Détection et réponse aux incidents de sécurité informatique | SOC-EDR
La détection, l'analyse, et la gestion des incidents de sécurité informatique donnent lieu à un traitement de données personnelles placé sous la responsabilité de l’Université de Lille (42 rue Paul Duez, Lille).
Ce traitement est réalisé en conformité avec les règles édictées par le règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et de la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Il s'appuie sur une solution antivirus évoluée (dite EPP-EDR) et un Centre d'opérations de sécurité (dit SOC).
La base légale de ce traitement repose sur l'intérêt légitime de l’université de Lille à assurer la sécurité de ses systèmes d'information dans le respect des chartes et textes relatifs à l'utilisation des ressources informatiques (RGPD, article 6.1.f.).
La collecte des données personnelles est réalisée par l’intermédiaire de capteurs installés sur les postes de travail individuels et les serveurs inventoriés par l’établissement.
Les données personnelles faisant l’objet d’un traitement systématique relèvent des catégories suivantes :
- Données d’identification des utilisateurs (ex. login, adresse IP)
- Journalisation des données de connexion liées à l’utilisation des terminaux concernés.
Dans des cas exceptionnels générant une alerte majeure, des données complémentaires comprenant les fichiers figurant sur des postes de travail et les données de navigation internet sont susceptibles d’être collectées après information des personnes concernées.
Leur recueil est obligatoire. A défaut, l’université de Lille ne pourrait faire bénéficier les personnes concernées les différents services numériques ouverts aux usagers de son système d’information.
Les durées de conservation appliquées sont les suivantes :
- Pour les données utilisées par la solution antivirus : 30 jours + 12 mois en cas de suspicion d’incident ;
- Pour les données utilisées par le Centre d’opérations de sécurité (SOC) : 30 jours et en cas d’incident jusqu’à sa résolution ou son archivage à fins d’audit.
En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :
- Les personnels habilités au sein de la DGDNUm ;
- Les sous-traitants habilités par l’Université de Lille (Exaprobe et Withsecure) et leurs sous-traitants ultérieurs ;
- Le cas échéant, des tiers autorisés (ex. réquisition judiciaire).
Les données personnelles collectées sont susceptibles d’être accessibles depuis un territoire situé en dehors de l’Union européenne (Etats-Unis) bénéficiant d’un niveau de protection adéquat (Data Privacy Framework).
Conformément aux dispositions du Règlement n°2016/679, dit Règlement Général sur la Protection des Données : vous pouvez accéder aux données vous concernant, les rectifier ou exercer votre droit à la limitation du traitement de vos données.
Par ailleurs :
- Vous pouvez vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière ;
- Vous pouvez demander l'effacement de vos données.
Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter notre délégué à la protection des données en contactant l'adresse suivante : 42 rue Paul Duez 59000 LILLE France, dpo[at]univ-lille[point]fr, et bénéficier de la possibilité d'introduire une réclamation auprès de la CNIL.
Politique de traitement des données personnelles sur les sites web de l’Université de Lille
En tant que directeur de la publication et donc responsable de traitement, le président de l’Université de Lille met en œuvre un traitement des données collectées auprès des utilisateurs des sites web de l’établissement.
Ce traitement est réalisé en conformité avec les règles édictées par le règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et de la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Il est inscrit au registre de l’établissement sous la référence n° [2021-72].
Le délégué à la protection des données est Jean-Luc Tessier (dpo[at]univ-lille[point]fr)
La finalité principale du traitement de données personnelles occasionné par l’utilisation de ces sites est de communiquer auprès de ses usagers et de différents publics concernés par les objectifs et missions du Service publics de l’enseignement supérieur tel que défini par le chapitre III du Code de l’Éducation.
Sa base légale est le consentement (RGPD, art. 6, 1. a).
Les données personnelles collectées dans le cadre de ces traitements peuvent, selon le site web considéré, comprendre :
Les cookies
Types de cookies
- Des cookies et traceurs collectés aux seules fins de la bonne utilisation des sites web de l’établissement.
- Des cookies-tiers dont le dépôt est soumis au consentement des personnes concernées.
Gestion des cookies
La gestion des cookies est réalisée par l’intermédiaire de l’application Tarte au citron conformément à l’article 82 de la loi dite informatique et liberté et suivant les recommandations et les lignes directrices formulées par la CNIL.
Le consentement au dépôt de cookies-tiers est recueilli préalablement au dépôt et/ou à la lecture de cookies et pour une durée maximum de six mois. Ce consentement peut être retiré à tout moment en utilisant en suivant un lien intitulé Gestion des cookies, disponible en pied-de-page du site web concerné.
Les autres données
Les données collectées par différents formulaires non permanents s’accompagnent d’une information propre.
- Les membres habilités du Service web et multimédia (Swem) de la Direction générale au numérique.
- Les administrateurs de chaque site web.
- Les responsables des traitements des cookies tiers.
- Les chargés de la mise en œuvre de différents formulaires le cas échéant).
L’utilisateur dispose d’un droit d’accès, de rectification et de suppression des données à caractère personnel le concernant. Il peut retirer à tout moment son consentement au traitement de ses données par l’intermédiaire du lien intitulé Gestion des cookies, disponible en pied-de-page du site web concerné. Il peut également exercer son droit à la portabilité de ses données et à la limitation de leur traitement.
Pour exercer ces droits ou pour toute question sur le traitement de vos données, adressez votre demande à notre délégué à la protection des données à l’adresse dpo[at]univ-lille[point]fr.
Si vous estimez, après nous avoir contacté, que vos droits ne sont pas respectés, vous pourrez adresser une réclamation à la CNIL.