Avis relatif à la protection des données de DiscoverEU
L’Agence exécutive européenne pour l’éducation et la culture (EACEA) s’engage à préserver votre vie privée. Toutes vos données à caractère personnel sont traitées conformément au règlement (UE) 2018/1725 relatif à la protection des données à caractère personnel par les institutions, organes et organismes de l’Union (1) (ci-après le «règlement sur la protection des données»).
L’avis suivant relatif à la protection des données décrit les politiques régissant la collecte, la gestion et l’utilisation des données à caractère personnel des personnes participant à DiscoverEU par l’EACEA.
1. Qui est le responsable du traitement de vos données à caractère personnel?
Le responsable du traitement est l’Agence exécutive européenne pour l’éducation et la culture (B-1049 Bruxelles). La personne désignée comme responsable du traitement est le/la chef(fe) de l’unité A5 «Jeunesse, Corps européen de solidarité et Volontaires de l’aide».
Adresse électronique: eacea-a5@ec.europa.eu.
La DG EAC et l’EACEA agissent en tant que responsables conjoints du traitement en ce qui concerne DiscoverEU, car elles traitent conjointement les données à caractère personnel des candidats qui introduisent une demande de titre de transport DiscoverEU sur le portail européen de la jeunesse.
2. Quelles sont les données à caractère personnel qui sont traitées?
Les données à caractère personnel suivantes sont traitées et sont toutes obligatoires sauf mention contraire:
• numéros d’identification personnels (numéro de carte d’identité, de passeport ou de titre de résidence légale);
• données concernant les caractéristiques physiques des personnes, y compris l’image, la voix ou les empreintes digitales (photo de carte d’identité, de passeport ou de titre de résidence légale);
• données concernant la sphère privée: nationalité, résidence légale, date de naissance, adresse électronique, prénom, nom, sexe (facultatif), région de résidence (facultatif), numéro de téléphone, profession (par exemple: formation et emplois), handicap ou problème de santé (facultatif: en cas de demande de soutien spécial), et pays délivrant la carte d’identité nationale, le passeport ou le titre de résidence légale;
• données concernant les rémunérations, indemnités et comptes bancaires (source de financement des coûts non couverts);
• données concernant la famille de la personne concernée (niveau de formation des parents/tuteurs légaux (facultatif));
• données concernant la carrière de la personne concernée (profession antérieure (par exemple: formation et emplois), participation (antérieure) à une organisation de jeunesse (facultatif)), et future profession envisagée (par exemple: études et travail);
• numéros de téléphone et données concernant les communications (numéro de téléphone et adresse électronique);
• noms et adresses (y compris les adresses électroniques): prénom, nom, adresse électronique, carte d’identité nationale, passeport ou titre de résidence légale, et région de résidence (facultatif));
• données concernant la santé (facultatif: dans les cas où le participant demande un soutien spécifique en raison de son état de santé).
3. À quelles fins traitons-nous vos données?
• Organisation de procédures de sélection et d’attribution pour les titres de transport DiscoverEU et les services connexes: invitations à répondre à un questionnaire lancées aux candidats sur le portail européen de la jeunesse. À cette fin, les candidats doivent soumettre certaines données à caractère personnel afin de permettre aux responsables conjoints du traitement d’évaluer s’ils remplissent les conditions d’admissibilité. Les participants sont sélectionnés s’ils remplissent ces conditions, s’ils répondent correctement aux questions du quiz et s’ils répondent de la manière la plus correcte à la question subsidiaire.
• Après la sélection des candidats, le contractant vérifie leur admissibilité réelle en vérifiant la validité des documents personnels (preuves de nationalité et de résidence légale).
• Le contractant attribue ensuite le titre de transport et la carte de réduction qui l’accompagne aux participants. Les participants utilisant le titre de transport ont des contacts avec le contractant pour préparer leur voyage et s’ils ont besoin d’aide pour l’utiliser.
• Réservation de billets de train, d’autocar ou d’avion pour les candidats ayant obtenu un titre de transport DiscoverEU.
• Suivi et rapports: l’EACEA peut également traiter les données à caractère personnel des participants à des fins de suivi et pour l’établissement de rapports.
Les données à caractère personnel des candidats non sélectionnés peuvent être transmises par la DG EAC (responsable conjointe du traitement) à son contractant afin qu’il leur envoie la carte de réduction de l’association responsable de la carte «jeunes» européenne.
4. Qui a accès à vos données à caractère personnel et à qui sont-elles communiquées?
L’accès à vos données à caractère personnel peut être accordé aux destinataires suivants:
• le personnel autorisé de l’EACEA (établie dans l’UE);
• le personnel autorisé de la Commission européenne;
• le personnel autorisé du contractant et de ses sous-traitants (établis dans les pays de l’UE/EEE);
• le contractant qui exploite DiscoverEU en utilisant des services fournis par les tierces parties suivantes:
o Adobe Campaign et Mandrill (confirmation courriels);
o AWS Cognito et CommerceTools (gestion de comptes et de commandes);
o AWS Dynamo DB (titre mobile);
o Chatlayer (dialogueur);
o Dune (base de données);
o Flexmail (système de courrier électronique);
o Insided (communauté);
o Mailchimp et IRIS/Intersystems (réservations);
o MessageBird (système de SMS);
o Netigate (enquête post-voyage);
o Shufti Pro (vérification d’identité);
o SQL Datawarehouse (archivage et rapports);
o Zendesk (service d’assistance).
Dans un nombre très limité de cas (billets de train fixes ou voyages exceptionnels en bus ou en avion), des données à caractère personnel limitées (nom, prénom et date de naissance) sont transférées à une agence de voyage établie en Belgique, avec laquelle le contractant DiscoverEU a conclu un accord sur la protection des données. Selon l’itinéraire demandé par le participant, l’agence de voyage peut réserver des voyages auprès d’opérateurs de transport dans des pays de l’UE/EEE ou des pays situés en dehors de celle-ci qui participent à DiscoverEU (Macédoine du Nord, Serbie et Turquie).
Ces voyages sont toujours réservés à la demande du participant. Ce transfert de données à caractère personnel sera fondé sur l’article 50, paragraphe 1, point c) (transfert nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée).
En cas de contrôle ou de litige, l’accès à vos données à caractère personnel peut être accordé selon le principe du «besoin d'en connaître» aux organes chargés d’une mission de contrôle ou d’inspection en application du droit de l’Union (le service d’audit interne, la Commission européenne, l’OLAF, les tribunaux de l’UE, etc).
5. Combien de temps conservons-nous vos données à caractère personnel?
Les données à caractère personnel contenues dans les demandes non retenues pour DiscoverEU seront supprimées deux ans après l’introduction de ces demandes, sauf si les candidats concernés ont exprimé leur souhait de rester informés des autres services du portail européen de la jeunesse ou d’y participer, auquel cas les données sont conservées pendant 5 ans maximum. Passés ces délais, leurs données à caractère personnel seront conservées à des fins statistiques uniquement et seront rendues anonymes.
Les données à caractère personnel contenues dans les demandes retenues pour DiscoverEU seront supprimées 5 ans après la date de réservation des voyages conformément à la liste commune de conservation des dossiers, sauf si l’utilisateur concerné a manifesté son souhait de ne pas être sélectionné et n’a pas bénéficié d’un financement de l’UE par l’intermédiaire de l’initiative, auquel cas les données sont conservées pendant une durée maximale de 2 ans.
Toutefois, nous pouvons conserver les informations vous identifiant pendant une période plus longue à des fins historiques, statistiques ou scientifiques, moyennant des garanties appropriées.
6. Quels sont vos droits concernant vos données à caractère personnel et comment les exercer?
En vertu des dispositions du règlement sur la protection des données, vous avez le droit de demander:
• l’accès aux données à caractère personnel détenues par l’EACEA à votre sujet;
• la rectification de vos données à caractère personnel si nécessaire;
• l’effacement de vos données à caractère personnel;
• la limitation du traitement de vos données à caractère personnel;
• à recevoir vos données ou les faire transférer vers une autre organisation dans un format standard lisible par machine couramment utilisé (transférabilité des données).
N. B.: compte tenu de la nature concurrentielle de la procédure de sélection, le droit de rectification des informations ne peut s’appliquer qu’aux données factuelles traitées dans le cadre de la procédure d’attribution concernée. Le droit de rectification de ces données ne peut être exercé que jusqu’à la date limite de dépôt des demandes.
Toutefois, des données factuelles d’identification inexactes peuvent être rectifiées à tout moment pendant et après la procédure d’attribution.
Étant donné que le traitement de vos données à caractère personnel dont il est question ici est fondé sur l’article 5, paragraphe 1, point a), du règlement sur la protection des données, vous avez le droit de vous opposer au traitement de ces données pour des raisons tenant à votre situation particulière eu égard aux dispositions de l’article 23 dudit règlement.
L’article 25 du règlement (UE) 2018/1725 prévoit que, pour des questions relatives au fonctionnement des institutions et organes de l’Union, ceux-ci peuvent limiter certains droits dont jouissent les personnes dans des circonstances exceptionnelles et moyennant les garanties prévues par ledit règlement. Ces restrictions sont prévues dans des règles internes adoptées par l’EACEA et publiées au Journal officiel de l’Union européenne: (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021Q0317%2801%29)
Elles devront être limitées dans le temps et proportionnées et respecter l’essence des droits susmentionnés. Elles seront levées dès la fin des circonstances les justifiant. Vous recevrez un avis plus spécifique relatif à la protection des données à l’expiration de ce délai.
En règle générale, vous serez informé(e) des principales raisons d’une restriction, à moins que cette information n’en annule les effets.
Vous avez le droit de saisir le Contrôleur européen de la protection des données (CEPD) au sujet de la portée de la restriction concernée.
7. Votre droit de recours en cas de litige concernant toute question relative aux données à caractère personnel
En cas de litige concernant toute question relative à la protection des données à caractère personnel, vous pouvez vous adresser au responsable du traitement des données, dont les coordonnées et l’adresse électronique sont mentionnées ci-dessus.
Vous pouvez également contacter le délégué à la protection des données de l’EACEA à l’adresse électronique suivante: eacea-data protection@ec.europa.eu.
Vous pouvez aussi à tout moment déposer plainte auprès du CEPD: http://www.edps.europa.eu.
8. Quelle est la base juridique du traitement de vos données à caractère personnel?
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi(e) l’institution ou l’organe de l’Union (à établir dans le droit de l’Union):
- la décision d’exécution 2021/173 de la Commission instituant l’EACEA;
- la décision C(2021)951 de la Commission portant délégation à l’EACEA pour la mise en œuvre de programmes dans le cadre du CFP 2021-2027, et ses annexes;
- le règlement (UE) 2021/817 du Parlement européen et du Conseil du 20 mai 2021 établissant Erasmus+, le programme de l’Union pour l’éducation et la formation, la jeunesse et le sport, et abrogeant le règlement (UE) n° 1288/2013 (JO L 189 du 28.5.2021, p. 1-33) (Texte présentant de l’intérêt pour l’EEE).
1) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (Texte présentant de l’intérêt pour l’EEE) (JO L 295 du 21.11.2018, p. 39).