Date de dernière mise à jour : 03/10/2019
1. Introduction
1. Dans le cadre de son activité, ESG, membre du Groupe Galileo Global Education est amenée à collecter et à traiter des données à caractère personnel.
2. Dès lors, soucieuse de favoriser l’innovation tout en construisant une relation de confiance durable basée sur le respect des droits et libertés des personnes, l’Etablissement s’attache à mettre en place les moyens techniques et organisationnels nécessaires pour protéger les données à caractère personnel qu’elle traite.
3. L’objectif principal de cette politique est de regrouper dans un format concis, transparent, compréhensible et aisément accessible les informations concernant les traitements de données mis en œuvre pour vous permettre de comprendre dans quelles conditions vos données sont traitées, quels sont vos droits à cet égard et vous présenter les engagements de l’Etablissement.
2. Qui sommes-nous ?
4. ESG (ci-après « l’Etablissement ») est une école appartenant au groupe d’enseignement supérieur privé Galileo Global Education France (ci-après « Groupe Galileo »).
5. ESG est une société au capital de 13.267.469 €, immatriculée au registre du commerce et des sociétés de PARIS sous le numéro SIREN 752 535 476 RCS dont le siège social est situé au 35 avenue Philippe Auguste - 75011 Paris 11e arrondissement - France
Rendez-vous personnalisé
3. Délégué à la protection des données et référent
6. Le Groupe Galileo a désigné un délégué à la protection des données à caractère personnel (DPO) mutualisé pour l’ensemble des entités et des écoles du Groupe Galileo dont les coordonnées sont les suivantes : 41 rue Saint Sébastien, 75011 PARIS, Délégué à la protection des données ou DPO, adresse mel : dpo@ggeedu.fr.
7. Afin d’effectuer un relai avec le DPO, l’Etablissement a également désigné en interne un référent à la protection des données à caractère personnel (« délégué DPO - DDPO ») dont les coordonnées sont suivant votre campus :
dpo-aix@esg.fr ; dpo-bordeaux@esg.fr ; dpo-dijon@esg.fr ; dpo-lyon@esg.fr ; dpo-montpellier@esg.fr ; dpo-nantes@esg.fr ; dpo-rennes@esg.fr ; dpo-rouen@esg.fr ; dpo-strasbourg@esg.fr ; dpo-toulouse@esg.fr ; dpo-tours@esg.fr ; dpo-biarritz@esg.fr
Le DPO et le référent à la protection des données personnelles de l’Etablissement sont en charge de conseiller, informer et contrôler le respect de la règlementation en matière de protection des données.
4. Une collecte loyale et transparente
8. Dans un souci de transparence, l’Etablissement prend soin d’informer les personnes concernées de chacun des traitements qui les concernent.
9. Ces données sont collectées loyalement. Aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées.
5. Le principe de finalité
10. Lorsque l’Etablissement est amené à traiter des données, il le fait pour des finalités spécifiques : chaque traitement de données mis en œuvre poursuit une finalité légitime, déterminée et explicite.
6. Un traitement de données proportionné
11. Pour chacun des traitements mis en œuvre, l’Etablissement s’engage à ne collecter et n’exploiter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
12. L’Etablissement veille à ce que les données soient, si nécessaire, mises à jour et à mettre en œuvre des procédés pour permettre l’effacement ou la rectification des données inexactes.
7. Les données à caractère personnel que nous traitons
13. Dans le cadre des traitements de données à caractère personnel dont les finalités vous seront présentées ci-après, l’Etablissement collecte et traite principalement les catégories de données suivantes :
- des données d’identification des personnes telles que des nom(s), prénom(s), date de naissance, nationalité des personnes concernées ;
- des données relatives à la formation telles que le parcours de formation ou en relation avec des projets de formation ;
- des informations d’ordre économique et financier telles que les modalités de financement ;
- des données relatives à la vie personnelle telles que l’adresse personnelle, le numéro de téléphone, l’adresse email ;
- éventuellement, des données relatives à la situation professionnelle, telles que la profession, l’employeur ou encore les coordonnées professionnelles, l’expérience professionnelle ;
14. De manière générale, l’Etablissement n’effectue pas de traitement de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou encore l’appartenance syndicale, ni de traitement de données génétiques, de données biométriques aux fins d’identifier une personne physique de manière unique, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
15. Toutefois, de manière exceptionnelle, l’Etablissement peut être amené à collecter des données de santé, en particulier des données relatives à une situation de handicap, afin d’adapter les modalités pratiques des prestations de formation dispensées ou encore des données biométriques pour la gestion des contrôles d’accès.
8. L’origine des données que nous traitons
8.1 Les données personnelles déclaratives
16. Il s’agit des données personnelles que vous fournissez principalement dans le cadre de :
- vos échanges avec l’Etablissement notamment à l’occasion de salons, de forums lycées ou de portes ouvertes ;
- la conclusion d’un contrat avec l’Etablissement ;
- la constitution d’un dossier auprès de l’Etablissement ;
- d’enquêtes réalisées auprès des personnes concernées.
17. Ces données sont principalement collectées notamment par le biais de nos formulaires, de nos questionnaires papiers et électroniques.
8.2 Les données personnelles provenant de tiers ou d’autres services
18. Les données personnelles peuvent également provenir :
- de votre navigation sur les sites internet des écoles ;
- d’autres écoles du Groupe Galileo ou d’établissements partenaires ;
- de fournisseurs de leads ;
- si concerné de votre employeur ;
- d’organismes publics ;
9. Les bases juridiques et les finalités de nos traitements de données
19. Les traitements mis en œuvre par l’Etablissement et plus largement par le Groupe Galileo sont nécessaires à l’exécution d’un contrat ou à l’exécution des mesures précontractuelles prises à la demande de la personne concernée. Il en est ainsi des traitements qui poursuivent les finalités suivantes :
- la gestion et le suivi de l'inscription à un concours ou une formation ;
- la gestion et le suivi de la formation. A cet effet et dans le cadre de formation dites en bimodalité, les cours pourront être filmés et diffusés à l’ensemble des élèves assistant au cours à distance. Ils pourront également faire l’objet d’enregistrements;
- l’enregistrement et le traitement de la prestation de formation ;
- le suivi administratif et financier de la formation;
20. Les traitements qui poursuivent les finalités suivantes sont mis en œuvre pour répondre à des obligations légales et réglementaires incombant à l’Etablissement, à savoir :
- les actions relatives à la formation ;
- l’adaptation nécessaire au déroulé des formations pour les personnes en situation de handicap ;
- mettre en œuvre les droits des personnes concernées au titre de la règlementation en matière de données à caractère personnel ;
- la gestion de la comptabilité / fiscalité ;
21. Les traitements qui poursuivent les finalités suivantes sont mis en œuvre pour réaliser les intérêts légitimes de l’Etablissement, en particulier la gestion, le bon fonctionnement et le déploiement de son activité :
- la gestion de la prospection pour l’Etablissement ou pour toute autre école du Groupe Galileo ;
- la réalisation d’études marketing et de statistiques internes ;
- la promotion des parcours de formation proposés par l’Etablissement ;
- la gestion des enquêtes ;
- l’organisation d’événements ;
- et la mesure de la fréquentation du site ;
-
la gestion des alumni et le développement du réseau de l’école ; dans ce cadre, en tant qu’ancien élève, vous pouvez faire l’objet de sollicitations.
22. L’Etablissement a recours au consentement des personnes concernées pour des finalités de traitement ne reposant pas sur les bases juridiques relevant de l’intérêt légitime, des obligations légales et réglementaires ou nécessaires à l’exécution de contrats.
10. Les destinataires de vos données
23. Les données à caractère personnel que nous collectons, de même que celles qui sont recueillies ultérieurement, nous sont destinées en notre qualité de responsable du traitement.
24. Sont également destinataires de vos données, les catégories de destinataires suivantes :
- les membres du personnel de l’Etablissement, des autres écoles du Groupe Galileo, le personnel du Groupe Galileo notamment pour la gestion des candidats prospects et le cas échéant les membres du personnel des établissements partenaires ;
- nos éventuels sous-traitants ;
- les organismes publics ou non afin de répondre à nos obligations légales ;
- les organismes de classement afin de promouvoir la réputation de l’école ;
25. Nous veillons à ce que seules les personnes habilitées puissent avoir accès à ces données. L’Etablissement, applique des politiques d’habilitation strictes qui permettent que les données qu’elle traite ne soient transmises qu’aux seules personnes autorisées à y avoir accès.
11. Les transferts de vos données
26. Les données à caractère personnel que la Société traite peuvent, lors de certaines opérations, faire l’objet d’un transfert dans des pays situés dans ou hors de l’Union européenne.
27. Dans le cas d’un traitement réalisé hors de l’Union européenne, y compris accès à distance, la société s’engage à mettre en place les garanties permettant d’assurer la protection et la sécurité de ces informations, conformément à la règlementation applicable.
28. Vous pouvez obtenir communication de la liste des transferts et des garanties prises en vous adressant au DPO à l’adresse dpo@ggeedu.fr.
12. Les durées pour lesquelles nous conservons vos données
29. L’Etablissement, fait en sorte que les données ne soient conservées sous une forme permettant l’identification des personnes concernées que pendant une durée nécessaire au regard des finalités pour lesquelles elles sont traitées.
30. Les durées de conservation que nous appliquons à vos données à caractère personnel sont proportionnées aux finalités pour lesquelles elles ont été collectées.
31. Notamment, nous organisons notre politique de conservation des données de la manière suivante :
- Données recueillies pour la gestion des prospects : 3 ans maximum
- Données recueillies et traitées dans le cadre de la formation pédagogique : 10 ans maximum
- Données traitées dans le cadre de la diplomation : 50 ans
L’Etablissement se laisse le droit de conserver vos données au-delà des délais énoncés ci-dessus en cas de nécessité liées à des obligations judiciaires ou réglementaires.
13. La sécurité de vos données
32. Le Groupe Galileo, accorde une importance particulière à la sécurité des données à caractère personnel.
33. Des mesures techniques et organisationnelles appropriées sont mises en œuvre pour que les données soient traitées de façon à garantir leur protection contre la perte, la destruction ou les dégâts d’origine accidentelle qui pourraient porter atteinte à leur confidentialité ou à leur intégrité.
34. Lors de l’élaboration et de la conception, ou lors de la sélection et de l’utilisation des différents outils qui permettent le traitement des données personnelles, l’Etablissement s’assure qu’ils permettent d’assurer un niveau de protection optimal des données traitées.
35. L’Etablissement, met ainsi en œuvre des mesures qui respectent les principes de protection dès la conception et de protection par défaut des données traitées. A ce titre, l’Etablissement, est en mesure de recourir à des techniques de pseudonymisation ou de chiffrement des données lorsque cela s’avère possible et / ou nécessaire.
14. La sous-traitance
36. Lorsqu’il a recours à un prestataire, l’Etablissement ne lui communique des données à caractère personnel qu’après avoir obtenu de ce dernier un engagement et des garanties sur sa capacité à répondre à ces exigences de sécurité et de confidentialité.
37. Nous concluons avec nos sous-traitants dans le respect de nos obligations légales et réglementaires des contrats définissant précisément les conditions et modalités de traitement des données personnelles par ces derniers.
38. De même, le Groupe Galileo effectue ou fait effectuer des audits de ses propres services ainsi que de ceux de ses prestataires, et ce afin de vérifier l’application des règles en matière de sécurité des données.
15. Les droits qui vous sont reconnus
39. L’Etablissement est particulièrement soucieux du respect des droits qui vous sont accordés dans le cadre des traitements de données qu’il met en œuvre, pour vous garantir des traitements équitables et transparents compte tenu des circonstances particulières et du contexte dans lesquels vos données personnelles sont traitées.
15.1 Votre droit d’accès
40. A ce titre, vous avez la confirmation que vos données personnelles sont ou ne sont pas traitées et lorsqu’elles le sont, vous disposez du droit de demander une copie de vos données et des informations concernant :
- les finalités du traitement ;
- les catégories de données personnelles concernées ;
- les destinataires ou catégories de destinataires ainsi que, le cas échéant si de telles communication devaient être réalisées, les organisations internationales auxquelles les données personnelles ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ;
- lorsque cela est possible, la durée de conservation des données personnelles envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de vos données personnelles, du droit de demander une limitation du traitement de vos données personnelles, du droit de vous opposer à ce traitement ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- des informations relatives à la source des données quand elles ne sont pas collectées directement auprès des personnes concernées ;
- l’existence d’une prise de décision automatisée, y compris de profilage, et dans ce dernier cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour les personnes concernées.
15.2 Votre droit à la rectification de vos données
41. Vous pouvez nous demander que vos données personnelles soient, selon les cas, rectifiées, complétées si elles sont inexactes, incomplètes, équivoques, périmées.
15.3 Votre droit à l’effacement de vos données
42. Vous pouvez nous demander l’effacement de vos données personnelles lorsque l’un des motifs suivants s’applique :
- les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
- vous retirez le consentement préalablement donné ;
- vous vous opposez au traitement de vos données personnelles lorsqu’il n’existe pas de motif légitime impérieux pour le traitement ;
- le traitement de données personnelles n’est pas conforme aux dispositions de la législation et de la réglementation applicable.
Le droit à l’effacement des données n’est pas un droit général, il ne pourra y être fait droit que si un des motifs prévus dans la réglementation applicable est présent.
43. A défaut, l’Etablissement ne pourra répondre favorablement à votre demande ; tel sera le cas si elle est tenue de conserver les données en raison d’une obligation légale ou réglementaire ou pour la constatation, l’exercice ou la défense de droits en justice.
15.4 Votre droit à la limitation des traitements de données
44. Vous pouvez demander la limitation du traitement de vos données personnelles dans les cas prévus par la législation et la réglementation.
15.5 Votre droit de vous opposer aux traitements de données
45. Vous disposez du droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données à caractère personnel dont la base juridique est l’intérêt légitime poursuivi par le responsable du traitement (cf. article ci-dessus sur la base juridique du traitement).
46. En cas d’exercice d’un tel droit d’opposition, nous veillerons à ne plus traiter vos données à caractère personnel dans le cadre du traitement concerné sauf si nous pouvons démontrer que nous pouvons avoir des motifs légitimes et impérieux pour maintenir ce traitement. Ces motifs devront être supérieurs à vos intérêts et à vos droits et libertés, ou le traitement se justifier pour la constatation, l'exercice ou la défense de droits en justice.
47. Vous disposez du droit de vous opposer à la prospection commerciale ainsi qu’au profilage dans la mesure où il est lié à une telle prospection.
48. En matière de prospection commerciale, il est rappelé que vous pouvez vous opposer à recevoir de la prospection par voie postale ou par téléphone de la part de l’Etablissement.
49. Dans le cas de prospection par voie de courrier électronique (Email, SMS, MMS), l’Etablissement, pourra y recourir si vous avez donnez votre accord au moment de la collecte. Par suite, vous pourrez à tout moment vous y opposer par le lien se trouvant dans l’email qui vous a été envoyé ou en envoyant stop au numéro figurant dans le message reçu.
15.6 Votre droit à la portabilité de vos données
50. Vous disposez du droit à la portabilité de vos données personnelles. Il ne s’agit pas d’un droit général. Il ne concerne que les traitements automatisés à l’exclusion des traitements manuels ou papiers.
51. Ce droit est limité aux traitements dont la base juridique est votre consentement ou l’exécution des mesures précontractuelles ou d’un contrat.
52. Il n’inclut ni les données dérivées ni les données inférées, qui sont des données personnelles créées par l’Etablissement ou le Groupe Galileo.
53. Les données sur lesquelles peut s’exercer ce droit sont :
- uniquement vos données personnelles, ce qui exclut les données personnelles anonymisées ou les données qui ne vous concernent pas ;
- les données personnelles déclaratives ainsi que les données personnelles de fonctionnement évoquées précédemment.
54. Le droit à la portabilité ne peut pas porter atteinte aux droits et libertés de tiers telles que celles protégées par le secret des affaires.
55. Vous pouvez demander la portabilité des données selon la procédure définie ci-dessous en précisant si vous souhaitez les recevoir vous-même ou si cela est techniquement possible pour nous, que nous les transmettions directement à un autre responsable de traitement.
56. Dans ce dernier cas, vous veillerez à nous indiquer la dénomination exacte de ce responsable, ses coordonnées ainsi que le service ou la personne qui devrait en être destinataire. Afin de faciliter l’exercice de ce droit vous devrez informer ce destinataire de votre demande auprès de nos services.
15.7 Votre droit de retirer votre consentement
57. Lorsque les traitements de données que nous mettons en œuvre sont fondés sur votre consentement, vous pouvez le retirer à n’importe quel moment. Nous cessons alors de traiter vos données à caractère personnel sans que les opérations antérieures pour lesquelles vous aviez consenti ne soient remises en cause.
15.8 Votre droit d’introduire une réclamation
58. Vous avez le droit d’introduire une réclamation auprès de la Cnil (3 place de Fontenoy 75007 Paris) sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel.
15.9 Votre droit de définir des directives post-mortem
59. Vous avez la possibilité de définir des directives particulières relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès auprès de nos services selon les modalités ci-après définies. Ces directives particulières ne concerneront que les traitements mis en œuvre par nos soins et seront limitées à ce seul périmètre.
60. Vous disposerez également lorsque cette personne aura été désignée par le pouvoir exécutif définir des directives générales aux mêmes fins.
15.10 Les modalités d’exercice de vos droits
61. Tous les droits énumérés ci-avant peuvent être exercés en justifiant de votre identité en s’adressant auprès du DDPO de l’Etablissement, référent à la protection des données à caractère personnel.
62. Ce dernier se chargera de communiquer au DPO du Groupe Galileo les demandes de droits exercées auprès de lui.
15.11 Modification du présent document
63. Nous vous invitons à consulter régulièrement cette politique sur notre site internet. Elle pourra faire l’objet de mises à jour.