annExE 1 : COnVEnTIOn dE RESpOnSaBILITE COnJOInTE COnCERnanT LE TRaITEMEnT dES dOnnEES a CaRaCTERE pERSOnnEL

annExE 1 : COnVEnTIOn dE RESpOnSaBILITE COnJOInTE COnCERnanT LE TRaITEMEnT dES dOnnEES a CaRaCTERE pERSOnnEL


Entre


- L’Université de Haute-Alsace, représentée par X. xx Xxxxxxxxx Xxxxxx-Xxxxx XXXXXX, Xx

- X’Xxxxxxxxxx xx Xxxxxxxx, représentée par Xxx xx Xxxxxxxxxx Xxxxxx XXXXXXXXX, Xx

- X’Xxxxxxxxxx xx Xxxxx Xxxxxxxxx-Xxxxxxx, représentée par X. xx Xxxxxxxxx Xxxxxxxxx XXXXX, Xx

- X’Xxxxxxxxxx xx Xxxxxxxxxx, représentée par M. le Président Xxxxxx XXXXXXX, Et

- L’Université de Technologie de Troyes, représentée par M. le Directeur Xxxxxx XXXX, Et

- La Région Grand Est, représentée par M. le Président Xxxx XXXXXXX, Et

- La Région académique du Grand Est, représentée par M. le Recteur Xxxxxxx XXXXXXXX,

Et

- Le Goethe Institut Nancy-Strasbourg, représenté par Xxx xx Xxxxxxxxxx Xxxxxx XXXXXXXXX, Xx

- X’Xxxxxxxx Xxxxxxxx xx Xxxxxxxxxx, représenté par Mme la Directrice Xxxxxxx XXXXXXXXXXXX, Et

- L’Université franco-allemande, représentée par M. le Président Xxxxxxxx XXXXXXXX.


Ci-après désignés ensemble « les Parties »


Préambule


Dans le cadre du PRIX UNIVERSITAIRE FRANCO-ALLEMAND GRAND EST 2023 les Parties collectent et traitent des données à caractère personnel et déterminent conjointement les finalités et les moyens desdits traitements mis en œuvre pour la gestion de l’attribution du prix universitaire.


Les données des candidats au prix seront gérées par les Parties. Elles s’engagent à prendre en considération et déployer la stratégie « Cloud au centre » issue de la circulaire n°s282-SG du Premier Ministre du 5 juillet 2021. En particulier à choisir des solutions techniques « en privilégiant chaque fois que possible une offre qualifiée SecNumCloud et immunisée aux réglementations extracommunautaires ».

En conséquence, les Parties sont conjointement responsables des traitements effectués dans le cadre de l’activité commune au sens de l’article 2s du Règlement (UE) 201s/s7s du Parlement européen et du Conseil du 27 avril 201s relatif à la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »).

article 1 Objet du contrat


Ce contrat de responsabilité conjointe a pour objet de définir de manière transparente les obligations respectives des Parties concernant l’exercice des droits des personnes concernées et la communication des informations à fournir aux personnes concernées dans le cadre des missions exercées par les Paries

article 2- durée de la convention


La présente convention est conclue pour la durée stipulée à l’article 4 de la convention de partenariat.


article 3- Finalités des traitements article 3.1 principe

Les Parties déterminent conjointement les finalités du traitement qui doivent être déterminées, explicites et légitimes.

Ces finalités sont :

- La gestion des candidatures au Prix universitaire franco-allemand Grand Est 2023;

- La gestion de l’évaluation des dossiers de candidatures ;

- La gestion de l’organisation de la remise du Prix et de l’attribution des récompenses ;

- La gestion des correspondances liées à la communication interne du projet ;

- La gestion de la communication auprès des candidats et lauréats ;

- La gestion de l'élaboration d'analyses statistiques.


article 3.2 décision conjointe


Tout nouveau traitement impliquant chacune des Parties ne peut être mis en œuvre sans avoir préalablement été soumis à l’accord de l’ensemble des parties.

En conséquence, l’une ou l’autre partie souhaitant mettre en œuvre un nouveau service impliquant un traitement de données à caractère personnel, devra en informer les autres parties, afin d’obtenir leur accord. Cette information pourra être faite par tous moyens.


article 4- Moyens des traitements


Les Parties déterminent conjointement les moyens techniques utilisés dans le cadre du traitement. Les principaux moyens techniques du traitement sont les suivants :

- LimeSurvey pour le dépôt des dossiers de candidatures et l’application de stockage de l’Université de Strasbourg (xxxxxxx.xxxxxxx.xx) pour leur consultation par les membres du jury ;

- Solutions de communication Renater de l’Université de Strasbourg ;

- Visio-conférence pour les réunions des partenaires et les délibérations du jury : la solution BigBlueButton de l’Université de Strasbourg sera privilégiée et la plate-forme Zoom (compte de l’Université de Strasbourg) utilisée en cas de nécessité ;

- Cérémonie de remise des prix : diffusion via la solution de streaming (en continu) de l’Université de Strasbourg.

article 5 - données à caractère personnel traitées


La liste des données collectées et traitées dans le cadre du présent traitement doit répondre à l’obligation de minimisation.

Les données des candidats collectées et répertoriées sont :

Nom Prénom

Date de naissance Adresse

Courriel institutionnel Université de l’étudiant

Nom précis de la formation du candidat Année de formation

Nom du responsable de la formation


Données de contenu liées à la candidature : dossier, résumé des travaux, travaux, lettre d’intention, rapport de soutenance de thèse de doctorat ou évaluation écrite du directeur de mémoire de master 2 ou équivalent, etc.)


Données d’évaluation et de classement des lauréats.


Par ailleurs le numéro de téléphone du candidat est demandé de manière à faciliter la communication des résultats s’il est lauréat ainsi que l’organisation de sa participation à la cérémonie de remise des prix.


article s - Référents des parties


Chaque Partie a désigné un délégué à la protection des données (dpo). Les DPO sont joignables aux adresses suivantes :


- L’Université de Haute-Alsace : xxx@xxx.xx

- L’Université de Lorraine : xxx-xxxxxxx@xxxx-xxxxxxxx.xx

- L’Université de Reims Champagne-Ardenne : xxx@xxxx-xxxxx.xx

- L’Université de Strasbourg : xxx@xxxxxxx.xx

- L’Université de Technologie de Troyes : xxx@xxx.xx

- La Région Grand Est : formulaire de saisine du délégué à la protection des données sur

xxxxx://xxx.xxxxxxxx.xx/xxxxxxx-xxxxxxxxxxxx/

- La Région académique Grand Est : xxx@xx-xxxxx-xxxx.xx

- Le Goethe Institut Nancy-Strasbourg : xxxxxxxxxxx@xxxxxx.xx

- L’Institut Français de Sarrebruck : xxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx

- L’Université franco-allemande : xxxxxxxxxxx@xxx-xxx.xxx

Par ailleurs toute question concernant la gestion des données des candidats doit être adressée à l’organisateur, qui est la Direction des relations internationales de l’Université de Strasbourg et joignable à l’adresse dri- xxxxxxxxxxx@xxxxxxx.xx.


article 7 - durée de conservation


Les données à caractère personnel sont conservées un an après la notification des résultats.



Catégories de données

Durée active

Archivage intermédiaire

Sort définitif

Dossiers de candidatures des lauréats

Un an après la remise des prix.

5 ans

Tri et archivage des éléments les plus

significatifs

Dossiers de candidatures

non retenus

Idem

Pas d’archivage

intermédiaire.

Destruction sauf si

litige.

Données non présentes

dans l’annuaire des lauréats

Jusqu’à remise des récompenses


Destruction sauf si litige.


article 8 - Information des personnes concernées


Les Parties doivent informer les personnes concernées de leurs droits sur le dossier de candidature.

A défaut, l’information sera communiquée dès que possible via envoi d’un message électronique aux candidats. L’information légale est également mise à disposition des participants dans le règlement du prix.

L’information pourra également être diffusée sur les pages dédiées au prix universitaire sur le site de chaque université.


article s - droits des personnes concernées


Les référents désignés par les Parties gèrent les demandes de droits des personnes concernées. A savoir les

- Droit d’accès

- Droit de rectification

- Droit à l’effacement

- Droit à la limitation du traitement

- Droit d’opposition


Les Parties s’engagent à traiter toute demande de droits dans le mois de la saisine.


article 10 - Mesures de sécurité


Les données des dossiers de candidatures seront stockées de manières sécurisée sur les serveurs de l’Université de Strasbourg.

Seafile est mis à disposition par l’Université de Strasbourg il s’agit d’un espace de stockage et de partage de fichiers bénéficiant de l’ensemble des protocoles de sécurité techniques, logiques et organisationnelles du système d’information de l’Unistra. Les Parties s’engagent à utiliser la fonction de chiffrement de Seafile.

Chaque Partie s’engage à :

- Mettre en place un espace chiffré/chiffrement en base dans son système d’information en relation avec le prix universitaire.

- Chiffrer les éléments d’évaluation, la liste des lauréats avant la cérémonie/publication (créer un dossier chiffré).


article 11- Coopération avec la CnIL

La CNIL peut effectuer des contrôles auprès de l’une ou l’autre des Parties notamment en lien avec le traitement faisant l’objet de cette convention.

Dans le cas d’un contrôle, les Parties par l’intermédiaire de leurs référents doivent s’informer réciproquement de ce contrôle et des informations demandées par la CNIL et le cas échéant des réponses apportées.

Les Parties doivent se concerter afin de fournir l’ensemble des informations et documents demandés par la CNIL La partie contrôlée communiquera le présent contrat à la CNIL.


article 12 Registre et information légale

Les Parties collaborent pour tenir le registre des traitements liés au prix universitaire et rédiger l’information légale conforme aux articles 12 à 14 du RGPD

Les Parties s’engagent à réaliser ces formalités avant le lancement du concours. A défaut, elles s’engagent à les réaliser dans les meilleurs délais suivant le lancement du concours.

Les Parties s’engagent à mettre à disposition des candidats les grandes lignes de la présente convention (en annexe du règlement du prix)


article 13 - Violation des données à caractère personnel

Lorsque l’une des Parties constate une violation des données à caractère personnel, elle doit immédiatement en informer les autres Parties par l’entremise des délégués à la protection des données désignés à l’article s de la présente convention

Suite à cette notification, afin de limiter la propagation de la violation, et d’évaluer la situation et de procéder aux déclarations de violation (CNIL et personnes concernées), les Parties s’engagent à créer une cellule réunissant :

- Les DPO des établissements ;

- Les Responsables de la Sécurité des Systèmes d’Information (RSSI) des établissements ;

- Un représentant des DSI de chaque établissement, si nécessaire ;

- Un représentant de l’établissement organisateur du Prix.

Les Parties s’engagent à notifier la violation sur le téléservice de la CNIL dans les 72 heures suivant sa découverte.

En cas d’accord, un établissement est désigné pour notifier la violation auprès de la CNIL pour le compte de toutes les autres Parties.

A défaut d’accord, les Parties sont libres de notifier indépendamment les unes des autres la violation auprès de la CNIL.


article 14 - Transfert de données

Les établissements pourront avoir à utiliser Zoom, qui est amené à transférer vers les Etats-Unis des données. La société Zoom est soumise à la législation américaine en matière d’hébergement et de traitements de données.

article 00 - Xxxx-xxxxxxxxx

Les sous-traitants sont :

- Zoom

- L’Université de Strasbourg (Seafile, LimeSurvey et les solutions de communication Renater)

Ces sous-traitances sont soumises à l’obligation de prévoir des stipulations conformes à l’article 28 du RGPD.


article 1s Loi applicable et juridiction

La présente convention est soumise au droit français, à l'exclusion de toute autre législation. La juridiction compétente est celle du ressort de chaque établissement.

Document Metadata

Filed: July 25th, 2022