Enquête d'insertion professionnelle Protection des données personnelles

• Le RGPD est le Règlement Général européen de Protection des Données : il définit depuis le 25 mai 2018 les obligations de toute entreprise européenne publique ou privée en matière de protection des données personnelles.
• La Loi Informatique et Libertés est la loi française nᵒ 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : elle définit les obligations de toute entreprise française en matière de protection des données personnelles, en complément des obligations définies par le RGPD.
• La CNIL est la Commission Nationale de l’Informatique et des Libertés : elle est l’autorité administrative indépendante en charge du contrôle de la mise en œuvre du RGPD en France.
• On appelle donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom, par exemple) ou indirectement (téléphone, courriel, image, voix…), à partir d’une seule donnée (nom, par exemple) ou du croisement d’un ensemble de données (personne vivant à telle adresse, née tel jour et membre de telle association) [cf. définition de la CNIL].
• La Personne concernée est celle dont les données à caractère personnel font l’objet du traitement.
• Le Responsable de traitement est la personne qui décide de la finalité et des modalités du traitement.
• Un sous-traitant est une personne qui traite les données sur instruction du Responsable de traitement : il ne décide ni de la finalité ni des modalités du traitement.

• Le responsable de traitement est l’Association EFREI, RCS Créteil : 398 898 338, dont le siège social se situe 30-32 Avenue de la République, 94800 Villejuif.

• Le code du travail fait obligation aux établissements habilités à délivrer un titre RNCP de mesurer le taux d’insertion professionnelle de ses diplômés, l’adéquation emploi-métier et l’impact de la certification sur l’accès ou le retour à l’emploi.
• Plus généralement, cette enquête répond à la nécessité pour l’EFREI de contrôler la qualité de ses formations dans une démarche d’amélioration continue. Cette qualité est attestée par l’ensemble des labels, certifications et réseaux dont elle bénéficie : labels EESPIG (Etablissement d’enseignement supérieur privé d’intérêt général) ou EUR-ACE (European Accredited Engineer), certifications ISO 9001, CEH (Certified Ethical Hacker), France Compétences, Qualiopi, réseaux UGEI (Union des grandes écoles indépendantes), CGE (Conférence des grandes écoles), Passeport Avenir (pour l’égalité des chances), Elles Bougent (pour ouvrir davantage les métiers d’ingénieurs aux étudiantes), et bien d’autres.

L’enquête d’insertion professionnelle mise en œuvre par l’Efrei se fonde sur les bases légales suivantes :

• Mission d’intérêt public (RGPD art. 6-1e) :
  En tant qu’établissement de formation privé à but non lucratif participant aux missions de service public de l’enseignement supérieur (label EESPIG, BO n°32 du 27/08/2020, arrêté du 16/07/2020, Article L. 611-5 du Code de l’éducation), l’Efrei participe à une mission de service public.
• Obligations légales ou réglementaires (RGPD art. 6-1c) :
  L’article 3 de l’Arrêté du 4 janvier 2019, l’article L6111-8 du Code du travail (4° taux d’insertion professionnelle des sortants de l’établissement concerné, à la suite des formations dispensées) et l’article R6113-9 du Code du travail (1° analyse de l’adéquation des emplois occupés par rapport au métier occupé, 2° mesure de l’impact du projet de certification professionnelle en matière d’accès ou de retour à l’emploi – cela pour au moins 2 promotions de titulaires) définissent nos obligations.
• Intérêt légitime (RGPD art. 6-1f) :
  Il est de l’intérêt légitime de l’EFREI de maintenir ses labels de qualité, certifications et habilitations en se conformant aux exigences qui sont les leurs, en particulier : la référence 11 du référentiel de l’HCERES (Haut Conseil de l’évaluation de la recherche et de l’enseignement supérieur), les indicateurs de résultats du référentiel Qualiopi, les indicateurs G.2 Résultats de l’insertion et G.3 Vie professionnelle des diplômés du référentiel CTI et l’article 2.4.3 du Vadémécum de France Compétences.

• Identité : genre, nom, prénom(s), date de naissance, nationalité(s) ;
• Coordonnées : téléphone, courriel, adresse postale ;
• Parcours scolaire : niveau, modalités, stages, satisfaction ;
• Situation professionnelle : type d’activité, emploi, contrat, rémunération, recherche d’emploi, poursuite d’études ;
• Santé : situation de handicap (O/N).

Sont concernés par cette enquête les diplômés / certifiés au terme de formations délivrées par l’EFREI.

• Destinataires des données brutes (personnelles)
  • Destinataires internes à l’EFREI :
    • Le personnel habilité du Service Enquêtes de la Direction Qualité & KPI pour la mise en place, la réalisation et l’exploitation statistique des données ;
    • Le personnel habilité de la Direction Qualité & KPI dans sa mission d’audit interne Qualité au sens de la norme ISO 9001 ;
    • Le personnel habilité de la Direction des programmes et accréditations pour le transfert des données vers France Compétences.
  • Destinataires externes :
    • Explorance, sous-traitant pour la réalisation de l’enquête, domicilié à Montréal ;
    • France Compétences, unique instance de gouvernance nationale de la formation professionnelle et de l’apprentissage (Article 36 de la Loi 2018-771 du 5 septembre 2018) est destinataire d’un transfert de données nominatives nécessaire à l’exercice de ses missions (Article R6113-9 du Code du travail) ;
    • Les auditeurs externes pour la certification Qualiopi ont accès aux données de l’enquête à leur demande ;
    • Les auditeurs externes pour le renouvellement de la certification ISO 9001 ont accès aux données de l’enquête à leur demande.
• Destinataires de l’analyse statistique des données (anonymes)
  • Destinataires internes à l’EFREI
    • Comité de Direction (CODIR), Direction de la Formation, Conseil de perfectionnement, Conseil scientifique.
  • Destinataires externes
    • CGE (Conférence des Grandes Ecoles) ;
    • HCERES (Haut Conseil de l’évaluation de la recherche et de l’enseignement supérieur) ;
    • UGEI (Union des Grandes Ecoles Indépendantes).

• Les données de l’enquête sont conservées par l’EFREI sous la forme de données à caractère personnel pendant 3 ans afin de répondre à ses obligations. Elles sont ensuite anonymisées de façon définitive.
• Les données transférées à France Compétences sont conservées par cette dernière pendant 1 an.

Les données traitées par ou pour l’Efrei le sont en conformité avec le RGPD et la Loi informatique et libertés. Elles répondent au principe de minimisation, à savoir que seules sont traitées les données nécessaires au traitement. Elles répondent également aux principes de disponibilité, d’intégrité et de confidentialité grâce aux mesures de sécurité qui les entourent.

• Données traitées par l’Efrei :
  L’accès aux données traitées par l’Efrei est contrôlé : physiquement en ce qui concerne l’accès aux locaux (personnel dédié à la sécurité, contrôles d’accès par portillon automatique et serrures numériques, vidéosurveillance, alarmes d’intrusion et d’incendie), logiquement en ce qui concerne l’accès aux infrastructures informatiques et au système d’information (comptes protégés par mot de passe, droits définis en fonction des habilitations, transmission chiffrée des données, journalisation des transactions et supervision). Une politique d’archivage sécurisé assure la disponibilité des données en cas d’incident. Enfin juridiquement, l’accès du personnel au système d’information est soumis au strict respect de la Charte informatique de l’Efrei, notamment des règles de sécurité et de confidentialité qui y figurent.
• Données sous-traitées par Explorance :
  L’enquête est réalisée avec la solution Blue de la société Explorance. Les données y sont traitées en conformité avec le RGPD. Hébergées sur des serveurs certifiés SOC 2 Type 2 au Canada, leurs transferts sont sécurisés et s’effectuent via ftps et https (cf. Politique de confidentialité d’Explorance). Explorance n’effectue aucun traitement et ne transfert aucune donnée en dehors de ce qui est défini par l’Efrei, responsable de traitement.
• Données transférées à France Compétences :
  Elles sont traitées en conformité avec le RGPD. France Compétences est co-responsable de traitement sur cette enquête : elle définit les finalités qui lui sont propres dans le cadre des missions qui sont les siennes (cf. Politique de protection des données à caractère personnel de France Compétences).

Les données de l’enquête sont sauvegardées par la société Explorance pour le compte de l’Efrei sur des serveurs situés en dehors de l’Union européenne, à savoir au Canada. Ce pays est en adéquation partielle au RGPD. Entreprise commerciale, Explorance répond aux exigences de protection des données personnelles requises pour une adéquation reconnue par l’union Européenne (cf. Carte des pays adéquats, Commissariat à la protection de la vie privée du Canada).

Vous pouvez exercer les droits suivants sur vos données :

• Droit d’accès ;
• Droit de rectification ;
• Droit d’effacement ;
• Droit de limitation ;
• Droit d’opposition ;
• Droit de définir des directives relatives au sort des données après décès ;
• Droit de saisir la CNIL pour lui adresser une plainte ou une alerte.

Ces droits sont à exercer auprès de notre délégué à la protection des données :