Politique de Germe en matière de données à caractère personnel

L’association GERME est fortement engagée dans la protection des données à caractère personnel. 

La présente politique décrit pourquoi et comment nous collectons et utilisons des données personnelles, et fournit des informations sur les droits des personnes concernées.

1. Préambule

Le Règlement européen sur la protection des données (RGPD) consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement de données personnelles, dès lors qu’elles concernent des résidents européens.

Les données personnelles peuvent être : 

  • directement identifiantes (nom, photo, email…)
  • indirectement identifiantes (identifiant de compte, numéro de sécurité sociale, adresse IP…)
  • identifiantes par recoupement de plusieurs informations

 

Les 5 grands principes des règles de protection des données personnelles sont les suivants :

  • le principe de finalité : le responsable d'un traitement ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime.
  • le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du traitement.
  • le principe d'une durée de conservation limitée : une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du traitement.
  • le principe de sécurité et de confidentialité : le responsable du traitement doit garantir la sécurité et la confidentialité des informations qu'il détient.
  • les droits des personnes (cf. article 9 de la présente politique).

2. Responsable de traitement

Les données à caractère personnel collectées font l’objet d’un traitement par l’association Germe - 29 quai de Versailles - 44000 NANTES.

3. Nature des données collectées

Nous collectons et traitons des données relatives : 

  • à nos clients (entreprises) : ces données concernent les interlocuteurs des domaines des ressources humaines et de la comptabilité, ainsi que les tuteurs des participants aux formations proposées par GERME. Les données personnelles collectées et traitées sont les civilité, nom, prénom, adresse email, fonction, adresse postale et numéro de téléphone.
     
  • aux adhérents et participants aux actions proposées par GERME (formations, événements…) : ces données sont collectées soit auprès de l’employeur, soit auprès des participants eux-mêmes. Il s’agit des civilité, nom, prénom, employeur, profession, adresses email et postale, numéro de téléphone et toute autre information communiquée spontanément par les participants si leur contenu est pertinent et en lien avec la finalité du traitement.

    Dans le cadre des formations, des informations relatives à la situation professionnelle (responsabilités managériales) et au niveau de compétences initial des participants potentiels sont collectées afin de valider l’adéquation entre le profil des candidats et la formation visée. Des évaluations sont également complétées par les participants tout au long de la formation. Certains formateurs sont amenés à proposer aux participants de renseigner des questionnaires afin de préparer et adapter leur intervention. Le cas échéant, les données collectées sont supprimées dès la réalisation de l’action de formation.

    Dans le cadre exclusif de l’organisation des temps de repas, Germe peut demander aux participants des informations concernant d’éventuels régimes alimentaires particuliers. Le cas échéant, ces données sont supprimées dès la réalisation de la formation ou de l’événement.

    Par ailleurs, nous collectons l’année de naissance des adhérents à des fins statistiques (sur la base du consentement des personnes concernées). Cette donnée est supprimée dès la fin de la relation contractuelle.

    Nota Bene : Les anciens participants ayant suivi au moins 2 cycles de formation GERME ou 1 cycle EMERGENCE peuvent prétendre au statut d’adhérent à l’association GERME et ainsi bénéficier de l’offre GERME+, à tout moment après la fin de leur formation (pas de durée maximale entre l’arrêt de la formation et la demande d’adhésion). GERME ne pouvant pas conserver les données à caractère personnel au-delà des finalités poursuivies par les traitements identifiés sur le présent document, la vérification de l’éligibilité des anciens participants au statut d’adhérent nécessite la présentation par les personnes concernées de leur(s) attestation(s) de fin de formation permettant de valider leur participation passée au cycle GERME ou au cycle EMERGENCE.
     

  • à nos sous-traitants (formateurs, notamment) : ces données sont communiquées par les sous-traitants dans le cadre du processus de sélection. Il s’agit des civilité, nom, prénom, adresses email et postale, numéro de téléphone. Pour les formateurs, nous collectons également les expériences et situation professionnelles ainsi que les qualifications. Les actions de formation animées par les formateurs sous-traitants font l’objet d’évaluations enregistrées dans le système d’information de GERME.

    Pour la mise en oeuvre des actions de formation (logistique), certains formateurs sous-traitants peuvent être amenés à communiquer à GERME des données sensibles (informations relatives à l’état de santé, situation de handicap, régime alimentaire particulier). Le cas échéant, ces données font l’objet d’un consentement explicite, sont accessibles uniquement aux salariés et sous-traitants de GERME impliqués dans la mise en oeuvre de l’action de formation et supprimées dès la fin de la formation (régime alimentaire) ou de la relation contractuelle (état de santé, situation de handicap).

    Le processus de sélection des animateurs-pilotes de groupes implique la collecte du chiffre d’affaires des candidats, afin d’évaluer leur indépendance économique et leur disponibilité. Cette donnée est supprimée dès la fin du processus de sélection.

    Nota Bene : Les anciens animateurs-pilotes de groupes sous-traitants peuvent prétendre au statut d’adhérent à l’association GERME et ainsi bénéficier de l’offre GERME+, à tout moment après la fin de leur mission en tant qu’animateurs (pas de durée maximale entre la fin de mission et la demande d’adhésion). GERME ne pouvant pas conserver les données à caractère personnel au-delà des finalités poursuivies par les traitements identifiés sur le présent document, la vérification de l’éligibilité des anciens animateurs-pilotes de groupes au statut d’adhérent nécessite la présentation par les personnes concernées de leur contrat de sous-traitance permettant de valider la réalisation d’une mission en tant qu’animateur-pilote de groupe pour GERME.
     

  • aux interlocuteurs en charge du financement de la formation professionnelle : ces données sont collectées soit auprès de nos clients (entreprises), soit auprès des financeurs eux-mêmes. Il s’agit des civilité, nom, prénom, employeur, adresses email et postale et numéro de téléphone.
     

  • aux membres du Conseil d’Administration de GERME : ces données sont transmises par les personnes concernées lors de leur candidature et supprimées dès la réalisation des élections dans le cas où le candidat ne serait pas élu. Il s’agit des civilité, nom, prénom, employeur, profession, adresses email et postale, numéro de téléphone, expériences professionnelles et qualifications. Les données relatives aux membres élus font l’objet d’un archivage intermédiaire jusqu’à 6 mois après la fin du mandat.

    Les candidats au Conseil d’Administration transmettent également une vidéo de présentation lors de leur candidature. Celle-ci est supprimée dès la fin du processus d’élection.

 

Des photos et/ou vidéos peuvent être collectées dans le cadre des activités de GERME, sur la base du consentement des personnes concernées. Sauf accord contraire (ex : diffusion de la photo dans une plaquette, vidéo promotionnelle), les photos et vidéos sont supprimées dès la fin de la relation contractuelle.

Par ailleurs, dans le cadre de l’utilisation des services en ligne proposés par GERME, les données suivantes peuvent être collectées : identifiants, informations d'horodatage, date de dernière connexion, adresses IP, logs, identifiants des terminaux, acceptation des CGU de l'application mobile. Les données liée à l’utilisation des services en ligne sont supprimées après 6 mois.

La politique relative aux données personnelles collectées dans le cadre de l’utilisation du site germe.com (y compris les formulaires complétés par des participants potentiels aux formations et les candidatures d’animateurs-pilotes de groupes et d’intervenants experts) est exposée sur notre page des mentions légales.

NB : Les données personnelles concernant les salariés de GERME font l’objet d’une charte dédiée.

4. Finalités et bases juridiques des traitements de données à caractère personnel

Les données collectées font l’objet d’un traitement par GERME pour les finalités suivantes :

  • Les traitements de données relatives à nos clients (entreprises) ont pour finalité la gestion administrative du cycle de formation (transmission et traitement des documents contractuels, des justificatifs de présence, de la facture) et la création et gestion des profils utilisateurs pour les services en ligne réservés aux membres du réseau GERME. Les données relatives aux tuteurs des participants aux formations proposées par GERME ont pour finalité le respect de l’obligation d’information aux participants et le suivi du développement des compétences des participants.

    Ces traitements s’appuient sur les obligations légales incombant aux organismes de formation et sont nécessaires à la mise en oeuvre du contrat.

    Les données relatives à nos clients peuvent également être utilisées dans le cadre d’actions de prospection commerciale si la personne n’a pas opposé son refus à de telles actions.

  • Les traitements de données relatives aux adhérents et aux participants aux actions proposées par GERME ont pour finalité la mise en oeuvre des prestations, à savoir :
     
    • pour les actions de formation : l’enregistrement des inscriptions, la planification des sessions, l’envoi des convocations et du livret d’accueil, l’émargement des participants, la mise en oeuvre des évaluations, l’élaboration et l’envoi des attestations d’assiduité et de fin de formation, ainsi que la création et la gestion des profils utilisateurs pour les services en ligne réservés aux membres du réseau GERME.
      Ces traitements s’appuient sur les obligations légales incombant aux organismes de formation et sont nécessaires à la mise en oeuvre du contrat.

       

    • pour les actions proposées dans le cadre de l’offre associative GERME+ : la communication de la programmation, l’enregistrement des inscriptions, l’envoi des confirmations, l’émargement des participants, la mise en oeuvre des évaluations, l’envoi du magazine GERME et la gestion des profils utilisateurs pour les services en ligne réservés aux adhérents du réseau GERME. Dans le cas où l’adhérent règle lui-même la cotisation à l’association GERME ou l’inscription à une rencontre payante, ses coordonnées sont également utilisées pour éditer et lui transmettre la facture.

      Ces traitements sont nécessaires à la mise en oeuvre du contrat.
       

    • pour les autres actions proposées par GERME : l’enregistrement des inscriptions, l’envoi des confirmations, l’émargement des participants et la mise en oeuvre des évaluations.

      Ces traitements sont nécessaires à la mise en oeuvre du contrat.

 

En sa qualité d’association loi 1901, GERME est également tenue de transmettre aux adhérents (et aux animateurs-pilotes de groupes sous-traitants) les informations relatives aux Assemblées Générales, notamment les appels à candidature et procédure de vote pour le Conseil d’Administration.

La collecte de l’adresse email des adhérents, participants et clients entreprises peut également avoir pour finalité l’envoi d’offres ou d’informations pertinentes, au regard des intérêts légitimes poursuivis par GERME, sauf opposition des personnes concernées. Les destinataires bénéficient de la possibilité de se désinscrire à tout moment via un lien de désinscription.

 

  • Les traitements de données relatives à nos sous-traitants ont pour finalité la gestion de la relation avec les sous-traitants : sélection et mise en oeuvre des activités sous-traitées. Pour les formateurs sous-traitants, elle implique également : la planification des parcours pédagogiques, l’analyse et la transmission des évaluations, la gestion des compétences et la gestion des profils utilisateurs pour les services en ligne réservés aux membres du réseau GERME.

    Ces traitements s’appuient sur les obligations légales incombant aux organismes de formation et sont nécessaires à la mise en oeuvre du contrat.

  • Les traitements de données relatives aux interlocuteurs en charge du financement de la formation professionnelle ont pour finalité la gestion administrative des cycles de formation : gestion de la relation tripartite (entreprise-organisme en charge du financement-GERME), transmission des justificatifs de présence et facturation.

    Ces traitements s’appuient sur les obligations légales incombant aux organismes de formation et sont nécessaires à la mise en oeuvre du contrat.

  • Le traitement de données relatives aux membres du Conseil d’Administration de GERME a pour finalité le renouvellement des membres du Conseil d’Administration, à travers le processus d’élection : transmission des candidatures aux électeurs et mise en oeuvre du vote.

    Ce traitement s’appuie sur l’intérêt légitime de GERME à structurer sa gouvernance, en sa qualité d’association loi 1901.

5. Destinataires des données personnelles

Nous communiquons des données personnelles dans le respect de la réglementation applicable. Lorsque nous partageons des données personnelles avec un tiers, nous veillons à mettre en place des dispositifs contractuels et des mesures de sécurité adéquates pour protéger les données. Les destinataires des données à caractère personnel sont tenus de respecter la confidentialité des informations et de ne les utiliser que pour l’opération bien précise pour laquelle ils doivent intervenir.

Les données personnelles qui nous sont confiées peuvent être transmises à(aux) :

  • services internes GERME en charge de la mise en oeuvre des activités

Seuls les personnels des services en charge des traitements sus-cités ont accès aux données à caractère personnel concernées.

  • prestataires qui nous fournissent des solutions / applications, du traitement de données ou des services informatiques

Nous avons recours à des prestataires en soutien aux services que nous offrons pour nous aider à fournir, gérer et administrer nos systèmes d’information internes. Par exemple : les fournisseurs de technologies informatiques, de solutions de service cloud, d’hébergement et de maintenance de sites web, de solutions d’analyses de données, de sauvegarde de données et d’archivage des données.

  • prestataires qui contribuent à la mise en oeuvre des services (notamment les formateurs et financeurs de la formation professionnelle)
  • nos commissaire aux comptes, expert comptable, avocats, assureurs et autres conseils professionnels
  • toute autorité de contrôle ou tout organisme tiers chargé de surveiller l’application de la réglementation ou la législation applicable en matière de protection des données

GERME peut être amené à recevoir des demandes de tierces parties pour obtenir la divulgation de données personnelles, pour, par exemple, vérifier la conformité avec la loi et la réglementation applicables, enquêter sur une infraction, établir, exercer ou défendre des droits. Ces demandes seront traitées conformément à la loi ou la réglementation.

Les données personnelles collectées par GERME peuvent faire l’objet d’un transfert en dehors de l’Union Européenne par l’intermédiaire d’un sous-traitant de GERME. Le cas échéant, ces transferts sont mis en oeuvre dans des conditions garantissant un niveau de protection approprié.

Ces transferts sont fondés soit sur :

  • une décision d’adéquation de la Commission Européenne
  • des règles d’entreprises contraignantes (BCR) 
  • des clauses contractuelles types approuvées par la Commission Européenne 
  • des clauses contractuelles  adoptées par une autorité et  approuvées par la Commission européenne

6. Durée de conservation des données

Les données personnelles collectées et traitées par GERME sont conservées en base active pendant la durée strictement nécessaire aux traitements sus-cités. 

Sauf mention contraire à l’article 3 (Nature des données collectées), les données font ensuite l’objet d’un archivage intermédiaire jusqu’à l’expiration de la durée de prescription légale applicable, soit : 

  • 10 ans à compter de la fin de l'exercice comptable pour les données liées aux obligations comptables (commande, facturation)
  • 10 ans à compter de la fin du contrat pour les données relatives à un contrat souscrit par voie électronique pour un montant égal ou supérieur à 120 euros
  • pour les autres données : 5 ans à compter de la fin du contrat

7. Sécurité

GERME attache une grande importance à la sécurité des données.

La sécurité des données collectées et traitées par GERME s’appuie sur les actions suivantes :

  • sensibilisation des salariés à la question des données personnelles par un cabinet spécialisé
  • signature d’une charte informatique par les salariés
  • sécurisation des postes de travail
  • sauvegardes et prévision de la continuité d’activité
  • sécurisation des sites web 
  • sécurisation des serveurs
  • protection du réseau informatique interne
  • sécurisation de l’informatique mobile
  • archivage sécurisé
  • chiffrement, signature
  • encadrement des développements informatiques
  • renforcement de la politique de gestion des habilitations
  • renforcement de la politique de gestion des mots de passe
  • constitution d’un registre des données et traitements
  • limitation de la collecte
  • traçabilité des incidents
  • révision des contrats de sous-traitance
  • sensibilisation des formateurs sous-traitants
  • accès sécurisé aux locaux (plusieurs clés + code)

8. Vos droits concernant vos données à caractère personnel

Les personnes physiques dont les données sont traitées par GERME peuvent exercer, sous réserve de la production d’un justificatif d’identité valide, les droits suivants, selon la réglementation applicable :

Droit d’accès

Vous pouvez demander à GERME s'il détient des données vous concernant et demander à ce que nous vous les communiquions pour en vérifier le contenu.
 

Droit de rectification

Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant. 

 

Droit au retrait du consentement

Lorsque des données personnelles sont traitées sur la base de votre consentement, vous avez le droit de le retirer à tout moment. 

 

Droit d’opposition

Lorsque vos données personnelles apparaissent dans un fichier non obligatoire et que vous ne souhaitez plus qu'elles y figurent, le droit d’opposition vous permet de vous opposer à ce que vos données soient utilisées par GERME pour un objectif précis. Vous devez mettre en avant « des raisons tenant à votre situation particulière », sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.

 

Droit à l’effacement

Vous pouvez obtenir l’effacement de certaines données si au moins une de ces situations correspond à votre cas : 

  • les données sont utilisées à des fins de prospection
  • les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées
  • vous retirez votre consentement à l’utilisation de vos données
  • vos données font l’objet d’un traitement illicite 
  • vos données doivent être effacées pour respecter une obligation légale
  • vous vous êtes opposé au traitement de vos données et GERME n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande

 

Droit à la portabilité
 

Le droit à la portabilité vous offre la possibilité de récupérer une partie de vos données dans un format lisible par une machine. Vous pouvez ensuite les stocker ailleurs ou les transmettre facilement d’un système à un autre, en vue d’une réutilisation à d’autres fins.

Il ne s’applique que si vos données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base de votre consentement préalable ou de l’exécution d’un contrat conclu avec vous.

L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité. 

 

Droit à la limitation du traitement

Le droit à la limitation de vos données complète vos autres droits (rectification, opposition…). Si vous contestez l’exactitude des données utilisées par GERME ou que vous vous opposez à ce que vos données soient traitées, la loi autorise GERME à procéder à une vérification ou à un examen de votre demande. Pendant ce délai, vous avez la possibilité de demander à GERME de geler l’utilisation de vos données. GERME ne devra plus utiliser les données mais devra les conserver.

Inversement, vous pouvez demander la limitation de certaines données dans le cas où GERME souhaiterait les effacer. Cela vous permettra de conserver les données, par exemple afin d’exercer un droit.

 

Droit à l’oubli en cas de décès

Vous avez le droit de définir des directives relatives au sort de vos données après votre décès. En l’absence de directives ou de mentions contraires dans vos directives, vos héritiers peuvent, après votre décès, exercer les droits sur vos données.

 

 

Pour exercer vos droits, vous pouvez nous contacter aux coordonnées suivantes :

Mail : dpo@germe.com
Adresse : GERME - 29 quai de Versailles - 44000 NANTES.

La CNIL propose des modèles de courrier pour l'exercice de vos droits, disponibles à l’adresse suivante : www.cnil.fr/fr/modeles/courrier
La prise en charge de votre demande nécessite la production d’un justificatif d’identité valide.

Nous nous engageons à répondre à toute demande dans les délais légalement impartis.

9. Réclamations

Si vous estimez, après avoir contacté GERME, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

Pour plus d’informations, consultez le site web de la CNIL : www.cnil.fr

10. Contact

Pour toute question à propos de la présente politique, vous pouvez nous contacter aux coordonnées suivantes :

Mail : dpo@germe.com
Adresse : GERME - 29 quai de Versailles - 44000 NANTES.

Logo