Déclaration de confidentialité

a laptop with a picture of the EU flag and lock on the screen

Déclaration de confidentialité relative au traitement de données à caractère personnel dans le cadre de la procédure du Portail d’apprentissage de l’Académie de l’EUIPO

La protection de votre vie privée est de la plus haute importance pour l’Office de l’Union européenne pour la propriété intellectuelle (ci-après l’«EUIPO», «nous» ou le «responsable du traitement»). L’Office a à cœur de respecter et protéger vos données à caractère personnel, ainsi que de défendre vos droits en tant que personne concernée. Toutes les données à caractère personnel qui vous identifient directement ou indirectement seront traitées loyalement, licitement et avec la diligence requise.

Ce traitement est soumis au règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE.

Les informations figurant dans la présente communication sont fournies conformément aux articles 15 et 16 du règlement (UE) 2018/1725.

La présente déclaration se rapporte au système du portail d’apprentissage de l’Académie de l’EUIPO (ci-après le «PAA de l’EUIPO»), c’est-à-dire le système de gestion de l’apprentissage pour la formation en ligne de l’EUIPO. Étant donné que le PAA de l’EUIPO contient des données à caractère personnel, le traitement de ces données relève des dispositions du règlement susmentionné.

La présente déclaration de confidentialité explique la manière dont le PAA de l’EUIPO utilise les données à caractère personnel de ses utilisateurs (c’est-à-dire les utilisateurs disposant d’un compte EUIPO: personnel, experts nationaux détachés, stagiaires et prestataires de services externes, utilisateurs généraux et utilisateurs du programme «Label paneuropéen») (ci-après les «utilisateurs du PAA de l’EUIPO»), ainsi que les modalités de protection de la confidentialité de ces données.

 

1. Quelles sont la nature et la finalité du traitement?

Les données à caractère personnel sont traitées aux fins suivantes:

  • planifier, organiser et promouvoir les activités de formation pour les utilisateurs du PAA de l’EUIPO;
  • créer un registre contenant des informations sur l’historique des formations pour le personnel de l’EUIPO, registre qui sera disponible sur le portail des ressources humaines;
  • délivrer des certificats de participation aux différents cours;
  • recueillir les réactions des participants afin que le responsable du traitement puisse promouvoir et assurer de meilleures formations, plus efficaces, en fonction des besoins et des connaissances des participants, ainsi que des compétences nécessaires à la réalisation de leurs missions;
  • tenir des registres sur l’activité des utilisateurs (temps d’accès, actions, etc.), qui puissent être utilisés pour résoudre les incidents liés aux utilisateurs.

Le PAA de l’EUIPO couvre tous les besoins en matière de traitement des informations pour la gestion de la formation en ligne de l’EUIPO. Les informations de profil nécessaires sont générées au cours du processus d’enregistrement et de la création du compte sur le PAA de l’EUIPO. Ce compte permet à l’utilisateur de s’inscrire à différents cours et les données de profil de l’utilisateur sont utilisées pour suivre ses progrès. L’utilisateur peut modifier ses informations de profil et demander au responsable du traitement de les supprimer.

 

2. Quelles sont les données à caractère personnel que nous traitons?

Les types de données à caractère personnel traitées sont les suivants:

Des données à caractère personnel obligatoires sont collectées pour créer le compte utilisateur:

informations de profil: nom d’utilisateur, mot de passe, prénom, nom, adresse électronique, ville, pays, nationalité, date de naissance.

En outre, les données à caractère personnel non obligatoires suivantes peuvent être collectées si l’utilisateur le souhaite (ces informations ne sont toutefois pas nécessaires pour créer un compte ou pour participer à un cours de formation):

autres informations de profil: fuseau horaire, case de description, photo de l’utilisateur (fichier à télécharger), prénom ─ phonétique, nom ─ phonétique, deuxième prénom, autre nom, date de naissance, page web, numéro ICQ, identifiant Skype, AIM MD, identifiant Yahoo, identifiant MSN, numéro d’identification, institution, département, téléphone, téléphone mobile, adresse, code du département, code de la zone, description de la zone, code du service, description du service, code du secteur, description du secteur, activité, poste du salarié, sexe, nationalité, LinkedIn, Facebook, Twitter, université/centre.

Enfin, les données suivantes sont générées par le système sur la base de l’activité de l’utilisateur:

  • cours auxquels l’utilisateur s’est inscrit sur le PAA de l’EUIPO, premier accès au PAA de l’EUIPO (date et heure), dernier accès au PAA de l’EUIPO (date et heure);
  • commentaires publiés par les utilisateurs dans les forums et messages;
  • journaux, données de connexion des utilisateurs (par exemple IP, date, heure);
  • résultats obtenus et date d’achèvement;
  • certificats d’achèvement;
  • résultats de l’enquête.

 

3. Qui est responsable du traitement des données?

Le traitement des données à caractère personnel relève de la responsabilité du directeur du département «Académie», agissant en qualité de responsable délégué du traitement des données de l’EUIPO.

Les données à caractère personnel sont traitées par le personnel de l’EUIPO intervenant dans la gestion du PAA de l’EUIPO, aussi bien du département «Académie» que du département «Transformation numérique».

Les contractants externes intervenant dans la maintenance du PAA de l’EUIPO et les formateurs peuvent également avoir accès aux données à caractère personnel pertinentes.

Tous les traitements de données à caractère personnel sont dûment notifiés au délégué à la protection des données (DPD) de l’EUIPO et, le cas échéant, au Contrôleur européen de la protection des données.

 

4. Qui a accès à vos données à caractère personnel et à qui sont-elles divulguées?

Les utilisateurs n’ont pas tous les mêmes droits d’accès aux données à caractère personnel. Le profil de chaque utilisateur (fonction et responsabilité) permet de déterminer le besoin d’en connaître et le droit de l’utilisateur d’accéder à des ensembles de données spécifiques sur la base d’un rôle de système donné.

Les données à caractère personnel sont divulguées aux destinataires suivants:

  • Le personnel de l’Académie de l’EUIPO intervenant dans la gestion du PAA de l’EUIPO a accès aux données.
  • Le personnel du département «Ressources humaines» de l’EUIPO intervenant dans la migration des cours achevés vers le portail des ressources humaines a accès aux données, qui doivent être traitées selon les modalités indiquées ici. Ces informations sont également mises à la disposition des supérieurs hiérarchiques du personnel de l’EUIPO.
  • En tant que sous-traitant interne exerçant la fonction de gestionnaire des applications, le département «Transformation numérique» de l’EUIPO a accès aux données.
  • En tant que sous-traitant externe fournissant des services au département «Ressources humaines» (services de conseil liés au PAA de l’EUIPO), Deloitte peut avoir accès aux données.
  • En tant que sous-traitants externes fournissant des services au département «Transformation numérique» (administration et questions relatives au PAA de l’EUIPO), IECISA-ALTIA et INTRASOFT ont accès aux données à caractère personnel selon le principe du besoin d’en connaître.
  • En tant que sous-traitant externe fournissant des services au département «Académie» exclusivement pour des cours de langues, Linguarama Iberica S.A. a accès aux données à caractère personnel selon le principe du besoin d’en connaître.
  • Le département «Infrastructures et bâtiments» de l’EUIPO, en tant que sous-traitant interne, et Pomilio Blumm, en tant que sous-traitant externe fournissant des services à IBD, comme décrit dans DPN-2017-042.
  • Dans le cadre de certains cours de l’ALP, les noms d’utilisateur, les prénoms ainsi que les noms de famille des participants sont divulgués aux autres participants du même cours.
  • Les données ne seront communiquées qu’aux personnes autorisées responsables des traitements correspondants. Les données ne sont utilisées pour aucune autre finalité et ne sont divulguées à aucun autre destinataire.

 

5. Comment protégeons-nous et préservons-nous vos informations?

Nous prenons les mesures techniques et organisationnelles appropriées pour préserver et protéger vos données à caractère personnel contre la destruction, la perte ou la modification accidentelle ou illicite, ainsi que la divulgation ou l’accès non autorisés.

Toutes les données à caractère personnel relatives au PAA de l’EUIPO sont stockées dans des applications informatiques sécurisées conformément aux normes de sécurité de l’Office. Celles-ci incluent:

  • le contrôle d’accès fondé sur les rôles aux systèmes et au réseau;
  • le renforcement de la sécurité logique des systèmes, des équipements et du réseau;
  • la protection physique par l’intermédiaire d’un centre sécurisé de protection des données.

Les mesures de sécurité sont régulièrement passées en revue par des auditeurs externes (ISO 27001 et SOC 2).

Les données sont stockées dans le système de gestion des contenus (PAA de l’EUIPO) sur un serveur de bases de données (MySql) conformément aux normes de sécurité de l’Office.

  • Les informations sont stockées dans des serveurs à sécurité renforcée répondant à des mesures de contrôle d’accès et protégés par un nom d’utilisateur et un mot de passe. L’accès anonyme ne sera pas autorisé.
  • Le processus d’authentification et d’autorisation pour consulter les informations et y accéder est fondé sur les rôles.
  • L’accès au PAA de l’EUIPO pour les rôles autorisés à consulter les données à caractère personnel est limité par un nom d’utilisateur et un mot de passe et est soumis à validation préalable par le département «Académie».
  • Les serveurs sont physiquement protégés au sein du centre de protection des données.
  • Une configuration de sécurité des réseaux est mise en place pour empêcher des menaces externes d’accéder aux serveurs.

 

6. Comment pouvez-vous accéder à vos données à caractère personnel et, le cas échéant, les corriger? Comment pouvez-vous recevoir vos données? Comment pouvez-vous demander que vos données à caractère personnel soient effacées, ou limiter leur traitement ou vous y opposer?

Vous avez le droit d’accéder à vos données à caractère personnel, de les rectifier, de les effacer et de les recevoir, ainsi que d’en limiter le traitement ou de vous y opposer, conformément aux articles 17 à 24 du règlement (UE) 2018/1725.

Si vous souhaitez exercer l’un de ces droits, veuillez envoyer une requête écrite mentionnant explicitement votre demande au responsable délégué du traitement des données, à savoir le directeur du département «Académie» de l’EUIPO, à l’adresse suivante: Academy@euipo.europa.eu.

Il sera répondu à votre demande dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à compter de sa réception. Toutefois, conformément à l’article 14, paragraphe 3, du règlement (UE) 2018/1725, au besoin, cette période peut être prolongée de deux mois au maximum, compte tenu de la complexité et du nombre de demandes. L’Office vous informera de cette prolongation ainsi que des motifs du report dans un délai d’un mois à compter de la réception de la demande.

 

7. Quelle est la base juridique qui régit le traitement de vos données?

Les données à caractère personnel sont traitées conformément à l’article 5, paragraphe 1, point a), du règlement (UE) nº 2018/1725.

Les données à caractère personnel sont collectées et traitées conformément aux instruments juridiques suivants: article 24 bis du statut des fonctionnaires de l’Union européenne, article 151, paragraphe 1, du règlement (UE) 2017/1001 sur la marque de l’Union européenne et article 9 de la décision nº ADM‑17‑66 concernant la structure interne de l’Office.

 

8. Combien de temps les données peuvent-elles être conservées?

Les données à caractère personnel ne seront conservées que pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées.

Pour les utilisateurs généraux et les utilisateurs du programme «Label paneuropéen» (utilisateurs ne disposant pas d’un compte EUIPO institutionnel), les données sont conservées aussi longtemps que l’utilisateur dispose d’un compte actif. L’EUIPO supprimera le compte au terme d’une période d’inactivité de 10 ans ou si l’utilisateur demande la résiliation de son compte.

Pour les utilisateurs de l’EUIPO (utilisateurs disposant d’un compte EUIPO institutionnel), le compte restera actif tant qu’il existera une relation contractuelle avec l’EUIPO. Toutes les données seront effacées deux mois après la fin du contrat.

En cas de recours formel, toutes les données détenues au moment du recours seront conservées jusqu’à l’achèvement de la procédure de recours.

 

9. Quels cookies sont utilisés sur notre site web?

Les cookies sont des petits fichiers texte envoyés par un serveur de site web et stockés sur votre appareil (comme un ordinateur, une tablette ou un téléphone).

Lorsque vous visitez notre site web, nous utilisons des cookies pour la gestion et l’authentification des sessions en ligne, ainsi que pour la sécurité du navigateur. Les cookies sont également mis en œuvre pour garantir un bon fonctionnement technique du site web, et ils nous aident à stocker les préférences des utilisateurs et à suivre leurs pratiques de navigation sur une base agrégée. À cette fin, nous pouvons collecter certaines données sur vos sessions de navigation, telles que votre adresse IP, votre type de navigateur, votre langue et la taille de votre écran, la page que vous avez consultée, l’heure et la date de la consultation et la page du site web depuis laquelle vous avez été redirigé.

Ces informations sont utilisées pour rassembler des statistiques agrégées et anonymes en vue d’améliorer nos services et votre expérience utilisateur. Aucun cookie ne requiert votre consentement. La collecte, l’agrégation et l’anonymisation de ces données sont effectuées dans le centre de données de l’EUIPO, dans le respect de mesures de sécurité adéquates.

Notre site web comporte également l’option «Do Not Track» («ne pas suivre»). Si vous activez l’option DNT dans votre navigateur web, nous respecterons votre choix et vos activités de navigation sur notre site web ne seront pas suivies pour alimenter nos statistiques à caractère anonyme. Vous trouverez ci-dessous les instructions sur la façon d’activer cette option:

Firefox

Internet Explorer

Chrome

Safari

Opera

10. Coordonnées de contact

Pour toute question concernant le traitement de vos données à caractère personnel:

  • Si vous faites partie du personnel de l’EUIPO, veuillez adresser vos questions au responsable du traitement des données (le directeur de l’Académie), à l’adresse suivante: Academy@euipo.europa.eu
  • Si vous êtes un utilisateur externe, veuillez adresser vos questions à DPOexternalusers@euipo.europa.eu

Vous pouvez également consulter le délégué à la protection des données de l’EUIPO à l’adresse suivante: DataProtectionOfficer@euipo.europa.eu

 

Voies de recours

Si le responsable du traitement et/ou le délégué à la protection des données (DPD) n’ont pas répondu à votre demande de manière adéquate, vous pouvez introduire une réclamation auprès du Contrôleur européen de la protection des données à l’adresse suivante: edps@edps.europa.eu

Last modified: Wednesday, 5 August 2020, 6:20 PM