Politique d'information sur les données à caractère personnel

Le Règlement Général sur la Protection des Données à caractère personnel (RGPD), entré en application le 25 mai 2018, impose une information transparente, claire et concise lors de la collecte de données à caractère personnel.

Identité du responsable de traitements

Les données personnelles collectées sont traitées par Angers Loire Métropole en tant que responsable de traitement. Les coordonnées complètes de l’établissement sont :

• Nom de l’organisme : Angers Loire Métropole
• Nom du représentant légal : Monsieur Christophe Béchu
• Adresse postale : 83 rue du Mail CS 80011, 49020 Angers Cedex 02
• Numéro de téléphone : 02 41 05 50 00

Délégué à la protection des données de l’établissement

• Numéro de téléphone : 07 77 23 39 32 
• Adresse mail : dpo(at)angersloiremetropole.fr 

Si vous souhaitez obtenir une information particulière ou poser une question, vous pouvez saisir le délégué à la protection des données qui vous apportera une réponse dans un délai d’un mois maximum.

Objet

La présente politique a pour objet de satisfaire à l’obligation d’information à laquelle Angers Loire Métropole est tenue en application du RGPD et de formaliser les droits et les obligations des usagers d’Angers Loire Métropole au regard du traitement de leurs données à caractère personnel.

Portée

La présente politique s’applique à l’ensemble des traitements de données à caractère personnel relatives aux usagers d’Angers Loire Métropole.
Le traitement de données à caractère personnel peut être géré directement en interne par Angers Loire Métropole ou délégué à un sous-traitant spécifiquement désigné par contrat.

Tous les traitements de données à caractère personnel gérés par Angers Loire Métropole répondent aux principes généraux du RGPD.

La collecte et le traitement des données à caractère personnel s’effectuent par ou pour les services d’Angers Loire Métropole.

• Identification (nom, prénom, date de naissance, adresse, mail, tél…)
• Vie personnelle (situation familiale, nombre d’enfants et âges…)
• Vie professionnelle (formation, diplôme, employeurs…)
• Informations d’ordre économique et financier (revenus, quotient familial, situation fiscale, rib…)
• Numéro de sécurité sociale

• Données de connexion, navigation (adresse IP, logs, cookies…)

• Croyances religieuses ou philosophiques
• Données de santé

Les données relatives aux usagers sont généralement collectées directement auprès d’eux (collecte directe).

Pour pouvoir être mis en œuvre, tout traitement de données à caractère personnel doit se fonder sur l’une des six bases légales du RGPD.

Aussi, les traitements de données à caractère personnel mis en œuvre par Angers Loire Métropole reposent, en fonction de leur finalité, sur : 

• Le consentement
• Le contrat
• L’obligation légale
• La mission d’intérêt public
• L’intérêt légitime
• La sauvegarde des intérêts vitaux

Les destinataires des données à caractère personnel des usagers au sein d’Angers Loire Métropole sont soumis à une obligation de sécurité et de confidentialité.

Angers Loire Métropole s’assure que les données ne sont accessibles qu’à des destinataires internes ou externes habilités à en connaître, et s’assure au préalable que ses sous-traitants respectent les obligations du RGPD (listes non exhaustives).

• Les services habilités (eau et assainissement, déchets, voirie, transports…)
• Les élus et cabinet de monsieur le Président

• Services de l’Etat (gendarmerie, préfecture, juridictions, bailleurs sociaux, trésor public)
• Conseil Départemental
• Associations
• Personnels habilités des sous-traitants

Par ailleurs, tous les accès concernant des traitements relatifs à des données à caractère personnel des usagers font l’objet de mesures de traçabilité.
Toute demande d’informations en vue d’une étude statistique fera l’objet d’une transmission de données préalablement anonymisées.

Les données ne sont conservées que le temps strictement nécessaire à l’accomplissement de la finalité pour laquelle elles ont été collectées, augmenté le cas échéant des délais légaux de conservation.

Si vous ne trouvez pas un traitement concernant vos données, il se peut qu’il soit répertorié sur le site de la Ville d’Angers en fonction de la compétence concernée. Sinon, au besoin, contactez le DPO.

• Pôle finances, évaluations, appui aux politiques publiques
• Pôle transition écologique - Aménagement
• Pôle relations humaines
• Pôle transition numérique, ressources internes

Droit d'accès (art. 15 RGPD)

Les usagers disposent d’un droit de demander à Angers Loire Métropole la confirmation que des données le concernant sont ou non traitées.

Les usagers disposent également d’un droit d’accès, ce dernier étant conditionné au respect des règles suivantes :

• la demande émane de la personne elle-même et est accompagnée d’une copie d’un titre d’identité, à jour
• la demande doit être formulée par écrit

Les usagers ont le droit de demander une copie de leurs données à caractère personnel faisant l’objet du traitement auprès d’Angers Loire Métropole. Toutefois, en cas de demande de copie supplémentaire, Angers Loire Métropole pourra exiger la prise en charge financière de ce coût par les usagers.

Si les usagers présentent leur demande de copie des données par voie électronique, les informations demandées lui seront fournies sous une forme électronique d’usage courant, sauf demande contraire.

Les usagers sont informés que ce droit d’accès ne peut porter sur des informations ou données confidentielles ou encore pour lesquelles la loi n’autorise pas la communication.

Le droit d’accès ne doit pas être exercé de manière abusive.

Mise à jour, actualisation, rectification des données (art. 16 RGPD)

Les usagers disposent d’un droit d’actualiser ou de rectifier les données les concernant qui sont inexactes. Cela se fait soit :

• automatiquement pour les modifications en ligne sur des champs qui techniquement ou légalement peuvent être mis à jour
• sur demande écrite émanant de la personne elle-même qui doit justifier de son identité

Droit à l'effacement ("Droit à l'oubli" art. 17 RGPD)

Les usagers disposent d’un droit à l’effacement de leurs données. Cependant, ce droit ne sera pas applicable dans les cas où le traitement est mis en œuvre pour répondre une obligation légale.

En dehors de cette situation, les usagers pourront demander l’effacement de leurs données dans les cas limitatifs suivants :

• les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
• la personne concernée retire le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;
• la personne concernée s’oppose à un traitement nécessaire aux fins des intérêts légitimes poursuivis par Angers Loire Métropole et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
• les données à caractère personnel ont fait l’objet d’un traitement illicite.

Conformément à la législation sur la protection des données à caractère personnel, les usagers sont informés qu’il s’agit d’un droit individuel qui ne peut être exercé que par la personne concernée relativement à ses propres informations : pour des raisons de sécurité, le service concerné devra donc vérifier l’identité de la personne concernée afin d’éviter toute communication d’informations confidentielles concernant une autre personne que le demandeur.

Droit à la limitation du traitement (art. 18 RGPD)

Les usagers ont le droit d’obtenir d’Angers Loire Métropole la limitation du traitement lorsque l’un des éléments suivants s’applique : 

• l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel ;
• le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation ;
• le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;
• la personne concernée s'est opposée au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

Une personne concernée qui a obtenu la limitation du traitement est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

NB : Les usagers sont informés du fait que ce droit n’a pas vocation à s’appliquer dans la mesure où les traitements opérés par Angers Loire Métropole sont licites et que toutes les données à caractère personnel collectées sont nécessaires à l’exécution de ses missions.

Droit à la portabilité (art. 20 RGPD)

Angers Loire Métropole fait droit à la portabilité des données dans le cas particulier des données communiquées par les usagers eux-mêmes, sur des services en ligne proposés par Angers Loire Métropole et pour les finalités reposant sur le seul consentement des personnes. Dans ce cas les données seront communiquées dans un format structuré, couramment utilisé et lisible par une machine.

Droit d'opposition (art. 21 RGPD)

La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.

Droit post-mortem (art. 85 Loi informatique et libertés)

Les usagers sont informés qu’ils disposent du droit de formuler des directives concernant la conservation, l’effacement et la communication de leurs données post-mortem. La communication de directives spécifiques post-mortem et l’exercice de leurs droits s’effectuent par courrier électronique à l’adresse dpo(at)angersloiremetropole.fr ou par courrier postal à l’adresse ci-dessous, accompagné d'un titre d'identité et signé : 

DPO – Mission Informatique et Libertés 
Boulevard de la Résistance et de la Déportation
BP 80011
49020 Angers cedex 02

Les usagers sont informés sur chaque formulaire de collecte des données à caractère personnel du caractère obligatoire ou facultatif des réponses par la présence d’un astérisque.

Angers Loire Métropole informe ses usagers qu’elle pourra faire intervenir tout sous-traitant de son choix dans le cadre du traitement de leurs données à caractère personnel.

Dans ce cas, Angers Loire Métropole s’assure du respect par le sous-traitant de ses obligations en vertu du RGPD.

Angers Loire Métropole s’engage à signer avec tous ses sous-traitants un contrat écrit. De plus, Angers Loire Métropole se réserve le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect des dispositions du RGPD.

Angers Loire Métropole met tout en œuvre pour que les données soient traitées dans le cadre d’une gouvernance interne précise et sécurisée.

Il appartient donc à Angers Loire Métropole de définir et de mettre en œuvre les mesures techniques de sécurité, physiques ou logiques, qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données de manière accidentelle ou illicite.

Parmi ces mesures figurent principalement :

• la gestion des habilitations pour l’accès aux donnée
• des mesures de sauvegarde interne
• les processus d’identification
• la conduite d’audits
• la sécurisation de l’accès aux bâtiments
• la destruction sécurisée des données

En cas de violation de données à caractère personnel, Angers Loire Métropole s’engage à en notifier à la CNIL dans les conditions prescrites par le RGPD.

Si ladite violation fait porter un risque élevé pour les usagers, Angers Loire Métropole en avisera les usagers concernés et communiquera aux usagers concernés les informations et recommandations nécessaires.

Les usagers concernés par le traitement de leurs données à caractère personnel sont informés de leur droit d’introduire une plainte auprès de l’autorité de contrôle, à savoir la CNIL, si celui-ci estime que le traitement de données à caractère personnel le concernant n’est pas conforme à la règlementation européenne de protection des données, à l’adresse suivante :

CNIL – Service des plaintes
3 Place de Fontenoy – TSA 80715 – 75334 Paris cedex 07
Tél : 01 53 73 22 22

La présente politique peut être modifiée ou aménagée à tout moment en cas d’évolution légale, jurisprudentielle, des décisions et recommandations de la CNIL ou des usages.