fr | en

Séparés par des virgules

Personnels

Toutes les infos sur vos données

  • Préambule

    La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et le Règlement (EU) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personne et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixent le cadre juridique applicable aux traitements de données à caractère personnel à l’Université d’Angers. 

    Pour une bonne compréhension du présent avis il est précisé que : 
    - le « responsable du traitement » est la personne qui détermine les finalités et les moyens d’un traitement de données à caractère personnel. Au titre du présent avis, le responsable du traitement est l'Université d'Angers (ci-après désigné par « l'organisme » ou « l’UA ») ; 

    - le « sous-traitant » s’entend de toute personne qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit en pratique des prestataires avec lesquels l'UA travaille et qui interviennent sur les données à caractère personnel ; 

    - les « personnes concernées » sont les personnes qui peuvent être identifiées, directement ou indirectement et leurs données à caractère personnel font l’objet d’une collecte par l’UA, c’est-à-dire l’ensemble des agents de l'UA

    - les « destinataires » des données s’entendent des personnes qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent être des agents de l’UA ou des organismes extérieurs (Administration fiscale, Mutuelle d’entreprise, établissement bancaire, etc.). 

  • Définitions

    - « donnée à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

    - « données enrichies » : les données à caractère personnel enrichies s’opposent à la notion de données à caractère personnel « brutes » fournies par la personne concernée. Il s’agit des données qui sont générées par l’UA. Il peut s’agir de données déduites et/ou dérivées créées par le responsable du traitement sur la base des données «fournies par la personne concernée».

    - « traitement de données à caractère personnel » : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;

    - « violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

  • Objet

    Pour son bon fonctionnement, l’Université d’Angers est tenue de mettre en oeuvre et d’exploiter des traitements de données à caractère personnel relatifs aux agents publics qu’elle emploie.

    Le présent avis a pour objet de satisfaire à l’obligation d’information de l’UA et ainsi de formaliser les droits et les obligations de ses agents au regard du traitement de leurs données à caractère personnel.

  • Portée

    Le présent avis de protection des données à caractère personnel a vocation à s’appliquer dans le cadre de la mise en place du traitement des données à caractère personnel des agents de l'Université d'Angers, quel que soit leur statut (titulaire, CDI, CDD, autres formes de contrat, etc.). Le cas échéant, le présent avis s’applique également aux stagiaires intervenant au sein de l'UA.

    Le présent avis ne porte que sur les traitements dont l'Université d’Angers est responsable et ne vise donc pas les traitements qui ne seraient pas créés ou exploités par l’UA elle-même.

    Le traitement de données à caractère personnel peut être géré directement par l'UA ou par le biais d’un sous-traitant spécifiquement désigné par l’UA.

    Cet avis est indépendant de tout autre document ou information spécifique pouvant s’appliquer au sein de l'UA, notamment les charte d'usage du système d’information, charte de l'administrateur ou encore les chartes liées à la déconnexion ou au télétravail.

  • Principes généraux

    Aucun traitement n’est mis en oeuvre à l'Université d'Angers concernant des données d’agents s’il n’est pas nécessaire au respect d’une obligation légale ou s’il n’a pas été préalablement approuvé par la Direction générale et s’il ne répond pas aux principes généraux du RGPD.

    La liste des traitements de données à caractère personnel existants tenue à jour dans le cadre du registre des traitements de l'UA.

  • Finalités et bases légales

    Selon les cas, l'Université d'Angers traite les données des agents pour les finalités suivantes :

    - gestion et suivi des candidatures ;

    - évaluation de la capacité du candidat à occuper l’emploi proposé ;

    - convocations à des entretiens ;

     

    - embauches de stagiaires rémunérés ;

    - gestion du personnel ; 

    - gestion des carrières ;

    - gestion des congés ;

    - gestion des accidents du travail et maladie professionnelle et suivi des visites médicales ;

    - suivi des demandes de formation et des périodes de formation effectuées ;

    - calcul et paiement des rémunérations et accessoires et des frais professionnels ainsi que calcul des retenues déductibles ou indemnisables opérées conformément aux dispositions légales et règlementaires applicables ;

    - gestion des indemnités de départ à la retraite et calcul des engagements de départ ;

    - réalisation des opérations résultant de dispositions légales, règlementaires ou de stipulations contractuelles concernant :

    • les déclarations à l'administration fiscale et aux organismes de protection sociale, de retraite et de prévoyance ;
    • le calcul des cotisations et versements donnant lieu à retenue à la source ;
    • la réalisation de tous traitements statistiques non nominatifs, liés à l'activité salariée dans l'organisme ;
    • la fourniture des écritures de paie à la comptabilité.

     

    - gestion des élections institutionnelles et professionnelles ;

     

    - suivi et maintenance du parc informatique ;

    - gestion de la messagerie électronique professionnelle et agendas ;

    - gestion des annuaires internes, organigrammes et agendas professionnels ;

    - gestion des dotations individuelles en fournitures et équipements (ex : téléphonie mobile) ;

    - gestion des réseaux privés virtuels internes permettant la diffusion ou la collecte de données des personnels (intranet) ;

     

    - contrôle individuel de l’accès pour sécuriser l’entrée dans les bâtiments ;

    - contrôle individuel de l’accès pour sécuriser les locaux faisant l’objet d’une restriction de circulation ;

    - vidéosurveillance à des fins de sécurité des biens et des personnes et afin d’identifier les auteurs de vols, dégradations ou agressions éventuels ;

    - réalisation d’états statistiques.

     

    En principe, le traitement par l’UA des données à caractère personnel de ses agents est nécessaire au respect d’une obligation légale, sinon à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investie l’UA.

    Les traitements de données pour la vidéosurveillance, la cyberprotection et la gestion des comptes de messagerie électronique se basent sur la nécessité aux fins des intérêts légitimes poursuivis par l’UA.

    Lorsque le traitement de ses données repose sur une autre base légale, l’agent en est spécifiquement informé.

  • Destinataires des données

    L'Université d'Angers s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes autorisés.

    Les destinataires des données à caractère personnel des agents au sein de l'Université d'Angers sont soumis à une obligation de confidentialité spécifique.

    Pourront notamment être destinataires de ces données à caractère personnel, dans la limite du besoin d’en connaître :

    - En interne : service de gestion du personnel, Direction du numérique, service financier, services généraux, délégués syndicaux, Instances représentatives du personnel, contrôleurs de gestion et audit.

    - A l’externe : cabinet de recrutement, organismes de formation, organismes sociaux, organismes financiers, administration fiscale.

     

    Sauf obligation juridique, l'Université d'Angers décide quel destinataire a accès à quelle donnée.

    Une politique d’habilitation tient compte des arrivées et des départs des agents de l'Université d'Angers ayant accès aux données.

    L'UA n’est en aucun cas responsable des dommages de toute nature qui peuvent résulter d’un accès illicites aux données à caractère personnel.

    Si un agent se rend compte qu’il dispose d’un accès à des données auxquelles il ne devrait pas avoir accès, il a pour obligation de prévenir sans délais la Direction du numérique ou la Direction des ressources humaines.

    Les agents sont informés que tous les accès concernant des traitements relatifs à leurs données à caractère personnel font l’objet d’une mesure de traçabilité.

    Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à en connaître. Dans ce cas, l'Université d'Angers n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données. 

  • Catégories de données et durées de conservation

    La durée de conservation des données est définie par l'organisme au regard des contraintes légales et contractuelles qui pèsent sur lui et à défaut en fonction de ses besoins.

    Type de traitement

    catégorie de donnée

     Durée de conservation

     Candidature et recrutement

    Destruction immédiate si le candidat n'est pas retenu ni pour le poste à pourvoir ni dans le cadre d'un autre recrutement. Possibilité  de  conserver  le  CV  pendant  deux  ans après le dernier contact avec le candidat.

     Gestion administrative 

     

    Les données sont conservées par les services gestionnaires pour la période d'emploi de la personne concernée.

     

    Elles peuvent toutefois être conservées cinq ans en archivage intermédiaire à compter du départ de l’agent.

     Gestion de la paie

     

    5 ans à compter du versement de la paie ;

     

    Les   informations   relatives   aux   motifs   des absences ne sont pas conservées au-delà du temps nécessaire à l'établissement des bulletins de paie.

     

    Les informations nécessaires à l'établissement des droits du personnel, notamment des droits à la   retraite,    peuvent    être   conservées   sans limitation de durée.

    Badges de sécurité (carte professionnelle)

     

    Éléments d'identification des agents : 5 ans maximum après le départ de l’agent de l'organisme.

     

    Éléments relatifs aux déplacements des personnes : pas plus de trois mois.

    Compte de messagerie et compte Moodle sur l’ENT 

    Désactivation au 1er janvier de l'année N (si parti avant le 1er octobre de N-1) et suppression au 1er janvier de l'année N+2.

     

    Cyberprotection :

    Données de connexion via les outils de l’UA

    Adresse IP ou adresse MAC, données de connexion au système de l’UA (login de connexion, journaux d'évènement), type et version du navigateur, réglage du fuseau horaire et localisation, navigateur, système d'exploitation et plate-forme.  

    Données de Trafic : données indiquant le trajet, le format, la taille, l’heure d'une communication électronique via les outils de l’UA.

     

    30 jours pour les données brutes.

    90 jours en données agrégées.

    + 180 jours en cas de menace informatique avérée.

     

     Vidéosurveillance

     30 jours à compter de la captation des images, sauf plainte ou procédure engagée.

    Passé les délais fixés, les données sont supprimées ou conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques.

    La suppression et l’anonymisation sont des opérations irréversibles et l'Université d'Angers n’est plus, par la suite, en mesure de restaurer les données.

  • Droit d'accès

    L’agent dispose d’un droit de demander à l'Université d'Angers la confirmation que des données le concernant sont ou non traitées.

    L’agent dispose également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :

    - la demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité ;

    - la demande est formulée par écrit à l’adresse suivante : DRH de l’Université d’Angers, 40 rue de Rennes, 49035 ANGERS, secretariatdrh[arrobase]listes.univ-angers.fr. 

    L’agent peut demander une copie de ses données à caractère personnel faisant l’objet du traitement. Toutefois, en cas de demande de copie supplémentaire, l'organisme pourra exiger la prise en charge financière de ce coût par l’agent.

    Si l’agent présente sa demande par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.

    Ce droit d’accès ne peut porter sur des informations ou données confidentielles ou pour lesquelles la loi n’autorise pas la communication.

    Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné. 

  • Droit de rectification

    Chaque agent est invité à communiquer à l'Université d'Angers l'actualisation des données traitées le concernant (coordonnées notamment). 

    Afin de permettre une mise à jour régulière des données à caractère personnel traitées par l'Université d'Angers, celle-ci pourra solliciter l’agent qui aura pour obligation de satisfaire aux demandes de l'Université d'Angers. 

  • Effacement

    L’agent est informé qu’il ne dispose pas du droit à l’effacement du traitement de ses données à caractère personnel dans la mesure où les motifs énoncés à l’article 17 du RGPD sont inopérants (données non nécessaires, retrait de consentement, opposition, traitement illicite, obligation légale ou cadre d'une offre de services de la société de l'information).

  • Portabilité

    L’agent ne dispose pas du droit à la portabilité de ses données à caractère personnel dans la mesure où le traitement opéré par l'Université d'Angers :

    - N’est pas fondé sur le consentement de l’agent ou sur un contrat, mais sur l’exécution d’une obligation légale ou d'une mission d'intérêt public ;

    - N’est pas systématiquement effectué à l’aide de procédés automatisés.

  • Décision individuelle

    L'Université d'Angers ne procède à aucune décision individuelle automatisée concernant ses agents.

  • Droit post mortem

    Les agents disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse secretariatdrh[arrobase]listes.univ-angers.fr ou par courrier postal à l’adresse suivante : DRH de l’Université d’Angers, 40 rue de Rennes, 49035 ANGERS, accompagné d’une copie d’un titre d’identité signé.

  • Caractère obligatoire ou facultatif

    L’agent est informé sur chaque formulaire de collecte de données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’une mention spécifique.

    Dans le cas où des réponses sont obligatoires, l'Université d'Angers indique les conséquences d’une absence de réponse.

  • Droit d'usage

    L'Université d'Angers se voit conférer par l’agent un droit d’usage et de traitement de ses données à caractère personnel pour les finalités exposées ci-avant.

    Toutefois, les données enrichies qui sont le fruit d’un travail de traitement et d’analyse de l'Université d'Angers, autrement appelées les données enrichies, demeurent la propriété exclusive de l'Université d'Angers (analyse d’usage, statistiques, etc.). 

  • Données issues de réseaux sociaux

    L’Université d’Angers s’interdit d’exploiter, sans l’accord préalable de l’agent, les données et informations d’ordre privé, même si elle sont rendues publiques, diffusées sur les réseaux sociaux.

  • Sous-traitance

    L'Université d'Angers pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement des données à caractère personnel.

    Dans ce cas, l'Université d'Angers s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.

    L'Université d'Angers s’engage à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données qu’elle-même. De plus, l'Université d'Angers se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.

  • Sécurité des données

    L'Université d'Angers définit et met en oeuvre les mesures techniques de sécurité, physique ou logique, qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.

    Pour ce faire, l'Université d'Angers peut se faire assister de tout tiers de son choix pour procéder, aux fréquences qu’elle estimera nécessaires, à des audits de vulnérabilité ou des tests d’intrusion.

    Sauf cas d’urgence ou risque imminent, les agents seront informés préalablement à la réalisation de ces audits et seront tenus de prendre les mesures de protection adaptées qui leur seront notifiées au préalable.

    En tout état de cause, l'Université d'Angers s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.

    En cas de sous-traitance d’une partie ou de la totalité d’un traitement de données à caractère personnel, l'Université d'Angers s’engage à imposer contractuellement à ses sous-traitants des garanties de sécurité par le biais de mesures techniques de protection de ces données et les moyens humains appropriés.

  • Violation de données

    En cas de violation de données à caractère personnel, l'Université d'Angers s’engage à notifier la Commission Nationale de l'Informatique et des Libertés (CNIL) dans les conditions prescrites par le RGPD.

    Si ladite violation fait porter un risque élevé pour les agents et que les données n’ont pas été protégées, l'Université d'Angers :

    - en avisera les agents concernés ;

    - communiquera aux agents concernés les informations et recommandations nécessaires.

  • Délégué à la protection des données

    L'Université d'Angers a désigné un délégué à la protection des données.

    Les coordonnées du délégué à la protection des données sont les suivantes :

    Délégué à la protection des données

    Direction des affaires générales, juridiques et institutionnelles

    40 Rue de Rennes

    49 035 ANGERS CEDEX 01

    dpd[arrobase]univ-angers.fr (dpd @ univ-angers.fr)

    www.univ-angers.fr/donneespersonnelles

    En cas de nouveau de traitement de données à caractère personnel, l'Université d'Angers saisira, en tant que de besoin, le délégué à la protection des données.

    Si l’agent souhaite obtenir une information particulière ou souhaite poser une question relative au traitement de ses données, il saisit le service qui met en œuvre le traitement.

    A défaut de réponse ou en cas de problème rencontré avec le traitement de ses données à caractère personnel, l’agent public peut saisir le délégué à la protection des données désigné.

  • Flux transfrontières

    En cas de transfert de données à caractère personnel vers un pays tiers à l’Union européenne ou vers une organisation internationale, l'Université d'Angers en informera les agents et s’assurera du respect des droits de ces mêmes personnes.

    L'Université d'Angers s’engage si nécessaire à signer un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données.

    Les dispositions relatives aux flux transfrontières sont opposables à l'Université d'Angers, sauf dans les cas dérogatoires prévus à l’article 49 du RGPD.

  • Registre des traitements

    L'Université d'Angers, en tant que responsable du traitement, s’engage à tenir à jour un registre des activités de traitement effectuées.

    Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en oeuvre par l'Université d'Angers en tant que responsable du traitement.

    L'Université d'Angers s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la législation informatique et libertés en vigueur.

  • Droit d'introduire une réclamation auprès de la CNIL

    Les agents concernés par le traitement de leurs données à caractère personnel peuvent introduire une plainte auprès d'une autorité de contrôle, à savoir la Commission Nationale de l'Informatique et des Libertés (CNIL), si ceux-ci estiment, après une première réponse de l’Université d’Angers, que le traitement de données à caractère personnel les concernant n'est pas conforme à la législation de protection des données, à l’adresse suivante :

    CNIL – Service des plaintes 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07 Tél : 01 53 73 22 22

  • Évolution

    Le présent avis peut être modifié ou aménagé à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Commission Nationale de l'Informatique et des Libertés (CNIL) ou des usages.

    Toute nouvelle version du présent avis sera portée à la connaissance des agents par tout moyen défini par l'Université d'Angers, en ce compris la voie électronique (diffusion en ligne ou par courrier électronique).

  • Pour plus d'informations

    Pour toutes informations complémentaires, vous pouvez contacter les services suivants :

     

    Délégué à la protection des données

    dpd[arrobase]univ-angers.fr 

     

    La Direction des ressources humaines :

    secretariatdrh[arrobase]listes.univ-angers.fr

     

    Service juridique :

    service.juridique[arrobase]univ-angers.fr

     

    Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la CNIL www.cnil.fr.

Scroll