Politique générale de confidentialité

La présente Politique générale de confidentialité vise la protection des Données à caractère personnel dans les hypothèses où l’université de Bordeaux est Responsable du traitement.

La présente Politique générale de confidentialité est opposable :  

• au personnel de l’université de Bordeaux ;
• aux étudiants de l’université de Bordeaux ;
• aux candidats auprès de l’Université de Bordeaux via les plateformes Parcoursup et Monmaster ou par d’autres moyens ;  
• aux prestataires de l’université de Bordeaux ;
• aux destinataires de Données auxquels l’université de Bordeaux fournit celles-ci ;
• à l’université de Bordeaux en sa qualité de responsable du traitement. 

Il est impératif de se reporter aux onglets proposés pour chaque situation.

L’université de Bordeaux s’engage à :

• ne traiter les Données à caractère personnel que pour les seules finalités décrites dans les présentes à l’occasion de chaque Traitement de celles-ci, et notamment les besoins des composantes de l’établissement ;
• garantir la confidentialité des Données à caractère personnel traitées ; 
•  veiller à ce que les personnes autorisées à traiter les Données à caractère personnel s’engagent à respecter la confidentialité desdites Données ;
• mettre en œuvre tous les moyens techniques, organisationnels, et humains propres à assurer la protection des Données à caractère personnel.

4.1 Engagements de l’université

L’université de Bordeaux met en œuvre toutes les mesures matérielles, techniques et organisationnelles  appropriées pour assurer la protection des Données à caractère personnel, et s’engage à faire évoluer celles-ci afin que lesdites mesures soient constamment conformes à l’état de l’art.

L’université de Bordeaux met notamment en place des restrictions d'accès logiques et physiques ainsi que des protections réseau nécessaires pour assurer la sécurité des Données à caractère personnel, ainsi que tout dispositif nécessaire pour assurer la traçabilité des traitements. Elle assure la sécurité des données conservées sur ses propres serveurs, ou sur les serveurs de prestataires de confiance agréés pour la conservation des données et documents d’activité produits et reçus par les personnes publiques. Conformément à la réglementation en vigueur, aucune donnée, aucun document, issus des activités de l’Université de Bordeaux et contenant des données à caractère personnel ne seront conservés sur des serveurs situés hors du territoire national.

Aux fins d’assurer la sécurité des données, l’université de Bordeaux peut se faire assister par tout tiers de son choix pour procéder, chaque fois qu’elle l’estimera nécessaire, à des tests de vulnérabilité.

L’université de Bordeaux s’oblige à faire respecter la sécurité et la confidentialité des Données à caractère personnel par ses agents, salariés et vacataires, ainsi que par les membres extérieurs des instances délibératives ou conseils de l’université qui y siègent.

L’université de Bordeaux s’engage à informer son personnel que tout agent public ou salarié de l’établissement s’apercevant qu’il est destinataire de Données qui ne devraient pas lui être adressées ou qui a accès à des Données qu’il ne devrait pas avoir à connaître, est tenu d’en informer sans délai le Délégué à la protection des données de l’établissement.

4.2. Stockage des données

Les données et documents d’activité de l’établissement, comportant des données à caractère personnel, sont collectés au terme de leur usage primaire, classés, conservés et communiquer conformément aux dispositions relatives aux archives publiques (notamment contenues dans le  Livre II du Code du patrimoine). Ces textes, intégrant les dispositions du RGPD, confirment le caractère de « seconde finalité de la collecte » ou « finalité compatible ». L’archivage à visée légale permet de disposer temps nécessaire pour l’exercice des droits des individus. En outre, l’archivage à visée patrimoniale ou historique est assuré dans le respect de l’article 89 du RGPD. En matière d’archivage des données, l’articulation entre le RGPD et les lois sur les archives concernent en particulier :

• les possibilités de suppression et d’effacement : pour assurer la protection des droits, ces possibilités ne sont ouvertes qu’aux données et documents non concernés par l’archivage à visée légale ; lequel prévoit toutes les mesures nécessaires pour en assurer la confidentialité ;
• les possibilités d’anonymisation et de pseudonymisation des données, ouvertes exclusivement pour les données et documents d’activité, destinées à devenir des archives historiques, et donc relevant de l’article 89 du RGPD.

L'université de Bordeaux s’engage à informer, au moment de la collecte initiale, les personnes concernées au sujet des traitements d’archivage possibles (à visée légale et/ou historique) sur leurs données.

En application de l'article 30 du RGPD, l’université de Bordeaux tient un registre de tous les traitements de données à caractère personnel auxquels elle procède.

L’université de Bordeaux se réserve le droit de recourir à la sous-traitance auprès d’un tiers de son choix, y compris lorsque celle-ci suppose une communication de Données à caractère personnel au prestataire.

L’université de Bordeaux s’engage expressément à imposer à ses Sous-traitants, notamment dans les contrats écrits conclus avec ces derniers, que ceux-ci présentent le même niveau de protection des Données à caractère personnel que celui mis en œuvre par l’université, au moyen de mesures techniques et organisationnelles appropriées, de manière à ce que les traitements envisagés répondent aux exigences de la règlementation applicable.

L’université de Bordeaux se réserve le droit de procéder ou faire procéder à des audits auprès de ses sous-traitants afin de s’assurer du respect des dispositions relatives à la protection des Données à caractère personnel.

L’Université de Bordeaux a désigné un Délégué à la protection des données qui peut être contacté :

• Par courrier à : Délégué à la protection des données, Université de Bordeaux, 351 cours de la Libération 33405 Talence
• Par mail à : dpo%40u-bordeaux.fr

8.1 Enoncé des droits

Conformément à la réglementation en vigueur, la Personne concernée dispose des droits suivants :

• droit d’accès aux Données (RGPD, art.15) : droit d’obtenir les informations détenues par l’Université de Bordeaux ;
• droit de rectification des Données (RGPD, art. 16) : droit de demander la modification d’informations inexactes ou incomplètes ;
• droit d’effacement des Données (RGPD, art.17) pour l’un des motifs suivants :
  • Données n’étant plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • opposition au traitement des Données dès lors qu’il n’existe pas de motif légitime impérieux pour poursuivre celui-ci ;
  • Données faisant l’objet d’un traitement illicite ;
  • Données devant être effacées pour respecter une obligation légale ;
• droit à la limitation du traitement des Données (RGPD, art.18) ;
• droit à la portabilité des Données lorsque celles-ci font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (RGPD, art. 20) : obtention des Données à caractère personnel fournies à l’Université de Bordeaux, dans un format structuré, couramment utilisé et lisible par une machine aux fins de transmission à un autre responsable de traitement ;
• droit d’opposition au traitement des Données (RGPD, art. 21) à tout moment ;
• droit de retrait de son consentement (RGPD, art. 13-2-c).
• Il est expressément rappelé que la suppression des Données et que l’anonymisation de celles-ci, qui empêchent toute identification de façon irréversible, ne permettent pas l’exercice de tous les droits ci-dessus exposés.

8.2 Exercice des droits

L’exercice des droits relatifs aux traitements des Données à caractère personnel entrepris par l’université de Bordeaux s’effectue en utilisant le formulaire prévu à cet effet, assorti des pièces demandées, qui est transmis directement au Délégué à la protection des données dès qu’il est validé par la personne concernée. 

L’exercice des droits peut également être effectué par courrier à l’adresse du Délégué à la protection des données indiquée à l’article 7 ci-dessus.

Par dérogation à la procédure décrite ci-dessus, conformément à l’article 5 de l’arrêté du 31 décembre 2020 (v. art. 2 ci-dessous), l’exercice des droits concernant « Parcoursup » s’effectue auprès de la Direction générale de l'enseignement supérieur et de l'insertion professionnelle du ministère de l'Enseignement supérieur, de la recherche et de l'innovation, par courrier électronique à l'adresse : parcoursup%40enseignementsup.gouv.fr.

Il est rappelé que, ainsi qu’il est dit à l’article 4.2 ci-dessus, certaines règles relatives aux archives publiques peuvent limiter l’exercice des droits des personnes concernées.

8.3 Saisine de l’autorité de contrôle

La personne concernée qui considère qu’un traitement de Données à caractère personnel a été effectué en violation de ses droits peut déposer une plainte auprès de la CNIL à l’adresse suivante : CNIL, 3, place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 ou en ligne.

L’université de Bordeaux s’engage à notifier à la CNIL, dans les conditions prescrites par les textes, toute violation de Données à caractère personnel.

En cas de risque élevé du fait de ladite violation pour les Personnes concernées, l’université de Bordeaux s’engage à en informer ces dernières, ainsi qu’à leur fournir toute recommandation utile.

Il est rappelé que l’université se doit de  transmettre les Données sur réquisition à toute autorité administrative, de police ou judiciaire habilitée.

Il est rappelé que l’Université de Bordeaux est tenue par des règles administratives relatives aux durées d’utilisation et de conservation des Données, ainsi qu’à des règles applicables aux établissements d’enseignement supérieur et de recherche et aux services de l’éducation nationale en matière d'archives publiques.

Des instructions ministérielles ont élaboré des tableaux d’archivage : pour chaque document, est précisé la durée d’utilisation administrative afférente (DUA), soit la durée au cours de laquelle il peut être conservé dans les locaux de l’établissement en tant qu’archive nécessaire à la bonne marche de celui-ci, et le sort des documents à l’issue de la DUA (destruction ou versement aux Archives départementales). Ces instructions fixent les durées maximales de conservation que l’université de Bordeaux est tenue de respecter.

La présente Politique générale de confidentialité peut faire l’objet de modifications à tout moment, en cas d’évolution législative ou jurisprudentielle, ainsi que du fait de décisions et recommandations de la CNIL ou des usages qui s’établiraient. 

L’université de Bordeaux se réserve aussi le droit d’apporter à la présente Politique générale de confidentialité toutes les modifications qu’elle jugera utiles.
Toute modification donnera lieu à une mise à jour de la date de validité en tête de la présente Politique générale de confidentialité