Données personnelles

Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, autrement appelé le Règlement général sur la protection des données (ci-après « RGPD ») fixe le cadre juridique applicable aux traitements de données à caractère personnel.

Le RGPD renforce les droits et les obligations des responsables de traitements, des sous-traitants, des personnes concernées et des destinataires des données.

Dans le cadre de son activité, CESI est amenée à traiter des données à caractère personnel des candidats à une certification délivrée par CESI.

Pour une bonne compréhension de la présente politique, il est précisé que :

le « responsable du traitement » : désigne la société CESI SAS (ci-après « CESI ») ;
le « sous-traitant » : désigne toute personne physique ou morale qui traite des données à caractère personnel pour le compte de CESI ;
les « personnes concernées » : désigne les prospects et candidats à une certification délivrée par CESI (ci-après les « prospects » et « candidats »). Certains traitements concernent les personnes certifiées (ci-après les « certifiés ») ;
les « destinataires » : désigne les personnes physiques ou morales qui reçoivent des données à caractère personnel de la part de CESI. Les destinataires des données peuvent donc être aussi bien des salariés de CESI que des organismes extérieurs (évaluateurs, partenaires, établissements bancaires, prestataires informatiques, etc.).

L’article 12 du RGPD impose que les personnes concernées soient informées de leurs droits de manière concise, transparente, compréhensible et aisément accessible.

La présente politique a pour objet de satisfaire à l’obligation d’information à laquelle CESI est tenue et de formaliser les droits et les obligations des prospects, candidats et certifiés de CESI au regard du traitement de leurs données à caractère personnel.

La présente politique a vocation à s’appliquer dans le cadre de la mise en place de l’ensemble des traitements de données à caractère personnel relatifs aux prospects, candidats et certifiés de CESI.

CESI met tout en œuvre pour que les données soient traitées dans le cadre d’une gouvernance interne précise. Ceci étant précisé, la présente politique ne porte que sur les traitements dont CESI est responsable et ne vise donc pas les traitements qui seraient créés ou exploités en dehors des règles de gouvernance fixées par CESI (traitements dit « sauvages » ou shadow IT).

Le traitement de données à caractère personnel peut être géré directement par CESI ou par le biais d’un sous-traitant spécifiquement désigné par CESI.

Cette politique est indépendante de tout autre document pouvant s’appliquer au sein de la relation contractuelle entre CESI et les prospects et candidats.

Données non techniques

Données sur les candidats et certifiés :
Données d’identification (nom, prénom)
Coordonnées (adresse postale, adresse mail, numéro de téléphone, etc.)
Parcours professionnel (entreprise, qualification)
Photographie/image
Données bancaires
Information relative à l’aménagement particulier à prévoir dans le cadre d’un handicap le cas échéant
Résultats de la certification

Données sur les prospects :
Données d’identification (nom, prénom)
Coordonnées (adresse postale, adresse mail, numéro de téléphone, etc.)

Données techniques

Données sur les prospects, candidats et certifiés :
Données de connexion (adresse IP, logs, etc.)
Données de navigation (cookies, traceurs, mesure d’audience, clic, etc.)

Les données relatives aux prospects, candidats et certifiés sont généralement collectées directement auprès d’eux (collecte directe) par CESI. La collecte peut aussi être indirecte par le biais de leurs entreprises employeurs.

Selon les cas, CESI traite les données de ses prospects, candidats et certifiés pour les finalités et bases légales suivantes :

Finalités	Commentaires	Bases légales
*Échanges précontractuels*	CESI traite les données des personnes qui interagissent avec elle afin de s’informer sur les certifications délivrées.	Exécution de mesures précontractuelles
*Suivi de la certification*	CESI traite les données de ses candidats et certifiés dans le cadre du suivi de la certification.	Exécution de mesures contractuelles
*Facturation, paiement et comptabilité*	CESI traite les données de candidats et certifiés dans le cadre de la facturation.	Exécution de mesures contractuelles
*Organisation d’évènements*	CESI traite les données des prospects, candidats et certifiés lorsqu’elle les invite à des évènements qu’elle organise.	Intérêt légitime de CESI de promouvoir son activité
*Amélioration des services et enquêtes de satisfaction*	CESI est susceptible de traiter les données de candidats et certifiés à des fins d’amélioration de ses services, notamment au travers d’enquêtes de satisfaction.	Intérêt légitime de CESI d’améliorer ses services
*Analyse comportementale et mesure d’audience*	CESI est susceptible de traiter des données à des fins d’analyse du comportement de ses prospects, candidats et certifiés et de suivi de leur trafic en ligne.	Intérêt légitime de CESI d’analyser le comportement des personnes concernées ou consentement lorsque cela est nécessaire
*Community management*	CESI collecte et traite les données de certifiés à des fins d’animation de ses communautés sur internet, notamment sur les réseaux sociaux.	Intérêt légitime de CESI de promouvoir son activité
*Vidéosurveillance*	Certaines zones spécifiques des locaux de CESI et des campus font l’objet d’un dispositif de vidéosurveillance.	Intérêt légitime de CESI d’assurer la sécurité des biens et des personnes
*Réalisation de statistiques*	CESI est susceptible d’effectuer des statistiques s’agissant des données de ses prospects, candidats et certifiés.	Intérêt légitime de mieux connaître ses prospects, candidats et certifiés
*Audits techniques*	CESI est amenée à auditer l’activité sur ses environnements numériques et est susceptible d’effectuer des statistiques techniques s’agissant des données de ses candidats et certifiés.	Intérêt légitime de mieux connaître ses Candidats et certifiés
*Gestion des précontentieux et contentieux*	CESI est susceptible de traiter les données afin d’assurer la défense de ses intérêts dans le cadre de précontentieux et de contentieux.	Intérêt légitime de CESI d’assurer la défense de ses intérêts

Lorsque le traitement est fondé sur le consentement, les prospects, candidats et certifiés disposent du droit de retirer leur consentement à tout moment.

CESI s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes habilités.

Destinataires internes	Destinataires externes
– le personnel habilité des services chargés de traiter le processus de certification des candidats, de la prospection, des services administratifs et financiers, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques.	les évaluateurs (ex : correcteurs, contrôleurs, auditeurs, professionnels participant aux jurys) ;les entreprises employeurs ;les organismes financeurs ;le personnel habilité des sous-traitants (ex : plateforme d’examen).

Les destinataires des données à caractère personnel des prospects, candidats et certifiés au sein de CESI sont soumis à une obligation de confidentialité.

CESI décide quel destinataire pourra avoir accès à quelle donnée selon une politique d’habilitation. Tous les accès concernant des traitements relatifs à des données à caractère personnel des prospects, candidats et certifiés font l’objet d’une mesure de traçabilité.

Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité légalement habilitée à en connaître. Dans ce cas, CESI n’est pas responsable des conditions dans lesquelles les personnels de ces autorités ont accès et exploitent les données.

La durée de conservation des données est définie par CESI au regard des contraintes légales et contractuelles qui pèsent sur elle et, à défaut, en fonction de ses besoins et notamment selon les principes suivants :

Traitement	Durée de conservation
Contrats	6 ans à compter de la fin de la relation contractuelle pour les contrats conclus de manière manuscrite.
Certificats	20 ans à compter de la décision de certification pour les certifications sans durée de validité ou durant la durée de validité de la certification pour les certifications avec une durée de validité
Données liées à la certification et certificats	Pendant tout le processus de certification et 5 ans à compter de la décision de certification pour les certifications sans durée de validité ou durant la durée de validité de la certification, augmentée de 5 ans pour les certifications avec une durée de validité
Comptabilité et gestion de la facturation	10 ans à compter de la clôture de l’exercice comptable.
Images de caméras de vidéoprotection	Pendant une durée d’un mois maximum et pendant la durée nécessaire en cas d’incident et d’éventuelles procédures pénales.
Données traitées dans le cadre de précontentieux et de contentieux	Pendant toute la durée du litige ou de la procédure et 5 ans à compter de la décision définitive.

Passé les délais fixés, les données sont soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques. Elles peuvent être conservées en cas de précontentieux et contentieux.

Il est rappelé que la suppression ou l’anonymisation des données sont des opérations irréversibles et que CESI n’est plus, par la suite, en mesure de les restaurer.

CESI se réserve le choix de procéder ou non à des flux transfrontières pour les données à caractère personnel qu’elle collecte et qu’elle traite.

En cas de transfert de données à caractère personnel vers un pays tiers à l’Espace économique européen (EEE) ou vers une organisation internationale, CESI s’assurera du bon respect des droits des personnes concernées.

CESI s’engage si nécessaire à signer un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données.

Les prospects, candidats et certifiés peuvent obtenir une copie de ces garanties en écrivant à l’adresse dpo@cesi.fr.

CESI se réserve le choix de procéder ou non à des flux transfrontières pour les données à caractère personnel qu’elle collecte et qu’elle traite.

Les prospects, candidats et certifiés disposent d’un droit de demander à CESI la confirmation que des données les concernant sont ou non traitées.

Les prospects, candidats et certifiés disposent également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :

la demande émane de la personne elle-même ; et
être formulée par écrit à l’adresse suivante : dpo@cesi.fr.

Les prospects, candidats et certifiés ont le droit de demander une copie de leurs données à caractère personnel faisant l’objet du traitement auprès de CESI. Toutefois, en cas de demande de copie supplémentaire, CESI pourra exiger la prise en charge financière de ce coût par les prospects et candidats.

Si les prospects, candidats et certifiés présentent leur demande de copie des données par voie électronique, les informations demandées leur seront fournies sous une forme électronique d’usage courant, sauf demande contraire.

Les prospects, candidats et certifiés sont informés que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.

Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.

CESI satisfait aux demandes de mise à jour sur demande écrite émanant de la personne elle-même qui doit éventuellement justifier de son identité.

Le droit à l’effacement des prospects, candidats et certifiés ne sera pas applicable dans les cas où le traitement est mis en œuvre pour répondre à une obligation légale.

En dehors de cette situation, les prospects, candidats et certifiés pourront demander l’effacement de leurs données dans les cas limitatifs suivants :

les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou sont traitées d’une autre manière ;
lorsque la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
la personne concernée s’oppose à un traitement nécessaire aux fins des intérêts légitimes poursuivis par CESI et qu’il n’existe pas de motif légitime impérieux pour le traitement ;

la personne concernée s’oppose à un traitement de ses données à caractère personnel à des fins de prospection, y compris au profilage ;

les données à caractère personnel ont fait l’objet d’un traitement illicite.

Conformément à la législation sur la protection des données à caractère personnel, les prospects, candidats et certifiés sont informés qu’il s’agit d’un droit individuel qui ne peut être exercé que par la personne concernée relativement à ses propres informations : pour des raisons de sécurité, le service concerné pourra donc vérifier l’identité de la personne concernée afin d’éviter toute communication d’informations confidentielles la concernant à une autre personne.

Les prospects, candidats et certifiés de CESI ont le droit d’obtenir la limitation du traitement lorsque l’un des éléments suivants s’applique :

l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant à CESI de vérifier l’exactitude des données à caractère personnel ;

le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

CESI n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

la personne concernée s’est opposée à un traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par CESI prévalent sur ceux de la personne concernée.

CESI fait droit à la portabilité des données dans le cas particulier des données communiqués par les prospects, candidats et certifiés eux-mêmes, sur des services en ligne proposés par CESI elle-même et pour les finalités reposant sur le seul consentement des personnes.

Dans ce cas, les données seront communiquées dans un format structuré, couramment utilisé et lisible par une machine.

Les prospects, candidats et certifiés disposent du droit de s’opposer à toute prospection commerciale par voie postale, téléphonique ou électronique, y compris au profilage dans la mesure où il est lié à une telle prospection.

CESI ne procède pas à des décisions individuelles automatisées.

Les prospects, candidats et certifiés sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse dpo@cesi.fr.

Les prospects, candidats et certifiés sont informés sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.

CESI se voit conférer par les prospects, candidats et certifiés un droit d’usage et de traitement de leurs données à caractère personnel pour les finalités exposées ci-dessus.

Toutefois, les données enrichies, qui sont le fruit d’un travail de traitement et d’analyse de CESI, demeurent la propriété exclusive de CESI (analyse d’usage, statistiques, etc.).

CESI informe les prospects, candidats et certifiés qu’elle pourra faire intervenir tout sous- traitant de son choix dans le cadre du traitement de leurs données à caractère personnel.

Dans ce cas, CESI s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD. CESI s’engage à signer avec tous ses sous-traitants un contrat écrit. De plus, CESI se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.

Il appartient à CESI de définir et de mettre en œuvre les mesures de sécurité techniques, physiques ou logiques qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.

Parmi ces mesures figurent principalement :

la gestion des habilitations pour l’accès aux données ;
des audits réguliers sur la conformité de la sécurité et de protection des données ;
l’utilisation d’un protocole ou de solutions de sécurité.

En cas de violation de données à caractère personnel, CESI s’engage à en notifier à la CNIL dans les conditions prescrites par le RGPD.

Si ladite violation fait porter un risque élevé pour les prospects, candidats et certifiés :

en avisera les personnes concernées ;
communiquera aux personnes concernées les informations et recommandations nécessaires.

CESI a désigné un délégué à la protection des données.

Les coordonnées du délégué à la protection des données sont les suivantes :

Nom : Monsieur Eric Barbry ;
Adresse e-mail : dpo@cesi.fr ;
Adresse postale : CESI, à l’attention du DPO, 1 avenue du Général de Gaulle, 92074 Paris La Défense.

En cas de nouveau traitement de données à caractère personnel, CESI saisira préalablement le délégué à la protection des données.

Si les personnes concernées souhaitent obtenir une information ou poser une question particulière, il leur sera possible de saisir le délégué à la protection des données qui leur donnera une réponse dans un délai raisonnable au regard de l’information requise ou de la question posée.

CESI, en tant que responsable du traitement, s’engage à tenir à jour un registre de toutes les activités de traitement effectuées.

Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en œuvre par CESI, en tant que responsable du traitement.

CESI s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.

Les prospects, candidats et certifiés concernés par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès d’une autorité de contrôle, à savoir la CNIL en France, si ceux-ci estiment que le traitement de leurs données à caractère personnel les concernant n’est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :

CNIL – Service des plaintes

3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

Tél : 01 53 73 22 22

CESI peut être amenée à modifier la présente politique, notamment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages.

Toute nouvelle version de la présente politique sera portée à la connaissance des personnes concernées par tout moyen défini par CESI, en ce compris la voie électronique (diffusion par courrier électronique ou en ligne par exemple).

La présente version a été mise à jour le 27 mars 2025.

Pour toute information complémentaire, vous pouvez contacter le DPO : dpo@cesi.fr.

Pour toute autre information plus générale sur la protection des données personnelles, vous pouvez consulter le site de la CNIL www.cnil.fr.

Données personnelles

1. PREAMBULE

2. OBJET

3. PORTEE

4. TYPES DE DONNEES COLLECTEES

5. ORIGINES DES DONNEES

6. FINALITES ET BASES LEGALES

7. DESTINATAIRES DES DONNEES – HABILITATION & TRAÇABILITE

8. DUREE DE CONSERVATION

9. FLUX TRANSFRONTIERES

10. FLUX TRANSFRONTIERES

11. DROIT DE CONFIRMATION ET DROIT D’ACCES

12. MISE A JOUR – ACTUALISATION ET RECTIFICATION

13. DROIT A L’EFFACEMENT

14. DROIT A LA LIMITATION

15. DROIT A LA PORTABILITE

16. DROIT D’OPPOSITION

17. DECISION INDIVIDUELLE AUTOMATISEE

18. DROIT POST MORTEM

19. CARACTERE FACULTATIF OU OBLIGATOIRES DES REPONSES

20. DROIT D’USAGE

21. SOUS-TRAITANCE

22. SECURITE

23. VIOLATION DE DONNEES

24. DELEGUE A LA PROTECTION DES DONNEES

25. REGISTRE DES TRAITEMENTS

26. DROIT D’INTRODUIRE UNE RECLAMATION AUPRES DE LA CNIL

27. EVOLUTION

28. POUR PLUS D’INFORMATIONS