Introduction

e-Collectivités fournit des solutions numériques aux Adhérents dans le cadre de ses services publics.

Afin de garantir la conformité avec l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), la présente politique est établie pour régir les obligations RGPD du Sous-traitant e-Collectivités envers le Responsable du traitement.

Conformément à la réglementation, e-Collectivités certifie, outre son engagement au regard du Règlement Général de la Protections des Données, les actions suivantes :

-    Désigner un DPO & un référent RGPD dans chacune des structures adhérentes
-    Mise en place d’un Registre des traitements
-    Mise en place des mentions d’informations
-    Intégrer la minimisation des données
-    Respecter les délais de conservations
-    Former et sensibiliser de ces agents
-    Sécuriser des données papiers et numériques pour nous et nos adhérents
-    Permettre l’exercice des droits des personnes
-    Vérifier la conformités des sous-traitants ultérieurs
-    Se documenter sur la conformité toute l’année
-    Organiser la gestion des violations
-    Programmer des analyses d’impact si nécessaire

Coordonnées de notre DPO

Emmanuel HARDY
Déléguée à la protection des données
Pôle Conseil et Innovation
dpo@ecollectivites.fr
02 53 33 02 71 / 06 19 42 88 68

Objet

La présente politique a pour objet de définir les conditions dans lesquelles e-Collectivités traite les données personnelles pour le compte du Responsable du traitement, conformément aux exigences du RGPD.

-    Responsable du traitement :

Le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens de traitement des données personnelles.
Le traitement consiste à effectuer des opérations sur des données personnelles. Par exemple : la collecte, l’enregistrement, la conservation, l’effacement et la destruction, etc…

Le Maire et ou Président de nos structures adhérentes, est le responsable de traitement.

Le président d’e-Collectivités est notre responsable de traitement pour nos données personnelles.

Nature et finalité du traitement

les finalités ont pour but d’assurer un service en réponse aux besoins de nos adhérents

e-Collectivités traite, sur la base des missions de service public des adhérents, les données à caractère personnel uniquement pour la ou les finalités spécifiques du traitement, sauf instruction complémentaire du responsable du traitement.

e-Collectivités s'engage à traiter les données personnelles uniquement selon les instructions du Responsable du traitement, telles que définies dans le présent contrat, et à n'effectuer aucun traitement ultérieur sans l'autorisation préalable et écrite du Responsable du traitement.

Le traitement des données personnelles par e-Collectivités est réalisé dans le seul but de fournir les services numériques convenus avec le Responsable du traitement, conformément aux termes et conditions convenus entre les parties.

Description du ou des traitements

Les détails des opérations de traitement, et notamment les catégories de données à caractère personnel et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement, sont précisés dans le registre établi par notre délégué à la protection des données.

Les données sont principalement collectées par nos adhérents et sont directement traitées via nos solutions numériques.

Mesures de sécurité

e-Collectivités s'engage à mettre en œuvre les mesures de sécurité appropriées pour protéger les données personnelles traitées, conformément à l'article 32 du RGPD.

e-Collectivités met en œuvre les mesures techniques et organisationnelles pour assurer la sécurité des données à caractère personnel.

Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel).

e-Collectivités est un OPSN fournisseur de logiciels et solutions de stockage, il ne peut réutiliser des données personnelles pour son propre compte que si cette réutilisation est compatible avec le traitement initial et que le responsable du traitement lui en a donné l’autorisation écrite.

e-Collectivités prendra toutes les mesures nécessaires pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services utilisés pour le traitement des données personnelles.

e-Collectivités n’accorde, à ses agents, l’accès aux données à caractère personnel faisant l’objet du traitement, que dans la mesure strictement nécessaire à l’exécution, à la gestion, au suivi, à la maintenance et à l’aide à distance pour le support.

Données sensibles

Si le traitement porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions («données sensibles»), en tant que sous-traitant, e-Collectivités applique des limitations spécifiques et/ou des garanties supplémentaires.

Confidentialité

e-Collectivités s'engage à garantir la confidentialité des données personnelles traitées dans le cadre de ses prestations. Cette obligation de confidentialité subsiste même après la fin de la prestation.

e-Collectivités s'engage à ne divulguer les données personnelles à aucun tiers, sauf accord préalable et écrit du Responsable du traitement ou dans les cas prévus par la loi.

Assistance au Responsable du traitement

e-Collectivités s'engage à apporter une assistance raisonnable au Responsable du traitement pour lui permettre de répondre aux demandes des personnes concernées dans l'exercice de leurs droits prévus par le RGPD.

e-Collectivités notifiera dans les meilleurs délais le Responsable du traitement de toute violation de données à caractère personnel, conformément à l'article 33 du RGPD, en lui fournissant toutes les informations nécessaires.

e-Collectivités informera le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données

Durée du traitement des données à caractère personnel

Pour les structures publiques chargées d’une mission de service public, le respect du principe de limitation de la conservation des données à caractère personnel prévu par le RGPD devra s’opérer dans le respect des obligations prévues par le code du patrimoine s’agissant des archives publiques.

La définition de la durée de conservation relève de l’analyse de conformité que le responsable doit mener pour son traitement.

Selon les exigences de l’article 28 du RGPD, le responsable de traitement doit communiquer à e-Collectivités la ou les durées à appliquer au traitement concerné. Sur la base des instructions du responsable de traitement, e-Collectivités devra assurer le respect de la durée dans le cadre du traitement qu’il réalise.

Le traitement par e-Collectivités n’aura lieu que pendant la durée de l’adhésion du responsable de traitement, conformément au RGPD
Transferts de données

Aucune donnée n’est transférée ou stockée en dehors de l’Union Européenne.

e-Collectivités s'engage à ne pas transférer les données personnelles vers un pays tiers sans l'autorisation préalable, écrite et spécifique du Responsable du traitement.

Si un tel transfert est autorisé, e-Collectivités garantit que des mesures de protection appropriées sont mises en place, conformément aux dispositions de l'article 46 du RGPD.

Recours à des sous-traitants ultérieurs

Pour la nécessité des différentes missions de service publique, e-Collectivités dispose, à la signature des deux parties, de l’autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une information de la liste des prestataires inclus dans les solutions proposées.

e-Collectivités informera par écrit le responsable du traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir communiquer sur ces changements.

e-Collectivités veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses et du règlement (UE) 2016/679.

e-Collectivités informera le responsable du traitement de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.

e-Collectivités tient à la disposition de ces adhérents la liste de ses sous-traitants ultérieur.

Violation de données en rapport avec des données traitées par e-Collectivités

En cas de violation de données à caractère personnel en rapport avec des données traitées, e-Collectivités informera le responsable du traitement dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins :

- Une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés) ;
- Les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ;
- Ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.

Droits

Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, chacune des personnes concernées dispose d’un droit d’accès, de rectification, d’opposition, de limitation du traitement, d’effacement et de portabilité des données.

Vous pouvez exercer ce ou ces droits [par mail / par courrier] à l’adresse suivante :
e-Collectivités 65 rue Kepler – CS 60239 – 85006 La Roche-sur-Yon, en précisant vos nom, prénom, adresse et en joignant une copie recto-verso de votre pièce d’identité.

En cas de difficulté en lien avec la gestion de vos données personnelles, vous pouvez adresser une réclamation auprès du délégué à la protection des données personnelles dpo@ecollectivites.fr ou auprès de la CNIL ou de toute autre autorité compétente.