Politique d'utilisation des données personnelles
Le CNRS s’engage ainsi à traiter les données personnelles dans le respect de la règlementation en vigueur, notamment le Règlement général (UE) 2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données ou « RGPD ») et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
Conformément aux articles 13 à 15 du RGPD, le présent document vise à informer les personnes concernées du traitement de leurs données personnelles dans le cadre des activités du CNRS nécessaires au soutien de la recherche, telles que les listes de diffusion, la gestion des événements, les partenariats, les systèmes d’information.
Ces traitements s’inscrivent dans le cadre de la mission d’intérêt public poursuivie par le CNRS en application du code de la recherche. Selon la finalité poursuivie, le traitement de données peut s’opérer au titre d’un intérêt légitime ou d’une obligation légale.
A noter que les traitements de données personnelles relatifs aux projets scientifiques réalisés par les unités de recherche du CNRS font l’objet d’une information spécifique et séparée par le responsable de traitement, disponible soit sur le site web du laboratoire, soit par le biais d’une notice individuelle. Ils ne sont donc pas décrits dans le présent document.
I. Les personnes concernées
Les personnes concernées par les traitements peuvent être :
Les agents qui sont ou ont été employés par le CNRS ;
Les agents des unités mixtes de recherche autres que ceux employés par le CNRS ;
Les personnes employées par les partenaires du CNRS ou par ses prestataires ;
Les utilisateurs des sites internet du CNRS ;
Les collaborateurs extérieurs et occasionnels du CNRS, y compris les émérites et les stagiaires ;
Les personnes extérieures au CNRS.
II. Les données collectées et les finalités associées
Plusieurs catégories de données sont collectées directement ou indirectement.
Gestion des bases de contact et listes de diffusion
- Finalités : la création de bases de contacts a pour objet la diffusion d’informations sur les activités de l’établissement, de solliciter des experts pour constituer des groupes de réflexion, de proposer des participations aux actions à l’initiative du CNRS.
- Données : les catégories de données concernées sont des données d’identification, les coordonnées professionnelles, les domaines d’expertise, les fonctions occupées, l’établissement de rattachement.
- Durées de conservation : conservation le temps de la relation avec le CNRS
Gestion des événements institutionnels et scientifiques
- Finalités : l’organisation de réunions, de manifestations scientifiques, d’ateliers de réflexion, l’organisation de concours et prix liés à la promotion de la recherche s’inscrivent dans la valorisation et la diffusion des résultats de la recherche, dans la conduite des activités de l’établissement et contribuent à la culture scientifique et technique de la société civile.
- Données : les catégories de données concernées sont des données d’identification, les coordonnées personnelles ou professionnelles pour les inscriptions aux événements, les fonctions occupées, l’établissement de rattachement.
- Durées de conservation : conservation au maximum un mois après l’événement, à l’exception des événements organisés dans des unités protégées (Zones à Régime Restrictif) pour lesquels la durée de conservation est de deux ans
Gestion des partenariats et marchés publics
- Finalités : l’environnement partenarial du CNRS induit la conclusion d’accords, de conventions et la passation d’appels d’offre et de contrats dont la gestion intègre des données personnelles, de la préparation à la signature et au suivi de la relation contractuelle.
- Données : les catégories de données concernées sont des données d’identification, les coordonnées professionnelles, la fonction occupée, les établissements de rattachement.
- Durées de conservation : conservation au plus 10 ans après la fin du contrat
Gestion des sites web administrés par le CNRS
- Finalités : la gestion du fonctionnement et de la sécurité des sites web, leur administration technique en lien avec des prestataires si besoin (tierce maintenance applicative, hébergement notamment) nécessitent des traitements de données.
- Données : les catégories de données concernées sont des données d’identification, les coordonnées professionnelles, la fonction occupée, les établissements de rattachement, les données de navigation sur les sites.
- Durées de conservation : les données de navigation sont conservées un an. Les données d’échanges avec les prestataires sont conservées 5 ans après la fin du marché
Gestion des comptes utilisateurs attachés au système d'information du CNRS
- Finalités : selon l’objet des prestations extérieures confiées à des partenaires par le CNRS, des accès temporaires au système d’information peuvent être octroyés sous la responsabilité de la direction des systèmes d’information.
- Données : les comptes utilisateurs nécessitent des données d’identification, des données de nature professionnelle (fonctions, employeurs, coordonnées), des données de connexion et celles liées à la navigation.
- Durées de conservation : les données sont supprimées à l’issue de la relation avec le CNRS
III. Les destinataires des données
Les destinataires des données sont les personnels du CNRS et membres des unités en charge des activités nécessitant le traitement des données. Celles-ci peuvent également être transmises aux prestataires auxquels le CNRS fait appel pour la réalisation d’un service défini par un marché public.
Le CNRS peut transmettre des données à caractère personnel à des destinataires extérieurs notamment pour organiser sa défense dans le cadre d’un litige, d’un contrôle ou d’une procédure engagée par une autorité de contrôle ou à des tiers autorisés.
IV. Prise de décision automatisée
Les traitements ne prévoient pas de prise de décision automatisée.
V. Mesures de sécurité
Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information (PSSI) de l’Etat applicable au CNRS. Les données sont hébergées sur le territoire de l’Union européenne.
VI. Exercice de vos droits
Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données ou les faire rectifier ou supprimer. Vous disposez également d'un droit à la limitation du traitement de vos données.
Le CNRS vous informe que, pour certains traitements, l’exercice de votre droit d’opposition ou de suppression de vos données pourra entraîner l’inaccessibilité aux fonctionnalités et activités proposées par le CNRS.
Vous pouvez exercer ces droits en vous adressant à la Déléguée à la Protection des Données (DPD) du CNRS à l’adresse suivante :
CNRS - Service protection des données, 2 rue Jean Zay, 54519 Vandoeuvre-lès-Nancy - dpd.demandes@cnrs.fr.
Si vous estimez que vos droits ne sont pas respectés, vous avez la possibilité d’introduire une réclamation en ligne auprès de la CNIL, 3 Place de Fontenoy, TSA 80715 – 75334 Paris Cedex 07 (https://www.cnil.fr/).