Aller au contenu

Charte de protection des données personnelles du logiciel et du portail GRC

VERSION 20/12/2022

Article 1 : Objet

La présente charte encadre juridiquement l’utilisation des données à caractère personnel concernant les personnes inscrites sur le logiciel de GRC EtCRM (Gestion de la Relation aux Collectivités) du CDG74 (Centre de Gestion de la fonction publique territoriale de la Haute-Savoie) et le portail collectivités qui lui est attaché.

Cette charte fournit des informations concernant vos données à caractère personnel détenues dans la base de données et dans les systèmes liés. Constituant le contrat entre le CDG74, établissement public administratif et l’interlocuteur (agent d’une entité qui accède au portail), l’accès au logiciel et au portail GRC doit être précédé de l’acceptation de cette charte.

Le CDG74, « responsable du traitement des données », désigne M. David Goncalves, du groupe SI2A, en qualité de Délégué à la Protection des Données ou DPO. Il est joignable par email à l'adresse suivante : dpo@cdg74.fr . En sa qualité de responsable de ce traitement, le CDG74 s’engage à respecter les dispositions du règlement (UE) n°2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel, dit Règlement Général sur la Protection des Données (RGPD).

Article 2 : Principes mis en œuvre

Le RGPD implique la mise en œuvre des principes majeurs suivants sur l’application :

  • Recueil du consentement : le recueil et l’exploitation des données personnelles sont soumis au consentement explicite des intéressés lors de la création de l’accès.
  • Droit d’accès et de modification des personnes sur leurs propres données personnelles.
  • Confidentialité des données : l’accès aux données personnelles est restreint aux seules fins de traitement de dossier et réservé au personnel autorisé.
  • Droit de suppression et droit à l’oubli : les données personnelles devenues inutiles ne doivent pas être conservées.  

Article 3 : Recueil du consentement

L’interlocuteur doit accepter les conditions générales d’utilisation du portail collectivités en plus de la présente charte. Des formulaires munis de cases à cocher sont adjoints à certains écrans de saisie afin de préciser les termes de la conservation des informations personnelles dans l’application EtCRM.

En l’absence de consentement préalable, l’interlocuteur ne pourra utiliser le portail. Ce consentement peut être annulé à tout moment en envoyant un email à l’adresse suivante : dpo@cdg74.fr.

Article 4 : Droit d’accès et de modification

A chaque agent (utilisateur ou interlocuteur) enregistré dans l’application est associé un compte d’accès à l’application. Ce compte permet à minima à chaque utilisateur d’accéder à ses propres informations personnelles et de les modifier. Voir la documentation ici

Par ailleurs, chaque agent de chaque collectivité en lien avec le CDG74 peut exercer à tout moment le droit d'accès, de modification et de suppression de ses propres données personnelles enregistrées sur l'application et le portail GRC au travers du lien : https://portailgrc/rgpd/. L’identifiant est l’email. Le fait que l’internaute ait accès à l’email valide que les informations lui appartiennent. Un lien vers lesdites informations est automatiquement envoyées à l'agent via cette adresse l’email.

Par ailleurs, le portail collectivités met à disposition un raccourci permettant de contacter rapidement le dpo par email ou bien pour informer le cdg74 d’un dysfonctionnement. Voir la documentation ici

Article 5 : Confidentialité des données

A. Cryptage

Plusieurs options de cryptage ont été mises en œuvre sur l’application :

  • Cryptage des mots de passes enregistrés en base ; ainsi l’administrateur ne peut pas visualiser les mots de passes des utilisateurs
  • Double-cryptage des mots de passe à travers le réseau ; le mot de passe qui transite sur le réseau n’est jamais le même
  • Cryptage des données en transit sur le réseau par chiffrement par SSL

B. Traçage des accès

Un système d’«audit-log » permet d’historiser tous les accès et toutes les actions des utilisateurs sur les données. Le CDG74 peut savoir ainsi qui a effectué une création, lecture, modification ou suppression d’une donnée, d’un champ, d’un statut, etc. et à quel moment. Il a aussi la possibilité de conserver l’historique des valeurs.

Le système est paramétrable afin de restreindre le traçage sur certains modules ou de l’effectuer de façon intégrale et systématique. Les objectifs sont de ne pas perdre les données en cas de suppression involontaire et de tracer les valeurs d’un champ à travers le temps, voire en traçage en cas de piratage.

Article 6 : Suppression des données et droit à l’oubli

En fonction des processus de fonctionnement retenus, les données devenues inutiles peuvent être supprimées logiquement/archivées ou supprimées physiquement. Dans certains cas, les données périmées sont simplement anonymisées afin de permettre la réalisation ultérieure d’états et de statistiques.

Article 7 : Finalités du traitement

« Traitement » désigne toutes les opérations réalisées par le CDG74 en relation avec les données vous concernant, y compris le fait de les collecter, les conserver, les utiliser et les communiquer. Le CDG74 utilise les données à caractère personnel uniquement dans le cadre de son activité et de ses missions d’intérêt général auprès du service public local. Les données ne seront donc pas transmises à des sociétés commerciales.

Les principales finalités pour lesquelles le CDG74 traitera vos données à caractère personnel sont :

  • Annuaire : La fiche « Interlocuteur » est composée par le nom (obligatoire), le prénom, l'entité de rattachement (obligatoire) avec l'adresse postale de l'entité, la fonction, le service, les numéros de téléphone, l'e-mail, la balise d'activation de l’accès au portail.

  • L’annuaire est lié à l’outil « campagnes » permettant de transmettre des invitations, communications, alertes ou informations telles que des newsletters par mail ou courrier postal aux entités et à leurs interlocuteurs. Un outil « d’opt-in/opt-out » permet de vérifier le consentement à la délivrabilité. [Voir la documentation ici] : (https://portailgrc.cdg74.fr/assistance/#etape-2-cgu-du-portail)

  • La fiche « utilisateur » de l’agent CDG comprend les données suivantes : Nom (obligatoire) et le prénom, le login Windows (obligatoire) , type d’utilisateur, photo, fonction, service*, rend compte à, téléphones professionnels, paramètres e-mails et utilisateur sur l’application et groupe(s) de sécurité.

  • L’outil permet de gérer les relations multicanales avec les interlocuteurs. Envoi, suivi de demandes aux services du CDG74 et réception des réponses aux demandes : outil de ticketing accessible depuis le portail collectivité : numéro de la demande (obligatoire), thème/sujet(obligatoire) et sous sujet(obligatoire), urgence, identité du demandeur(obligatoire), entité porteuse(obligatoire), assignation au CDG74, titre(obligatoire) et description(obligatoire). Des groupes de sécurité déterminent les accès aux demandes au sein du CDG74. Des notifications par mail permettent aux interlocuteurs d’être informés d’une évolution de leur demande.

  • La fonctionnalité adhésions recense les services auxquels l’entité de l’interlocuteur adhère. Elle leur permet de savoir s’ils peuvent bénéficier d’un service du CDG74. Seul le champ Nature et le champ entité sont obligatoires.

  • Dépôt de documents de type actes administratifs transmis aux services du CDG74 via le portail (Nom du fichier (obligatoire), statut, nom du document, version, type, date de publication* expiration, catégorie, description, assignation).

  • Annuaire public des principaux contacts administratifs : les collectivités peuvent retrouver, sur le portail, les coordonnées principales (adresse postale, téléphone et mail des principales entités administratives du département).

  • Traitement de statistiques anonymisées, création de tableaux de bords sur les échanges avec les entités et réalisation d’études de satisfaction dans le cadre d’une démarche d’amélioration des services proposés. L’accès aux données dépend du type d’utilisateur, des groupes de sécurité sont définis selon les droits et accès associés. Lors d’une utilisation en reporting, l’utilisateur rend les données des tableaux anonymes.

  • La rubrique actualités du portail permet aux interlocuteurs de bénéficier de liens de partage vers le site Internet ou les réseaux sociaux du CDG74.

Article 8 : Sécurisation des données et durées de conservations

Le CDG74 s’engage à ce que la récolte des données se déroule dans un environnement sécurisé (protocole HTTPS) et soient protégées par un cryptage (protocole SSL) afin d’assurer confidentialité et sécurité en ligne. Le CDG74 conservera vos données à caractère personnel (données en italique souligné dans le tableau ci-dessous sont ou peuvent contenir des données à caractère personnel) pendant la durée nécessaire à la réalisation des traitements sus mentionnés, selon le tableau ci-dessous :

Type de données Durée de conservation maximale
Annuaire interlocuteurs : état civil, collectivité, fonction, service, téléphone, adresse postale entité, e-mail Elus, durée du mandat éventuellement renouvelé, sinon suppression manuelle de la fiche. Pour les agents, les données sont supprimées manuellement en cas de départ de l'interlocuteur de l’entité/des entités à laquelle ou auxquelles il est rattaché. Recensement annuel d'un échantillon effectué pour mise à jour.
Annuaire entités : type, nom, acronyme, affiliation, SIRET, intercommunalité, portefeuille carrières, coordonnées téléphoniques, postales, mail et adresse web, données démographiques et nombre d'agents. Données publiques nécessaires au fonctionnement du CDG74. La conservation des données correspond à une obligation légale, pas de suppression, sauf disparition d'entité.
Annuaire public : Données publiques, pas de suppression, sauf disparition d'entité.
Demandes : numéro, entité porteuse, thème, sujet, sous-sujet, canal d'entrée. Données à vocation statistique, de tableaux de bords. Suppression des données après un délai de 5 ans.
Demandes : titre/description de la demande/traitement de la demande, discussions internes Les données sont conservées pendant une durée de 5 ans avant une suppression informatique. Le délai de 5 ans démarre à partir de la dernière intervention sur le ticket ou du passage au statut "envoyer et archiver".
Adhésions : nom de la prestation, dates, entité et observations Liste des adhésions, obligatoires ou facultatives des entités. S'agissant de conventions avec les entités, les données sont conservées 4 ans après la date de fin d'adhésion de manière automatique.
Enjeux : entité, année, résumé, date de réunion, enjeux par pôles ou services. Données collectées à l'occasion de rendez-vous GRC. Durée de conservation de 6 ans puis suppression automatique. La période de 6 ans correspond à la durée normale d'un mandat municipal ou intercommunal.
Plateforme de transmission des actes (option en cours de déploiement) Base active, les actes sont corrigés en cas d'erreur, sinon ils sont directement archivés en GED. Délai maximum d'échanges avec l'entité, 1 an. Les données sont supprimées automatiquement après un délai d’un an, à la date de clôture des échanges.

Ces durées ont été définies conformément aux réglementations en vigueur, pour permettre au CDG74 d’exercer son activité, tout en respectant le principe de proportionnalité selon lequel les données à caractère personnel ne doivent pas être conservées plus longtemps que la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.

En cas d’occurrence d’un incident de sécurité, le CDG74 mettra tout en œuvre afin de limiter les risques et prendra toutes les mesures adéquates, conformément à ses obligations légales et réglementaires. En particulier, le CDG74 s’engage à informer la personne concernée dans les meilleurs délais si une violation de données était susceptible de porter atteinte aux droits et libertés de cette personne.