Accord sur le traitement des données (DPA)
Le présent accord sur le traitement des données (le "RGPD") est conclu entre DreamApply OÜ ("Processeur"), le fournisseur de la plateforme d'admission des étudiants "DreamApply" dont l'adresse est Pärnu mnt 102b, Tallinn, Estonie et une université ou un autre établissement d'enseignement ("Contrôleur"), qui accepte les candidatures des étudiants potentiels en utilisant la plateforme d'admission des étudiants "DreamApply" ou toute autre plateforme ou service fourni par le Processeur et qui a conclu un accord avec le Processeur. Le présent DPA régit le traitement des données à caractère personnel que le sous-traitant traite pour le compte du responsable du traitement.
1. Définitions
1.1. Données personnelles du Contrôleur désigne les Données personnelles que le Processeur traite pour le compte du Contrôleur dans le cadre de son utilisation des services du Processeur.
1.2. Exigences en matière de protection des données désigne le Règlement général sur la protection des données, les lois locales sur la protection des données, toute législation subordonnée et tout règlement mettant en œuvre le Règlement général sur la protection des données.
1.3. Données à caractère personnel de l'UE : les données à caractère personnel dont le partage en vertu du présent DPA est régi par le règlement général sur la protection des données et les lois locales sur la protection des données.
1.4. Règlement général sur la protection des données désigne le règlement de l'Union européenne relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
1.5. Lois locales sur la protection des données : toute législation et réglementation subordonnée mettant en œuvre le règlement général sur la protection des données et pouvant s'appliquer à ce DPA.
1.6. Données personnelles : toute information relative à une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique. Cela inclut les données que le responsable du traitement choisit de fournir au sous-traitant.
1.7. Violation des données personnelles signifie toute destruction, perte, altération, divulgation non autorisée des données personnelles du contrôleur ou tout accès non autorisé à celles-ci, de manière accidentelle ou illégale.
1.8. Lois sur la protection de la vie privée désigne toutes les lois, réglementations et autres exigences légales applicables relatives (a) à la protection de la vie privée, à la sécurité des données, à la protection des consommateurs, au marketing, à la promotion et à la messagerie texte, au courrier électronique et à d'autres communications ; et (b) à l'utilisation, à la collecte, à la conservation, au stockage, à la sécurité, à la divulgation, au transfert, à l'élimination et à tout autre traitement de toute Donnée personnelle.
1.9. Traitement et ses dérivés désignent toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par
, la transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
1.10. Contrôleur - désigne l'institution qui a obtenu les services du sous-traitant.
1.11. Autorité de contrôle : l'Inspection estonienne de la protection des données.
2. Nature du traitement des données
2.1. Le sous-traitant est un responsable du traitement des données, qui traite les données pour le compte du responsable du traitement. Le sous-traitant accepte de traiter les données à caractère personnel reçues en vertu du DPA uniquement aux fins énoncées dans le présent DPA. Pour éviter toute ambiguïté, les catégories de données à caractère personnel traitées sont décrites aux annexes A et B du présent DPA
.
3. Respect des lois
3.1. Les parties se conforment chacune à leurs obligations respectives en vertu de toutes les exigences applicables en matière de protection des données.
- Obligations du contrôleur
4.1. Le contrôleur s'engage à :
4.1.1. Fournir des instructions au sous-traitant et déterminer les objectifs et les moyens généraux du traitement par le sous-traitant des données personnelles du contrôleur conformément au présent DPA ;
4.1.2. Se conformer à ses obligations en matière de protection des données, de sécurité et autres en ce qui concerne les données personnelles du contrôleur prescrites par les exigences de protection des données pour les processeurs de données en : (a) en établissant et en maintenant une procédure pour l'exercice des droits des individus dont les données personnelles sont traitées au nom du contrôleur ; (b) en ne traitant que les données qui ont été légalement et valablement collectées et en veillant à ce que ces données soient pertinentes et proportionnées aux utilisations respectives ; et (c) en veillant à ce que
les dispositions du présent DPA soient respectées par son personnel ou par tout tiers accédant aux données personnelles du contrôleur
ou les utilisant en son nom.
4.1.3. Le responsable du traitement est chargé d'obtenir le consentement des personnes concernées, le cas échéant. Le consentement est une indication de la part de la personne concernée d'autoriser le traitement de ses données personnelles par le responsable du traitement. Le consentement doit être donné par écrit ou sous forme électronique.
4.1.4. Le contrôleur est responsable de l'utilisation des intégrations de DreamApply avec des fournisseurs de services tiers https://www.dreamapply.com/integrations. Ces fournisseurs de services tiers sont des processeurs de données distincts sur lesquels DreamApply n'a aucun contrôle. Bien que DreamApply choisisse les fournisseurs d'intégration sur la base du niveau global de conformité, le contrôleur doit lire les termes et la documentation de confidentialité du fournisseur de services tiers avant de l'intégrer à ses processus et systèmes.
- Obligations du sous-traitant
5.1. Processor will:
5.1.1. Process Controller’s Personal Data (i) only for the purpose of providing, supporting and improving Processor’s services, using appropriate technical and organizational security measures; and (ii) in compliance with the instructions received from Controller. Processor will not use or process the
Controller’s Personal Data for any other purpose. Processor will promptly inform Controller if it cannot comply with the requirements under Sections 5-8 of this DPA, in which case Controller may terminate this DPA or take any other reasonable action, including suspending data processing operations;
5.1.2. Inform Controller promptly if, in Processor’s opinion, an instruction from Controller violates applicable Data Protection Requirements;
5.1.3. Take commercially reasonable steps to ensure that persons employed by it and other persons engaged to perform on Processor’s behalf comply with the terms of this DPA;
5.1.4. Ensure that its employees, authorized agents and any sub-processors are required to comply
with and acknowledge and respect the confidentiality of the Controller’s Personal Data, including after the end of their respective employment, contract or assignment. The Processor and any person acting under its authority who has access to Controller’s Personal Data, shall not process that data unless upon instructions by the Controller, including the powers granted under this DPA, unless they are required to do so by law;
5.1.5. Upon request, provide Controller with a summary of Processor’s privacy and security policies or other documented evidence that the Processor has implemented necessary technical and organizational measures;
5.1.6. Inform Controller if Processor undertakes an independent security review;
5.1.7. Maintain appropriate organizational and technical security measures (including with respect to personnel, facilities, hardware and software, storage and networks, access controls, monitoring and logging, vulnerability and breach detection, incident response, encryption of Controller’s Personal Data while in transit and at rest) to protect against unauthorized or accidental access, loss, alteration, disclosure or destruction of Controller’s Personal Data;
5.1.8. Be responsible for the sufficiency of the security, privacy, and confidentiality safeguards of all Processor personnel with respect to Controller’s Personal Data and liable for any failure by such Processor personnel to meet the terms of this DPA;
5.1.9. Take reasonable steps to confirm that all Processor personnel are protecting the security, privacy and confidentiality of Controller’s Personal Data consistent with the requirements of this DPA, and
5.1.10. Notify Controller of any Personal Data Breach by Processor, its sub-processors, or any other third parties acting on Processor’s behalf without undue delay and in any event within 72 hours of becoming aware of a Personal Data Breach.
5.2. Processor will inform Controller if Processor becomes aware of:
5.2.1. Any non-compliance by Processor or its employees with Sections 5-8 of this DPA or the Data Protection Requirements relating to the protection of Controller’s Personal Data processed under this DPA;
5.2.2. Any legally binding request for disclosure of Controller’s Personal Data by a law enforcement authority, unless Processor is otherwise forbidden by law to inform Controller, for example to preserve the confidentiality of an investigation by law enforcement authorities;
5.2.3. Any notice, inquiry or investigation by a Supervisory Authority with respect to Controller’s Personal Data or
5.2.4. Any complaint or request (in particular, requests for access to, rectification or blocking of Controller’s Personal Data) received directly from Controller’s data subjects. Processor will not respond to any such request without Controller’s prior written authorization.
5.3. Processor will provide reasonable assistance to Controller regarding:
5.3.1. Any requests from Controller’s data subjects in respect of access to or the rectification, erasure, restriction, portability, blocking or deletion of Controller’s Personal Data that Processor processes for Controller. If a data subject sends such a request directly to Processor, Processor will promptly send such request to Controller. Such requests shall be fulfilled by the Processor in accordance with documented instructions by the Controller without undue delay.
5.3.2. The investigation of Personal Data Breaches and the notification to the Supervisory Authority and Controller ‘s data subjects regarding such Personal Data Breaches
5.3.3. Where appropriate, the preparation of data protection impact assessments and, where necessary, carrying out consultations with any Supervisory Authority.
5.4. Processor may claim a reasonable fee for support services which are not included in the description of the services, and which are not attributable to failures on the part of the Processor.
5.5. If Processor is required by Data Protection Requirements to process any Controller’s Personal Data for a reason other than providing the services described in the DPA, Processor will inform Controller of this requirement in advance of any processing, unless Processor is legally prohibited from
informing Controller of such processing (e.g., as a result of secrecy requirements that may exist under applicable EU member state laws).
5.6. If Processor intends to engage sub-processors to help it satisfy its obligations in accordance with this DPA or to delegate all or part of the processing activities to such sub-processors, Processor must
(i) keep an exclusive of the list of sub-processors which Processor maintains online; (ii) remain liable to Controller for the sub-processors’ acts and omissions with regard to data protection where such sub-processors act on Processor’s instructions; and (iii)enter into contractual arrangements with such sub-processors binding them to provide the same level of data protection and information security to that provided for in this DPA. Current sub-processors are listed in the Annex A. Hereby Controller provides
Processor with general written authorization for engaging sub-processors, Processor shall inform Controller of any intended changes concerning the addition or replacement of other sub-processors, thereby giving Controller the opportunity to object to such changes.
- Responsabilité et audits
6.1. Toute personne ayant subi un préjudice matériel ou moral du fait d'une violation des exigences en matière de protection des données a le droit d'être indemnisée par le responsable du traitement ou le sous-traitant pour le préjudice subi. La partie responsable de l'événement à l'origine du dommage doit réparer le dommage subi par la personne concernée.
6.2. Le responsable du traitement est responsable des dommages causés par un traitement qui enfreint les exigences en matière de protection des données. Le sous-traitant n'est responsable des dommages causés par le traitement que s'il n'a pas respecté les obligations des exigences en matière de protection des données qui s'adressent spécifiquement aux sous-traitants ou s'il a agi en dehors ou contrairement aux instructions légales du responsable du traitement.
6.3. Le responsable du traitement ou le sous-traitant est exonéré de toute responsabilité s'il prouve qu'il n'est en aucune façon responsable du fait générateur du dommage.
6.4. Si une autorité de contrôle exige un audit des installations de traitement des données à partir desquelles le contrôleur traite les données personnelles du contrôleur pour vérifier ou contrôler la conformité du contrôleur aux exigences en matière de protection des données, le sous-traitant coopérera à cet audit.
6.5. Après consultation du sous-traitant, le contrôleur a le droit d'effectuer des inspections ou de les faire effectuer par un auditeur à désigner au cas par cas. L'auditeur a le droit d'évaluer le respect du présent RGPD par le sous-traitant dans le cadre de ses activités commerciales au moyen de
contrôles aléatoires, qui doivent normalement être annoncés à l'avance.
6.6. Le sous-traitant permet au responsable du traitement de vérifier le respect de ses obligations conformément au règlement général sur la protection des données. Le sous-traitant s'engage à fournir au contrôleur les informations nécessaires sur demande et, en particulier, à démontrer la mise en œuvre des mesures techniques et organisationnelles.
- Retour et suppression des données
7.1.Le sous-traitant ne crée pas de copies ou de duplicatas des données personnelles du contrôleur sans que ce dernier en soit informé et y consente, à l'exception des copies de sauvegarde et dans la mesure où elles sont nécessaires pour assurer un traitement ordonné des données, ainsi que des données requises pour satisfaire aux exigences réglementaires en matière de conservation des données.
7.2. Les parties conviennent qu'à l'expiration des services de traitement des données ou à la demande raisonnable du contrôleur, le sous-traitant doit, et doit faire en sorte que tous les sous-traitants secondaires, au choix du contrôleur, renvoient toutes les données personnelles du contrôleur et les copies de ces données au contrôleur ou les détruisent en toute sécurité
et démontrent à la satisfaction du contrôleur qu'il a pris ces mesures, à moins que les exigences en matière de protection des données n'empêchent le sous-traitant de renvoyer ou de détruire tout ou partie des données personnelles du contrôleur qui ont été divulguées. Dans ce cas, le sous-traitant s'engage à préserver la confidentialité des données personnelles du contrôleur qu'il conserve et à ne traiter activement les données personnelles du contrôleur qu'après cette date afin de se conformer aux lois applicables. Le sous-traitant est exempté de cette obligation lorsqu'il est tenu de conserver les données en vertu de la loi.
- Processeurs de données tiers
8.1Le Processeur reconnaît que dans le cadre de la fourniture de certains services, le Processeur, sur instruction du Contrôleur, peut transférer les Données personnelles du Contrôleur à des processeurs de données tiers et interagir avec eux d'une autre manière. Le Processeur accepte que si et dans la mesure où de tels transferts ont lieu, le Processeur est responsable
de la conclusion d'accords contractuels distincts avec de tels processeurs de données tiers les obligeant à se conformer aux obligations conformément aux exigences de protection des données. Pour éviter toute ambiguïté, ces sous-traitants tiers ne sont pas des sous-traitants secondaires.
- Durée
9.1Le présent DPA reste en vigueur tant que le sous-traitant effectue des opérations de traitement de données à caractère personnel pour le compte du contrôleur ou jusqu'à la résiliation de l'accord. Toutes les données personnelles doivent être renvoyées ou supprimées conformément à la section 7 ci-dessus.
- Divers
Le présent DPA est régi par les lois estoniennes et toute action ou procédure liée au présent DPA (y compris celles découlant de litiges ou de réclamations non contractuels) sera portée devant le Harju County Court, Tallinn, Estonie.
ANNEXE A du DPA
Plateforme d'admission des étudiants "DreamApply".
1. Personnes concernées.
Les données personnelles traitées concernent (i) les candidats (une personne physique) qui postulent pour étudier dans l'établissement du contrôleur (candidatures soumises et non soumises), (ii) les conseillers (une personne physique qui envoie des candidats au contrôleur et à qui le contrôleur donne un accès et des droits), (iii) les personnes de contact (une personne physique, Les informations doivent être fournies par le candidat concerné), (iv) les personnes de référence (une personne physique, les informations doivent être fournies par le candidat concerné) et les administrateurs enregistrés sur
DreamApply par et/ou au nom du contrôleur (administrateurs), (v) les personnes dont les données sont collectées par le biais d'extensions fonctionnelles.
2. Finalités du traitement.
Le traitement vise à permettre au responsable du traitement de gérer les candidatures via la plateforme d'admission des étudiants "DreamApply" et de faire du marketing grâce à des modules complémentaires fonctionnels. Le sous-traitant doit fournir une assistance si nécessaire. Le contrôleur détermine les finalités du traitement des données personnelles sur
et, par le biais de la plateforme fournie par le sous-traitant, autorise et supervise tout traitement de données de ce type. Le contrôleur recueille et examine les informations soumises par les candidats via la plateforme DreamApply.
3. Catégories de données.
Les données à caractère personnel transférées concernent les catégories de données suivantes :
3.1. Données d'utilisateur (données personnelles) des candidats : informations personnelles nécessaires pour soumettre une (des) candidature(s) au contrôleur - coordonnées, informations sur la formation antérieure et l'expérience dans le domaine, informations d'identification, informations sur les compétences linguistiques et autres informations pertinentes nécessaires pour postuler (la liste complète est disponible sur la plate-forme). Le responsable du traitement décide des informations nécessaires à la candidature en fonction de la législation nationale, de la pratique du responsable du traitement et du programme spécifique auquel le candidat postule.
3.2. Données utilisateur (données sensibles) des candidats : les données sensibles ne peuvent pas être collectées par le contrôleur, à l'exception des données relatives à la santé (handicaps). Les informations relatives à la santé ne peuvent être collectées par le contrôleur que sur une base volontaire dans le but de reconnaître les besoins particuliers des installations ou si la loi l'exige. Si le contrôleur collecte des données sensibles via la plateforme DreamApply, il a l'obligation d'en informer le candidat.
3.3. Données (données personnelles) des conseillers : nom, territoire, tracker, e-mail, adresse postale, code de connexion, validité du contrat (et date de signature), groupe, notes, pièces jointes, droits d'accès (possibilité de gérer et/ou de consulter les demandes effectuées).
3.4. Données (données à caractère personnel) des personnes de contact (personne à contacter en cas d'urgence pour le candidat) : nom, adresse électronique, numéro de téléphone, adresse postale, lien avec le candidat concerné (mère, père).
3.5 . Données (données personnelles) de la personne de référence (si elle a été indiquée par le candidat) : nom, adresse électronique, poste de travail.
3.6. Données relatives aux administrateurs enregistrés sur DreamApply par le contrôleur : nom, courriel, poste, droits d'accès et actions sur la plateforme.
4. Activités de traitement
Les données personnelles transférées seront soumises aux activités de traitement de base suivantes :
4.1. dépôt et traitement de la demande ;
4.2. collecte de rapports statistiques ;
4.3. analyse automatique des besoins ;
4.4. génération d'offres et de documents ;
4.5. activités de traitement liées au soutien (envers le contrôleur et l'utilisation de "DreamApply") ;
4.6. conseillers et gestion de leurs contrats ;
4.8. gestion des prospects (candidats potentiels) ;
4.9. pendant les activités de marketing par le biais de modules fonctionnels collecte de contacts, d'intérêts d'étude et de données sur les canaux d'information
Le contrôleur accorde le droit et est conscient que le sous-traitant utilise des données non personnalisées sur les candidats à des fins de recherche (y compris pour des statistiques non personnalisées) pour améliorer l'efficacité et la qualité du système, prédire les flux d'informations et de données afin de mieux répondre aux besoins du contrôleur
(y compris les candidats) et d'améliorer la sensibilisation aux services offerts aux partenaires potentiels. Le Contrôleur accorde au Processeur le droit exclusif et irrévocable de générer des statistiques anonymes concernant l'utilisation de la plateforme DreamApply et d'analyser et de partager ces statistiques à des fins de développement commercial
, de marketing et de promotion dans tous les formats de médias et par le biais de tous les sites Web, réseaux de médias sociaux ou canaux de médias actuellement connus ou découverts ou développés par la suite. Ces statistiques anonymes ne seront partagées que lorsqu'elles seront généralisées (y compris, mais sans s'y limiter, au niveau de l'université
, de la ville ou du pays). La quantité et le type de données collectées dépendent du contrôleur et des exigences de l'application. Le responsable du traitement a la possibilité, à la demande de la personne concernée, de rectifier, de supprimer ou de bloquer les données incorrectes concernant les personnes concernées. Le responsable du traitement est tenu de s'assurer qu'une personne concernée donne un consentement valable au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques et qu'elle est informée de ses droits.
5. Durée du traitement
Le responsable du traitement décide de la durée du traitement sur la base des lois nationales et de la durée de l'étude. Le contrôleur décide de la durée de stockage des données. Le responsable du traitement a la possibilité technique de supprimer les données personnelles conformément à sa réglementation lorsqu'il n'est plus nécessaire de les traiter aux fins pour lesquelles elles ont été collectées et que leur traitement n'est pas exigé par la loi. Après la suppression, les données seront automatiquement supprimées, y compris des sauvegardes, dans un délai de 15 à 45 jours.
6. Fournisseurs d'infrastructure et sous-processeurs
Les fournisseurs d'infrastructure et les sous-processeurs du Processeur sont décrits en détail dans cette section : https://www.dreamapply.com/gdpr-sub-processors. En outre, une liste des intégrations optionnelles (sous-processeurs) est accessible à l'adresse https://www.dreamapply.com/integrations. Ces listes sont minutieusement tenues et régulièrement mises à jour. Le site web des Contrats d'apprentissage fait également appel à un prestataire de services tiers, Google, pour les cookies fonctionnels.
7. Informations supplémentaires utiles
7.1. Le responsable du traitement opérant dans le cadre du Règlement de l'Union européenne sur la protection des données doit informer les candidats des activités de traitement des données, y compris le fondement juridique, la période de conservation, les mesures de sécurité, l'évaluation, la rectification, la suppression, les destinataires, les procédures de réclamation, etc. Le contrôleur soumet l'avis de confidentialité et l'avis sur les cookies sur la plateforme d'admission des étudiants "DreamApply". Chaque partie est responsable de la mise en place d'une bannière de cookies relative aux cookies que la partie respective utilise (en tant que contrôleur de données), étant responsable de son existence et de son contenu. Le Processeur, à la demande d'un contrôleur
, peut fournir une formation sur la façon de mettre en place la bannière de cookies.
7.2. Les administrateurs, en fonction des droits que le responsable du traitement leur a accordés (directement et/ou indirectement par l'intermédiaire d'autres administrateurs), peuvent supprimer les candidatures des candidats, soit au cas par cas, soit en bloc (par exemple en choisissant tous les candidats du dernier semestre). Si un candidat supprime sa candidature au programme d'études
du responsable du traitement, l'administrateur doit confirmer la suppression avant que celle-ci n'ait lieu du côté de DreamApply.
7.3. Le département de bonheur du client (soutien fourni au contrôleur en ce qui concerne l'utilisation de "DreamApply" par le processeur) a accès aux données personnelles du contrôleur. Tous les accès sont enregistrés - du côté du département "bonheur du client" ainsi que du côté du contrôleur (administrateur), les journaux
indiquent seulement quand l'accès a commencé mais pas quand il s'est terminé. L'équipe de configuration du sous-traitant a accès aux données personnelles du responsable du traitement au cours de la première année de la relation professionnelle afin de fournir une assistance ; après un an, cet accès est révoqué. L'accès du côté du sous-traitant n'est possible qu'à l'adresse
via le réseau interne et/ou via un réseau privé virtuel (VPN), l'identification du deuxième facteur étant requise pour chaque utilisateur. La raison de l'accès doit être fournie et enregistrée dans le système.
ANNEXE B au DPA
Plate-forme de contrats d'apprentissage dream-agreement.eu
1. Personnes concernées.
Les données à caractère personnel traitées concernent les étudiants et les employés (coordinateur ou personne de contact) du responsable du traitement (institution d'envoi ou de réception) qui participent à un échange en utilisant la plateforme Learning Agreements.
2. Finalités du traitement.
Le traitement vise à permettre au contrôleur de gérer les contrats d'apprentissage. Le sous-traitant fournit la plateforme pour l'échange et la signature des accords. Le responsable du traitement peut agir en tant qu'établissement expéditeur ou destinataire. L'établissement d'origine est l'établissement d'enseignement supérieur qui envoie l'étudiant au programme d'échange et l'établissement d'accueil est l'établissement d'enseignement supérieur qui accepte l'étudiant dans son établissement
en tant qu'étudiant d'échange. Le traitement des données est effectué par toutes les parties (étudiant, établissement d'envoi, établissement d'accueil, Dream Apply en tant que responsable du traitement des données). Toutes les parties s'engagent à respecter les lois et les principes de protection des données lors de l'utilisation de la plateforme. Les informations détaillées et les rôles peuvent être consultés sur le site web de la plateforme. La section 7 de la présente annexe B est également pertinente à cet égard.
3. Catégories de données.
Données d'identification de l'employé du contrôleur en tant qu'utilisateur de la plateforme, ainsi que les données d'identification et d'éducation des étudiants et/ou des étudiants en échange lors de la gestion des accords d'échange sur la plateforme.
4. Activités de traitement
Gestion des programmes d'échange d'étudiants et des admissions, signature de contrats d'apprentissage.
5. Durée du traitement
Le responsable du traitement décide de la durée du traitement sur la base des lois nationales et de la durée de l'étude. Le contrôleur décide de la durée de stockage des données. Le responsable du traitement a la possibilité technique de supprimer les données personnelles conformément à sa réglementation lorsqu'il n'est plus nécessaire de les traiter aux fins pour lesquelles elles ont été collectées et que leur traitement n'est pas exigé par la loi. Après la suppression, les données seront automatiquement supprimées, y compris des sauvegardes, dans un délai de 15 à 45 jours.
6. Fournisseurs d'infrastructure et sous-processeurs
Les fournisseurs d'infrastructure et les sous-processeurs du Processeur sont décrits en détail dans cette section : https://www.dreamapply.com/gdpr-sub-processors. En outre, une liste des intégrations optionnelles (sous-processeurs) est accessible à l'adresse https://www.dreamapply.com/integrations. Ces listes sont minutieusement tenues et régulièrement mises à jour. Le site web des Contrats d'apprentissage fait également appel à un prestataire de services tiers, Google, pour les cookies fonctionnels.
7. Informations utiles supplémentaires
Le site web dream-agreement.eu et la plateforme Learning Agreement fournie par Dream Apply OÜ (le Processeur) est un service gratuit qui est régi par les conditions générales de service du Processeur et par le présent Accord sur le traitement des données. Veuillez également lire les informations et conditions spécifiques concernant la plateforme Learning Agreement sur le site web www.dream-agreement.eu après vous être connecté. Le traitement des données personnelles est soumis aux mêmes garanties et politiques de protection de la vie privée que le service principal du sous-traitant, la plateforme DreamApply.
Services de contrôle de similitude (fournis par le sous-traitant Turnitin LCC)
1. Personnes concernées.
Les données à caractère personnel traitées concernent les candidats (personnes physiques) qui s'inscrivent pour étudier dans des établissements universitaires.
2. Finalités du traitement.
Le traitement est destiné à permettre au responsable du traitement de détecter d'éventuels plagiats dans les secteurs universitaires. Collecte, stockage, extraction, utilisation (dans le cadre des fonctions de mise en correspondance de textes).
3. Catégories de données.
Prénom, nom de famille, adresse électronique, numéro d'identification de l'étudiant, contenu, articles universitaires ou projets de textes publiés.
4. Bénéficiaires.
Les données personnelles traitées ne peuvent être divulguées qu'à l'institution à laquelle le candidat a soumis sa candidature.
5. Informations utiles supplémentaires
Les données personnelles du contrôleur sont cryptées et stockées séparément de toutes les autres données stockées et traitées par Turnitin LCC et ne seront décryptées que dans le cas où le sous-traitant a demandé à Turnitin LCC de vérifier les détails des données personnelles. Les données personnelles du contrôleur fournies par le sous-traitant ne peuvent pas être utilisées pour l'indexation ou la fourniture de correspondances pour les autres clients de Turnitin LCC, ou pour la formation d'algorithmes d'apprentissage automatique, à moins que les données personnelles ne soient entièrement anonymisées et que la méthode d'anonymisation ne soit approuvée par le sous-traitant.
6. Produit DreamID (fourni par DreamApply OÜ en tant que contrôleur de données)
6.1. Rôles du contrôleur et du processeur
Le produit DreamID est fourni par DreamApply OÜ en tant que gestionnaire de comptes de candidats authentifiés en toute sécurité pour les universités et/ou autres établissements d'enseignement supérieur (EES). Pour permettre aux candidats de s'inscrire/se connecter aux applications de différents établissements d'enseignement supérieur avec un seul compte DreamID, DreamApply doit collecter le nom et l'adresse e-mail du candidat comme ensemble minimum de données pour permettre l'authentification sécurisée du candidat concerné. DreamApply agit en tant que contrôleur de données concernant le produit DreamID sur la base des activités de création de comptes DreamID pour les candidats indépendamment de l'établissement d'enseignement supérieur spécifique auquel le candidat postule et utilise le même compte pour postuler à n'importe quel autre établissement d'enseignement supérieur. Comme DreamApply est le contrôleur de données concernant le produit DreamID, DreamApply est également responsable des droits des personnes concernées (c'est-à-dire l'accès et la suppression) et de la sécurité des données personnelles. DreamApply, en tant que contrôleur de données, décide également des objectifs et des moyens de traitement des données concernant DreamID.
6.2. Personnes concernées.
Les données personnelles traitées concernent les candidats (une personne physique) qui postulent pour étudier à HEI.
6.3. Finalités du traitement.
Le traitement est destiné à permettre l'ouverture d'un compte DreamID et d'un service de connexion sécurisé.
6.4. Catégories de données.
Nom complet, adresse électronique, mot de passe, historique de sécurité (historique de connexion).
Facultatif : Données relatives à l'authentification multifactorielle, telles qu'un code de sauvegarde, une application d'authentification (TOTP), un numéro de téléphone ou des clés de sécurité (ex. : YubiKey)
6.5. Destinataires.
Les données à caractère personnel traitées ne peuvent être divulguées qu'à l'établissement d'enseignement supérieur auquel le candidat a soumis sa candidature.
6.6. Informations utiles supplémentaires
Les fonctionnalités du produit DreamID sont décrites dans l'avis de confidentialité de DreamID disponible ici : https://id.dreamapply.com/privacy.