RGPD - Notice d'information - Étudiantes et étudiants

Cette page vous informe quant à la manière dont l’Université traite ces données. Elles sont collectées, soit directement auprès de l’Etudiant, soit de manière indirecte auprès d’organismes officiels (Académie de Recherche et Enseignement Supérieur – ARES, services consulaires, etc.).  La notice est également téléchargeable au format PDF.

Dispositions légales

L’Université libre de Bruxelles, ci-après « l’Université », collecte des données à caractère personnel pertinentes et nécessaires à la gestion de sa relation avec ses étudiants inscrits ou en voie d’inscription, ci-après « l’Etudiant » (hors des contrats jobistes, pour lesquels l’Etudiant est assimilé à un membre du personnel).
Dans ce cadre, elle se conforme au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : le Règlement général sur la protection des données, ci-après « le RGPD » ainsi qu’à la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Responsable du traitement

Le Responsable du traitement est l’Université libre de Bruxelles, dont le siège est établi à 1050 Bruxelles, avenue F. Roosevelt 50.

Principes appliqués et bases légales

Les données à caractère personnel de l’Etudiant sont collectées et traitées par l’Université au moment de l’inscription de l’Etudiant et tout au long de son cursus à l’Université sur une base légale appropriée, définie en fonction du traitement de données et de sa finalité. Selon les cas, l’Université fonde le traitement sur :

• sa mission d’intérêt public d’enseignement, de recherche et de service à la société telle que prévue dans le Décret définissant le paysage de l’enseignement supérieur et l’organisation académique des études du 11 novembre 2013 (Décret Paysage) ;
• ses obligations légales ;
• l’exécution du contrat que l’Université a (ou a eu) avec l’Etudiant ;
• ses intérêts légitimes pour les finalités 12, 13, 14 et 19 ci-dessous ;

Dans certains cas ponctuels et pour autant que la situation le permette, le consentement de l’Etudiant peut également être recueilli pour fonder un traitement. Les informations pertinentes seront alors toujours fournies avant le traitement des données.

Le traitement des données ne s’effectue que s’il est nécessaire à la gestion du cursus de l’Etudiant ou à la réalisation des missions d’enseignement, de recherche et de service à la société de l’Université.

Les mesures organisationnelles et techniques nécessaires sont mises en place pour assurer la sécurité des données de l’Etudiant.

La transmission des données de l’Etudiant à des tiers n’a lieu que dans un contexte répondant aux missions d’enseignement, de recherche et de service à la société de l’Université ou à ses obligations légales et en aucun cas pour des objectifs commerciaux.

Les données de l’Etudiant sont principalement hébergées/traitées en Europe. En cas de transfert hors de l’espace économique européen, l’Université met en place les garanties appropriées afin d’assurer la protection des données à caractère personnel concernées.

La durée de conservation des données de l’Etudiant respecte les délais imposés par la loi le cas échéant et ne dépasse pas ce qui est nécessaire pour les finalités poursuivies lorsqu’une durée légale n’est pas fixée.

Finalités des traitements

Les données sont collectées et traitées, dans le cadre des objectifs généraux d’administration de l’Etudiant et de gestion de son cursus au sein de l’Université, pour les finalités suivantes.

• Admission de l’Etudiant :
• Inscription de l’Etudiant
• Gestion du cursus de l’Etudiant
• Gestion des activités d’enseignement
• Gestion des outils informatiques utilisés par l’Etudiant (les accès accordés ainsi que leur durée peuvent à tout moment être contrôlés via MonULB)
• Aide à la réussite
• Mobilité des étudiants
• Organisation des examens
• Organisation des proclamations
• Accompagnement à l’orientation et l’insertion professionnelles
• Lutte contre la fraude
• Sécurité informatique (intérêts légitimes)
• Sécurité physique des campus (intérêts légitimes)
• Vidéosurveillance (intérêts légitimes)
• Communication avec l’Etudiant
• Gestion des activités institutionnelles et manifestations académiques, scientifiques, culturelles et sociales organisées par l’Université
• Communication au public et promotion de l’image de l’Université
• Gestion du contentieux interne (en ce compris les recours)
• Défense en justice des droits de l’Université (intérêts légitimes)
• Elections participatives internes
• Traitements liés à des activités spécifiques
• Finalités ultérieures

La poursuite de ces finalités ultérieures peut impliquer l’établissement de listes d’étudiants sur la base de critères spécifiques (année et domaine d’étude, genre, établissement d’enseignement secondaire fréquenté, etc.).

En savoir plus

Catégories de données traitées

En fonction des finalités de traitement poursuivies, les données à caractère personnel traitées par l’Université peuvent concerner les catégories suivantes. Les données en italique sont celles qui peuvent être qualifiées de « sensibles » au sens du RGPD. L’utilisation du numéro de registre national est par ailleurs régie par une législation spécifique.

• Données d’identification et de contact privées
• Données d’identification et de contact au sein de l’Université
• Données administratives
• Données relatives à la formation et au cursus
• Données financières
• Données de connexion informatique et d’identification électronique
• Données recueillies en cas de mobilité hors de l’Université
• Données relatives à un contentieux entre l’Etudiant et l’Université
• Données liées à des traitements optionnels tels que repris au point 5.21

En savoir plus

Durée de conservation des données

L’Université conserve les données personnelles de l’Etudiant pendant la durée nécessaire à la réalisation des finalités décrites ci-dessus, tenant compte des éventuels délais de conservation légaux et des délais de prescription applicables en matière civile et pénale, notamment en cas de litige entre l’Université et l’Etudiant au sujet de l’exécution de leurs obligations respectives.

La durée exacte de conservation est donc évaluée au cas par cas, selon l’activité de traitement.

Les données sont conservées, par principe, jusqu’à extinction des obligations de l’Université à l’égard de l’Etudiant, soit au minimum 75 ans à compter de la naissance de l’Etudiant pour les données relatives au cursus (inscriptions, relevés de notes, etc.).

Si la période de conservation a expiré, les données personnelles sont supprimées dans un délai maximum d’un an.

Pour les traitements relatifs à des services optionnels de l’Université, tels que listés au point 5.21, les délais de conservation sont détaillés dans les notices d’information spécifiques.

En savoir plus

Personnes habilitées à accéder aux données et à les traiter. 5

Les données de l’Etudiant ne sont accessibles aux membres des services de l’Université que dans la stricte mesure nécessaire à l’exécution de leur mission. Il en va de même des employés de sociétés auxquelles fait appel l’Université dans le cadre de contrats de sous-traitance (en ce compris pour des missions de consultance) tel que mentionné au point 10.

Tous les membres du personnel ainsi que les étudiants sont tenus au respect de la confidentialité pour l’ensemble des données à caractère personnel gérées par l’Université. Ceci implique :

• l’obligation de ne pas accéder ou chercher à accéder à des données qui ne sont pas strictement nécessaires à l’exécution de leur mission ;
• l’interdiction de divulguer les données personnelles dont ils ont connaissance hors de ce qui est nécessaire à l’exercice de leurs fonctions, pendant ou après leur relation de travail avec l’Université ;
• l’interdiction de conserver une copie des données traitées à l’issue de la relation de travail.

Les mêmes obligations sont imposées, le cas échéant, aux employés des sous-traitants, aux jobistes et stagiaires.

Obligation de confidentialité portant sur les étudiants

L’Etudiant est tenu au strict respect de la confidentialité pour l’ensemble des données à caractère personnel autres que celles le concernant gérées par l’Université auxquelles il aurait accès ou dont il aurait eu connaissance durant son cursus à l’Université, qu’elles portent notamment sur les autres étudiants, les membres du personnel, les visiteurs de l’Université ou les participants à des projets de recherche.

Il a ainsi l’obligation de :

• ne pas accéder ou chercher à accéder à des données à caractère personnel qui ne sont pas strictement nécessaires à la réalisation de ses études ;
• s’abstenir, tant au cours de son cursus qu’après le terme de celui-ci, de divulguer ou d’utiliser pour des finalités autres que la réalisation de ses études les données à caractère personnel dont il aurait eu connaissance sans autorisation des personnes concernées.

Partage des données avec des sous-traitants et des tiers

L’Université reconnaît la nature confidentielle des données à caractère personnel de l’Etudiant et ne les divulgue ou ne les rend accessibles qu’en cas de nécessité, selon le principe général du « besoin d’en connaître ». Elle ne vend pas les données à caractère personnel de l’Etudiant, pas plus qu’elle ne les loue, ne les partage ou ne les met commercialement à la disposition de tiers, sous réserve de ce qui est prévu ci-dessous.

Lorsque ces partages ont lieu, l’Université garantit la mise en place des mesures de sécurité techniques et organisationnelles appropriées, telles que notamment la conclusion de conventions et l’utilisation de moyens de communication sécurisés, en ce compris en cas de transfert des données de l’Etudiant en dehors de l’Espace économique européen (comprenant l’Union européenne, le Liechtenstein, l’Islande et la Norvège) afin que le partage de ces données respecte les obligations imposées par le RGPD.

En savoir plus

Sécurité des données

L’Université, en tant que Responsable de traitement, et ses sous-traitants le cas échéant, mettent en œuvre et maintiennent les mesures techniques et organisationnelles adéquates en vue de sécuriser les données à caractère personnel contre tout accès, communication, modification, perte ou destruction accidentelle, interdits ou illicites.

L’Université a mis en place des procédures appropriées afin de gérer toute violation présumée de données à caractère personnel et se conforme au RGPD en cas d’une violation présentant des risques pour les personnes concernées en termes notamment de notification de l’Autorité de Protection des Données et des personnes concernées.

En savoir plus

Délégué à la protection des données. 7

L’UL’Université a désigné un Délégué à la protection des données, lequel peut être contacté pour toute question relative à la protection des données à caractère personnel ou pour toute demande d’exercice de droits, à l’adresse suivante : rgpd@ulb.be (Avenue F. Roosevelt 50, CP 130, 1050 Bruxelles).

Droits de l'étudiant et personne de contact pour les exercer. 7

En vertu de la législation relative à la protection des données à caractère personnel, en s’adressant par courrier électronique ou lettre signée et datée au Délégué à la protection des données de l’Université, Avenue F. Roosevelt 50, 1050 Bruxelles, CP 130, rgpd@ulb.be, l’Etudiant a le droit :

• d’obtenir, sans frais, une copie des données à caractère personnel le concernant faisant l’objet d’un traitement par l’Université et, le cas échéant, toute information disponible sur leur finalité, leur origine et leur destination ;
• d’obtenir, sans frais, la rectification de toute donnée à caractère personnel inexacte le concernant ainsi que d’obtenir que les données incomplètes soient complétées ;
• d’obtenir, sous réserve des conditions prévues par la réglementation et sans frais, l’effacement de données à caractère personnel le concernant ;
• d’obtenir, sous réserve des conditions prévues par la réglementation et sans frais, la limitation du traitement de données à caractère personnel le concernant ;
• d’obtenir, sans frais, la portabilité des données à caractère personnel le concernant qu’il a fournies à l’Université, c’est-à-dire de recevoir les données dans un format structuré couramment utilisé, à la condition que le traitement soit fondé sur le consentement ou sur un contrat et qu’il soit effectué à l’aide de procédés automatisés ;
• de s’opposer, sous réserve des conditions prévues par la réglementation et sans frais, pour des raisons tenant à sa situation particulière, au traitement des données à caractère personnel le concernant.

Conformément à la législation, une réponse sera fournie dans les 30 jours de l’introduction de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes mais la raison en sera alors donnée dans un premier délai d’un mois.

Le délai de réponse ne commence à courir que si la demande reçue est complète et la personne concernée correctement identifiée. En effet, il est nécessaire de pouvoir établir de manière certaine l’identité du demandeur afin d’éviter toute communication de données à des tiers non habilités. Le cas échéant, des éléments seront demandés pour prouver l’identité de l’Etudiant.

Lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l’Université peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées. Elle peut également refuser de donner suite aux demandes mais elle est alors tenue de démontrer le caractère manifestement infondé ou excessif de la demande.  

Dans le cas où la réponse ou les justifications d’une absence de réponse ne sont pas satisfaisants pour l’Etudiant, il lui est possible d’introduire une réclamation auprès de l’Autorité de protection des données (https://www.autoriteprotectiondonnees.be/, contact@apd-gba.be).

Droits soumis à conditions

Définitions. 11

Consultez les définitions utiles à la compréhension des informations contenues sur cette page.