Politique de confidentialité – RGPD

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen entrant en application le 25 mai 2018. Son implémentation concerne toutes les entreprises petites ou grandes opérant en Europe, européennes ou non. L’objectif est de responsabiliser les entreprises sur la gestion des données personnelles. Il s’agit de pratiques de bon sens, assez faciles à mettre en œuvre pour un organisme de formation.

Politique relative à la protection des données à caractère personnel

La mise en place du RGPD est un processus interne à notre organisme.
Il va bien au-delà de l’utilisation de « logiciels conformes RGPD », mais couvre un ensemble de procédures et d’outils mis en place pour assurer au maximum, en adéquation avec notre niveau de risque et nos ressources, la protection des données personnelles conformément à la législation en vigueur.
Nous avons mis en place depuis 2018 une politique de collecte et de gestion responsable des données personnelles de nos salariés, de nos apprenants et stagiaires, que nous stockons sur divers supports, et sur lesquelles nous réalisons des traitements.
La présente politique a vocation à vous expliquer, la manière dont la Fondation ITSRS, nommée dans le présent document l’IRTS, dont le siège social situé au 1 rue du 11 novembre 92120 à Montrouge, peut être amenée, en qualité de responsable du traitement, à utiliser vos données à caractère personnel.
Le présent règlement encadre notre politique relative à la protection des données, que nous sommes amenés à recueillir à partir d’outils internes ou externalisés dans le cadre de nos missions.
En tant que responsable de traitement, L’IRTS met tout en œuvre, pour garantir un haut niveau de protection des données personnelles dès la conception des traitements et tout au long de la vie de ceux-ci.
À ce titre, l’IRTS est soumis aux dispositions du règlement général sur la protection des données (RGPD), à la loi du 6 janvier 1978 modifiée (dite loi « Informatiques et Libertés » ou LIL) ainsi qu’aux dispositions spécifiques relatives aux relations de travail.
Notre logiciel métier (AURION) est un des supports sur lesquels nous stockons ces données et son éditeur a donc la responsabilité d’implémenter le RGPD en tant que sous-traitant.

A qui s’adresse ce règlement général ?

Le présent règlement s’applique à toute personne ayant une relation avec l’IRTS, qu’elle soit salariale, commerciale ou professionnelle :

  • Personnes physiques faisant partie de l’effectif de l’IRTS (salariés et apprentis, les agents de la fonction publique, stagiaires, intervenants extérieurs sous contrat à durée déterminée d’usage)
  • Prestataires de service (intervenants extérieurs en formation, entretien des locaux et extérieurs)
  • Apprenants et étudiants.

À qui sont destinées vos données personnelles ?

Les données que nous recueillons sont destinées exclusivement à être utilisées au sein des différents services de notre institut dans le cadre de notre activité d’organisme de formation et n’ont pas vocation à être partagées avec des tiers en dehors des cas prévus par les lois et les règlements.

Les données personnelles ne sont accessibles qu’aux personnes habilitées au titre de leurs fonctions et sont traitées dans la stricte limite de leurs attributions respectives et dans l’accomplissement de leurs missions :

  • Personnes habilitées chargées de la gestion du personnel ou de la gestion de la paie
  • Personnes habilitées chargées de la comptabilité
  • Personnes habilitées chargées d’assurer la sécurité des personnes et des biens
  • Personnes habilitées chargées de l’activité administrative et pédagogique
  • Supérieurs hiérarchiques des personnes concernées
  • Instances représentatives du personnel, après recueil de l’accord exprès des intéressés et strictement nécessaire à la défense de leurs intérêts
  • Organismes gérant les différents systèmes d’assurances sociales, d’assurances chômage, de retraite et de prévoyance, les organismes publics et administrations légalement habilités à les recevoir
  • Services habilités au contrôle financier de l’IRTS et intervenants dans la gestion des comptes de l’IRTS
  • Organismes habilités à recevoir des informations statistiques relatives à la paie.

Pourquoi collections-nous vos données personnelles ?

Nous pouvons être amenés à collecter vos données personnelles à plusieurs occasions, dans le cadre de nos activités.

Vos données seront ainsi utilisées de différentes manières, en fonction de votre relation avec notre institut :

  • Pour les besoins de l’exécution et du suivi de votre activité en votre qualité de salarié permanent de l’IRTS
  • Pour les besoins de l’exécution et du suivi de votre activité en votre qualité d’intervenant extérieur de l’IRTS
  • Pour l’alimentation d’une CVthèque susceptible de répondre à un besoin futur
  • Pour la gestion administrative du personnel
  • Pour la gestion des ressources humaines du personnel salarié et non-salarié de l’IRTS
  • Pour répondre à nos obligations légales sociales, comptables et fiscales
  • Pour la mise à disposition du personnel d’outils informatiques
  • Pour l’organisation du travail
  • Pour le suivi des carrières et de la mobilité
  • Pour la formation
  • Pour les besoins de l’exécution et du suivi de votre parcours de formation en votre qualité d’apprenant
  • Sauf opposition de votre part et dans la limite de vos intérêts et droits, pour répondre à nos besoins légitimes
  • Pour la gestion de la sécurité dans nos locaux lors de vos déplacements
  • Par l’envoi de messages concernant nos formations et notre actualité
  • Pour l’organisation, inscription et invitation aux évènements de l’IRTS.

Quelles données personnelles collectons-nous ?

Dans le cadre de nos activités nous sommes amenés à recueillir certaines de vos données personnelles.

Dans un souci de minimisation des données personnelles traitées, l’IRTS veille à ne collecter et n’utiliser que les données pertinentes et nécessaires au regard de ses propres besoins.

Après s’être assuré de la nécessité et de la pertinence des données personnelles à collecter, l’IRTS veille, tout au long de la durée de vie du traitement, de la qualité de ces données, de son exactitude et de sa mise à jour.

Il peut s’agir, en fonction des populations concernées, des données relatives :

  • À l’identification de votre identité et vos coordonnées
  • À l’évaluation des compétences du candidat au moment du recrutement au sein de l’IRTS ou de son admission en formation
  • Au suivi de carrière et de la formation
  • À l’établissement des bulletins de salaire et aux obligations légales connexes
  • À la gestion des déclarations d’accident du travail et de maladie professionnelle, à la gestion des arrêts de travail et autres cas d’absences autorisées et au suivi des visites médicales des salariés
  • Au suivi de votre parcours d’enseignement scolaire et universitaire
  • Au suivi de votre parcours professionnel
  • Aux élections professionnelles et réunions des instances représentatives du personnel

Certaines données, en raison de leur caractère particulièrement sensible, bénéficient d’une protection particulière et sont collectées quand cela est autorisé par la loi et traitées dans les conditions strictement définies par les textes. Pour information, la caractéristique de « donnée personnelle à caractère sensible » définie théoriquement dans la réglementation RGPD vous est fournie dans la liste ci-après ; il est important de signaler qu’en réalité, suite aux travaux d’analyse et de mise en conformité engagés, l’IRTS ne détient que très peu de données de ce type (NIR et quelques informations extrêmement limitées et ponctuelles de santé dans certains cas) :

  • Origine ethnique
  • Opinion politique
  • Conviction religieuse ou philosophique
  • Appartenance syndicale
  • Données génétiques ou biométriques
  • Données concernant la santé
  • Données concernant la vie ou l’orientation sexuelle
  • Numéro de sécurité sociale (NIR)
  • Données relatives aux infractions, condamnations pénales et mesures de sureté connexes.

Comment exercer vos droits ?

Vous disposez d’un droit d’accès à vos données personnelles, de rectification sur les données erronées vous concernant, et, dans les cas et selon les limites prévues par la règlementation, d’opposition, de suppression de certaines de vos données, d’en faire limiter l’usage ou de solliciter leur portabilité en vue de leur transmission à un tiers, mais également de définir le sort de nos données après votre décès.

Pour exercer vos droits, il vous suffit de nous écrire à l’adresse suivante vieprivee@irtsidf9293.eu et d’y joindre, le cas échéant, toute pièce permettant de justifier de votre identité et votre demande.

Combien de temps conservons-nous vos données personnelles ?

Vos données seront conservées pendant la durée pendant laquelle elles sont nécessaires pour répondre aux finalités susvisées, en particulier les durées suivantes :

  • Recrutement : candidat non retenu : 2 ans à compter de la réponse négative
  • Recrutement : candidat retenu : 3 ans après la fin de la durée de la relation avec l’IRTS
  • Gestion du personnel : 5 ans après la fin de la durée de la relation avec l’IRTS, afin de répondre aux obligations légales (comptables, sociales ou fiscales)
  • Contrat prestataire : 3 ans après la fin de la durée de la relation avec l’IRTS
  • Gestions des dossiers d’apprenants : 5 ans après la fin de la durée de la formation.

Comment contacter notre délégué à la protection des données ?

Pour toute information complémentaire ou difficulté relative à l’utilisation de vos données, vous pouvez contacter notre Délégué à la protection des données (DPO) à l’adresse suivante vieprivee@irtsidf9293.eu.

En cas de difficulté non résolue en lien avec l’utilisation de vos données personnelles, vous pouvez saisir la Commission Nationale de l’Informatique et des Libertés (CNIL).

Mesure de sécurité

Afin de garantir la sécurité des données personnelles, des procédures ont été mises en place, notamment :

  • La création, pour les apprenants et les stagiaires, d’une adresse électronique individuelle (@etudiant.irts9293.eu). Les communications relatives à l’activité de formation de la communauté IRTS s’effectuent principalement via cette adresse
  • L’ensemble des données sont stockées sur leur cloud privé (OneDrive)
  • À l’issue de la formation, l’apprenant ou le stagiaire dispose de 20 jours pour récupérer toutes ses données personnelles et ses documents. Après ces 20 jours, toutes les données sont effacées et le compte supprimé
  • Les apprenants et stagiaires ont la possibilité de nous demander un export des données que nous stockons, ainsi qu’une destruction des données personnelles
  • Les données des comptes utilisateurs ne sont accessibles qu’avec un identifiant associé à un mot de passe
  • Tous les échanges de données entre votre navigateur web et le serveur AURION sont chiffrés par le protocole SSL. Les serveurs AURION sont hébergés en local
  • Les bases de données sont protégées en continu par sauvegarde physique.