Date d’émission : 23/11/2018

Préambule

Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personne et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel.
Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.
Pour une bonne compréhension de la présente politique il est précisé que : le « responsable du traitement » s’entend de la personne physique ou morale, qui détermine les finalités et les moyens d’un traitement de données à caractère personnel. Au titre de la présente politique, le responsable du traitement est l’EN3S ; le « sous-traitant » s’entend de toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit donc en pratique des prestataires avec lesquels l’EN3S travaille et qui interviennent sur les données à caractère personnel de l’EN3S ; les « personnes concernées » sont les personnes qui peuvent être identifiées, directement ou indirectement et leurs données à caractère personnel font l’objet d’une collecte par le responsable du traitement, c’est-à-dire l’ensemble des apprenants de l’EN3S ; les « destinataires » des données s’entendent des personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des salariés de l’EN3S que des organismes extérieurs (établissements, organismes sociaux, BRISE (bibliothèques en réseau de St.-Étienne, etc.).
Le RGPD, en son article 12, impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.

Objet

Pour satisfaire à son bon fonctionnement, l’EN3S est tenu de mettre en oeuvre et d’exploiter des traitements de données à caractère personnel relatifs à ses étudiants et aux candidats qui postulent auprès de ce dernier.
La présente politique a pour objet de satisfaire à l’obligation d’information de l’EN3S et ainsi de formaliser les droits et les obligations des étudiants et candidats au regard du traitement de leurs données à caractère personnel.

Portée

La présente politique de protection des données à caractère personnel a vocation à s’appliquer dans le cadre de la mise en place des différents traitements des données à caractère personnel des étudiants de l’EN3S et des candidats auprès de cette dernière.
La présente politique ne porte que sur les traitements dont l’EN3S est responsable et ne vise donc pas les activités/tâches qui ne seraient pas créés ou exploités par l’EN3S elle-même (traitement dit « sauvages »).
Le traitement de données à caractère personnel peut être géré directement par l’EN3S ou par le biais d’un sous-traitant spécifiquement désigné par l’EN3S.
Cette politique est indépendante de tout autre document pouvant s’appliquer au sein de l’EN3S, notamment les chartes des systèmes d’information, charte des étudiants ou les chartes administrateur par exemple.

Informations générales

Responsable des traitements
École nationale supérieure de Sécurité sociale
EN3S
27 rue des docteurs Charcot
CS 13132
42000 SAINT-ÉTIENNE cedex 2

Opposabilité

Le présent document est opposable :

  • à l’EN3S en sa qualité de « responsable du traitement » au sens du RGPD ;
  • aux apprenants de l’EN3S, c’est-à-dire à toute personne inscrite dans une formation longue ou courte dispensée par l’EN3S (élèves du cycle de formation initiale, stagiaires des cycles réglementaires ou formation continue…) ;
  • aux candidats inscrits dans des processus de sélection organisés par l’EN3S via le site de l’EN3S ou par d’autres intermédiaires ;
  • aux personnes à qui l’EN3S communique ces données (ci-après « destinataire des données ») ;
  • aux prestataires de l’EN3S qui traitent des données pour son compte (ci-après les « sous-traitants »).

Principes généraux

Aucun traitement n’est mis en oeuvre par l’EN3S concernant des données à caractère personnel des candidats et des apprenants s’il n’a pas été préalablement approuvé par le Directeur ou son représentant et s’il ne répond pas aux principes généraux du RGPD.
Tout nouveau traitement, modification ou suppression d’un traitement existant sera porté à la connaissance des apprenants, candidats et plus généralement aux personnes désignées dans la rubrique « opposabilité ».
Une liste des traitements de données à caractère personnel existants est jointe en annexe de la présente.

Finalités et bases légales

Selon les cas, l’EN3S traite notamment les données des apprenants pour les finalités suivantes :

  • établir des documents officiels relatifs au parcours des apprenants (diplômes, rendez-vous officiels obligatoires, carte apprenante et tout autre document officiel) ;
  • organiser le programme éducatif annuel et les sessions d’examen ;
  • garantir l’identification certaine des apprenants dans la gestion de leur dossier et permettre l’établissement de documents officiels les concernant (diplômes, certificats, attestations…) ;
  • assurer l’EN3S de pouvoir contacter les apprenants avec certitude dans le cadre de leurs parcours de formation ;
  • mettre à la disposition des apprenants des contenus éducatifs et pédagogiques, des informations administratives relatives au cycle de formation, aux enseignements et au fonctionnement de l’établissement ainsi que de la documentation en ligne via un ENT (s’entend au sens large d’un système de travail collaboratif – extranet, Office 365®, … –) ;
  • analyser les usages faits de l’ENT afin de développer de nouveaux outils pédagogiques sur support numérique ;
  • permettre aux apprenants de créer un compte utilisateur en vue d’accéder à la plateforme pédagogique via l’ENT et/ou l’intranet de l’EN3S ;
  • permettre la sauvegarde de documents et travaux pédagogiques via l’ENT et/ou l’intranet ;
  • permettre la consultation du dossier pédagogique des apprenants (agenda, note, résultats examens, contacts intervenants-enseignants) ;
  • fournir aux apprenants du cycle formation initiale une carte étudiant multiservices lui permettant d’accéder à plusieurs des services mis en oeuvre par l’EN3S ou ses partenaires ;
  • sélectionner les candidats auprès de l’EN3S par l’intermédiaire de tout moyen de candidature à la disposition du candidat ;
  • contrôler l’accès et la présence des apprenants aux locaux de l’EN3S par l’intermédiaire de badges individuels ;
  • mettre en oeuvre une vidéosurveillance afin de lutter contre les dégradations à l’extérieur de l’établissement ou à toutes tentatives d’intrusion dans ce dernier par des personnes non autorisées ;
  • mettre en oeuvre une vidéosurveillance de certaines zones au sein de l’établissement à des fins de sécurité des étudiants et des biens et afin d’identifier les auteurs de vols, dégradations ou agressions éventuels ;
  • assurer la réalisation d’états statistiques liés à la fréquentation et à l’évaluation des cycles de formation ;
  • assurer la réalisation d’états statistiques sur la diversité des apprenants et la nature de leurs parcours professionnels des apprenants.

Tout apprenant est informé que la collecte de ses données à caractère personnel est nécessaire à l’exécution d’une mission de service public ou d’une obligation légale de l’EN3S.

Destinataires des données – Habilitation et traçabilité

L’EN3S s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes autorisés.
L’EN3S décide quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation définie.

L’EN3S n’est en aucun cas responsable des dommages de toute nature qui peuvent résulter d’un accès illicite aux données à caractère personnel.
Pourront notamment être destinataires de ces données à caractère personnel :

  • les universités et écoles partenaires de l’EN3S, notamment le réseau des grandes écoles de service public et membres du RESP (réseau des écoles de service public) ;
  • les éditeurs de contenus ou de services pédagogiques liés à l’EN3S ou accessible via l’ENT ;
  • l’association des anciens élèves de l’EN3S ; les autorités de tutelles ;
  • les organismes liés à la vie étudiante tels que BRISE ou les partenaires de l’EN3S tels que les centres de préparation au concours.

Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à en connaître. Dans ce cas, l’EN3S n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.

Durée de conservation

La durée de conservation des données est définie par l’EN3S au regard des contraintes légales et contractuelles qui pèsent sur elle et à défaut en fonction de ses besoins.

Traitement concerné / Durée de conservation des données collectées

Candidature et recrutement :

  • Concours – Candidats admis Conservation à l’EN3S pendant cinq ans Versement aux archives départementales de la Loire
  • Concours – autres candidats :
    • Candidats absents : Destruction au bout de cinq ans
    • Dossiers incomplets : destruction au bout de deux ans
    • Copies : cinq ans puis versement aux archives départementales de la Loire

Gestion du dossier de l’apprenant

  • Dossier administratif (renseignements administratifs, médecine préventive, certificats médicaux, discipline, démission, …) : dix ans à l’EN3S puis versement aux archives départementales
  • Dossiers de suivi individuel de chaque élève ou stagiaire (entretiens sur parcours de formation et professionnel, …) : cinq ans puis versement aux archives départementales de la Loire

Mise en oeuvre d’un ENT

  • Les données sont conservées jusqu’à ce que l’intéressé demande leur suppression, dans la mesure où la personne a vocation à conserver son compte ENT à l’issue de sa formation.
  • Pour les comptes inactifs plus d’un an, une demande explicite d’accord à la conservation de ses données sera adressée à l’intéressé.
  • Les contributions personnelles laissées dans les espaces communautaires et espaces de stockage d’informations personnelles ou de publication ne peuvent, sauf opposition du contributeur lors de la fermeture de son compte ENT, être conservées par l’établissement qu’à des fins informatives.

Vidéosurveillance

  • Données conservées un mois.

Passé les délais fixés, les données sont soient supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques.
Il est rappelé aux apprenants que la suppression ou l’anonymisation sont des opérations irréversibles et que l’EN3S n’est plus, par la suite, en mesure de les restaurer.

Droit de confirmation et droit d’accès

L’apprenant ou le candidat dispose d’un droit à demander à l’EN3S la confirmation que des données le concernant sont ou non traitées.
L’apprenant ou le candidat dispose également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :

  • la demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité ;
  • être formulée par internet à l’adresse dpo@en3s.fr ou par écrit à l’adresse suivante :
    EN3S
    À l’attention du délégué à la protection des données
    27 rue des docteurs Charcot
    CS 13132
    42 031 SAINT-ÉTIENNE cedex 2

L’apprenant ou le candidat a le droit de demander une copie de ses données à caractère personnel faisant l’objet du traitement auprès de l’EN3S. Toutefois, en cas de demande de copie supplémentaire, l’EN3S pourra exiger la prise en charge financière de ce coût par l’étudiant ou le candidat.
Si l’apprenant ou le candidat présente sa demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.

L’apprenant ou le candidat est enfin informé que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.
Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.

Mise à jour – Actualisation et rectification

Afin de permettre une mise à jour régulière des données à caractère personnel collectées par l’EN3S, celle-ci pourra solliciter l’apprenant qui aura pour obligation de satisfaire à ses demandes.
L’apprenant ou le candidat dispose également d’un droit à la rectification de ses données.

Pour ce faire, l’EN3S :

  • met à disposition des apprenants et candidats tous les moyens nécessaires en ligne ou hors ligne pour que ces derniers leur fassent part de toute modifications sur les données à caractère personnel détenues par l’EN3S ; les rectifications interviennent, sauf cas exceptionnel motivé, dans un délai qui ne saurait être supérieur à huit (8) jours ;
  • met à jour ses bases de données une fois par année civile

L’apprenant ou candidat est informé que l’EN3S ne procèdera à aucune modification dite de « confort », seules des modifications substantielles sur l’état civil, l’identité et les coordonnées de l’apprenant seront réalisées.
Dans la mesure du possible, l’EN3S répercute ces rectifications auprès des personnes auxquelles il a transmis les données des apprenants. Cette obligation ne saurait toutefois s’imposer lorsqu’une telle démarche s’avère impossible ou exige des efforts disproportionnés.

Droit à l’effacement

Le droit à l’effacement de l’apprenant ou du candidat ne sera pas applicable dans les cas où le traitement est mis en oeuvre pour répondre une obligation légale.
En dehors de cette situation, l’apprenant ou le candidat pourra demander l’effacement de ses données dans les cas limitatifs suivants :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  • lorsque l’apprenant ou le candidat retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
  • l’apprenant ou le candidat s’oppose à un traitement fondé sur l’exécution d’une mission d’intérêt public ou nécessaire aux fins des intérêts légitimes poursuivis par l’EN3S et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
  • l’apprenant ou le candidat s’oppose à un traitement de ses données à caractère personnel à des fins de prospection, y compris au profilage ;
  • les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel l’EN3S est soumise.

Conformément à la législation sur la protection des données à caractère personnel, l’étudiant ou candidat est informé qu’il s’agit d’un droit individuel qui ne peut être exercé que par la personne concernée relativement à ses propres informations : pour des raisons de sécurité, le service concerné devra donc vérifier son identité afin d’éviter toute communication d’informations confidentielles vous concernant à personne autre que celle-ci.

Droit à la limitation

L’apprenant ou le candidat est informé qu’il ne dispose pas du droit à la limitation du traitement de ses données à caractère personnel dans la mesure où les traitements opérés par l’EN3S sont licites et que toutes les données à caractère personnel collectées sont nécessaires à l’exécution de la relation entre l’EN3S et les apprenants ou les candidats.

Droit à la portabilité

A l’issue de sa formation à l’EN3S, l’apprenant pourra, sur demande, exercer son droit à la portabilité sur les seules données qu’il a lui-même communiquées à l’EN3S. Ces données lui seront communiquées dans un format structuré, couramment utilisé et lisible par une machine.

Droit post-mortem

Les apprenants sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse dpo@en3s.fr ou par courrier postal à l’adresse ci-après, accompagné d’une copie d’un titre d’identité signé :
EN3S
À l’attention du délégué à la protection des données
27 rue des docteurs Charcot
CS 13132
42 031 SAINT-ÉTIENNE cedex 2

Caractère facultatif ou obligatoire des réponses

L’apprenant est informé sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses.
Dans le cas où des réponses sont obligatoires, l’EN3S explique à l’apprenant les conséquences d’une absence de réponse.

Données issues de réseaux sociaux

L’EN3S s’interdit d’exploiter, sans l’accord préalable de l’apprenant ou du candidat, les données et les informations d’ordre privée, même si elles sont rendues publiques et diffusées par ce dernier sur les réseaux sociaux.

Sous-traitance

L’EN3S informe l’apprenant qu’elle pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement de ses données à caractère personnel.
Dans ce cas, l’EN3S s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.

L’EN3S s’engage à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données qu’elle-même. De plus, l’EN3S se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.

Origine des données collectées

Les données collectées par l’EN3S sont soit collectées directement par elle, soit collectées de manière indirecte.

Données collectées directement auprès de l’apprenant ou du candidat

La collecte directe des données prend différentes formes :

  • données collectées lors de l’inscription ou de la réinscription administrative de l’apprenant auprès de l’EN3S ;
  • données collectées dans la préinscription ou l’inscription d’un candidat auprès de l’EN3S
  • données collectées par envoi ou remise d’une donnée personnelle par l’étudiant ou le candidat (courriel, lettre, carte de visites, etc.) ;
  • données techniques (données de connexion ou de trafic) liées à l’usage des services informatique ou numérique de l’EN3S.

Données collectées de manière indirecte

La collecte indirecte des données prend différentes formes : données collectées via d’autres universités ou écoles tierces à l’EN3S.

Sécurité

Il appartient à l’EN3S de définir et de mettre en oeuvre les mesures techniques de sécurité, physique ou logique, qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.
Pour ce faire, l’EN3S peut se faire assister de tout tiers de son choix pour procéder, aux fréquences qu’elle estimera nécessaire, à des audits de vulnérabilité ou des tests d’intrusion.
Sauf cas d’urgence ou risque imminent, les services concernés seront informés préalablement à la réalisation de ces audits et seront tenus de prendre les mesures de protection adaptées qui leur seront notifiées au préalable.
En tout état de cause, l’EN3S s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
En cas de sous-traitance d’une partie ou de la totalité d’un traitement de données à caractère personnel, l’EN3S s’engage à imposer contractuellement à ses sous-traitants des garanties de sécurité par le biais de mesures techniques de protection de ces données et les moyens humains appropriés.

Violation des données

En cas de violation de données à caractère personnel, l’EN3S s’engage à le notifier à la CNIL dans les conditions prescrites par le RGPD.
Si ladite violation fait porter un risque élevé pour les apprenants et que les données n’ont pas été protégées, l’EN3S :

  • en avisera les apprenants ou les candidats concernés ;
  • communiquera aux apprenants ou aux candidats concernés les informations et recommandations nécessaires.

Délégation à la protection des données

L’EN3S a désigné un délégué à la protection des données.
Les coordonnées du délégué à la protection des données sont les suivantes :
EN3S
À l’attention du délégué à la protection des données
27 rue des docteurs Charcot
CS 13132
42031 SAINT-ÉTIENNE cedex 2
dpo@en3s.fr
En cas de mise en oeuvre d’un nouveau de traitement de données à caractère personnel, l’EN3S saisira préalablement le délégué à la protection des données.
Si l’apprenant ou le candidat souhaite obtenir une information particulière ou souhaite poser une question particulière, il lui sera possible saisir le délégué à la protection des données qui lui donnera une réponse dans un délai raisonnable au regard de la question posée ou de l’information requise.
En cas de problème rencontré avec le traitement des données à caractère personnel, l’apprenant ou le candidat pourra saisir le délégué à la protection des données désigné.

Flux transfrontières

L’EN3S se réserve seule le choix d’avoir ou non des flux transfrontières pour les données à caractère personnel qu’elle collecte et qu’elle traite.
En cas de transfert de données à caractère personnel vers un pays tiers à l’Union Européenne ou vers une organisation internationale, l’EN3S en informera l’étudiant et s’assurera du bon respect de ses droits de ces mêmes personnes.
L’EN3S s’engage si nécessaire à signer un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données.
Les dispositions relatives aux flux transfrontières sont opposables à l’EN3S, sauf dans les cas dérogatoires prévus à l’article 49 du RGPD.

Registre des traitements

L’EN3S, en tant que responsable du traitement, s’engage à tenir à jour un registre de toutes les activités de traitement effectuées.
Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en oeuvre par l’EN3S en tant que responsable du traitement.
L’EN3S s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la réglementation informatique et libertés en vigueur.

Droit d’introduire une réclamation auprès de la CNIL

L’apprenant ou le candidat concerné par le traitement de ses données à caractère personnel est informé de son droit d’introduire une plainte auprès d’une autorité de contrôle, à savoir la CNIL, s’il estime que le traitement des données à caractère personnel le concernant n’est pas conforme à la réglementation européenne de protection des données, à l’adresse postale suivante :

COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
(du lundi au jeudi de 9h à 18h30 / le vendredi de 9h à 18h)
Fax : 01 53 73 22 00

Évolution

La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages.
Toute nouvelle version de la présente politique sera portée à la connaissance des apprenants par tout moyen défini par l’EN3S, en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).

Pour plus d’informations

Pour toutes informations complémentaires, vous pouvez contacter le délégué à la protection des données : dpo@en3s.fr