Publié le 22 novembre 2021

Politique externe de protection des données

Compte tenu de la relation de confiance qui existe entre la Région Ile-de-France (ci-après, la « Région ») et ses fournisseurs, prestataires et partenaires, la Région a souhaité définir une politique externe de protection des données conformément aux exigences du règlement européen relatif à la protection des données à caractère personnel (RGPD) .

Dans le cadre de ses activités, la Région s’engage à protéger notamment la vie privée des employés et mandataires de ses fournisseurs, prestataires et partenaires en assurant la protection, la confidentialité et la sécurité des données à caractère personnel collectées (ci-après « les données personnelles ») dans le cadre de leurs relations. 

Dans cet objectif, la présente politique vise à décrire les règles appliquées par la Région afin d’assurer la meilleure protection des données personnelles des personnes concernées par les traitements qu’elle met en œuvre, ainsi que leurs droits.

Cette politique pourra être amenée à évoluer en fonction du contexte légal et réglementaire applicable.

 

Délégué à la protection des données

La Région a désigné le cabinet Lexing Alain Bensoussan Avocats en tant que délégué à la protection des données personnelles externalisé qui peut être contacté par toute personne intéressée afin de répondre à toute interrogation et notamment dans le cadre l’exercice de leurs droits tels que définis ci-après.

Le Délégué à la protection des données peut être contacté :

  • à l’adresse postale suivante : A l’attention du Délégué à la protection des données, Région Ile-de-France, Pôle Juridique Achats Données, 2 rue Simone Veil, 93400 Saint Ouen.
    ou
  • à l’adresse électronique suivante : dpo@iledefrance.fr.

 

Les données personnelles traitées

Les données personnelles visent toutes les informations relatives à une personne physique, permettant de l’identifier directement ou indirectement.

Dans le cadre des traitements de données personnelles dont les finalités sont exposées ci-après, la Région collecte et traite les catégories de données personnelles suivantes :

  • des données d’identification des personnes, à savoir les nom(s), prénom(s) des personnes concernées ;
  • des données relatives à la situation personnelle des personnes concernées, à savoir la situation familiale, les habitudes de vie, etc. 
  • des données relatives à la situation professionnelle, à savoir l’organisation, la fonction ou encore les coordonnées professionnelles ;
  • des informations d’ordre économique et financier à savoir les relevés d’identité bancaire lorsque cela est pertinent ;
  • des données de connexion des personnes qui se connectent aux applications ou entrent en contact avec la Région, par téléphone ;
  •  ].

Destinataire des données personnelles collectées

Les données personnelles collectées sont destinées à la Région en qualité de responsable de traitement, qui veille à ce que seules les personnes habilitées de son personnel puissent y accéder lorsque cela est nécessaire à l’exécution de leurs missions. Ces données peuvent également être transmises en tant que de besoin à la direction des ressources humaines, au service comptabilité, et à la direction des systèmes d’information de la Région.

Certaines données personnelles peuvent toutefois être adressées à des tiers pour satisfaire aux obligations légales, réglementaires ou conventionnelles ou aux autorités légalement habilitées.

Les principes applicables aux données personnelles

La Région s’attache au respect des principes suivants dans le cadre de la collecte et l’exploitation des données personnelles.

Utilisation légitime et proportionnée*

Les données personnelles sont collectées uniquement par la Région pour des finalités déterminées, explicites et légitimes.

La collecte de données personnelles par la Région a comme finalités :

  • la gestion des subventions ;
  • la gestion des marchés publics et des contrats ;
  • la gestion du site web de la Région ;
  • la gestion de la communication externe ;
  • la gestion des contentieux et précontentieux ; 

La Région met en œuvre différents traitements dont les bases juridiques sont les suivantes :

  • Traitements fondés sur la poursuite des intérêts légitimes de la Région :
    • Gestion du site web de la Région ;
    • Gestion de la communication externe ;
    • Gestion des contentieux et précontentieux ;
  • Traitements fondés sur l’exécution de mesures contractuelles ou des contrats conclus entre la Région et les personnes concernées :
    • Gestion des subventions ;
    • Gestion des marchés publics et des contrats ;
  • Traitements fondés sur l’exécution d’une mission d’intérêt public par la Région : 
    • Traitement dans la cadre d’opérations d’archivage ou de statistique
  • Traitements fondés sur l’exécution d’une obligation légale à laquelle est tenue la Région :
    • Dispositif de formation professionnelle

Les données collectées ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.

Pour chaque traitement, la Région s’engage à ne collecter et traiter que des données strictement nécessaires à l’objectif poursuivi.
 

Collecte loyale et transparente

Dans un souci de loyauté et de transparence vis-à-vis de ses partenaires, ses fournisseurs et prestataires, la Région prend soin d’informer les personnes concernées de chaque traitement qu’elle met en œuvre par des mentions d’information.

Ces données sont collectées loyalement. Aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées.

Adéquation, pertinence et minimisation des données collectées

Les données personnelles collectées sont strictement nécessaires à l’objectif poursuivi par la collecte. La Région s’attache à minimiser les données collectées, à les tenir exactes et à jour.

Les données personnelles collectées sont mises à jour régulièrement et stockées par la Région dans ses bases de données ou le cas échéant, dans les bases de données de ses sous-traitants. 

Par ailleurs, la Région veille à mettre en œuvre des procédés afin de permettre l’effacement ou la rectification des données inexactes. 

Protection des données personnelles dès la conception et par défaut

La Région a adopté des politiques ainsi que des processus internes et met en œuvre des mesures afin de respecter les principes de protection des données personnelles dès la conception et par défaut. 

Ainsi, lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, et de services qui reposent sur le traitement de données personnelles, la Région prend en compte le droit de la protection des données personnelles ou s’assure auprès de leurs éditeurs qu’elles répondent aux prescriptions légales et permettent d’assurer la protection des données qui y seront traitées.

Une durée de conservation limitée au regard des finalités du traitement

La Région s’engage à conserver les données personnelles pendant une durée strictement limitée à celle nécessaire au regard des finalités du traitement.

Les durées de conservation des données sont fournies dans le tableau ci-dessous : 
 

Finalités et durées de conservation
Finalité du traitement Durée de conservation 
Gestion du site web de la Région 1 an
Gestion des subventions 10 ans
Gestion de la communication externe 1 an
Gestion des accès aux services en ligne 1 an
Gestion des marchés et des convention 5 à 10 ans
Gestion des contentieux et précontentieux  6 ans

Encadrement des transferts de données

La Région héberge vos données personnelles en France et en Europe ; elle ne transfère pas vos données en dehors de l’Union européenne.

Si la Région devait avoir besoin de transférer des données en dehors de l’Union européenne, ce transfert pourrait être fondé sur des dérogations pour des situations particulières (votre consentement, un transfert nécessaire à l'exécution d'un contrat entre vous et la Région ou à la mise en œuvre de mesures précontractuelles prises à votre demande) 

En tout état de cause, si la Région devait avoir besoin de transférer des données en dehors de l’Union européenne en dehors de ces cas dérogatoires, cela ne serait effectué qu’après avoir pris les mesures nécessaires et adéquates pour assurer un niveau de protection et de sécurité des données personnelles équivalent à celui proposé au sein de l’Union européenne, ce dont vous seriez informé préalablement.

 

Sécurité et confidentialité des données personnelles

La Région accorde une importance particulière à la sécurité des données personnelles.

Elle a mis en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et la confidentialité les données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés : 

  • des mesures techniques : des contrôles techniques, des mesures de chiffrement, des mesures de sécurité physique des flux de données, etc. ;
  • des mesures d’organisation : ségrégation des tâches et des responsabilités, des environnements techniques, gestion des incidents et des failles de sécurité portant sur les données, limitation des accès aux stricts besoins opérationnels, définition des durées de conservation, définition des moyens de contrôle, formation du personnel, etc. 

Toutes les personnes ayant accès aux données sont liées par un devoir de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations.

La Région effectue régulièrement des audits afin de vérifier la bonne application opérationnelle des règles relatives à la sécurité des données.

Ainsi, elle s’engage à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour :

  • protéger ses activités ;
  • préserver la sécurité des données personnelles de ses membres, partenaires, fournisseurs et prestataires ;

contre tout accès, modification, déformation, divulgation, destruction ou accès non autorisés des données personnelles qu’elle détient.

Néanmoins, la sécurité et la confidentialité des données personnelles reposent sur les bonnes pratiques de chacun, ainsi chaque personne concernée est invitée à rester vigilante.

Conformément à ses engagements, la Région choisit ses sous-traitants et prestataires avec soin et leur impose :

  • un niveau de protection des données personnelles au moins équivalent aux siens ;
  • une utilisation des données personnelles ou des informations uniquement pour assurer la gestion des services qu’ils doivent fournir ;
  • un respect strict de la législation et de la règlementation applicable en matière de confidentialité, de secret bancaire et de données personnelles ;
  • la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données personnelles qu’ils peuvent être amenés à traiter ;
  • la définition des mesures techniques, et organisationnelles nécessaires pour assurer la sécurité.

3. La Région s’engage à conclure avec ses sous-traitants, conformément aux obligations légales, des contrats définissant précisément les conditions et modalités de traitement des données personnelles.
 

Les droits des personnes

Les personnes dont les données font l’objet d’un traitement bénéficient des droits décrits ci-après. 

Les personnes concernées par les traitements des données personnelles effectués par la Région peuvent formuler leurs demandes et exercer leurs différents droits en s’adressant au délégué à la protection des données personnelles dont les coordonnées figurent à l’article 2 de la présente politique. 

La Région fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée pour l’exercice des droits mentionnés ci-dessous, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter du jour de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. La Région informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.

Pour invoquer ses droits, la personne concernée peut contacter le DPO par voie électronique ou par voie postale (voir les coordonnées au § 2. ci-dessus).

Enfin, la personne concernée a le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, concernant la conformité de la Région avec la réglementation applicable en matière de protection des données.


Droit d’accès 

Les personnes concernées ont le droit d’obtenir de la Région la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées par la Région et, lorsqu'elles le sont, d’obtenir l'accès auxdites données à caractère personnel ainsi que les informations suivantes :

  • les finalités du traitement ;
  • les catégories de données à caractère personnel concernées ;
  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
  • lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
  • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement ;
  • le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
  • lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
  • l’existence d'une prise de décision automatisée, y compris un profilage ;
  • lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées en ce qui concerne ce transfert.

La Région fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Pour toute copie supplémentaire demandée, veuillez noter que la Région peut facturer des frais raisonnables en fonction des frais administratifs.

Droit de rectification 

Les personnes concernées ont le droit d'obtenir de la Région, dans les meilleurs délais, la rectification des données à caractère personnel vous concernant qui sont inexactes et/ou incomplètes.

Droit à l’effacement 

Sauf dans des cas spécifiques où la loi le prévoit, les personnes concernées ont le droit d'obtenir de la Région l'effacement, dans les meilleurs délais, de données à caractère personnel les concernant lorsque l'un des motifs suivants s'applique :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ;
  • le retrait du consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement ;
  • l’opposition au traitement et il n'existe pas de motif légitime impérieux pour le traitement :
  • les données à caractère personnel ont fait l'objet d'un traitement illicite ;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle la Région est soumise.

Droit à la limitation du traitement 

Les personnes concernées ont le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique :

  • il est contesté l'exactitude des données à caractère personnel (dans un tel cas, la limitation pourra être mise en place pendant une durée permettant à la Région de vérifier l'exactitude des données à caractère personnel) ;
  • le traitement est illicite et la personne concernée s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation ;
  • la Région n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;
  • la personne concernée s’oppose au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par la Région prévalent sur ceux de la personne concernée.

Si le droit à la limitation est exercé valablement, la Région ne pourra plus traiter les données à caractère personnel, sauf : 

  • si la personne concernée a donné son consentement ;
  • pour la constatation, l'exercice ou la défense de droits en justice ;
  • pour la protection des droits d'une autre personne physique ou morale ;
  • pour des motifs importants d'intérêt public de l'Union ou d'un État membre.

Droit à la portabilité 

Les personnes concernées ont le droit de recevoir ou de transmettre leurs données à caractère personnel fournies à la Région, dans un format structuré, couramment utilisé et lisible par machine, à un autre responsable du traitement lorsque le traitement se fonde sur le consentement ou sur un contrat et si le traitement est effectué à l'aide de procédés automatisés.

Droit d'opposition

 

Les personnes concernées ont le droit de s’opposer à tout moment pour des raisons tenant à leur situation particulière, à un traitement des données à caractère personnel les concernant, fondé sur l’intérêt légitime de la Région. La Région ne traite plus ces données à caractère personnel, à moins qu'elle ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.

Ce droit peut être exercée à tout moment lorsque vos données sont collectées à des fins de prospection commerciale.


Droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage 

Les personnes concernées ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire, sous réserve des exceptions prévues par la loi.

Droit de retrait du consentement

Lorsque les traitements de données que la Région met en œuvre sont fondés sur le consentement des personnes concernées, celles-ci ont le droit de le retirer à n’importe quel moment. La Région cesse alors de traiter ces données personnelles sans que les opérations antérieures pour lesquelles les personnes concernées avaient consenti ne soient remises en cause.

Droit d’introduire une réclamation

Les personnes concernées ont le droit d’introduire une réclamation auprès de la Cnil à l’adresse suivante : 3, place de Fontenoy, 75007 Paris, sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel.

Droit de définir des directives port-mortem 

Les personnes concernées disposent du droit de formuler des directives spécifiques et générales concernant la conservation, l’effacement et la communication des données post-mortem les concernant. En ce qui concerne les directives générales, elles devront être adressées à un tiers qui sera désigné par décret.