Politique de protection des données personnelles des tuteurs et des intervenants extérieurs

Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après « RGPD ») fixe le cadre juridique applicable aux traitements de données à caractère personnel.

Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.

Dans le cadre de son activité, CESI est amenée à traiter des données à caractère personnel des tuteurs et intervenants extérieurs.

Pour une bonne compréhension de la présente politique, il est précisé que :

le « responsable du traitement » : désigne CESI ;
le « sous-traitant » : désigne toute personne physique ou morale qui traite des données à caractère personnel pour le compte de CESI ;
les « personnes concernées » : désigne les tuteurs et intervenants extérieurs (formateurs externes, conférenciers, etc.). Le mot tuteur est employé ici au sens large et désigne tout salarié d’une entreprise qui a pour fonction de faire acquérir à l’apprenant des savoirs professionnels ; il peut s’agir d’un tuteur dans le cadre d’un contrat de professionnalisation, d’un maître d’apprentissage dans le cadre d’un contrat d’apprentissage, d’un maître de stage dans le cadre d’une formation suivie sous statut étudiant etc. Par extension, il désigne également tout contact administratif de l’entreprise employant le tuteur ;
les « destinataires » : désigne les personnes physiques ou morales qui reçoivent des données à caractère personnel de la part de CESI. Les destinataires des données peuvent donc être aussi bien des salariés de CESI que des organismes extérieurs (intervenants, partenaires, établissements bancaires, prestataires informatiques, etc.).

L’article 12 du RGPD impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.

La présente politique a pour objet de satisfaire à l’obligation d’information à laquelle CESI est tenue et de formaliser les droits et les obligations des tuteurs et intervenants extérieurs de CESI au regard du traitement de leurs données à caractère personnel.

La présente politique a vocation à s’appliquer dans le cadre de la mise en place de l’ensemble des traitements de données à caractère personnel relatives aux tuteurs et intervenants extérieurs de CESI.

CESI met tout en œuvre pour que les données soient traitées dans le cadre d’une gouvernance interne précise. Ceci étant précisé, la présente politique ne porte que sur les traitements dont CESI est responsable du traitement et ne vise donc pas les traitements qui seraient créés ou exploités en dehors des règles de gouvernance fixées par CESI (traitements dit « sauvages » ou shadow IT).

Le traitement de données à caractère personnel peut être géré directement par CESI ou par le biais d’un sous-traitant spécifiquement désigné par CESI.

Cette politique est indépendante de tout autre document pouvant s’appliquer au sein de la relation contractuelle entre CESI et les tuteurs et intervenants et extérieurs.

CESI est susceptible de collecter et traiter les donnés suivantes :

Données non techniques

Données sur les tuteurs :

Données d’identification (nom, prénom, civilité, etc.)
Coordonnées professionnelles (adresse mail, numéro de téléphone, etc.)
Vie professionnelle (CV, situation professionnelle, scolarité, formation, distinctions, diplômes, etc.)

Données sur les intervenants extérieurs :

Données d’identification (nom, prénom, civilité, date de naissance, nationalité(s), etc.)
Coordonnées (adresse postale, adresse mail, numéro de téléphone, etc.)
Vie professionnelle (CV, situation professionnelle, scolarité, formation, diplômes, etc.)
Information d’ordre économique et financière (données bancaires, RIB, etc.)

Données techniques

Données sur les tuteurs et intervenants extérieurs :

Données de connexion (adresse IP, logs, etc.)
Données de navigation (cookies, traceurs, mesure d’audience, clic, etc.)

Les données relatives aux intervenants extérieurs sont généralement collectées directement auprès d’eux (collecte directe) par CESI.

Les données relatives aux tuteurs sont généralement collectées de manière indirecte auprès des services ressources humaines lors de l’établissement du ou des contrat(s) conclu(s) avec l’entreprise.

Selon les cas, CESI traite vos données pour les finalités et bases légales suivantes :

Finalités	Commentaires	Bases légales
Échanges précontractuels	CESI traite les données des personnes qui interagissent avec elle afin de s’informer sur les prérequis professionnels et diplômes des tuteurs et intervenants extérieurs.	Exécution de mesures précontractuelles
Suivi de la formation	CESI traite les données des tuteurs et intervenants extérieurs dans le cadre du suivi de la formation.	Exécution de mesures contractuelles
Envoi de prospection commerciale	CESI envoie aux tuteurs et intervenants extérieurs des informations relatives à l’activité de CESI.	Intérêt légitime de CESI à promouvoir ses activités
Invitation à la participation à des jurys et soutenances	CESI traite les données des tuteurs et intervenants extérieurs afin de les inviter à participer à des jurys et soutenances.	Intérêt légitime de CESI de s’assurer du respect de ses obligations en qualité d’organisme de formation
Facturation, paiement et comptabilité	CESI traite les données des intervenants extérieurs dans le cadre de la facturation.	Exécution de mesures contractuelles
Organisation d’événements	CESI traite les données des tuteurs et intervenants extérieurs lorsqu’elle les invite à des événements qu’elle organise.	Intérêt légitime de promouvoir ses activités
Amélioration des services et enquêtes de satisfaction	CESI est susceptible de traiter les données des tuteurs et intervenants extérieurs à des fins d’amélioration de ses services, notamment au travers d’enquêtes de satisfaction.	Intérêt légitime de CESI d’améliorer ses services
Mesure d’audience lors de la navigation en ligne	CESI est susceptible de traiter des données des tuteurs et intervenants extérieurs à des fins de mesure d’audience et de suivi de leur trafic en ligne notamment sur le site internet et/ou l’ENT.	Intérêt légitime ou consentement lorsque cela est nécessaire
Community management	CESI collecte et traite les données des tuteurs et intervenants extérieurs à des fins d’animation de ses communautés notamment sur les réseaux sociaux et applications de communication collaboratives (ex : Linkedin, Teams, etc.).	Intérêt légitime d’animer ses communautés sur internet
Vidéosurveillance	Certaines zones spécifiques des locaux de CESI et des campus font l’objet d’un dispositif de vidéosurveillance.	Intérêt légitime de CESI d’assurer la sécurité des biens et des personnes
Réalisation de statistiques	CESI est susceptible d’effectuer des statistiques s’agissant des données des tuteurs et intervenants extérieurs.	Intérêt légitime de réaliser des statistiques

CESI s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes habilités.

Destinataires internes

le personnel habilité des services chargés de la gestion de la formation et de la prospection, des services administratifs (scolarité, comptabilité, etc.), des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ;
les services gérant les agréments, habilitations, certifications et accréditations ;
la Direction.

Destinataires externes

les élèves ;
les entreprises employant les élèves ;
le personnel habilité des sous-traitants ;
les organismes financeurs (exemple : Opco) ;
les organismes d’agrément/d’habilitation/accréditation/certification (CTI, CGE, Qualiopi) ;
les organismes sociaux, le cas échéant (ex : Urssaf) ;
les entreprises susceptibles de conclure un contrat avec une entreprise dans le cadre de l’offre Executive.

Les destinataires des données à caractère personnel des tuteurs et intervenants extérieurs au sein de CESI sont soumis à une obligation de confidentialité.

CESI décide quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation.

Tous les accès concernant des traitements relatifs à des données à caractère personnel de tuteurs et intervenants extérieurs font l’objet d’une mesure de traçabilité.

Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à en connaître. Dans ce cas, CESI n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.

La durée de conservation des données est définie par CESI au regard des contraintes légales et contractuelles qui pèsent sur elle et, à défaut, en fonction de ses besoins et notamment selon les principes suivants :

Traitement	Durée de conservation
Contrats	6 ans à compter de la fin de la relation contractuelle pour les contrats conclus de manière manuscrite et 10 ans à compter de leur conclusion pour les contrats conclus de manière électronique.
Données liées à la formation	Pendant toute la durée de la formation et 6 ans après la fin du cursus.
Comptabilité et gestion de la facturation	10 ans à compter de la clôture de l’exercice comptable.
Données traitées à des fins de prospection	3 ans à compter de la fin de la relation commerciale ou du dernier contact émanant de la personne concernée (demande de documentation, clic sur un lien contenu dans un mail, etc.).
Images de caméras de vidéoprotection	Pendant une durée d’un mois maximum.
Accès aux bâtiments	Pendant une durée d’un mois maximum.
Enregistrement des conférences et des cours (dans le cas d’enregistrement autorisé)	Pendant une durée de 10 ans à compter de l’enregistrement.

Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Elles peuvent être conservées en cas de précontentieux et contentieux.

Il est rappelé que la suppression ou l’anonymisation des données sont des opérations irréversibles et que CESI n’est plus, par la suite, en mesure de les restaurer.

CESI se réserve le choix de procéder ou non à des flux transfrontières pour les données à caractère personnel qu’elle collecte et qu’elle traite.

En cas de transfert de données à caractère personnel vers un pays tiers à l’Espace économique européen (EEE) ou vers une organisation internationale, CESI s’assurera du bon respect des droits des personnes concernées.

CESI s’engage si nécessaire à signer un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données.

Les tuteurs et intervenants extérieurs disposent d’un droit de demander à CESI la confirmation que des données les concernant sont ou non traitées.

Les tuteurs et intervenants extérieurs disposent également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :

la demande émane de la personne elle-même ; et
être formulée par écrit à l’adresse suivante : dpo@cesi.fr.

Les tuteurs et intervenants extérieurs ont le droit de demander une copie de leurs données à caractère personnel faisant l’objet du traitement auprès de CESI. Toutefois, en cas de demande de copie supplémentaire, CESI pourra exiger la prise en charge financière de ce coût par les tuteurs et intervenants extérieurs .

Si les tuteurs et intervenants extérieurs présentent leur demande de copie des données par voie électronique, les informations demandées leur seront fournies sous une forme électronique d’usage courant, sauf demande contraire.

Les tuteurs et intervenants extérieurs sont informés que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.

Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.

CESI satisfait aux demandes de mise à jour sur demande écrite émanant de la personne elle-même qui doit éventuellement justifier de son identité.

Le droit à l’effacement les tuteurs et intervenants extérieurs ne sera pas applicable dans les cas où le traitement est mis en œuvre pour répondre à une obligation légale.

En dehors de cette situation, les tuteurs et intervenants extérieurs pourront demander l’effacement de leurs données dans les cas limitatifs suivants :

les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou sont traitées d’une autre manière ;
lorsque la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
la personne concernée s’oppose à un traitement nécessaire aux fins des intérêts légitimes poursuivis par CESI et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
la personne concernée s’oppose à un traitement de ses données à caractère personnel à des fins de prospection, y compris au profilage ;
les données à caractère personnel ont fait l’objet d’un traitement illicite.

Conformément à la législation sur la protection des données à caractère personnel, les tuteurs et intervenants extérieurs sont informés qu’il s’agit d’un droit individuel qui ne peut être exercé que par la personne concernée relativement à ses propres informations : pour des raisons de sécurité, le service concerné pourra donc vérifier l’identité de la personne concernée afin d’éviter toute communication d’informations confidentielles la concernant à une autre personne.

Les tuteurs et intervenants extérieurs ont le droit d’obtenir la limitation du traitement lorsque l’un des éléments suivants s’applique :

l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant à CESI de vérifier l’exactitude des données à caractère personnel ;
le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
CESI n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
la personne concernée s’est opposée à un traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par CESI prévalent sur ceux de la personne concernée.

CESI fait droit à la portabilité des données dans le cas particulier des données communiqués par les tuteurs et intervenants extérieurs eux-mêmes, sur des services en ligne proposés par CESI lui-même et pour les finalités reposant sur le seul consentement des personnes. Dans ce cas, les données seront communiquées dans un format structuré, couramment utilisé et lisible par une machine.

Les tuteurs et intervenants extérieurs disposent du droit de s’opposer à tout traitement les concernant fondé sur l’intérêt légitime. CESI ne traite plus les données à caractère personnel, à moins qu’elle ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

Les tuteurs et intervenants extérieurs disposent également du droit de s’opposer à toute prospection commerciale par voie postale, téléphonique ou électronique, y compris au profilage dans la mesure où il est lié à une telle prospection.

Au cas particulier de la prospection par voie électronique, il sera à tout moment possible pour les tuteurs et intervenants extérieurs de s’y opposer en cliquant sur le lien se trouvant dans l’e-mail d’envoi ou en l’indiquant par retour de mail/courrier.

Lorsque le traitement est fondé sur le consentement, la personne concernée est en droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci.

CESI ne procède pas à des décisions individuelles automatisées.

Les tuteurs et intervenants extérieurs sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse dpo@cesi.fr.

Les tuteurs et intervenants extérieurs sont informés sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.

CESI se voit conférer par les tuteurs et intervenants extérieurs un droit d’usage et de traitement de leurs données à caractère personnel pour les finalités exposées ci-dessus.

Toutefois, les données enrichies, qui sont le fruit d’un travail de traitement et d’analyse de CESI, demeurent la propriété exclusive de CESI (analyse d’usage, statistiques, etc.).

CESI se réserve le choix de procéder ou non à des flux en dehors de l’Espace économique européen (EEE) pour les données à caractère personnel qu’elle collecte et qu’elle traite.

CESI s’engage à prendre les garanties appropriées permettant d’encadrer les flux transfrontières de données.

Les tuteurs et intervenants extérieurs peuvent obtenir une copie de ces garanties en écrivant à l’adresse dpo@cesi.fr.

Les dispositions relatives aux flux transfrontières sont opposables à CESI, sauf dans les cas dérogatoires prévus à l’article 49 du RGPD.

CESI informe les tuteurs et intervenants extérieurs qu’elle pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement de leurs données à caractère personnel.

Dans ce cas, CESI s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.

CESI s’engage à signer avec tous ses sous-traitants un contrat écrit. De plus, CESI se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.

Il appartient à CESI de définir et de mettre en œuvre les mesures de sécurité techniques, physiques ou logiques qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.

Parmi ces mesures figurent principalement :

la gestion des habilitations pour l’accès aux données ;
des audits réguliers sur la conformité de la sécurité et de protection des données ;
l’utilisation d’un protocole ou de solutions de sécurité.

En cas de violation de données à caractère personnel, CESI s’engage à en notifier à la CNIL dans les conditions prescrites par le RGPD.

Si ladite violation fait porter un risque élevé pour les tuteurs et intervenants extérieurs, CESI :

en avisera les tuteurs et intervenants extérieurs concernés ;
communiquera aux tuteurs et intervenants extérieurs concernés les informations et recommandations nécessaires.

CESI a désigné un délégué à la protection des données.

Les coordonnées du délégué à la protection des données sont les suivantes :

Nom : Monsieur Eric Barbry ;
Adresse e-mail : dpo@cesi.fr.

En cas de nouveau traitement de données à caractère personnel, CESI saisira préalablement le délégué à la protection des données.

Si les tuteurs et intervenants extérieurs souhaitent obtenir une information ou poser une question particulière, il leur sera possible de saisir le délégué à la protection des données qui leur donnera une réponse dans un délai raisonnable au regard de l’information requise ou de la question posée.

CESI, en tant que responsable du traitement, s’engage à tenir à jour un registre de toutes les activités de traitement effectuées.

Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en œuvre par CESI, en tant que responsable du traitement.

CESI s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.

Les tuteurs et intervenants extérieurs concernés par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès d’une autorité de contrôle, à savoir la CNIL en France, si ceux-ci estiment que le traitement de leurs données à caractère personnel les concernant n’est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :

CNIL – Service des plaintes

3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

Tél : 01 53 73 22 22

CESI peut être amenée à modifier la présente politique, notamment, en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages.

Toute nouvelle version de la présente politique sera portée à la connaissance des tuteurs et intervenants extérieurs par tout moyen défini par CESI, en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).

La présente version a été mise à jour le 7 novembre 2024.

Pour toute information complémentaire, vous pouvez contacter le DPO : dpo@cesi.fr.

Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la CNIL www.cnil.fr.

Politique de protection des données personnelles des tuteurs et des intervenants extérieurs

1. PREAMBULE

2. OBJET

3. PORTEE

4. TYPES DE DONNEES COLLECTEES

Données non techniques

Données techniques

5. ORIGINE DES DONNEES

6. FINALITES ET BASES LEGALES

7. DESTINATAIRES DES DONNEES – HABILITATION & TRAÇABILITE

Destinataires internes

Destinataires externes

8. DUREE DE CONSERVATION

9. DROIT DE CONFIRMATION ET DROIT D’ACCES

10. DROIT DE CONFIRMATION ET DROIT D’ACCES

11. MISE A JOUR – ACTUALISATION ET RECTIFICATION

12. DROIT A L’EFFACEMENT

13. DROIT A LA LIMITATION

14. DROIT A LA PORTABILITE

15. DROIT D’OPPOSITION ET DE RETIRER SON CONSENTEMENT

16. DECISION INDIVIDUELLE AUTOMATISEE

17. DROIT POST MORTEM

18. CARACTERE FACULTATIF OU OBLIGATOIRE DES REPONSES

19. DROIT D’USAGE

20. TRANSFERT DE DONNEES HORS ESPACE ECONOMIQUE EUROPEEN

21. SOUS-TRAITANCE

22. SECURITE

23. VIOLATION DE DONNEES

24. DELEGUE A LA PROTECTION DES DONNEES

25. REGISTRE DES TRAITEMENTS

26. DROIT D’INTRODUIRE UNE RECLAMATION AUPRES DE LA CNIL

27. EVOLUTION

28. POUR PLUS D’INFORMATIONS