Politique Générale de Confidentialité et de Protection des Données à Caractère Personnel

1.1 Objectifs

NEOMA BS s’engage à assurer la protection des données obtenues dans le cadre de ses activités et à se conformer aux lois et réglementations applicables en matière de Traitement de Données à Caractère Personnel, et notamment au Règlement Européen n° 2016/679 sur la protection des données personnelles.

L’objet principal de la présente Politique est d’assurer et de faire connaître la mise en place par NEOMA BS de structures appropriées de gouvernance, de contrôle ainsi que de méthodes et procédures garantissant la conformité avec les lois et réglementations applicables en matière de protection des Données à Caractère Personnel.

Dans ce cadre, la Politique établit les standards minimums suivants :

• Nomination d’un DPO en charge de la supervision et de l’application de cette politique au sein de NEOMA BS
• Adoption par NEOMA BS des exigences et standards minimums pour l’ensemble des traitements de données à caractère personnel

1.2 Champ d’application de la Politique

La Politique s’applique à l’ensemble des collaborateurs et à tous les services de NEOMA BS répartis sur les différents campus.

Elle s’applique à toutes les Données Personnelles recueillies, traitées, partagées par NEOMA BS, à la fois en ligne et hors ligne, y compris :

• Le Site internet de NEOMA BS ;
• Les Pages officielles de NEOMA BS sur les réseaux sociaux ;
• Le logiciel de gestion intégrée ;
• Les CRM ;
• Les autres outils et bases de données utilisés au sein de l’école ;
• Les Emails échangés au sein de l’école ;
• Les conversations et correspondances ;
• Les formulaires papiers.

Une communication adéquate sur la Politique doit être réalisée par NEOMA BS conformément au point VII « Sensibilisation et Formation » ci-dessous.

Conformément au droit du travail applicable, à ses propres règles internes et contrats de travail, NEOMA BS peut prendre des mesures disciplinaires à l’égard de ses propres collaborateurs, notamment en cas de non-respect des standards minimums de protection des Données à caractère Personnel établis par la présente politique.

1.3 L’application de la politique aux Tiers

Sous réserve de dispositions législatives ou réglementaires contraires, la présente politique doit être appliquée aux Tiers qui ont accès ou à qui sont transmises les Données Personnelles des Apprenants, des Anciens Apprenants, des Professeurs, des Intervenants, des Collaborateurs de NEOMA BS et de toutes autres personnes dont NEOMA BS traite les Données personnelles.

Chaque Responsable de Traitement doit s’assurer que les contrats avec les Tiers ayant un accès aux Données à caractère personnel de NEOMA BS contiennent au minimum des dispositions sur les points suivants :

• La ou les bases juridiques du traitement ;
• Le périmètre de responsabilité ;
• La propriété des Données ;
• Les caractéristiques du traitement (objet, durée, nature, finalité, données personnelles utilisées et personnes concernées) ;
• Les transferts internationaux des Données ;
• Le respect des instructions et le recours à d’autres Sous-traitants ;
• La politique de gestion des droits des personnes concernées ;
• Le sort des Données à l’expiration du contrat ;
• L’obligation de sécurité et de confidentialité des Données ;
• La possibilité pour le Responsable de Traitement de réaliser un audit auprès du Tiers
• La procédure en cas de violations des Données (failles de sécurité)

Dans le cadre de la présente Politique et des annexes, les termes employés auront le sens qui leur est donné par la présente section :

« Données à Caractère Personnel/Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, N° de carte d’identité, salaire/rémunération, dossiers de santé, informations de compte bancaire, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. 

La définition est délibérément très large. D’autres informations (par exemple une adresse, un lieu de travail, un numéro de téléphone, des caractéristiques physiques ou la profession) combinées seront généralement suffisantes pour identifier clairement un individu.

« Données à Caractère Personnel Sensibles » (exemples, liste non exhaustive) désigne les Données à Caractère Personnel telles que :

• L’origine raciale ou ethnique, les opinions politiques ou les convictions religieuses ou philosophiques de la Personne Concernée ;
• L’appartenance à une organisation syndicale ;
• La santé physique ou mentale ou les conditions/vie sexuelle de la Personne Concernée ;
• Les données soumises à une réglementation spécifique (données financières, données médicales…);
• Les données génétiques et biométriques ;
• La commission présumée d’infraction par la Personne Concernée ;
• Toutes poursuites engagées pour une infraction commise ou présumée commise par la Personne Concernée, la soumission de telles poursuites ou la décision de toute juridiction dans le cadre de telles poursuites ;

« Personne Concernée » désigne l’individu qui peut être identifié ou distingué des autres, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à ses caractéristiques physiques, physiologiques, mentales, économiques, comportementales, culturelles ou sociales. Cela inclut les Apprenants, salariés, professeurs, prospects, intervenants, anciens Apprenants, etc.

« Responsable de Traitement » désigne une personne qui, seule ou conjointement, décide quelles Données à Caractère Personnel sont collectées, pourquoi et comment elles sont collectées et traitées. Dans la plupart des cas, il s’agira de la personne ou la société qui « possède » les Données. Être le Responsable de Traitement ne signifie pas qu’il a la propriété des données et qu’il puisse les divulguer ou les utiliser comme il l’entend. 

Au sens du Règlement Européen sur la protection des données à caractère Personnel, le Responsable de Traitement sera entendu au sens général comme l’entité incarnée par son Dirigeant, et par délégation de pouvoir expresse et écrite, les Responsables de services ou de métiers. Ces personnes seront-celles responsables au regard du Règlement Européen. 

Cependant, dans le cadre de la présente Politique, tout collaborateur qui, seul ou conjointement, décide quelles Données à Caractère Personnel sont collectées, pourquoi et comment elles sont collectées et traitées sera responsable d’appliquer la présente Politique.  Le terme « Collaborateur en charge du traitement » fera référence à ce collaborateur.

« Sous-Traitant » désigne toute personne ou société, non employée du Responsable de Traitement, qui traite des Données à Caractère Personnel au nom du Responsable de Traitement et selon ses instructions (par exemple des prestataires ou fournisseurs). Le Responsable de Traitement doit assurer le maintien de la même obligation de diligence lorsqu’un Sous-Traitant traite des Données à Caractère Personnel en son nom et pour son compte.

« Tiers » désigne toute personne physique ou morale, autorité publique, agence ou tout autre organisme autre que la Personne Concernée, le Responsable du Traitement, le Sous-Traitant et les personnes qui, sous l’autorité directe du Responsable du Traitement ou du Sous-Traitant, sont habilitées ou autorisées à traiter les Données. Les partenaires commerciaux ou institutionnels sont des Tiers au sens de la présente politique. Il peut aussi s’agir d’organismes qui ont vocation à être destinataires des données au titre d’une obligation légale (organismes de sécurité social, mutuelle, etc.).

« Traitement de Données à Caractère Personnel » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’accès, l’enregistrement, la copie, la reproduction, le transfert, la recherche, le tri, la conservation, le stockage, la séparation, le croisement, la fusion, la modification, la structuration, l’adaptation, la mise à disposition, l’utilisation, la divulgation, la diffusion, la communication, l’extraction, l’enregistrement, l’organisation, l’adaptation, la divulgation par transmission ou toute autre forme de mise à disposition, la dissimulation, le déplacement, le rapprochement, l’interconnexion, la limitation, l’effacement, la destruction ainsi que la mise en œuvre d’autres actions sur les Données, que ce soit de manière automatique, semi-automatique ou autre. Cette liste n’étant pas exhaustive. 

« Destinataire » désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un Tiers. 

« Consentement » de la personne concernée désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement par NEOMA BS.

« Violation de Données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données ;

«Transfert de données »  désigne toute communication, toute copie ou déplacement de Données par l’intermédiaire d’un réseau dans un pays situé hors Union Européenne, ou toute communication, toute copie ou déplacement de ces données d’un support à un autre, quel que soit ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire situé hors Union Européenne (exemple : Transfert à un fournisseur de services pour informatiser la collecte des données, plateforme informatique internationale, maintenance IT internationale, organisation d’échanges entre écoles et universités partenaires, accréditations internationales des professeurs, transmission à des organismes de presse internationaux pour le classement des grandes écoles, etc.). 

« Importateur de Données » désigne tout Responsable de traitement, Sous-traitant ou Tiers traitant des Données personnelles qu’il reçoit du Responsable de traitement dans le cadre d’un Transferts de Données.

« Exportateur de Données » désigne un Responsable de Traitement, Sous-Traitant ou Tiers qui transfère des Données à caractère Personnel depuis le pays dans il est localisé à NEOMA BS (soit par lui-même, un Sous-traitant ou un Tiers) à un autre pays situé hors Union Européenne.

« Finalités de traitement » désigne l’objectif poursuivi par le Traitement de Données à caractère personnel ou l’objectif principal d’une application informatique traitant des Données personnelles. Exemples de finalité : gestion des recrutements, gestion des inscriptions aux concours, gestion des inscriptions des Apprenants, vidéoprotection des locaux, gestion des prêts en médiathèque, etc.

« Règles d’entreprise contraignantes » ou BCR désigne les règles internes relatives à la protection des données à caractère personnel qu’applique le Responsable de Traitement établi sur le territoire d’un État membre de l’Union Européenne pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays hors Union Européenne au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe;

La collecte et le traitement de Données à caractère personnel doivent respecter les principes minimums détaillés ci-après : 

3.1     La transparence

Toutes les Données à caractère personnel collectées doivent être collectées et traitées de manière licite, loyale, et transparente au regard de la personne concernée. 

3.1.1     Quelles informations fournir aux personnes concernées ? 

Les informations suivantes doivent être systématiquement fournies aux personnes dont les Données personnelles font l’objet d’un Traitement par NEOMA et doivent notamment figurer sur le site internet opéré par NEOMA :  

• L’identité et les coordonnées de NEOMA BS en tant que Responsable de traitement,
• Toutes les Finalités de traitement ;
• Les coordonnées du DPO ;
• La base juridique du traitement (voir la liste au 3.4), le cas échéant, les intérêts légitimes poursuivis ;
• La durée de conservation ou les critères de détermination de cette durée ;
• Le cas échéant, les destinataires ou catégories de destinataires ;
• Les droits des personnes concernées ;
• La possibilité d’introduire une réclamation auprès de la CNIL ;
• Le cas échéant, l’existence d’un transfert de données hors Union Européenne ainsi que les informations et les garanties qui s’y rattachent ;
• Le cas échéant, le fait que la fourniture des Données dépend d’une exigence à caractère réglementaire ou contractuel ;
• Le cas échéant, le fait que la fourniture des Données conditionne la conclusion d’un contrat ;
• L’existence d’une obligation pour la Personne concernée de fournir ses Données ;
• Les conséquences de la non fourniture des Données ;
• Le cas échéant, le droit de retirer son consentement pour les traitements basés sur le consentement ;
• Le cas échéant, l’existence d’une décision automatisée et les informations qui s’y rattachent ;
• Le cas échéant, l’existence d’un Traitement ultérieur pour une autre Finalité et les informations qui s’y rattachent.

3.1.2     Quand informer les personnes ? 

Au moment de la collecte des Données à caractère Personnel, les informations relatives au Traitement des Données doivent être communiquées aux Personnes Concernées d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.  

Par exemple :

• les salariés et professeurs seront informés par l’intermédiaire d’une clause dans le contrat de travail ou dans le règlement intérieur ;
• les Apprenants seront informés grâce à une mention sur le formulaire d’inscription à NEOMA (en ligne ou papier) ;
• les inscrits au concours recevront cette information par l’intermédiaire du formulaire d’inscription au concours d’entrée à NEOMA (en ligne ou papier).

De manière générale, une mention d’information figure sur tout formulaire de collecte de Données personnelles, en ligne ou sur support papier. Une mention d’information doit aussi être disponible sur le site internet de NEOMA.

Dans le cas où NEOMA ne collecterait pas directement les Données personnelles auprès des Personnes concernées (ex : campagne d’e-mailing grâce à des données fournies par des partenaires institutionnels, etc.), les informations du 3.1.1 doivent être fournies au plus tard lors de la première communication avec la Personne concernée (par exemple, lorsque le premier e-mail est envoyé à la Personne concernée). Cependant, si cette première communication intervient plus d’un mois après l’obtention des Données personnelles, les Personnes concernées devront être informées avant l’expiration de ce délai d’un mois. Les informations supplémentaires suivantes devront être fournies : 

• les catégories de Données personnelles collectées ;
• la source d’où proviennent les données personnelles, avec l’indication du caractère public ou non public de cette source. 

3.1.3 Par quels moyens informer les personnes ?

Ces informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la Personne concernée soit démontrée par d’autres moyens.

3.2 La minimisation et l’adéquation

Les Données à caractère personnel collectées pour toute finalité doivent être pertinentes et non excessives par rapport au but poursuivi par le Traitement. En d’autres termes, seules les Données strictement nécessaires pour atteindre l’objectif poursuivi par le Traitement doivent être collectées. 

Afin d’accomplir cette obligation, avant la mise en place du projet ou du traitement, le Collaborateur en charge du traitement doit vérifier l’adéquation et la proportionnalité de chaque donnée personnelle par rapport à la Finalité du Traitement. Pour chaque nouveau projet ou traitement, cette vérification devra nécessairement être accompagnée par la réalisation d’une analyse de risque sur la vie privée des personnes conformément à la procédure de gestion de projet établie par NEOMA BS.

Par ailleurs, les Données à Caractère Personnel collectées doivent être exactes, complètes et, si nécessaire, mises à jour. 

Le Collaborateur en charge du Traitement doit toujours s’assurer que son fichier est à jour des consentements exprimés par les Personnes concernées lorsque le consentement est requis pour le Traitement qui sera mis en œuvre.

3.3       Le respect des finalités de traitement

Avant toute collecte des Données personnelles, le Collaborateur en charge du traitement doit définir de façon claire tous les objectifs poursuivis par la collecte des Données.  

Les Données à Caractère Personnel ne doivent pas être traitées pour une Finalité ultérieure incompatible avec la Finalité initiale pour NEOMA les Données ont été collectées. Par exemple, les traitements réalisés à des fins statistiques ne sont pas considérés comme incompatibles avec la finalité initiale.

Pour pouvoir effectuer tout traitement ultérieur dont la finalité est incompatible avec la finalité initiale, le Collaborateur en charge du traitement doit s’assurer qu’il a reçu le consentement de la Personne Concernée pour cette nouvelle Finalité et dans le cas contraire recueillir le consentement de la Personne Concernée ou répondre à une autre condition de licéité (exécution d’un contrat avec la personne, respect d’une obligation légale, intérêt légitime de NEOMA BS).

La collecte de ces informations a pour but de permettre :

• La mise en place d’opérations de prospection et de publicité relatives aux programmes, activités ou événements organisés par NEOMA BS ou à l’abonnement aux newsletters de NEOMA BS ;
• L’accès à la plateforme d’admission et son amélioration ;
• La gestion et le suivi de la candidature et, une fois admis, le suivi administratif, financier et pédagogique de la formation des Clients ;
• Le suivi de la relation Client ;
• La gestion des achats ;
• La facturation ;
• La gestion des impayés et des contentieux ;
• L’attribution soit :
  • Pour les Apprenants : d’une carte Apprenant internationale multi-services, comportant sa photo individuelle, permettant d’attester de son identité ainsi que d’accéder au campus, à ses locaux, aux points de restauration de NEOMA BS et le cas échéant aux services de la bibliothèque, d’imprimer et/ou photocopier des documents, d’accéder aux points de restauration du Crous et de régler des dépenses ;
  • Pour les apprentis et stagiaires de la formation continue, une carte étudiant des métiers.
  • Pour les autres Utilisateurs, d’un badge temporaire ou une carte multi-services permettant d’accéder aux locaux et le cas échéant de se restaurer, d’imprimer et/ou photocopier des documents ;
• La gestion de la restauration et son suivi administratif et financier ;
• La gestion de la bibliothèque et des services afférents ;
• Pour l’Apprenant, le suivi relatif au paiement ou à l’exonération de la Contribution Vie Apprenante et de Campus (CVEC) de l’Apprenant réalisé auprès du CROUS ;
• Le suivi médical de l’Apprenant ;
• La gestion des personnes à contacter en cas d’urgence ;
• La gestion des émargements afin d’attester du suivi du cours et le cas échéant la gestion des attestations de fin de formation ;
• La gestion d’envoi de SMS afin de communiquer rapidement avec les Apprenants et, de façon plus générale, tout apprenant inscrit à une formation diplômante ou certifiante ;
• L’assistance, le cas échéant, du Client dans la procédure d’octroi d’aides financières et suivre son dossier ;
• Le cas échéant, à la création et gestion d’un compte utilisateur en vue d’accéder à l’environnement numérique de travail de NEOMA BS ainsi qu’aux ressources réseaux, applicatives et à de la documentation numérique ;
• La gestion d’un annuaire de messagerie permettant la gestion de groupes de diffusion basés pour les Clients sur les offres de scolarité qui leur sont rattachées ;
• Le cas échant, le suivi de cours ou consultation de contenus pédagogiques en ligne, la dépose de documents type travaux pédagogiques, réponses à des quizz, dépose de commentaires, participation à des discussions en ligne ainsi que la gestion du suivi de ces différentes consultations et déposes par les équipes pédagogiques de NEOMA BS ;
• Le cas échéant, la gestion de visio ou webconférence ;
• La gestion de la mobilité des Clients, entrante ou sortante du territoire national, dans le cadre des conditions prévues par leur formation et la gestion des conditions de séjour liées à cette mobilité ;
• La gestion des évaluations des enseignements suivis par le Client ;
• La gestion, dans le cadre d’une formation diplômante ou certifiante, de l’évaluation continue ainsi que des examens, partiels et jury d’attribution des diplômes ou certificats qu’ils soient fait en présentiel ou en ligne avec ou sans surveillance ;
• La mise en place d’un filtrage via un pare-feu, d’antivirus, de la vidéosurveillance et contrôle d’accès à des fins de sécurité des biens et des personnes, et des opérations en lien avec le niveau Vigipirate/alerte attentat ;
• La gestion des demandes d’intervention en cas de difficulté rencontrée par le Client dans l’utilisation des supports informatiques ou dans l’utilisation des locaux de NEOMA BS ;
• La gestion, en cas de violation des règlements et chartes de NEOMA BS et de ses filiales, de sanctions disciplinaires ;
• La mise en œuvre d’études, d’indicateurs et d’enquêtes notamment au profit de NEOMA BS, du Ministère de l’Enseignement Supérieur et de la Recherche, de la Conférence des Grandes Écoles, de l’observatoire nationale de la vie Apprenante, des organismes d’accréditation, notamment Amba, AACSB, Equis, des organismes publiant des classements (exemple : the Financial Time, The Economist, L’Apprenant, le Figaro, Quacquarelli Symonds Ltd ‘ »QS ») QS , Times Higher Education (THE), Forbes, …)  et de tout organisme tiers pour lequel NEOMA BS se doit de réaliser des statistiques ou de répondre à des demandes conformément à la législation en vigueur ;
• L’accès aux offres d’accompagnement professionnel développées par la Direction Talent & Career de NEOMA BS notamment, pour les formations concernées, gestion des stages ;
• La gestion permettant la détection du plagiat ;
• La gestion de la délivrance du diplôme ou certificat NEOMA BS qui pourra, le cas échéant, avoir son équivalent électronique ;
• La collecte de la taxe d’apprentissage ;
• La gestion de la relation avec les entreprises ;
• La transmission de données, notamment le CV, à des entreprises, Partenaires et/ou filiales de NEOMA BS ;
• La transmission de données à la Fondation NEOMA BS afin que celle-ci puisse informer le Client des actions qu’elle engage et le contacter ;
• De gérer le transfert à l’association NEOMA BS Alumni, et à l’Association Sportive de NEOMA BS, dans la mesure où l’Apprenant a adhéré à l’association en question ou a consenti au transfert de ses données vers ladite association ;
• La mise en place de statistiques ;

Le cas échéant, si le Client a besoin d’un logement sur ou à proximité du lieu de formation, NEOMA BS met en place un traitement pour assurer la gestion de l’hébergement, son suivi financier ainsi que sa facturation et les éventuels litiges pouvant en résulter ;

Si l’inscription du Client est faite sur un programme commun avec une université ou école partenaire (y compris, située à l’étranger), dans ce cadre spécifique, NEOMA BS transmet les données du Client à l’Université ou École partenaire à des fins de gestion de son inscription, du suivi de sa scolarité et de l’obtention des crédits nécessaires par l’université ou école partenaire.

3.4 Finalité autre que celles prévues ci-dessus

Si NEOMA BS souhaite mettre en œuvre un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, NEOMA BS fournit au préalable aux Utilisateurs des informations au sujet de cette autre finalité et toute autre information pertinente.

3.5 Décision individuelle automatisée

Dans le cadre du suivi administratif, financier et pédagogique de la formation des Clients, selon la formation suivie, l’Apprenant peut être amené à choisir des cours. Ce traitement affectera une place selon la disponibilité dans le cours choisi et selon le vœu de l’Apprenant. Pour être au plus proche des souhaits de formation de l’Apprenant, celui-ci a toujours la possibilité de contacter son responsable de programme pour moduler sa formation selon ses souhaits.

Dans le cadre de la gestion du risque frauduleux, NEOMA BS utilise un procédé numérique lui permettant de comparer, selon les exigences du programme, certains des travaux remis par les Clients à des sources internes ou externes afin de détecter un éventuel cas de plagiat. Ce traitement est nécessaire aux obligations légales de NEOMA BS dans le cadre de sa mission de service public, notamment, lors de la remise de travaux par les Clients sanctionnant l’obtention d’un diplôme ou certificat. Ce traitement donnera systématiquement lieu à un examen par les équipes pédagogiques en charge de déterminer les éventuelles conséquences.

N’est pas considérée comme une décision automatisée la gestion des examens et leur surveillance. Dans le cadre de la gestion des examens, lorsque celui-ci est géré avec des moyens en ligne ne nécessitant pas l’intervention d’un surveillant, le comportement du Client lié à l’usage de son navigateur, son équipement et ses interactions avec son environnement seront tracés et permettront de déterminer si les attentes minimales de respect des règles fixées pour l’examen sont atteintes. En cas non-respect ou de doute quant au comportement de l’examiné, l’enseignant ou un responsable de programme sera chargé de vérifier les différents éléments enregistrés afin de statuer sur le respect des règles et en cas de manquement, il constituera un rapport qui sera porté dans le dossier scolaire du Client et donnera lieu à une prise en compte, le cas échéant, pour l’organisation d’un conseil de discipline.

3.6     La licéité du traitement et le Consentement

Chaque Collaborateur en charge du Traitement doit s’assurer que le Traitement de Données personnelles qu’il va mettre en œuvre est licite, c’est-à-dire qu’il repose sur une base juridique prévue par la règlementation. Le Collaborateur en charge du Traitement vérifie donc si le Traitement :

• A reçu le Consentement de la Personne concernée, ou
• Est nécessaire à l’exécution du contrat avec la Personne concernée, ou
• Est nécessaire au respect d’une obligation légale, ou
• Est nécessaire pour satisfaire les intérêts légitimes de NEOMA BS.

Lorsque le traitement de Données à Caractère Personnel repose sur le Consentement de la Personne Concernée, chaque Collaborateur en charge du Traitement doit pouvoir démontrer que le Consentement a bien été donné par la Personne Concernée pour le traitement de ses Données à Caractère Personnel et que ce Consentement a été enregistré et tracé dans un système informatique. 

 Afin d’obtenir le consentement des Personnes Concernées, certaines exigences devront être respectées : 

• Lorsque la demande de consentement est faite par écrit et qu’elle concerne également d’autres questions, la demande de consentement doit être présentée de façon distincte par rapport à ces autres questions ;
• La demande de consentement faite par écrit doit être établie sous une forme compréhensible, aisément accessible, formulée en des termes clairs et simples ;
• La demande de consentement ne doit pas être formulée de manière contraignante pour la Personne Concernée ;
• Il est nécessaire de s’assurer que le consentement est donné librement, notamment lorsque l’exécution d’un contrat est subordonnée au consentement de la Personne Concernée au Traitement de ses Données à Caractère Personnel, alors qu’un tel Traitement ne serait pas nécessaire à l’exécution de ce contrat.

La Personne Concernée doit être mise en mesure de retirer son consentement à tout moment. Le Collaborateur en charge du Traitement doit mettre en place et informer la Personne Concernée des moyens permettant de retirer son consentement notamment à travers les mentions d’information fournies au moment de la collecte des Données. 

Ces moyens doivent permettre à la Personne Concernée de retirer son consentement aussi simplement qu’il a été donné. 

Le Collaborateur en charge du Traitement se réfère à la procédure de consentement établie en interne afin de répercuter les consentements et les retraits de Consentement dans les applications utilisées et le Système d’information.

3.7      Transfert des données en dehors de l’union Européenne

3.7.1    Généralités sur tout Transfert de Données à Caractère Personnel

Les Transferts internationaux de Données à Caractère Personnel exigent une attention particulière et des garanties supplémentaires.

3.7.1.1 Transferts vers des pays offrant un niveau de protection adéquat selon la législation nationale

Le transfert de Données à Caractère Personnel à l’étranger sera permis si la Commission européenne reconnaît le pays destinataire comme fournissant un niveau de protection adéquat, sans préjudice du respect des dispositions nationales. 

La liste des pays offrant un niveau adéquat de protection des Données à caractère personnel est prévue en Annexe 1 et est disponible sur le lien suivant https://www.cnil.fr/fr/la-protection-des-donnees-dans-lemonde.  Cette Liste est susceptible de faire l’objet d’une évolution. Il appartient dès lors au Collaborateur en charge du Traitement de vérifier sur le site de la Commission Européenne que cette liste est toujours à jour. 

3.7.1.2 Transferts couverts par des garanties appropriées

Si la loi sur la Protection des Données à Caractère Personnel du pays de l’Importateur des Données n’est pas considérée comme adéquate par la Commission européenne, le Collaborateur en charge du Traitement devra conclure des clauses contractuelles avec le Responsable Conjoint ou le Sous-Traitant à l’étranger.

Le Collaborateur en charge du Traitement peut encadrer le Transfert grâce à des Clauses Contractuelles Types établies par la Commission européenne ou par l’autorité de contrôle. Dans ce cas, il pourra transférer les Données sans l’autorisation de l’autorité de contrôle compétente. Le Collaborateur en charge du Traitement peut aussi encadrer le transfert grâce à des clauses contractuelles établies entre lui et l’Importateur des Données, mais dans ce cas, il devra obtenir l’autorisation de l’autorité de contrôle compétente.

Il existe trois autres possibilités pour encadrer le transfert : 

• La mise en place de Règles d’Entreprise Contraignante (BCR) pour encadrer les échanges entre les Campus de NEOMA BS
• L’application par le Responsable de traitement d’un Code de conduite approuvé
• La certification du Responsable de traitement par un mécanisme de certification approuvé

Dans tous les cas, le Collaborateur en charge du Traitement devra prévoir un accord écrit avec l’Importateur des Données, dans NEOMA BS celui-ci garantit qu’il appliquera un niveau de protection des Données équivalent à celui requis par les lois sur la protection des Données à Caractère Personnel en France. Ces clauses contractuelles devront prévoir des mesures de sécurité techniques et organisationnelles devant être appliquées par les Responsables Conjoints ou les Sous-Traitants établis dans un pays tiers ne fournissant pas un niveau adéquat de protection afin d’assurer un niveau de sécurité adapté aux risques présentés par le Traitement de Données à Caractère Personnel et la nature des Données à protéger. 

3.7.2    Transferts répondant à une situation particulière

En l’absence de décision d’adéquation ou de garanties appropriées, un Transfert ou un ensemble de Transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes :

• La personne concernée a donné son consentement explicite au Transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;
• Le Transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le Responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la Personne concernée ;
• Le Transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la Personne concernée entre le Responsable du traitement et une autre personne physique ou morale;
• Le Transfert est nécessaire pour des motifs importants d’intérêt public ;
• Le Transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
• Le Transfert est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ou d’autres personnes, lorsque la Personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
• Le Transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.

3.8     Durée de conservation 

Les Données à Caractère Personnel ne doivent pas être conservées plus longtemps que nécessaire au regard des Finalités pour lesquelles elles sont collectées sauf indication contraire des lois applicables. Dans ce cadre, NEOMA BS doit mettre en place une politique de conservation des Données à Caractère Personnel qui précise la durée de conservation applicables aux Données pour les différentes Finalités de Traitement, les conditions de conservation ainsi que le format de stockage des Données. Cette politique de conservation des données devra suivre les directives définies dans la présente Politique. Le collaborateur en charge du Traitement devra se reporter à la politique de conservation des Données pour assurer le respect de cette exigence. 

De manière générale, la durée maximale de conservation des données doit être déterminée en fonction de la Finalité de chaque Traitement. Les éléments suivants doivent être pris en compte pour la détermination de la durée de conservation de chaque catégorie de Données collectées :

• Obligations légales ;
• Recommandations de l’Autorité de protection des données ;
• Les meilleures pratiques dans chaque domaine concerné ;
• L’exécution d’un contrat ou l’application de mesures précontractuelles ;
• Les besoins de l’entreprise.

En dehors des cas dans lesquels il existe une obligation d’archivage, les Données qui ne présentent plus d’intérêt doivent être supprimées sans délai. En cas de procédure de suppression automatique, le Collaborateur en charge du Traitement doit s’assurer que les données sont effectivement supprimées par l’établissement d’un certificat de destruction. 

3.9     Droit des personnes concernées et réponses aux réclamations 

De manière générale, le Règlement Européen sur la Protection des Données accorde aux Personnes Concernées les droits suivants sous réserve des spécificités locales :

• D’être informées lorsque les Données à Caractère Personnel sont enregistrées pour la première fois par le Responsable de Traitement pour ses besoins propres, à moins que cette information ne soit pas nécessaire en raison d’exceptions légales ;
• De demander des informations sur les données enregistrées les concernant, y compris des informations concernant la source des données ;
• De demander les destinataires ou catégories de destinataires auxquels les données sont transférées ;
• De demander la finalité de l’enregistrement des données ;
• De demander l’accès aux données les concernant, y compris sous forme de liste fournie par écrit ou par voie électronique ;
• De demander la rectification des données, quand elles sont inexactes ;
• De demander la suppression de données si cela est légalement possible ;
• D’obtenir la limitation du traitement de leurs Données à Caractère Personnel lorsque cela est légalement possible ;
• De s’opposer au traitement de leurs Données à Caractère Personnel par NEOMA BS ;
• De demander la portabilité de leurs Données à Caractère Personnel ;
• D’obtenir toute autre information sur le Traitement qui serait exigée par la loi.

Le Collaborateur en charge du Traitement doit apporter sa réponse dans un délai maximal d’un mois à compter de la date de réception de la demande. En cas de difficulté particulière, ce délai peut être repoussé de 2 mois maximum sur décision du délégué à la protection des données. Il doit se reporter à la procédure de gestion des droits des Personnes concernées pour assurer de l’organisation en place. L’annexe 3 ci-après développe les droits des personnes concernées.

3.10   La sécurité des données 

Des mesures de contrôle et procédures appropriées doivent être mises en œuvre par le Responsable de Traitement afin d’assurer la sécurité des Données à Caractère Personnel et de prévenir tout accès ou divulgation non autorisés, en prenant en compte l’état actuel des technologies ainsi que l’éventuel préjudice pouvant résulter de la perte ou de l’accès non autorisé aux Données.

Plus spécifiquement, la collecte, l’utilisation, le traitement, la transmission et le transfert, le stockage et la destruction des Données à Caractère Personnel nécessitent de la part de NEOMA BS de prendre des mesures raisonnables pour mettre en place des systèmes organisationnels efficaces et des mesures physiques et techniques, en particulier pour :

• Empêcher les personnes non autorisées d’avoir accès aux systèmes d’information pour traiter ou utiliser des Données à Caractère Personnel (contrôle d’accès) ;
• S’assurer que seules les personnes habilitées à accéder aux Données peuvent y avoir accès dans la limite de la Finalité pour NEOMA BS les Données sont traitées. Ces personnes doivent garantir la confidentialité des Données à Caractère Personnel auxquelles elles ont accès.
• S’assurer que les personnes autorisées à utiliser un système de traitement des données n’ont accès qu’aux seules données auxquelles elles sont autorisées à accéder, et que les Données à Caractère Personnel ne peuvent pas être lues, copiées, altérées ou supprimées sans autorisation pendant le Traitement, l’utilisation et après l’enregistrement (contrôle d’accès, principe du besoin d’en connaître) ;
• S’assurer que les Données à Caractère Personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le transport, le transfert électronique ou l’enregistrement sur des supports de stockage, et qu’il est possible de vérifier et de contrôler les personnes qui transfèrent des Données à Caractère Personnel à l’aide de moyens de transferts de données (contrôle de divulgation) ;
• S’assurer qu’il est possible de contrôler et de vérifier si les Données à Caractère Personnel ont été ajoutées, modifiées ou supprimées des systèmes de traitement de données et si tel est le cas, par qui (contrôle d’entrée) ;
• S’assurer que les Données à Caractère Personnel traitées pour le compte d’autrui sont en stricte conformité avec les instructions du Responsable de Traitement (contrôle des tâches) ;
• S’assurer que les Données à Caractère Personnel sont protégées contre la destruction accidentelle ou la perte (contrôle de disponibilité) ;
• S’assurer que les Données à Caractère Personnel collectées pour des finalités différentes peuvent être traitées séparément ;
• S’assurer que l’anonymisation des Données est effective lorsqu’elle est requise par une loi NEOMA BS pour mettre en œuvre le traitement.

Le Collaborateur en charge du Traitement doit identifier les risques sur la vie privée des personnes engendrés par son Traitement avant de déterminer les mesures de sécurité et confidentialité adéquates pour réduire ces risques. Pour cela, le Collaborateur en charge du Traitement se réfère à la procédure interne de gestion de projet qui contient la procédure de pré-analyse de risque du Traitement sur la vie privée des Personnes concernées.

Lorsque cette pré-analyse de risque sur la vie privée démontre que le Traitement envisagé présente un risque élevé pour la vie privée des Personnes concernées, le Collaborateur en charge du Traitement réalise une Étude d’Impact sur la Vie Privée (EIVP) afin de déterminer les mesures de sécurité et de confidentialité nécessaires pour réduire ce risque. Le Collaborateur en charge du Traitement se réfère alors à la procédure d’analyse d’impact sur la vie privée établie par NEOMA BS.

Le niveau des mesures de sécurité nécessaires pour la protection des Données dépend de la sensibilité des données et de la Finalité du Traitement.

Les échanges de données tant en interne qu’en externe sont assurés par la mise en œuvre d’interfaces de programmation applicatives (API) quand les applicatifs le permettent. La minimisation des données, leur exactitude, leur traçabilité et leur sécurité sont recherchées et mises en œuvre conformément aux orientations de la CNIL.

3.11   Privacy by Design & by Default

Avant l’initiation de tout projet, toute collecte de Données, tout nouveau produit ou service, ou toute nouvelle application, le Collaborateur en charge du Traitement doit prendre en compte la protection des Données à caractère personnel et se reporter à la procédure de gestion de projet de NEOMA BS intégrant les exigences de Privacy by Design.

Les Données doivent être protégées dès la conception, mais aussi tout au long du projet et tout au long du cycle de vie de la donnée (de la collecte à la destruction). Le Collaborateur en charge du Traitement doit mettre en œuvre, compte tenu des règles de l’art, toutes les mesures de sécurité techniques et organisationnelles, qui permettent d’assurer cette sécurité de bout en bout.