Politique de confidentialité
Le document présente la politique de protection des données à caractère personnel du Conseil régional de Bretagne relatif à la Plateforme MultiServices KorriGo (PMS) et aux Postes légers d’Émission de Cartes KorriGo (PEC).
Il détaille les engagements et mesures pris afin de veiller à la protection de leurs données à caractère personnel, dans le cadre des traitements réalisés par Mégalis Bretagne et le Conseil Régional de Bretagne.
Cette démarche s’inscrit dans le cadre du dispositif de protection des données à caractère personnel :
- Le Règlement Général sur la protection des données n°2016/679 du Parlement et du Conseil du 27 avril 2016,
- La loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.
La politique de confidentialité pourra évoluer en fonction du contexte légal et réglementaire et de la doctrine de la Commission nationale de l’informatique et des libertés (CNIL).
I. Qui sommes-nous ?
Le Conseil régional de Bretagne ainsi que le Syndicat mixte Mégalis Bretagne sont co-responsables des traitements portés par la plateforme multi-services KorriGo :
- Le Conseil Régional de Bretagne, Collectivité territoriale de Région, immatriculée sous le numéro 233 500 016, ayant son siège au 283 Avenue Général Patton, CS 21101 35700 RENNES représentée par sa présidence.
- Le Syndicat mixte de coopération territoriale Mégalis Bretagne, immatriculée sous le numéro 253 514 491, ayant son siège au 15 rue Claude Chappe – Bât B – 35510 Cesson Sévigné, représentée par sa présidence.
Les deux co-responsables de traitement ont chacun nommé un Délégué à la Protection des Données (DPO). Ces derniers ont pour mission de veiller au respect des dispositions de la règlementation sur la protection des données à caractère personnel.
Les DPO veillent au respect des droits des personnes (droit d’accès, de rectification, d’opposition, d’effacement, de limitation du traitement et de portabilité le cas échéant).
En cas de difficultés rencontrées lors de l’exercice de ces droits, les personnes concernées peuvent saisir le DPO par email à l’adresse suivante informatique-libertes@bretagne.bzh.
II. Les données à caractère personnel traitées
Données collectées uniquement dans le cadre du PEC
Dans le cadre de la mise en place des Postes légers d’Émission de Cartes (PEC) pour émettre une carte KorriGo nominative, les co-responsables de traitement collectent et traitent des données personnelles que les usagers renseignent via un questionnaire (Formulaire d’obtention de la carte).
Les données collectées pour cette finalité sont les suivantes :
| Catégorie de données traitées | Données traitées |
| Données relatives à l’identification des personnes physiques | Pour les usagers
Ø La civilité Ø Le nom de famille ; Ø Le(s) prénom(s) ; Ø La date de naissance ; Ø Photo d’identité ; Ø Le téléphone portable (optionnel) ; Ø L’adresse de courrier électronique (optionnel) ; Ø L’adresse postale ; Ø Le numéro de carte KorriGo. Pour les agents Ø Site/lieu ; Ø Prénom et nom de l’agent ; Ø e-mail de l’agent ; Ø Date de création de la carte et de son association Dans le cadre de la gestion du support carte par la PMS KorriGo : Ø L’identifiant de la carte et les numéros dits AMC contenus dans chaque carte KorriGo ; Ø Le statut de la carte (en stock, activée ou annulée). |
| Données de connexion | Pour les agents
Ø L’adresse IP ; Ø Les dates et heures de connexion au Service. |
Données collectées dans le cadre de la gestion des cartes par la PMS
Afin de gérer le cycle de vie des cartes KorriGo et permettre également un SAV étendu auprès des différents partenaires KorriGo Services, les co-responsables de traitements collectent et traitent des données personnelles pour cette finalité :
| Catégorie de données traitées | Données traitées |
| Données relatives à l’identification des personnes physiques | Ø L’identifiant de la carte et les numéros dits AMC contenus dans chaque carte KorriGo ;
Ø Le statut de la carte (en stock, activée ou annulée). |
Les données collectées le sont, selon les cas :
- Directement auprès des usagers :
- Lors de création d’une carte via un Poste d’Emission de Carte (PEC)
- Indirectement via les outils de gestion des partenaires KorriGo connectés à la PMS et via les outils de gestion de la plateforme concernant les données de connexion.
III. Objectifs de la collecte des données à caractère personnel
Les traitement mis en œuvre par les co-responsables de traitements répondent à une finalité explicite, légitime et déterminée.
Les données des usagers sont traitées pour la finalité mentionnée ci-dessous :
| Finalités poursuivies | Base légale du traitement |
| Ø Distribution de la carte KorriGo services
Ø Gestion du cycle de vie de la carte KorriGo services |
Exécution contractuelle des CGU |
IV. Destinataires des données à caractère personnel
En interne, les destinataires des données sont les personnes habilitées à les traiter dans les services de Mégalis Bretagne et du Conseil Régional de Bretagne.
Les co-responsables de traitements ne louent, ne cèdent ou ne vendent pas les données à caractère personnel des usagers, y compris à des fins de prospection commerciale.
Les données à caractère personnel peuvent faire l’objet d’un traitement au nom et pour le compte de Mégalis Bretagne ou du Conseil Régional de Bretagne par des prestataires de services de confiance. Dans cette hypothèse, les co-responsables de traitements s’assurent que tous les prestataires avec lesquels ils travaillent préservent la confidentialité, la sécurité des données et respectent la législation en matière de protection des données personnelles.
Les co-responsables de traitements peuvent notamment transférer des données personnelles à des structures habilitées telles que:
- Le prestataire d’hébergement des données ;
- Le prestataire réalisant la maintenance sur les bases de données ;
- Les partenaires de KorriGo Services qui opèrent les services ;
- Les opérateurs de transport utilisant la carte KorriGo pour charger les titres de transport de leurs voyageurs.
Les co-responsables de traitements peuvent également communiquer des données personnelles :
- aux agents des organismes assurant la gestion des services publics chargés des opérations administratives et comptables, en particulier les agents ayant à connaître des données et des résultats de traitements et leurs supérieurs hiérarchiques ;
- aux services de l’État habilités à exercer un contrôle en la matière ;
- aux officiers publics ou ministériels ;
- aux autorités financières, judiciaires, administratives ou agences d’État, organismes publics et autorités de régulation auprès desquelles le Conseil Régional de Bretagne peut, notamment dans le cadre d’une procédure, d’un litige, d’un contrôle et/ou d’une requête être tenue de divulguer certaines données, sur demande et dans la limite de ce qui est permis par la réglementation.
V. Stockage des données à caractère personnel
Mégalis Bretagne et le Conseil Régional de Bretagne réalisent l’ensemble des traitements des données à caractère personnel des usagers sur le territoire de l’Union Européenne (UE). Le prestataire de stockage des données est domicilié en France Métropolitaine et les serveurs se trouvent en France Métropolitaine.
VI. Sécurité des données à caractère personnel
Mégalis Bretagne et le Conseil Régional de Bretagne s’engagent à prendre toutes mesures afin d’assurer la sécurité et la confidentialité des données à caractère personnel de l’usager et notamment à empêcher qu’elles ne soient endommagées, effacées ou que des tiers non autorisés y aient accès.
En cas d’incident de sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation et/ou l’accès non autorisé aux données à caractère personnel des usagers, Mégalis Bretagne et le Conseil Régional de Bretagne s’engagent à procéder à toute notification utile conformément à la Règlementation sur la protection des données personnelles.
VII. Durée de conservation des données à caractère personnel
En fonction de la finalité du traitement, la durée de conservation des données à caractère personnel des usagers est susceptible de varier.
Les co-responsables de traitements conservent donc les données à caractère personnel des usagers pour la durée nécessaire à la réalisation de la finalité poursuivie ou pour remplir leurs obligations légales.
| Données concernées | Durées de conservation sous une forme permettant directement ou indirectement une identification (sauf exceptions*) |
| Données d’identification des personnes physiques | Durée de la validité maximale de la carte KorriGo (8 ans) + 6 mois |
| Données de connexion | 24 heures |
*Les co-responsables de traitements sont susceptibles de conserver plus longtemps certaines données à caractère personnel afin de remplir leurs obligations légales ou réglementaires, et afin de leur permettre d’exercer leurs droits (par ex., déposer un recours devant tout tribunal) ou à des fins statistiques ou historiques.
Lorsque les co-responsables de traitements n’ont plus besoin d’utiliser les données à caractère personnel des usagers dans le cadre des finalités décrites plus haut, ils les effacent de leurs systèmes et de leurs fichiers.
VIII. Les droits relatifs à la protection des données à caractère personnel
En application de la Règlementation sur la protection des données personnelles, les usagers disposent, selon les cas, des droits suivants
| Droit à l’information | L’usager est informé de façon claire, transparente, compréhensible et a aisément accès à des informations sur la manière dont les co-responsables de traitements utilisent ses données à caractère personnel et sur ses droits, notamment grâce à cette politique. |
| Droit d’accès | L’usager peut avoir communication d’une copie de ses données à caractère personnel en contactant l’adresse suivante : informatique-libertes@bretagne.bzh |
| Droit à la portabilité | L’usager peut recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable de traitement sans que les co-responsables de traitement puissent y faire obstacle. |
| Droit de retirer son consentement | L’usager peut indiquer aux co-responsables de traitements qu’il retire son consentement au traitement de ses données personnelles (si le traitement est basé sur le consentement). |
| Droit de rectification | L’usager peut demander aux co-responsables de traitements de rectifier ses données à caractère personnel si elles sont inexactes ou périmées ou de les compléter si elles sont incomplètes, en contactant les services en charge. |
| Droit d’opposition | L’usager peut contacter les co-responsables de traitements pour leur faire part de son souhait de ne plus voir ses données traitées dans le cadre des finalités décrites. |
| Droit à l’effacement | L’usager peut demander la suppression de ses données à caractère personnel en contactant les co-responsables de traitements via l’adresse suivante : informatique-libertes@bretagne.bzh |
| Droit à la limitation | Dans certains cas, l’usager peut demander la suspension du traitement de ses données à caractère personnel. |
| Droit d’introduire une réclamation | L’usager a le droit de saisir et d’introduire une réclamation auprès de l’autorité de protection des données compétente au sein de son pays pour contester. |
En cas de doute raisonnable sur votre identité, Mégalis Bretagne et le Conseil Régional de Bretagne se réservent le droit de vous demander des informations ou documents supplémentaires afin de vérifier votre identité. Mégalis Bretagne et le Conseil Régional de Bretagne s’engagent à répondre aux demandes d’exercice de droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux.