Politique de confidentialité

1. PRÉAMBULE

Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel.

Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données. Pour une bonne compréhension de la présente politique il est précisé que :

  • le « responsable du traitement » s’entend de la personne physique ou morale, qui détermine les finalités et les moyens d’un traitement de données à caractère personnel ;
  • le « sous-traitant » s’entend de toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit donc en pratique des prestataires avec lesquels l ‘EPHE travaille et qui interviennent sur les données à caractère personnel de l‘EPHE ;
  • les « personnes concernées » sont les personnes qui peuvent être identifiées, directement ou indirectement et leurs données à caractère personnel font l’objet d’une collecte par le responsable du traitement, c’est-à-dire l’ensemble des apprenants de l ‘EPHE ;
  • les « destinataires » des données s’entendent des personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des agents de l‘ EPHE que des organismes extérieurs (établissements, organismes sociaux, Crous, etc.).

Le RGPD, en son article 12, impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.

2. OBJET

Pour satisfaire à son bon fonctionnement, l‘EPHE est tenue de mettre en œuvre et d’exploiter des traitements de données à caractère personnel relatifs à ses étudiants et l’ensemble de ses auditeurs – l’IESR étant une entité de l’EPHE. La présente politique a pour objet de satisfaire à l’obligation d’information de l‘EPHE et ainsi de formaliser les droits et les obligations des étudiants et auditeurs au regard du traitement de leurs données à caractère personnel.

3. FINALITÉS ET BASES LÉGALES

Selon les cas, l‘EPHE traite notamment les données des étudiants et auditeurs pour les finalités suivantes :

  • établir des documents officiels relatifs au parcours de l’étudiant (diplômes, rendez-vous officiels obligatoires, carte d’apprenant et tout autre document officiel) ;
  • organiser le programme éducatif annuel et les sessions d’examen des étudiants ;
  • garantir l’identification certaine de l’étudiant dans la gestion de son dossier et permettre l’établissement des documents officiels le concernant (diplômes, certificats, attestations...) ;
  • assurer l‘EPHE de pouvoir contacter l’étudiant avec certitude dans le cadre de ses relations avec l’établissement ;
  • mettre à la disposition des étudiants des contenus éducatifs et pédagogiques, des informations administratives relatives à la vie scolaire, aux enseignements et au fonctionnement de l’établissement ainsi que de la documentation en ligne via un ENT ;
  • analyser les usages faits de l’ENT afin de développer de nouveaux outils pédagogiques sur support numérique ;
  • permettre à l’étudiant de créer un compte utilisateur en vue d’accéder à la plateforme pédagogique via l’ENT et/ou l’intranet de l'EPHE ;
  • permettre la sauvegarde de documents et travaux universitaires via l’ENT et/ou l’intranet ;
  • permettre la consultation du dossier pédagogique de l’étudiant (agenda, note, résultats examens, contacts professeurs) ;
  • proposer des offres d’emploi ou débouchés professionnels en rapport avec les parcours des étudiants ;
  • administrer un réseau des anciens permettant aux étudiants actuels de bénéficier des avantages octroyés par la communication avec d’anciens étudiants ;
  • assister l’étudiant dans la procédure d’octroi d’une bourse d’étude et suivre son dossier ;
  • fournir à l’étudiant une carte étudiant multiservices lui permettant d’accéder à plusieurs des services mis en œuvre par l'EPHE ou ses partenaires ;
  • sélectionner les candidats à l’EPHE par l’intermédiaire de trouvermonmaster.gouv.fr ou de tout autre moyen de candidature à disposition du candidat ;
  • contrôler l’accès des étudiants aux locaux de l'EPHE par l’intermédiaire de leur carte d’étudiant ou d’un badge d’accès ;
  • réalisation d’états statistiques.

L’étudiant est informé que la collecte de ses données à caractère personnel est nécessaire à l’exécution d’une mission de service public ou d’une obligation légale de l’EPHE.

4. DESTINATAIRES DES DONNÉES – HABILITATION & TRAÇABILITÉ

L‘EPHE s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes autorisés.

Les destinataires des données à caractère personnel des apprenants au sein de l’établissement sont soumis à une obligation de confidentialité spécifique. L'EPHE décide quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation définie. L'EPHE n’est en aucun cas responsable des dommages de toute nature qui peuvent résulter d’un accès illicite aux données à caractère personnel.

Pourront notamment être destinataires de ces données à caractère personnel :

  • les universités et écoles partenaires de l’EPHE ;
  • les éditeurs de contenus ou de services pédagogiques liés à l’EPHE ou accessible via les ENT ;
  • les associations étudiantes internes à l’EPHE ;
  • les autorités de tutelles ;
  • les organismes liés à la vie étudiante tels que le Cnous et le Crous.

Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à les connaître. Dans ce cas, l’EPHE n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.

5. DROIT D’ACCÈS

L’étudiant ou l’auditeur dispose d’un droit d’accès, ce dernier étant conditionnée au respect des règles suivantes :

  • la demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité ;
  • être formulée par écrit à l’adresse suivante : dpo@ephe.psl.eu

L’étudiant ou l‘auditeur a le droit de demander une copie de ses données à caractère personnel faisant l’objet du traitement auprès de l’EPHE. Toutefois, en cas de demande de copie supplémentaire, l‘EPHE pourra exiger la prise en charge financière de ce coût par l’étudiant ou l‘auditeur. Si l’étudiant ou l‘auditeur présente sa demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire. L’étudiant ou l‘auditeur est enfin informé que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.
Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.

6. MISE À JOUR – ACTUALISATION ET RECTIFICATION

Afin de permettre une mise à jour régulière des données à caractère personnel collectées par l’EPHE, celle-ci pourra solliciter l’apprenant qui aura pour obligation de satisfaire aux demandes de l’établissement. En cas de modification des informations de l’étudiant ou de l‘auditeur par l’EPHE, ce dernier en sera spontanément informé.

L’étudiant ou l'auditeur dispose également d’un droit à la rectification de ses données.
Dans la mesure du possible, l‘EPHE répercute ces rectifications auprès des personnes auxquelles il a transmis les données des apprenants. Cette obligation ne saurait toutefois s’imposer lorsqu’une telle démarche s’avère impossible ou exige des efforts disproportionnés.

7. DROIT À L’EFFACEMENT

Le droit à l’effacement de l’étudiant ou candidat ne sera pas applicable dans les cas où le traitement est mis en œuvre pour répondre à une obligation légale.

En dehors de cette situation, l’étudiant ou l’auditeur pourra demander l’effacement de ses données dans les cas limitatifs suivants :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  • lorsque l’étudiant ou l’auditeur retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
  • l’étudiant ou l’auditeur s’oppose à un traitement fondé sur l’exécution d’une mission d’intérêt public ou nécessaire aux fins des intérêts légitimes poursuivis par l‘EPHE et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
  • l’étudiant ou l’auditeur s’oppose à un traitement de ses données à caractère personnel à des fins de prospection, y compris au profilage ;
  • les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel l‘EPHE est soumise.

Conformément à la législation sur la protection des données à caractère personnel, l’étudiant ou l’auditeur est informé qu’il s'agit d'un droit individuel qui ne peut être exercé que par la personne concernée relativement à ses propres informations : pour des raisons de sécurité, le service concerné devra donc vérifier son identité afin d'éviter toute communication d'informations confidentielles vous concernant à personne autre que celle-ci.

8. DROIT À LA LIMITATION

L’étudiant ou auditeur est informé qu’il ne dispose pas du droit à la limitation du traitement de ses données à caractère personnel dans la mesure où les traitements opérés par l‘EPHE sont licites et que toutes les données à caractère personnel collectées sont nécessaires à l’exécution de la relation entre l‘EPHE et les étudiants et auditeurs.

9. DROIT POST-MORTEM

Les étudiants et auditeurs sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse dpo@ephe.psl.eu  ou par courrier postal à l’adresse suivante EPHE, Dpo, 4-14, rue Ferrus-75014 PARIS accompagné d’une copie d’un titre d’identité signé.

10. CARACTÈRE FACULTATIF OU OBLIGATOIRE DES RÉPONSES

L’étudiant ou auditeur est informé sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.

11. DONNÉES ISSUES DES RÉSEAUX SOCIAUX

L‘EPHE s’interdit d’exploiter, sans l’accord préalable de l’étudiant ou de l’auditeur, les données et les informations d’ordre privée, même si elles sont rendues publiques et diffusées par ce dernier sur les réseaux sociaux.

12. VIOLATION DE DONNÉES

En cas de violation de données à caractère personnel, l‘EPHE s’engage à en notifier à la Cnil dans les conditions prescrites par le RGPD.

Si ladite violation fait porter un risque élevé pour les apprenants et que les données n’ont pas été protégées, l‘EPHE :

  • en avisera les apprenants concernés ;
  • communiquera aux apprenants concernés les informations et recommandations nécessaires.

13. DÉLÉGUÉ À LA PROTECTION DES DONNÉES

L‘EPHE a désigné un délégué à la protection des données. Ses coordonnées sont les suivantes : dpo@ephe.psl.eu  

En cas de problème rencontré avec des traitements de données à caractère personnel, tout étudiant ou auditeur pourra saisir le délégué à la protection des données désigné.

14. FLUX TRANSFRONTIÈRES

L‘EPHE se réserve seule le choix d’avoir ou non des flux transfrontières pour les données à caractère personnel qu’elle collecte et qu’elle traite.

L‘EPHE s’engage si nécessaire à signer un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données. Les dispositions relatives aux flux transfrontières sont opposables à l’EPHE, sauf dans les cas dérogatoires prévus à l’article 49 du RGPD.

15. ÉVOLUTION

La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Cnil ou des usages.