Données personnelles
Politique de protection des données de l’ITES
Depuis le 25 mai 2018, le nouveau Règlement Général sur la Protection des Données Personnelles (2016/679 du 27 avril 2016) est entré en vigueur. Le RGPD est la nouvelle réglementation Européenne en matière de protection des données qui complète et renforce les anciens textes sur le sujet (loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la Directive 95/46/CE). Il concerne tous les pays et les citoyens membre de l’Union Européenne. Le texte s’inscrit dans la logique des délibérations du 14 avril 2016 (AU-047 à 048), il est complété par une directive (2016/680) et est transposé dans notre législation par la loi du 20 juin 2018 relative à la protection des données personnelles.
En ce sens, l’ITES, situé 170 Rue Jules Janssen, 29806 BREST Cedex 9 est directement concerné par cette nouvelle réglementation. Dans le cadre de l’exécution de ses activités de formation longue et courte, cet institut est amené à collecter et à traiter des données à caractère personnel.
L’ITES accorde une grande importance à garantir la confidentialité et la sécurité de ces données.
Cette politique a pour objectif de vous informer des engagements pris et des garanties mis en place quant au traitement et à la sécurité des données à caractère personnel. Elle rappelle également les droits des personnes concernées par la collecte, le traitement et le stockage de leurs données personnelles.
Cette politique s’applique à l’ensemble des sites de l’ITES, notamment de Brest et de Quimper.
Quelles sont les données à caractère personnel que l’ITES collecte ?
Qu’est-ce qu’une donnée à caractère personnel ?
On entend par données personnelles toutes données relatives à une personne physique, qui peut être identifiée ou identifiable par quelqu’un, quel que soit le moyen utilisé, de manière directe ou indirecte et par le biais d’une ou plusieurs données (croisement de données).
Par exemple :
- Données directement identifiantes : nom et prénom, photo, e-mail nominatif, etc.
- Données indirectement identifiantes : NIR, empreinte digitale, etc.
- Identification par croisement de données : Le fils du directeur général d’une structure sociale appelée…, située à telle adresse à Paris.
Quelles sont les données à caractère personnel traitées par l’ITES ?
ITES collecte et traite des données nécessaires à l’inscription aux formations, que cette formation soit longue ou courte. Les données concernées sont les suivantes :
- Pour les Prospects : Nom, prénom, adresse postale, numéro de téléphone, adresse de courrier électronique, établissement de formation, prescripteur de formation, demande de services et/ou de documentation, niveau d’études ou dernier diplôme obtenu, la situation (lycéen, étudiant, salarié, demandeur d’emploi, etc.).
- Pour les Étudiants, Stagiaires, Candidats, Clients et Tiers-payeurs : État-civil (nom, prénom, adresse, date et lieu de naissance, nationalité, civilité), photo, moyens de contacts (téléphone, adresse email, identifiants réseaux sociaux, adresse postale), moyens de paiement (relevé d’identité postal ou bancaire, numéro de chèque et/ou les éléments liés à la carte bancaire et le cas échéant n° de transaction, détail du service souscrit), historique de la relation contractuelle, le cas échéant consentements, cursus scolaire, situation, expérience professionnelle et motivations.
- Pour les Intervenants : État-civil (nom, prénom, adresse, date et lieu de naissance, nationalité, civilité), moyens de contact (téléphone, adresse email, identifiants réseaux sociaux, adresse postale), adresse postale, cursus académique (diplômes, spécialités obtenues, années d’obtention, niveaux linguistiques et de management, expériences professionnelles antérieures (intitulé(s) du ou des poste(s) ou stage(s), fonctions, responsabilités, entreprises, niveau de salaire), situation et expérience professionnelle, domaines d’expertises, moyens de paiement (relevé d’identité postal ou bancaire, numéro de chèque et/ou les éléments liés à la carte bancaire et le cas échéant n° de transaction, détail du service souscrit), photo.
- Pour les Anciens : Nom, prénom, adresse email, poste/fonction, numéro de téléphone et en cas de suivi de cohorte, la situation professionnelle.
- Pour les Entreprises, Prestataires, Partenaires : Les éléments concernant leur entité (nom, forme sociale, capital social, Siret, adresse du siège social, …), les éléments de contractualisation, les moyens de paiement et/ou de facturation des différentes transactions ainsi que les contacts dans ces entités (civilité, nom, prénom, adresse email, poste, fonction, numéro de téléphone, …).
Quels sont les acteurs concernés et impliqués dans le traitement des données à caractère personnelles de l’ITES ?
- « Les Prospects », signifie toute personne potentiellement intéressée par une formation ou un évènement organisé ou co-organisé par l’ITES.
- « Les Étudiants» ou « Les Stagiaires », caractérisent toute personne inscrite en formation certifiante ou diplômante.
- « Les Candidats », caractérise toute personne ayant confirmé son inscription pour passer les épreuves sélectives pour entrer en formation.
- « Les Clients », caractérise toute personne ayant confirmé son inscription en formation continue VAE ou bilans de compétences.
- « Les Tiers-payeurs », caractérise la personne physique ou morale gérant tout ou partie du financement de la formation d’un Client ou d’un Étudiant.
- « Les Anciens », désigne toute personne ayant suivi une formation. diplômante/certifiante ou pas, ayant terminé leur formation ou pas.
- « Les Intervenants » désigne toute personne en charge d’une prestation pédagogique, qu’il soit salarié de l’ITES ou pas.
- « Les Prestataires » désigne les entreprises ou les organismes auxquels L’ITES est lié par un contrat d’achat.
- « Les Partenaires », désigne les entreprises ou organismes avec lesquels l’ITES entretient une relation contractuelle de partenariat, notamment dans le cadre de la formation longue, formation continue, formation courte (OPCO, conseil régional, etc.), et aussi dans le cadre de l’animation de territoire.
- « Les Destinataires », désigne la personne, l’autorité ou l’organisme avec qui l’ITES échange des données (conseil régional et départemental, rectorat de Rennes, etc.)
- « Le Responsable du traitement », désigne la personne responsable de tous les traitements mis en œuvre au sein de l’ITES pour la réussite de sa mission de formation. Ici le Responsable du traitement est la directrice de l’ITES ;
- « Le Délégué à la protection des données » (DPO), désigne la personne en charge d’informer, conseiller, contrôler le respect de la réglementation, d’aider à mesurer les risques encourus par la collecte, le traitement et le stockage des données et de coopérer avec la Commission Nationale Informatique et Libertés (CNIL).
Quels sont les principes appliqués par l’ITES ?
- les données sont traitées de manière licite, loyale et transparente :
- licite : le traitement repose sur un fondement juridique clair et explicite ;
- loyale : le traitement est notifié et inscrit au registre des traitements ;
- transparente : les informations relatives au traitement vous sont délivrées.
- les données sont collectées pour des finalités déterminées, explicites et légitimes :
- déterminées : l’objectif pour lequel les données sont collectées est défini clairement ;
- explicites : cet objectif peut être exprimé de manière à ce qu’il puisse être facilement compris ;
- légitimes : cet objectif repose sur au moins une des bases légales définies par la réglementation.
- les données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités ;
- adéquates : les données collectées répondent à une nécessité qui ne pourrait être atteinte autrement ;
- pertinentes : les données collectées permettent d’atteindre l’objectif fixé pour le traitement ;
- limitées : seules les données strictement nécessaires sont collectées.
- les données collectées sont exactes et, si nécessaire, tenues à jour :
- exactes : une attention particulière est portée sur l’exactitude des données et l’élimination des données inexactes ;
- tenues à jour : une revue régulière des données permet d’éliminer les données obsolètes ;
- les données sont conservées pour une durée qui ne dépasse pas celle nécessaire au traitement ou au respect d’une obligation légale de conservation ;
- les données sont traitées de façon à garantir un niveau de sécurité approprié.
Sur quelles bases légales l’ITES s’appuie pour traiter les données et combien de temps l’ITES conserve les données ?
Les bases légales sur lesquelles sont traitées les données sont fonction des finalités du traitement qui va être opéré :
- soit sur la base du consentement, dans ce cas il doit être :
- libre : la personne est en capacité de consentir ;
- spécifique : le consentement porte sur une finalité précise ;
- éclairé : l’ITES donne toutes les informations nécessaires au sujet du traitement ;
- univoque : le consentement est recueillie à partir d’un acte positif et non ambigüe.
- soit sur d’autres bases légales eu égard aux obligations qui sont les nôtres, ces bases légales sont conformes à la réglementation européenne et française. Le tableau ci-dessous reprend les finalités de nos traitements et les bases légales sur lesquelles nous nous appuyons.
Finalités pour lesquelles nous traitons vos données personnelles | Base légale sur laquelle nous fondons le traitement | Durée de conservation |
La gestion et le suivi de la candidature et une fois admis le suivi administratif, financier et pédagogique de la formation des Clients/Étudiants | Respect d’une obligation légale | – 2 ans si cela ne donne pas lieu à une reconnaissance académique spécifique ou pour les candidats non admis ou s’étant désistés – Toute la durée de la formation + 50 ans pour les candidats admis à un programme diplômant ou certifiant – 1 an après la fin de la prestation pour le bilan de compétences – 2 ans après la fin de la prestation VAE |
Gestion des dossiers tiers payeur | Respect d’une obligation légale | 2 à 5 ans à compter du dernier versement effectué selon la prestation |
Pièces liées à des demandes de bourses seront conservées Les listes récapitulatives des élèves boursiers | Respect d’une obligation légale | 5 ans |
Convention de financement avec les organismes pour la formation continue | Respect d’une obligation légale | – 1 an après l’épurement des comptes – 2 ans pour la VAE |
Suivi médical | Respect d’une obligation légale : Code de la santé publique + RGPD et LIL | 20 ans à compter de la dernière visite |
Utilisation de vos données personnelles dans des situations de danger et lorsque nous ne pouvons pas obtenir votre consentement (par exemple, en cas d’accident et que nous devons donner vos données personnelles au personnel médical) | Traitement nécessaire à la sauvegarde de vos intérêts vitaux | Une fois que l’acte médicale est finalisé |
Gestion de la communication : Mise en place d’opérations de prospection et de publicité relatives aux formations, d’activités ou événements organisés par l’ITES ou sa communauté et à l’abonnement aux newsletters | Intérêt légitime de notre organisme à développer son activité, accroître votre pouvoir d’agir, améliorer la qualité de nos prestations | – 2 ans après le dernier contact – Jusqu’au désabonnement de la personne concernée pour les newsletters |
Gestion des évènements indésirables graves (contentieux, discipline) | Respect d’une obligation légale | – 10 ans pour les dossiers disciplinaire et exclusion. – Toute la durée du contentieux et jusqu’à l’extinction des voies de recours |
Gestion de la sécurité du système d’information | Respect d’une obligation légale (RGPD et LIL) | Politique d’archivage La Sauvegarde |
Gestion des ressources humaines | Respect d’une obligation légale : code du travail + RGPD et LIL | Politique d’archivage La Sauvegarde |
Gestion de la comptabilité | Respect d’une obligation légale : code des finances et du commerce + RGPD et LIL | Politique d’archivage La Sauvegarde |
Gestion des logs pour la wifi publique | Respect d’une obligation légale : code des postes et des communications | 1 an puis effacées |
Gestion d’images (formateur, salarié, étudiant formé) | Respect de la vie privée par le consentement qui vaut accord de cession de droit à l’image | Toute la durée de la formation avec une mise à jour tous les ans |
Gestion des enquêtes et questionnaires | Intérêt légitime de notre organisme à développer et organiser son activité, rendre le service attendu, améliorer la qualité des prestations | Anonyme donc illimité |
Mise en ligne des offres d’emploi du secteur | Intérêt légitime pour l’organisme qui dépose l’annonce | Le temps de validité de l’offre |
Gestion des comptes utilisateurs étudiants et des intervenants extérieurs « mon espace ITES » | Intérêt légitime de l’étudiant | Suppression des comptes 1 an à compter de la fin de la formation des étudiants ou 1 an à compter de leurs inactivités. |
Gestion des comptes utilisateurs étudiant CRD « Centre de Ressource Documentaire » | Intérêt légitime de l’étudiant | Suppression des comptes utilisateurs étudiants 3 mois à compter de la fin de leur formation. |
Avec qui l’ITES peut partager les données personnelles ?
Universités partenaires de l’ITES.
- Organismes liés à la vie étudiante tels que le Cnous, Crous, mutuelles étudiantes. Le cas échéant, associations étudiantes de l’ITES.
- Partenaires de l’ITES :
- Les organismes liés à la formation continue type Opco.
- Les organismes liés aux subventions tels que pôle emploi, conseil régional et départemental, employeur.
- Les professionnels participant aux jurys ou intervenant dans le cadre d’une formation dispensée par l’ITES.
- Prestataires tels que :
- Éditeurs de contenus ou de services pédagogiques liés à l’ITES ou accessibles via les plateformes numériques de L’ITES
Quelle est la politique de confidentialité de l’ITES ?
Nous traitons les données personnelles vous concernant dans le respect de la confidentialité de celles-ci.
Ces dispositions s’appliquent à l’ensemble des intervenants internes ou externes à l’ITES.
Par ailleurs un certain nombre de nos personnels sont soumis au secret professionnel.
Quelles mesures de sécurité applique l’ITES sur les données ?
Soucieuse de garantir la sécurité des données, l’ITES met en place un niveau de sécurité adapté et proportionnel aux risques encourus en prenant toutes les précautions utiles, qu’elles soient physiques, logiques, administratives ou organisationnelles, au regard de la nature des données qu’il collecte, traite ou transfère.
Parmi ces mesures figurent principalement :
- Protection et contrôle des accès aux locaux par des moyens techniques : pass hiérarchisé pour les salariés.
- Sécurisation des espaces de stockage en interne (bureau, armoire).
- Réseau Internet public à disposition des étudiants sécurisé par un dispositif (sauvegarde des logs de connexion, filtrage, charte de bon usage du réseau).
- Réseau de l’ITES sécurisé par un VPN (Virtual Private Network) avec un « Remote PC Acces » jumelé à un Citrix pour les connexions à distance.
- L’utilisation d’un protocole de cryptage de type SSL pour la transmission des données entre les terminaux et les serveurs de l’ITES ou de ses prestataires de service.
- Sécurisation des équipements, serveurs et applications (stratégie SI : gestion des comptes, stratégie MP, restriction tentative de connexion, plan de classement, habilitation, antivirus, mises à jour, firewall, https, délai rétention des mails, etc.).
- Sauvegardes des serveurs régulières (hebdomadaire et mensuel).
- Maîtrise des postes de travail habilités à se connecter sur le réseau interne (inventaire des actifs).
- Pseudonymisation lors des corrections et des sélections à l’entrée en formation.
- Mise en place d’une démarche RGPD globale visant l’amélioration constante de la protection et de la sécurisation des données à l’échelle organisationnelle. Désignation d’une dpo : dpo@adsea29.org.
Quels sont vos droits ?
Conformément à la loi informatique et liberté et au chapitre III du RGPD vous disposez de plusieurs droits :
Conformément à la nouvelle réglementation Européenne sur la protection des données, vous disposez d’un droit d’accès, d’opposition, de rectification, d’effacement, de limitation et de portabilité que vous pouvez exercer auprès de la déléguée à la protection des données de la sauvegarde 29 : dpo@adsea29.org ou via l’adresse : accueil@ites-formation.com
Droit d’accès
Vous disposez d’un droit d’accès aux données vous concernant traitées par l’ITES. Il vous permet de prendre connaissance des données dont nous disposons sur vous et, si vous le souhaitez, d’en demander une copie.
Droit à la rectification
Aux termes de la réglementation applicable en matière de protection des données personnelles, vous pouvez solliciter de notre part la rectification des données à caractère personnel vous concernant. Vous pouvez également demander que les données à caractère personnel incomplètes vous concernant soient complétées, y compris en fournissant, à l’appui, une déclaration complémentaire.
Droit à l’effacement
Vous disposez du droit d’obtenir de notre part l’effacement, dans les meilleurs délais, des données à caractère personnel vous concernant sous réserve qu’elle n’aille pas à l’encontre de notre mission, de notre intérêt et du votre ou de toute obligation légale nous en imposant la conservation.
Sur demande, nous procéderons à la suppression de vos données dans un délai maximum d’un mois, conformément aux exigences de la réglementation applicable en matière de protection des données personnelles.
Droit à la limitation du traitement
Vous pouvez solliciter l’ITES pour la limitation du traitement de vos données lorsque l’un des éléments suivants s’applique :
a) vous contestez l’exactitude des données à caractère personnel vous concernant. Dans ce cas, nous masquerons les données vous concernant, pendant une durée nous permettant d’en vérifier l’exactitude ;
b) vous estimez que le traitement de vos données est mis en œuvre de manière illicite et vous opposez à leur effacement mais exigez à la place la limitation de leur utilisation ;
c) nous n’avons plus besoin des données à caractère personnel vous concernant aux fins du traitement mais celles-ci sont encore nécessaires pour vous permettre de faire constater, d’exercer ou de défendre un droit en justice ;
d) vous avez exercé votre droit d’opposition en vertu de l’article 21, paragraphe 1 du Règlement général relatif à la protection des données. Nous procéderons à la limitation du traitement de vos données, pendant la vérification portant sur le point de savoir si les motifs légitimes que nous poursuivons prévalent sur votre droit.
Si nous décidons de lever la limitation du traitement de vos données personnelles, nous vous en tiendrons informé.
Droit à l’opposition
Vous pouvez vous opposer à la réception de communications non commerciales de l’ITES (par exemple : plaquette de présentation, invitation à des journées ou des actions organisées par l’ITES, etc.). Nous mettons à cette fin un service de désinscription disponible en cliquant sur un lien dans nos mails ou en contactant l’ITES : communication@ites-formation.com.
Vous pouvez également vous opposer, pour des motifs légitimes, au traitement de vos données, sauf si celui-ci répond à une obligation légale s’imposant à La Sauvegarde du Finistère.
Droit à la portabilité
Vous pouvez à tout moment demander la portabilité de vos données à l’ITES. Nous nous engageons à vous transmettre dans un délai raisonnable et dans un format lisible par machine les données que vous nous aurez fournies qu’elles aient été déclarées par vous-même ou générées par votre activité sur la plateforme.
Droit de retrait du consentement
Vous avez le droit de refuser à tout moment le traitement de vos données personnelles pour des raisons personnelles.
Droit d’introduire une réclamation auprès d’une autorité de contrôle
Si vous estimez, après nous avoir contactés, que vos droits « informatique et libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l’Informatique et des Libertés (CNIL).
CNIL (COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS)
3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Tél. : 01 53 73 22 22
(du lundi au jeudi de 9h à 18h30 / le vendredi de 9h à 18h)
Fax : 01 53 73 22 00
Si vous avez une question sur vos droits informatique et libertés, vous pouvez consulter le site de la CNIL: https://www.cnil.fr
Comment exercer ces droits auprès de l’ITES?
Conformément à la loi informatique et liberté et au chapitre III du RGPD vous disposez de plusieurs droits sur le traitement des données à caractère personnel qui vous concerne : accès, rectification, effacement, limitation, portabilité. Pour les exercer :
- Vous devez adresser votre demande par mail ou par courrier postal à :
dpo@adsea29.org ou accueil@ites-formation.com
OU
Accueil ITES
170 Rue Jules Janssen, 29806 Brest cedex 9 - Votre courrier doit mentionner votre nom, prénom, établissement de prise en charge, et spécifier l’objet de votre demande. Votre courrier doit être accompagné de la photocopie d’un titre d’identité comportant votre signature dont la durée conservation ne dépassera pas le temps nécessaire au traitement de la demande.
- Conformément à l’article 12 du RGPD, le responsable du traitement facilite l’exercice des droits conférés à la personne concernée.
« Le traitement de la demande sera assuré dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande.
La réponse vous sera adressée par voie électronique (dont vous accuserez réception par retour de mail) ou à défaut vous sera expédiée par voie postale en LR/AR.
Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. » - Aucun paiement n’est exigé pour fournir les informations demandées. Sauf lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif.
- Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.