1 - PRÉAMBULE
Le Règlement (EU) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après RGPD) fixe le cadre juridique applicable aux traitements de données à caractère personnel.
Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.
Pour une bonne compréhension de la présente politique il est précisé que :
- le « responsable du traitement » s’entend de la personne physique ou morale, qui détermine les finalités et les moyens d’un traitement de données à caractère personnel. Au titre de la présente politique, le responsable du traitement est l’Université de la Nouvelle-Calédonie ;
- le « sous-traitant » s’entend de toute personne physique ou morale, qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit donc en pratique des prestataires avec lesquels l’Université de la Nouvelle-Calédonie travaille et qui interviennent sur les données à caractère personnel collectée par ou pour le compte de l’Université de la Nouvelle-Calédonie ;
- les « personnes concernées » sont les personnes qui peuvent être identifiées, directement ou indirectement parce que certaines de leurs données à caractère personnel font l’objet d’une collecte par le responsable du traitement ou son sous-traitant, c’est-à-dire l’ensemble des personnes recrutées directement ou indirectement par L’UNC ou faisant partie de ses clients ou fournisseurs ;
- les « destinataires » des données s’entendent des personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien des personnels de l’entreprise que des organismes extérieurs (, , établissement bancaire, centre des impôts, etc.).
Le RGPD, en son article 12, impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.
2 - DÉFINITIONS
- « donnée à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
- « données enrichies » : les données à caractère personnel enrichies s’opposent à la notion de données à caractère personnel « brutes » fournies par la personne concernée. Il s’agit des données qui sont générées par le responsable du traitement, telles qu’un profil d’utilisateur créé par l’analyse des données brutes collectées à partir d’un compteur intelligent. Il peut également s’agir de données déduites et/ou dérivées créées par le responsable du traitement sur la base des données «fournies par la personne concernée».
- « traitement de données à caractère personnel » : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;
- « violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
3 - OBJET
Pour satisfaire à son bon fonctionnement, l’Université de la Nouvelle-Calédonie est tenue de mettre en œuvre et d’exploiter des traitements de données à caractère personnel relatifs personnels qu’elle emploie.
La présente politique a pour objet de satisfaire à l’obligation d’information de l’Université de la Nouvelle-Calédonie et ainsi de formaliser les droits et les obligations de ses au regard du traitement de leurs données à caractère personnel.
4 - PORTÉE
La présente politique de protection des données à caractère personnel a vocation à s’appliquer dans le cadre de la mise en place du traitement des données à caractère personnel des personnels de l’Université de la Nouvelle-Calédonie, quel que soit leur statut (fonctionnaires, CDI, CDD, vacations, autres formes de contrat, etc.). Le cas échéant, la présente politique s’applique également aux stagiaires intervenant au sein de l’Université de la Nouvelle-Calédonie.
Le traitement de données à caractère personnel peut être géré directement par l’Université de la Nouvelle-Calédonie ou par le biais d’un sous-traitant spécifiquement désigné par l’Université de la Nouvelle-Calédonie.
Cette politique ne se substitue pas à tout autre document pouvant s’appliquer au sein de l’Université de la Nouvelle-Calédonie, notamment la charte informatique, les chartes liées au télétravail ou autres.
5 - PRINCIPES GÉNÉRAUX
Aucun traitement n’est mis en oeuvre dans l’Université de la Nouvelle-Calédonie concernant des données de salariés s’il n’a pas été préalablement approuvé par la Direction générale et s’il ne répond pas aux principes généraux du RGPD.
Tout nouveau traitement, modification ou suppression d’un traitement existant sera porté à la connaissance des salariés et agents publics par tous moyens à la convenance de l’Université de la Nouvelle-Calédonie.
Une liste des traitements de données à caractère personnel existants est jointe en annexe de la présente.
6 - FINALITÉS ET BASE LÉGALES
Selon les cas, l’Université de la Nouvelle-Calédonie traite notamment les données des personnels pour les finalités suivantes :
- gestion et suivi des candidatures ;
- évaluation de la capacité du candidat à occuper l’emploi proposé ;
- convocations à des entretiens ;
- embauches de stagiaires rémunérés ;
- gestion des fiches de renseignement des personnels;
- gestion du personnel ;
- gestion des carrières ;
- gestion des congés ;
- évaluation du personnel ;
- gestion des accidents du travail et maladie professionnelle et suivi des visites médicales ;
- gestion des annuaires internes, organigrammes et agendas professionnels ;
- gestion des dotations individuelles en fournitures et équipements (ex : téléphonie mobile) ;
- gestion des élections professionnelles et institutionnelles ;
- suivi et maintenance du parc informatique ;
- gestion de la messagerie électronique professionnelle ;
- gestion des réseaux privés virtuels internes permettant la diffusion ou la collecte de données des personnels (intranet) ;
- suivi des demandes de formation et des périodes de formation effectuées ;
- gestion des accords collectifs ;
- calcul et paiement des rémunérations et accessoires et des frais professionnels ainsi que calcul des retenues déductibles ou indemnisables opérées conformément aux dispositions légales et conventionnelles applicables ;
- gestion des indemnités de départ à la retraite et calcul des engagements de départ ;
- réalisation des opérations résultant de dispositions légales, de conventions collectives ou de stipulations contractuelles concernant :
- les déclarations à l'administration fiscale et aux organismes de protection sociale, de retraite et de prévoyance ;
- le calcul des cotisations et versements donnant lieu à retenue à la source ;
- la tenue des comptes individuels relatifs à l'intéressement et à la participation personnels de l’UNC ;
- la réalisation de tous traitements statistiques non nominatifs, liés à l'activité des personnels de l’UNC
- la fourniture des écritures de paie à la comptabilité.
- contrôle individuel de l’accès pour sécuriser l’entrée dans les bâtiments ;
- gestion des horaires et des temps de présence des personnels ;
- réalisation d’états statistiques ;
- vidéosurveillance à des fins de sécurité des biens et des salariés et afin d’identifier les auteurs de vols, dégradations ou agressions éventuels.
Cette liste n'est pas exhaustive.
Le personnel est informé que la collecte de ses données à caractère personnel est nécessaire à l’exécution de son contrat résulte d’une obligation légale de l’Université de la Nouvelle-Calédonie.
7 - DESTINATAIRES DES DONNÉES – HABILITATION & TRAÇABILITÉ
L’Université de la Nouvelle-Calédonie s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes autorisés.
Les destinataires des données à caractère personnel des personnels au sein de l’Université de la Nouvelle-Calédonie sont soumis à une obligation de confidentialité spécifique.
Pourront notamment être destinataires de ces données à caractère personnel :
- Interne : service de gestion du personnel, DNSI, service financier, services généraux, délégués syndicaux, IRP, contrôleurs de gestion et audit.
- Externe : CAFAT, organismes de formation, organismes sociaux, organismes financiers, administration.
L’Université de la Nouvelle-Calédonie décide quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation définie.
La politique d’habilitation est régulièrement mise à jour et tient compte des arrivées et des départs des personnels de l’Université de la Nouvelle-Calédonie ayant accès aux données.
Si un salarié ou agent public se rend compte qu’il dispose d’un accès à des données auxquelles il ne devrait pas avoir accès, il a pour obligation de prévenir sans délais la direction des systèmes d’information ou la direction des ressources humaines.
Les personnels sont informés que tous les accès concernant des traitements relatifs à leurs données à caractère personnel font l’objet d’une mesure de traçabilité.
Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à en connaître. Dans ce cas, l’Université de la Nouvelle-Calédonie n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.
8 - DURÉE DE CONSERVATION
La durée de conservation des données est définie par l’Université de la Nouvelle-Calédonie au regard des contraintes légales et contractuelles qui pèsent sur elle et à défaut en fonction de ses besoins.
Traitement concerné | Durée de conservation des données collectées |
Candidature et recrutement | Destruction immédiate si le candidat n'est pas retenu ni pour le poste à pourvoir ni dans le cadre d'un futur recrutement. Possibilité de conserver le CV pendant 2 ans après le dernier contact avec le candidat. |
Gestion administrative des salariés et agents publics | Les données sont conservées par les services gestionnaires pour la période d'emploi de la personne concernée. Elles peuvent toutefois être conservées 5 ans en archivage intermédiaire à compter du départ du salarié. |
Gestion de la paie | Gestion de la paie : 5 ans à compter du versement de la paie (article L3243-4 du Code du travail) ; Les informations nécessaires à l'établissement des droits du personnel, notamment des droits à la retraite, peuvent être conservées sans limitation de durée. |
Badges sur le lieu de travail | Éléments d'identification des salariés : 5 ans maximum après le départ du salarié de l’Université de la Nouvelle-Calédonie. Éléments relatifs aux déplacements des personnes : pas plus de trois mois. Si finalité de contrôle du temps de travail : 5 ans. Données relatives aux motifs d'absence : 5 ans, sauf dispositions législatives contraires. |
Vidéosurveillance | 1 mois à compter de la captation des images |
Données de connexion | 6 mois |
Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques.
Il est rappelé au salarié ou agent public que la suppression ou l’anonymisation sont des opérations irréversibles et que l’Université de la Nouvelle-Calédonie n’est plus, par la suite, en mesure de les restaurer.
9 - DROIT DE CONFIRMATION ET DROIT D’ACCÈS
Le salarié ou agent public dispose d’un droit de demander à l’Université de la Nouvelle-Calédonie la confirmation que des données le concernant sont ou non traitées.
Le salarié ou agent public dispose également d’un droit d’accès, ce dernier étant conditionnée au respect des règles suivantes :
- la demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité ;
- être formulée par écrit à l’adresse suivante :
DPO
Université de la Nouvelle-Calédonie
Avenue James Cook
Nouméa
98800
Nouvelle-Calédonie
Mail : donnees.personnelles@unc.nc
Le salarié ou agent public a le droit de demander une copie de ses données à caractère personnel faisant l’objet du traitement auprès de l’entreprise. Toutefois, en cas de demande de copie supplémentaire, l’Université de la Nouvelle-Calédonie pourra exiger la prise en charge financière de ce coût par le salarié.
Si le salarié ou agent public présente sa demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.
Le salarié ou agent public est enfin informé que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.
Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.
10 - MISE À JOUR – ACTUALISATION ET RECTIFICATION
Afin de permettre une mise à jour régulière des données à caractère personnel collectées par l’Université de la Nouvelle-Calédonie, celui-ci pourra solliciter le salarié ou agent public qui aura pour obligation de satisfaire aux demandes de l’Université de la Nouvelle-Calédonie.
En cas de modification des informations du salarié ou de l’agent public par l’Université de la Nouvelle-Calédonie, ce dernier en sera spontanément informé.
Le salarié ou agent public est informé que l’Université de la Nouvelle-Calédonie ne procèdera à aucune modification dite de « confort », seules des modifications substantielles sur l’état civil, l’identité et les coordonnées de la personne concernée seront réalisées.
11 - DROIT À L'EFFACEMENT
Le salarié ou agent public est informé qu’il ne dispose pas du droit à l’effacement du traitement de ses données à caractère personnel dans la mesure où les motifs énoncés à l’article 17 du RGPD sont inopérants en l’espèce.
12 - DROIT À LA LIMITATION
Le salarié ou agent public est informé qu’il ne dispose pas du droit à la limitation du traitement de ses données à caractère personnel dans la mesure où le traitement opéré par l’Université de la Nouvelle-Calédonie est licite et que toutes les données à caractère personnel collectées sont nécessaires à l’exécution du contrat de travail.
13 - DROIT À LA PORTABILITÉ
Le salarié ou agent public est informé qu’il ne dispose pas du droit à la portabilité de ses données à caractère personnel dans la mesure où le traitement opéré par l’Université de la Nouvelle-Calédonie :
- N’est pas fondé sur le consentement du salarié ou de l’agent public, mais sur l’exécution du contrat de travail ou de mission ;
- N’est pas systématiquement effectué à l’aide de procédés automatisés.
14 - DÉCISION INDIVIDUELLE AUTOMATISÉE
L’Université de la Nouvelle-Calédonie ne procède à aucune décision individuelle automatisée concernant ses salariés ou agents publics.
15 - DROIT POST MORTEM
Les salariés ou agents publics sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse [adresse e-mail] ou par courrier postal à l’adresse suivante [adresse postale], accompagné d’une copie d’un titre d’identité signé.
16 - CARACTÈRE FACULTATIF OU OBLIGATOIRE DES RÉPONSES
Le salarié ou agent public est informé sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.
Dans le cas où des réponses sont obligatoires, l’Université de la Nouvelle-Calédonie explique au salarié les conséquences d’une absence de réponse.
17 - DROIT D’USAGE
l’Université de la Nouvelle-Calédonie se voit conférer par le salarié ou agent public un droit d’usage et de traitement de ses données à caractère personnel pour les finalités exposées en annexe.
Toutefois, les données enrichies qui sont le fruit d’un travail de traitement et d’analyse de l’Université de la Nouvelle-Calédonie, autrement appelées les données enrichies, demeurent la propriété exclusive de l’Université de la Nouvelle-Calédonie (analyse d’usage, statistiques, etc.).
18 - DONNÉES ISSUES DES RÉSEAUX SOCIAUX
L’Université de la Nouvelle-Calédonie s’interdit d’exploiter, sans l’accord préalable du salarié ou agent public, les données et les informations d’ordre privée, même si elle sont rendues publiques, diffusées par le salarié ou agent public sur les réseaux sociaux.
19 - SOUS-TRAITANCE
L’Université de la Nouvelle-Calédonie informe les salariés et agents publics qu’elle pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement des données à caractère personnel du salarié. L’Université de la Nouvelle-Calédonie informe les salariés et agents publics qu’elle pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement des données à caractère personnel du salarié.
Dans ce cas, l’Université de la Nouvelle-Calédonie s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.
L’Université de la Nouvelle-Calédonie s’engage à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données qu’elle-même. De plus, l’Université de la Nouvelle-Calédonie se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.
20 - SÉCURITÉ
Il appartient à l’Université de la Nouvelle-Calédonie de définir et de mettre en oeuvre les mesures techniques de sécurité, physique ou logique, qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.
Pour ce faire, l’Université de la Nouvelle-Calédonie peut se faire assister de tout tiers de son choix pour procéder, aux fréquences qu’elle estimera nécessaires, à des audits de vulnérabilité ou des tests d’intrusion.
Sauf cas d’urgence ou risque imminent, les salariés et agents publics seront informés préalablement à la réalisation de ces audits et seront tenus de prendre les mesures de protection adaptées qui leur seront notifiées au préalable.
En tout état de cause, l’Université de la Nouvelle-Calédonie s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
En cas de sous-traitance d’une partie ou de la totalité d’un traitement de données à caractère personnel, l’Université de la Nouvelle-Calédonie s’engage à imposer contractuellement à ses sous-traitants des garanties de sécurité par le biais de mesures techniques de protection de ces données et les moyens humains appropriés.
21 - VIOLATION DE DONNÉES
En cas de violation de données à caractère personnel, l’Université de la Nouvelle-Calédonie s’engage à en notifier à la Cnil dans les conditions prescrites par le RGPD.
Si ladite violation fait porter un risque élevé pour les salariés et agents publics et que les données n’ont pas été protégées, l’Université de la Nouvelle-Calédonie :
- en avisera les salariés et agents publics concernés ;
- communiquera aux salariés et agents publics concernés les informations et recommandations nécessaires.
22 - DÉLÈGUE A LA PROTECTION DES DONNÉES
L’Université de la Nouvelle-Calédonie a désigné un délégué à la protection des données.
Les coordonnées du délégué à la protection des données sont les suivantes :
- Nom : POUILLET JEROME
- Adresse e-mail : donnees.personnelles@unc..nc
- Tél : 29.00.45
En cas de nouveau de traitement de données à caractère personnel, l’Université de la Nouvelle-Calédonie saisira préalablement le délégué à la protection des données.
Si le salarié ou agent public souhaite obtenir une information particulière ou souhaite poser une question particulière, il lui sera possible saisir le délégué à la protection des données qui lui donnera une réponse dans un délai raisonnable au regard de la question posée ou de l’information requise.
En cas de problème rencontré avec le traitement des données à caractère personnel, le salarié ou agent public pourra saisir le délégué à la protection des données désigné.
23 - FLUX TRANSFRONTIÈRES
L’Université de la Nouvelle-Calédonie se réserve seul le choix d’avoir ou non des flux transfrontières pour les données à caractère personnel qu’il collecte et qu’il traite.
En cas de transfert de données à caractère personnel vers un pays tiers à l’Union Européenne ou vers une organisation internationale, l’Université de la Nouvelle-Calédonie en informera les salariés et agents publics et s’assurera du bon respect des droits de ces mêmes personnes.
L’Université de la Nouvelle-Calédonie s’engage si nécessaire à signer un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données.
Les dispositions relatives aux flux transfrontières sont opposables à l’Université de la Nouvelle-Calédonie, sauf dans les cas dérogatoires prévus à l’article 49 du RGPD.
24 - REGISTRE DES TRAITEMENTS
L’Université de la Nouvelle-Calédonie, en tant que responsable du traitement, s’engage à tenir à jour un registre de toutes les activités de traitement effectuées.
Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en oeuvre par l’Université de la Nouvelle-Calédonie en tant que responsable du traitement.
L’Université de la Nouvelle-Calédonie s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.
25 - DROIT D’INTRODUIRE UNE RÉCLAMATION AUPRÈS DE LA CNIL
Les salariés et agents publics concernés par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès d'une autorité de contrôle, à savoir la Cnil, si ceux-ci estiment estime que le traitement de données à caractère personnel les concernant n'est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :
Cnil – Service des plaintes
3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
26 - ÉVOLUTION
La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la Cnil ou des usages.
Toute nouvelle version de la présente politique sera portée à la connaissance des salariés et agents publics par tout moyen défini par l’Université de la Nouvelle-Calédonie, en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).
27 - POUR PLUS D'INFORMATIONS
Pour toutes informations complémentaires, vous pouvez contacter votre référent ou le DPO (page Contacts)
Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la CNIL www.cnil.fr.