Vous êtes ici :

Mentions générales sur la protection des données

Dans ce cadre de l’exercice de ses compétences, la Région Provence-Alpes-Côte d’Azur (la « Région ») est amenée à traiter vos données personnelles strictement nécessaires à la mise en œuvre de ses politiques publiques. 

Les « données à caractère personnel » (« données personnelles ») sont les informations qui permettent de vous identifier directement ou indirectement. 

Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion).  

La confidentialité des données personnelles est extrêmement importante pour la Région qui veut être transparente sur la façon dont sont utilisées vos données personnelles. 

Les présentes mentions légales détaillent les conditions dans lesquelles la Région s’engage à respecter vos droits en matière de données personnelles conformément à la règlementation applicable en matière de données à caractère personnel, à savoir notamment :

  • Le règlement UE 2016/679 du 27 avril 2016 (RGPD) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données
  • La loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés et le décret n° 2019-536 du 29 mai 2019 pris pour l'application de loi n° 78-17 précitée.

 

Politique de protection des données : respect des grands principes

Principe 1 – Responsabilité

La Région est responsable des traitements de données à caractère personnel qu’elle met en œuvre directement ou indirectement. En conséquence, elle doit se conformer strictement à la règlementation applicable et accomplir toutes les formalités légales nécessaires à la mise en œuvre des traitements de données à caractère personnel, que ces données concernent ses agents ou des tiers.

Principe 2 – Détermination des finalités de la collecte de données à caractère personnel

La Région doit déterminer les finalités pour lesquelles elle recueille des données à caractère personnel. Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées d'une manière incompatible avec ces finalités ; le traitement ultérieur des données à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89 du RGPD, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités); article 6, 26 du RGPD.

Principe 3 – Transparence et licéité de la collecte

La Région ne collecte pas de données à caractère personnel à l’insu des personnes concernées. De la même manière, la Région ne collecte pas des données à caractère personnel lorsque les personnes concernées s’y opposent légitimement. Les données sont collectées de manière licite conformément à l’article 6 du RGPD. La Région fournit aux personnes concernées, auprès desquelles elle recueille leurs données à caractère personnel, les informations sur la finalité du traitement, l’identité du responsable du traitement, la base légale du traitement, la durée de conservation et l’étendue de leurs droits conformément aux articles 13 et 14 du RGPD.

Principe 4 – Limitation de la collecte des données à caractère personnel et qualité des données

La Région se limite au recueil des seules données à caractère personnel nécessaires à l’atteinte des finalités énoncées. Les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ; article 25 du RGPD. Les données fournies par les usagers doivent-être exactes.

La Région veille à la mise à jour des données à caractère personnel qu’elle traite tout en respectant les finalités visées.

Principe 5 – Limitation de la conservation des données à caractère personnel

Les durées de conservation des données personnelles ne doivent pas excéder celles nécessaires à l’atteinte des finalités visées. Ces durées de conservation sont soit édictées par les archives départementales ou les archives nationales, soit précisées dans les textes législatifs et/ou réglementaires. Ces durées, ou les éléments permettant de les déterminer, sont portées à la connaissance des personnes concernées.

Principe 6 – Sécurité physique et logique des données à caractère personnel

La Région détermine et met en œuvre les moyens nécessaires à la protection des systèmes de traitement de données à caractère personnel pour éviter toute intrusion malveillante et prévenir toute perte, altération ou divulgation de données à des personnes non autorisées. La Région détermine et met en œuvre des mesures de sécurité permettant de garantir la confidentialité des données ; article 32 du RGPD sur la Sécurité du traitement. La Région exige de ses sous-traitants et de ses partenaires qu’ils présentent des garanties suffisantes pour assurer la sécurité et la confidentialité des données à caractère personnel (signature de clauses de confidentialité).

Principe 7 – Violation de données à caractère personnel

En cas de faille de sécurité, la Région doit prévenir la Commission nationale de l'informatique et des libertés (CNIL) , dans les 72h et doit documenter tous les éléments relatifs à la violation. Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ; article 33 du RGPD - Notification à l'autorité de contrôle d'une violation de données à caractère personnel et article 34 du RGPD - Communication à la personne concernée d'une violation de données à caractère personnel.

Principe 8 – Droit des personnes - Information

La Région met en œuvre les moyens nécessaires pour informer toute personne qui en fait la demande de l’existence de données à caractère personnel qui la concernent et de l’usage qui en est fait. Elle met en œuvre les moyens nécessaires pour garantir aux personnes concernées l’accès aux données à caractère personnel qui les concernent lorsqu’ils en font la demande. Elle prend toute mesure pour rectifier ou supprimer les informations erronées. Chaque traitement fait l’objet d’une information complète à la personne concernée.

Principe 9 – Mise en œuvre de la politique de gestion des données à caractère personnel

La Région met à disposition des personnes concernées (tiers ou agents) une information précise sur la politique de gestion des données à caractère personnel et les principes qui la composent. Elle détermine et met en œuvre l’ensemble des mesures opérationnelles utiles et nécessaires pour permettre à ses services d’appliquer les principes de la politique de gestion des données à caractère personnel. En ce sens, elle sensibilise et forme ses services sur les principes applicables en matière de gestion des données à caractère personnel et promeut les bonnes pratiques.

Principe 10 – Respect des principes énoncés

La Région est pourvue d’un délégué à la protection des données qui veille au respect des règles en matière de collecte et de traitement de données à caractère personnel énoncées dans le présent document. Toute personne doit pouvoir saisir le délégué à la protection des données sur les principes énoncés ci-dessus.

Principe 11 – Pérennité de la politique de gestion des données à caractère personnel

Pour les besoins de la pérennité de sa politique de gestion des données à caractère personnel, la Région s’assure régulièrement de l’adéquation des principes qui la composent aux évolutions des technologies, du droit et des besoins des personnes concernées.
 

Identité du responsable de traitement

Le responsable de traitement est la Région Provence-Alpes-Côte d’Azur, en tant que personne morale, représentée par 
Monsieur Renaud Muselier 
Président du Conseil Régional Provence Alpes-Côte d’Azur
Hôtel de Région - 27 Place Jules Guesde - 13481 Marseille Cedex 20

Le registre de la Région rappellera systématiquement l’identité du responsable de traitement pour chaque traitement. Dans certains cas, la responsabilité de traitement pourra être partagée avec un ou plusieurs partenaires et donnera lieu à une relation de coresponsabilité de traitement.

Dans d’autres cas peu fréquents, la Région pourra intervenir également comme sous-traitante d’un partenaire.
 

Les sous-traitants

La Région peut avoir recours à des sous-traitants. La Région vous garantit qu’elle vérifie et exige que ces sous-traitants présentent des garanties suffisantes en matière de protection des données personnelles.
 

Finalités de traitement 

A chaque collecte de vos données personnelles, nous vous indiquerons les finalités du traitement concerné.  Hormis en cas d’incompatibilité, la communication thématique ou institutionnelle de la Région constitue une finalité complémentaire de la finalité initiale au titre de laquelle chaque collecte est effectuée. 

La Région s’engage à ne collecter que les données personnelles strictement nécessaires aux finalités du traitement. 
 

Base juridique des finalités du traitement et caractère obligatoire ou facultatif de la collecte 

Pour chacune des finalités de chaque traitement spécifique des données personnelles que nous collectons auprès de vous, nous vous indiquerons la base juridique de cette finalité (exécution contractuelle, obligation légale, exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi la Région, intérêt légitime de la Région n’obérant pas les droits et libertés des personnes concernées, sauvegarde des intérêts vitaux, consentement). 

La communication thématique ou institutionnelle relève de la mission d’intérêt public de la Région aux fins d’informer les citoyens, les associations, les acteurs économiques, les partenaires institutionnels, les porteurs de projets et autres catégories de personnes concernées des actions menées par la Région au titre de ses compétences. 

Il sera aussi précisé si le recueil de vos données personnelles est obligatoire ou facultatif ainsi que les conséquences éventuelles si vous choisissez de ne pas les communiquer. 

Si le traitement repose sur votre consentement, vous pouvez à tout moment le retirer.
 

Destinataires de vos données personnelles.

Pour chaque traitement spécifique des données personnelles que la Région collecte auprès de vous, la Région vous indiquera les destinataires de ces données. Ces destinataires pourront être les services de la Région, ses sous-traitants et les partenaires des dispositifs régionaux. Vos données pourront faire l'objet d'un archivage au Service des archives régionales ou chez ses sous-traitants durant toute la durée d'utilité administrative pouvant varier selon le traitement.

Les sous-traitants de la Région auront un accès limité aux seules données personnelles strictement nécessaires à l’exécution des prestations concernées, et ont une obligation contractuelle de les utiliser en conformité avec la réglementation en vigueur en matière de données personnelles. 

La Région s’engage à ne transmettre à aucun tiers vos données personnelles, autres que de ses sous-traitants et les partenaires des dispositifs régionaux. En aucun cas, la Région ne commercialise, ne transfère ou n’échange à des tiers à des fins commerciales, vos données personnelles.
 

Durée de conservation des données personnelles 

La durée de conservation de vos données personnelles est strictement liée à la base juridique du traitement (contractuelle, légale et réglementaire ou autre), à la nature de la donnée personnelle concernée et à la finalité du traitement.

A chaque traitement spécifique, la Région vous indiquera la durée de conservation.

A l’issue de la durée de conservation strictement nécessaire à la finalité susmentionnée ou en cas d’exercice de vos droits, la Région s’engage à détruire toutes vos données personnelles dans la limite et les conditions prévues en matière de respect de ses obligations légales (voir ci-dessous « Vos droits »).
 

Sécurité des données personnelles

Dans le cadre de la mise en œuvre de ses politiques publiques, la Région accorde la plus haute importance à la sécurité de vos données personnelles. La Région s’engage à prendre toutes les précautions utiles et met en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour garantir de façon permanente un niveau de protection adapté aux risques d’atteinte à votre vie privée et à vos données personnelles contre les altérations, destructions, violations et accès non autorisés.

Les données à caractère personnel sont stockées sur des serveurs d’hébergement situés dans l’Union européenne ou dans des pays tiers dont le niveau de sécurité en matière de protection des données à caractère personnel est en adéquation avec celui proposé dans l’Union européenne et l’Espace économique européen.

Conformément à la réglementation en vigueur, la Région tient un registre des activités de traitement des données à caractère personnel régulièrement suivi et mis à jour par le délégué à la protection des données désigné au sein de l’institution.
 

Vos droits

Droit d’accès :

Vous avez le droit de demander des informations sur les données personnelles que nous détenons vous concernant, afin notamment d’en vérifier le contenu.
 

Droit à la portabilité des données personnelles:

Le droit de portabilité s’applique aux données traitées de manière automatisée et collectées sur la base de votre consentement préalable ou de l’exécution d’un contrat. 

Ce droit de portabilité vous permet :

  • De récupérer les données personnelles que vous avez fournies, dans un format structuré, couramment utilisé et lisible par machine  
  • D'obtenir que vos données personnelles soient transmises directement à un autre organisme. À noter que ce droit au transfert ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. 
     

Droit de rectification :

Vous avez le droit de demander la rectification de vos données personnelles si elles sont inexactes ou en cas de changement de situation, mais aussi, compléter vos données personnelles incomplètes.
 

Droit à l’effacement/droit à l’oubli:

Vous avez le droit de demander, à tout moment, l’effacement de toutes vos données personnelles traitées par la Région dans les cas suivants : 

  • Vos données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • Vous décidez de retirer votre consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement ; 
  • Vous vous opposez au traitement et il n’existe pas de motif légitime impérieux pour le traitement ; 
  • Vos données personnelles ont fait l'objet d'un traitement illicite ; 
  • Une obligation légale impose l’effacement de vos données personnelles.

Toutefois, ces obligations ne s’appliquent pas dans la mesure où ce traitement de données est nécessaire : 

  • A l'exercice du droit à la liberté d'expression et d'information ; 
  • Pour respecter une obligation légale à laquelle, le responsable du traitement est soumis ; 
  • Pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ; 
  • Pour des motifs d'intérêt public dans le domaine de la santé publique ; 
  • A des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • A la constatation, à l'exercice ou à la défense de droits en justice.
     

Droit de vous opposer au traitement de vos données :

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles à moins que la Région ne présente des motifs légitimes et impérieux pour le traitement.
 

Droit à la limitation du traitement :

Vous avez le droit de demander à ce que la Région limite l’utilisation de vos données personnelles ce qui signifie que vos données à caractère personnel ne peuvent — à l’exception de la conservation — être traitées qu’avec votre consentement pour la constatation, l’exercice ou la défense de droits en justice, pour la protection des droits d’une autre personne physique ou morale ou pour des motifs d’intérêt public de l’UE ou d’un État membre de l’UE et que vous devez être informé avant que la limitation ne soit levée,

Ce droit peut s’exercer dans les cas suivants :

  • Vous contestez l'exactitude de vos données personnelles ;
  • Le traitement est illicite et vous vous opposez à leur effacement et exigez à la place la limitation de leur utilisation ;  
  • La Région n’a plus besoin de vos données personnelles aux fins du traitement mais celles-ci vous sont encore nécessaires pour la constatation, l'exercice ou la défense de droits en justice,
  • Vous vous êtes opposé au traitement pendant la vérification portant sur le point de savoir si les motifs légitimes permettaient de poursuivre le traitement. 
      

Droit de ne pas faire l’objet d’une décision individuelle y compris le profilage

Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative. 
  

Droit de réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), autorité de contrôle

Si vous considérez que le traitement de vos données personnelles constitue une violation de la législation en vigueur, vous avez la possibilité d’introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), autorité de contrôle.

En cas de violation, la CNIL peut notamment procéder à :

  • un rappel à l’ordre du responsable de traitement ;
  • une injonction de mettre en conformité le traitement ou une injonction de satisfaire aux demandes d’exercice des droits des personnes concernées.
  • une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ;
  • une sanction administrative.
      

Droits sur les données personnelles Post Mortem

Vous pouvez donner des directives relatives à la conservation, à l'effacement et à la communication de vos données post mortem.

Vous pouvez désigner une personne chargée d’exécuter celles-ci qui pourra en prendre connaissance et nous demander leur mise en œuvre.

A votre décès, vos héritiers justifiant de leur identité pourront demander à la Région de tenir compte de votre nouvelle situation, et de procéder à l’actualisation conséquente de vos données.
 

Pour exercer ces droits :  Contactez le délégué à la protection des données (DPD)

La Région a désigné un délégué à la protection des données personnelles (DPD) qui veille à ce que vos données personnelles soient systématiquement utilisées de façon transparente, exacte et conforme à la réglementation applicable et à prendre en compte vos demandes d’exercice de droits définis ci-dessus.

Vous pouvez contacter le DPD de la Région :

Confidentialité des données personnelles

La Région garantit la confidentialité de vos données personnelles traitées et veille à ce que les personnes autorisées à les traiter s’engagent également à respecter cette obligation de confidentialité.

Accès au registre des traitements