Le Règlement Général sur la Protection des Données de l'Union européenne (RGPD UE)
Le Règlement Général sur la Protection des Données de l'Union européenne (RGPD UE) est un règlement qui a été adopté par le Parlement européen en avril 2016 et devient exécutoire dans toute l'Union européenne (UE) le 25 mai 2018. Il remplace une directive sur la protection des données qui ne s'appliquait pas automatiquement aux États membres de l'UE et, par conséquent, les exigences en matière de protection des données dans l'UE variaient d’un pays à l’autre. Le RGPD UE est un acte législatif exigeant qui doit être appliqué dans son intégralité, dont l'objectif est de protéger les personnes physiquement présentes au sein de l'UE concernant le traitement de leurs données personnelles et les règles relatives à la libre circulation de ces données. Il n'y a pas de distinction fondée sur le lieu de résidence ou la citoyenneté permanente des individus. Le champ d'application du RGPD UE s'étend aux entités étrangères qui traitent les « données personnelles » des résidents de l'UE.
Les principes généraux du RGPD UE prévoient que les données personnelles doivent être:
• Traitées légalement, équitablement et de manière transparente
• Collectées à des fins spécifiques, explicites et légitimes et ne pas être traitées d'une manière incompatible avec ces objectifs
• Limitées au strict nécessaire en lien avec les finalités pour lesquelles elles sont traitées
• Précises et maintenues à jour
• Stockées seulement aussi longtemps que nécessaire
• Sécurisées
Les données personnelles sont définies de manière très large et comprennent toutes les informations relatives à une personne identifiée ou identifiable. Elles comprennent le nom, le numéro d'identification, les données de localisation, l'identifiant en ligne, ou bien un ou plusieurs facteurs spécifiques à l’identité physique, psychologique, génétique, mentale, économique, culturelle ou sociale de la personne.
Exemples de données personnelles collectées et traitées à Georgia Tech-Europe: nom, photo, adresse e-mail, numéro d'identification (comme le GT ID), compte GT (ID utilisateur), adresse postale ou autres données de localisation, adresse IP ou autre identifiant. En outre, le RGPD UE prévoit des protections supplémentaires pour les données personnelles sensibles telles que l’origine raciale et ethnique, la santé, le génétique / biométrique, la religion, l’orientation sexuelle et les opinions politiques.
Politique de conformité du Règlement Général de la Protection des Données de l'UE
Afin de collecter et de traiter les données personnelles provenant de l'UE, une base légale est requise. En tant qu'institut d'enseignement supérieur, Georgia Tech-Europe est impliqué dans l'éducation, la recherche et l’innovation. Afin que Georgia Tech-Europe puisse former ses étudiants étrangers et nationaux, et puisse s'engager dans des projets de recherche, il est essentiel, nécessaire, et Georgia Tech-Europe dispose d'une base légale pour collecter, traiter, utiliser et conserver les données personnelles de ses étudiants, professeurs, employés et autres personnes impliquées dans la formation, la recherche et l’innovation. Ces activités comprennent, entre autres, l'admission; l’inscription; l’enseignement ; les notes; la communication; le recrutement; la recherche; le développement; et l’archivage des dossiers.
Base légale pour la collecte et le traitement des données personnelles
Georgia Tech-Europe dispose d'une base légale pour collecter et traiter les données personnelles. La plupart des données personnelles collectées et traitées de Georgia Tech-Europe est classée dans les catégories suivantes:
1. Le traitement des données personnelles est nécessaire par Georgia Tech-Europe ou par un tiers à des fins d’intérêts légitimes pour assurer la formation et la recherche.
2. Le traitement des données personnelles est nécessaire à l’exécution d'un contrat dans lequel la personne concernée est citée ou pour prendre des mesures à la demande de la personne concernée avant la conclusion d'un contrat. Cette base légale concerne principalement mais pas exclusivement les contrats de recherche.
3. Le traitement est nécessaire au respect d'une obligation légale à laquelle Georgia Tech-Europe est soumise.
4. La personne concernée a consenti au traitement de ses données personnelles à des fins spécifiques.
Il y aura des cas où la collecte et le traitement de données personnelles seront conformes à d'autres bases légales dans le cadre du GDPR UE.
Protection des données et gouvernance
Georgia Tech-Europe protégera toutes les données personnelles et données personnelles sensibles qu'elle collecte ou traite pour des raisons légales. Toutes les données personnelles et données personnelles sensibles collectées ou traitées par Georgia Tech doivent être:
1. Traitées légalement, équitablement et de manière transparente
2. Collectées à des fins précises, explicites et légitimes, et non traitées de manière incompatible avec ces finalités
3. Limitées au strict nécessaire en lien avec les finalités pour lesquelles elles sont collectées et traitées
4. Précises et maintenues à jour
5. Conservées seulement aussi longtemps que nécessaire
6. Sécurisées
Types de données personnelles collectées et pour quelle finalité
Georgia Tech-Europe collecte des données personnelles pour répondre à l'une de ses obligations légales, comme indiqué auparavant. Le plus souvent, les données sont utilisées pour les admissions académiques, les inscriptions, les programmes de formation, l'embauche, la et les projets de recherche. Les données comprennent généralement le nom, l'adresse, les relevés de notes, les antécédents professionnels, les renseignements pour la paie, les informations sur les sujets de recherche, les renseignements médicaux et sur la santé (pour les services de santé aux étudiants, ou les voyages) et les donations. Si vous avez des questions spécifiques concernant la collecte et l'utilisation de vos données personnelles, veuillez contacter le Délégué à la Protection des Données à dpd@georgiatech-metz.fr
Si une personne concernée refuse de fournir des données personnelles requises par Georgia Tech-Europe en lien avec l'une de ses obligations légales liée à la collecte de données personnelles, un tel refus peut rendre impossible l'offre de formation, d'emploi, de recherche ou autres services demandés.
D’où Georgia Tech-Europe obtient des données personnelles et sensibles ?
Georgia Tech-Europe reçoit des données personnelles provenant de sources multiples. Le plus souvent, Georgia Tech-Europe obtient ces données directement de la personne concernée ou sous la direction de la personne concernée qui les a fournies à un tiers (par exemple, une demande d'admission à Georgia Tech via l'application commune). Certaines données potentiellement sensibles sont fournies directement par Georgia Tech Atlanta en respectant la procédure de consentement de la personne concernée.
Données personnelles sensibles et consentement
Georgia Tech-Europe s'assure que la procédure de consentement a été respectée avant de traiter des données personnelles sensibles.
Droits individuels des personnes concernées par le RGPD UE
Les personnes concernées par cette politique bénéficieront des droits et informations suivants:
1. Informations sur le contrôleur collectant les données
2. Coordonnées du Délégué à la Protection des Données
3. Fins et base légale de la collecte et du traitement des données
4. Destinataires des données personnelles
5. Si Georgia Tech-Europe a l'intention de transférer des données personnelles vers un autre pays ou une organisation internationale
6. Période pendant laquelle les données personnelles seront stockées
7. Existence du droit d'accéder, de rectifier des données incorrectes ou d'effacer des données personnelles, de restreindre ou de s’opposer au traitement, et du droit à la portabilité des données
8. Existence du droit de retirer son consentement à tout moment
9. Droit de déposer une plainte auprès d'une autorité de surveillance (établie dans l'UE)
10. Pourquoi les données personnelles sont requises, et les conséquences possibles en cas de données non transmises
11. Existence d'une prise de décision automatisée, y compris le profilage
12. Si les données collectées vont être traitées à d'autres fins que celles pour lesquelles elles ont été collectées
Note: L'exercice de ces droits est une obligation de moyens et non une obligation de résultat.
Toute personne concernée qui souhaite exercer l'un des droits mentionnés ci-dessus peut le faire en adressant cette demande au Délégué à la Protection des Données à dpd@georgiatech-metz.fr
Sécurité des données personnelles soumises au RGDP de l'UE
Toutes les données personnelles et sensibles collectées ou traitées par Georgia Tech-Europe dans le cadre de la Politique de Conformité au Règlement Général sur la Protection des Données de l’UE de Georgia Tech-Europe doivent être conformes aux contrôles de sécurité et aux systèmes et exigences de processus de la Publication Spéciale 800-171 du NIST.
Nous ne partagerons pas vos informations avec des tiers sauf dans les cas suivants:
• afin de répondre à nos obligations légales : intérêt légitime, mise en conformité contractuelle, conformément au consentement fourni par vous-même, requis par la loi…
• afin de protéger les intérêts de Georgia Tech-Europe;
• avec les fournisseurs de services agissant en notre nom qui ont accepté de protéger la confidentialité des données.
Champ d’application
Cette politique s'applique aux données personnelles et aux données personnelles sensibles protégées par le RGPD EU et à Georgia Tech-Europe qui collecte ou traite des données personnelles et des données personnelles sensibles protégées par le RGPD UE.