Accéder au contenu Accéder à la navigation Accéder au bas de page

Politique de protection des données personnelles

Politique de protection des données personnelles

Politique de protection des données personnelles de l'Agglomération de La Rochelle

Dans le cadre des missions de service public et activités diverses, la Communauté d’agglomération de La Rochelle (CDA) est amenée à collecter et à traiter les données à caractère personnel des usagers, des agents, des élus et des partenaires publics et privés. 

La CDA s’engage à protéger les données à caractère personnel, conformément au Règlement Général à la Protection des Données (RGPD), règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016;  et à la loi française Informatique et Libertés (LIL) du 6 janvier 1978 dans leurs versions en vigueur.

La CDA met en œuvre les moyens nécessaires à la protection physique et informatique des systèmes de traitement des données à caractère personnel pour éviter toute intrusion malveillante et prévenir toute perte, altération ou divulgation de données à des personnes non autorisées.

La CDA forme ses services aux principes applicables en matière de gestion des données à caractère personnel et promeut les bonnes pratiques.

Les engagements suivants constituent la politique de gestion des données à caractère personnel de la CDA. Ces engagements s’appliquent aux traitements informatisées et aux traitement non informatisés.

Engagement n°1 : être en responsabilité

Dans la grande majorité des traitements, la Communauté d’agglomération ou la Ville de La Rochelle (VLR) sont responsables des traitements de données à caractère personnel qu’elles mettent en œuvre.

Cette responsabilité est propre à chaque collectivité en tant qu’entités juridiques distinctes :

  • L'Agglo est responsable des traitements de données qu’elle met en œuvre pour son propre compte
  • La VLR est responsable des traitements de données qu’elle met en œuvre pour son propre compte

Dans certaines hypothèses, l'Agglomération ou la VLR peuvent être responsables conjointes de traitement dès lors que les finalités et les modalités de mise en œuvre de traitement pour répondre aux demandes des usagers sont définis conjointement, avec des tiers privés ou publics.

Dans certaines hypothèses enfin, l'Agglo ou la VLR peuvent avoir la qualité de sous-traitante au titre de l’article 28 du RGPD.

Conformément aux exigences légales, l'Agglo et la VLR accomplissent toutes les formalités nécessaires à la mise en œuvre des traitements de données à caractère personnel, que ces données concernent ses élus, ses usagers, ses agents ou ses partenaires.

Engagement n°2 : respecter l'usage des données

Pour chaque traitement, la Communauté d’agglomération ou la Ville de La Rochelle (VLR) déterminent précisément les finalités pour lesquelles elles traitent des données à caractère personnel.

Les données sont traitées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

À noter : l’article 89 du RGPD prévoit que le traitement ultérieur à des fins archivistiques dans l’intérêt public est compatible avec les finalités initiales.

Engagement n°3 : Garantir la transparence dans la collecte et l’utilisation des données.

Pour chaque traitement, la Communauté d’agglomération et la Ville de La Rochelle (VLR) collectent les données de façon directe à la personne ou indirecte auprès des organismes habilités et s’assurent qu’elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les données sont traitées de manière licite, conformément à l’article 6 du RGPD.

L'Agglomération et la VLR veillent à la mise à jour des données à caractère personnel qu’elles traitent tout en respectant les finalités visées.

L'Agglo et la VLR fournissent aux personnes concernées les informations sur la finalité du traitement, l’identité du responsable du traitement, la base légale du traitement, la durée de conservation et l’étendue de leurs droits conformément aux articles 13 et 14 du RGPD.

Ces informations sont faites suivants les traitements par voie d’affichage, au sein de mentions dans les formulaires et courriers, par les mentions légales sur les pages internet, etc.

Liens utiles :

Engagement n°4 : Respecter les délais de conservation des données

La Communauté d’agglomération (CDA) et la Ville de La Rochelle(VLR) s’engagent à conserver les données conformément aux règles prescrites par les Archives, par la loi Informatique et Liberté ou par tout autre texte législatif.

Les durées de conservation ne doivent pas excéder celles nécessaires à l’atteinte des finalités visées.

Lien utile :

Engagement n°5 : Maîtriser les destinataires des données

Pour chaque traitement, la Communauté d’agglomération et la Ville de La Rochelle (VLR) établissent une liste précise des destinataires en raison de leurs fonctions ou missions.

Seuls les destinataires dûment habilités peuvent accéder aux informations nécessaires à leur activité.

Les données à caractère personnel des personnes ne sont pas transmises ou vendues à des acteurs commerciaux ou publicitaires.

Engagement n°6 : Garantir la sécurité et la confidentialité des données à caractère personnel

La Communauté d’agglomération et la Ville de La Rochelle (VLR) déterminent et mettent en œuvre grâce à la Direction des Systèmes d’Information et son Responsable Sécurité des Systèmes d’Information (RSSI) les moyens nécessaires à la protection des systèmes de traitement de données à caractère personnel et les moyens permettant de garantir la confidentialité des données (article 32 du RGPD).

Les mesures de sécurité respectent au mieux la politique de sécurité des systèmes d’information (PSSI) de la collectivité, issue de la PSSI de l’Etat. Les mesures de sécurités sont déployées dans le cadre d’un processus d’amélioration continue et sont régulièrement testées et évaluées.

L'Agglo et la VLR exigent de leurs sous-traitants et de leurs partenaires qu’ils présentent des garanties suffisantes et conformes à la PSSI de la collectivité pour assurer la sécurité et la confidentialité des données à caractère personnel.

Engagement n°7 : Respecter les obligations de notification et de transparence en cas de violation de données à caractère personnel

En cas de violation de données à caractère personnel, la Communauté d’agglomération et la Ville de La Rochelle (VLR) préviennent l’autorité de contrôle dans les meilleurs délais, et, si possible, dans les 72 heures au plus tard après en avoir pris connaissance (article 33 du RGPD). En France, l’autorité de contrôle est la Commission Nationale de l’Informatique et des Libertés (CNIL).  

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, l'Agglo ou la VLR s’engagent à informer la personne concernée dans les meilleurs délais (article 34 du RGPD).

L'Agglo et la VLR exigent de leurs sous-traitants, à leur notifier sans délais toute violation de données à caractère personnel survenant sur les installations du sous-traitant et impliquant des données personnelles traitées pour le compte de la collectivité.

Engagement n°8 : Respecter les droits des personnes sur leurs données

Selon la base légale du traitement concerné (critère de licéité), les personnes disposent des droits suivants :

  • Droit d’accès (art 15 du RGPD) : la personne accède à toutes les informations détenues sur elle ;
  • Droit de rectification (art 16 du RGPD) : la personne modifie les informations détenues sur elle ;
  • Droit à l’effacement (art 17 du RGPD) : la personne demande la suppression des informations détenues sur elle ;
  • Droit à la limitation (art 18 du RGPD) : la personne demande à « geler » l’utilisation des informations détenues sur elle ;
  • Droit à la portabilité (art 20 du RGPD) : la personne récupère dans un format ouvert et lisible par machine les informations détenues sur elle ;
  • Droit d’opposition (art 21 du RGPD) : la personne refuse l’utilisation des informations détenues sur elle.
  • Droit à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (art 22 du RGPD) : la personne a le droit de demander une intervention humaine dans une décision automatisée la concernant.

Engagement n°9 : Faciliter l’exercice des droits

La Communauté d’agglomération et la Ville de La Rochelle (VLR) mettent en œuvre les moyens nécessaires pour garantir aux personnes concernées l’accès aux données à caractère personnel qui les concernent lorsqu’elles en font la demande.

Suivant les traitements, des précisions sont apportées sur les modalités pour l’exercice des droits au moment de la collecte des données, par le biais d’une mention d’information dans le formulaire de collecte.

D’une manière générale, vous pouvez contacter le Délégué à la protection des données (DPO) de la collectivité par courrier postal, courriel ou en remplissant le formulaire dédié accessible depuis le site web des collectivités.

Si vous estimez, après nous avoir contacté, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez obtenir plus d’informations sur vos droits ou adresser une réclamation en ligne en consultant le site de la CNIL.

Lien utile :

Engagement n°10 : Les actions entreprises pour respecter ces engagements

La Communauté d’agglomération et la Ville de La Rochelle (VLR) ont désigné un Délégué à la Protection des Données mutualisé qui veille au respect des règles en matière de collecte et de traitement de données à caractère personnel énoncées dans le présent document via la tenue d’un registre des traitements de chaque collectivité, des actions de sensibilisations de services, l’accompagnement des services lors de l’instruction des traitements, des actions planifiées d’audits de conformité etc.

L'Agglo et la VLR mettent à disposition sur le portail opendata leurs registres des activités de traitement.

Glossaire

  • VLR : Ville de La Rochelle
  • RGPD : Règlement Général sur la protection des données (Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016)
  • Traitement de données personnelles : toute opération informatisée ou papier portant sur des données à caractère personnel (collecte, stockage, utilisation,  conservation, transfert …)
  • Responsable de traitement : c’est la personne morale ou physique qui détermine les finalités (les objectifs) et les moyens d’un traitement de données
  • DPO : Délégué à la protection des données
  • RSSI : Responsable de la sécurité des systèmes d’information
  • CNIL : Commission Nationale de l’Informatique et des Libertés
  • Licéité: un traitement de données est licite si au moins une des conditions suivantes est remplie 
  • La personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités spécifiques
  • Le traitement est nécessaire à l’exécution d’un contrat
  • Le traitement est nécessaire au respect d’une obligation légale
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
  • Le traitement est nécessaire à l’exécution d’un mission d’intérêt public (notion d’intérêt général)
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement, à moins que ne prévalent les intérêts ou es libertés et droits fondamentaux de la personne concernée

Remonter en haut de page