Politique de protection des données à caractère personnel à destination des étudiant(e)s, candidat(e)s étudiant(e)s, candidat(e)s à un emploi et aux personnes extérieures à l’université de Poitiers

Version en date du 17 octobre 2025.

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit Règlement général sur la protection des données (ci-après « RGPD ») ainsi que loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés  modifiée par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles constituent le cadre juridique applicable aux traitements des données personnelles effectués par l’Université de Poitiers.

Dans ce contexte, le RGPD renforce les droits des personnes concernées, ainsi que les obligations de l’Université en tant que responsable de traitement et de ses éventuels sous-traitants. Conformément à l’article 12 du RGPD, l’Université est tenue d’informer ces personnes du traitement de leurs données et de leurs droits de manière concise, transparente, compréhensible et aisément accessible.

La présente politique a pour objectif de répondre à l’obligation d’information de l’Université. Elle a ainsi pour but de clarifier les droits et les responsabilités des étudiant(e)s, candidat(e)s étudiant(e)s, candidat(e)s à un emploi et aux personnes extérieures à l’Université de Poitiers au regard du traitement de leurs données à caractère personnel.

La présente politique de protection des données à caractère personnel a vocation à s’appliquer dans le cadre de la mise en place des traitements de données à caractère personnel de l’Université de Poitiers relatifs aux personnes concernées suivantes :

• Etudiant(e)s
• Candidat(e)s étudiant(e)s
• Candidat(e)s à un emploi
• Toute personne extérieure à l’Université : sous-traitants et fournisseurs, personnes participant aux activités des facultés (patients standardisés par exemple), partenaires.

La présente politique ne porte que sur les traitements dont l’Université de Poitiers est responsable de traitement. Cette politique ne vise pas les traitements avec des « données sauvages » qui ne seraient pas créés ou exploités par l’Université de Poitiers.

Le traitement de données à caractère personnel peut être géré directement par l’Université de Poitiers ou par le biais d’un sous-traitant désigné par l’Université de Poitiers.

Pour une bonne compréhension de la présente politique il est précisé les termes suivants :

• « Responsable du traitement »: la personne physique ou morale, qui détermine les finalités et les moyens d’un traitement de données à caractère personnel. Au titre de la présente politique, le responsable du traitement est l’Université de Poitiers ;
• « Sous-traitant » : toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Il s’agit donc en pratique des prestataires avec lesquels l’Université de Poitiers travaille et qui interviennent sur les données à caractère personnel de l’Université de Poitiers ;
• « Personnes concernées » : les personnes physiques qui peuvent être identifiées, directement ou indirectement et leurs données à caractère personnel font l’objet d’un traitement par le responsable du traitement, c’est-à-dire l’ensemble des étudiant(e)s et candidat(e)s de l’Université de Poitiers ;
• « Destinataires » les personnes physiques ou morales qui reçoivent communication des données à caractère personnel. Les destinataires des données peuvent donc être aussi bien du personnel de l’Université de Poitiers que des organismes extérieurs (établissements, organismes sociaux, Crous, etc.) ;
• « Donnée à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée). Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
• « Données sauvages » les données personnelles non structurées, non contrôlées, potentiellement non conformes au RGPD ;

 

• « Traitement automatisé »: toute opération ou ensemble d’opérations effectuées automatiquement sur des données personnelles (collecte, enregistrement, organisation, structuration, stockage, adaptation, consultation, utilisation, etc.) ;
• « Traitement de données à caractère personnel » : toute opération ou ensemble d’opérations effectuées à l’aide de procédés automatisés ou non automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;
• « Traçabilité »: désigne la capacité à enregistrer et à conserver un historique détaillé des opérations réalisées sur les données personnelles. Cela permet de suivre qui a accédé aux données, quand, comment, et pourquoi, afin d’assurer la transparence, la responsabilité et la conformité avec les obligations légales en matière de protection des données ;
• « Violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Le Responsable de traitement est :

Université de Poitiers

Représentée par son Président ou sa Présidente

15 Rue de l’Hôtel Dieu – TSA 71117

86000 POITIERS

Le présent document est opposable aux personnes concernées suivantes :

• A l’Université de Poitiers en sa qualité de « responsable du traitement » au sens du RGPD ;
• Aux étudiant(e)s de l’Université de Poitiers ;
• Aux candidat(e)s étudiant(e)s auprès de l’Université de Poitiers via les plateformes de candidatures ou par d’autres intermédiaires ;
• Aux candidat(e)s à un emploi de l’Université via les différentes plateformes dédiées à cette fin ou par d’autres intermédiaires ;
• Aux personnes participant aux activités des facultés ;
• Aux partenaires ;
• Aux personnes à qui l’Université de Poitiers communique des données (ci-après « destinataire des données ») ;
• Aux prestataires de l’Université de Poitiers qui traitent des données pour son compte (ci-après les « sous-traitants »).

Aucun traitement de données à caractère personnel, concernant les étudiant(e)s, les candidat(e)s étudiant(e)s, les candidat(e)s à un emploi et toute autre personne extérieur à l’Université, ne peut être mis en œuvre sans l’accord préalable de la direction de l’Université de Poitiers et sans être conforme aux principes généraux du Règlement général sur la protection des données (RGPD).

Conformément à ces principes, l’Université de Poitiers s’engage à :

• Traiter les données de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence).
• Collecter les données pour des finalités déterminées, explicites et légitimes, et ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.
• Minimiser les données collectées pour qu’elles soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
• S’assurer que les données soient exactes et, si nécessaire, tenues à jour. Dans ce cadre toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.
• Respecter et garantir les droits des étudiant(e)s, candidat(e)s étudiant(e)s, candidat(e)s à un emploi et toute autre personne extérieur à l’Université, tels que définis par le RGPD (droit d’accès, de rectification, d’opposition, d’effacement, etc.).
• Conserver les données en appliquant des durées de conservation sur les données en fonction de finalités poursuivies ; il n’est pas autorisé de conserver indéfiniment des données personnelles.
• Limiter l’accès aux données. Seules les personnes habilitées par l’Université sont autorisées à accéder aux données personnelles.
• Garantir la sécurité des données à caractère personnel, y compris la protection contre l’accès non-autorisé, la modification non-autorisé ou la perte, d’origine accidentelle ou malveillante, à l’aide de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
• Tenir à jour un registre des traitements de données.

L’Université de Poitiers traite les données des étudiant(e)s ou des candidat(e)s ou des personnes externes de l’Université pour les finalités et selon les bases légales suivantes :

Mission d’intérêt public (Art. 6.1.e RGPD)

• Gestion des inscriptions administratives et pédagogiques ;
• Gestion comptable des paiements et remboursements de droits ;
• Préparation des sessions d’examen ;
• Gestion des évaluations (écrit sur table, rapport, stages, autres) en vue de la diplomation des étudiant(e)s ;
• Gestion des travaux de recherche des étudiant(e)s (thèses, mémoires, autres travaux) et leur exploitation, des habilitations à diriger des recherches (HDR) ;
• Gestion des transferts des inscriptions administratives des établissements vers la base centrale du Centre national des œuvres universitaires et scolaires ;
• Constitution d’une carte d’étudiant permettant de gérer l’accès de l’étudiant(e) à des services universitaires ou interuniversitaires (en particulier : bibliothèques, restaurants, médecine préventive, actions sportives et culturelles, information, orientation et insertion professionnelle) ;
• Mise en œuvre d’enquêtes, sur les conditions de vie des étudiant(e)s, d’une part, sur leur parcours et leur insertion, d’autre part, conformément aux textes législatifs et réglementaires en vigueur ;
• Mise à disposition des étudiant(e)s des espaces numériques de travail (ENT) leur permettant d’accéder, via un point d’entrée unique et sécurisé, à un bouquet de services numériques ;
• Pilotage administratif et pédagogique à partir d’un outil de requêtage ou d’édition de données ;
• Gestion de la procédure nationale de préinscription dans une formation du premier, deuxième et troisième cycle de l’enseignement supérieur (collecter et traiter les vœux des candidat(e)s) ;
• Accompagner et orienter les candidat(e)s à toutes les étapes de la procédure d’inscription ;
• Accompagner les étudiant(e)s en situation de handicap et leur permettre de bénéficier des conditions matérielles ainsi que des aides techniques et humaines appropriées à leur situation ;
• Aménager, organiser les études et les évaluations des étudiant(e)s en situation de handicap ;
• Permettre aux étudiant(e)s en situation de handicap de bénéficier des aménagements accordés tout au long de la formation qui conduit au diplôme ou titre préparé à l’université de Poitiers ;
• Assurer la continuité de l’accompagnement des étudiant(e)s et les orienter vers des structures extérieures si nécessaire ;
• Produire des traitements statistiques des candidatures à des fins de pilotage national, académique et de l’établissement ;
• Alimenter le système d’information du compte personnel de formation ;
• Gestion des évènements (forum, …) ;
• Réalisation d’un traitement de recherche.

Obligation légale (Art. 6.1.c RGPD) 

• Permettre aux établissements, par l’intermédiaire du traitement Sise, une remontée d’informations à des fins de statistiques et de répartition des moyens vers l’administration centrale du Ministère chargé de l’enseignement supérieur ;
• Organiser les élections statutaires au sein de l’établissement ;
• Recueillir et traiter des candidatures déposées dans le cadre de la gestion de la procédure dématérialisée de recrutement des étudiant(e)s de master ;
• Préparer à l’inscription en première année des formations conduisant au diplôme national de master ;
• Traiter des signalements et les recours ;
• Mener des enquêtes administratives ;
• Engager des procédures disciplinaires, participer à celles délocalisées qui concernent l’établissement et ses usagers et mettre en œuvre leurs conséquences ;
• Instruire les demandes d’alertes éthiques (signalement).

 Préparation ou exécution d’un contrat (Art. 6.1.b RGPD) 

• Gérer le recrutement du personnel vacataire et contractuel ;
• Gérer les demandes de recrutement des professeurs des universités invités et maîtres de conférences invités ;
• Gérer les fournisseurs et prestataires.

Consentement (Art. 6.1.a RGPD)

• Réalisation d’un traitement de recherche ;
• Gestion du droit à l’image ;
• Gestion des newsletters.

La présente liste des traitements de données effectués par l’Université n’est pas exhaustive. Elle est susceptible d’évoluer dans le temps. Toutefois, l’Université s’engage à ce que l’ensemble des traitements, y compris ceux non mentionnés dans cette liste, respecte strictement les dispositions légales en vigueur. L’université de Poitiers ne traite aucune de vos données à des fins incompatibles avec celles pour lesquelles elles ont été collectées, sauf accord préalable de votre part.

Les données collectées par l’Université de Poitiers sont soit collectées directement par elle, soit collectées de manière indirecte.

9. 1 Données collectées directement auprès de l’étudiant :

La collecte directe des données prend différentes formes :

• Données collectées lors de l’inscription ou la réinscription administrative de l’étudiant(e) auprès de l’Université de Poitiers via les plateformes de candidature ou un dossier de renseignements ;
• Données collectées par envoi ou remise d’une donnée personnelle par l’étudiant(e) ou le/la candidat(e) par courriel, lettre, carte de visites, etc. ;
• Données collectées lors de la candidature à un poste ouvert par l’Université ;
• Données collectées lors de la signature d’un contrat avec un sous-traitant ;
• Données collectées lors de la signature de convention avec un partenaire ;
• Données techniques (données de connexion ou de trafic) liées à l’usage des services informatique ou numérique de l’Université de Poitiers.

9.2 Données collectées de manière indirecte :

La collecte indirecte des données prend différentes formes :

• Données collectées par le Crous afin de payer les services de restauration du Crous de manière dématérialisée ;
• Données collectées par les administrations et rectorat ;
• Données collectées via d’autres universités ou écoles tierces à l’Université de Poitiers.

Selon la finalité du traitement de données et selon les personnes concernées, l’Université de Poitiers peut être amenée à collecter et traiter les données suivantes :

Données d’identification :

• Nom de famille ;
• Nom d’usage ;
• Prénoms ;
• Civilité ;
• Sexe ;
• Date, lieu et département de naissance ;
• Nationalité ;
• Adresse postale (adresse de l’étudiant(e), adresse parentale/tuteur) ;
• Nature du logement ;
• Pièces d’identité : Carte nationale d’identité / passeport /titre de séjour ou carte de séjour ou carte de bénéficiaire de protection subsidiaire et carte bénéficiaire du statut de réfugié (pour étudiant(e)s étrangers) ;
• Numéro de téléphone des parents/tuteur, numéro de mobile de l’étudiant(e) ;
• Adresse de courrier électronique personnel de l’étudiant(e) ;
• Adresse de courrier électronique étudiant(e)e ;
• Numéro du matricule spécifique de l’étudiant(e) (INE), distinct du numéro d’identification des personnes physiques ou BEA ou INES;
• Numéro étudiant ;
• Numéro CVEC ;
• Situation familiale et militaire ;
• Attestation de représentation légale ;

Données professionnelles :

• Nature et durée du contrat ;
• Nom et adresse de l’employeur ;
• Catégorie sociaux-professionnelles (CSP) de l’étudiant(e) et des parents/tuteurs ;
• Professions sociaux-professionnelles (PSF) ;
• Situation sociaux-professionnelles (demandeurs d’emploi, …) ;
• Expériences professionnelles (Curriculum vitae) ;
• Adresse mail professionnelle ;
• Inscription à France Travail (avis de situation).

Données financières :

• Situation financière (salarié, boursier, aide financière) ;
• Nature de la bourse ou mode de financement ;
• Situation comptable ;
• Foyer fiscal de l’étudiant(e) et de rattachement ;
• Bénéficiaire du revenu de solidarité active (attestation de paiement) ou de l’allocation chômage ;
• Justificatif des droits du Compte Personnel de Formation.

Données sensibles :

• Existence d’un handicap éventuel et aménagements souhaités ;
• Besoins éducatifs particuliers ;
• Attestation de vaccination pour les formations liées à la faculté de médecine.

Données scolaires et universitaires :

• Nom de la formation universitaire ;
• Niveau d’études ;
• Diplômes obtenus ;
• Série du baccalauréat ou équivalence (DAEU, …) avec l’année d’obtention, les spécialités et la mention ;
• Année d’inscription et dernier établissement fréquenté, ville, département et pays ;
• Année et établissement de la première inscription en France et à Poitiers ;
• Mention de l’existence d’une interdiction temporaire ou définitive d’inscription ;
• Situation année précédente ;
• Inscription dans un autre établissement ;
• Relevés de notes du baccalauréat, du diplôme obtenu et de la formation universitaire suivie.

Données liées aux échanges internationaux :

• Type de programme d’échanges ERASMUS.

Données liées au droit à l’image :

• Photo.

Autres données :

• Statut de sportif de haut niveau (pour la structure d’entrainement) ;
• Statut d’artiste de haut niveau (pour la structure de formation ou de compagnie) ;
• Aptitude à la pratique sportive (pour la faculté de science du sport) ;
• Justificatif d’absence (arrêt maladie, attestation de mariage/naissance/décès, …) ;
• Exercice des responsabilités au sein du bureau d’une association.

Cette liste est donnée à titre indicatif et n’a pas de caractère exhaustif. Elle peut être amenée à évoluer en fonction des besoins et obligations légales de l’Université, ainsi que des évolutions réglementaires en matière de gestion des données personnelles.

Les données relatives aux personnels de l’Université et aux étudiant(e)s avec un contrat étudiant sont intégrées à la politique de protection des données des personnels de l’Université accessible sur l’intranet.

Les cookies utilisés sur le site internet institutionnel ne nécessite aucun recueil de consentement. Ces cookies ne servent pas au traçage des activités de l’utilisateur. Il s’agit uniquement de cookies de bon fonctionnement du site internet.

L’Université de Poitiers s’interdit d’exploiter, sans l’accord préalable de l’étudiant(e) ou du/de la candidat(e) ou de toute autre personne externe à l’Université, les données et les informations d’ordre privée, même si elles sont rendues publiques et diffusées par ce dernier sur les réseaux sociaux.

L’Université de Poitiers détermine la liste des destinataires selon une politique d’habilitation.

L’Université de Poitiers s’assure que les données ne soient accessibles qu’à des destinataires internes ou externes autorisés. Ces derniers sont tenus de respecter les dispositions du RGPD.

Les destinataires internes sont les collaborateurs de l’administration centrale et services centraux, généraux et communs, des services des composantes et des unités de recherche.

Selon les finalités du traitement de données, des destinataires externes peuvent avoir accès à des données à caractère personnel :

Finalité	Destinataires externes
Inscription et suivi de la scolarité	Universités partenaires et leurs composantes, écoles, instituts, les organismes publics de formation de l’Université de Poitiers et ceux pour lesquels des prérogatives de l’établissement ont été déléguées par les autorités de tutelle, partenaires (centre de gestion de la fonction publique territoriale, CHU), les sous-traitants de l’Université
Universitarisation	CHU, Croix Rouge, lycées, formations sociales
Contenus ou services pédagogiques	Les éditeurs de contenus ou de services pédagogiques liés à l’Université de Poitiers ou accessible via les ENT
Organisation liée à la vie étudiante	CROUS, associations étudiantes
Représentation des étudiant(e)s	Les associations étudiantes internes à l’Université de Poitiers
Suivi des subventions	Les organismes financeurs : Europe, collectivités territoriales (conseil régional, intercommunalité, …), Caisse des dépôts et Consignations pour le compte personnel de formation (CPF)
Gestion des déclarations sociales	France Travail
Gestion des enquêtes	Les autorités de tutelles (Ministère, …)
Gestion des fournisseurs et prestataires	L’agence comptable de l’Université

Cette liste n’a pas de caractère exhaustif. Elle peut être amenée à évoluer en fonction des besoins et obligations légales de l’Université, ainsi que des évolutions réglementaires en matière de gestion des données personnelles.

Les destinataires des données à caractère personnel sont soumis à une obligation de confidentialité.

L’Université n’est en aucun cas responsable des dommages, de toute nature, causés par les destinataires externes si le dommage ne lui est nullement imputable.

Par ailleurs, les données à caractère personnel pourront être communiquées à toute autorité telles que les institutions judicaires, force de l’ordre qui sont légalement habilitées et qui sont nommées Tiers autorisés au sens du RGPD.

La durée de conservation des données est définie par l’Université de Poitiers au regard des contraintes légales et contractuelles qui pèsent sur elle et à défaut en fonction de ses besoins. Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données.

Le cycle de vie de la donnée connait 3 phases :

• La base active : les données sont utilisées pendant la durée nécessaire à la réalisation de la finalité du traitement ayant justifié la collecte,
• L’archivage intermédiaire : les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l’organisme ou doivent être conservées pour répondre à une obligation légale.

La durée d’utilité administrative (DUA) se compose de la base active et de l’archivage intermédiaire.

• L’archivage définitif : passé les délais fixés, les données sont, soit supprimées, soit conservées après avoir été anonymisées, notamment pour des raisons d’usages statistiques.

Il est rappelé que la suppression ou l’anonymisation sont des opérations irréversibles et que l’Université de Poitiers n’est plus, par la suite, en mesure de restaurer les données.

Type de document	Durée d’utilité administrative	Sort final	Texte réglementaire
				Inscription et suivi du cursus universitaire
Commission de recrutement (Master, Licence pro, BUT) : procès-verbaux	50 ans	Conservation
Dossiers de candidature : CV, lettre de motivation, relevés de notes antérieures aux études supérieures, fiches d’appréciation, lettres d’engagement entreprise	2 ans	Destruction
Dossiers d’inscription	2 ans	Destruction
Procès-verbaux d’admissibilité et d’admission	50 ans	Conservation
Demandes d’admission classées sans suite ou refusées	1 an	Destruction	Instruction Education nationale, ch. 2.1.2.1
Récapitulatifs de la situation administrative et pédagogique de l’étudiant(e)	50 ans	Conservation
Demandes de dispense d’assiduité, tableau récapitulatif des demandes	1 an	Destruction
Dossiers d’étudiant(e)s : fiches de renseignements, responsabilité civile, droit à l’image, signature des différents règlements : –         Dossiers postérieurs à 1998 : –         Dossiers antérieurs à 1998 :	10 ans 50 ans	Tri Tri	Instruction Education nationale, ch. 2.1.2.1
Listings et fiches d’auditeurs libres	5 ans	Tri	Critères de tri
Suivi administratif des étudiant(e)s
Dossiers de préparation de rentrée	1 an	Destruction
Trombinoscopes	1 an	Tri
Liste d’étudiant(e)s	1 an	Destruction
Listes des différents groupes d’étudiants (TD, TP)	1 an	Destruction
Conventions de projets tuteurés	2 ans	Destruction
Relevés et Justificatifs d’absences des étudiant(e)s	1 an	Destruction
Formulaires de démission	1 an	Destruction
Courriers d’exclusion	1 an	Destruction
Validation des acquis
Demande d’admission et d’équivalence : relevés de notes, mémoires, attestations de stage, attestation de compétence en langue, lettre de motivation	2 ans	Destruction
Commission d’équivalence (appelées aussi commissions de scolarité) : tableaux récapitulatifs des demandes d’admission et d’équivalence	50 ans	Conservation
Commission VAE et VAP :
– Procès-verbaux, décisions	50 ans	Conservation
– CV détaillé du/de la candidat(e)	5 ans	Destruction
– Liste d’émargement du jury	5 ans	Destruction
Bourses et aides sociales
Justificatifs d’exonération à la sécurité sociale étudiante : contrats de travail, attestation d’ayant-droit, attestation de scolarité, copie de la carte de sécurité sociale européenne	3 ans	Destruction
Dossier social étudiant (DES) : dossiers retenus et non retenus, avis d’attribution	2 ans	Destruction	Instruction Education nationale, ch. 4.2.2.2
Autres bourses : bourses Ledoux, Erasmus, Eiffel, Tatawi, etc	2 ans	Destruction	Instruction Education nationale, ch. 4.2.2.2
Listes des candidat(e)s interdits d’examens, procès-verbaux de salle	3 ans	Tri	Instruction Education nationale, ch. 3.1.1
Listes des candidat(e)s admis à concourir	50 ans	Conservation	Instruction Education nationale, ch. 3.1.1
Listes d’émargement des candidat(e)s	1 an	Destruction	Instruction Education nationale, ch. 3.1.1
Jury
Copies d’examens et contrôle continu	1 an	Tri	Instruction Education nationale, ch. 3.4
Rapports de stages effectués dans le cadre de la validation de diplômes	1 an	Tri	Instruction Education nationale, ch. 3.4
Mémoires	5 ans	Tri	Instruction Education nationale, ch. 3.4
Thèses	1 an	Conservation	Instruction Education nationale, ch. 3.4
Dossiers de soutenance de thèses	5 ans	Conservation	Instruction Education nationale, ch. 3.4
Autres productions d’étudiant(e)s : affiches, films, audios, etc.)	1 an	Tri
Bordereaux de notations (récapitulatifs des notes établies à la fin des épreuves et tous autres documents préparatoires à la saisie des résultats)	1 an	Destruction	Instruction Education nationale, ch. 3.5
Relevés de notes (liste des candidat(e)s avec notes à chaque épreuve extraite du PV d’examen)	1 an	Destruction	Instruction Education nationale, ch. 3.5
Procès-verbaux d’examen, de jury de passage, de validation de diplôme	50 ans	Conservation	Instruction Education nationale, ch. 3.6
Procès-verbaux d’admissibilité ou d’admission aux concours	50 ans	Conservation	Instruction Education nationale, ch. 3.6
Registres ou listes des admis et diplômés	50 ans	Conservation	Instruction Education nationale, ch. 3.6
Registre de soutenance des thèses	50 ans	Conservation	Instruction Education nationale, ch. 3.6
Registre des diplômés	50 ans	Conservation
Attestations de réussite	50 ans	Conservation
Diplômes non réclamés	50 ans	Tri
Enquêtes des diplômés	10 ans	Tri
Recrutement du personnel
Application Démat’Recrut beetween-software.com	2 ans après le dernier contact
Candidatures sans suite BIATSS : CV, lettre de motivation	5 ans	Destruction	Article L1134-5 du Code du travail
Gestion des factures des fournisseurs et prestataires
Factures	10 ans	Destruction

En application et dans la limite des dispositions applicables en matière de protection des données personnelles, les personnes concernées disposent des droits suivants : droit d’accès, droit de rectification, droit à l’effacement, droit d’opposition, droit à la limitation, droit à la portabilité, droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, droit post mortem, droit de réclamation.

Pour que l’étudiant(e) ou le/la candidat(e) ou toute autre personne extérieure à l’Université puisse exercer l’un de ses droits, la demande est à adresser à l’attention du délégué à la protection de la donnée :

• Soit à l’adresse mail : dpo@univ-poitiers.fr
• Soit à l’adresse postale : Université de Poitiers – 15 Rue de l’Hôtel Dieu – TSA 71117 – 86000 POITIERS.

Il s’agit de droit individuel qui ne peut être exercé que par la personne concernée pour ses propres données.

Toute demande doit préciser, en objet, le motif de la demande (exercice du droit d’accès, d’opposition, etc.) et être accompagnée de tout élément permettant de justifier de l’identité et préciser l’adresse à laquelle doit parvenir la réponse.

L’Université de Poitiers adressera sa réponse dans un délai maximum d’un (1) mois, à compter de la date de réception de votre demande complète. Ce délai peut toutefois être prolongé de deux (2) mois en raison de la complexité et du nombre de demandes.

15.1 Droit d’accès (Art. 15 RGPD)

L’étudiant(e) ou le/la candidat(e) ou toute personne extérieure à l’Université dispose d’un droit de demander à l’Université de Poitiers la confirmation que des données le concernant sont ou non traitées. Lorsqu’elles le sont, l’étudiant(e) ou le/la candidat(e) peut demander l’accès à l’ensemble de ses données.

L’étudiant(e) ou le/la candidat(e) ou toute personne extérieure à l’Université a le droit de demander une copie de ses données à caractère personnel faisant l’objet du traitement auprès de l’Université de Poitiers. Toutefois, en cas de demande de copie supplémentaire, l’Université de Poitiers pourra exiger la prise en charge financière de ce coût par l’étudiant(e) ou le/la candidat(e) ou toute personne extérieure à l’Université.

Si l’étudiant(e) ou le/la candidat(e) ou toute personne extérieure à l’Université présente sa demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.

L’étudiant(e) ou le/la candidat(e) ou toute personne extérieure à l’Université est enfin informé que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.

Le droit d’accès ne doit pas être exercé de manière abusive c’est-à-dire réalisé de manière régulière dans le seul but de déstabiliser le service concerné.

 

15.2 Droit de rectification (Art. 16 RGPD)

L’étudiant(e) ou le/la candidat(e) peut demander à l’Université de Poitiers de rectifier des données les concernant qui seraient inexactes ou erronées ou incomplètes.

Pour ce faire, l’Université de Poitiers :

• Met à disposition des étudiant(e)s, candidat(e)s et autres personnes extérieures tous les moyens nécessaires en ligne ou hors ligne pour que ces derniers leur fassent part de toutes modifications sur les données à caractère personnel détenues par l’Université de Poitiers ;
• Met à jour ses bases de données au début de chaque année universitaire.

L’étudiant(e) ou le/la candidat(e) ou toute personne extérieure est informé que l’Université de Poitiers ne procèdera à aucune modification dite de « confort », seules des modifications substantielles sur l’état civil, l’identité et les coordonnées seront réalisées. Dans la mesure du possible, l’Université de Poitiers répercute ces rectifications auprès des destinataires auxquels elle a transmis les données des étudiant(e)s ou candidat(e)s ou autre personne extérieure. Cette obligation ne saurait toutefois s’imposer lorsqu’une telle démarche s’avère impossible ou exige des efforts disproportionnés.

Par ailleurs, afin de permettre une mise à jour régulière des données à caractère personnel collectées par l’Université de Poitiers, celle-ci pourra solliciter l’étudiant(e) ou le/la candidat(e) ou toute personne extérieure qui aura pour obligation de satisfaire aux demandes de l’Université.

 

15.3 Droit d’opposition (Art. 21 RGPD)

L’étudiant(e) ou candidat(e) ou toute personne extérieure peut s’opposer à ce que ses données soient utilisées pour un objectif précis, sous réserve d’exposer les raisons tenant à sa situation particulière.

 

15.4 Droit à l’effacement / droit à l’oubli (Art. 17 RGPD)

Le droit à l’effacement de l’étudiant(e) ou candidat(e) étudiant(e) ou toutes personnes externes à l’Université ne sera pas applicable dans les cas où le traitement est mis en œuvre pour répondre à une obligation légale.

En dehors de cette situation, l’étudiant(e) ou candidat(e) étudiant(e) ou toutes personnes externes pourra demander l’effacement de ses données dans les cas limitatifs suivants :

• Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
• Lorsque l’étudiant(e) ou candidat(e) ou tout autre personne retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
• L’étudiant(e) ou candidat(e) s’oppose à un traitement fondé sur l’exécution d’une mission d’intérêt public ou nécessaire aux fins des intérêts légitimes poursuivis par l’Université de Poitiers et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
• L’étudiant(e) ou candidat(e) s’oppose à un traitement de ses données à caractère personnel à des fins de prospection, y compris au profilage ;
• Les données à caractère personnel ont fait l’objet d’un traitement illicite ;
• Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel l’Université de Poitiers est soumise.

 

15.5 Droit à la limitation du traitement des données (Art. 18 RGPD)

L’étudiant(e) ou candidat(e) ou toute personne externe est informé que le droit à la limitation du traitement de ses données à caractère personnel ne s’applique pas dans la mesure où les traitements opérés par l’Université de Poitiers sont licites et que toutes les données à caractère personnel collectées sont nécessaires à l’exécution de la relation entre l’Université de Poitiers.

 

15.6 Droit à la portabilité (Art. 20 RGPD)

L’étudiant(e) ou candidat(e) ou toute personne externe est informé(e) que le droit à la portabilité de ses données à caractère personnel ne s’applique pas dans la mesure où le traitement opéré par l’Université de Poitiers :

• N’est pas fondé sur le consentement,
• Se fonde sur l’exécution du contrat ou sur une obligation légale,
• N’est pas systématiquement effectué à l’aide de procédés automatisés.

 

15.7 Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (art. 22 RGPD) 

L’université de Poitiers ne procède à aucune décision individuelle automatisée concernant les étudiant(e)s ou candidat(e)s étudiant(e)s ou toutes personnes externes.

 

15.8 Droit post mortem (Art. 85 de la Loi Informatique et Libertés de 1978 modifiée)

Le droit post mortem porte sur le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès.

L’étudiant(e) ou candidat(e) ou toute personne externe a la possibilité de formuler des directives concernant le sort de leurs données personnelles (conservation, suppression et communication) après leur décès.

Toute demande adressée doit impérativement être accompagnée des pièces suivantes :

• Une copie d’un justificatif d’identité signé par le demandeur (héritier, représentant légal, ou toute autre personne autorisée) ;
• Un document attestant du décès de la personne concernée ;
• Un justificatif établissant la qualité du demandeur (acte notarié, décision de justice, etc.).

La personne concernée définit ses directives soit au sein d’un testament numérique, soit partage ses directives directement à l’Université de Poitiers qui a la charge de conserver les directives, et de les appliquer dès lors qu’elle a connaissance du décès de la personne concernée.

 

15.9 Droit d’introduire une réclamation auprès de la CNIL (Art. 77 RGPD)

La commission nationale informatique et libertés (CNIL) est l’autorité de contrôle en France qui veille à la protection de toute donnée à caractère personnel contenue dans des fichiers et traitements informatiques ou papier.

L’étudiant(e) ou candidat(e) ou toute personne externe, concerné(e) par le traitement de ses données à caractère personnel, est informé de son droit d’introduire une plainte auprès de l’autorité de contrôle, à savoir la CNIL, si celui-ci estime que le traitement de ses données n’est pas conforme à la règlementation européenne de protection des données, après avoir contacté l’Université de Poitiers que vos droits Informatique et Libertés ne sont pas respectés.

Cette plainte sera à envoyer :

• soit à l’adresse postale : CNIL – Service des plaintes – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
• soit par le service en ligne de plainte : https://www.cnil.fr/fr/plaintes

L’Université de Poitiers informe l’étudiant(e) ou candidat(e) ou toute personne externe que l’Université pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement de données à caractère personnel. Dans ce cas, l’Université de Poitiers s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD. L’Université de Poitiers s’engage à signer avec tous ses sous-traitants un contrat écrit et impose aux sous-traitants les mêmes obligations en matière de protection des données que celles qui lui incombent. De plus, l’Université de Poitiers se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.

Toutes les données personnelles des étudiant(e)s, candidat(e)s et de toutes autres personnes extérieures traitées par l’Université de Poitiers sont hébergées sur des serveurs sécurisés et situés en France.

L’Université de Poitiers se réserve seule le choix de réaliser ou non des flux transfrontaliers pour les données à caractère personnel qu’elle collecte et qu’elle traite.

En cas de transfert de données à caractère personnel vers un pays tiers à l’Union Européenne ou à l’Espace Economique Européen ou vers une organisation internationale, l’Université de Poitiers s’assurera du bon respect des droits des personnes concernées par ces transferts de données.

L’Université de Poitiers s’engage si nécessaire à signer un ou plusieurs contrats permettant d’encadrer les flux transfrontaliers de données. Les dispositions relatives aux flux transfrontaliers sont opposables à l’Université de Poitiers, sauf dans les cas dérogatoires prévus à l’article 49 du RGPD.

L’Université de Poitiers apporte une attention toute particulière à ce que vos données soient traitées dans le plus strict respect de la règlementation en vigueur en matière de protection des données personnelles.

Il appartient à l’Université de Poitiers de définir et de mettre en œuvre les mesures techniques de sécurité, physique ou logique, qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite. Pour ce faire, l’Université de Poitiers peut se faire assister de tout tiers de son choix pour procéder, aux fréquences qu’elle estimera nécessaire, à des audits de vulnérabilité ou des tests d’intrusion.

En tout état de cause, l’Université de Poitiers s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.

En cas de sous-traitance d’une partie ou de la totalité d’un traitement de données à caractère personnel, l’Université de Poitiers s’engage à imposer contractuellement à ses sous-traitants des garanties de sécurité par le biais de mesures techniques de protection de ces données et les moyens humains appropriés.

En cas de responsabilité conjointe d’une partie ou de la totalité d’un traitement de données à caractère personnel, l’Université de Poitiers s’engage à signer avec son/ses partenaires une convention de responsabilité conjointe de traitement de données à caractère personnel qui prévoit des garanties de sécurité par le biais de mesures techniques de protection de ces données et les moyens humains appropriés.

En cas de violation de données à caractère personnel, l’Université de Poitiers s’engage à documenter son registre interne.

Si la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés des étudiant(e)s ou candidat(e)s ou toutes autres personnes extérieures, l’Université d’une part, notifiera la violation à la CNIL et d’autre part, communiquera la violation de données aux étudiant(e)s ou candidat(e)s ou toutes autres personnes extérieures.

L’Université de Poitiers a désigné un délégué à la protection des données, également identifié sous le nom de DPO (data protection officer).

Les coordonnées du délégué à la protection des données sont les suivantes : dpo@univ-poitiers.fr

En cas de mise en œuvre d’un nouveau de traitement de données à caractère personnel, l’Université de Poitiers saisira préalablement le délégué à la protection des données.

Si l’étudiant(e) ou candidat(e) ou toute autre personne souhaite obtenir une information ou poser une question portant sur les données ou s’il rencontre un problème avec le traitement des données à caractère personnel, il lui est possible de saisir le délégué à la protection des données qui lui donnera une réponse dans un délai raisonnable au regard de la question posée ou de l’information requise.

L’Université de Poitiers, en tant que responsable du traitement, s’engage à tenir à jour un registre de toutes les activités de traitement effectuées.

Ce registre est un document ou applicatif permettant de recenser l’ensemble des traitements mis en œuvre par l’Université de Poitiers en tant que responsable du traitement. L’Université de Poitiers s’engage à fournir à l’autorité de contrôle, à première demande, les renseignements permettant à ladite autorité de vérifier la conformité des traitements à la règlementation informatique et libertés en vigueur.

La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages.

Toute modification prendra effet immédiatement. Nous vous invitons à consulter régulièrement notre politique, accessible depuis toutes les pages du site et ce, afin de vous tenir informé de la dernière version en ligne applicable. Nous vous invitons également à vérifier la date indiquée sur la présente politique afin de connaître la date de la dernière mise à jour.

Pour toute autre information générale sur la protection des données personnelles, vous pouvez contacter le délégué à la protection des données à l’adresse dpo@univ-poitiers.fr