Politique de protection des données à caractère personnel du Département des Alpes-Maritimes

Les dix principes suivants constituent la « Politique de protection des données à caractère personnel du Département des Alpes-Maritimes ».

Principe 1 – Responsabilité 

Le Département est responsable des traitements de données à caractère personnel qu’il met en œuvre directement ou indirectement en France et à l’étranger. En conséquence, se conforme strictement à la loi  n° 78/17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ainsi qu’au Règlement n° 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

Conformément aux exigences légales, le Département accomplit toutes les formalités nécessaires à la mise en œuvre des traitements de données à caractère personnel, que ces données concernent ses usagers ou ses agents.

Principe 2 – Détermination des finalités de la collecte de données à caractère personnel

Le Département détermine les finalités pour lesquelles il recueille des données à caractère personnel. Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement d'une manière incompatible avec ces finalités. Il est toutefois indiqué que le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89 du RGPD, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités).

Principe 3 – Transparence et licéité de la collecte 

Le Département ne collecte pas de données à caractère personnel à l’insu des personnes concernées. De la même manière, le Département ne collecte pas des données à caractère personnel lorsque les personnes concernées s’y opposent légitimement.

Les données sont collectées de manière licite conformément à l’article 6 du RGPD

Le Département fournit aux personnes concernées, auprès desquelles il recueille les données à caractère personnel, les informations sur la finalité du traitement, l’identité du responsable du traitement, la base légale du traitement, la durée de conservation et l’étendue de leurs droits conformément aux articles 13 et 14 du RGPD.

Principe 4 – Limitation de la collecte des données à caractère personnel et qualité des données 

Le Département se limite au recueil des seules données à caractère personnel nécessaires à l’atteinte des

finalités énoncées. Les données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard

des finalités pour lesquelles elles sont traitées (minimisation des données).

> Article: 25 du RGPD

Les données fournies par les usagers doivent-être exactes et complètes et, si nécessaire, le Département mettra en œuvre toutes les mesures nécessaires et raisonnables à leur mise à jour.

> Article: 16 du RGPD

Principe 5 – Limitation de la conservation des données à caractère personnel

Le Département veille à la mise à jour des données à caractère personnel qu’il traite tout en respectant les finalités visées. Les durées de conservation ne doivent pas excéder celles nécessaires à l’atteinte des finalités visées.

Les durées de conservations sont soit édictées par les Archives Départementales ou les Archives de France, soit précisées dans les textes législatifs et/ou réglementaires. Ces durées, ou les éléments permettant de les déterminer, sont portées à la connaissance des usagers.

Principe 6 – Sécurité physique et logique des données à caractère personnel

Le Département détermine et met en œuvre les techniques organisationnelles et techniques appropriées afin de garantir un niveau de sécurité adapté au risque et notamment les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement. Le département met en œuvre en fonction du risque pour les droits et les libertés des personnes des mesures de pseudonymisation et de chiffrement.

Article 34 de la loi sur la Protection des données.

Article 32 du RGPD- Sécurité du traitement

Le Département exige de ses sous-traitants et de ses partenaires qu’ils présentent des garanties suffisantes pour assurer la sécurité et la confidentialité des données à caractère personnel (documents contractuels et / ou signature de clauses de confidentialité).

Principe 7 – Violation de données à caractère personnel

En cas de violation de données et lorsque cette violation peut engendrer un risque pour les droits et libertés des personnes physiques, le Département prévient l’autorité de contrôle dans les 72h et documente les éléments relatifs à la violation.

Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Article 33 du RGPD - Notification à l'autorité de contrôle d'une violation de données à caractère personnel

Article 34 du RGPD - Communication à la personne concernée d'une violation de données à caractère personnel

Principe 8 – Droit des personnes - Information 

Le Département met en œuvre les moyens nécessaires pour informer toute personne qui en fait la

demande de l’existence de données à caractère personnel qui la concernent et de l’usage qui en est fait.

Il met en œuvre les moyens nécessaires pour garantir aux usagers et aux agents l’accès aux données à caractère personnel qui les concernent lorsqu’ils en font la demande. Il prend toute mesure pour rectifier ou supprimer les informations erronées.

Chaque traitement fait l’objet d’une information complète à l’usager ou à l’agent et indique les éléments suivants :

• L’identité et les coordonnées du responsable du traitement, et le cas échéant, celles de son représentant ;
• Les coordonnées du délégué à la protection des données (e-mail – adresse postale) ;
• Les finalités poursuivies par le traitement auquel les données sont destinées ;
• La base juridique du traitement ;
• Les catégories de données concernées par la collecte en vue du traitement ;
• Les catégories de destinataires des données à caractère personnel, y compris dans les États non membres de l’Union européenne ou au sein d’organisations internationales ;
• La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
• L’existence ou non d’une décision automatisée ;
• L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, leur rectification ou leur suppression, et la limitation du traitement des données à caractère personnel relatives à une personne concernée (Les Départements ne sont pas concernés par le droit à la limitation du traitement).
• Le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;