Politique de protection des données personnelles des étudiants, leurs responsables légaux et des prospects 

Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après « RGPD ») fixe le cadre juridique applicable aux traitements de données à caractère personnel.

Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.

Dans le cadre de son activité, CESI est amenée à traiter des données à caractère personnel de ses étudiants, de leurs responsables légaux et de ses prospects.

Pour une bonne compréhension de la présente politique, il est précisé que :

  • le « responsable du traitement » : désigne CESI ;
  • le « sous-traitant » : désigne toute personne physique ou morale qui traite des données à caractère personnel pour le compte de CESI ;
  • les « personnes concernées » : désigne les étudiants (ce terme désigne tant les personnes apprenantes au sein de CESI sous statut étudiant que les apprentis et les stagiaires de la formation professionnelle), leurs responsables légaux et/ou les prospects de CESI ;
  • les « destinataires » : désigne les personnes physiques ou morales qui reçoivent des données à caractère personnel de la part de CESI. Les destinataires des données peuvent donc être aussi bien des salariés de CESI que des organismes extérieurs (intervenants, partenaires, établissements bancaires, prestataires informatiques, etc.).

L’article 12 du RGPD impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.

La présente politique a pour objet de satisfaire à l’obligation d’information à laquelle CESI est tenue et de formaliser les droits et les obligations des étudiants, leurs responsables légaux et des prospects de CESI au regard du traitement de leurs données à caractère personnel.

La présente politique a vocation à s’appliquer dans le cadre de la mise en place de l’ensemble des traitements de données à caractère personnel relatifs aux étudiants, leurs parents et/ou prospects de CESI.

CESI met tout en œuvre pour que les données soient traitées dans le cadre d’une gouvernance interne précise. Ceci étant précisé, la présente politique ne porte que sur les traitements dont CESI est responsable et ne vise donc pas les traitements qui seraient créés ou exploités en dehors des règles de gouvernance fixées par CESI (traitements dit « sauvages » ou shadow IT).

Le traitement de données à caractère personnel peut être géré directement par CESI ou par le biais d’un sous-traitant spécifiquement désigné par CESI.

Cette politique est indépendante de tout autre document pouvant s’appliquer au sein de la relation contractuelle entre CESI et les étudiants, leurs responsables légaux et/ou les prospects.

Données non techniques

Données sur les étudiants :

  • Données d’identification (nom, prénom, civilité, numéro d’Identifiant National Etudiant, numéro de sécurité sociale, date de naissance, etc.)
  • Coordonnées (adresse postale, adresse mail, numéro de téléphone, etc.)
  • Vie personnelle et/ou professionnelle (parcours scolaire et parcours professionnel, motivations et projet professionnel, obtention du permis de conduire, centres d’intérêt)
  • Photographie/image
  • Information d’ordre économique et financière (données bancaires, RIB, etc.) le cas échéant
  • Information relative à l’aménagement particulier à prévoir dans le cadre d’un handicap le cas échéant
  • Reconnaissance de la qualité de travailleur handicapé (RQTH) le cas échéant

Données sur les responsables légaux des étudiants :

  • Données d’identification (nom, prénom, civilité, etc.)
  • Coordonnées (adresse postale, adresse mail, numéro de téléphone, etc.)
  • Vie professionnelle (situation professionnelle, catégorie socioprofessionnelle)
  • Information d’ordre économique et financière (données bancaires, RIB, etc.)

Données sur les prospects :

  • Données d’identification (nom, prénom, civilité, etc.)
  • Coordonnées (adresse postale, adresse mail, numéro de téléphone, etc.)

Données techniques

Données sur les étudiants, leurs responsables légaux et les prospects :

  • Données de connexion (adresse IP, logs, etc.)
  • Données de navigation (cookies, traceurs, mesure d’audience, clic, etc.)

Les données relatives aux étudiants, leurs responsables légaux et/ou prospects sont généralement collectées directement auprès d’eux (collecte directe) par CESI.

La collecte peut aussi être indirecte par l’achat de fichiers prospects par le biais de partenaires.

Selon les cas, CESI traite les données de ses étudiants, leurs responsables légaux et des prospects pour les finalités et bases légales suivantes :

FinalitésCommentairesBases légales
Échanges précontractuelsCESI traite les données des personnes qui interagissent avec elle afin de s’informer sur les cursus de formation et de candidater.Exécution de mesures précontractuelles
Suivi de la formationCESI traite les données de ses étudiants et de leurs parents dans le cadre du suivi de la formation.Exécution de mesures contractuelles
Facturation, paiement et comptabilitéCESI traite les données de ses étudiants et de leurs parents dans le cadre de la facturation.Exécution de mesures contractuelles
Organisation d’évènementsCESI traite les données de ses étudiants, leurs responsables légaux et les prospects lorsqu’elle les invite à des évènements qu’elle organise.Intérêt légitime de CESI de promouvoir son activité
Envoi de newsletters et gestion des demandes de désinscriptionCESI adresse à ses étudiants, leurs responsables légaux et les prospects des newsletters auxquelles ils peuvent se désinscrire.Intérêt légitime de CESI de promouvoir son activité (étudiants et leurs parents)

Consentement (prospects)
Amélioration des services et enquêtes de satisfactionCESI est susceptible de traiter les données de ses étudiants, leurs responsables légaux et les prospects à des fins d’amélioration de ses services, notamment au travers d’enquêtes de satisfaction.Intérêt légitime de CESI d’améliorer ses services
Analyse comportementale et mesure d’audienceCESI est susceptible de traiter des données à des fins d’analyse du comportement de ses étudiants, leurs responsables légaux et les prospects et de suivi de leur trafic en ligne.Intérêt légitime de CESI d’analyser le comportement des personnes concernées ou consentement lorsque cela est nécessaire
Community managementCESI collecte et traite les données de ses étudiants à des fins d’animation de ses communautés sur internet, notamment sur les réseaux sociaux.Intérêt légitime de CESI de promouvoir son activité
VidéosurveillanceCertaines zones spécifiques des locaux de CESI et des campus font l’objet d’un dispositif de vidéosurveillance.Intérêt légitime de CESI d’assurer la sécurité des biens et des personnes
Réalisation d’enquêtes en cours de formation et après la formationCESI effectue des enquêtes à la demande du ministère de l’enseignement supérieur et de la recherche, de la Commission des Titres d’Ingénieurs (CTI), de la Conférence des grandes écoles (CGE) et de France compétences.Intérêt légitime de CESI de réaliser des enquêtes quant à son activité

Ou obligation légale le cas échéant
Réalisation d’enquêtes afin d’établir des classementsCESI ou des sociétés partenaires peuvent effectuer des enquêtes auprès de ses étudiants afin d’établir des classements.Intérêt légitime de CESI de réaliser ou faire réaliser des enquêtes quant à son activité.
Réalisation de statistiquesCESI est susceptible d’effectuer des statistiques s’agissant des données de ses étudiants.Intérêt légitime de mieux connaître ses étudiants
Audits techniquesCESI est amenée à auditer l’activité sur ses environnements numériques et est susceptible d’effectuer des statistiques techniques s’agissant des données de ses étudiants.Intérêt légitime de mieux connaître ses étudiants
Mise à disposition des étudiants d’un service de téléconsultation médicaleCertains campus de CESI mettent à disposition des étudiants un service de télémédecine permettant à ces derniers d’échanger gratuitement avec un professionnel de santé.Consentement
Gestion des précontentieux et contentieuxCESI est susceptible de traiter les données afin d’assurer la défense de ses intérêts dans le cadre de précontentieux et de contentieux.Intérêt légitime de CESI d’assurer la défense de ses intérêts.

Lorsque le traitement est fondé sur le consentement, les étudiants, leurs responsables légaux et les prospects disposent du droit de retirer leur consentement à tout moment.

CESI s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes habilités.

Destinataires internes

  • le personnel habilité des services chargés de traiter la scolarité des étudiants et de la prospection, des services administratifs, des services logistiques et informatiques, des services gérant les habilitations et accréditations ainsi que leurs responsables hiérarchiques.

Destinataires externes

  • les intervenants extérieurs ;
  • les universités et établissements d’enseignement supérieur partenaires qui peuvent être situés dans l’UE ou en dehors de l’UE ;
  • l’agence Erasmus + France ;
  • les entreprises susceptibles de conclure un contrat d’apprentissage ou de professionnalisation ou une convention de stage avec les étudiants ;
  • l’association CESI ALUMNI ;
  • les organismes financeurs (exemple : Opco) ;
  • les professionnels participant aux jurys ;
  • les organismes d’habilitation/accréditation (CTI, CGE) ;
  • le personnel habilité des sous-traitants.

Les destinataires des données à caractère personnel des étudiants, leurs responsables légaux et/ou prospects au sein de CESI sont soumis à une obligation de confidentialité.

CESI décide quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation.

Tous les accès concernant des traitements relatifs à des données à caractère personnel d’étudiants, de leurs responsables légaux et/ou de prospects font l’objet d’une mesure de traçabilité.

Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à en connaître. Dans ce cas, CESI n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.

La durée de conservation des données est définie par CESI au regard des contraintes légales et contractuelles qui pèsent sur elle et, à défaut, en fonction de ses besoins et notamment selon les principes suivants :

TraitementDurée de conservation
Contrats6 ans à compter de la fin de la relation contractuelle pour les contrats conclus de manière manuscrite et 10 ans à compter de leur conclusion pour les contrats conclus de manière électronique.
Données liées à la formationPendant toute la durée de la formation et 6 ans après la fin du cursus.
Duplicata de diplômes et attestations de réussite10 ans à compter de la délivrance du diplôme.
Comptabilité et gestion de la facturation10 ans à compter de la clôture de l’exercice comptable.
Données traitées à des fins de prospectionPour les anciens élèves : 3 ans à compter de la fin de leurs cursus ou du dernier contact émanant de l’ancien élève.

Pour les prospects : 3 ans à compter de leur collecte ou du dernier contact émanant du prospect (demande de documentation, clic sur un lien contenu dans un mail, etc.).
Images de caméras de vidéoprotectionPendant une durée d’un mois maximum et pendant la durée nécessaire en cas d’incident et d’éventuelles procédures pénales.
Données techniques1 an à compter de leur collecte.
Données traitées dans le cadre de précontentieux et de contentieuxPendant toute la durée du litige ou de la procédure et 5 ans à compter de la décision définitive.

Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Elles peuvent être conservées en cas de précontentieux et contentieux.

Il est rappelé que la suppression ou l’anonymisation des données sont des opérations irréversibles et que CESI n’est plus, par la suite, en mesure de les restaurer.

CESI se réserve le choix de procéder ou non à des flux transfrontières pour les données à caractère personnel qu’elle collecte et qu’elle traite.

En cas de transfert de données à caractère personnel vers un pays tiers à l’Espace économique européen (EEE) ou vers une organisation internationale, CESI s’assurera du bon respect des droits des personnes concernées.

CESI s’engage si nécessaire à signer un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données.

Les étudiants, leurs responsables légaux et les prospects peuvent obtenir une copie de ces garanties en écrivant à l’adresse dpo@cesi.fr.

Les étudiants, leurs responsables légaux et les prospects disposent du droit de demander à CESI la confirmation que des données les concernant sont ou non traitées.

Les étudiants, leurs responsables légaux et les prospects disposent également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :

  • la demande émane de la personne elle-même ; et
  • être formulée par écrit à l’adresse suivante : dpo@cesi.fr.

Les étudiants, leurs responsables légaux et les prospects ont le droit de demander une copie de leurs données à caractère personnel faisant l’objet du traitement auprès de CESI. Toutefois, en cas de demande de copie supplémentaire, CESI pourra exiger la prise en charge financière de ce coût par les étudiants, leurs parents et/ou les prospects.

Si les étudiants, leurs responsables légaux et/ou les prospects présentent leur demande de copie des données par voie électronique, les informations demandées leur seront fournies sous une forme électronique d’usage courant, sauf demande contraire.

Les étudiants, leurs parents et les prospects sont informés que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.

Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.

CESI satisfait aux demandes de mise à jour sur demande écrite émanant de la personne elle-même qui doit éventuellement justifier de son identité.

Le droit à l’effacement des étudiants, leurs responsables légaux et/ou prospects ne sera pas applicable dans les cas où le traitement est mis en œuvre pour répondre à une obligation légale.

En dehors de cette situation, les étudiants, leurs responsables légaux et/ou les prospects pourront demander l’effacement de leurs données dans les cas limitatifs suivants :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou sont traitées d’une autre manière ;
  • lorsque la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
  • la personne concernée s’oppose à un traitement nécessaire aux fins des intérêts légitimes poursuivis par CESI et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
  • la personne concernée s’oppose à un traitement de ses données à caractère personnel à des fins de prospection, y compris au profilage ;
  • les données à caractère personnel ont fait l’objet d’un traitement illicite.

Conformément à la législation sur la protection des données à caractère personnel, les élèves, leurs responsables légaux et/ou les prospects de CESI sont informés qu’il s’agit d’un droit individuel qui ne peut être exercé que par la personne concernée relativement à ses propres informations : pour des raisons de sécurité, le service concerné pourra donc vérifier l’identité de la personne concernée afin d’éviter toute communication d’informations confidentielles la concernant à une autre personne.

Les étudiants, leurs responsables légaux et/ou les prospects de CESI ont le droit d’obtenir la limitation du traitement lorsque l’un des éléments suivants s’applique :

  • l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant à CESI de vérifier l’exactitude des données à caractère personnel ;
  • le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
  • CESI n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
  • la personne concernée s’est opposée à un traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par CESI prévalent sur ceux de la personne concernée.

CESI fait droit à la portabilité des données dans le cas particulier des données communiqués par les élèves, leurs responsables légaux ou les prospects eux-mêmes, sur des services en ligne proposés par CESI lui-même et pour les finalités reposant sur le seul consentement des personnes. Dans ce cas, les données seront communiquées dans un format structuré, couramment utilisé et lisible par une machine.

Les étudiants, leurs responsables légaux et les prospects disposent du droit de s’opposer à toute prospection commerciale par voie postale, téléphonique ou électronique, y compris au profilage dans la mesure où il est lié à une telle prospection.

Au cas particulier de la prospection par voie électronique, il sera à tout moment possible pour les étudiants, leurs responsables légaux et/ou les prospects de s’y opposer en cliquant sur le lien se trouvant dans l’e-mail d’envoi. Par SMS, il est possible de s’opposer à toute prospection en envoyant « stop » au numéro figurant dans le message reçu.

CESI ne procède pas à des décisions individuelles automatisées.

Les étudiants, leurs responsables légaux et les prospects sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse dpo@cesi.fr.

Les étudiants, leurs responsables légaux et les prospects sont informés sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.

CESI se voit conférer par les étudiants, leurs responsables légaux et/ou les prospects un droit d’usage et de traitement de leurs données à caractère personnel pour les finalités exposées ci-dessus.

Toutefois, les données enrichies, qui sont le fruit d’un travail de traitement et d’analyse de CESI, demeurent la propriété exclusive de CESI (analyse d’usage, statistiques, etc.).

CESI informe les étudiants, leurs responsables légaux et les prospects qu’elle pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement de leurs données à caractère personnel.

Dans ce cas, CESI s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.

CESI s’engage à signer avec tous ses sous-traitants un contrat écrit. De plus, CESI se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.

Il appartient à CESI de définir et de mettre en œuvre les mesures de sécurité techniques, physiques ou logiques qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.

Parmi ces mesures figurent principalement :

  • la gestion des habilitations pour l’accès aux données ;
  • des audits réguliers sur la conformité de la sécurité et de protection des données ;
  • l’utilisation d’un protocole ou de solutions de sécurité.

En cas de violation de données à caractère personnel, CESI s’engage à en notifier à la CNIL dans les conditions prescrites par le RGPD.

Si ladite violation fait porter un risque élevé pour les étudiants, leurs parents et/ou les prospects, CESI :

  • en avisera les étudiants, leurs responsables légaux et/ou les prospects concernés ;
  • communiquera aux étudiants, leurs responsables légaux et/ou les prospects concernés les informations et recommandations nécessaires.

CESI a désigné un délégué à la protection des données.

Les coordonnées du délégué à la protection des données sont les suivantes :

  • Nom : Monsieur Eric Barbry ;
  • Adresse e-mail : dpo@cesi.fr.

En cas de nouveau traitement de données à caractère personnel, CESI saisira préalablement le délégué à la protection des données.

Si les étudiants, leurs responsables légaux et/ou les prospects souhaitent obtenir une information ou poser une question particulière, il leur sera possible de saisir le délégué à la protection des données qui leur donnera une réponse dans un délai raisonnable au regard de l’information requise ou de la question posée.

CESI, en tant que responsable du traitement, s’engage à tenir à jour un registre de toutes les activités de traitement effectuées.

Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en œuvre par CESI, en tant que responsable du traitement.

CESI s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.

Les étudiants, leurs responsables légaux et les prospects concernés par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès d’une autorité de contrôle, à savoir la CNIL en France, si ceux-ci estiment que le traitement de leurs données à caractère personnel les concernant n’est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :

CNIL – Service des plaintes

3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

Tél : 01 53 73 22 22

CESI peut être amenée à modifier la présente politique, notamment, en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages.

Toute nouvelle version de la présente politique sera portée à la connaissance des élèves, leurs responsables légaux et/ou prospects par tout moyen défini par CESI, en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).

La présente version a été mise à jour le 5 novembre 2024.

Pour toute information complémentaire, vous pouvez contacter le DPO : dpo@cesi.fr.

Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la CNIL www.cnil.fr.