Accueil Politique de confidentialité de la Région Île-de-France Politique de confidentialité de la Région Île-de-France Protéger les données personnelles Imprimer cet article Partager sur Facebook (Nouvelle fenêtre) Compte tenu de la relation de confiance qui existe entre la Région Île-de-France et ses prestataires et partenaires, la Région a souhaité définir une politique externe de protection des données conformément aux exigences du Règlement européen relatif à la protection des données à caractère personnel (RGPD) . Dans le cadre de ses activités, la Région s’engage à protéger notamment la vie privée des usagers, prestataires et partenaires en assurant la protection, la confidentialité et la sécurité des données à caractère personnel collectées dans le cadre de leurs relations. Dans cet objectif, la présente politique vise à décrire les règles appliquées par la Région afin d’assurer la meilleure protection des données personnelles des personnes concernées par les traitements qu’elle met en œuvre, ainsi que leurs droits. Cette politique pourra être amenée à évoluer en fonction du contexte légal et réglementaire applicable. Le site régional oriane.info respecte et applique les principes de la Politique de protection des données élaborée par la Région Île-de-France. Délégué à la protection des données La Région a désigné le cabinet Lexing Alain Bensoussan Avocats en tant que Délégué à la protection des données personnelles externalisé pour l'ensemble de son écosystème web (dont le site régional oriane.info) qui peut être contacté par toute personne intéressée afin de répondre à toute interrogation et notamment dans le cadre l’exercice de leurs droits tels que définis ci-après. Le Délégué à la protection des données peut être contacté au choix : à l’adresse postale suivante : A l’attention du Délégué à la protection des données, Région Île-de-France, Pôle Juridique Achats Données, 2 rue Simone Veil, 93400 Saint-Ouen ; à l’adresse électronique suivante : dpo@iledefrance.fr. Les données personnelles traitées via le site régional Oriane.info Les données personnelles visent toutes les informations relatives à une personne physique, permettant de l’identifier directement ou indirectement. Dans le cadre des traitements de données personnelles dont les finalités sont exposées ci-après, le site régional oriane.info collecte et traite les catégories de données personnelles suivantes : des données d’identification des personnes, à savoir les nom(s), prénom(s) des personnes concernées ; des données d'identification de structures partenaires (coordonnées, N° Siret...). Destinataire des données personnelles collectées Les données personnelles collectées sont destinées à la Région en qualité de responsable de traitement, qui veille à ce que seules les personnes habilitées de son personnel puissent y accéder lorsque cela est nécessaire à l’exécution de leurs missions. Les principes applicables aux données personnelles La Région s’attache au respect des principes suivants dans le cadre de la collecte et l’exploitation des données personnelles. Utilisation légitime et proportionnée Les données personnelles sont collectées uniquement par la Région pour des finalités déterminées, explicites et légitimes. La collecte de données personnelles par la Région a comme finalités : Gestion du site web oriane.info Les données collectées ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités. Pour chaque traitement, la Région s’engage à ne collecter et traiter que des données strictement nécessaires à l’objectif poursuivi. Collecte loyale et transparente Dans un souci de loyauté et de transparence vis-à-vis de ses partenaires et prestataires, la Région prend soin d’informer les personnes concernées de chaque traitement qu’elle met en œuvre par des mentions d’information. Ces données sont collectées loyalement. Aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées. Adéquation, pertinence et minimisation des données collectées Les données personnelles collectées sont strictement nécessaires à l’objectif poursuivi par la collecte. La Région s’attache à minimiser les données collectées, à les tenir exactes et à jour. Les données personnelles collectées sont mises à jour régulièrement et stockées par la Région dans ses bases de données ou le cas échéant, dans les bases de données de ses sous-traitants. Par ailleurs, la Région veille à mettre en œuvre des procédés afin de permettre l’effacement ou la rectification des données inexactes. Protection des données personnelles dès la conception et par défaut La Région a adopté des politiques ainsi que des processus internes et met en œuvre des mesures afin de respecter les principes de protection des données personnelles dès la conception et par défaut. Ainsi, lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, et de services qui reposent sur le traitement de données personnelles, la Région prend en compte le droit de la protection des données personnelles ou s’assure auprès de leurs éditeurs qu’elles répondent aux prescriptions légales et permettent d’assurer la protection des données qui y seront traitées. Une durée de conservation limitée au regard des finalités du traitement La Région s’engage à conserver les données personnelles pendant une durée strictement limitée à celle nécessaire au regard des finalités du traitement. Encadrement des transferts de données La Région héberge vos données personnelles collectées via oriane.info en France et ne transfère pas vos données en dehors de l’Union européenne. Sécurité et confidentialité des données personnelles La Région accorde une importance particulière à la sécurité des données personnelles. Elle a mis en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et la confidentialité les données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés : des mesures techniques : des contrôles techniques, des mesures de chiffrement, des mesures de sécurité physique des flux de données, etc. ; des mesures d’organisation : ségrégation des tâches et des responsabilités, des environnements techniques, gestion des incidents et des failles de sécurité portant sur les données, limitation des accès aux stricts besoins opérationnels, définition des durées de conservation, définition des moyens de contrôle, formation du personnel, etc. Toutes les personnes ayant accès aux données sont liées par un devoir de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations. La Région effectue régulièrement des audits afin de vérifier la bonne application opérationnelle des règles relatives à la sécurité des données. Ainsi, elle s’engage à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour : protéger ses activités ; préserver la sécurité des données personnelles de ses membres, partenaires, fournisseurs et prestataires ; contre tout accès, modification, déformation, divulgation, destruction ou accès non autorisés des données personnelles qu’elle détient. Néanmoins, la sécurité et la confidentialité des données personnelles reposent sur les bonnes pratiques de chacun, ainsi chaque personne concernée est invitée à rester vigilante. Conformément à ses engagements, la Région choisit ses sous-traitants et prestataires avec soin et leur impose : un niveau de protection des données personnelles au moins équivalent aux siens ; une utilisation des données personnelles ou des informations uniquement pour assurer la gestion des services qu’ils doivent fournir ; un respect strict de la législation et de la règlementation applicable en matière de confidentialité, de secret bancaire et de données personnelles ; la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données personnelles qu’ils peuvent être amenés à traiter ; la définition des mesures techniques, et organisationnelles nécessaires pour assurer la sécurité. La Région s’engage à conclure avec ses sous-traitants, conformément aux obligations légales, des contrats définissant précisément les conditions et modalités de traitement des données personnelles. Les droits des personnes Les personnes dont les données font l’objet d’un traitement bénéficient des droits décrits ci-après. Les personnes concernées par les traitements des données personnelles effectués par la Région peuvent formuler leurs demandes et exercer leurs différents droits en s’adressant au délégué à la protection des données personnelles dont les coordonnées figurent à l’article 2 de la présente politique. La Région fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée pour l’exercice des droits mentionnés ci-dessous, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter du jour de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. La Région informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Pour invoquer ses droits, la personne concernée peut contacter le DPO par voie électronique ou par voie postale (voir les coordonnées ci-dessus). Enfin, la personne concernée a le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, concernant la conformité de la Région avec la réglementation applicable en matière de protection des données. Droit d’accès Les personnes concernées ont le droit d’obtenir de la Région la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées par la Région et, lorsqu'elles le sont, d’obtenir l'accès auxdites données à caractère personnel ainsi que les informations suivantes : les finalités du traitement ; les catégories de données à caractère personnel concernées ; les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ; lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ; l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement ; le droit d'introduire une réclamation auprès d'une autorité de contrôle ; lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ; l’existence d'une prise de décision automatisée, y compris un profilage ; lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées en ce qui concerne ce transfert. La Région fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Pour toute copie supplémentaire demandée, veuillez noter que la Région peut facturer des frais raisonnables en fonction des frais administratifs. Droit de rectification Les personnes concernées ont le droit d'obtenir de la Région, dans les meilleurs délais, la rectification des données à caractère personnel vous concernant qui sont inexactes et/ou incomplètes. Droit à l’effacement Sauf dans des cas spécifiques où la loi le prévoit, les personnes concernées ont le droit d'obtenir de la Région l'effacement, dans les meilleurs délais, de données à caractère personnel les concernant lorsque l'un des motifs suivants s'applique : les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ; le retrait du consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement ; l’opposition au traitement et il n'existe pas de motif légitime impérieux pour le traitement : les données à caractère personnel ont fait l'objet d'un traitement illicite ; les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle la Région est soumise. Droit à la limitation du traitement Les personnes concernées ont le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique : il est contesté l'exactitude des données à caractère personnel (dans un tel cas, la limitation pourra être mise en place pendant une durée permettant à la Région de vérifier l'exactitude des données à caractère personnel) ; le traitement est illicite et la personne concernée s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation ; la Région n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ; la personne concernée s’oppose au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par la Région prévalent sur ceux de la personne concernée. Si le droit à la limitation est exercé valablement, la Région ne pourra plus traiter les données à caractère personnel, sauf : si la personne concernée a donné son consentement ; pour la constatation, l'exercice ou la défense de droits en justice ; pour la protection des droits d'une autre personne physique ou morale ; pour des motifs importants d'intérêt public de l'Union ou d'un État membre. Droit à la portabilité Les personnes concernées ont le droit de recevoir ou de transmettre leurs données à caractère personnel fournies à la Région, dans un format structuré, couramment utilisé et lisible par machine, à un autre responsable du traitement lorsque le traitement se fonde sur le consentement ou sur un contrat et si le traitement est effectué à l'aide de procédés automatisés. Droit d'opposition Les personnes concernées ont le droit de s’opposer à tout moment pour des raisons tenant à leur situation particulière, à un traitement des données à caractère personnel les concernant, fondé sur l’intérêt légitime de la Région. La Région ne traite plus ces données à caractère personnel, à moins qu'elle ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. Ce droit peut être exercée à tout moment lorsque vos données sont collectées à des fins de prospection commerciale. Droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage Les personnes concernées ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire, sous réserve des exceptions prévues par la loi. Droit de retrait du consentement Lorsque les traitements de données que la Région met en œuvre sont fondés sur le consentement des personnes concernées, celles-ci ont le droit de le retirer à n’importe quel moment. La Région cesse alors de traiter ces données personnelles sans que les opérations antérieures pour lesquelles les personnes concernées avaient consenti ne soient remises en cause. Droit d’introduire une réclamation Les personnes concernées ont le droit d’introduire une réclamation (plainte) auprès de la Cnil sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel, à l'adresse suivante : CNIL - Service des Plaintes - 3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07. Droit de définir des directives post-mortem Les personnes concernées disposent du droit de formuler des directives spécifiques et générales concernant la conservation, l’effacement et la communication des données post-mortem les concernant. En ce qui concerne les directives générales, elles devront être adressées à un tiers qui sera désigné par décret.