Politique de protection des données personnelles

1. Préambule

La Région Ile-de-France (ci-après, la « Région ») est attachée au respect et à la protection des données personnelles des franciliens. Maintenir un cadre de confiance avec les franciliens dans la gestion de leurs données personnelles est une préoccupation fondamentale de notre institution.

La Région met en œuvre des traitements de données à caractère personnel sur l’application Labaz (ci-après « Labaz ») en tant que responsable de traitement. La présente politique de protection des données personnelles a pour objectif de t’informer des caractéristiques des traitements que la Région réalise sur tes données personnelles (quelles données, pourquoi, comment) et des droits dont tu bénéficies.

Cette politique pourra faire l’objet de modifications en fonction des évolutions légales et réglementaires applicables ou des recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Délégué à la protection des données

La Région a désigné le cabinet Lexing Alain Bensoussan Avocats en tant que délégué à la protection des données personnelles externalisé qui peut être contacté afin de répondre à toutes tes interrogations au sujet de la protection de tes données personnelles et notamment dans le cadre l’exercice de tes droits.

2. Délégué à la protection des données

La Région a désigné le cabinet Lexing Alain Bensoussan Avocats en tant que délégué à la protection des données personnelles externalisé qui peut être contacté afin de répondre à toutes tes interrogations au sujet de la protection de tes données personnelles et notamment dans le cadre l’exercice de tes droits.

Le Délégué à la protection des données peut être contacté :

- à l’adresse postale suivante : A l’attention du Délégué à la protection des données, Région Ile-de-France, Pôle Juridique Achats Données Transformation Numérique, 2 rue Simone Veil, 93400 Saint Ouen. ou

- à l’adresse électronique suivante : dpo@iledefrance.fr.

3. Respect des principes applicables à tes données

3.1 Collecte loyale et transparente

Dans un souci de loyauté et de transparence, la Région prend soin de t’informer de chaque traitement qu’elle met en œuvre par des mentions d’information.

Aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées.

La présente politique ainsi que les mentions d’information associée à chaque collecte de données te permettent de disposer de l’ensemble des informations sur les caractéristiques des traitements mis en œuvre par la Région.

3.2 Adéquation, pertinence et minimisation des données collectées

Les données personnelles collectées sont strictement nécessaires à l’objectif poursuivi par la collecte. La Région s’attache à minimiser les données collectées, à les tenir exactes et à jour.

Les données personnelles collectées sont mises à jour régulièrement et stockées par la Région dans ses bases de données ou le cas échéant, dans les bases de données de ses sous-traitants.

Par ailleurs, la Région veille à mettre en œuvre des procédés afin de permettre l’effacement ou la rectification des données inexactes.

3.3 Protection des données personnelles dès la conception et par défaut

La Région a adopté des politiques et des procédures internes et met en œuvre des mesures afin de respecter les principes de protection des données personnelles dès la conception et par défaut.

Lors de l'élaboration, de la conception, de la sélection et de l'utilisation de Labaz et des services proposés qui reposent sur le traitement de données personnelles, la Région a tenu compte du droit de la protection des données personnelles. Elle s’assure auprès de ses prestataires qu’ils répondent aux prescriptions légales et permettent d’assurer la protection des données qui y seront traitées.

4. Information concernant les traitements mis en œuvre par la Région à travers Labaz

4.1 Finalités des traitements et bases juridique

La Région, en tant que responsable de traitement, met en œuvre différents traitements via Labaz sur tes données personnelles dont les bases juridiques et les finalités sont les suivantes :

Finalités de traitements fondés sur l’exécution de mesures contractuelles :

- la gestion du compte utilisateur Labaz ;

- la gestion des inscriptions et participation aux jeux concours proposés sur Labaz ;

Finalités des traitements fondés sur l’exécution d’une mission d’intérêt public :

- la gestion des aides et des bons plans à destination des jeunes franciliens ;

- la gestion de la communication et de l’envoi de la newsletter Labaz

Finalités des traitements fondés sur la poursuite des intérêts légitimes de la Région :

- l’analyse et la mesure de la fréquentation de Labaz et la réalisation de statistiques afin d’évaluer l’efficacité de la politique publique menée par la Région à destination des jeunes franciliens.

Si la Région est amenée à traiter tes données pour des finalités autres que celles listées ci-dessus, tu en seras informé, et toutes les démarches complémentaires éventuellement nécessaires seront effectuées.

4.2 Données collectées

Les données concernées sont les suivantes :

- Données d’identification : nom, prénoms, date de naissance, lieu de naissance (code postal)

- Données de coordonnées : adresse email, adresse email de ton représentant légal, numéro de téléphone (de manière facultative).

4.3 Source de tes données

La Région collecte tes données sur Labaz directement auprès de toi ou via les API (Applicative Programme Interfaces) choisies pour ton authentification sur Labaz.

Lorsque tu utilises son API, les données suivantes sont collectées auprès de France Connect : nom de naissance, prénom, date de naissance, lieu de naissance, adresse mail

Lorsque tu utilises l’API MonLycée.net, les données suivantes sont collectées auprès de la DINUM (direction interministérielle du numérique): Nom, prénom, date de naissance, ID, username

Pour en savoir plus sur le fonctionnement de ces API, tu peux consulter :

- Pour l’API France Connect, les conditions générales d’utilisation pour les utilisateurs qui sont accessibles à l’adresse https://franceconnect.gouv.fr/cgu et la politique de protection des données personnelles est accessible à l’adresse https://franceconnect.gouv.fr/files/FC_Politique_Protection_Donnees_Personnelles_V1.3.pdf

- Pour l’API Mon Lycée.net : API dont la charte d’utilisation pour les utilisateurs et l’annexe sur les données personnelles traitées par l’ENT Mon Lycée.net sont accessibles à l’adresse https://ent.iledefrance.fr/assets/themes/monlycee/img/Charte.pdf

4.4 Destinataires de tes données

Dans le cadre des finalités décrites ci-dessus et dans les limites nécessaires à la poursuite de ces finalités, les données collectées par la Région pourront être transmises à tout ou partie des destinataires suivants :

- les agents habilités au sein de la Région ;

- les partenaires de la Région adhérents aux dispositifs d’aides sport et culture proposés par la Région, à savoir les associations sportives et structures affiliées aux fédérations sportives agréées par le ministère en charge des sports, les structures culturelles proposant une offre de pratique culturelle dans leurs établissements à destination du public 15-17 ans, les structures culturelles proposant une offre de pratique culturelle dans leurs établissements à destination du public 15-17 ans et les cinémas, ou réseaux de cinéma, proposant une tarification préférentielle pour le public jeune de 15 à 17 ans ;

- les partenaires de la Région auprès desquels tu souscris aux offres « bons plans » ;

- les partenaires de la Région proposant des jeux-concours ;

- les prestataires et sous-traitants de la Région en charge notamment de l’instruction des dossiers, de l’hébergement de tes données et de l’assistance technique.

4.5 Durées de conservation de tes données

La Région s’engage à conserver les données personnelles pendant une durée strictement limitée à celle nécessaire au regard des finalités du traitement et en accord avec la législation applicable.

Les données collectées par la Région seront, ainsi, conservées pour la durée nécessaire à l’accomplissement des finalités décrites ci-dessus, augmentées du délai de la prescription légale :

1. La gestion du compte utilisateur Labaz

Durée de la relation contractuelle en base active, augmentée des durées de prescriptions légales applicables, puis suppression définitive

Les données utilisées sont stockées pendant 3 ans et les documents comptables sont stockés pendant 10 ans.

Pour les plus de 25 ans, les comptes utilisateurs restent ouverts tant que l’utilisateur ne demande pas la suppression.

2. La gestion des inscriptions et de la participation aux jeux concours proposés sur Labaz

Durée de l’opération du jeu concours en base active, augmentée des durées de prescriptions légales applicables, puis suppression définitive

3. La gestion des aides et des bons plans à destination des jeunes franciliens

Durée de l’instruction de la demande et jusqu’au à l’attribution ou le refus de l’aide en base active, augmentée des durées de prescriptions légales applicables, puis suppression définitive

4. La gestion de la communication et de l’envoi de la newsletter Labaz

3 ans à compter de la fin de la relation avec la Région ou du dernier du contact ou en cas d’opposition de votre part en base active puis suppression définitive.

5. L’analyse et la mesure de la fréquentation de Labaz et la réalisation de statistiques

13 mois maximum pour la conservation des cookies et 25 mois maximum pour les données générées par ces cookies

5. Cookies

Lors de l’utilisation de cette application, des cookies peuvent s’installer automatiquement sur ton terminal. Pour en savoir plus, tu peux consulter notre politique cookies, accessible ici [LIEN VERS LES COOKIES] et dans ton onglet « profil » de Labaz.

6. Transferts de tes données

La Région héberge tes données personnelles en France et en Europe. Elle ne transfère pas tes données en dehors de l’Union européenne.

Certaines données sont néanmoins susceptibles d’être transférées en dehors de l’Union européenne, en particulier vers les Etats-Unis dans le cadre de l’utilisation de la suite Microsoft Office.

Ce transfert est encadré par un contrat conclu entre la Région et Microsoft comportant des clauses contractuelles types conformes à la Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 qui permet de garantir que toutes les mesures nécessaires et adéquates soient mises en œuvre pour assurer un niveau de protection et de sécurité des données personnelles équivalent à celui imposé au sein de l’Union européenne.

Tu peux obtenir une copie des clauses contractuelles en t’adressant au délégué à la protection des données joignable par courrier électronique à l’adresse : dpo@iledefrance.fr.

De manière plus générale, si la Région devait avoir besoin de transférer des données en dehors de l’Union européenne, ce transfert pourrait être fondé sur des dérogations pour des situations particulières (ton consentement, un transfert nécessaire à l'exécution d'un contrat entre toi et la Région ou à la mise en œuvre de mesures précontractuelles prises à ta demande).

En tout état de cause, si la Région devait avoir besoin de transférer des données en dehors de l’Union européenne en dehors de ces cas dérogatoires, cela ne serait effectué qu’après avoir pris les mesures nécessaires et adéquates pour assurer un niveau de protection et de sécurité des données personnelles équivalent à celui proposé au sein de l’Union européenne, ce dont tu seras informé préalablement.

7. Sécurité de tes données

La Région accorde une importance particulière à la sécurité des données personnelles.

Elle a mis en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et la confidentialité les données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés :

- des mesures techniques : des contrôles techniques, des mesures de chiffrement, des mesures de sécurité physique des flux de données, etc. ;

- des mesures d’organisation : ségrégation des tâches et des responsabilités, des environnements techniques, gestion des incidents et des failles de sécurité portant sur les données, limitation des accès aux stricts besoins opérationnels, définition des durées de conservation, définition des moyens de contrôle, formation du personnel, etc.

Toutes les personnes ayant accès aux données sont liées par un devoir de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations.

La Région effectue régulièrement des contrôles afin de vérifier la bonne application opérationnelle des règles relatives à la sécurité des données.

Ainsi, elle s’engage à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour protéger ses activités et préserver la sécurité des données personnelles des franciliens contre tout accès, modification, déformation, divulgation, destruction ou accès non autorisés des données personnelles qu’elle détient.

Néanmoins, la sécurité et la confidentialité des données personnelles reposent sur les bonnes pratiques de chacun, ainsi chaque personne concernée est invitée à rester vigilante.

Conformément à ses engagements, la Région choisit ses sous-traitants et prestataires avec soin et leur impose :

- un niveau de protection des données personnelles au moins équivalent aux siens ;

- une utilisation des données personnelles ou des informations uniquement pour assurer la gestion des services qu’ils doivent fournir ;

- un respect strict de la législation et de la règlementation applicable en matière de confidentialité, de secret bancaire et de données personnelles ;

- la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données personnelles qu’ils peuvent être amenés à traiter ;

- la définition des mesures techniques, et organisationnelles nécessaires pour assurer la sécurité.

La Région s’engage à conclure avec ses sous-traitants, conformément aux obligations légales, des contrats définissant précisément les conditions et modalités de traitement des données personnelles.

8. Les droits des personnes

Dans le cadre des traitements de tes données par la Région, tu bénéficies des droits décrits ci-après.

Tu peux formuler tes demandes et exercer tes différents droits en t’adressant au délégué à la protection des données personnelles dont les coordonnées figurent à l’article 2 de la présente politique.

La Région te fournit des informations sur les mesures prises à la suite d'une demande formulée pour l’exercice des droits mentionnés ci-dessous, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter du jour de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. La Région t’informe de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de ta demande.

8.1 Droit d’accès

Tu as le droit d’obtenir de la Région la confirmation que des données à caractère personnel te concernant sont ou ne sont pas traitées par la Région et, lorsqu'elles le sont, d’obtenir l'accès auxdites données ainsi que les informations suivantes :

- les finalités du traitement ;

- les catégories de données à caractère personnel concernées ;

- les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;

- lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;

- l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement ;

- le droit d'introduire une réclamation auprès d'une autorité de contrôle ;

- lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

- l’existence d'une prise de décision automatisée, y compris un profilage ;

- lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées en ce qui concerne ce transfert.

La Région fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Pour toute copie supplémentaire demandée, veuille noter que la Région peut facturer des frais raisonnables en fonction des frais administratifs.

8.2 Droit de rectification

Tu as le droit d'obtenir de la Région, dans les meilleurs délais, la rectification des données à caractère personnel les concernant qui sont inexactes et/ou incomplètes.

8.3 Droit à l’effacement

Sauf dans des cas spécifiques où la loi le prévoit, tu as le droit d'obtenir de la Région l'effacement, dans les meilleurs délais, de données à caractère personnel les concernant lorsque l'un des motifs suivants s'applique :

- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ;

- le retrait du consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement ;

- l’opposition au traitement et il n'existe pas de motif légitime impérieux pour le traitement :

- les données à caractère personnel ont fait l'objet d'un traitement illicite ;

- les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle la Région est soumise.

Le droit à l’effacement des données n’est pas un droit général et il pourra ne pas y être fait droit si un motif de refus s’applique.

Ainsi, si un motif d’exclusion du droit à l’effacement est présent, la Région ne pourra répondre favorablement à la demande, tel sera le cas si la Région est tenue de conserver les données en raison d’une obligation légale ou réglementaire à laquelle elle est soumise ou pour la constatation, l’exercice ou la défense de droits en justice.

8.4 Droit à la limitation du traitement

Tu as le droit d'obtenir de la Région, la limitation du traitement lorsque l'un des éléments suivants s'applique :

- tu contestes l'exactitude de tes données à caractère personnel (dans un tel cas, la limitation pourra être mise en place pendant une durée permettant à la Région de vérifier l'exactitude des données à caractère personnel) ;

- le traitement est illicite et tu t’opposes à l’effacement des données et exiges à la place la limitation de leur utilisation ;

- la Région n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci te sont encore nécessaires pour la constatation, l'exercice ou la défense de droits en justice ;

- tu t’opposes au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par la Région prévalent sur les tiens.

Si le droit à la limitation est exercé valablement, la Région ne pourra plus traiter tes données à caractère personnel, sauf :

- si tu as donné ton consentement ;

- pour la constatation, l'exercice ou la défense de droits en justice ;

- pour la protection des droits d'une autre personne physique ou morale ;

- pour des motifs importants d'intérêt public de l'Union ou d'un État membre.

8.5 Droit à la portabilité

Tu as le droit de recevoir ou de transmettre leurs données à caractère personnel fournies à la Région, dans un format structuré, couramment utilisé et lisible par machine, à un autre responsable du traitement lorsque le traitement se fonde sur le consentement ou sur un contrat et si le traitement est effectué à l'aide de procédés automatisés.

8.6 Droit d'opposition

Tu as le droit de t’opposer à tout moment pour des raisons tenant à ta situation particulière, à un traitement des données à caractère personnel te concernant, fondé sur l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique ou fondé sur l’intérêt légitime de la Région. La Région ne traite plus tes données à caractère personnel, à moins qu'elle ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur tes intérêts et tes droits et libertés, ou pour la constatation, l'exercice ou la défense de droits en justice.

Ce droit peut être exercée à tout moment lorsque tes données sont collectées à des fins de prospection commerciale.

8.7 Droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage

Tu as le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques les concernant ou les affectant de manière significative de façon similaire, sous réserve des exceptions prévues par la loi.

8.8 Droit de retrait du consentement

Lorsque les traitements de données que la Région met en œuvre sont fondés sur ton consentement, tu as le droit de le retirer à n’importe quel moment. La Région cesse alors de traiter tes données personnelles sans que les opérations antérieures pour lesquelles tu avais consenti ne soient remises en cause.

8.9 Droit d’introduire une réclamation

Tu as le droit d’introduire une réclamation auprès de la Cnil à l’adresse suivante : 3, place de Fontenoy, 75007 Paris, sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel.

8.10 Droit de définir des directives post-mortem

Tu disposes du droit de formuler des directives spécifiques et générales concernant la conservation, l’effacement et la communication des données post-mortem te concernant. En ce qui concerne les directives générales, elles devront être adressées à un tiers qui sera désigné par décret.