1. Objectifs et champ d'application de la politique
1.1 Objectifs
NEOMA BS s’engage à assurer la protection des données obtenues dans le cadre de ses activités et à se conformer aux lois et réglementations applicables en matière de Traitement de Données à Caractère Personnel, et notamment au Règlement Européen n° 2016/679 sur la protection des données personnelles.
L’objet principal de la présente Politique est d’assurer et de faire connaître la mise en place par NEOMA BS de structures appropriées de gouvernance, de contrôle ainsi que de méthodes et procédures garantissant la conformité avec les lois et réglementations applicables en matière de protection des Données à Caractère Personnel.
Dans ce cadre, la Politique établit les standards minimums suivants :
- Nomination d’un DPO en charge de la supervision et de l’application de cette politique au sein de NEOMA BS
- Adoption par NEOMA BS des exigences et standards minimums pour l’ensemble des traitements de données à caractère personnel
1.2 Champ d’application de la Politique
La Politique s’applique à l’ensemble des collaborateurs et à tous les services de NEOMA BS répartis sur les différents campus.
Elle s’applique à toutes les Données Personnelles recueillies, traitées, partagées par NEOMA BS, à la fois en ligne et hors ligne, y compris :
- Le Site internet de NEOMA BS ;
- Les Pages officielles de NEOMA BS sur les réseaux sociaux ;
- Le logiciel de gestion intégrée ;
- Les CRM ;
- Les autres outils et bases de données utilisés au sein de l’école ;
- Les Emails échangés au sein de l’école ;
- Les conversations et correspondances ;
- Les formulaires papiers.
Une communication adéquate sur la Politique doit être réalisée par NEOMA BS conformément au point VII « Sensibilisation et Formation » ci-dessous.
Conformément au droit du travail applicable, à ses propres règles internes et contrats de travail, NEOMA BS peut prendre des mesures disciplinaires à l’égard de ses propres collaborateurs, notamment en cas de non-respect des standards minimums de protection des Données à caractère Personnel établis par la présente politique.
1.3 L’application de la politique aux Tiers
Sous réserve de dispositions législatives ou réglementaires contraires, la présente politique doit être appliquée aux Tiers qui ont accès ou à qui sont transmises les Données Personnelles des Apprenants, des Anciens Apprenants, des Professeurs, des Intervenants, des Collaborateurs de NEOMA BS et de toutes autres personnes dont NEOMA BS traite les Données personnelles.
Chaque Responsable de Traitement doit s’assurer que les contrats avec les Tiers ayant un accès aux Données à caractère personnel de NEOMA BS contiennent au minimum des dispositions sur les points suivants :
- La ou les bases juridiques du traitement ;
- Le périmètre de responsabilité ;
- La propriété des Données ;
- Les caractéristiques du traitement (objet, durée, nature, finalité, données personnelles utilisées et personnes concernées) ;
- Les transferts internationaux des Données ;
- Le respect des instructions et le recours à d’autres Sous-traitants ;
- La politique de gestion des droits des personnes concernées ;
- Le sort des Données à l’expiration du contrat ;
- L’obligation de sécurité et de confidentialité des Données ;
- La possibilité pour le Responsable de Traitement de réaliser un audit auprès du Tiers
- La procédure en cas de violations des Données (failles de sécurité)
2. Définitions
Dans le cadre de la présente Politique et des annexes, les termes employés auront le sens qui leur est donné par la présente section :
« Données à Caractère Personnel/Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, N° de carte d’identité, salaire/rémunération, dossiers de santé, informations de compte bancaire, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
La définition est délibérément très large. D’autres informations (par exemple une adresse, un lieu de travail, un numéro de téléphone, des caractéristiques physiques ou la profession) combinées seront généralement suffisantes pour identifier clairement un individu.
« Données à Caractère Personnel Sensibles » (exemples, liste non exhaustive) désigne les Données à Caractère Personnel telles que :
- L’origine raciale ou ethnique, les opinions politiques ou les convictions religieuses ou philosophiques de la Personne Concernée ;
- L’appartenance à une organisation syndicale ;
- La santé physique ou mentale ou les conditions/vie sexuelle de la Personne Concernée ;
- Les données soumises à une réglementation spécifique (données financières, données médicales…);
- Les données génétiques et biométriques ;
- La commission présumée d’infraction par la Personne Concernée ;
- Toutes poursuites engagées pour une infraction commise ou présumée commise par la Personne Concernée, la soumission de telles poursuites ou la décision de toute juridiction dans le cadre de telles poursuites ;
« Personne Concernée » désigne l’individu qui peut être identifié ou distingué des autres, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à ses caractéristiques physiques, physiologiques, mentales, économiques, comportementales, culturelles ou sociales. Cela inclut les Apprenants, salariés, professeurs, prospects, intervenants, anciens Apprenants, etc.
« Responsable de Traitement » désigne une personne qui, seule ou conjointement, décide quelles Données à Caractère Personnel sont collectées, pourquoi et comment elles sont collectées et traitées. Dans la plupart des cas, il s’agira de la personne ou la société qui « possède » les Données. Être le Responsable de Traitement ne signifie pas qu’il a la propriété des données et qu’il puisse les divulguer ou les utiliser comme il l’entend.
Au sens du Règlement Européen sur la protection des données à caractère Personnel, le Responsable de Traitement sera entendu au sens général comme l’entité incarnée par son Dirigeant, et par délégation de pouvoir expresse et écrite, les Responsables de services ou de métiers. Ces personnes seront-celles responsables au regard du Règlement Européen.
Cependant, dans le cadre de la présente Politique, tout collaborateur qui, seul ou conjointement, décide quelles Données à Caractère Personnel sont collectées, pourquoi et comment elles sont collectées et traitées sera responsable d’appliquer la présente Politique. Le terme « Collaborateur en charge du traitement » fera référence à ce collaborateur.
« Sous-Traitant » désigne toute personne ou société, non employée du Responsable de Traitement, qui traite des Données à Caractère Personnel au nom du Responsable de Traitement et selon ses instructions (par exemple des prestataires ou fournisseurs). Le Responsable de Traitement doit assurer le maintien de la même obligation de diligence lorsqu’un Sous-Traitant traite des Données à Caractère Personnel en son nom et pour son compte.
« Tiers » désigne toute personne physique ou morale, autorité publique, agence ou tout autre organisme autre que la Personne Concernée, le Responsable du Traitement, le Sous-Traitant et les personnes qui, sous l’autorité directe du Responsable du Traitement ou du Sous-Traitant, sont habilitées ou autorisées à traiter les Données. Les partenaires commerciaux ou institutionnels sont des Tiers au sens de la présente politique. Il peut aussi s’agir d’organismes qui ont vocation à être destinataires des données au titre d’une obligation légale (organismes de sécurité social, mutuelle, etc.).
« Traitement de Données à Caractère Personnel » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’accès, l’enregistrement, la copie, la reproduction, le transfert, la recherche, le tri, la conservation, le stockage, la séparation, le croisement, la fusion, la modification, la structuration, l’adaptation, la mise à disposition, l’utilisation, la divulgation, la diffusion, la communication, l’extraction, l’enregistrement, l’organisation, l’adaptation, la divulgation par transmission ou toute autre forme de mise à disposition, la dissimulation, le déplacement, le rapprochement, l’interconnexion, la limitation, l’effacement, la destruction ainsi que la mise en œuvre d’autres actions sur les Données, que ce soit de manière automatique, semi-automatique ou autre. Cette liste n’étant pas exhaustive.
« Destinataire » désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un Tiers.
« Consentement » de la personne concernée désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement par NEOMA BS.
« Violation de Données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données ;
«Transfert de données » désigne toute communication, toute copie ou déplacement de Données par l’intermédiaire d’un réseau dans un pays situé hors Union Européenne, ou toute communication, toute copie ou déplacement de ces données d’un support à un autre, quel que soit ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire situé hors Union Européenne (exemple : Transfert à un fournisseur de services pour informatiser la collecte des données, plateforme informatique internationale, maintenance IT internationale, organisation d’échanges entre écoles et universités partenaires, accréditations internationales des professeurs, transmission à des organismes de presse internationaux pour le classement des grandes écoles, etc.).
« Importateur de Données » désigne tout Responsable de traitement, Sous-traitant ou Tiers traitant des Données personnelles qu’il reçoit du Responsable de traitement dans le cadre d’un Transferts de Données.
« Exportateur de Données » désigne un Responsable de Traitement, Sous-Traitant ou Tiers qui transfère des Données à caractère Personnel depuis le pays dans il est localisé à NEOMA BS (soit par lui-même, un Sous-traitant ou un Tiers) à un autre pays situé hors Union Européenne.
« Finalités de traitement » désigne l’objectif poursuivi par le Traitement de Données à caractère personnel ou l’objectif principal d’une application informatique traitant des Données personnelles. Exemples de finalité : gestion des recrutements, gestion des inscriptions aux concours, gestion des inscriptions des Apprenants, vidéoprotection des locaux, gestion des prêts en médiathèque, etc.
« Règles d’entreprise contraignantes » ou BCR désigne les règles internes relatives à la protection des données à caractère personnel qu’applique le Responsable de Traitement établi sur le territoire d’un État membre de l’Union Européenne pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays hors Union Européenne au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe;
3. Standards et exigences minimums
La collecte et le traitement de Données à caractère personnel doivent respecter les principes minimums détaillés ci-après :
1. La transparence
2. La minimisation et l’adéquation
3. Le respect des finalités de traitement
4. La licéité et le consentement
5. Le transfert de Données
6. La durée de conservation
7. Les droits des personnes concernées
8. La sécurité des Données
9. Privacy by Design et by Default
10. Relations avec les Sous-traitants
11. Accountability
12. Registre des traitements
13. Exigences additionnelles
3.1 La transparence
Toutes les Données à caractère personnel collectées doivent être collectées et traitées de manière licite, loyale, et transparente au regard de la personne concernée.
3.1.1 Quelles informations fournir aux personnes concernées ?
Les informations suivantes doivent être systématiquement fournies aux personnes dont les Données personnelles font l’objet d’un Traitement par NEOMA et doivent notamment figurer sur le site internet opéré par NEOMA :
- L’identité et les coordonnées de NEOMA BS en tant que Responsable de traitement,
- Toutes les Finalités de traitement ;
- Les coordonnées du DPO ;
- La base juridique du traitement (voir la liste au 3.4), le cas échéant, les intérêts légitimes poursuivis ;
- La durée de conservation ou les critères de détermination de cette durée ;
- Le cas échéant, les destinataires ou catégories de destinataires ;
- Les droits des personnes concernées ;
- La possibilité d’introduire une réclamation auprès de la CNIL ;
- Le cas échéant, l’existence d’un transfert de données hors Union Européenne ainsi que les informations et les garanties qui s’y rattachent ;
- Le cas échéant, le fait que la fourniture des Données dépend d’une exigence à caractère réglementaire ou contractuel ;
- Le cas échéant, le fait que la fourniture des Données conditionne la conclusion d’un contrat ;
- L’existence d’une obligation pour la Personne concernée de fournir ses Données ;
- Les conséquences de la non fourniture des Données ;
- Le cas échéant, le droit de retirer son consentement pour les traitements basés sur le consentement ;
- Le cas échéant, l’existence d’une décision automatisée et les informations qui s’y rattachent ;
- Le cas échéant, l’existence d’un Traitement ultérieur pour une autre Finalité et les informations qui s’y rattachent.
3.1.2 Quand informer les personnes ?
Au moment de la collecte des Données à caractère Personnel, les informations relatives au Traitement des Données doivent être communiquées aux Personnes Concernées d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
Par exemple :
- les salariés et professeurs seront informés par l’intermédiaire d’une clause dans le contrat de travail ou dans le règlement intérieur ;
- les Apprenants seront informés grâce à une mention sur le formulaire d’inscription à NEOMA (en ligne ou papier) ;
- les inscrits au concours recevront cette information par l’intermédiaire du formulaire d’inscription au concours d’entrée à NEOMA (en ligne ou papier).
De manière générale, une mention d’information figure sur tout formulaire de collecte de Données personnelles, en ligne ou sur support papier. Une mention d’information doit aussi être disponible sur le site internet de NEOMA.
Dans le cas où NEOMA ne collecterait pas directement les Données personnelles auprès des Personnes concernées (ex : campagne d’e-mailing grâce à des données fournies par des partenaires institutionnels, etc.), les informations du 3.1.1 doivent être fournies au plus tard lors de la première communication avec la Personne concernée (par exemple, lorsque le premier e-mail est envoyé à la Personne concernée). Cependant, si cette première communication intervient plus d’un mois après l’obtention des Données personnelles, les Personnes concernées devront être informées avant l’expiration de ce délai d’un mois. Les informations supplémentaires suivantes devront être fournies :
- les catégories de Données personnelles collectées ;
- la source d’où proviennent les données personnelles, avec l’indication du caractère public ou non public de cette source.
3.1.3 Par quels moyens informer les personnes ?
Ces informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la Personne concernée soit démontrée par d’autres moyens.
3.2 La minimisation et l’adéquation
Les Données à caractère personnel collectées pour toute finalité doivent être pertinentes et non excessives par rapport au but poursuivi par le Traitement. En d’autres termes, seules les Données strictement nécessaires pour atteindre l’objectif poursuivi par le Traitement doivent être collectées.
Afin d’accomplir cette obligation, avant la mise en place du projet ou du traitement, le Collaborateur en charge du traitement doit vérifier l’adéquation et la proportionnalité de chaque donnée personnelle par rapport à la Finalité du Traitement. Pour chaque nouveau projet ou traitement, cette vérification devra nécessairement être accompagnée par la réalisation d’une analyse de risque sur la vie privée des personnes conformément à la procédure de gestion de projet établie par NEOMA BS.
Par ailleurs, les Données à Caractère Personnel collectées doivent être exactes, complètes et, si nécessaire, mises à jour.
Le Collaborateur en charge du Traitement doit toujours s’assurer que son fichier est à jour des consentements exprimés par les Personnes concernées lorsque le consentement est requis pour le Traitement qui sera mis en œuvre.
3.3 Le respect des finalités de traitement
Avant toute collecte des Données personnelles, le Collaborateur en charge du traitement doit définir de façon claire tous les objectifs poursuivis par la collecte des Données.
Les Données à Caractère Personnel ne doivent pas être traitées pour une Finalité ultérieure incompatible avec la Finalité initiale pour NEOMA les Données ont été collectées. Par exemple, les traitements réalisés à des fins statistiques ne sont pas considérés comme incompatibles avec la finalité initiale.
Pour pouvoir effectuer tout traitement ultérieur dont la finalité est incompatible avec la finalité initiale, le Collaborateur en charge du traitement doit s’assurer qu’il a reçu le consentement de la Personne Concernée pour cette nouvelle Finalité et dans le cas contraire recueillir le consentement de la Personne Concernée ou répondre à une autre condition de licéité (exécution d’un contrat avec la personne, respect d’une obligation légale, intérêt légitime de NEOMA BS).
La collecte de ces informations a pour but de permettre :
- La mise en place d’opérations de prospection et de publicité relatives aux programmes, activités ou événements organisés par NEOMA BS ou à l’abonnement aux newsletters de NEOMA BS ;
- L’accès à la plateforme d’admission et son amélioration ;
- La gestion et le suivi de la candidature et, une fois admis, le suivi administratif, financier et pédagogique de la formation des Clients ;
- Le suivi de la relation Client ;
- La gestion des achats ;
- La facturation ;
- La gestion des impayés et des contentieux ;
- L’attribution soit :
- Pour les Apprenants : d’une carte Apprenant internationale multi-services, comportant sa photo individuelle, permettant d’attester de son identité ainsi que d’accéder au campus, à ses locaux, aux points de restauration de NEOMA BS et le cas échéant aux services de la bibliothèque, d’imprimer et/ou photocopier des documents, d’accéder aux points de restauration du Crous et de régler des dépenses ;
- Pour les apprentis et stagiaires de la formation continue, une carte étudiant des métiers.
- Pour les autres Utilisateurs, d’un badge temporaire ou une carte multi-services permettant d’accéder aux locaux et le cas échéant de se restaurer, d’imprimer et/ou photocopier des documents ;
- La gestion de la restauration et son suivi administratif et financier ;
- La gestion de la bibliothèque et des services afférents ;
- Pour l’Apprenant, le suivi relatif au paiement ou à l’exonération de la Contribution Vie Apprenante et de Campus (CVEC) de l’Apprenant réalisé auprès du CROUS ;
- Le suivi médical de l’Apprenant ;
- La gestion des personnes à contacter en cas d’urgence ;
- La gestion des émargements afin d’attester du suivi du cours et le cas échéant la gestion des attestations de fin de formation ;
- La gestion d’envoi de SMS afin de communiquer rapidement avec les Apprenants et, de façon plus générale, tout apprenant inscrit à une formation diplômante ou certifiante ;
- L’assistance, le cas échéant, du Client dans la procédure d’octroi d’aides financières et suivre son dossier ;
- Le cas échéant, à la création et gestion d’un compte utilisateur en vue d’accéder à l’environnement numérique de travail de NEOMA BS ainsi qu’aux ressources réseaux, applicatives et à de la documentation numérique ;
- La gestion d’un annuaire de messagerie permettant la gestion de groupes de diffusion basés pour les Clients sur les offres de scolarité qui leur sont rattachées ;
- Le cas échant, le suivi de cours ou consultation de contenus pédagogiques en ligne, la dépose de documents type travaux pédagogiques, réponses à des quizz, dépose de commentaires, participation à des discussions en ligne ainsi que la gestion du suivi de ces différentes consultations et déposes par les équipes pédagogiques de NEOMA BS ;
- Le cas échéant, la gestion de visio ou webconférence ;
- La gestion de la mobilité des Clients, entrante ou sortante du territoire national, dans le cadre des conditions prévues par leur formation et la gestion des conditions de séjour liées à cette mobilité ;
- La gestion des évaluations des enseignements suivis par le Client ;
- La gestion, dans le cadre d’une formation diplômante ou certifiante, de l’évaluation continue ainsi que des examens, partiels et jury d’attribution des diplômes ou certificats qu’ils soient fait en présentiel ou en ligne avec ou sans surveillance ;
- La mise en place d’un filtrage via un pare-feu, d’antivirus, de la vidéosurveillance et contrôle d’accès à des fins de sécurité des biens et des personnes, et des opérations en lien avec le niveau Vigipirate/alerte attentat ;
- La gestion des demandes d’intervention en cas de difficulté rencontrée par le Client dans l’utilisation des supports informatiques ou dans l’utilisation des locaux de NEOMA BS ;
- La gestion, en cas de violation des règlements et chartes de NEOMA BS et de ses filiales, de sanctions disciplinaires ;
- La mise en œuvre d’études, d’indicateurs et d’enquêtes notamment au profit de NEOMA BS, du Ministère de l’Enseignement Supérieur et de la Recherche, de la Conférence des Grandes Écoles, de l’observatoire nationale de la vie Apprenante, des organismes d’accréditation, notamment Amba, AACSB, Equis, des organismes publiant des classements (exemple : the Financial Time, The Economist, L’Apprenant, le Figaro, Quacquarelli Symonds Ltd ‘ »QS ») QS , Times Higher Education (THE), Forbes, …) et de tout organisme tiers pour lequel NEOMA BS se doit de réaliser des statistiques ou de répondre à des demandes conformément à la législation en vigueur ;
- L’accès aux offres d’accompagnement professionnel développées par la Direction Talent & Career de NEOMA BS notamment, pour les formations concernées, gestion des stages ;
- La gestion permettant la détection du plagiat ;
- La gestion de la délivrance du diplôme ou certificat NEOMA BS qui pourra, le cas échéant, avoir son équivalent électronique ;
- La collecte de la taxe d’apprentissage ;
- La gestion de la relation avec les entreprises ;
- La transmission de données, notamment le CV, à des entreprises, Partenaires et/ou filiales de NEOMA BS ;
- La transmission de données à la Fondation NEOMA BS afin que celle-ci puisse informer le Client des actions qu’elle engage et le contacter ;
- De gérer le transfert à l’association NEOMA BS Alumni, et à l’Association Sportive de NEOMA BS, dans la mesure où l’Apprenant a adhéré à l’association en question ou a consenti au transfert de ses données vers ladite association ;
- La mise en place de statistiques ;
Le cas échéant, si le Client a besoin d’un logement sur ou à proximité du lieu de formation, NEOMA BS met en place un traitement pour assurer la gestion de l’hébergement, son suivi financier ainsi que sa facturation et les éventuels litiges pouvant en résulter ;
Si l’inscription du Client est faite sur un programme commun avec une université ou école partenaire (y compris, située à l’étranger), dans ce cadre spécifique, NEOMA BS transmet les données du Client à l’Université ou École partenaire à des fins de gestion de son inscription, du suivi de sa scolarité et de l’obtention des crédits nécessaires par l’université ou école partenaire.
3.4 Finalité autre que celles prévues ci-dessus
Si NEOMA BS souhaite mettre en œuvre un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, NEOMA BS fournit au préalable aux Utilisateurs des informations au sujet de cette autre finalité et toute autre information pertinente.
3.5 Décision individuelle automatisée
Dans le cadre du suivi administratif, financier et pédagogique de la formation des Clients, selon la formation suivie, l’Apprenant peut être amené à choisir des cours. Ce traitement affectera une place selon la disponibilité dans le cours choisi et selon le vœu de l’Apprenant. Pour être au plus proche des souhaits de formation de l’Apprenant, celui-ci a toujours la possibilité de contacter son responsable de programme pour moduler sa formation selon ses souhaits.
Dans le cadre de la gestion du risque frauduleux, NEOMA BS utilise un procédé numérique lui permettant de comparer, selon les exigences du programme, certains des travaux remis par les Clients à des sources internes ou externes afin de détecter un éventuel cas de plagiat. Ce traitement est nécessaire aux obligations légales de NEOMA BS dans le cadre de sa mission de service public, notamment, lors de la remise de travaux par les Clients sanctionnant l’obtention d’un diplôme ou certificat. Ce traitement donnera systématiquement lieu à un examen par les équipes pédagogiques en charge de déterminer les éventuelles conséquences.
N’est pas considérée comme une décision automatisée la gestion des examens et leur surveillance. Dans le cadre de la gestion des examens, lorsque celui-ci est géré avec des moyens en ligne ne nécessitant pas l’intervention d’un surveillant, le comportement du Client lié à l’usage de son navigateur, son équipement et ses interactions avec son environnement seront tracés et permettront de déterminer si les attentes minimales de respect des règles fixées pour l’examen sont atteintes. En cas non-respect ou de doute quant au comportement de l’examiné, l’enseignant ou un responsable de programme sera chargé de vérifier les différents éléments enregistrés afin de statuer sur le respect des règles et en cas de manquement, il constituera un rapport qui sera porté dans le dossier scolaire du Client et donnera lieu à une prise en compte, le cas échéant, pour l’organisation d’un conseil de discipline.
3.6 La licéité du traitement et le Consentement
Chaque Collaborateur en charge du Traitement doit s’assurer que le Traitement de Données personnelles qu’il va mettre en œuvre est licite, c’est-à-dire qu’il repose sur une base juridique prévue par la règlementation. Le Collaborateur en charge du Traitement vérifie donc si le Traitement :
- A reçu le Consentement de la Personne concernée, ou
- Est nécessaire à l’exécution du contrat avec la Personne concernée, ou
- Est nécessaire au respect d’une obligation légale, ou
- Est nécessaire pour satisfaire les intérêts légitimes de NEOMA BS.
Lorsque le traitement de Données à Caractère Personnel repose sur le Consentement de la Personne Concernée, chaque Collaborateur en charge du Traitement doit pouvoir démontrer que le Consentement a bien été donné par la Personne Concernée pour le traitement de ses Données à Caractère Personnel et que ce Consentement a été enregistré et tracé dans un système informatique.
Afin d’obtenir le consentement des Personnes Concernées, certaines exigences devront être respectées :
- Lorsque la demande de consentement est faite par écrit et qu’elle concerne également d’autres questions, la demande de consentement doit être présentée de façon distincte par rapport à ces autres questions ;
- La demande de consentement faite par écrit doit être établie sous une forme compréhensible, aisément accessible, formulée en des termes clairs et simples ;
- La demande de consentement ne doit pas être formulée de manière contraignante pour la Personne Concernée ;
- Il est nécessaire de s’assurer que le consentement est donné librement, notamment lorsque l’exécution d’un contrat est subordonnée au consentement de la Personne Concernée au Traitement de ses Données à Caractère Personnel, alors qu’un tel Traitement ne serait pas nécessaire à l’exécution de ce contrat.
La Personne Concernée doit être mise en mesure de retirer son consentement à tout moment. Le Collaborateur en charge du Traitement doit mettre en place et informer la Personne Concernée des moyens permettant de retirer son consentement notamment à travers les mentions d’information fournies au moment de la collecte des Données.
Ces moyens doivent permettre à la Personne Concernée de retirer son consentement aussi simplement qu’il a été donné.
Le Collaborateur en charge du Traitement se réfère à la procédure de consentement établie en interne afin de répercuter les consentements et les retraits de Consentement dans les applications utilisées et le Système d’information.
3.7 Transfert des données en dehors de l’union Européenne
3.7.1 Généralités sur tout Transfert de Données à Caractère Personnel
Les Transferts internationaux de Données à Caractère Personnel exigent une attention particulière et des garanties supplémentaires.
3.7.1.1 Transferts vers des pays offrant un niveau de protection adéquat selon la législation nationale
Le transfert de Données à Caractère Personnel à l’étranger sera permis si la Commission européenne reconnaît le pays destinataire comme fournissant un niveau de protection adéquat, sans préjudice du respect des dispositions nationales.
La liste des pays offrant un niveau adéquat de protection des Données à caractère personnel est prévue en Annexe 1 et est disponible sur le lien suivant https://www.cnil.fr/fr/la-protection-des-donnees-dans-lemonde. Cette Liste est susceptible de faire l’objet d’une évolution. Il appartient dès lors au Collaborateur en charge du Traitement de vérifier sur le site de la Commission Européenne que cette liste est toujours à jour.
3.7.1.2 Transferts couverts par des garanties appropriées
Si la loi sur la Protection des Données à Caractère Personnel du pays de l’Importateur des Données n’est pas considérée comme adéquate par la Commission européenne, le Collaborateur en charge du Traitement devra conclure des clauses contractuelles avec le Responsable Conjoint ou le Sous-Traitant à l’étranger.
Le Collaborateur en charge du Traitement peut encadrer le Transfert grâce à des Clauses Contractuelles Types établies par la Commission européenne ou par l’autorité de contrôle. Dans ce cas, il pourra transférer les Données sans l’autorisation de l’autorité de contrôle compétente. Le Collaborateur en charge du Traitement peut aussi encadrer le transfert grâce à des clauses contractuelles établies entre lui et l’Importateur des Données, mais dans ce cas, il devra obtenir l’autorisation de l’autorité de contrôle compétente.
Il existe trois autres possibilités pour encadrer le transfert :
- La mise en place de Règles d’Entreprise Contraignante (BCR) pour encadrer les échanges entre les Campus de NEOMA BS
- L’application par le Responsable de traitement d’un Code de conduite approuvé
- La certification du Responsable de traitement par un mécanisme de certification approuvé
Dans tous les cas, le Collaborateur en charge du Traitement devra prévoir un accord écrit avec l’Importateur des Données, dans NEOMA BS celui-ci garantit qu’il appliquera un niveau de protection des Données équivalent à celui requis par les lois sur la protection des Données à Caractère Personnel en France. Ces clauses contractuelles devront prévoir des mesures de sécurité techniques et organisationnelles devant être appliquées par les Responsables Conjoints ou les Sous-Traitants établis dans un pays tiers ne fournissant pas un niveau adéquat de protection afin d’assurer un niveau de sécurité adapté aux risques présentés par le Traitement de Données à Caractère Personnel et la nature des Données à protéger.
3.7.2 Transferts répondant à une situation particulière
En l’absence de décision d’adéquation ou de garanties appropriées, un Transfert ou un ensemble de Transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes :
- La personne concernée a donné son consentement explicite au Transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;
- Le Transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le Responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la Personne concernée ;
- Le Transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la Personne concernée entre le Responsable du traitement et une autre personne physique ou morale;
- Le Transfert est nécessaire pour des motifs importants d’intérêt public ;
- Le Transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
- Le Transfert est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ou d’autres personnes, lorsque la Personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
- Le Transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.
3.8 Durée de conservation
Les Données à Caractère Personnel ne doivent pas être conservées plus longtemps que nécessaire au regard des Finalités pour lesquelles elles sont collectées sauf indication contraire des lois applicables. Dans ce cadre, NEOMA BS doit mettre en place une politique de conservation des Données à Caractère Personnel qui précise la durée de conservation applicables aux Données pour les différentes Finalités de Traitement, les conditions de conservation ainsi que le format de stockage des Données. Cette politique de conservation des données devra suivre les directives définies dans la présente Politique. Le collaborateur en charge du Traitement devra se reporter à la politique de conservation des Données pour assurer le respect de cette exigence.
De manière générale, la durée maximale de conservation des données doit être déterminée en fonction de la Finalité de chaque Traitement. Les éléments suivants doivent être pris en compte pour la détermination de la durée de conservation de chaque catégorie de Données collectées :
- Obligations légales ;
- Recommandations de l’Autorité de protection des données ;
- Les meilleures pratiques dans chaque domaine concerné ;
- L’exécution d’un contrat ou l’application de mesures précontractuelles ;
- Les besoins de l’entreprise.
En dehors des cas dans lesquels il existe une obligation d’archivage, les Données qui ne présentent plus d’intérêt doivent être supprimées sans délai. En cas de procédure de suppression automatique, le Collaborateur en charge du Traitement doit s’assurer que les données sont effectivement supprimées par l’établissement d’un certificat de destruction.
3.9 Droit des personnes concernées et réponses aux réclamations
De manière générale, le Règlement Européen sur la Protection des Données accorde aux Personnes Concernées les droits suivants sous réserve des spécificités locales :
- D’être informées lorsque les Données à Caractère Personnel sont enregistrées pour la première fois par le Responsable de Traitement pour ses besoins propres, à moins que cette information ne soit pas nécessaire en raison d’exceptions légales ;
- De demander des informations sur les données enregistrées les concernant, y compris des informations concernant la source des données ;
- De demander les destinataires ou catégories de destinataires auxquels les données sont transférées ;
- De demander la finalité de l’enregistrement des données ;
- De demander l’accès aux données les concernant, y compris sous forme de liste fournie par écrit ou par voie électronique ;
- De demander la rectification des données, quand elles sont inexactes ;
- De demander la suppression de données si cela est légalement possible ;
- D’obtenir la limitation du traitement de leurs Données à Caractère Personnel lorsque cela est légalement possible ;
- De s’opposer au traitement de leurs Données à Caractère Personnel par NEOMA BS ;
- De demander la portabilité de leurs Données à Caractère Personnel ;
- D’obtenir toute autre information sur le Traitement qui serait exigée par la loi.
Le Collaborateur en charge du Traitement doit apporter sa réponse dans un délai maximal d’un mois à compter de la date de réception de la demande. En cas de difficulté particulière, ce délai peut être repoussé de 2 mois maximum sur décision du délégué à la protection des données. Il doit se reporter à la procédure de gestion des droits des Personnes concernées pour assurer de l’organisation en place. L’annexe 3 ci-après développe les droits des personnes concernées.
3.10 La sécurité des données
Des mesures de contrôle et procédures appropriées doivent être mises en œuvre par le Responsable de Traitement afin d’assurer la sécurité des Données à Caractère Personnel et de prévenir tout accès ou divulgation non autorisés, en prenant en compte l’état actuel des technologies ainsi que l’éventuel préjudice pouvant résulter de la perte ou de l’accès non autorisé aux Données.
Plus spécifiquement, la collecte, l’utilisation, le traitement, la transmission et le transfert, le stockage et la destruction des Données à Caractère Personnel nécessitent de la part de NEOMA BS de prendre des mesures raisonnables pour mettre en place des systèmes organisationnels efficaces et des mesures physiques et techniques, en particulier pour :
- Empêcher les personnes non autorisées d’avoir accès aux systèmes d’information pour traiter ou utiliser des Données à Caractère Personnel (contrôle d’accès) ;
- S’assurer que seules les personnes habilitées à accéder aux Données peuvent y avoir accès dans la limite de la Finalité pour NEOMA BS les Données sont traitées. Ces personnes doivent garantir la confidentialité des Données à Caractère Personnel auxquelles elles ont accès.
- S’assurer que les personnes autorisées à utiliser un système de traitement des données n’ont accès qu’aux seules données auxquelles elles sont autorisées à accéder, et que les Données à Caractère Personnel ne peuvent pas être lues, copiées, altérées ou supprimées sans autorisation pendant le Traitement, l’utilisation et après l’enregistrement (contrôle d’accès, principe du besoin d’en connaître) ;
- S’assurer que les Données à Caractère Personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le transport, le transfert électronique ou l’enregistrement sur des supports de stockage, et qu’il est possible de vérifier et de contrôler les personnes qui transfèrent des Données à Caractère Personnel à l’aide de moyens de transferts de données (contrôle de divulgation) ;
- S’assurer qu’il est possible de contrôler et de vérifier si les Données à Caractère Personnel ont été ajoutées, modifiées ou supprimées des systèmes de traitement de données et si tel est le cas, par qui (contrôle d’entrée) ;
- S’assurer que les Données à Caractère Personnel traitées pour le compte d’autrui sont en stricte conformité avec les instructions du Responsable de Traitement (contrôle des tâches) ;
- S’assurer que les Données à Caractère Personnel sont protégées contre la destruction accidentelle ou la perte (contrôle de disponibilité) ;
- S’assurer que les Données à Caractère Personnel collectées pour des finalités différentes peuvent être traitées séparément ;
- S’assurer que l’anonymisation des Données est effective lorsqu’elle est requise par une loi NEOMA BS pour mettre en œuvre le traitement.
Le Collaborateur en charge du Traitement doit identifier les risques sur la vie privée des personnes engendrés par son Traitement avant de déterminer les mesures de sécurité et confidentialité adéquates pour réduire ces risques. Pour cela, le Collaborateur en charge du Traitement se réfère à la procédure interne de gestion de projet qui contient la procédure de pré-analyse de risque du Traitement sur la vie privée des Personnes concernées.
Lorsque cette pré-analyse de risque sur la vie privée démontre que le Traitement envisagé présente un risque élevé pour la vie privée des Personnes concernées, le Collaborateur en charge du Traitement réalise une Étude d’Impact sur la Vie Privée (EIVP) afin de déterminer les mesures de sécurité et de confidentialité nécessaires pour réduire ce risque. Le Collaborateur en charge du Traitement se réfère alors à la procédure d’analyse d’impact sur la vie privée établie par NEOMA BS.
Le niveau des mesures de sécurité nécessaires pour la protection des Données dépend de la sensibilité des données et de la Finalité du Traitement.
Les échanges de données tant en interne qu’en externe sont assurés par la mise en œuvre d’interfaces de programmation applicatives (API) quand les applicatifs le permettent. La minimisation des données, leur exactitude, leur traçabilité et leur sécurité sont recherchées et mises en œuvre conformément aux orientations de la CNIL.
3.11 Privacy by Design & by Default
Avant l’initiation de tout projet, toute collecte de Données, tout nouveau produit ou service, ou toute nouvelle application, le Collaborateur en charge du Traitement doit prendre en compte la protection des Données à caractère personnel et se reporter à la procédure de gestion de projet de NEOMA BS intégrant les exigences de Privacy by Design.
Les Données doivent être protégées dès la conception, mais aussi tout au long du projet et tout au long du cycle de vie de la donnée (de la collecte à la destruction). Le Collaborateur en charge du Traitement doit mettre en œuvre, compte tenu des règles de l’art, toutes les mesures de sécurité techniques et organisationnelles, qui permettent d’assurer cette sécurité de bout en bout.
3.12 Relations avec les Sous-traitants
Lorsque le traitement est effectué par un Sous-Traitant, le Responsable de traitement doit choisir un Sous-traitant fournissant des mesures de sécurité techniques et des mesures organisationnelles suffisantes pour s’assurer que le traitement sera effectué conformément aux exigences légales.
Le Collaborateur en charge du Traitement doit veiller à ce que le Sous-Traitant accepte par écrit les mesures de sécurité techniques et organisationnelles imposées par NEOMA BS. Il devra notamment consulter le département juridique afin d’intégrer des clauses contractuelles types en matière de protection des données à Caractère Personnel, qui attestent de sa conformité au RGPD.
Le Contrat doit aussi interdire au Sous-Traitant de sous-traiter à son tour à un Tiers tout Traitement de Données à Caractère Personnel demandé par le Responsable de Traitement, à moins que le Responsable de Traitement n’ait expressément donné l’autorisation de le faire.
Tout Sous-Traitant devra notamment faire l’objet d’une procédure de sélection afin que le Responsable de traitement puisse s’assurer que les exigences en matière de sécurité sont bien respectées.
3.13 La documentation (Accountability)
Chaque Collaborateur en charge du Traitement doit compléter et mettre à jour le registre de traitements mentionnant toutes les Finalités de Traitement de Données
Il doit par ailleurs conserver toutes les preuves de conformité avec des lois ou réglementations devant être respectées au regard des Traitements inscrits dans le registre des traitements. Chaque Collaborateur en charge du Traitement est responsable du respect des principes exposés dans la présentes Politiques (i.e.de la licéité, de la loyauté, de la transparence des Traitements, du respect du principe de finalités, de minimisation des données, de l’exactitude des données, du respect de la durée de conservation et des mesures de sécurité) et doit être en mesure de démontrer que ces principes sont respectés et de démontrer par des preuves tangibles que toutes les mesures techniques et organisationnelles appropriées ont été prises pour limiter les risques sur la vie privée des Personnes concernées. Le respect de ces principes comprend ainsi la mise en œuvre des politiques appropriées.
3.14 Le registre des traitements
Le Responsable de traitement doit tenir un registre qui recense toutes ses activités de Traitements et qui précise, a minima et pour chaque traitement, les informations requises par le Règlement. Ces informations sont les suivantes :
- Le nom et les coordonnées du Responsable de Traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du Responsable du Traitement et du DPO ;
- Les finalités du traitement ;
- Une description des catégories de Personnes concernées et des catégories de Données à caractère personnel ;
- Les catégories de Destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
- Les Transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
- Les durées de conservation prévues pour les différentes catégories de Données ;
- Une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre pour le traitement en question.
Le DPO est responsable de la tenue du registre de NEOMA BS. Avec la contribution des Collaborateurs en charge du traitement et/ou les chefs de projet il devra s’assurer que tout nouveau traitement est inscrit au registre avec les informations décrites ci-dessus. Le DPO validera les traitements renseignés et veillera à la mise à jour du registre.
Ce registre peut être tenu sous forme écrite ou sous forme électronique, et doit être mis à disposition de l’Autorité de contrôle sur demande.
3.15 Données à Caractère personnel Sensibles
NEOMA BS peut être amené à collecter des Données à caractère Sensible dans le cadre de ses Traitements. Ces Données ne doivent être collectées et traitées que dans les cas suivants :
- Le consentement explicite de la Personne concernée a été obtenu pour la Finalité ;
- Le Traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ou par une convention collective conclue prévue par une réglementation spécifique NEOMA BS ;
- Le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ou d’une autre personne physique, dans le cas où la Personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
- Le Traitement porte sur des Données à caractère personnel qui sont manifestement rendues publiques par la Personne concernée ;
- Le Traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
- Le Traitement est nécessaire pour des motifs d’intérêt public important, sur la base d’une législation nationale NEOMA BS qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des Données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la Personne concernée ;
- Le Traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ou en vertu d’un contrat conclu avec un professionnel de la santé ;
- Le Traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ;
- Le Traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Le Collaborateur en charge du Traitement doit conserver la preuve du fondement légal l’autorisant à traiter les Données à caractère personnel Sensibles.
L’accès à ces Données Personnelles Sensibles doit être limité aux collaborateurs qui en ont strictement besoin dans le cadre de leurs activités. Ces Données Personnelles Sensibles ne peuvent être utilisées que pour les Finalités pour lesquelles elles ont été collectées. Les mesures de sécurité adéquates doivent être mises en place pour empêcher la perte, la dégradation ou le vol de ces données.
Le Responsable de Traitement est tenu de se conformer à toutes les lois et exigences locales relatives aux Données à Caractère Personnel Sensibles notamment les Données de santé et les données relatives aux infractions pénales.
4. Gouvernance des données : missions et responsabilités
4.1 Missions et Responsabilités du DPO
Le DPO est le garant de la conformité des traitements de Données à caractère personnel au sein de NEOMA BS.
La mission principale du DPO est de faire en sorte que NEOMA BS soit en conformité constante avec le cadre légal relatif aux Données personnelles (Règlement Européen sur la protection des données personnelles). Dans ce cadre, le DPO est soumis à une obligation de confidentialité et respecte notamment la stricte confidentialité des informations, procédures, usages, plaintes et litiges dont il a connaissance dans le cadre de son activité.
Cet objectif est atteint au travers des missions suivantes :
4.1.1 S’assurer de la conformité des traitements réalisés au sein de NEOMA BS
- Assurer la mise à jour du registre des traitements ;
- Suivre les nouveaux projets et assurer la réalisation des analyses d’impact sur la vie privée des traitements nouveaux ;
- S’assurer de la conformité des contrats avec les tiers et sous-traitants ;
- Suivre l’évolution de la réglementation NEOMA BS pour identifier les mises à jour de la politique générale de protection des Données ;
- Former et sensibiliser les collaborateurs sur leurs obligations en matière de traitement de Données à caractère personnel ;
- Vérifier l’application des différentes politiques de protection des données établies par NEOMA BS et les décliner dans les différents processus : RH, Marketing, Systèmes d’information ;
- Effectuer un reporting régulier auprès de la direction sur l’état d’avancement de son activité et de sa feuille de route de conformité à la règlementation générale sur la protection des données, sur l’état d’analyse de la vie privée des données sur les projets locaux et sur tout risque identifié en matière de protection des Données à Caractère Personnel ;
- Superviser des audits annuels internes afin de vérifier la conformité des traitements.
4.1.2 Être le point de contact de l’autorité de contrôle pour NEOMA BS
- Effectuer et mettre à jour les notifications auprès de l’Autorité de protection des données NEOMA BS de protection des données (DPA) lorsque cela est nécessaire
4.1.3 Obligation de NEOMA BS à l’égard du DPO
- S’assurer que le DPO est associé en temps utile à toute question relative à la protection des Données personnelles, et notamment qu’il soit consulté pour tout nouveau projet de traitement de Données personnelles ;
- NEOMA BS fournit au DPO les ressources nécessaires à l’exercice de ses missions, qu’elles soient matérielles ou financières ;
- NEOMA BS permet au DPO d’avoir accès aux Données personnelles et aux activités de Traitement opérées au sein de NEOMA BS ;
- NEOMA BS garantit l’indépendance du DPO et veille à ce qu’il ne reçoive aucune instruction dans l’exercice de ses missions ;
- NEOMA BS veille à ce que le DPO dispose d’une liberté organisationnelle et décisionnelle dans l’exercice de ses missions ;
- NEOMA BS permet au DPO peut interagir directement avec le niveau le plus élevé de la direction ;
- Lorsque d’autres missions et tâches sont confiées au DPO, NEOMA BS veille à ce que celles-ci n’entrainent pas de conflit d’intérêts ;
- Le DPO n’endosse pas la responsabilité juridique qui pèse sur NEOMA BS en ce qui concerne la conformité à la règlementation sur la protection des Données personnelles.
4.2 Missions et responsabilités des différentes directions
Chaque Collaborateur en charge du Traitement devra respecter les obligations suivantes vis-à-vis du DPO :
- Indiquer les coordonnées du DPO sur tous les supports de collecte des données à caractère personnel et mentions d’information (adresse postale, numéro de téléphone ou adresse électronique dédié);
- Informer leurs équipes de l’existence d’un DPO, de son nom et de ses coordonnées ;
- Réaliser des pré-analyses de risque sur la vie privée pour chaque traitement. Lorsqu’un risque significatif est démontré, effectuer une Étude d’impact sur la vie privée et associer le DPO dès la phase de conception dans tous les nouveaux projets de conception de produits ou services ; Prendre en compte les exigences en matière de protection des Données avant tout projet.
- Implémenter le Privacy by Design et le Privacy by Default dans tout nouveau produit ou service ;
- Le cas échéant, documenter et justifier par écrit les raisons pour lesquelles l’avis du DPO n’a pas été suivi lorsque celui-ci a été exprimé ;
- Répondre à toute demande d’information du DPO sur tous les sujets ayant un impact sur la vie privée des personnes ;
- Permettre l’accès du DPO à toutes les documentations relatives aux traitements de données et aux procédures associées et mettre en place une structure documentaire permettant de faciliter cet accès ;
- Informer le DPO de tout nouveau traitement afin que celui-ci soit inscrit dans le registre des traitements NEOMA BS.
Les missions et responsabilités de chaque DGA ou direction sont décrites dans l’annexe 2 du pr
5. Sensibilisation et formation
Le Responsable de Traitement doit s’assurer que les salariés, professeurs ainsi que toutes les personnes travaillant pour NEOMA BS, sont bien sensibilisés et formées aux principes de la présente Politique ainsi qu’aux exigences de toutes autres lois, réglementations, règles et procédures relatives à la protection des Données à Caractère Personnel, lorsqu’ils sont impliqués dans le Traitement de Données à Caractère Personnel.
6. Procédures de contrôle de la conformité
6.1 Contrôle interne et Rapport
Une analyse annuelle des écarts de conformité avec les principes de la Politique est mise en place.
6.2 Contrôle externe : Audit des Sous-traitants
NEOMA BS doit mener des audits auprès de ses Sous-traitants afin de vérifier qu’ils respectent leurs obligations dans le cadre du Règlement et de la présente Politique.
Annexe 1 : Liste des pays offrant un niveau de protection adéquat
- Les transferts sont autorisés dans l’Union Européenne et dans l’Espace Économique Européen ce qui comprend :
- Norvège
- Liechtenstein
- Islande
- Liste des pays offrant un niveau de protection des Données à caractère personnel adéquate (cette liste est susceptible de faire l’objet d’une évolution, le Responsable de traitement doit vérifier régulièrement cette liste sur le site de la Commission européenne ou de la CNIL : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde):
- Andorre
- Argentine
- Canada
- Iles Féroé
- Gibraltar
- Guernesey
- Israël
- Ile de Man
- Jersey
- Lichtenstein
- Nouvelle-Zélande
- Royaume Uni
- Suisse
- Uruguay
Annexe 2 : Droits des personnes concernées
Conformément au Règlement (UE) 2016/679 et à la loi française 78-17 modifiée dite Loi Informatique et Libertés, la Personne concernée dispose d’un droit d’accès, de modification, de rectification, de suppression de ses données à caractère personnel et d’un droit d’opposition pour motif légitime en écrivant à dpo@neoma-bs.fr ou bien cliquant sur le lien formulaire d’exercice des droits sous l’onglet protection des données personnelles de la page d’accueil du site internet de l’école . Dans tous les cas la Personne concernée devra apporter la preuve de son identité et, le cas échéant, la légitimité de sa demande.
Demande d’informations (sur les données utilisées, leur source, sur les destinataires des données, sur la finalité de l’utilisation des données…)
La Personne Concernée a le droit de demander toute information qu’elle jugera utile sur l’utilisation de ses données
Demande d’accès
La Personne Concernée a le droit de demander une copie des informations personnelles que NEOMA BS détient à son sujet, à l’exception des cas où la divulgation de ces données viendrait à violer la vie privée d’une autre personne ou si une exemption venait à s’appliquer.
Demande de rectification
En cas de demande de rectification par la Personne Concernée, elle sera transmise au service concerné et NEOMA BS informera la Personne Concernée que cette rectification a été faite.
Demande d’effacement
Toute demande de suppression des données par la Personne Concernée sera étudiée afin de déterminer s’il convient ou non de réaliser cette suppression. Le droit à l’effacement de la Personne Concernée ne sera pas applicable dans le cas où le traitement est mis en œuvre pour répondre à une obligation légale. Certaines données sont nécessaires au suivi de la formation et/ou à son règlement financier
Demande de s’opposer au traitement de ses données personnelles
Toute demande d’opposition au traitement des données par la Personne Concernée sera étudiée afin de déterminer si les traitements concernés sont obligatoires ou non. Ce droit d’opposition de la Personne Concernée ne sera pas applicable que si la Personne Concernée met en avant « des raisons tenant à sa situation particulière ».
Demande de limitation
Le droit à la limitation des données est possible quand la Personne concernée conteste l’exactitude des données utilisées par NEOMA BS ou qu’elle s’oppose à ce que ses données soient traitées. NEOMA BS procédera à une vérification ou à examen de votre demande pendant un délai d’un mois. Pendant ce délai, la Personne Concernée a la possibilité de demander à l’organisme de geler l’utilisation de ses données. Concrètement, NEOMA BS ne devra plus utiliser les données mais devra les conserver.
Demande de portabilité des données
La Personne concernée est informée qu’elle dispose du droit à la portabilité de ses données afin qu’elles puissent être réutilisées à ses propres fins dans un autre environnement informatique
Ce droit à la portabilité ne s’applique pas à l’ensemble des traitements mis en œuvre par NEOMA BS, notamment lorsqu’ils sont liés à ses obligations légales. La demande de l’Utilisateur sera étudiée et exécutée pour les seules données pouvant bénéficier de ce droit.