Politique de protection des données à caractère personnel

Cette politique de confidentialité décrit les règles de gestion, de stockage et de conservation des données à caractère personnel que la Région Bretagne applique dans le cadre de ses services et de ses dispositifs pour les données à caractère personnel.
Cette démarche entre dans le cadre de la mise en conformité au cadre règlementaire comprenant notamment :

  • le Règlement général sur la protection des données n° 2016/679 du Parlement et du Conseil du 27 avril 2016
  • la loi Informatique et libertés n° 78-17 du 6 janvier 1978.

La Région Bretagne, représentée par son Président, est responsable de traitement.

Le terme « donnée à caractère personnel » désigne toute information susceptible d’identifier une personne directement ou indirectement.

La Région veille à ne collecter et ne traiter que des données strictement nécessaires au regard de la finalité définie (minimisation des données).

D’une manière générale, par le biais des actions et dispositifs, la Région peut être amenée à collecter les données à caractère personnel suivantes :

  • État-civil, identité, données d’identification, images (ex. nom, prénom, adresse, photographie, date et lieu de naissance, etc.)
  • Vie personnelle (ex. situation familiale, etc.)
  • Vie professionnelle (ex. CV, situation professionnelle, scolarité, formation, distinctions, diplômes, etc.)
  • Informations économique et financière (ex. revenus, données bancaires, etc.)
  • Données de connexion (ex. adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)
  • Internet (ex. cookies, traceurs, données de navigation, mesures d’audience, …)

Dans le cadre de certains dispositifs, la Région peut être amenée à collecter des données sensibles, en particulier le NIR (numéro d’inscription au répertoire, qui correspond au numéro de sécurité sociale) ou le statut de personne en situation de handicap. Dans ce cas, elle le fait en respect des obligations spécifiques liées à ce type de données.

Les informations peuvent être issues :

  • de formulaires de collecte en ligne ;
  • de dossiers papiers ;
  • de la création d’un compte en ligne ;
  • de l’utilisation de systèmes ou réseaux mis à disposition pour l’accès à internet ;
  • d’une transmission par des tiers habilités à nous transmettre ces données.

Certaines données sont collectées automatiquement du fait des actions des personnes sur les sites internet (cookies). Leur traitement est décrit dans un paragraphe ci-dessous, intitulé “Cookies”.

Chaque dispositif comporte une information précisant dans le détail les données collectées et traitées.

Les traitements mis en oeuvre par la Région répondent à une finalité explicite, légitime et déterminée.

Les données des personnes sont traitées principalement pour les finalités suivantes :

  • Pour bénéficier d’une aide financière : article 6-e du RGPD : Le traitement
    est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du
    traitement
  • Pour bénéficier d’un service : article 6-e du RGPD : Le traitement
    est nécessaire à l’exécution d’une mission d’intérêt public ou relevant
    de l’exercice de l’autorité publique dont est investi le responsable du
    traitement
  • Pour s’inscrire à un évènement (colloque, appel à projet, jeux-concours, etc…) : consentement
  • Dans le cadre d’un contrat vous liant à la Région : Article 6-b du RGPD : Le traitement est nécessaire à l’exécution d’un contrat auquel la personne
    concernée est partie ou à l’exécution de mesures précontractuelles prises à la
    demande de celle-ci
  • Pour candidater à une offre d’emploi : consentement
  • Pour recevoir des informations : consentement
  • Pour le bon fonctionnement et la maintenance des sites web : consentement

En interne, les destinataires des données sont les services instructeurs des dispositifs ou en charge d’une action liée à la finalité du traitement.

Des partenaires extérieurs peuvent également être destinataires de tout ou partie des données collectées pour une finalité. Il peut s’agir :

  • de partenaires habilités à traiter les données et dont les responsabilités sont formalisées par convention ;
  • de partenaires liés contractuellement à la Région pour mettre en oeuvre tout ou partie d’un traitement ;
  • de tiers autorisés de l’administration fiscales ou judiciaires ainsi que des autorités de régulation, dans le cadre d’une procédure, d’un litige, d’un contrôle et/ou d’une requête, sur demande et dans la limite de ce qui est permis par la réglementation.

Des garanties sont systématiquement demandées aux destinataires des données et les rôles et responsabilités sont encadrés. Les usagers sont tenus informés de ces échanges de données.

Les données à caractère personnel ne sont pas transférées hors de l’Union Européenne.

La Région s’engage à prendre toutes mesures afin d’assurer la sécurité et la confidentialité des données à caractère personnel et notamment à empêcher qu’elles ne soient endommagées, effacées ou que des tiers non autorisés y aient accès.

En cas d’incident de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation et/ou l’accès non autorisé aux données à caractère personnel, la Région s’engage à procéder à toute notification utile conformément à la réglementation en vigueur.

En fonction de la finalité du traitement, la durée de conservation des données à caractère personnel est susceptible de varier.

La Région conserve les données à caractère personnel pour la durée nécessaire à la réalisation de la finalité poursuivie ou pour remplir ses obligations légales ou réglementaires, et afin de permettre l’exercice de certains droits (par ex. déposer un recours devant tout tribunal) ou à des fins statistiques ou historiques.

À l’issue de la durée de conservation, les données sont archivées, supprimées ou anonymisées (à des fins statistiques).

En application de la Règlementation, les personnes concernées par les traitements de leurs données disposent d’un droit d’accès, de rectification, de limitation et de portabilité des informations qui les concernent. Elles peuvent également définir le sort de leurs données après leur décès. Elles peuvent enfin, pour des motifs légitimes, s’opposer au traitement, demander l’effacement des données les
concernant, ou retirer leur consentement à tout moment, sauf si ces droits bénéficient d’une exception dans le cadre de la loi.

Pour exercer aux usager·ère·s d’exercer leurs droits, la Région a nommé un·e délégué·e à la protection des données qui a pour missions :

  • de veiller au respect des dispositions de la règlementation,
  • d’informer et de conseiller les services,
  • de veiller au respect des droits des personnes,
  • de documenter les actions entreprises.

Toute demande concernant la protection des données à caractère personnel peut être adressée à l’adresse courriel : [email protected]

Ou par courrier postal à l’adresse :
Région Bretagne
283 avenue du Général Georges Patton
CS 21101
35700 Rennes

Dans le cadre de la mise en oeuvre de sites internet ou de portail de services, la Région Bretagne peut être amenée à utiliser des « cookies » afin d’améliorer les services rendus aux internautes, notamment via des services de mesure d’audience.

Ces cookies fournissent des informations sur la façon dont les sites sont utilisés (statistiques sur le trafic telles que le nombre de visiteurs, la durée moyenne des visites ou encore le nombre de pages vues) et permettent de fluidifier la navigation et d’améliorer l’expérience utilisateur.

La Région met en place sur chacun de ses sites un système permettant à l’internaute d’activer ou de désactiver, à tout moment, l’utilisation de cookies.