Informatique CDC accorde une attention particulière à la protection des données à caractère personnel en conformité avec la loi Informatique et Libertés du 6 janvier 1978 modifiée et le Règlement (UE) 2016/679 sur la protection des données du 27 avril 2016 (RGPD).
Informatique CDC dispose d’un Délégué à la protection des données personnelles (DPO) déclaré auprès de la CNIL qui peut être contacté contact DPO
Les présentes dispositions décrivent les conditions dans lesquelles Informatique CDC en qualité d’éditeur du site Internet http://www.icdc.caissedesdepots.fr/, (ci-après le « Site ») peut être amenée à collecter et traiter des données à caractère personnelle vous concernant. 

Ces dispositions peuvent être modifiées, complétées ou mises à jour afin notamment de se conformer à toutes évolutions législatives, réglementaires, issues de la jurisprudence ou de la doctrine de la CNIL. Toute nouvelle version des présentes dispositions sera effective dès sa publication. Nous vous invitons à vous y référer lors de chaque visite afin de prendre connaissance de sa dernière version disponible sur le Site .

1 - Qui collecte les données à caractère personnel (identité du responsable du traitement) ? 
Informatique CDC est le responsable de traitement des données à caractère personnel collectées et traitées via le Site.

2 – Quelles sont les données à Caractère Personnel traitées ?
La notion de « données à caractère personnel » désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Lorsque Informatique CDC collecte vos données à caractère personnel par l’intermédiaire du Site, cette collecte est effectuée de manière loyale et transparente grâce à la présence de mentions d’information sur l’exercice de vos droits au sein des formulaires figurant sur le Site ou de renvoi aux présentes dispositions.
Informatique CDC s’engage à ne collecter que les données à caractère personnel strictement nécessaires au regard de la finalité pour laquelle elles sont traitées (principe de minimisation).

3 - Quelles sont les finalités de la collecte ?
Les traitements mis en œuvre par Informatique CDC répondent à une finalité explicite, légitime et déterminée.
Les données collectées par l’intermédiaire du Site sont traitées pour les finalités suivantes :

  •  la mise en œuvre, d’outils de communication d’entreprise et de documentation ;
  •  le traitement de vos demandes tendant à exercer vos droits au titre du RGPD ;
  • la gestion du recrutement ;
  • le reporting et la sécurisation des accès au site.

La base juridique de ces traitements repose sur :

  • Une obligation légale à laquelle le responsable de traitement est soumis (gestion des droits des personnes concernées au titre du RGPD).
  •  Le consentement des utilisateurs lorsque cela est requis par la réglementation en vigueur notamment en matière de cookies ou candidature à un emploi.

4 -Quelles sont les destinataires et sous-traitants de vos données à caractère personnel ?
Informatique CDC ne communique vos données à caractère personnel qu’à des destinataires habilités et déterminés. Les personnels autorisés d’Informatique CDC sont destinataires de vos données à caractère personnel.
Informatique CDC peut avoir recours à des sous-traitants, suivant les instructions d’Informatique CDC pour le traitement de tout ou partie des données à caractère personnel dans la limite nécessaire à l’accomplissement de leurs prestations. Les données à caractère personnel des utilisateurs du Site ne font pas l’objet d’un transfert hors de l’Union Européenne.
Informatique CDC peut toutefois être amené à transmettre vos données à caractère personnel sans votre accord préalable afin de se conformer à une exigence légale. A ce titre, vous acceptez que Informatique CDC puisse transmettre des données à caractère personnel s’il juge qu’il est nécessaire de le faire afin de se conformer à une assignation judiciaire, un mandat, jugement ou ordonnance, ou à une autorité compétente dans le cadre d’une mission d’enquête particulière et notamment pour la défense de ses droits.

5 – Pour quelle durée conservons-nous vos Données à Caractère Personnel ?
Informatique CDC ne conserve vos données à caractère personnel que pour la durée nécessaire aux opérations pour lesquelles elles ont été collectées ainsi que dans le respect de la législation en vigueur. Nous assurons la sécurité de vos données à caractère personnel en mettant en place une protection des données reposant sur l’utilisation de moyens de sécurisation logiques et physiques.

6 – Quels sont vos droits et comment les exercer ? 
Conformément à la réglementation en vigueur, Informatique CDC, responsable du traitement, met en œuvre un traitement de données à caractère personnel vous concernant aux fins d’assurer : 

  • la mise en œuvre, d’outils de communication d’entreprise et de documentation ;
  • le traitement de vos demandes tendant à exercer vos droits au titre du RGPD ;
  • la gestion du recrutement ;
  • le reporting et la sécurisation des accès au site.

Les données collectées sont indispensables à ce traitement et sont destinées aux services concernés d’Informatique CDC, ainsi que, le cas échéant, à ses sous-traitants ou prestataires.
Les données collectées sont conservées pendant : 

  • 2 ans pour les candidatures communiquées ;
  • 1 an à compter du jour de la demande tendant à l'exercice des droits au titre du RGPD,
  • dans les autres cas pour la durée nécessaire au traitement de la demande ou pour les traitements liés à la communication et à la sécurité du site pendant la durée du site.

En application de la réglementation en vigueur, vous disposez d’un droit d’accès, de rectification ou d’effacement, de limitation du traitement de vos données, d’un droit d’opposition, d’un droit à la portabilité de vos données ainsi que du droit de définir des directives relatives au sort de vos données après votre décès, qui s’exercent via le formulaire contact DPO ou par courrier postal à l’adresse suivante : Informatique CDC A l’attention du délégué à la protection des données (DPO) 4 rue Berthollet 94110 Arcueil accompagné d’une copie d’un titre d’identité. 

Pour permettre de traiter votre demande, il vous appartient d’indiquer les données à caractère personnel que Informatique CDC doit corriger, mettre à jour ou supprimer. Les demandes de suppression seront soumises aux obligations légales imposées à Informatique CDC notamment en matière de conservation et d’archivage des documents.

Vous disposez enfin du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle en charge du respect des obligations en matière de données à caractère personnel.

Politique de protection des données à caractère personnel

 

1.    Introduction

L’intégration croissante des nouvelles technologies dans les entreprises s’accompagne de nouveaux enjeux tels que la conformité réglementaire, l’évolution des systèmes et des compétences ainsi que la sécurité et la confidentialité des données.
Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, entré en application le 25 mai 2018, relatif à la protection des personnes physiques à l’égard des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») indique dans son préambule que la protection des personnes physiques à l’égard du traitement de données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne et l’article 1, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

Le RGPD donne aujourd’hui aux personnes physiques un cadre de protection des données plus solide et plus cohérent dans l’Union afin que ces dernières puissent avoir la maîtrise des données à caractère personnel les concernant.

De son côté, Informatique CDC se positionne comme un acteur de confiance pour ses membres, acteurs publics au service de l’intérêt général. Cette volonté se traduit dans une politique de respect et de maintien de normes élevées notamment en matière de protection des données à caractère personnel.
Dans le cadre de ses activités, Informatique CDC est amené à collecter et à traiter des données personnelles relatives notamment à ses collaborateurs, ses membres, ses partenaires, ses fournisseurs et prestataires.
Soucieux de construire avec ces derniers des relations de confiance basées sur le respect mutuel et le partage de valeurs sociales responsables, la présente politique a ainsi pour objet de présenter les engagements pris par Informatique CDC en matière de protection des données à caractère personnel.

L’objectif principal de cette politique est de concentrer dans un document unique des informations claires, simples et précises concernant les traitements de données à caractère personnel opérés par Informatique CDC, pour permettre à ses membres, partenaires, collaborateurs, prestataires et fournisseurs de comprendre quelles données à caractère personnel (ci-après dénommées « les données personnelles ») sont collectées, leur utilisation et les droits sur ces données. 

2.    Concepts

Pour une bonne compréhension de la réglementation sur la protection des données, il convient au préalable, de présenter les concepts principaux.

2.1    Données à caractère personnel

 
Les données à caractère personnel ou données personnelles visent toutes informations relatives à une personne physique pouvant être identifiée directement ou indirectement.

Ainsi, à titre d’exemple, constituent des données personnelles : le nom et prénom, le numéro de téléphone, la photographie, l’enregistrement vidéo, l’empreinte biométrique, le numéro de sécurité sociale, l’adresse postale, l’adresse mél, la fonction, les données de localisation, l’adresse IP de l’ordinateur d’un individu.

L’identification d’une personne physique peut être réalisée à partir d’une seule donnée (exemple : numéro de sécurité sociale). Cette identification peut aussi résulter du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, ayant tel numéro de téléphone, etc…)

2.2    Données à caractère personnel particulières  

Parmi la catégorie des données personnelles figure une sous-catégorie relative aux données particulières. Il s’agit des données faisant apparaître de façon directe ou indirecte les origines raciales, ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale des personnes ou qui sont relatives à leur santé ou à leur vie ou orientation sexuelle ainsi que les données génétiques et biométriques.

En principe, les traitements sur ces données sont interdits sauf dans les cas strictement énumérés à l’article 9 du RGPD tels que, par exemple :

  • la personne concernée a donné son consentement explicite au traitement pour un ou des finalités spécifiques 
  • le traitement est nécessaire aux fins de l’exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, 
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ; 
  • le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
  • le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
  • le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ; 
  • le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ;

 

2.3    Personne concernée 

La personne concernée désigne la personne physique à laquelle se rapportent les données à caractère personnel qui font l’objet d’un traitement.

Ainsi, à titre d’exemple : le candidat dont on étudie la candidature, les collaborateurs dont les données sont traitées pour l’édition des badges d’accès.

2.4     Responsable d’un traitement de données à caractère personnel

Le responsable du traitement est l’entité ou le service ou un autre organisme qui détermine les finalités et les moyens d’un traitement de données personnelles.

Ainsi, à titre d’exemple : l’entreprise qui met en place un dispositif de vidéosurveillance.

2.5     Sous-traitant 

De façon générale, toute entité traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant.

Ainsi, à titre d’exemple : un prestataire d’hébergement de données, un prestataire de maintenance d’une application, un prestataire effectuant des travaux sur un site.

2.6     Traitement de données à caractère personnel 

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toutes autres formes de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel.

Ainsi, à titre d’exemple : la consultation à distance d’une application logicielle constitue un traitement, la tenue d’un fichier client. A noter qu’un traitement de données personnelles n’est pas nécessairement automatisé ; les fichiers papiers sont également concernés et doivent être protégés.

2.7    Destinataire

Le destinataire, signifie « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers ». 

Ainsi, à titre d’exemple : une société mère, un prestataire, une administration, un service peuvent être destinataires de données.

3.    La gouvernance des données personnelles

Soucieux de préserver la vie privée et la protection des données personnelles de ses collaborateurs, membres, partenaires, prestataires et fournisseurs, Informatique CDC a développé une politique de gouvernance des données personnelles permettant de prendre en compte les exigences légales et réglementaires relatives à l’usage et la protection de ces données.

Ainsi, Informatique CDC a mis en place une organisation interne destinée à gérer les différentes problématiques posées par la protection des données personnelles en son sein.

Dans ce cadre, Informatique CDC a désigné un délégué à la protection des données (DPO).

Le DPO d’Informatique CDC a notamment pour mission de veiller au respect de la règlementation en matière de protection des données du responsable du traitement et coopérer avec la Commission Nationale Informatique et Libertés (Cnil) sur les questions relatives aux traitements de données personnelles.

Il est l’interlocuteur de la Cnil et de toutes les personnes concernées par une collecte ou un traitement de données personnelles.

Le délégué à la protection des données personnelles d’Informatique CDC peut être contacté par toute personne intéressée à l’adresse postale suivante : « Informatique CDC, à l’attention du Délégué à la protection des données (DPO), 4 rue Berthollet 94110 Arcueil » ou à l’adresse mél ci-après : DPO-ICDC@caissedesdepots.fr.

La politique de gouvernance mise en place par Informatique CDC repose sur le respect de principes directeurs applicables à la collecte et à l’exploitation des données personnelles présentés dans la présente politique. 

4.    Les principes applicables aux données personnelles

Informatique CDC s’attache au respect des principes suivants dans le cadre de la collecte et l’exploitation des données personnelles.

4.1    Une utilisation légitime et proportionnée

Les données personnelles sont collectées par Informatique CDC pour des finalités déterminées, explicites et légitimes liées à son activité.

La collecte de données personnelles au sein d’Informatique CDC est destinée à l’exercice de ses activités dans le cadre de ses relations avec ses collaborateurs, ses membres et clients non membres, ou bien encore ses prestataires et fournisseurs.

Ces données ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.

Pour chaque traitement, Informatique CDC s’engage à ne collecter et traiter que des données strictement nécessaires à l’objectif poursuivi.

4.2    Une collecte loyale et transparente

Dans un souci de loyauté et de transparence vis-à-vis de ses membres, ses partenaires, ses collaborateurs, ses fournisseurs et prestataires, Informatique CDC prend soin d’informer les personnes concernées de chaque traitement qu’il met en œuvre par des mentions d’information. Ces mentions peuvent être affichées ou indiquées sur différents supports : site internet, formulaire de collecte …

Ces données sont collectées loyalement ; aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées.

Informatique CDC se tient également disponible à l’adresse suivante pour apporter toute précision nécessaire concernant sa politique de protection des données personnelles DPO-ICDC@caissedesdepots.fr. 

4.3     L’adéquation et la minimisation des données collectées

Les données personnelles collectées sont strictement nécessaires à l’objectif poursuivi par la collecte. Informatique CDC s’attache à minimiser les données collectées, à les tenir exactes et à jour.

Informatique CDC ne collecte que ce dont il a besoin.

4.4    Une protection des données personnelles dès la conception et par défaut

Informatique CDC met en œuvre des mesures ayant vocation à respecter les principes de protection des données personnelles dès la conception et de protection des données personnelles par défaut. 

Ainsi, lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données personnelles, Informatique CDC prend en compte le droit à la protection des données personnelles ou s’assure notamment auprès de leurs éditeurs/fournisseurs qu’elles répondent aux prescriptions légales et permettent d’assurer la protection des données qui y seront traitées.

A ce titre, par exemple, Informatique CDC procède à de la pseudonymisation et à des techniques de chiffrement des données personnelles dès que cela est possible ou nécessaire.

5.    Les bases légales des traitements mis en œuvre par Informatique CDC

Tout traitement mis en œuvre par Informatique CDC repose sur une base légale.

Ainsi, les traitements effectués par Informatique CDC ne sont mis en œuvre que si au moins une des conditions suivantes est remplie :

5.1    Le consentement de la personne concernée

Informatique CDC peut procéder à des traitements lorsque ses membres, partenaires, collaborateurs, fournisseurs ou prestataires ont consenti au traitement de leurs données personnelles pour une ou plusieurs finalités spécifiques.

Ce consentement peut être donné au moyen d’une déclaration écrite, y compris par voie électronique.

5.2     L’exécution du contrat ou des mesures précontractuelles

Le traitement peut également être mis en œuvre lorsqu’il est nécessaire à l'exécution d’un contrat liant Informatique CDC avec la personne concernée. 

A titre d’exemple, un contrat de prestations informatiques conclu entre Informatique CDC et un partenaire.

5.3    Les obligations légales et réglementaires

Le traitement de données personnelles est nécessaire pour le respect des obligations légales ou réglementaires d’Informatique CDC.

Ces obligations légales ou réglementaires sont par exemple celles relatives aux déclarations aux organismes sociaux par ICDC en sa qualité d’employeur.

5.4    Les intérêts légitimes de Informatique CDC

Les intérêts légitimes d’Informatique CDC ou d’un tiers peuvent être de nature à justifier un traitement par Informatique CDC de données personnelles. 

Les intérêts légitimes poursuivis par Informatique CDC sont variés mais peuvent notamment consister dans, par exemple :

  • le pilotage et la supervision de ses activités ;
  • la mesure de la qualité des services rendus ;
  • l’amélioration du service rendu.

Ces traitements sont mis en œuvre en prenant en compte les intérêts et les droits fondamentaux des membres, partenaires, collaborateurs, fournisseurs et prestataires. A ce titre, ils s’accompagnent de mesures et garanties pour assurer la protection des intérêts et droits de ces derniers qui permettent un équilibre avec les intérêts légitimes poursuivis par Informatique CDC.

Outre ces principes directeurs, Informatique CDC met en œuvre les mesures organisationnelles détaillées, ci-après, afin d’assurer la protection et la sécurité des données personnelles.

6.    La politique d’habilitation :  quels sont les destinataires des données ?

Informatique CDC a mis en place des règles d’habilitation strictes. Les données personnelles qu’il traite ne sont ainsi transmises qu’aux seules personnes autorisées au sein des différentes Directions d’Informatique CDC.

En outre, les prestataires de services d’Informatique CDC sont parfois également destinataires des données pour réaliser les prestations qui leurs sont confiées par Informatique CDC. Dans ce cas, Informatique CDC exige que ces sous-traitant appliquent des règles strictes en matière de protection des données personnelles en conformité avec la réglementation applicable tant française qu’européenne afin de veiller notamment à la sécurité et à la confidentialité de ces données.

Par ailleurs, certaines données personnelles peuvent être adressées à des tiers pour satisfaire aux obligations légales, réglementaires ou conventionnelles ou aux autorités légalement habilitées, tels que par exemple, notre membre historique la Caisse des dépôts ou des administrations.

Enfin, lorsque, exceptionnellement, Informatique CDC a besoin de transférer des données personnelles en dehors de l’Union Européenne, il le fait avec l’autorisation de la Cnil et après avoir signé toute convention requise avec les destinataires des données situés en dehors de l’Union européenne.

7.    La limitation de la durée de conservation

Respectueux du droit à l’oubli, Informatique CDC conserve les données personnelles qu’il collecte uniquement pendant la durée nécessaire aux finalités du traitement considéré et en accord avec la législation nationale applicable notamment concernant les durées de prescription légale ou réglementaire.

8.    La sécurité des données personnelles

Informatique CDC accorde une importance particulière à la sécurité des données personnelles.

Il met en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données personnelles, en vue d’assurer l’intégrité et la confidentialité des données et de les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés.

Informatique CDC effectue régulièrement des contrôles internes afin de vérifier la bonne application opérationnelle des règles relatives à la sécurité des données.

Ainsi, il s’engage à prendre les mesures de sécurité physiques, logiques, techniques et organisationnelles nécessaires pour :

  • protéger ses activités ; 
  • préserver la sécurité des données personnelles de ses membres, partenaires, internautes, collaborateurs, fournisseurs et prestataires ;

contre tout accès, modification, déformation, divulgation, destruction ou accès non autorisés des données personnelles qu’il détient (exemple : protection des applications par des authentifiants forts, accès aux locaux sécurisés, mise en place de profils distincts selon les besoins d’accès aux données des utilisateurs, mesures de sauvegarde des données, etc…).

Néanmoins, la sécurité et la confidentialité des données personnelles reposent aussi sur les bonnes pratiques de chacun, ainsi la personne concernée est invitée à rester vigilante sur la question.

Conformément à ses engagements, Informatique CDC choisit ses prestataires sous-traitants et prestataires avec soin et leur impose :

  • un niveau de protection des données personnelles équivalent aux siens ;
  • une utilisation des données personnelles ou des informations uniquement pour assurer la gestion des services qu’ils doivent fournir ;
  • un respect strict de la législation et de la règlementation applicable en matière de confidentialité, de secret bancaire, et de données personnelles ;
  • la mise en œuvre de toutes les mesures adéquates pour assurer la protection des données personnelles qu’ils peuvent être amenés à traiter ;
  • la définition des mesures techniques, organisationnelles nécessaires pour assurer la sécurité.

Informatique CDC s’engage à conclure avec ses prestataires, conformément aux obligations légales, des contrats définissant précisément les conditions et modalités de traitement des données personnelles.

9.    Le droit des personnes

Les personnes physiques dont Informatique CDC traite les données (clients, collaborateurs, prestataires, etc…) ont des droits sur leurs données. Informatique CDC est particulièrement soucieux du respect des droits des personnes conformément à la législation et à la règlementation applicable à la matière, et, dans ce cadre, assure les droits suivants :

  • le droit à l’information ;
  • le droit d’accès ;
  • le droit de rectification ;
  • le droit à l’effacement ou droit à l’oubli ;
  • le droit à la portabilité ;
  • les droits d’opposition ;
  • le droit à la limitation du traitement ;
  • le droit d’interrogation ;
  • le droit de définir des directives relatives à la conservation, l’effacement et la communication de ses données personnelles après sa mort.

9.1    Les modalités d’exercice des droits

Informatique CDC doit donner aux personnes physiques dont il traite les données les moyens d’exercer effectivement leurs droits sur ces données. A ce titre, Informatique CDC communiquera pour l’exercice de ces droits par voie électronique si la demande est effectuée par la personne concernée par cette voie sauf demande contraire de sa part. 

Ces droits peuvent être également exercés par courrier accompagné d’une copie de tout document d’identité signé par le demandeur à Informatique CDC, en s’adressant au DPO d’ICDC à l’adresse suivante : DPO-ICDC@caissedesdepots.fr.

La personne concernée doit justifier de son identité en indiquant clairement ses nom et prénoms, l’adresse à laquelle elle souhaite que la réponse lui soit envoyée, signer sa demande et y joindre la photocopie d’un titre d’identité portant sa signature.

Par principe, la personne concernée pourra obtenir sans frais l'accès à ses données personnelles, et leur rectification ou leur effacement, et l'exercice d'un droit d'opposition dans les meilleurs délais et en tout état de cause dans le délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prorogé de deux mois, compte tenu de la complexité et du nombre de demandes. La personne concernée est informée de cette prolongation et des motifs du report.

Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, Informatique CDC pourra : 

  • exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications, ou prendre les mesures demandées, 
  • ou refuser de donner suite à ces demandes.

Néanmoins, concernant le droit d’information, Informatique CDC n’aura pas l’obligation d’y donner suite lorsque :

  • le demandeur dispose déjà de ces informations, 
  • l'enregistrement ou la communication des données personnelles est expressément prévu par la loi,
  • la communication d'informations au demandeur se révèle impossible ou exigerait des efforts disproportionnés.

Au titre de l’exercice du droit d’accès, Informatique CDC fournit une copie des données personnelles faisant l'objet d'un traitement. Toutefois, il peut demander le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. 

Informatique CDC informera la personne concernée s’il ne peut donner suite à ses demandes et de la possibilité pour cette dernière d’introduire une réclamation devant l’autorité de contrôle et de former un recours juridictionnel.

9.2    Le droit d’information 

La présente politique a notamment pour objectif d’informer toute personne des finalités, des bases légales, des intérêts légitimes poursuivis par Informatique CDC, des destinataires ou catégories de destinataires avec lesquels sont partagés les données personnelles, et de la possibilité de transfert de données personnelles vers un pays tiers ou à une organisation internationale.

En plus de ces informations, et dans l’objectif de garantir un traitement équitable et transparent, la personne concernée reçoit d’Informatique CDC des informations complémentaires relatives, par exemple, à :

  • la durée de conservation des données personnelles ou lorsque cette durée est déterminable uniquement les critères utilisés pour déterminer cette durée ;
  • l'existence de ces droits d’accès, de rectification ou d’effacement, de limitation de traitement, d’opposition et de portabilité des données personnelles.

Lorsque Informatique CDC a l'intention d'effectuer un traitement ultérieur des données personnelles pour une finalité autre que celle pour laquelle les données personnelles ont été collectées, Informatique CDC fournira au préalable à la personne concernée des informations au sujet de cette autre finalité.

9.3    Le droit d’accès et de rectification

La personne concernée dispose auprès d’Informatique CDC d’un droit d’accès et de rectification. 

Au titre du droit d’accès, elle peut avoir la confirmation que des données personnelles la concernant sont ou ne sont pas traitées et lorsqu’elles le sont, l’accès auxdites données personnelles ainsi que les informations concernant :

  • les finalités du traitement;
  • les catégories de données personnelles concernées;
  • les destinataires ou catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
  • lorsque cela est possible, la durée de conservation des données personnelles envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
  • l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données personnelles, ou une limitation du traitement des données personnelles relatives à la personne concernée, ou du droit de s'opposer à ce traitement;
  • le droit d'introduire une réclamation auprès d'une autorité de contrôle;
  • le fait que si les données personnelles ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
  • l'existence d'une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

La personne concernée peut demander à Informatique CDC à ce que les données personnelles soient, selon les cas, rectifiées, complétées si elles sont inexactes, incomplètes, équivoques, périmées. 

9.4    Le droit à l’effacement et droit à l’oubli

La personne concernée a la possibilité d'obtenir d’Informatique CDC l’effacement de données personnelles la concernant lorsque l'un des motifs suivants s'applique : 

  • les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ; 
  • la personne concernée  retire le consentement sur lequel est fondé le traitement ; 
  • la personne concernée s’oppose au traitement des données personnelles la concernant pour motif légitime ou lorsqu’il n’existe pas de motif légal audit traitement ;
  • le traitement des données personnelles n’est pas conforme aux dispositions de la législation et de la règlementation applicable.

Néanmoins, elle est informée que l’exercice de ce droit à l’effacement ne sera pas possible lorsque la conservation des données personnelles est nécessaire : 

  • soit à l’exercice du droit à la liberté d’expression et d’information ; 
  • soit au respect d’une obligation légale qui requiert le traitement prévu par la législation ou la règlementation applicable ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi Informatique CDC.
  • à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique à des fins statistiques ;
  • à la constatation, à l’exercice ou à la défense de droits en justice.

9.5    Le droit à la portabilité 

A compter du 25 mai 2018, toute personne concernée disposera d’un droit à la portabilité sur ses données personnelles. Le droit à la portabilité offre aux personnes la possibilité d’obtenir et de réutiliser leurs données personnelles pour répondre à leurs propres besoins, à travers différents services. Ce droit permet à une personne :

  • de récupérer les données la concernant traitées par un organisme, pour son usage personnel, et de les stocker sur un appareil ou un cloud privé par exemple. Ce droit permet de gérer plus facilement et par soi-même ses données personnelles.
  • de transférer ses données personnelles d’un organisme à un autre. Les données personnelles peuvent ainsi être transmises à un nouvel organisme :
    • soit par la personne elle-même,
    • soit directement par l’organisme qui détient les données, si ce transfert direct est « techniquement possible ».

Les données concernées par la portabilité intéressent les catégories suivantes :

  • uniquement les données personnelles (sont par conséquent exclues les données anonymisées ou les données qui ne concernent pas le demandeur);
  • les données personnelles fournies par la personne concernées ; (tel que par exemple, l’adresse électronique, nom d’utilisateur, l’âge …)
  • les données personnelles ne portant pas atteinte aux droits et libertés de tiers telles que celles protégées par le secret des affaires.

Ces critères sont cumulatifs. 

En cas d’exercice du droit à la portabilité au profit d’Informatique CDC, la personne concernée a la possibilité de transmettre à Informatique CDC les données personnelles la concernant préalablement fournies à un autre responsable de traitement.

Ce droit est toutefois limité aux traitements basés sur le consentement ou sur un contrat et aux données personnelles relatives à la personne concernée communiquée par cette personne. Par exemple, les données des collaborateurs traitées par l’employeur, sur la base d’un intérêt légitime ou d’obligations légales ne sont pas concernées par le droit à la portabilité. Les demandes de portabilité doivent donc être analysées au cas par cas. Ce droit n’inclut pas les données personnelles dérivées et inférées, qui sont créés par Informatique CDC tel que par exemple un profil d’un utilisateur.

En cas d’exercice du droit à la portabilité au profit d’un tiers, la personne concernée est informée qu’Informatique CDC n’est pas responsable du traitement réalisé par le responsable de traitement qui reçoit les données personnelles. 

Après l’exercice de ce droit, Informatique CDC n’a pas l’obligation de conserver des données personnelles ou de les conserver plus longtemps que nécessaire.

Malgré l’exercice de ce droit, la personne concernée pourra continuer à utiliser les services proposés par Informatique CDC et pourra exercer ses droits tant que subsiste le traitement.

9.6    Le droit d’opposition 

La personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, à un traitement de données personnelles le concernant lorsque le traitement est fondé sur l’intérêt légitime du responsable de traitement y compris le profilage.

En cas d’exercice d’un tel droit d’opposition, Informatique CDC cessera le traitement de ces données sauf lorsqu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et droits et les libertés de la personne concernée ou pour la constatation, l’exercice ou la défense d’un droit en justice.

9.7    Le droit à la limitation

La personne concernée a la possibilité de demander la limitation du traitement de ses données personnelles :

  • quand elle conteste l’exactitude des données personnelles et ce pendant une durée permettant à Informatique CDC de vérifier l’exactitude des données personnelles ;
  • si le traitement est illicite et qu’elle s’oppose à l’effacement de ses données personnelles mais exige une limitation de leur utilisation ;
  • si Informatique CDC n’a plus besoin des données personnelles aux fins du traitement mais celles-ci restent nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
  • pendant la durée de vérification ayant pour objet de confirmer que les motifs légitimes poursuivis par Informatique CDC prévalent sur ceux de la personne concernée si elle s’est opposée au traitement en vertu de son droit d’opposition.

La limitation entraine en principe l’exclusion de toute exploitation à l’exception de la conservation des données sauf si la personne concernée donne son consentement à une autre forme de traitement de la donnée. 

9.8    Le droit de recours

La personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, par exemple la Cnil sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel.

Elle peut effectuer ce recours auprès de l’autorité de contrôle de l’Etat membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise.

9.9    Le droit de définir des directives post mortem

La personne concernée est informée qu’elle a la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de ses données personnelles après son décès. 

A ce titre, elle peut définir des directives générales ou particulières. Les directives générales concernent l’ensemble des données personnelles relatives à la personne et sont établies auprès d’un tiers de confiance, certifié et chargé de faire respecter la volonté du défunt (par exemple un notaire). 

Les directives particulières sont directement enregistrées auprès d’Informatique CDC et mises en œuvre pour les données personnelles concernées. 

9.10    L’encadrement des flux transfrontières 

Les données personnelles que les membres, partenaires, fournisseurs et prestataires ont transmis à Informatique CDC conformément aux finalités convenues peuvent, à l'occasion d’opérations, faire l'objet d'un transfert dans un pays de l'Union Européenne ou hors Union Européenne.

Potentiellement, ces transferts d’informations ou de données personnelles vers des pays non-membres de l'Union Européenne peuvent intervenir et être soumis à des règlementations différentes de celles applicables dans l'Union Européenne.

Dans le cadre d'un tel transfert vers un pays hors Union Européenne, des règles assurant la protection et la sécurité de ces informations sont mises en place par Informatique CDC.

Informatique CDC dans tous les cas prend les mesures nécessaires et adéquates pour assurer la sécurité des données personnelles.

Pour sécuriser ces transferts hors de l’Union européenne, Informatique CDC peut par exemple mettre en place des clauses types définies par la Commission européenne afin d’encadrer les flux.

9.11    L’évolution de la présente politique

Cette politique, accessible à tous sur le site internet d’Informatique CDC, est actualisée régulièrement pour prendre en compte les évolutions législatives et réglementaires applicables.