La Région Île-de-France (ci-après, la « Région ») est attachée au respect et à la protection des données personnelles des Franciliens. Maintenir un cadre de confiance avec les Franciliens dans la gestion de leurs données personnelles est une préoccupation fondamentale de notre institution.
Nous considérons que nous devons vous permettre de savoir quelles sont les données à caractère personnel vous concernant, que nous recueillons et utilisons ; tout en vous permettant de comprendre vos droits sur ces données.


Par conséquent, cette politique a pour objectif de vous informer :

  • Sur les caractéristiques des traitements que la Région réalise sur vos données et ce, quel que soit les sites, applications et autres médias qui y sont liés ; 
  • Sur les droits dont vous bénéficiez vis-à-vis des traitements que la Région opère

Pour votre parfaite information, la Région met en œuvre des traitements de données à caractère personnel en tant que responsable du traitement, ce qui signifie que nous déterminons « pourquoi » et « comment » vos données personnelles sont collectées et utilisées.

Cette Politique de protection des données pourra faire l’objet de modifications en fonction des évolutions légales et réglementaires applicables ou des recommandations de la Commission nationale de l’informatique et des libertés (CNIL). 

1.1    Délégué à la protection des données


La Région a désigné un Délégué à la protection des données personnelles (« DPD » ou « DPO » en anglais selon le RGPD pour « Data protection officer »)) qui veille à ce que vos données personnelles soient systématiquement utilisées de façon transparente, exacte et conforme à la réglementation applicable et à prendre en compte vos demandes d’exercices de droits définis ci-dessus.
La Région a ainsi désigné le cabinet Lexing Alain Bensoussan Avocats en tant que Délégué à la protection des données personnelles (DPD) externalisé qui peut être contacté par toute personne intéressée afin de répondre à toute interrogation et notamment dans le cadre de l’exercice de leurs droits tels que définis ci-après.

Le Délégué à la Protection des Données peut être contacté :

  • à l’adresse postale suivante : À l’attention du Délégué à la Protection des Données, Région Ile-de-France, Pôle Transformation Numérique, 2 rue Simone Veil, 93400 Saint Ouen
  • ou à l’adresse électronique suivante : dpo@iledefrance.fr.


1.2    Information concernant les traitements mis en œuvre par la Région

La Région, dans une volonté de transparence, et de conformité (texte de loi), met à disposition du public son registre des activités de traitements. 

Ce registre répond aux exigences de l’article 30 du RGPD et sa mise à disposition, couplée à la présente politique, permet également de répondre à l’obligation de la Région d’informer les personnes concernées en application des articles 13 et 14 du RGPD. 

Ce registre comprend les informations suivantes pour chacun des traitements mis en œuvre par la Région quel que soit le support de collecte de vos données :

  • l’objet du traitement de données ;
  • le principal domaine métier en charge du traitement de données ;
  • la finalité principale du traitement de données ;
  • les sous-finalités complémentaires à la finalité principale du traitement de données lorsqu’il y en a ;
  • les responsables conjoints de traitement lorsqu’il y en a ;
  • un indicateur permettant d’identifier si la Région sous-traite tout ou partie du traitement de données à des sous-traitants ;
  • la base juridique du traitement de données ;
  • les précisions éventuelles sur la base juridique du traitement ;
  • l’existence de flux transfrontières de données dans le cadre du traitement de données ;
  • les catégories de personnes concernées par le traitement de données ;
  • les durées de conservation et les destinataires pour chaque type de données et chaque type de personnes concernées par le traitement de données. 

Le registre des traitements a vocation à retranscrire l’état des traitements mis en œuvre par la Région à date, il peut donc être mis à jour régulièrement en fonction de leur évolution. 

Accéder au registre de traitements de données à caractère personnel de la Région.


1.3    Les principes applicables aux données personnelles

La Région s’attache au respect des principes suivants dans le cadre de la collecte et l’exploitation des données personnelles vous concernant.


1.3.1    Utilisation légitime et proportionnée

Les données personnelles sont collectées uniquement par la Région pour des finalités déterminées, explicites et légitimes.

La finalité d’un traitement de données personnelles est l’objectif principal poursuivi par la Région, justifiant la mise en œuvre du traitement de données personnelles dont vous faite l’objet.

Du fait de sa qualité d’institution publique (collectivité territoriale) chargée d’une mission d’intérêt public, la Région procède, en complément d’une finalité initiale au titre de laquelle une collecte de données personnelles est effectuée, à l’envoi de communication thématique et institutionnelle dans l’objectif d’informer les citoyens, associations, acteurs économiques, partenaires institutionnels, porteurs de projets et autres catégories de personnes concernées, des actions qu’elle mène au titre de ses compétences.

Les données collectées ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.

Pour chaque traitement, la Région s’engage à ne collecter et traiter que des données personnelles strictement nécessaires à l’objectif poursuivi. (les objectifs correspondent aux actions de la Région en faveur des Franciliens, à travers ses divers dispositifs) et ne sera jamais discriminatoire ni contraire à une loi en vigueur.

En savoir plus sur les finalités des traitements mis en œuvre par la Région et sur les données collectées en fonction de celles-ci.


1.3.2    Collecte loyale et transparente

Dans un souci de loyauté et de transparence vis-à-vis des Franciliens, la Région prend soin de vous informer de chaque traitement qu’elle met en œuvre par des mentions d’information.

Ces données sont collectées loyalement et aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées.

La mise à disposition du registre de la Région, couplée à la présente Politique, vous permet de disposer de l’ensemble des informations sur les caractéristiques des traitements mis en œuvre par la Région.

 

1.3.3    Adéquation, pertinence et minimisation des données collectées

Les données personnelles collectées sont strictement nécessaires à l’objectif poursuivi par la collecte. La Région s’attache à minimiser les données collectées, à les tenir exactes et à jour.

Ainsi, pour chaque dispositif (quel que soit le support d’accès au dispositif), seules les données indispensables vous seront demandées.

Les données personnelles collectées sont mises à jour régulièrement et stockées par la Région dans ses bases de données ou le cas échéant, dans les bases de données de ses sous-traitants. 

Par ailleurs, la Région veille à mettre en œuvre des procédés afin de permettre l’effacement ou la rectification des données inexactes. 


1.3.4    Protection des données personnelles dès la conception et par défaut

La Région a adopté des politiques et des procédures internes et met en œuvre des mesures afin de respecter les principes de protection des données personnelles dès la conception et par défaut. 

Ainsi, lors de l'élaboration, de la conception, de la sélection, de l'utilisation d'applications et de services qui reposent sur le traitement de données personnelles, la Région prend en compte le droit de la protection des données personnelles. Elle s’assure auprès de ses prestataires qu’ils répondent aux prescriptions légales et permettent d’assurer la protection des données qui y seront traitées.

1.3.5    Une durée de conservation limitée au regard des finalités du traitement

La Région s’engage à conserver les données personnelles pendant une durée strictement limitée à celle nécessaire au regard des finalités du traitement.

En savoir plus sur les durées de conservation appliquées en fonction des finalités des traitements mis en œuvre par la Région.


1.3.6    Encadrement des transferts de données

La Région héberge vos données personnelles en France et en Europe. Elle ne transfère pas vos données en dehors de l’Union européenne.

Certaines données sont néanmoins susceptibles d’être transférées pour des cas légitimes et encadrés, en dehors de l’Union européenne, en particulier vers les États-Unis dans le cadre de l’utilisation de la suite Microsoft Office.   

Ce transfert est encadré par la décision d'adéquation de la Commission européenne du 10 juillet 2023 ainsi que par un contrat conclu entre la Région et Microsoft comportant des clauses contractuelles types conformes à la Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 qui permet de garantir que toutes les mesures nécessaires et adéquates soient mises en œuvre pour assurer un niveau de protection et de sécurité des données personnelles équivalent à celui imposé au sein de l’Union européenne.   

Vous pouvez obtenir une copie de ces garanties en vous adressant au Délégué à la protection des données joignable par courrier électronique à l’adresse : dpo@iledefrance.fr.

De manière plus générale, si la Région devait avoir besoin de transférer des données en dehors de l’Union européenne, ce transfert pourrait être fondé sur des dérogations pour des situations particulières (votre consentement, un transfert nécessaire à l'exécution d'un contrat entre vous et la Région ou à la mise en œuvre de mesures précontractuelles prises à votre demande).

En tout état de cause, si la Région devait avoir besoin de transférer des données en dehors de l’Union européenne en dehors de ces cas dérogatoires, cela ne serait effectué que pour des cas légitimes et encadrés, et qu’après avoir pris les mesures nécessaires et adéquates pour assurer un niveau de protection et de sécurité des données personnelles équivalent à celui proposé au sein de l’Union européenne, ce dont vous seriez informés préalablement.


1.3.7    Sécurité et confidentialité des données personnelles

La Région accorde une importance particulière à la sécurité des données personnelles.

Elle a mis en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et la confidentialité les données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés : 

  • des mesures techniques : des contrôles techniques, des mesures de chiffrement, des mesures de sécurité physique des flux de données, etc. ;
  • des mesures d’organisation : ségrégation des tâches et des responsabilités, des environnements techniques, gestion des incidents et des failles de sécurité portant sur les données, limitation des accès aux stricts besoins opérationnels, définition des durées de conservation, définition des moyens de contrôle, formation du personnel, etc. 

Toutes les personnes ayant accès aux données sont liées par un devoir de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations.

La Région effectue régulièrement des audits afin de vérifier la bonne application opérationnelle des règles relatives à la sécurité des données.

Ainsi, elle s’engage à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour protéger ses activités et préserver la sécurité des données personnelles des Franciliens contre tout accès, modification, déformation, divulgation, destruction ou accès non autorisés des données personnelles qu’elle détient.

Néanmoins, la sécurité et la confidentialité des données personnelles reposent sur les bonnes pratiques de chacun. Ainsi chaque personne concernée est invitée à rester vigilante.

Conformément à ses engagements, la Région choisit ses sous-traitants et prestataires avec soin et leur impose :

  • un niveau de protection des données personnelles au moins équivalent aux siens ;
  • une utilisation des données personnelles ou des informations uniquement pour assurer la gestion des services qu’ils doivent fournir ;
  • un respect strict de la législation et de la règlementation applicable en matière de confidentialité, de secret bancaire et de données personnelles ;
  • la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données personnelles qu’ils peuvent être amenés à traiter ;
  • la définition des mesures techniques, et organisationnelles nécessaires pour assurer la sécurité.

La Région s’engage à conclure avec ses sous-traitants, conformément aux obligations légales, des contrats définissant précisément les conditions et modalités de traitement des données personnelles.
Les sous-traitants de la Région ont un accès limité aux seules données personnelles strictement nécessaires à l’exécution des prestations concernées, et ont une obligation contractuelle de les utiliser en conformité avec la réglementation en vigueur en matière de données personnelles. 
La Région s’engage à ne transmettre vos données personnelles à aucun autre tiers. Seuls ses sous-traitants et partenaires de dispositifs régionaux peuvent y avoir accès.
La Région n’effectue en aucun cas de commercialisation, d’échange, de transfert à des fins commerciales, de vos données personnelles, à des tiers.

 
1.4    Les droits des personnes

Les personnes dont les données font l’objet d’un traitement, quel que soit le service, l’application ou disposition concerné nécessitant la collecte de vos données personnelles, bénéficient des droits qui vous sont décrits ci-après. 

Vous pouvez formuler vos demandes et exercer vos différents droits en vous adressant au Délégué à la protection des données personnelles (DPD) dont les coordonnées figurent à l’article 1.1 de la présente politique. 

La Région vous fournit des informations sur les mesures prises à la suite d'une demande formulée pour l’exercice des droits mentionnés ci-dessous, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter du jour de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. La Région vous informe de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de votre demande.

Pour invoquer vos droits, vous pouvez contacter le DPO par voie électronique ou par voie postale (voir les coordonnées au 1.1 ci-dessus).


1.4.1    Droit d’accès 

Les personnes concernées ont le droit d’obtenir de la Région la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées par la Région et, lorsqu'elles le sont, d’obtenir l'accès auxdites données à caractère personnel ainsi que les informations suivantes :

  • les finalités du traitement ;
  • les catégories de données à caractère personnel concernées ;
  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
  • lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
  • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement ;
  • le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
  • lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
  • l’existence d'une prise de décision automatisée, y compris un profilage ;
  • lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées en ce qui concerne ce transfert.

La Région fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Pour toute copie supplémentaire demandée, veuillez noter que la Région peut facturer des frais raisonnables en fonction des frais administratifs.


1.4.2    Droit de rectification 

Les personnes concernées ont le droit d'obtenir de la Région, dans les meilleurs délais, la rectification des données à caractère personnel les concernant qui sont inexactes et/ou incomplètes.


1.4.3    Droit à l’effacement 

Sauf dans des cas spécifiques où la loi le prévoit, les personnes concernées ont le droit d'obtenir de la Région l'effacement, dans les meilleurs délais, de données à caractère personnel les concernant lorsque l'un des motifs suivants s'applique :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ;
  • le retrait du consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement ;
  • l’opposition au traitement et il n'existe pas de motif légitime impérieux pour le traitement :
  • les données à caractère personnel ont fait l'objet d'un traitement illicite ;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle la Région est soumise.

Le droit à l’effacement des données n’est pas un droit général et il pourra ne pas y être fait droit si un motif de refus s’applique.

Ainsi, si un motif d’exclusion du droit à l’effacement est présent, la Région ne pourra répondre favorablement à la demande, tel sera le cas si la Région est tenue de conserver les données en raison d’une obligation légale ou réglementaire à laquelle elle est soumise ou pour la constatation, l’exercice ou la défense de droits en justice.

1.4.4    Droit à la limitation du traitement 

Les personnes concernées ont le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique :

  • il est contesté l'exactitude des données à caractère personnel (dans un tel cas, la limitation pourra être mise en place pendant une durée permettant à la Région de vérifier l'exactitude des données à caractère personnel) ;
  • le traitement est illicite et la personne concernée s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation ;
  • la Région n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;
  • la personne concernée s’oppose au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par la Région prévalent sur ceux de la personne concernée.

Si le droit à la limitation est exercé valablement, la Région ne pourra plus traiter les données à caractère personnel, sauf : 

  • si la personne concernée a donné son consentement ;
  • pour la constatation, l'exercice ou la défense de droits en justice ;
  • pour la protection des droits d'une autre personne physique ou morale ;
  • pour des motifs importants d'intérêt public de l'Union ou d'un État membre.


1.4.5    Droit à la portabilité 

Les personnes concernées ont le droit de recevoir ou de transmettre leurs données à caractère personnel fournies à la Région, dans un format structuré, couramment utilisé et lisible par machine, à un autre responsable du traitement lorsque le traitement se fonde sur le consentement ou sur un contrat et si le traitement est effectué à l'aide de procédés automatisés.

1.4.6    Droit d'opposition

Les personnes concernées, pour des raisons tenant à leur situation particulière, ont le droit de s’opposer à tout moment à un traitement des données à caractère personnel les concernant, ce droit n’est pour autant pas absolu et la Région ne peut l’appliquer que pour les traitements fondés sur l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique ou fondé sur l’intérêt légitime de la Région. 
En respect de ce droit lorsqu’il est exercé, la Région ne traite plus ces données à caractère personnel, à moins qu'elle ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.

1.4.7    Droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage 

Les personnes concernées ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire, sous réserve des exceptions prévues par la loi.


1.4.8    Droit de retrait du consentement

Lorsque les traitements de données que la Région met en œuvre sont fondés sur le consentement des personnes concernées, celles-ci ont le droit de le retirer à n’importe quel moment. La Région cesse alors de traiter ces données personnelles sans que les opérations antérieures pour lesquelles les personnes concernées avaient consenti ne soient remises en cause.


1.4.9    Droit d’introduire une réclamation

Les personnes concernées ont le droit d’introduire une réclamation auprès de la CNIL à l’adresse suivante : 3, place de Fontenoy, 75007 Paris, sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel.


1.4.10    Droit de définir des directives port-mortem 

Les personnes concernées disposent du droit de formuler des directives spécifiques et générales concernant la conservation, l’effacement et la communication des données post-mortem les concernant. En ce qui concerne les directives générales, elles devront être adressées à un tiers qui sera désigné par décret.