Politique Générale de Confidentialité et de Protection des Données à Caractère Personnel

NEOMA s’engage à assurer la protection des données obtenues dans le cadre de ses activités et à se conformer aux lois et réglementations applicables en matière de Traitement de Données à Caractère Personnel, et notamment au Règlement Européen n°2016/679 sur la protection des données personnelles (RGPD). Ce règlement vise à garantir que les organisations protègent efficacement les informations permettant d’identifier directement ou indirectement une personne et qu’elles respectent les droits de ces personnes sur leurs données, qu’il s’agisse de nos étudiants, collaborateurs ou partenaires.

L’objet principal de la présente Politique est d’assurer et de faire connaître la mise en place par NEOMA de structures appropriées de gouvernance, de contrôle ainsi que de méthodes et procédures garantissant la conformité avec les lois et réglementations applicables en matière de protection des Données à Caractère Personnel.

Dans ce cadre, la Politique établit les standards minimums suivants :

• Nomination d’un DPO en charge de la supervision et de l’application de cette politique au sein de NEOMA ;

• Adoption par NEOMA des exigences et standards légaux pour l’ensemble des traitements de données à caractère personnel.

La Politique s’applique à l’ensemble des collaborateurs, aux apprenants, aux candidats, aux prestataires, aux tiers-payeurs, aux clients, aux intervenants ainsi qu’aux partenaires, et couvre tous les services de NEOMA répartis sur les différents campus.

Elle s’applique à toutes les Données Personnelles recueillies, traitées, partagées par NEOMA, à la fois en ligne et hors ligne, y compris :

• Les Sites internet de NEOMA et ses filiales ;
• Les Pages officielles de NEOMA sur les réseaux sociaux ;
• Les logiciels de gestion intégrée ;
• Les CRM ;
• Les autres outils et bases de données utilisés au sein de l’école ;
• Les Emails échangés au sein de l’école ;
• Les conversations et correspondances ;
• Les formulaires papiers.

Une communication adéquate sur la Politique doit être réalisée par NEOMA.

Conformément au droit du travail applicable, à ses propres règles internes et contrats de travail, NEOMA peut prendre des mesures disciplinaires à l’égard de ses propres collaborateurs, notamment en cas de non-respect des standards minimums de protection des Données à caractère Personnel établis par la présente politique.

Sous réserve de dispositions législatives ou réglementaires contraires, la présente politique doit être appliquée aux Tiers qui ont accès ou à qui sont transmises les Données Personnelles des Apprenants, des Anciens Apprenants, des Clients, des Professeurs, des Intervenants, des Collaborateurs de NEOMA et de toutes autres personnes dont NEOMA traite les Données personnelles.

Chaque Responsable de Traitement doit s’assurer que les contrats avec les Tiers ayant un accès aux Données à caractère personnel de NEOMA contiennent au minimum des dispositions sur les points suivants :

• La ou les bases juridiques du traitement ;

• Le périmètre de responsabilité ;

• La propriété des Données ;

• Les caractéristiques du traitement (objet, durée, nature, finalité, données personnelles utilisées et personnes concernées) ;

• Les transferts internationaux des Données ;

• Le respect des instructions et le recours à d’autres Sous-traitants ;

• La politique de gestion des droits des personnes concernées ;

• Le sort des Données à l’expiration du contrat ;

• L’obligation de sécurité et de confidentialité des Données ;

• La possibilité pour le Responsable de Traitement de réaliser un audit auprès du Tiers ;

• La procédure en cas de violations des Données (failles de sécurité).

Dans le cadre de la présente Politique et des annexes, les termes employés auront le sens qui leur est donné par la présente section :

« Données à Caractère Personnel/Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, N° de carte d’identité, salaire/rémunération, dossiers de santé, informations de compte bancaire, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. 

La définition est délibérément très large. D’autres informations (par exemple une adresse, un lieu de travail, un numéro de téléphone, des caractéristiques physiques ou la profession) combinées seront généralement suffisantes pour identifier clairement un individu.

« Données à Caractère Personnel Sensibles » (exemples, liste non exhaustive) désigne les Données à Caractère Personnel telles que :

L’origine raciale ou ethnique, les opinions politiques ou les convictions religieuses ou philosophiques de la Personne Concernée ;

L’appartenance à une organisation syndicale ;

La santé physique ou mentale ou les conditions/vie sexuelle de la Personne Concernée ;

Les données soumises à une réglementation spécifique (données financières, données médicales…);

Les données génétiques et biométriques ;

La commission présumée d’infraction par la Personne Concernée ;

Toutes poursuites engagées pour une infraction commise ou présumée commise par la Personne Concernée, la soumission de telles poursuites ou la décision de toute juridiction dans le cadre de telles poursuites ;

« Personne Concernée » désigne l’individu qui peut être identifié ou distingué des autres, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à ses caractéristiques physiques, physiologiques, mentales, économiques, comportementales, culturelles ou sociales. Cela inclut les Apprenants, salariés, professeurs, prospects, intervenants, anciens Apprenants, etc.

« Responsable de Traitement » désigne une personne qui, seule ou conjointement, décide quelles Données à Caractère Personnel sont collectées, pourquoi et comment elles sont collectées et traitées. Dans la plupart des cas, il s’agira de la personne ou la société qui « possède » les Données. Être le Responsable de Traitement ne signifie pas qu’il a la propriété des données et qu’il puisse les divulguer ou les utiliser comme il l’entend. 

Au sens du Règlement Européen sur la protection des données à caractère Personnel, le Responsable de Traitement sera entendu au sens général comme l’entité incarnée par son Dirigeant, et par délégation de pouvoir expresse et écrite, les Responsables de services ou de métiers. Ces personnes seront-celles responsables au regard du Règlement Européen. 

Cependant, dans le cadre de la présente Politique, tout collaborateur qui, seul ou conjointement, décide quelles Données à Caractère Personnel sont collectées, pourquoi et comment elles sont collectées et traitées sera responsable d’appliquer la présente Politique.  Le terme « Collaborateur en charge du traitement » fera référence à ce collaborateur.

« Sous-Traitant » désigne toute personne ou société, non employée du Responsable de Traitement, qui traite des Données à Caractère Personnel au nom du Responsable de Traitement et selon ses instructions (par exemple des prestataires ou fournisseurs). Le Responsable de Traitement doit assurer le maintien de la même obligation de diligence lorsqu’un Sous-Traitant traite des Données à Caractère Personnel en son nom et pour son compte.

« Tiers » désigne toute personne physique ou morale, autorité publique, agence ou tout autre organisme autre que la Personne Concernée, le Responsable du Traitement, le Sous-Traitant et les personnes qui, sous l’autorité directe du Responsable du Traitement ou du Sous-Traitant, sont habilitées ou autorisées à traiter les Données. Les partenaires commerciaux ou institutionnels sont des Tiers au sens de la présente politique. Il peut aussi s’agir d’organismes qui ont vocation à être destinataires des données au titre d’une obligation légale (organismes de sécurité social, mutuelle, etc.).

« Traitement de Données à Caractère Personnel » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l’accès, l’enregistrement, la copie, la reproduction, le transfert, la recherche, le tri, la conservation, le stockage, la séparation, le croisement, la fusion, la modification, la structuration, l’adaptation, la mise à disposition, l’utilisation, la divulgation, la diffusion, la communication, l’extraction, l’enregistrement, l’organisation, l’adaptation, la divulgation par transmission ou toute autre forme de mise à disposition, la dissimulation, le déplacement, le rapprochement, l’interconnexion, la limitation, l’effacement, la destruction ainsi que la mise en œuvre d’autres actions sur les Données, que ce soit de manière automatique, semi-automatique ou autre. Cette liste n’étant pas exhaustive. 

« Destinataire » désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un Tiers. 

« Consentement » de la personne concernée désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement par NEOMA.

« Violation de Données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données ;

«Transfert de données »  désigne toute communication, toute copie ou déplacement de Données par l’intermédiaire d’un réseau dans un pays situé hors Union Européenne, ou toute communication, toute copie ou déplacement de ces données d’un support à un autre, quel que soit ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire situé hors Union Européenne (exemple : Transfert à un fournisseur de services pour informatiser la collecte des données, plateforme informatique internationale, maintenance IT internationale, organisation d’échanges entre écoles et universités partenaires, accréditations internationales des professeurs, transmission à des organismes de presse internationaux pour le classement des grandes écoles, etc.). 

« Importateur de Données » désigne tout Responsable de traitement, Sous-traitant ou Tiers traitant des Données personnelles qu’il reçoit du Responsable de traitement dans le cadre d’un Transferts de Données.

« Exportateur de Données » désigne un Responsable de Traitement, Sous-Traitant ou Tiers qui transfère des Données à caractère Personnel depuis le pays dans il est localisé à NEOMA (soit par lui-même, un Sous-traitant ou un Tiers) à un autre pays situé hors Union Européenne.

« Finalités de traitement » désigne l’objectif poursuivi par le Traitement de Données à caractère personnel ou l’objectif principal d’une application informatique traitant des Données personnelles. Exemples de finalité : gestion des recrutements, gestion des inscriptions aux concours, gestion des inscriptions des Apprenants, vidéoprotection des locaux, gestion des prêts en médiathèque, etc.

« Règles d’entreprise contraignantes » ou BCR désigne les règles internes relatives à la protection des données à caractère personnel qu’applique le Responsable de Traitement établi sur le territoire d’un État membre de l’Union Européenne pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays hors Union Européenne au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe;

Le responsable de traitement est NEOMA Business School Etablissement d'Enseignement Supérieur Consulaire, immatriculé au Registre du Commerce et des Sociétés de Rouen sous le numéro 834 295 354 dont le siège social est au 1^er rue du Maréchal Juin, 76130 Mont-Saint-Aignan.

Pour toute demande relative à vos données, nous vous invitons à saisir le DPO en cliquant sur ce lien ou via : dpo@neoma-bs.fr

Le DPO est le garant de la conformité des traitements de Données à caractère personnel au sein de NEOMA. 

La mission principale du DPO est de s’assurer que NEOMA soit en conformité constante avec le cadre légal relatif aux Données personnelles (Règlement Européen sur la protection des données personnelles). Dans ce cadre, le DPO est soumis à une obligation de confidentialité et respecte notamment la stricte confidentialité des informations, procédures, usages, plaintes et litiges dont il a connaissance dans le cadre de son activité.

Cet objectif est atteint au travers des missions suivantes :

• S’assurer de la conformité des traitements réalisés au sein de NEOMA ;

• Assurer la mise à jour du registre des traitements ;

• Suivre les nouveaux projets et assurer la réalisation des analyses d’impact sur la vie privée des traitements nouveaux ;

• S’assurer de la conformité des contrats avec les tiers et sous-traitants ;

• Suivre l’évolution de la réglementation de NEOMA pour identifier les mises à jour de la politique générale de protection des Données ;

• Former et sensibiliser les collaborateurs sur leurs obligations en matière de traitement de Données à caractère personnel ;

• Vérifier l’application des différentes politiques de protection des données établies par NEOMA et les décliner dans les différents processus : RH, Marketing, Systèmes d’information ;

• Effectuer un reporting régulier auprès de la direction sur l’état d’avancement de son activité et de sa feuille de route de conformité à la règlementation générale sur la protection des données, sur l’état d’analyse de la vie privée des données sur les projets locaux et sur tout risque identifié en matière de protection des Données à Caractère Personnel ;

• Être le point de contact de l’autorité de contrôle pour NEOMA;

• Effectuer et mettre à jour les notifications auprès de l’Autorité de protection des données ;

• Permettre à NEOMA la protection des données (DPA) lorsque cela est nécessaire.

Afin d’assurer une mise en conformité effective et continue avec le Règlement général sur la protection des données (RGPD) et la politique interne de protection des données personnelles, des Collaborateurs Référents en charge du Traitement ont été désignés au sein de l’établissement.

Ils constituent les interlocuteurs privilégiés du Délégué à la protection des données (DPO) pour toute question relative aux traitements de données réalisés dans leur périmètre d’activité.

À ce titre, chaque Collaborateur en charge du Traitement s’engage à respecter les obligations suivantes vis-à-vis du DPO :

• Indiquer les coordonnées du DPO sur tous les supports de collecte des données à caractère personnel et mentions d’information (adresse postale, numéro de téléphone ou adresse électronique dédié);

• Informer leurs équipes de l’existence d’un DPO, de son nom et de ses coordonnées ;

• Prendre en compte les exigences en matière de protection des Données avant tout projet ;

• Le cas échéant, documenter et justifier par écrit les raisons pour lesquelles l’avis du DPO n’a pas été suivi lorsque celui-ci a été exprimé ;

• Répondre à toute demande d’information du DPO sur tous les sujets ayant un impact sur la vie privée des personnes ;

• Permettre l’accès du DPO à toutes les documentations relatives aux traitements de données et aux procédures associées et mettre en place une structure documentaire permettant de faciliter cet accès ;

• Informer le DPO de tout nouveau traitement afin que celui-ci soit inscrit dans le registre des traitements NEOMA.

Toutes les Données à caractère personnel collectées doivent être collectées et traitées de manière licite, loyale, et transparente au regard de la personne concernée. 

7.1.1 Quelles informations fournir aux personnes concernées ? 

Les informations suivantes doivent être systématiquement fournies aux personnes dont les Données personnelles font l’objet d’un Traitement par NEOMA et doivent notamment figurer sur le site internet opéré par NEOMA :  

• L’identité et les coordonnées de NEOMA en tant que Responsable de traitement,
• Toutes les Finalités de traitement ;
• Les coordonnées du DPO ;
• La base juridique du traitement, le cas échéant, les intérêts légitimes poursuivis ;
• La durée de conservation ou les critères de détermination de cette durée ;
• Le cas échéant, les destinataires ou catégories de destinataires ;
• Les droits des personnes concernées ;
• La possibilité d’introduire une réclamation auprès de la CNIL ;
• Le cas échéant, l’existence d’un transfert de données hors Union Européenne ainsi que les informations et les garanties qui s’y rattachent ;
• Le cas échéant, le fait que la fourniture des Données dépend d’une exigence à caractère réglementaire ou contractuel ;
• Le cas échéant, le fait que la fourniture des Données conditionne la conclusion d’un contrat ;
• L’existence d’une obligation pour la Personne concernée de fournir ses Données ;
• Les conséquences de la non fourniture des Données ;
• Le cas échéant, le droit de retirer son consentement pour les traitements basés sur le consentement ;
• Le cas échéant, l’existence d’une décision automatisée et les informations qui s’y rattachent ;
• Le cas échéant, l’existence d’un Traitement ultérieur pour une autre Finalité et les informations qui s’y rattachent.

7.1.2 Quand informer les personnes ? 

Au moment de la collecte des Données à caractère Personnel, les informations relatives au Traitement des Données doivent être communiquées aux Personnes Concernées d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.  

7.1.3 Par quels moyens informer les personnes ?

Ces informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la Personne concernée soit démontrée par d’autres moyens.

Les Données à caractère personnel collectées pour toute finalité doivent être pertinentes et non excessives par rapport au but poursuivi par le Traitement. En d’autres termes, seules les Données strictement nécessaires pour atteindre l’objectif poursuivi par le Traitement doivent être collectées. 

Afin d’accomplir cette obligation, avant la mise en place du projet ou du traitement, le Collaborateur en charge du traitement doit vérifier l’adéquation et la proportionnalité de chaque donnée personnelle par rapport à la Finalité du Traitement. Pour chaque nouveau projet ou traitement, cette vérification devra nécessairement être accompagnée par la réalisation d’une analyse de risque sur la vie privée des personnes conformément à la procédure de gestion de projet établie par NEOMA.

Par ailleurs, les Données à Caractère Personnel collectées doivent être exactes, complètes et, si nécessaire, mises à jour. 

Le Collaborateur en charge du Traitement doit toujours s’assurer que son fichier est à jour des consentements exprimés par les Personnes concernées lorsque le consentement est requis pour le Traitement qui sera mis en œuvre.

NEOMA s’engage à collecter et traiter les données à caractère personnel exclusivement pour les finalités déterminées, explicites et légitimes définies à l’article 5 de la présente Politique. Conformément à l’article 5, §1, b) du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), aucune donnée ne sera traitée ultérieurement d’une manière incompatible avec ces finalités initiales.

Toute utilisation des données à des fins autres que celles mentionnées dans la présente Politique fera l’objet d’une nouvelle information claire et transparente de la personne concernée, et, lorsque la loi l’exige, du recueil préalable de son consentement.

En outre, NEOMA veille à respecter le principe de minimisation des données prévu à l’article 5, §1, c) du RGPD, en ne collectant que les informations strictement nécessaires à la réalisation des finalités poursuivies.

Dans le cadre du suivi administratif, financier et pédagogique de la formation des Apprenants, selon la formation suivie, l’Apprenant peut être amené à choisir des cours. Ce traitement affectera une place selon la disponibilité dans le cours choisi et selon le vœu de l’Apprenant. Pour être au plus proche des souhaits de formation de l’Apprenant, celui-ci a toujours la possibilité de contacter son responsable de programme pour moduler sa formation selon ses souhaits.

Dans le cadre de la gestion du risque frauduleux, NEOMA utilise un procédé numérique lui permettant de comparer, selon les exigences du programme, certains des travaux remis par les Apprenants à des sources internes ou externes afin de détecter un éventuel cas de plagiat. Ce traitement est nécessaire aux obligations légales de NEOMA dans le cadre de sa mission de formation, notamment, lors de la remise de travaux par les Apprenants sanctionnant l’obtention d’un diplôme ou certificat. Ce traitement donnera systématiquement lieu à un examen par les équipes pédagogiques en charge de déterminer les éventuelles conséquences.

N’est pas considérée comme une décision automatisée la gestion des examens et leur surveillance. Dans le cadre de la gestion des examens, lorsque celui-ci est géré avec des moyens en ligne ne nécessitant pas l’intervention d’un surveillant, le comportement de l’Apprenant lié à l’usage de son navigateur, son équipement et ses interactions avec son environnement seront tracés et permettront de déterminer si les attentes minimales de respect des règles fixées pour l’examen sont atteintes. En cas non-respect ou de doute quant au comportement de l’examiné, l’enseignant ou un responsable de programme sera chargé de vérifier les différents éléments enregistrés afin de statuer sur le respect des règles et en cas de manquement, il constituera un rapport qui sera porté dans le dossier scolaire de l’Apprenant et donnera lieu à une prise en compte, le cas échéant, pour l’organisation d’un conseil de discipline.

Chaque Collaborateur en charge du Traitement doit s’assurer que le Traitement de Données personnelles qu’il va mettre en œuvre est licite, c’est-à-dire qu’il repose sur une base juridique prévue par la règlementation. Le Collaborateur en charge du Traitement vérifie donc si le Traitement :

• Est nécessaire à l’exécution du contrat avec la Personne concernée, ou
• Est nécessaire au respect d’une obligation légale, ou
• Est nécessaire pour satisfaire les intérêts légitimes de NEOMA, ou
• A reçu le Consentement de la Personne concernée.

Lorsque le traitement de Données à Caractère Personnel repose sur le Consentement de la Personne Concernée, chaque Collaborateur en charge du Traitement doit pouvoir démontrer que le Consentement a bien été donné par la Personne Concernée pour le traitement de ses Données à Caractère Personnel et que ce Consentement a été enregistré et tracé dans un système informatique. 

 Afin d’obtenir le consentement des Personnes Concernées, certaines exigences devront être respectées : 

• Lorsque la demande de consentement est faite par écrit et qu’elle concerne également d’autres questions, la demande de consentement doit être présentée de façon distincte par rapport à ces autres questions ;
• La demande de consentement faite par écrit doit être établie sous une forme compréhensible, aisément accessible, formulée en des termes clairs et simples ;
• La demande de consentement ne doit pas être formulée de manière contraignante pour la Personne Concernée ;
• Il est nécessaire de s’assurer que le consentement est donné librement, notamment lorsque l’exécution d’un contrat est subordonnée au consentement de la Personne Concernée au Traitement de ses Données à Caractère Personnel, alors qu’un tel Traitement ne serait pas nécessaire à l’exécution de ce contrat.

La Personne Concernée doit être mise en mesure de retirer son consentement à tout moment. Le Collaborateur en charge du Traitement doit mettre en place et informer la Personne Concernée des moyens permettant de retirer son consentement notamment à travers les mentions d’information fournies au moment de la collecte des Données. 

Ces moyens doivent permettre à la Personne Concernée de retirer son consentement aussi simplement qu’il a été donné. 

Le Collaborateur en charge du Traitement se réfère à la procédure de consentement établie en interne afin de répercuter les consentements et les retraits de Consentement dans les applications utilisées et le Système d’information.

7.6.1 Généralités sur tout Transfert de Données à Caractère Personnel

Les Transferts internationaux de Données à Caractère Personnel exigent une attention particulière et des garanties supplémentaires.

Transferts vers des pays offrant un niveau de protection adéquat selon la législation nationale

Le transfert de Données à Caractère Personnel à l’étranger sera permis si la Commission européenne reconnaît le pays destinataire comme fournissant un niveau de protection adéquat, sans préjudice du respect des dispositions nationales. 

La liste des pays offrant un niveau adéquat de protection des Données à caractère personnel est disponible sur le lien suivant :

https://www.autoriteprotectiondonnees.be/professionnel/themes/flux-internationaux-de-donnees/transferts-en-dehors-de-l-ue---avec-protection-adequate. 

 Cette Liste est susceptible de faire l’objet d’une évolution. Il appartient dès lors au Collaborateur en charge du Traitement de vérifier sur le site de la Commission Européenne que cette liste est toujours à jour. 

Transferts couverts par des garanties appropriées

Si la loi sur la Protection des Données à Caractère Personnel du pays de l’Importateur des Données n’est pas considérée comme adéquate par la Commission européenne, le Collaborateur en charge du Traitement devra conclure des clauses contractuelles avec le Responsable Conjoint ou le Sous-Traitant à l’étranger.

Le Collaborateur en charge du Traitement peut encadrer le Transfert grâce à des Clauses Contractuelles Types établies par la Commission européenne ou par l’autorité de contrôle. Dans ce cas, il pourra transférer les Données sans l’autorisation de l’autorité de contrôle compétente. Le Collaborateur en charge du Traitement peut aussi encadrer le transfert grâce à des clauses contractuelles établies entre lui et l’Importateur des Données, mais dans ce cas, il devra obtenir l’autorisation de l’autorité de contrôle compétente.

Il existe trois autres possibilités pour encadrer le transfert : 

• La mise en place de Règles d’Entreprise Contraignante (BCR) pour encadrer les échanges entre les Campus de NEOMA
• L’application par le Responsable de traitement d’un Code de conduite approuvé
• La certification du Responsable de traitement par un mécanisme de certification approuvé

Dans tous les cas, le Collaborateur en charge du Traitement devra prévoir un accord écrit avec l’Importateur des Données, dans NEOMA celui-ci garantit qu’il appliquera un niveau de protection des Données équivalent à celui requis par les lois sur la protection des Données à Caractère Personnel en France. Ces clauses contractuelles devront prévoir des mesures de sécurité techniques et organisationnelles devant être appliquées par les Responsables Conjoints ou les Sous-Traitants établis dans un pays tiers ne fournissant pas un niveau adéquat de protection afin d’assurer un niveau de sécurité adapté aux risques présentés par le Traitement de Données à Caractère Personnel et la nature des Données à protéger.

7.6.2 Transferts répondant à une situation particulière

En l’absence de décision d’adéquation ou de garanties appropriées, un Transfert ou un ensemble de Transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes :

• La personne concernée a donné son consentement explicite au Transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;
• Le Transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le Responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la Personne concernée ;
• Le Transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la Personne concernée entre le Responsable du traitement et une autre personne physique ou morale;
• Le Transfert est nécessaire pour des motifs importants d’intérêt public ;
• Le Transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
• Le Transfert est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ou d’autres personnes, lorsque la Personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;

Le Transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.

Les Données à Caractère Personnel ne doivent pas être conservées plus longtemps que nécessaire au regard des Finalités pour lesquelles elles sont collectées sauf indication contraire des lois applicables. Dans ce cadre, NEOMA doit mettre en place une politique de conservation des Données à Caractère Personnel qui précise la durée de conservation applicables aux Données pour les différentes Finalités de Traitement, les conditions de conservation ainsi que le format de stockage des Données. Cette politique de conservation des données devra suivre les directives définies dans la présente Politique. Le collaborateur en charge du Traitement devra se reporter à la politique de conservation des Données pour assurer le respect de cette exigence. 

De manière générale, la durée maximale de conservation des données doit être déterminée en fonction de la Finalité de chaque Traitement. Les éléments suivants doivent être pris en compte pour la détermination de la durée de conservation de chaque catégorie de Données collectées :

• Obligations légales ;
• Recommandations de l’Autorité de protection des données ;
• Les meilleures pratiques dans chaque domaine concerné ;
• L’exécution d’un contrat ou l’application de mesures précontractuelles ;
• Les besoins de l’entreprise.

En dehors des cas dans lesquels il existe une obligation d’archivage, les Données qui ne présentent plus d’intérêt doivent être supprimées sans délai. En cas de procédure de suppression automatique, le Collaborateur en charge du Traitement doit s’assurer que les données sont effectivement supprimées par l’établissement d’un certificat de destruction. 

A titre d'information, les durées maximales de conservation des donné sont exposée en annexe n°1 de la présente politique.

Certaines données seront rendues anonymes. Elles pourront être conservées par NEOMA sans limitation de durée.

Des mesures de contrôle et procédures appropriées doivent être mises en œuvre par le Responsable de Traitement afin d’assurer la sécurité des Données à Caractère Personnel et de prévenir tout accès ou divulgation non autorisés, en prenant en compte l’état actuel des technologies ainsi que l’éventuel préjudice pouvant résulter de la perte ou de l’accès non autorisé aux Données.

Plus spécifiquement, la collecte, l’utilisation, le traitement, la transmission et le transfert, le stockage et la destruction des Données à Caractère Personnel nécessitent de la part de NEOMA de prendre des mesures raisonnables pour mettre en place des systèmes organisationnels efficaces et des mesures physiques et techniques, en particulier pour :

• Empêcher les personnes non autorisées d’avoir accès aux systèmes d’information pour traiter ou utiliser des Données à Caractère Personnel (contrôle d’accès) ;

• S’assurer que seules les personnes habilitées à accéder aux Données peuvent y avoir accès dans la limite de la Finalité pour NEOMA les Données sont traitées. Ces personnes doivent garantir la confidentialité des Données à Caractère Personnel auxquelles elles ont accès.

• S’assurer que les personnes autorisées à utiliser un système de traitement des données n’ont accès qu’aux seules données auxquelles elles sont autorisées à accéder, et que les Données à Caractère Personnel ne peuvent pas être lues, copiées, altérées ou supprimées sans autorisation pendant le Traitement, l’utilisation et après l’enregistrement (contrôle d’accès, principe du besoin d’en connaître) ;

• S’assurer que les Données à Caractère Personnel ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le transport, le transfert électronique ou l’enregistrement sur des supports de stockage, et qu’il est possible de vérifier et de contrôler les personnes qui transfèrent des Données à Caractère Personnel à l’aide de moyens de transferts de données (contrôle de divulgation) ;

• S’assurer qu’il est possible de contrôler et de vérifier si les Données à Caractère Personnel ont été ajoutées, modifiées ou supprimées des systèmes de traitement de données et si tel est le cas, par qui (contrôle d’entrée) ;

• S’assurer que les Données à Caractère Personnel traitées pour le compte d’autrui sont en stricte conformité avec les instructions du Responsable de Traitement (contrôle des tâches) ;

• S’assurer que les Données à Caractère Personnel sont protégées contre la destruction accidentelle ou la perte (contrôle de disponibilité) ;

• S’assurer que les Données à Caractère Personnel collectées pour des finalités différentes peuvent être traitées séparément ;

• S’assurer que l’anonymisation des Données est effective lorsqu’elle est requise par une loi NEOMA pour mettre en œuvre le traitement.

Le Collaborateur en charge du Traitement doit identifier les risques sur la vie privée des personnes engendrés par son Traitement avant de déterminer les mesures de sécurité et confidentialité adéquates pour réduire ces risques.

Lorsque cette pré-analyse de risque sur la vie privée démontre que le Traitement envisagé présente un risque élevé pour la vie privée des Personnes concernées, le Collaborateur en charge du Traitement réalise une Étude d’Impact sur la Vie Privée (EIVP) afin de déterminer les mesures de sécurité et de confidentialité nécessaires pour réduire ce risque.

Le niveau des mesures de sécurité nécessaires pour la protection des Données dépend de la sensibilité des données et de la Finalité du Traitement.

Les échanges de données tant en interne qu’en externe sont assurés par la mise en œuvre d’interfaces de programmation applicatives (API) quand les applicatifs le permettent. La minimisation des données, leur exactitude, leur traçabilité et leur sécurité sont recherchées et mises en œuvre conformément aux orientations de la CNIL.

Lorsque le traitement est effectué par un Sous-Traitant, le Responsable de traitement doit choisir un Sous-traitant fournissant des mesures de sécurité techniques et des mesures organisationnelles suffisantes pour s’assurer que le traitement sera effectué conformément aux exigences légales. 

Le Collaborateur en charge du Traitement doit veiller à ce que le Sous-Traitant accepte par écrit les mesures de sécurité techniques et organisationnelles imposées par NEOMA. Il devra notamment consulter le département juridique afin d’intégrer des clauses contractuelles types en matière de protection des données à Caractère Personnel, qui attestent de sa conformité au RGPD.

Le Contrat doit aussi interdire au Sous-Traitant de sous-traiter à son tour à un Tiers tout Traitement de Données à Caractère Personnel demandé par le Responsable de Traitement, à moins que le Responsable de Traitement n’ait expressément donné l’autorisation de le faire.

Tout Sous-Traitant devra notamment faire l’objet d’une procédure de sélection afin que le Responsable de traitement puisse s’assurer que les exigences en matière de sécurité sont bien respectées. 

Chaque Collaborateur en charge du Traitement doit compléter et mettre à jour le registre de traitements mentionnant toutes les Finalités de Traitement de Données

Il doit par ailleurs conserver toutes les preuves de conformité avec des lois ou réglementations devant être respectées au regard des Traitements inscrits dans le registre des traitements. Chaque Collaborateur en charge du Traitement est responsable du respect des principes exposés dans la présentes Politiques (i.e.de la licéité, de la loyauté, de la transparence des Traitements, du respect du principe de finalités, de minimisation des données, de l’exactitude des données, du respect de la durée de conservation et des mesures de sécurité) et doit être en mesure de démontrer que ces principes sont respectés et de démontrer par des preuves tangibles que toutes les mesures techniques et organisationnelles appropriées ont été prises pour limiter les risques sur la vie privée des Personnes concernées. Le respect de ces principes comprend ainsi la mise en œuvre des politiques appropriées.

Le Responsable de traitement doit tenir un registre qui recense toutes ses activités de Traitements et qui précise, a minima et pour chaque traitement, les informations requises par le Règlement. Ces informations sont les suivantes :

• Le nom et les coordonnées du Responsable de Traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du Responsable du Traitement et du DPO ;
• Les finalités du traitement ;
• Une description des catégories de Personnes concernées et des catégories de Données à caractère personnel ;
• Les catégories de Destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
• Les Transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
• Les durées de conservation prévues pour les différentes catégories de Données ;
• Une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre pour le traitement en question.

Le DPO est responsable de la tenue du registre de NEOMA. Avec la contribution des Collaborateurs en charge du traitement et/ou les chefs de projet il devra s’assurer que tout nouveau traitement est inscrit au registre avec les informations décrites ci-dessus. Le DPO validera les traitements renseignés et veillera à la mise à jour du registre.

Ce registre peut être tenu sous forme écrite ou sous forme électronique, et doit être mis à disposition de l’Autorité de contrôle sur demande.

NEOMA peut être amené à collecter des Données à caractère Sensible dans le cadre de ses Traitements. Ces Données ne doivent être collectées et traitées que dans les cas suivants :  

• Le consentement explicite de la Personne concernée a été obtenu pour la Finalité ;
• Le Traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ou par une convention collective conclue prévue par une réglementation spécifique NEOMA ;
• Le Traitement est nécessaire à la sauvegarde des intérêts vitaux de la Personne concernée ou d’une autre personne physique, dans le cas où la Personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
• Le Traitement porte sur des Données à caractère personnel qui sont manifestement rendues publiques par la Personne concernée ;
• Le Traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
• Le Traitement est nécessaire pour des motifs d’intérêt public important, sur la base d’une législation nationale NEOMA qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des Données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la Personne concernée ;
• Le Traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ou en vertu d’un contrat conclu avec un professionnel de la santé ;
• Le Traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ;
• Le Traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Le Collaborateur en charge du Traitement doit conserver la preuve du fondement légal l’autorisant à traiter les Données à caractère personnel Sensibles. 

L’accès à ces Données Personnelles Sensibles doit être limité aux collaborateurs qui en ont strictement besoin dans le cadre de leurs activités. Ces Données Personnelles Sensibles ne peuvent être utilisées que pour les Finalités pour lesquelles elles ont été collectées. Les mesures de sécurité adéquates doivent être mises en place pour empêcher la perte, la dégradation ou le vol de ces données. 

Le Responsable de Traitement est tenu de se conformer à toutes les lois et exigences locales relatives aux Données à Caractère Personnel Sensibles notamment les Données de santé et les données relatives aux infractions pénales.