owners

• Les Data Owners sont responsables métier de l’intégrité, de la qualité, de la classification, de l’usage, de la conservation et de l’application du sort final  des données au sein de leur périmètre. Les Data Owners sont responsables.

Data Stewards

• Les Data Stewards assurent l’application des règles de gestion définies par les Data Owners, gèrent un périmètre de données bien défini sous le contrôle des Data Owners et s’assurent de la bonne application de la politique de protection des données.

Data Consumers

• Les Data Consumers sont les utilisateurs et utilisatrices finales des données produites ou collectées par l’ensemble des entités. Les Data Consumers accèdent aux données selon leurs besoins et leurs droits d’accès, exploitent les données pour réaliser des analyses, des rapports, des tableaux de bord ou des applications et contribuent à l’amélioration de la qualité et de la valeur des données en signalant les anomalies ou les opportunités.

^{[2] Principes et lignes directrices de l'OCDE pour l'accès aux données de la recherche financée sur fonds publics.}  

^{[3] Identifier les données de recherche https://www.unige.ch/researchdata/fr/planifier/identifier-donnees-de-recherche/ .}

^{[4] Loi sur l'information du public, l'accès aux documents et la protection des données personnelles (LIPAD).} 

^{[5] Selon L13347 du 3 mai 2024 modifiant la LIPAD.}

^{[6] Conseillère ou conseiller LIPAD, selon art. 50 de la L13347 du 3 mai 2024 modifiant la LIPAD.}