Protection des Données à Caractère Personnel
Version 1.2 du 6 octobre 2021.
Préambule
En tant qu'organisme de formation ou organisme certificateur, vous manipulez des données personnelles et vous devez être en conformité avec le Règlement Général sur la Protection des Données (RGPD). Ce règlement européen entré en application le 25 Mai 2018 vous impose alors de mettre en place une politique responsable de collecte, de gestion et de traitement des données personnelles, notamment auprès de vos apprenants et candidats aux certifications. Dans votre démarche de conformité RGPD, le choix des outils numériques utilisés est très important. Afin de répondre à cet enjeu, Wedof vous aide à être conforme vis à vis des données personnelles que vous manipulez au travers de notre plateforme. Wedof est en outre conforme au RGPD concernant les données personnelles de l'Abonné.
Données personnelles de l'Abonné
Afin de constituer le compte de l'Abonné et dans le but d'assurer les services de support, d'assistance et les besoins administratif, l'Abonné doit fournir le nom, prénom, l'adresse email et optionellement le numéro de téléphone d'une personne référente. Lorsque l'Abonné intéragit avec les données de la plateforme EDOF au travers de Wedof, Wedof transmet à EDOF l'adresse IP d'origine de la demande. La base légale est le consentement de la personne à la collecte de ses données personnelles pour lui permettre de bénéficier des Services. Wedof met tout en œuvre afin d’assurer la sécurité de ces données personnelles et de les protéger contre l’altération, la perte accidentelle ou illicite, et l’utilisation, la divulgation ou l’accès non autorisé. Wedof a en outre désigné un délégué à la protection des données : rgpd@wedof.fr.
À l'expiration du Contrat, Wedof s'engage à détruire ces données personnelles dans un délai de 30 jours suivant ladite expiration.
Données à Caractère Personnel manipulées pour le compte de l'Abonné
Dans le cadre du Contrat entre les Parties, Wedof, en qualité de sous-traitant, est amené à traiter ces Données à Caractère Personnel pour le compte de l'Abonné, Responsable de Traitement. Ce document précise les conditions relatives à ces opérations de traitement ainsi que les obligations du sous-traitant qui y sont relatives. Les Parties s'engagent à respecter la Législation relative à la protection des données.
Description du traitement faisant l'objet de la sous-traitance
Wedof est autorisé à traiter pour le compte du Responsable de Traitement les Données à Caractère Personnel nécessaires pour les services suivants :
- Gestion des dossiers de formation,
- Gestion des propositions commerciales de formation,
- Gestion des dossiers de certification.
Ces Données à Caractère Personnel sont pour les apprenants et les candidats aux certifications : leur nom, prénoms, civilité, adresse email, adresse postale, numéro de téléphone fixe, numéro de téléphone mobile, niveau d'étude, statut professionnel, date de naissance, lieu de naissance, pays de naissance, numéro de dossier de financement, numéro de demandeur d'emploi et CNI / passeport. Le Responsable de Traitement s'engage à ne pas stocker d'autres Données à Caractère Personnel sur Wedof, notamment concernant directement ou indirectement, la race, la santé, l'orientation sexuelle, les opinions politiques, philosophiques et religieuses. En aucun cas les Données à Caractère Personnel manipulées pour le compte du Responsable de Traitement ne peuvent faire l'objet d'un usage commercial par des partenaires ou des prestataires de Wedof, ni être louées à des tiers.
Obligations du sous-traitant vis-à-vis du Responsable de Traitement
Wedof s'engage à :
- Traiter les Données à Caractère Personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l'objet de la sous-traitance ou pour prévenir ou résoudre les problèmes techniques, de sécurité ou de service ou lorsque ceci est requis par la loi ;
- Traiter les Données à Caractère Personnel conformément aux éventuelles instructions du Responsable de Traitement ;
- Garantir la confidentialité des Données à Caractère Personnel traitées ;
- Veiller à ce que les personnes autorisées à traiter les Données à Caractère Personnel en vertu du Contrat :
- s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des Données à Caractère Personnel ;
Si Wedof considère qu'une instruction du Responsable de Traitement constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Responsable de Traitement. En outre, si Wedof est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'État membre auquel il est soumis, il doit informer le Responsable de Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
- Droit d'information des personnes concernées
Le Responsable de Traitement déclare et garantit fournir aux personnes concernées les informations relatives aux traitements au moment de la collecte des données.
- Exercice des droits des personnes
Wedof apportera une assistance raisonnable au Responsable de Traitement pour répondre aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d'exercice de leurs droits, Wedof adresse ces demandes par courrier au responsable de traitement dès réception.
- Notification des violations de données à caractère personnel
Wedof notifie par courrier électronique au Responsable de Traitement toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.
- Assistance du sous-traitant dans le cadre du respect par le Responsable de Traitement de ses obligations
Wedof assistera raisonnablement le Responsable de Traitement pour la réalisation d'analyses d'impact relative à la protection des données, ou en cas de demande de l'autorité de contrôle.
- Mesures de sécurité
Wedof s'engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées en fonction du risque du traitement afin de garantir la protection de l'intégrité, de la confidentialité et de la disponibilité des Données à Caractère Personnel. Tous les échanges de données entre le navigateur web et les serveurs Wedof ainsi qu'entre les serveurs WEDOF et les plateformes associées sont chiffrées par le protocole SSL. Les serveurs Wedof sont localisés en France chez l'hébergeur français SCALEWAY SAS sur des datacenters certifiés ISO 270001 (sécurité des systèmes d'information).
- Sort des données
À l'expiration du Contrat, Wedof s'engage à détruire toutes les Données à Caractère Personnel dans un délai de 30 jours suivant ladite expiration.
- Délégué à la protection des données
Wedof communique au Responsable de Traitement le nom et les coordonnées de son délégué à la protection des données :
- Registre des catégories d'activités de traitement
Wedof déclare tenir par écrit un registre complet et à jour de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de Traitement conformément à l'article 30 du RGPD.
