Charte pour la protection des données personnelles de la TCAT
INTRODUCTION
Dans le cadre de l’exercice de ces compétences, la TCAT est amenée à collecter et traiter des données à caractère personnel.
Le terme de données à caractère personnel (ou « données personnelles ») désigne les informations qui permettent d’identifier une personne, de manière directe ou indirecte.
La présente charte décrit les conditions dans lesquelles la TCAT s’engage à assurer la protection, la confidentialité et la sécurité de ces données ainsi que l’exercice des droits des personnes concernées sur leurs données, conformément à la réglementation applicable :
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit Règlement Général sur la Protection des Données, « RGPD »).
– loi n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés modifiée (dite «loi Informatique et Libertés»),
Les présentes dispositions portent sur les traitements de données personnelles pour lesquels la TCAT est responsable de traitement, conformément au RGPD. Cette charte s’applique en complément :
– des dispositions des conditions générales d’utilisation des services, lorsqu’elles existent,
– des informations spécifiques à chaque nouveau traitement, accessible sur les supports adaptés (ex : formulaires en ligne…).
Elle pourra être modifiée à tout moment afin, notamment, de se conformer à toute évolution réglementaire, jurisprudentielle et/ou techniques. Pour toute question relative à cette charte de protection des données personnelles comme à l’exercice de vos droits, vous pouvez vous adresser à :
- dpd@tcat.fr
- TCAT- Déléguée à la Protection des données 20, rue aux Moines BP20081 10901 TROYES Cedex 9
I. RESPONSABLE DU TRAITEMENT
Le responsable des traitements de données à caractère personnel est : TCAT, représentée par son directeur et située à 20 rue aux Moines 10000 TROYES
II. FINALITE DU TRAITEMENT ET INFORMATION DES PERSONNES CONCERNEES
La TCAT veille à déterminer de façon explicite les finalités pour lesquelles elle recueille des données à caractère personnel, et à ne collecter que les données personnelles strictement nécessaires à la finalité dudit traitement. Ces finalités sont respectées pendant toute la durée de vie du traitement. Pour chaque traitement de données, une information spécifique est réalisée au niveau du dispositif afin d’informer la personne concernée de la finalité du traitement, de sa base légale, de la nature les données collectées, des destinataires ou catégories de destinataires des données, des éventuels transferts de données vers un État non membre de la Communauté européenne, des durées de conservation, de l’exercice des droits des personnes concernées sur leurs données et la manière dont elles peuvent exercer ces droits. S’il est envisagé d’utiliser les données collectées pour des finalités autres que celles pour lesquelles elles ont été initialement collectées, les personnes concernées en seront préalablement informées, et doivent donner leur accord.
III. BASE LEGALE DU RECUEIL DES DONNEES
La personne concernée doit consentir au traitement de ses données personnelles, ou le traitement des données est nécessaire à :
- L’exécution d’une mission de service public ou relevant de l’exercice de l’autorité publique dont la TCAT est investie
- Le respect d’une obligation légale à laquelle la TCAT est soumise
- L’exécution de mesures contractuelles ou précontractuelles
- A des fins d’intérêts légitimes en conformité avec la loi en vigueur.
Il est précisé que si le traitement repose sur le consentement, la personne ayant fourni les données la concernant, pourra retirer son consentement à tout moment.
IV. DONNEES COLLECTEES
Selon le traitement réalisé, différentes catégories de données peuvent être collectées et traitées :
– Données d’identification (ex. nom, prénom, date et lieu de naissance, nationalité, âge, …), et/ou de contacts (adresse, mail, n° téléphone fixe/mobile…),
– Informations relatives à la vie personnelle (ex : situation familiale/statut marital, composition du foyer, nombre d’enfants à charge, …) et/ou d’ordre professionnel (ex. CV, situation professionnelle, formation, etc.),
– Information d’ordre économique et financier (ex : niveau de revenus, situation financière, situation fiscale/imposition…)
– Données de géolocalisation (avec les applications mobiles)
– Données de suivi connexion (adresse IP, cookies…)
Ces informations sont fournies directement par la personne concernée ou issues d’une transmission par des tiers habilités à transmettre ces données. En cas de collecte directe, le recueil obligatoire des données qui sont nécessaires au traitement est précisé.
Les données personnelles sensibles La TCAT peut être amenée exceptionnellement, dans le cadre de transports spécifiques, à traiter des données personnelles sensibles. Une analyse d’impact du traitement de ces données personnelles sensibles peut être réalisée.
V. DESTINATAIRES DES DONNEES PERSONNELLES
En fonction de leurs besoins respectifs, peuvent être destinataires de tout ou partie des données :
- Les agents des services de la TCAT en charge de l’instruction des dossiers.
- Les partenaires publics habilités à traiter les données
- Les sous-traitants qui sont contractuellement liés à la TCAT pour mettre en œuvre tout ou partie (gestion technique) d’un traitement.
- Les prestataires, dans le cadre de la fourniture d’une solution logicielle et/ou de sa maintenance ou de la délégation d’une prestation de service à la personne
En aucun cas la TCAT ne commercialise les données personnelles, ne les transfère ou ne les échange à des tiers à des fins commerciales.
VI. TRANSFERT DES DONNEES HORS DE L’UNION EUROPEENNE
La TCAT veille à ce que vos données à caractère personnel soient stockées sur des serveurs d’hébergement situés dans l’union européenne, ou dans des pays tiers dont le niveau de sécurité en matière de protection des données personnelles est en adéquation avec celui imposé dans l’Union européenne.
VII. DUREE DE CONSERVATION DES DONNEES A CARACTERE PERSONNEL
Les durées de conservation des données à caractère personnel collectées par la Région peuvent varier en fonction des traitements et sont encadrées par :
- La durée nécessaire à l’accomplissement de la finalité
- Une durée de conservation légale
- Une durée déterminée pour des raisons réglementaires ou de contrôle.
À l’issue de cette durée de conservation, ces données sont archivées, supprimées ou anonymisées, selon les prescriptions de la CNIL et dans le respect de la préservation de l’exercice des droits des personnes.
VIII. SECURITE DES DONNEES
En tant que responsable de traitements, la TCAT s’engage à mettre en œuvre les moyens techniques et organisationnels appropriés pour garantir de façon permanente un niveau de protection adapté contre les risques d’atteinte à la vie privée des personnes dont elle traite les données et les risques d’altération, destruction, d’utilisation illicite, divulgation ou accès non autorisé de leurs données personnelles. Les personnels de la TCAT sont formés et sensibilisés à la confidentialité des données à caractère personnel. Une charte informatique prescrit des règles de sécurité et de bonnes pratiques quant à l’utilisation des postes de travail informatiques pour la protection des données.
IX. LES DROITS DES PERSONNES SUR LEURS DONNEES A CARACTERE PERSONNEL
Les personnes concernées par un traitement de leurs données disposent d’un droit d’accès, de rectification, de limitation et de portabilité des informations qui les concernent. Elles peuvent également, pour des motifs légitimes, s’opposer au traitement, demander l’effacement des données les concernant ou retirer leur consentement à tout moment, sauf si ces droits ont été écartés par une disposition législative.
- Droit à l’information (art. 13 RGPD) : la TCAT qui collecte des informations vous concernant doit vous fournir une information claire sur l’utilisation de vos données et l’exercice de vos droits.
- Droits d’accès (art. 15 RGPD) : la personne concernée peut demander des informations sur les données personnelles que la TCAT détient la concernant et obtenir gratuitement une copie de ces informations.
- Droit de rectification (art. 16 RGPD) : la personne concernée peut à tout moment demander que ses données personnelles soient rectifiées si celles-ci sont inexactes, complétées ou mises à jour.
- Droit à l’effacement, ou droit à l’oubli (art. 17 RGPD) : la personne concernée peut, à tout moment, demander l’effacement de ses données personnelles traitées, sous réserve des exceptions prévues à l’article 17.3 du RGPD, lorsque :
– Ces données ne sont plus nécessaires à la finalité du traitement pour lesquelles elles ont été collectées,
– La personne concernée retire son consentement sur lequel le traitement est fondé et il n’existe pas d’autre fondement juridique pour poursuivre le traitement,
– La personne concernée exerce son droit d’opposition au traitement et il n’existe pas de motif légitime impérieux permettant de poursuivre le traitement
– Ces données doivent être effacées pour respecter une obligation légale,
– Ces données sont liées à un traitement illicite
– Ces données ont collectées pour un service s’adressant à des mineurs.
- Droit à la limitation du traitement (art. 18 RGPD) : la personne concernée peut demander que la TCAT stocke ses données mais en limite l’utilisation, le temps de la vérification de l’exactitude ses données ou de la licéité du traitement contesté, ou le temps de la mise en balance entre ses intérêts et ceux du responsable de traitement, ou lorsque la conservation des données n’est plus indispensable mais que la personne concernée s’oppose à l’effacement de ses données.
- Droit à la portabilité des données personnelles (art. 20 RGPD) : la personne concernée peut demander, sous réserve des exceptions prévues, à récupérer les données personnelles qu’elle a fourni et qui sont traitées avec son consentement ou pour l’exécution d’un contrat ou de façon automatisée.
- Droit d’opposition (art.21 RGPD) : la personne concernée peut s’opposer, pour des raisons tenant à sa situation particulière, au traitement de ses données personnelles, à moins que la TCAT ne présente des motifs légitimes et impérieux pour le traitement ou que le traitement est indispensable pour la constatation, l’exercice ou la défense de droits en justice.
- Droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage (art. 22 RGPD) : la personne concernée peut s’opposer à la prise d’une décision fondée exclusivement sur un traitement automatisé, produisant des effets juridiques la concernant ou l’affectant de manière significative.
Les personnes concernées peuvent également formuler des directives relatives au sort de leurs données après leur décès.
Exercice des droits
La TCAT met en œuvre les moyens pour faciliter et garantir l’exercice des droits des personnes dont les données sont traitées. Dans ce cadre, la TCAT a désigné une déléguée à la protection des données qui reçoit les demandes d’exercice des droits des personnes sur le traitement de leurs données et a créé une adresse unique pour les réclamations. Ces demandes peuvent être adressées :
- Soit par voie électronique à : dpd@tcat.fr, en précisant en entête du message, l’objet de la demande [ex : droits sur les données personnelles]
- Soit par courrier postal à l’adresse suivante:
TCAT- Déléguée à la Protection des Données
20, rue aux Moines
BP20081
10901 TROYES Cedex 9
Il est précisé que lorsque la personne concernée présente une demande sous une forme électronique, les informations de réponse sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement. Lorsque la communication des informations se fait par un autre support, elle est sans frais pour le demandeur.
Les données personnelles qui seront communiquées dans le cadre de l’exercice d’un droit d’accès le seront à titre personnel et confidentiel. Ainsi, pour qu’une demande d’accès soit prise en compte, elle doit être accompagnée d’un justificatif d’identité. La TCAT est aussi susceptible de solliciter des informations complémentaires pour répondre à l’exercice d’un droit des personnes sur leurs données personnelles. Dans tous les cas, la TCAT s’efforcera de donner une suite à la demande dans un délai raisonnable et, en tout état de cause, dans les délais fixés par la loi.
Enfin, les personnes concernées peuvent s’informer ou introduire une réclamation auprès de la CNIL (Commission Nationale Informatique et Liberté, 3 place Fontenoy – TSA 80715 – 75334 Paris cedex, www.cnil.fr ).