a laptop with a picture of the EU flag and lock on the screen

Déclaration de confidentialité sur le traitement des données à caractère personnel dans le cadre de la procédure du portail d’apprentissage de l’Académie de l’EUIPO

La protection de votre vie privée est de la plus haute importance pour l’Office de l’Union européenne pour la propriété intellectuelle (l’«EUIPO», «nous» ou le «responsable du traitement des données»). L’Office s’engage à respecter et à protéger vos données à caractère personnel ainsi qu’à défendre vos droits en tant que personne concernée. Toutes les données à caractère personnel qui vous identifient directement ou indirectement seront traitées de manière loyale, licite et avec la diligence requise.

Ce traitement est soumis au règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE.

Les informations figurant dans la présente communication sont fournies conformément aux articles 15 et 16 du règlement (UE) 2018/1725.

La présente déclaration se rapporte au système du portail d’apprentissage de l’Académie de l’EUIPO (ci-après l’«EUIPO ALP»), c’est-à-dire le système de gestion de l’apprentissage pour la formation en ligne de l’EUIPO. Étant donné que l’EUIPO ALP contient des données à caractère personnel, le traitement de ces données relève des dispositions du règlement susmentionné.

La présente déclaration de confidentialité explique la manière dont l’EUIPO ALP utilise les données à caractère personnel de ses utilisateurs (c’est-à-dire les utilisateurs disposant d’un compte EUIPO: personnel, experts nationaux détachés, stagiaires et prestataires de services externes, utilisateurs généraux et utilisateurs du programme «Pan-European Seal») (ci-après les «utilisateurs de l’EUIPO ALP»), ainsi que les modalités de protection de la confidentialité de ces données.

 

1. Quelles sont la nature et la finalité de l’opération de traitement?

Les données à caractère personnel sont traitées aux fins suivantes:

  • planifier, organiser et promouvoir les activités de formation pour les utilisateurs de l’EUIPO ALP;
  • créer un registre contenant des informations sur l’historique des formations pour le personnel de l’EUIPO, registre qui sera disponible sur le portail des ressources humaines;
  • délivrer des certificats de participation aux différents cours;
  • recueillir les réactions des participants afin que le/la responsable du traitement des données puisse promouvoir et assurer de meilleures formations, plus efficaces, en fonction des besoins et des connaissances des participants, ainsi que des compétences nécessaires à la réalisation de leurs missions;
  • générer des données agrégées afin de déterminer et d’analyser les différents types de publics auxquels appartiennent les utilisateurs de l’EUIPO ALP et de créer des formations en matière de PI qui offrent de la valeur à ces différents publics.
  • tenir des registres sur l’activité des utilisateurs (temps d’accès, actions, etc.), qui puissent être utilisés pour résoudre les incidents liés aux utilisateurs.

L’EUIPO ALP couvre tous les besoins en matière de traitement des informations pour la gestion de la formation en ligne de l’EUIPO. Les informations de profil nécessaires sont générées au cours du processus d’enregistrement et de la création du compte sur l’EUIPO ALP. Ce compte permet à l’utilisateur/utilisatrice de s’inscrire à différents cours et les données de profil de l’utilisateur/utilisatrice sont utilisées pour suivre ses progrès. L’utilisateur/utilisatrice peut modifier ses informations de profil et demander au/à la responsable du traitement des données de les supprimer.

 

2. Quelles sont les données à caractère personnel que nous traitons?

Les types de données à caractère personnel traitées sont les suivants:

Des données à caractère personnel obligatoires sont collectés pour créer le compte utilisateur/utilisatrice:

Informations de profil: nom d’utilisateur/utilisatrice, mot de passe, prénom, nom de famille, adresse électronique, ville, pays, nationalité, date de naissance, université/centre (pour les utilisateurs du Pan-European Seal uniquement).

En outre, les données à caractère personnel non obligatoires suivantes peuvent être collectées si l’utilisateur/utilisatrice le souhaite (ces informations ne sont toutefois pas nécessaires pour créer un compte ou pour participer à un cours de formation):

autres informations de profil: fuseau horaire, case de description, photo de l’utilisateur/utilisatrice (fichier à télécharger), prénom ─ phonétique, nom ─ phonétique, deuxième prénom, autre nom, date de naissance, page web, numéro ICQ, identifiant Skype, AIM MD, identifiant Yahoo, identifiant MSN, numéro d’identification, institution, département, téléphone, téléphone mobile, adresse, code du département, code de la zone, description de la zone, code du service, description du service, code du secteur, description du secteur, activité, poste occupé par la personne, sexe, nationalité, LinkedIn, Facebook, Twitter.

Les données suivantes sont générées par le système sur la base de l’activité de l’utilisateur/utilisatrice:

  • cours auxquels l’utilisateur/utilisatrice s’est inscrit(e) sur l’EUIPO ALP, premier accès à l’EUIPO ALP (date et heure), dernier accès à l’EUIPO ALP (date et heure);
  • commentaires publiés par les utilisateurs dans les forums et messages;
  • journal des connexions et données de connexion des utilisateurs (par exemple IP, date, heure);
  • résultats obtenus et date d’achèvement;
  • certificats d’achèvement;
  • résultats de l’enquête.

En outre, les informations de profil suivantes sont traitées pour les utilisateurs de l’EUIPO ALP qui ont également un compte enregistré sur le site web de l’EUIPO, afin de générer des données agrégées: Identifiant pseudonyme du client/de la cliente, segment du client/de la cliente, a des relations commerciales avec l’EUIPO, catégorie d’utilisateur/utilisatrice [représentant(e)/titulaire]; langue préférée/type d’utilisateur/utilisatrice.

3. Qui est responsable du traitement des données?

Le traitement des données à caractère personnel relève de la responsabilité du directeur/de la directrice du département «Académie», agissant en qualité de responsable délégué(e) du traitement des données de l’EUIPO.

Les données à caractère personnel sont traitées par le personnel de l’EUIPO intervenant dans la gestion de l’EUIPO ALP, aussi bien du département «Académie» que du département «Transformation numérique».

Les contractants externes intervenant dans la maintenance de l’EUIPO ALP et les formateurs peuvent également avoir accès aux données à caractère personnel pertinentes.

Tous les traitements de données à caractère personnel sont dûment notifiés à la déléguée/au délégué à la protection des données (DPD) de l’EUIPO et, le cas échéant, au Contrôleur européen de la protection des données.

 

4. Qui a accès à vos données à caractère personnel et à qui sont-elles divulguées?

Les utilisateurs n’ont pas tous les mêmes droits d’accès aux données à caractère personnel. Le profil de chaque utilisateur/utilisatrice (fonction et responsabilité) permet de déterminer le besoin d’en connaître et le droit de l’utilisateur/utilisatrice d’accéder à des ensembles de données spécifiques sur la base d’un rôle de système donné.

Les données à caractère personnel sont divulguées aux destinataires suivants:

  • Le personnel de l’Académie de l’EUIPO intervenant dans la gestion de l’EUIPO ALP a accès aux données.
  • Le personnel du département «Ressources humaines» de l’EUIPO intervenant dans la migration des cours achevés vers le portail des ressources humaines a accès aux données, qui doivent être traitées selon les modalités indiquées ici. Ces informations sont également mises à la disposition des supérieurs hiérarchiques du personnel de l’EUIPO.
  • Le département «Transformation numérique» de l’EUIPO, en tant que sous-traitant interne dans son rôle de gestionnaire d’applications et de fournisseur de données agrégées, a accès aux données.
  • En tant que sous-traitant externe fournissant des services au département «Ressources humaines» (services de conseil liés à l’EUIPO ALP), Capgemini peut avoir accès aux données.
  • En tant que sous-traitants externes fournissant des services au département «Transformation numérique» (administration et questions relatives à l’EUIPO ALP), Fujitsu Technology Solutions NV/SA et INTRASOFT ont accès aux données à caractère personnel selon le principe du besoin d’en connaître.
  • En tant que sous-traitant externe fournissant des services au Département de l’Académie, exclusivement pour les cours de langues, English World Center S.L., a accès aux données personnelles sur la base du strict besoin d’en connaître.
  • Skillsoft, Videoarts et Panopto, en tant que sous-traitants externes fournissant des services au Département de l’Académie exclusivement pour le contenu e-learning, ont accès aux données personnelles suivantes: prénom, nom et nom d’utilisateur/utilisatrice, nom complet, fonction et enregistrements des intervenant(e)s.
  • Le département «Infrastructures et bâtiments» de l’EUIPO, en tant que sous-traitant interne, et Pomilio Blumm, en tant que sous-traitant externe fournissant des services au département «Infrastructures et bâtiments» (IBD), comme décrit dans le DPR-2019-007.
  • Dans certains cours de l’EUIPO ALP, les noms d’utilisateur/utilisatrice, les noms et les prénoms des participant(e)s sont divulgués aux autres participant(e)s du même cours.
  • Dans certains cours de l’EUIPO ALP, d’autres départements de l’EUIPO peuvent avoir accès à des données rendues anonymes, extraites d’enquêtes sur les cours, sur la base du besoin d’en connaître.
  • Les données ne seront communiquées qu’aux personnes autorisées responsables des traitements correspondants. Les données ne sont pas utilisées à d’autres fins ni divulguées à d’autres destinataires.

 

5. Comment assurons-nous la protection et la sauvegarde des informations vous concernant?

Nous prenons les mesures techniques et organisationnelles appropriées pour préserver et protéger vos données à caractère personnel contre la destruction, la perte ou la modification accidentelle ou illicite, ainsi que la divulgation ou l’accès non autorisés.

Toutes les données à caractère personnel relatives à l’EUIPO ALP sont stockées dans des applications informatiques sécurisées conformément aux normes de sécurité de l’Office. Celles-ci incluent:

  • le contrôle d’accès aux systèmes et au réseau fondé sur les fonctions;
  • le renforcement de la sécurité logique des systèmes, des équipements et des réseaux;
  • la protection physique par l’intermédiaire d’un centre sécurisé de protection des données.

Les mesures de sécurité sont régulièrement passées en revue par des auditeurs externes (ISO 27001 et SOC 2).

Les données sont stockées dans le système de gestion du contenu (EUIPO ALP - Moodle) sur un serveur de base de données (MySql) ainsi que dans PER (MariaDB) pour les données relatives aux segments de clientèle et dans LDAP (ORACLE DB) pour les données extraites des comptes d’utilisateurs du site web de l’EUIPO, conformément aux normes de sécurité de l’Office.

  • Les informations sont stockées dans des serveurs à sécurité renforcée répondant à des mesures de contrôle d’accès et protégés par un nom d’utilisateur/utilisatrice et un mot de passe. L’accès anonyme ne sera pas autorisé.
  • Le processus d’authentification et d’autorisation pour consulter les informations et y accéder est fondé sur les rôles.
  • L’accès à l’EUIPO ALP pour les rôles avec autorisation de consulter les données à caractère personnel est limité par un nom d’utilisateur/utilisatrice et un mot de passe et est soumis à validation préalable par le département «Académie».
  • les serveurs sont protégés physiquement au sein du centre de protection des données.
  • Une configuration de sécurité des réseaux est mise en place pour empêcher des menaces externes d’accéder aux serveurs.

 

6. Comment pouvez-vous accéder à vos données à caractère personnel et, le cas échéant, les corriger? Comment pouvez-vous recevoir vos données? Comment pouvez-vous demander que vos données à caractère personnel soient effacées, ou limiter leur traitement ou vous y opposer?

Vous avez le droit d’accéder à vos données à caractère personnel, de les rectifier, de les effacer et de les recevoir, ainsi que d’en limiter le traitement ou de vous y opposer, conformément aux articles 17 à 24 du règlement (UE) 2018/1725.

Si vous souhaitez exercer l’un de ces droits, veuillez envoyer une requête écrite mentionnant explicitement votre demande au responsable délégué du traitement des données, à savoir le directeur/la directrice du département «Académie» de l’EUIPO, à l’adresse suivante: Academy@euipo.europa.eu.

Une réponse sera apportée à votre demande dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à compter de sa réception. Toutefois, conformément à l’article 14, paragraphe 3, du règlement (UE) 2018/1725, au besoin, cette période peut être prolongée de deux mois au maximum en fonction de la complexité des demandes et de leur nombre. L’Office vous informera de cette prolongation dans un délai d’un mois à compter de la réception de la demande, en vous précisant les motifs du retard.

 

7. Quelle est la base juridique qui régit le traitement de vos données?

Les données à caractère personnel sont traitées conformément à l’article 5, paragraphe 1, point a), du règlement (UE) nº 2018/1725.

Les données à caractère personnel sont collectées et traitées conformément aux instruments juridiques suivants: article 24 bis du statut des fonctionnaires de l’Union européenne, article 151, paragraphe 1, du règlement (UE) 2017/1001 sur la marque de l’Union européenne et article 9 de la décision nº ADM‑17‑66 concernant la structure interne de l’Office.

 

8. Combien de temps les données peuvent-elles être conservées?

Les données à caractère personnel ne seront conservées que pendant le temps nécessaire pour atteindre la finalité pour laquelle elles sont traitées.

Pour les utilisateurs généraux et les utilisateurs du programme «Pan-European Seal» (utilisateurs ne disposant pas d’un compte EUIPO institutionnel), les données sont conservées aussi longtemps que l’utilisateur/utilisatrice dispose d’un compte actif. L’EUIPO supprimera le compte au terme d’une période d’inactivité de 10 ans ou si l’utilisateur/utilisatrice demande la résiliation de son compte.

Les données personnelles extraites du site web de l’EUIPO et utilisées pour générer des statistiques agrégées seront conservées comme prévu dans le DPR-2019-021 . Une fois les données du site web de l’EUIPO effacées, il ne sera pas possible de les relier à l’utilisateur/utilisatrice de l’EUIPO ALP concerné(e).

Pour les utilisateurs de l’EUIPO (utilisateurs disposant d’un compte EUIPO institutionnel), le compte restera actif tant qu’il existera une relation contractuelle avec l’EUIPO. Toutes les données seront effacées deux mois après la fin du contrat.

En cas de recours formel, toutes les données détenues au moment du recours seront conservées jusqu’à l’achèvement de la procédure de recours.

 

9. Quels cookies sont utilisés sur notre site web?

Les cookies sont des petits fichiers texte envoyés par un serveur de site web et stockés sur votre appareil (ordinateur, tablette, téléphone).

Lorsque vous visitez notre site web, nous utilisons des cookies pour la gestion et l’authentification des sessions en ligne, ainsi que pour la sécurité du navigateur. Les cookies sont également utilisés pour garantir un bon fonctionnement technique du site web, et ils nous aident à stocker les préférences des utilisateurs et utilisatrices et à suivre leurs pratiques de navigation sur une base agrégée. À cette fin, nous pouvons collecter certaines données sur vos sessions de navigation, telles que votre adresse IP, votre type de navigateur, votre langue et la taille de votre écran, la page que vous avez consultée, l’heure et la date de la consultation et la page du site web depuis laquelle vous avez été redirigé.

Ces informations sont utilisées pour rassembler des statistiques agrégées et anonymes en vue d’améliorer nos services et votre confort d’utilisation. Aucun cookie ne requiert votre consentement. La collecte, l’agrégation et l’anonymisation de ces données sont effectuées dans le centre de données de l’EUIPO, dans le respect de mesures de sécurité adéquates.

Notre site web comporte également l’option «Do Not Track» («ne pas suivre»). Si vous activez l’option DNT dans votre navigateur web, nous respecterons votre choix et vos activités de navigation sur notre site web ne seront pas suivies pour alimenter nos statistiques à caractère anonyme. Vous trouverez ci-dessous les instructions sur la façon d’activer cette option:

Firefox

Internet Explorer

Chrome

Safari

Opera

10. Coordonnées de contact

Pour toute question concernant le traitement de vos données à caractère personnel: 

  • Si vous faites partie du personnel de l’EUIPO, veuillez adresser vos questions au responsable du traitement des données (le directeur/la directrice de l’Académie), à l’adresse suivante: Academy@euipo.europa.eu
  • Si vous êtes un utilisateur/une utilisatrice externe, veuillez adresser vos questions à DPOexternalusers@euipo.europa.eu

Vous pouvez également vous adresser à la déléguée à la protection des données (DPD) de l’EUIPO à l’adresse suivante: DataProtectionOfficer@euipo.europa.eu

 

Voies de recours

Si le/la responsable du traitement des données et/ou le/la DPD n’ont pas répondu à votre demande de manière adéquate, vous pouvez introduire une réclamation auprès du Contrôleur européen de la protection des données à l’adresse suivante: edps@edps.europa.eu