Télécharger en PDF

INFORMATIONS RELATIVES AU TRAITEMENT DES DONNÉES PERSONNELLES

POUR LA PLATEFORME OPEN DATA AVEYRON DANS LE CADRE DU RGPD

La Plateforme https://opendata.aveyron.fr permet l’accès, le partage et l’échange de données et de Jeux de Données. En votre qualité d’utilisateur ou de producteur de jeux de données pour cette plateforme, cette information vous est communiquée afin de vous informer de :

  • vos droits et des modalités de l’utilisation de vos données personnelles,
  • des engagements en matière de protection des données à caractère personnel du Département de l'Aveyron.

RESPONSABLE DE TRAITEMENT

Le responsable de traitement est le Département de l'Aveyron représenté par son Président Arnaud VIALA.

Une question concernant le traitement de vos données personnelles ? Vous voulez exercer vos droits ?

  • Par courrier : Délégué à la protection des données - Hôtel du Département - Place Charles de Gaulle - BP 724 - 12007 RODEZ Cedex,
  • Par mail : dpo@aveyron.fr (le Département de l'Aveyron a désigné un délégué à la protection des données personnelles pour traiter toutes questions relatives au traitement des données personnelles).

ASSISTANCE

Pour tout besoin d’assistance, d’information ou si vous constatez une anomalie, écrivez-nous à : dsi@aveyron.fr

TRAITEMENT DE VOS DONNÉES PERSONNELLES

Le traitement de données à caractère personnel mis en œuvre dans le cadre de la Plateforme OpenData du Département de l'Aveyron (https://opendata.aveyron.fr) est établi en conformité avec les dispositions du Règlement général pour la protection des données à caractère personnel (RGPD) n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 et de la Loi n°78-17 du 6 janvier 1978 dite « Informatique et libertés » dans sa version modifiée et conformément à la politique de confidentialité du Département de l'Aveyron.

  • Base légale du traitement :

La Loi pour une République numérique n°2016-1321 du 7 octobre 2016 a considérablement accru le champ des documents administratifs mis en ligne, le Département de l'Aveyron étant dans ce cadre dans l'obligation d’organiser les conditions d'accès et de diffusion d’un ensemble de documents, bases de données ou données et de favoriser leur réutilisation. Ainsi, le Département de l'Aveyron a voté lors de la Commission Permanente du 26 mars 2021 par la délibération CP/26/03/21/D/5/15 une démarche ambitieuse d'ouverture des données publiques.

Le Département de l'Aveyron fonde donc le traitement sur la base d’une mission d’intérêt public.

  • Finalités : ce traitement a pour finalités :
    • le bon fonctionnement et l’amélioration permanente de la Plateforme et de ses fonctionnalités,
    • l’envoi de newsletters ou de communications à ses utilisateurs, notamment des informations en cas d’abonnement à un jeu de données,
    • la gestion des demandes d’exercice de droits,
    • l’élaboration de statistiques destinées à améliorer le fonctionnement de la Plateforme et la qualité des services qu’elle propose : le détail des indicateurs se trouve ici. Ces statistiques ne sont consultables que par les personnes habilitées du Département de l'Aveyron.
  • Catégories de données susceptibles d’être collectées et traitées par le Département :
    • données d’identification (pseudonyme, nom, prénom, email),
    • données relatives à la gestion et à la sécurisation de tout compte créé sur la plateforme, notamment pour faciliter la gestion des droits des utilisateurs, (utilisateur, producteur, administrateur, groupe projet, etc)
    • données de connexion : adresses IP, logs de connexion (dates et heures de connexion), géo-localisation approximative, requêtes effectuées, …
  • Communication et conservation de vos données :
    • Vos données sont communiquées exclusivement aux services du Département de l'Aveyron ainsi qu’à son sous-traitant OpenDataSoft à qui le Département a confié l’hébergement, la fourniture, la maintenance et le support de sa plateforme.
    • Vos données sont conservées :
      • Pour les données d’identification : 24 mois. Le compte pourra etre supprimé sans activité de l’utilisateur après cette période.
        Un mail de prévention sera envoyé avant la suppression du compte.
      • Pour les données de connexion : 3 mois en accès dans le backoffice et accessible au Responsable de Traitement, et 13 mois de conservation par le sous-traitant Opendatasoft.
    • Vos données ne sont ni vendues ou utilisées pour une finalité autre que celle évoquée précédemment., ni transférées vers un pays tiers à l’Union Européenne ou une organisation internationale.

UTILISATION DES COOKIES

Un « cookie » est une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y reconnecterez.

Les différents cookies internes, de mesures d’audience ou déposés par des tiers, se trouvant sur la plateforme ne sont pas conservés au-delà d’une période de 13 mois (au-delà, les données identifiantes sont soit supprimées soit anonymisées. Les cookies permettent :

  • le bon fonctionnement de certains services.
  • la mesure de leur audience.
  • d’identifier les services et rubriques que vous visitez, et plus généralement votre comportement en matière de visites : ces informations sont utiles pour mieux personnaliser les services et faciliter votre navigation sur notre site.

En savoir plus sur les cookies, leur fonctionnement et les moyens de s’y opposer.

PROTECTION DE VOS DONNÉES

Le Département de l'Aveyron, responsable de traitement et Open Data Soft, sous-traitant, mettent en place des mesures de sécurité techniques et organisationnelles en vue de garantir la sécurité, l’intégrité et la confidentialité des données. Le Département et Open Data Soft assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger.

MENTION DES DROITS DE LA PERSONNE CONCERNÉE PAR LE TRAITEMENT

Dans le cadre du traitement de vos données à caractère personnel , vous disposez de plusieurs droits issus du RGPD que vous pouvez faire valoir auprès du responsable de traitement :

  • Le droit d’accéder à vos données à caractère personnel faisant l’objet d’un traitement (article 15 du RGPD),
  • Le droit de retirer votre consentement à tout moment, sans remettre en cause le traitement mis en œuvre jusque-là (article 7 du RGPD),
  • Le droit de rectifier des données inexactes et de compléter des données incomplètes(article 16 du RGPD),
  • Le droit d’obtenir l’effacement de vos données, dans les cas prévus à l’article 17 du RGPD,
  • Le droit d’obtenir la limitation du traitement exercé sur vos données (article 18 du RGPD) : en faisant valoir ce droit, vous stopperez tout ou partie du traitement de vos données personnelles, à l’exception de leur conservation,
  • Le droit à la portabilité de vos données (article 20 du RGPD),
  • Le droit de vous opposer à un traitement des données à caractère personnel vous concernant à tout moment, pour des raisons tenant à votre situation particulière, y compris un profilage (article 21 du RGPD),
  • Le droit d’introduire une réclamation auprès de la CNIL(article 13 du RGPD).

PRISE DE DÉCISION AUTOMATISÉE

Il est indiqué qu'il n'est pas procédé, au moyen des données à caractère personnel collectées, à une prise de décision automatisée au sens de la Réglementation en vigueur. Une prise de décision automatisée est une décision prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus.

OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU RESPONSABLE DU TRAITEMENT

Le sous-traitant s’engage à :

1 - Traiter les données uniquement pour la ou les seules finalités qui fait/font l’objet de la sous-traitance et notamment à ne pas les communiquer à des tiers.

2 - Traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du Règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable de traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

3 - Garantir la confidentialité des données à caractère personnel traitées.

4 - Veiller à ce que les personnes autorisées à traiter les données à caractère personnel :
▪ s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
▪ reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
Le cas échéant le sous-traitant communique au responsable de traitement un extrait du contrat de travail relatif à la confidentialité prévoyant que ses salariés s’engagent à ne divulguer aucune information dont ils pourraient avoir connaissance à l’occasion de l’exercice de leurs fonctions et missions pour le compte du responsable de traitement.

5 - Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut par des mesures techniques et organisationnelles appropriées, telles que par exemple la pseudonymisation, la minimisation : l’engagement de ne traiter que seules les données personnelles prévues par le présent contrat (au regard des finalités spécifiques du traitement, de la durée du contrat, de la protection des personnes concernées, de l’intégrité et de la disponibilité des données), des mécanismes de gestion des habilitations et des droits d’accès informatiques des personnes qui accèdent aux données, de suppression des données au terme de la prestation,…

6 - Obligations relatives à la sous-traitance ultérieure par le sous-traitant initial
 Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout (ou le remplacement) de sous-traitants ultérieurs. Cette information doit indiquer clairement les activités de traitement sous traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minimum de 30 jours à compter de la date de réception de cette information pour présenter ses objections éventuelles. Cette sous-traitance ne peut être effectuée que si le responsable du traitement n’a pas émis d’objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous- traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD ; si le sous- traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par le sous-traitant ultérieur de ses obligations.

7 - Obligations relatives aux droits d’information des personnes concernées
         Le sous-traitant, uniquement dans le cas où il serait amené à collecter des données à caractère personnel, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise.

8 - Obligations relatives aux modalités d’exercice des droits des personnes concernées
Dans la mesure du possible, le sous-traitant doit aider, conseiller et assister le responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement, de limitation du traitement, droit à la portabilité des données, droit d’opposition, droit de ne pas faire l’objet d’une décision individuelle fondée exclusivement sur un traitement automatisée (y compris le profilage), le cas échéant droit de décider du sort de ses données après décès.
Le sous-traitant propose au responsable de traitement un dispositif d’interface d’exercice des droits des personnes, avec un dispositif de suivi et de répartition automatique des demandes d’exercice des droits en fonction des personnes.
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable du traitement, qui se chargera de saisir, le cas échéant, le délégué à la protection des données désigné au sein de la collectivité.
Après accord du responsable de traitement, le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le Règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.

9 - Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai de 24 heures au plus tard (à moins que la violation en question ne soit susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques auquel cas la notification est effectuée dans les meilleurs délais) après en avoir pris connaissance et par courrier électronique adressé à dpo@aveyron.fr. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement de notifier cette violation à l’autorité de contrôle compétente.
La notification contient au moins :
▪ la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre  d’enregistrements de données à caractère personnel concernées ;
▪ le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact du sous-traitant auprès duquel des informations supplémentaires peuvent être obtenues.
▪ la description des conséquences probables de la violation de données à caractère personnel ;
▪ la description des mesures prises ou que le sous-traitant propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du responsable de traitement, le sous-traitant notifie à l’autorité de contrôle compétente ( la CNIL), au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel dans les meilleurs délais et si possible 72 heures au plus tard après en avoir pris connaissance.
             Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
La communication à la personne concernée décrit, en termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
 ▪ la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données à caractère personnel concernées ;
▪ le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues.
▪ la description des conséquences probables de la violation de données à caractère personnel ;
▪ la description des mesures prises ou que le responsable de traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

10 - Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
Le sous-traitant aide, conseille et assiste le responsable de traitement pour la réalisation d’analyse d’impact relative à la protection des données.
Le sous-traitant aide, conseille et assiste le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

11 - Mesures de sécurité
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées et garantissant un niveau de sécurité adapté au risque, y compris entre autres :   
▪ le chiffrement des données à caractère personnel lors des échanges,
▪ la restriction d’accès aux seules personnes habilitées, la traçabilité des accès,
▪ la sensibilisation des personnels intervenants aux risques liés à protection des données et à la sécurité des traitements de données à caractère personnel,
▪ le respect de la charte de l’utilisateur du système d’information par les intervenants du sous-traitant amenés à accéder aux systèmes d’information du département,
▪ les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement,
▪ les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique,
▪ la sauvegarde quotidienne des données, un plan de reprise et de continuité de l’activité informatique,
▪ une procédure visant à tester, à analyser, et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Le sous-traitant s’engage à mettre en œuvre toutes les mesures de sécurité pour la protection des données, notamment celles prévues par les dispositions contractuelles et à communiquer au responsable de traitement sa politique de sécurité des systèmes d’information.

12 - Sort des données
Au terme de la prestation de services relative au traitement de ces données, le sous-traitant s’engage à renvoyer toutes les données à caractère personnel au responsable de traitement sans en conserver de copie. Les données sont renvoyées sous la forme d’une archive sécurisée.
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant.
Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

13 - Registre des catégories d’activités de traitement
Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
▪ le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
▪ les catégories de traitements effectués pour le compte du responsable de traitement ;
▪ le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1,
2ème alinéa du RGPD, les documents attestant de l’existence de garanties appropriées.
▪ dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- la pseudonymisation et le chiffrement des données à caractère personnel,
- les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- une procédure visant à tester, à analyser, et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

14 - Documentation
Le sous-traitant met à disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

15 - Gestion de l’archivage
Les solutions doivent permettre la mise en œuvre d’un archivage conformément à la règlementation, des mécanismes de traitement automatique garantissant que les données à caractère personnel seront systématiquement supprimées, à l’issue de leur durée de conservation, ou feront l’objet d’une procédure d’anonymisation rendant impossible toute identification ultérieure des personnes concernées.

OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT

Le responsable de traitement s’engage à :
1.    Fournir au sous-traitant les données des présentes clauses.
2.    Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant.
3.    Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du sous-traitant.
4.    Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.