Politique de confidentialité

La présente politique de confidentialité détaille la politique de l’Ecole normale supérieure (ENS) en matière de protection des données personnelles. Elle vise à vous fournir une information concise, claire, et complète sur les traitements de données personnelles qui sont mises en œuvre par l’ENS.
La politique de confidentialité est applicable à l’ensemble des personnes visées par les traitements des données, notamment celles qui visitent le site de l’Ecole ou qui utilisent les services de gestion de l’établissement.

L’ENS s’engage à protéger la vie privée des utilisateurs en conformité avec les exigences légales et notamment la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (dite loi « Informatique et Libertés ») et le règlement européen 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « règlement général sur la protection des données » ou « RGPD »).

Cet engagement de l’ENS vers une « maturité numérique » se fera de manière progressive, par étape, en cohérence avec les objectifs stratégiques poursuivis par l’Ecole.
Ainsi, notre objectif de poursuite de la politique d’ouverture de l’Ecole nous amène à inscrire, au titre de la première phase RGPD, l’analyse des traitements de notre site internet, car il constitue la vitrine de l’ENS auprès du grand public.

A ce jour, notre politique de confidentialité couvre donc :

  • le traitement réalisé dans le cadre de la promotion des contenus du site internet de l’école.

La politique de confidentialité est accessible sur le site de l’ENS, l’ENS se réserve le droit de la modifier à tout moment.

Pour ce traitement, l’ENS est l’entité qui détermine les moyens et les finalités et agit en qualité de responsable de traitement au sens de la réglementation.

L’ENS fait référence à l’Ecole normale supérieure, établissement public à caractère scientifique, culturel et professionnel, dont le siège est situé au 45 rue d’Ulm, 75230 Paris cedex 05, représenté par M. Marc Mézard, en sa qualité de directeur.

I. Généralités applicables à l’ensemble des traitements mis en œuvre par l’ENS

Cette partie vous informe des objectifs poursuivis par l’ENS sur l’application des principes fondamentaux concernant la protection de données personnelles.

1.1 Minimisation des données collectées

Chaque formulaire tend à limiter le nombre de données collectées et indique la finalité associée au recueil des données. Les données indispensables sont indiquées par un astérisque. Sans ces données, l’ENS ne pourra fournir le service explicité. Les autres données sont utilisées à des fins statistiques, notamment pour améliorer le service que nous vous proposons.

1.2 Partage des données avec un tiers, transfert des données hors de l’Union européennes et garanties associées

Nous ne partageons pas les données collectées avec un tiers à des fins de prospections commerciales.

Nous vous indiquons, dans la partie suivante (II. traitement mis en œuvre par l’ENS), les destinataires internes à l’ENS des données recueillies.

Par ailleurs, vos données peuvent être communiqués à un sous-traitant, choisi pour sa compétence et sa fiabilité, dans le but de vous proposer des services en notre nom.

Il s’agit par exemple de sous-traitants mettant à notre disposition des outils nous permettant de diffuser à grande échelle par voie électronique une information régulière (newsletter).

Ces sous-traitant doivent faire partie de l’Union européenne, et peuvent faire partie d’autre pays qui présentent des conditions de protection des données reconnues comme adéquates par la commission européenne (cas du « Privacy Shield » au Etats-Unis).

L’accès des sous-traitants aux données sera conforme aux obligations et consignes de l’ENS et limité à la réalisation du service demandé.

1.3 Sécurité de vos données

L’ENS met en œuvre des mesures techniques et organisationnelles pour assurer la sécurité de la confidentialité des données personnelles que nous collectons, et que nous transmettons à nos sous-traitants, le cas échéant.

Les mesures techniques mises en œuvre recouvrent notamment :

  • le contrôle de l’accès aux locaux hébergeant les serveurs : restriction d’accès aux seules personnes habilitées,
  • les outils de lutte contre les intrusions extérieures dans le réseau (firewall, anti-virus),
  • la politique de mot de passe répondant à des exigences de sécurité (caractères spéciaux, nombre de caractères, etc.),
  • la protection dans la transmission des données via des flux sécurisés (TSL/SSL, HTTPS, SFTP, etc.),
  • la gestion des droits d'accès suivant le principe de moindre privilège,
  • lorsque la solution technique le permet, chiffrement des données et/ou pseudonymisation (mécanisme masquant l’identité réelle de l’utilisateur en y associant un pseudonyme)

Les mesures organisationnelles mises en œuvre, quant à elles, sont les suivantes :

  • adoption d'une charte informatique et d'une politique de sécurité des systèmes d'information (PSSI),
  • instauration d'une politique de confidentialité et tenue du registre des activités de traitement,
  • sensibilisation et formation du personnel aux mesures à mettre en place pour assurer la sécurité.

II. Traitements mis en œuvre par l’ENS

Au sein de cette partie, chaque traitement identifié par l’ENS fait l’objet d’une description identique, visant à expliciter : la finalité poursuivie et la base juridique associée, les données collectées, les destinataires internes, la durée de conservations des données, les droits des personnes concernées, ainsi que d’expliciter s’il existe un transfert des données vers un pays hors Union européenne, ainsi que les garanties associées.

Cette partie évoluera au fur et à mesure de l’évolution des traitements identifiés par l’ENS, en fonction des thématiques prioritaires explicitées plus haut, et feront systématiquement l’objet d’une mise à jour du présent document.

II.1. Traitement relatif à la promotion des contenus du site internet de l’école.

II.1.1 Finalité du traitement de données et base juridique

L’ENS recueille et traite les données personnelles ayant pour finalité de faire connaître les contenus du site internet de l’école en envoyant une newsletter. Ce traitement est réalisé sur la base du consentement.

II.1.2. Caractère obligatoire ou facultatif du recueil des données

Les données recueillies concernent vos données d’identification et générique : civilité, nom, prénom, adresse mail, fonction ou statut. Les données obligatoires sont précisées par un astérisque. L’inscription à la newsletter est conditionnée à la transmission de toutes les données obligatoires.

II.1.3. Destinataire interne des données

En interne à l’ENS, vos données sont transmises au responsable du pôle communication. Le centre de ressources informatiques peut accéder à vos données.

II.1.4 Durée de conservation des données

Les données sont conservées pendant toute la durée nécessaire à l’envoi de la newsletter. Un lien présent sur chaque newsletter permet un désabonnement immédiat.

Les données recueillies antérieurement au consentement défini par le RGPD, et n’ayant ni fait l’objet d’un consentement ou d’une suppression de traitement, sont considérées comme des données de prospect et sont conservées dans la limite de 3 ans, comme le recommande la CNIL.

II.1.5. Droits des personnes concernées

Vous disposez d’un droit d’accès, de rectification, d’effacement, d’information, de limitation et de portabilité relatif à vos données collectées. Vous pouvez exercer vos droits en contactant le pôle communication de l’ENS :

  • Par mail à l’adresse suivante : com@ens.fr
  • Par courrier à l’adresse suivante : ENS, Direction - Pôle Communication, 45 rue d’Ulm, 75230 Paris cedex 05

Une preuve d’identité pourra être demandée par l’ENS avant de répondre à votre demande.

II.1.6 Transfert des données dans un pays hors Union européenne et garanties associées

Pour faire connaître le site internet de l’école, nous transmettons vos informations à un sous-traitant basé en dehors de l’Union Européenne, aux Etats-Unis. Ce sous-traitant est une référence internationale en tant que support de diffusion pour ce type d’information, et est largement utilisé au sein de la communauté de l’enseignement supérieur et de la recherche.

Ce sous-traitant est inscrit au registre du « Privacy Shield » (Bouclier de protection des données), reconnu par la commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées de l’Europe vers les Etats-Unis.

III. Contactez notre délégué à la protection des données

Pour exercer vos droits ou pour toute question relative au traitement de vos données, vous pouvez contacter, en plus du destinataire interne des données précisé plus haut, notre délégué à la protection des données :

  • Par mail à l’adresse suivante : donnees.personnelles@ens.fr,
  • Par courrier à l’adresse suivante : ENS, Direction générale des services - Délégué à la Protection des données, 45 rue d’Ulm, 75230 Paris cedex 05

Une preuve d’identité pourra être demandée par l’ENS avant de répondre à votre demande.

Par ailleurs, vous avez la possibilité d’adresser une réclamation, auprès de la Commission Nationale de l’Informatique et des Libertés, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, au sujet des traitements effectués par l’ENS.

 

Mis à jour le 23/4/2019