Publié le 27 novembre 2018

Données à caractère personnel

Mentions légales concernant les données personnelles.

Dans le cadre de l’exercice de ses compétences, la Région Provence-Alpes-Côte d’Azur et le CRIGE sont amenés à traiter vos données personnelles strictement nécessaires à la mise en œuvre de ses politiques publiques.

Les « données à caractère personnel » (« données personnelles ») sont les informations qui permettent de vous identifier directement ou indirectement.
La confidentialité des données personnelles est extrêmement importante pour la Région qui veut être transparente sur la façon dont elles sont utilisées.
A ce titre, la Région garantit la confidentialité de vos données personnelles traitées et veille à ce que les personnes autorisées à les traiter s’engagent également à respecter cette obligation de confidentialité.

Les présentes mentions légales détaillent les conditions dans lesquelles la Région s’engage à respecter vos droits en matière de données personnelles conformément à la réglementation applicable en matière de données à caractère personnel, à savoir notamment :

  • Le Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD),
  • La Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés
  • La Loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal (CADA)

I.  Identité du responsable de traitement

La co-responsabilité de traitement est partagée entre la Région Provence-Alpes-Côte d’Azur et le CRIGE.

Pour la Région, le responsable de traitement  est représenté par Monsieur Renaud Muselier – Président du Conseil Régional de Provence Alpes-Côte d’Azur
Hôtel de Région – 27 Place Jules Guesde
13481  Marseille Cedex 20

Pour le CRIGE, la responsable, est Madame Christine Archias  en tant que Directrice du CRIGE Provence-Alpes-Côte d’Azur
Technopôle de l’Environnement Arbois-Méditerranée
Domaine du Petit Arbois
Avenue Louis Philibert – Bât. Mégie
CS 90646
13547 AIX EN PROVENCE Cedex 4 – FRANCE

II.  Les sous-traitants

La Région et le CRIGE, dans le cadre de leurs relations contractuelles, ont recours à des sous-traitants dont les noms sont précisés dans des mentions légales : https://www.datasud.fr/mentions-legales
La Région et le CRIGE, vous garantissent qu’elles vérifies et exiges que ces sous-traitants présentent des garanties suffisantes en matière de protection des données personnelles.

III.  Finalité de traitement

A chaque collecte de vos données personnelles, nous vous indiquerons la finalité du traitement concerné. La Région s’engage à ne collecter que les données personnelles strictement nécessaires à la finalité du traitement.

IV.  Base juridique du traitement et caractère obligatoire ou facultatif de la collecte

Pour chaque traitement spécifique des données personnelles que nous collectons auprès de vous,, c’est-à-dire des données, y compris non nominatives, permettant la ré-identification de personnes physiques, nous vous indiquerons la base juridique de ce traitement (consentement, exécution contractuelle, obligation légale, exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie la Région).

L’inscription à la Plateforme permet de disposer des fonctionnalités de celle-ci et nécessite que l’Utilisateur communique obligatoirement à la Région et au CRIGE ses nom et prénom, son courriel, ainsi que de manière facultative, son numéro de téléphone et son éventuelle Organisation de rattachement.  En cas de refus d’identification sur la plateforme , le visiteur ne pourra pas avoir accès à l’ensemble des fonctionnalités de Datasud.

Le statut d’Utilisateur, au sens de DataSud, inclut tous les utilisateurs inscrits, avec ou sans statut de Contributeur, de Référent, d’Administrateur, de Reutilisateur  (utilisant un ou plusieurs jeux de données) ou de Développeur.

L’historique de consultation de l’Utilisateur n’est jamais rendu public, ni communiqué à des tiers, en dehors des cas prévus par la loi.  La Région et le CRIGE s’engagent à prendre toutes les mesures nécessaires permettant de garantir la sécurité et la confidentialité du courriel de l’Utilisateur. Celui-ci n’est jamais communiqué à des tiers, en dehors des cas prévus par la loi.

La page de profil de l’Utilisateur comprend ses prénom et nom et des éléments sur son activité (les pages suivies et les jeux de données publiés). Cette page n’est pas référencée par le moteur de recherche de la Plateforme.

L’Utilisateur est responsable des jeux de données qu’il publie sur la Plateforme et du respect des mesures requises à la finalité de traitement opéré ou envisagé sur ces données. La Région et le CRIGE lui demandent de s’assurer que cette publication est conforme à la législation en vigueur et de mentionner la présence de données à caractère personnel dans la documentation accompagnant le jeu de données et de préciser, les restrictions juridiques à la réutilisation, notamment en termes de protection des données à caractère personnel et de la vie privée, en le liant a minima à une Licence.

L’Utilisateur produisant des jeux de données contenant des données à caractère personnel ne peut pas les diffuser sur Datasud, sauf si les personnes concernées ont donné leur consentement préalable ou si une disposition législative ou le décret prévu à l’article L. 312-1-2 du CRPA le permet.

L’Utilisateur devra s’assurer qu’il a bien respecté le principe de minimisation des données à caractère personnel, qu’il a bien informé les personnes concernées et qu’il dispose de leur consentement préalable et explicite l’autorisant à faire apparaître leurs données personnelles sur la plateforme Datasud, ou à défaut qu’il prendra les mesures de pseudonymisation ou d’anonymisation nécessaires.

Si le traitement repose sur votre consentement, vous pouvez à tout moment retirer votre consentement.

V.  Destinataires de vos données personnelles.

L’Utilisateur qui exploite un ou plusieurs jeux de données diffusés sur Datasud doit se conformer à la législation relative à la protection des données à caractère personnel en vigueur dans son territoire de résidence, dans l’Union européenne et dans l’Espace économique européen et respecter les stipulations pertinentes de la licence attachée à ces données.

Pour chaque traitement spécifique des données personnelles que la Région collecte auprès de vous, la Région vous indiquera les destinataires de ces données. Ces destinataires pourront être les services de la Région, du CRIGE et les sous-traitants.
Les sous-traitants de la Région auront un accès limité aux seules données personnelles strictement nécessaires à l’exécution des prestations concernées, et ont une obligation contractuelle de les utiliser en conformité avec la réglementation en vigueur en matière de données personnelles.
La Région et le CRIGE s’engagent à ne transmettre à aucun tiers vos données personnelles, autres que ses sous-traitants. En aucun cas, la Région et le CRIGE ne commercialisent, ne transfèrent ou n’échangent à des tiers à des fins commerciales, vos données personnelles.

VI. Durée de conservation des données personnelles

La durée de conservation de vos données personnelles est de 36 mois. Elle est strictement liée à la base juridique du traitement (contractuelle, légale et réglementaire ou autre), à la nature de la donnée personnelle concernée et à la finalité du traitement.
A chaque traitement spécifique, la Région vous indiquera la durée de conservation.
A l’issue de la durée de conservation strictement nécessaire à la finalité susmentionnée ou en cas d’exercice de vos droits, la Région s’engage à détruire toutes vos données personnelles dans la limite et les conditions prévues en matière de respect de ses obligations légales (voir chapitre VIII « Vos droits »).

VII.  Sécurité des données personnelles

Dans le cadre de la mise en œuvre de ses politiques publiques, la Région accorde la plus haute importance à la sécurité de vos données personnelles. La Région s’engage à prendre toutes les précautions utiles et met en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour garantir de façon permanente un niveau de protection adapté aux risques d’atteinte à votre vie privée et à vos données personnelles contre les altérations, destructions, violations et accès non autorisés.
Les données à caractère personnel sont stockées sur des serveurs d’hébergement situés dans l’Union européenne et sur le territoire régional.
Conformément à la réglementation en vigueur, la Région tient un registre des activités de traitement des données à caractère personnel.

VIII. Vos droits

Droit d’accès :

Vous avez le droit de demander des informations sur les données personnelles que nous détenons vous concernant.

Droit à la portabilité des données personnelles :

Le droit de portabilité s’applique aux données traitées de manière automatisée et collectées sur la base de votre consentement préalable ou de l’exécution d’un contrat.
Ce droit de portabilité vous donne droit :

  • De récupérer les données personnelles que vous avez fournies, dans un format structuré, couramment utilisé et lisible par machine ;
  • D’obtenir que vos données personnelles soient transmises directement à un autre organisme. À noter que ce droit au transfert ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Droit de rectification :

Vous avez le droit de demander la rectification de vos données personnelles si elles sont inexactes, y compris pour compléter vos données personnelles incomplètes.

Droit à l’effacement/droit à l’oubli :

Vous avez le droit de demander, à tout moment, l’effacement de toutes vos données personnelles traitées par la Région dans les cas suivants :

  • Vos données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • Vous décidez de retirer votre consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
  • Vous vous opposez au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
  • Vos données personnelles ont fait l’objet d’un traitement illicite ;
  • Une obligation légale impose l’effacement de vos données personnelles.

Toutefois, ces obligations ne s’appliquent pas dans la mesure où ce traitement de données est nécessaire :

  • A l’exercice du droit à la liberté d’expression et d’information ;
  • Pour respecter une obligation légale à laquelle, le responsable du traitement est soumis ;
  • Pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • Pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • A la constatation, à l’exercice ou à la défense de droits en justice.

Droit de vous opposer au traitement de vos données :

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles à moins que la Région ne présente des motifs légitimes et impérieux pour le traitement.

Droit à la limitation du traitement :

Vous avez le droit de demander à ce que la Région limite l’utilisation de vos données personnelles dans les circonstances suivantes :

  • Vous contestez l’exactitude de vos données personnelles ;
  • Le traitement est illicite et vous vous opposez à leur effacement et exigez à la place la limitation de leur utilisation ;
  • La Région n’a plus besoin de vos données personnelles aux fins du traitement mais celles-ci vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice,
  • Vous vous êtes opposé-e au traitement pendant la vérification portant sur le point de savoir si les motifs légitimes permettaient de poursuivre le traitement.

Droit de réclamation auprès d’une autorité de surveillance

Si vous considérez que le traitement de vos données personnelles constitue une violation de la législation en vigueur, vous avez la possibilité d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) : https://www.cnil.fr/fr/plaintes.

IX.  Comment exercer vos droits

Vous avez la possibilité d’exercer vos droits et retirer votre consentement. Pour exercer l’un de ces droits, vous devez adresser votre demande soit au Responsable de traitement, au Délégué à la protection des données.
Pour plus d’informations sur l’exercice de vos droits, vous pouvez consulter sur Internet la page : https://www.maregionsud.fr/mentions-legales/mentions-generales-sur-la-protection-des-donnees.html

Le délégué à la protection des données (DPD)

La Région a désigné un délégué à la protection des données personnelles (DPD) qui veillera à ce que vos données personnelles soient systématiquement utilisées de façon transparente, exacte et conforme à la réglementation applicable et à prendre en compte vos demandes d’exercices de droits définis ci-dessus.

Vous pouvez contacter le DPD de la Région :

  • Soit par courrier postal à l’adresse suivante : Région Provence-Alpes-Côte d’Azur – Délégué à la Protection des Données – 27, place Jules Guesde – 13481 Marseille Cedex 20
  • Soit en lui adressant un courrier électronique à l’adresse dpd@maregionsud.fr en précisant « [Droits DCP] en entête de l’ objet du message.

Vous pouvez contacter le DPD du CRIGE :

  • Soit par courrier postal à l’adresse suivant : CRIGE-Provence Alpes Côtes d’Azur /  Technopôle de l’Environnement Arbois-Méditerranée – Domaine du Petit Arbois –  Avenue Louis Philibert – Bât. Mégie /  CS 90646
    13547 Aix-en-Provence – Cedex 4 – FRANCE
  • Soit en lui adressant un courrier électronique à l’adresse dpd@crige-paca.org en précisant [Droits DCP]  en entête de l’ objet du message.