Politique générale de gestion des données personnelles

Le responsable de traitement

École Centrale de Marseille sous le nom d’usage Centrale Méditerranée, établissement public d’État à caractère scientifique, culturel et professionnel auquel s'applique le statut d'École extérieure aux universités défini aux articles L.715-1 à L.715-3 du code de l'Éducation.
Domiciliée Pôle de l’Étoile - Technopôle de Château Gombert, 38 rue Joliot Curie, 13013, MARSEILLE
SIRET : 191 333 400 000 15 - Code APE 8542 Z
Représentée par sa Directrice en exercice, Madame Carole DEUMIE, dûment habilitée aux fins des présentes,
Ci-après dénommée « Centrale Méditerranée »

Le responsable d’un traitement de données à caractère personnel est l’autorité qui détermine ses finalités et ses moyens. Pour les traitements mis en œuvre par l’École Centrale Marseille, le responsable de traitement est l’École Centrale Marseille (en sa qualité de personne morale) incarnée par son Président en exercice.

Le délégué à la protection des données

Margalith BENECH-KOPELIANSKIS
DGSA – DPO
38 rue Frédéric Joliot Curie, 13013 MARSEILLE
Téléphone : 04 91 05 46 07
Adresse électronique : dpo@centrale-marseille.fr    

Le délégué à la protection des données à caractère personnel qui a été désignée par Centrale Méditerranée est chargée d’assurer le pilotage de la conformité de l’établissement à la réglementation relative à la protection des données à caractère personnel. C’est le contact privilégié pour toute question portant sur la gestion des données à caractère personnel au sein de l’École et l’exercice des droits des personnes concernées. Cette désignation a fait l’objet d’une désignation auprès de la CNIL.

La sous-traitance

Pour l’exercice de ses missions, Centrale Méditerranée peut être amenée à recourir à des prestations en sous-traitance directe ou ultérieure. Lorsque l’École recourt à une gestion externalisée, elle fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Voir ici la liste des sous-traitants directs de Centrale Méditerranée

Pour l’exercice de ses missions l’École opère un certains nombres de traitements de données à caractère personnel concernant différents publics qui peuvent être regroupés en plusieurs catégories :

• étudiants,
• personnel,
• administrateurs (détenteur d’un mandat élu ou désigné dans l’un des instances de l’École)
• visiteurs et partenaires,
• fournisseurs et sous-traitants.

Pour chaque public concerné, l’École met en œuvre un certain nombre de traitements impliquant la gestion de données à caractère personnel. Un document spécifique vient préciser pour chacun de ces publics le détail des traitements de données mis en œuvre.

Voir ici le tableau récapitulatif des traitements de données mis en œuvre par l’École, par catégories de publics.

De manière générale, l’École s’engage à respecter les principes établis ci-après lors de la collecte et du Traitement de Données personnelles.

Une collecte loyale et transparente des données

Toute personne dont les données à caractère personnel font l'objet d'un traitement doit recevoir de la part du Responsable de traitement une information qui doit être concise, transparente, compréhensible et aisément accessible des personnes concernées.

Soucieuse de garantir la transparence pour une meilleure maitrise de leurs données, Centrale Méditerranée s’assure d’adresser à chaque personne concernée, selon l’usage qui est fait de ses données, une information adéquate et pratique sur les conditions de mise en œuvre des traitements de données les concernant dans l’objectif de garantir un véritable contrat de confiance.

Pour ce faire, sur la base du registre des traitements, qui lui permet d’identifier l’ensemble des publics concernées, et des traitements les concernant, l’Ecole détaille dans un document spécifique, chaque public pour ce qui le concerne le détail des caractéristiques de l’ensemble des traitements vous concernant dans la fiche technique jointe au présent document.

Ces données sont collectées loyalement. Aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées.

Les bases juridiques et les finalités des traitements de données

Il est nécessaire d'être en mesure d'expliquer le choix des bases légales retenues pour chaque traitement. Si le traitement n’est fondé sur aucune de ces bases juridiques, il est immanquablement irrégulier.

Centrale Méditerranée, en sa qualité d’établissement public à caractère scientifique, culturel et professionnel, exerce des missions publiques d’intérêt général.

Les bases juridiques de ces traitements sont alternativement :

• Leur nécessité à l’exécution d’une mission d’intérêt public (Article 6e RGPD) ;
• Le respect d’une obligation légale (article 6c) ;
• Leur nécessité à l’exécution d’un contrat (Article 6b).

En tout état de cause, Centrale Méditerranée s’assure systématiquement en amont de la mise en œuvre de tout nouveau projet mettant en œuvre un nouveau traitement de données à caractère personnel de rattacher le projet de traitement de données à l’une de ces bases juridiques ; sans l’une de ces bases identifiées, le projet impliquant un traitement de données, ne pourra pas être mis en œuvre.

Une collecte proportionnée et adéquate des données

Le principe de minimisation impose de ne collecter que les données strictement nécessaires à l'accomplissement de la finalité.

Lorsque l’École est amenée à traiter des données, elle le fait pour des finalités spécifiques : chaque traitement de données mis en œuvre poursuit une finalité légitime, déterminée et explicite.

Pour chacun des traitements mis en œuvre, l’École s’engage à ne collecter et n’exploiter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Dans le cadre des traitements de données à caractère personnel dont les finalités vous seront présentées ci-après, l’École collecte et traite les catégories de données suivantes :
o    Des données d’identification des personnes concernées telles que la civilité, nom et prénom, coordonnées électroniques, téléphoniques et postales ;
o    Des données relatives à la situation professionnelle de la personne concernée telles que la profession ou encore les coordonnées professionnelles ;
o    Des données d’ordre économique et financier ;
o    Enregistrement des visioconférences et webinaires organisés par le cabinet (vidéo, contenu, message, tableau de bord et rapports)
o    Données de connexion et log ;
o    Contenus des échanges intervenus avec l’École.

L’École veille à ce que les données soient mises à jour et à mettre en œuvre des procédés pour permettre l’effacement ou la rectification des données inexactes.

Les destinataires des données

Afin de garantir la confidentialité des informations, seules les personnes habilitées doivent avoir accès à ces données. Une politique d’habilitation stricte doit être mise en place afin que les données qu’il traite ne soient transmises qu’aux seules personnes autorisées à y avoir accès.

S’agissant des destinataires de ces données, il est précisé qu’elles ont principalement vocation à être traitées par les personnels habilités de l’École soumis à une obligation de confidentialité.

Elles peuvent toutefois être transmises chacun pour ce qui les concerne :

• toute personne tierce habilitée intervenant pour le compte de l’École ;
• les autorités ou juridictions compétentes ;
• les prestataires de l’École ;
• les autorités de tutelle.

Dans le cadre de la transmission de données à des tiers choisis par l’École, elle s’assure de prendre toutes les garanties en matière de données à caractère personnel apportées par lesdits tiers et.

Lorsque l’École recourt à un prestataire, elle ne lui communique des données à caractère personnel qu’après avoir obtenu de ce dernier un engagement et des garanties sur sa capacité à répondre à ces exigences de sécurité et de confidentialité.

L’École formalise avec ses sous-traitants un acte contractuel conforme à la réglementation sur la protection des données personnelles.

Transfert de données hors Union Européenne

Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne est appelé "transfert". Or, le transfert de données hors de l’Union européenne (UE) et de l’Espace Économique Européen (EEE) est possible, à condition d’assurer un niveau de protection des données suffisant et approprié. Ces transferts doivent être encadrés en utilisant différents outils juridiques.

Dans le cas d’un transfert de données personnelles en dehors de l’Union européenne, Ces transferts ne pourront être réalisés qu’après que l’École ait pris les mesures pour les sécuriser, en veillant par exemple à la conclusion des clauses types définies par la Commission européenne afin d’encadrer les flux.

C’est le cas avec les partenaires de l’École notamment dans le cadre de la gestion des partenariats internationaux et de la mobilité internationale académique.

En outre, l’École est susceptible de transférer des données personnelles en dehors de l’Union européenne dans le cadre des outils informatiques qu’elle utilise pour ses activités.
Par ailleurs, dans le cadre du développement de sa politique d’entreprise duale, le cabinet utilise zoom pour l’organisation de ses webinaires et visioconférences, dans ce cadre, des données à caractère personnel sur les organisateurs et les participants, ainsi que sur les événements sont communiquées à Zoom aux États Unis et dans tout autre pays hors union européenne ne disposant pas d’une protection équivalente. Si vous ne souhaitez pas que vos données soient transférées à Zoom, dans ce cas, il vous est conseillé ne pas vous inscrire ou participer à nos visioconférences et webinaires.

Cette communication de données a pour finalité la fourniture du service ainsi que la maintenance, l’assistance et le support, l’administration et l’hébergement. Une convention de flux transfrontières sur la base des clauses contractuelles types de la Commission européenne a été conclue avec Zoom, afin d’encadrer le transfert des données et d’assurer un niveau de protection suffisant au regard des exigences de la réglementation française.

Durées de conservation

Le RGPD impose de définir des durées de conservation pour chaque traitement identifié. Les données personnelles ne peuvent en effet être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devraient être archivées, supprimées ou anonymisées (afin notamment de produire des statistiques).

Les durées de conservation que l’École applique à vos données à caractère personnel sont proportionnées aux finalités pour lesquelles elles ont été collectées et n’excéderont pas ce qui est strictement nécessaire à l’atteinte de ces finalités.

L’École s’appuie en priorité, sur les textes légaux et règlementaires qui les définissent et en particulier, les instructions de tri et de conservation pour les archives reçues et produites par les services et établissements concourant à l’éducation nationale [n° 2005-003 du 22-2-2005 - NOR : MENA0501142J].

Sécurité des données personnelles

La sécurité est indispensable pour apporter la confiance dans la gestion des données. La CNIL propose 3 niveaux progressifs adaptés aux moyens et aux besoins, une méthode et des outils pour se mettre en conformité :
> Niveau 1 : le minimum pour démarrer
> Niveau 2 : les mesures d’hygiène pour protéger votre SI
> Niveau 3 : protéger le plus sensible de façon spécifique

L’École accorde une importance particulière à la sécurité des données personnelles.
Elle a mis en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et la confidentialité des données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés.
Néanmoins, la sécurité et la confidentialité des données personnelles reposent sur les bonnes pratiques de chacun, ainsi la personne concernée est invitée à rester vigilante sur la question.

Gestion des demande d'exercice des droits et réclamations

Les personnes concernées disposent de droits afin de garder la maitrise de leurs données. Le responsable du fichier doit leur expliquer comment les exercer (auprès de qui ? sous quelle forme ?). Lorsqu’elles exercent leurs droits, les personnes doivent obtenir une réponse avant un mois

L’École est particulièrement soucieuse du respect des droits des personnes dans le cadre des traitements de données qu’elle met en œuvre, pour leur garantir des traitements équitables et transparents compte tenu des circonstances particulières et du contexte dans lesquels les données personnelles sont traitées.

Le personnel de l’École est formé afin de permettre la gestion diligente de ce type de demande et a mis en œuvre une procédure de gestion selon les types de droits concernés.

Lorsque vous adressez une demande d’exercice de droit, vous devez vous identifier par tout moyen. En cas de doute sur votre identité, l’École pourra demander des informations supplémentaires apparaissant nécessaires, y compris la photocopie d’un titre d’identité portant votre signature.

Il est en effet précisé que les droits suivants permettent de :

•    Droit d’accès : confirmer que ses données personnelles sont ou ne sont pas traitées et lorsqu’elles le sont, permet de disposer du droit de demander une copie de ses données et des informations concernant :

• les finalités du traitement ;
• les catégories de données personnelles concernées ;
• les destinataires ou catégories de destinataires ainsi que, le cas échéant si de telles communication devaient être réalisées, les organisations internationales auxquelles les données personnelles ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ;
• lorsque cela est possible, la durée de conservation des données personnelles envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
• l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de vos données personnelles, du droit de demander une limitation du traitement de vos données personnelles, du droit de vous opposer à ce traitement ;
• le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• des informations relatives à la source des données quand elles ne sont pas collectées directement auprès des personnes concernées ;
• l’existence d’une prise de décision automatisée, y compris de profilage, et dans ce dernier cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour les personnes concernées.

•    Droit à la rectification des données : permet de demander à ce que ses données personnelles soient, selon les cas, rectifiées, complétées si elles sont inexactes, incomplètes, équivoques, périmées.

•    Droit à l’effacement de vos données : Demander l’effacement de vos données personnelles dans les cas prévus par la législation et la réglementation.
Votre attention est attirée sur le fait que le droit à l’effacement des données n’est pas un droit général et qu’il ne pourra y être fait droit que si un des motifs prévus dans la réglementation applicable est présent.

•    Droit à la limitation des traitements de données : Demander la limitation du traitement de vos données personnelles dans les cas prévus par la législation et la réglementation.

•    Droit de s’opposer aux traitements de données : S’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de ses données à caractère personnel dont la base juridique est l’intérêt légitime poursuivi par le responsable du traitement.

En cas d’exercice d’un tel droit d’opposition, l’École veillera à ne plus traiter les données à caractère personnel concernées dans le cadre du traitement concerné sauf si elle peut démontrer avoir des motifs légitimes et impérieux pour maintenir ce traitement. Ces motifs devront être supérieurs aux intérêts et droits et libertés de la personne concernée, ou le traitement se justifier pour la constatation, l’exercice ou la défense de droits en justice.

•    Droit à la portabilité de vos données : Il ne s’agit pas d’un droit général. En effet, toutes les données de tous les traitements ne sont pas portables et ce droit ne concerne que les traitements automatisés à l’exclusion des traitements manuels ou papiers. Ce droit est limité aux traitements dont la base juridique est votre consentement ou l’exécution des mesures précontractuelles ou d’un contrat. Ce droit n’inclut ni les données dérivées ni les données inférées, qui sont des données personnelles créées par l’École.

•    Droit de retirer votre consentement : Lorsque les traitements de données que nous mettons en œuvre sont fondés sur votre consentement, vous pouvez le retirer à n’importe quel moment. Nous cessons alors de traiter vos données à caractère personnel sans que les opérations antérieures pour lesquelles vous aviez consenti ne soient remises en cause.

•    Droit de définir des directives post-mortem : Vous avez la possibilité de définir des directives particulières relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès selon les modalités ci-après définies. Ces directives particulières ne concerneront que les traitements mis en œuvre par nos soins et seront limitées à ce seul périmètre. Vous disposerez également, lorsque cette personne aura été désignée par le pouvoir exécutif, définir des directives générales aux mêmes fins.

•    Droit d’introduire un recours : Vous avez le droit d’introduire une réclamation auprès de la Cnil (3 place de Fontenoy 75007 Paris) sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel ou en déposant plainte sur le site en ligne de la Cnil.

Consultez le site cnil.fr pour plus d’informations sur vos droits.

Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter le délégué à la protection des données de l’École : dpo@centrale-marseille.fr.

La présente politique entre en vigueur à la date de sa mise en ligne. Il en est de même des modifications.

• Règlement (UE) 2016/679 du 27 avril 2016 - protection des personnes à l'égard du traitement des données personnelles
• Directive 2016/680/UE relative aux fichiers concernant les infractions pénales (Directive "Police-Justice")
• Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
• Loi n°78-17 du 6 janvier 1978 - Informatique et libertés
• Code pénal : articles 226-1 à 226-7 Atteintes à la vie privée : sanctions
• Code pénal : articles 226-16 à 226-24 Atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques
• Décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi de 1978 relative à l'informatique, aux fichiers et aux libertés
• TRI ET CONSERVATION DES ARCHIVES CONCERNANT L’ÉDUCATION NATIONALE : LeB.O. N°24 16 JUIN 2005

Un peu de vocabulaire....

_{Vous retrouverez l’ensemble des définitions des notions clefs de la réglementation informatique et libertés à l’article 4 du RGPD}

•    Qu’entend-on par « donnée à caractère personnel » / « donnée personnelle » ? : La notion de « donnée personnelle » est à comprendre de façon très large. Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée :

• directement (exemple : nom, prénom)
• ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

• à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)  
• à partir du croisement d’un ensemble de données (exemple 1 : une personne, de sexe féminin vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association ; exemple 2 : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y-compris si leur nom n’est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations).

•    Un traitement ou une activité de traitement, qu'est-ce que c'est ? : Cette notion est également très large. Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemples : Gestion de la base de données clients ou fournisseurs ; gestion RH pour la mise en œuvre de la paie des salariés, contrôle des accès et gestion des badges.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

•    Le responsable de traitement c'est qui, c'est quoi ? : Le responsable du traitement, c'est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement c’est-à-dire qui décide quelles données à caractère personnel sont collectées, pourquoi et comment elles sont collectées et traitées. CENTRALE MÉDITERRANÉE est par exemple responsable des traitements ayant pour finalité la gestion RH mais aussi contrôle des accès, gestion de ses fournisseurs, etc.

•    Qu'est-ce qu'un sous-traitant ? : Le « sous-traitant », c'est toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement (Attention : traiter des données personnelles peut signifier uniquement et seulement, potentiellement, y avoir accès, c’est-à-dire les voir). En fonction de son niveau d’autonomie sur la gestion des données personnelles, CENTRALE MÉDITERRANÉE peut être « responsable de traitement » pour la mise en œuvre des traitements RH ou « sous-traitant » dans le cadre de la mise à disposition des services de la Plateforme Centrale Méditerranée

Exemples : prestataires de service informatique (hébergement, maintenance), sociétés de sécurité informatique, agences de marketing, prestataires de travaux (si communication de données personnelles nécessaire pour les exécuter), etc.

•    Qui sont les destinataires ? : La notion de « destinataire » : personne physique ou morale qui reçoit communication de données personnelles ; plus généralement toute personne qui a accès à des données personnelles. La notion de destinataire intègre donc celle de sous-traitant.

Exemples : les différents services de CENTRALE MÉDITERRANÉE en charge d’un traitement sont destinataires de ce traitement. Sont également destinataires les prestataires qui sont mobilisés pour participer à son exécution (exemple : société de maintenance informatique, etc.).

•    Qu'est-ce qu'un transfert de données ? : Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.

•    Qu'est-ce qu'un DPO ? : Le délégué à la protection des données (DPD en français ou DPO en anglais) est chargé notamment d’informer, de conseiller et de contrôler la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements qu’il met en œuvre.

Sa désignation est obligatoire dans certains cas (soit du fait du statut d’organisme public soit du fait de la nature des traitements impliquant une intrusion importante dans la vie privée des personnes concernées ou un risque important sur leurs données). Un délégué, interne ou externe, peut être désigné pour un ou plusieurs organismes (dans ce cas, il est mutualisé) sous conditions. Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement adéquat.

En savoir + : Lire ici le Guide pratique RGPD – Délégués à la protection des données personnelles sur le site de la Cnil

Autres définitions :

o    Analyse d’impact relative à la protection des données (AIPD) : analyse à effectuer par le gestionnaire de données, en tant que responsable de traitement pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le sous-traitant doit accompagner le responsable de traitement pour sa réalisation.

o    Autorité de contrôle : autorité publique indépendante instituée par un État membre en vertu de l’article 51 du RGPD, chargée de surveiller l’application du RGPD, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du Traitement et de faciliter le libre flux des données à caractère personnel de l’Union européenne.

o    Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

o    Données à caractère personnel sensibles/Données personnelles sensibles : désigne les Données à caractère personnel révélant ou reposant sur :

• L'origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques
• L’appartenance à une organisation syndicale
• La santé physique ou mentale
• L’orientation sexuelle ou la vie sexuelle
• Les données génétiques et biométriques
• Des données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes.

o    Législation applicable : ensemble de la réglementation relative à la protection des données personnelles et applicable aux traitements de données personnelles effectués par CENTRALE MÉDITERRANÉE, à savoir le Règlement européen n°2016/679 relatif à la protection des Données à caractère personnel (RGPD), la loi informatique et libertés modifiée, et toute autre réglementation qui y serait relative, applicable à CENTRALE MÉDITERRANÉE.

o    Personne concernée : individu sur lequel porte les données à caractère personnel et qui peut être identifié ou identifiable, directement ou indirectement, grâce à ces données personnelles. Cela inclut les clients, usagers d’un service, les prospects, et les collaborateurs anciens et actuels.

o    RGPD : abréviation du Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données applicable en particulier :

• au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union,
• au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées : a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

o    Tiers : toute personne physique ou morale, autorité publique, agence ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées ou autorisées à traiter les données.

o    Violation de Données à caractère personnel : violation de la sécurité entraînante, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données