POLITIQUE DE PROTECTION DES DONNEES AGENTS

La Direction du Système d’Information (DSI) du Gouvernement de la Polynésie française attache la plus grande importance à la protection des données à caractère personnel.
La présente politique a pour objectif d’informer les personnels de la manière dont leurs données à caractère personnel sont collectées et traitées par la DSI.
Toutes les opérations sur les données à caractère personnel sont réalisées dans le respect des réglementations en vigueur et notamment de la loi Informatique et Libertés n°78-17 du 6 janvier 1978 et du Règlement UE 2016/679 du 27 avril 2016 sur la protection des données personnelles ou RGPD.

ARTICLE 1 – DEFINITIONS

Donnée à caractère personnel – toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres, ci-après les « données ».
Traitement de données à caractère personnel – toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Responsable du traitement – la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, qui collecte et traite des données à caractère personnel.
Destinataires – la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.
Tiers autorisés – une personne physique ou morale, une autorité publique, un service ou un organisme, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, qui sont autorisées à traiter les données à caractère personnel.

ARTICLE 2 – IDENTITE DU RESPONSABLE DE TRAITEMENT

La Direction du Système d’Information est un service administratif relevant du Gouvernement de la Polynésie française, responsable de traitement au sens du RGPD.

Gouvernement de la Polynésie française
BP 2551 98713 Papeete
cabpr@presidence.pf
Tél. : (689) 40 47 20 00

Direction du système d’information
BP 4574 9873 Papeete
secretariat.dsi@administration.gov.pf
Tél. : (689) 40 54 43 54

ARTICLE 3 – TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL

La DSI est chargée de concevoir, gérer et sécuriser les infrastructures et services numériques nécessaires au fonctionnement des activités administratives. Elle veille à ce que les outils numériques utilisés respectent les normes en matière de protection des données, notamment celles prévues par le RGPD, et accompagne les agents de l’administration dans l’utilisation responsable de ces outils pour garantir la confidentialité et la sécurité de vos données.
Dans le cadre de ses missions, la DSI collecte et traite des données personnelles.

1) Finalités et bases légales

Les finalités et les bases légales des traitements mis en œuvre par la DSI sur les données des personnels sont :

Finalités	Bases légales
Gestion du courrier	Exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique – article 6-1 e)
Gestion des ressources humaines	Respect d’une obligation légale à laquelle le gouvernement est soumis – article 6-1 c code du travail et statuts de la fonction publique
Gestion des activités de la Déléguée à la protection des Données (DPO)	Respect d’une obligation légale à laquelle le Gouvernement est soumis – article 6-1 c) Règlement général sur la protection des données et loi informatique et libertés
Vidéo protection Contrôle des accès (Badges)	Intérêt légitime d’assurer la sécurité des personnels, du matériel et des systèmes d’information présents dans les locaux de la DSI. Article 6-1 f)
Mise à disposition, suivi du parc et maintenance des ressources et moyens numériques	Intérêt légitime d’assurer la bonne mise en œuvre des missions des agents en leur allouant les moyens numériques nécessaires. Article 6-1 f)
Assistance aux utilisateurs (Tauturu)	Intérêt légitime d’assurer le bon fonctionnement des outils nécessaires aux missions de l’administration Article 6-1 f)
Gestion de l’annuaire des agents de l’administration	Intérêt légitime de faciliter l’identification et la communication interne et d’assurer la transparence administrative. Article 6-1 f)
Sécurité des systèmes d’information	Intérêt légitime d’assurer le fonctionnement optimal et sécurisé des systèmes nécessaires aux missions et activités du Gouvernement et de son administration. Article 6-1 f)
Gestion des projets informatiques	Intérêt légitime d’améliorer la gestion et la coordination des projets et l’optimisation des ressources. Article 6-1 f) ou contrat passé avec les utilisateurs Article 6-1b)

2) Données traitées

Seules les données strictement nécessaires à ces finalités sont traitées. Lors de leur collecte, vous êtes informé si certaines données doivent être obligatoirement renseignées. Leur absence empêchera alors la DSI de répondre à vos demandes et de réaliser certains traitements.
L’ensemble des traitements des données des agents publics de l’administration fait l’objet d’une information au sein de la notice communiquée à votre arrivée dans l’administration. Nous vous invitons à la consulter et à contacter la DPO en cas de question.

3) Destinataires des données collectées

L’ensemble des données collectées est exclusivement réservé à la DSI.
Dans le cas où la DSI confie des activités de traitement de données à des sous-traitants, ces derniers seront notamment choisis pour les garanties qu’ils présentent en termes de fiabilité et de mesures de sécurité.
Dans le cadre de la fourniture de nos services ou dans l’exercice de nos activités, nous pouvons être conduits à transmettre ou donner accès à vos données aux destinataires suivants :
• les prestataires informatiques assurant la gestion et la maintenance de certains outils et du site internet ;
• le(s) service(s) de l’administration chargé(s) de la réponse à votre demande en fonction de sa nature ou impliqués dans certains processus administratifs ou comptables ;
La DSI peut être amenée à communiquer vos données à des tiers dans les cas où une telle communication est autorisée et requise par la loi ou une décision de justice, ou si cette communication est nécessaire pour assurer la protection et la défense de ses droits.

4) Données transférées à l’étranger

En cas de transfert de vos données vers un pays tiers à l’Union européenne, la DSI s’assure que le traitement est effectué conformément à la présente politique de protection des données personnelles et qu’il est encadré par l’un des mécanismes exigés par la réglementation permettant de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.

5) Durées de conservation

La DSI conserve vos données dans un environnement sécurisé pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pendant la durée de conservation minimale prévue par la législation applicable. Certaines données peuvent être conservées pour des durées plus longues exclusivement à des fins archivistiques, dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

ARTICLE 4 – DROITS DES PERSONNES

Conformément à la loi informatique et libertés et au RGPD, vous disposez de droits sur vos données (droit d’accès, droit de rectification, droit à l’effacement (droit à l’oubli), droit d’opposition, droit à la limitation du traitement, droit à la portabilité)
Faire une demande de droit ou poser une question sur l’utilisation de mes données
Vous pouvez également exercer vos droits par courrier postal : Déléguée à la Protection des Données à Direction du système d’information, BP 4574, 98713 PAPEETE.
Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

ARTICLE 5 – MESURES DE SECURITE

Compte tenu de l’évolution des technologies, des coûts de mise en œuvre, de la nature des données à protéger ainsi que des risques pour les droits et libertés des personnes, la DSI met en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir la confidentialité des données collectées et traitées et un niveau de sécurité adapté au risque.

ARTICLE 6 – MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITE

Toute modification de la présente politique sera communiquée et effective dès sa publication. Par conséquent, nous vous invitons à vous y référer afin de prendre connaissance de la dernière version disponible sur notre espace partagé « RGPD »
Pour toute information sur la protection de vos données, vous pouvez également consulter le site de la Commission Nationale de l’Informatique et des Libertés (CNIL) www.cnil.fr

Mention d’information – Gestion du courrier

La Direction du système d’information met en œuvre un traitement de données personnelles nécessaire à la gestion des courriers qu’elle reçoit ou envoie.

Responsable du traitement : le Gouvernement de la Polynésie française (Direction du système d’information- BP 4574 98713 Papeete).

Finalité et base légale du traitement : Le traitement a pour finalité la gestion des courriers reçus ou envoyés dans l’exercice de ses missions. Il est fondé sur la mission d’intérêt public du Gouvernement. Article 6 (1) e du RGPD.

Données collectées : Nom et prénom, Coordonnées professionnelles, Informations professionnelles (matricule, fonctions, service, organisme…), Contenu du courrier.

Durée de conservation des données : Les données sont conservées pendant 10 ans comptés à la fin de l’année civile de réception de la demande.

Destinataires des données : Les données sont accessibles aux personnels habilités de la DSI.

Sécurité des données : Des mesures de sécurité techniques et organisationnelles sont mises en place pour protéger les données contre tout accès non autorisé, modification, divulgation ou destruction.

Vos droits sur vos données : Vous disposez de droits sur vos données, notamment les droits d’accès, de rectification, le droit à la limitation et le droit d’opposition à leur traitement.

Contact : Ces droits s’exercent auprès de la déléguée à la protection des données (DPO) à dpo@administration.gov.pf ou par courrier à BP 4574 98713 Papeete. Vous pouvez également la contacter pour toute question relative à la protection de vos données.

La CNIL peut également être saisie d’une réclamation à www.cnil.fr

Mention d’information - Gestion des ressources humaines

Dans le cadre de la gestion de ses ressources humaines, le Gouvernement de la Polynésie française (Direction du système d’information BP 4574 98713 Papeete) collecte et traite vos données personnelles. Il est le responsable de traitement au sens du Règlement Général sur la Protection des Données (RGPD)

L’ensemble de ces traitements sont essentiellement mis en œuvre aux fins de respecter nos obligations légales (article 6, 1. c) du RGPD) et pour répondre à nos missions d’intérêt public (article 6, 1 e) du RGPD). Pour certains traitements, la base légale est celle de notre intérêt légitime (article 6, 1. f) du RGPD) ou de votre consentement (article 6, 1. a) du RGPD) pour vous fournir des services adaptés.

Nous vous invitons à consulter la notice d’information complète pour connaitre l’ensemble des modalités relatives à ces traitements mis en œuvre et notamment leurs finalités et bases légales, les destinataires des données, ainsi que les droits dont vous disposez en tant que personnel de l’administration.

Cette notice d’information est disponible sur le site de la DGRH Vos-donnees-personnelles.pdf ou auprès de la référente des ressources humaines de la DSI.

Contact : Pour toute question sur le traitement de vos données et sur vos droits, ou pour les exercer, vous pouvez contacter la déléguée à la protection des données (DPO) à dpo@administration.gov.pf ou par courrier à BP 4574 98713 Papeete.

La CNIL peut également être saisie d’une réclamation à www.cnil.fr

Mention d’information – Activités de l’équipe DPO

La déléguée à la protection des données et son équipe mettent en œuvre un traitement de données personnelles nécessaire à l’exercice de leurs activités.

Responsable du traitement : le Gouvernement de la Polynésie française (Direction du système d’information- déléguée à la protection des données – BP 4574 98713 Papeete).

Finalité et base légale du traitement : Le traitement a pour finalité la gestion des sollicitations reçues par la déléguée (demandes de conseils, accompagnement, formations, exercice de leurs droits par les personnes concernées…). Il est fondé sur l’obligation légale à laquelle le Gouvernement est soumis (respect du Règlement général sur la protection des données et de la loi informatique et libertés). Article 6 (1) c du RGPD.

Données collectées : Nom et prénom, Coordonnées professionnelles, Informations professionnelles (matricule, fonctions, service, organisme…), Contenu de la demande et situation du demandeur.

Leur fourniture est obligatoire. A défaut les demandes ne peuvent pas être traitées.

Durée de conservation des données : Les données sont conservées pendant 5 ans comptés à la fin de l’année civile de réception de la demande.

Destinataires des données : Les données sont accessibles aux membres de l’équipe DPO et aux personnels habilités du Gouvernement intervenant dans la gestion ou le suivi des demandes ainsi qu’aux prestataires informatiques.

Vos droits sur vos données : Vous disposez de droits sur vos données, notamment les droits d’accès, de rectification et le droit à la limitation de leur traitement.

Contact : Ces droits s’exercent auprès de la déléguée à la protection des données (DPO) à dpo@administration.gov.pf ou par courrier à BP 4574 98713 Papeete. Vous pouvez également la contacter pour toute question relative à la protection de vos données.

La CNIL peut également être saisie d’une réclamation à www.cnil.fr

Mention d’information – Vidéo protection

La Direction du système d’information (DSI) met en œuvre un système de vidéoprotection dans ses locaux. Ce système est installé aux entrées du service, dans les espaces de circulation et de stockage des équipements informatiques.

Responsable du traitement : le Gouvernement de la Polynésie française (Direction du système d’information BP 4574 98713 Papeete).

Finalité et base légale du traitement : Le traitement a pour finalité la sécurité la sécurité des personnes et des biens. Il est fondé sur notre intérêt légitime d’assurer la sécurité des personnels, du matériel et des systèmes d’information présents dans les locaux.

Durée de conservation des données : Les images sont conservées pendant 30 jours à compter de leur enregistrement puis supprimées. En cas d’incident, les images nécessaires aux investigations et éventuelles poursuites peuvent être conservées plus longtemps pour les besoins de ces procédures.

Destinataires des données : Les images sont accessibles aux personnels habilités et à la direction de la DSI, au prestataire fournisseur de la solution et le cas échéant, en cas d’incident (vol, acte de malveillance, dégradation, agression…), aux forces de l’ordre.

Vos droits sur vos données : Vous disposez de droits sur vos données, notamment les droits d’accès et de rectification, le droit à la limitation de leur traitement, le droit à l’effacement, le droit d’opposition et le droit à la portabilité.

La CNIL peut également être saisie d’une réclamation à www.cnil.fr

Mentions d’information – Mise à disposition d’outils numériques

Dans le cadre de ses missions, la Direction du système d’information (DSI) met à la disposition des personnels du Gouvernement et de son administration les outils numériques nécessaires à leurs activités.

Responsable du traitement : Gouvernement de la Polynésie française (Direction du système d’information BP 4574 98713 Papeete).

Finalités et base légale du traitement :  Mise à disposition d’outils, suivi du parc et maintenance des ressources et moyens numériques – Supervision. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Gouvernement de fournir des moyens numériques nécessaires à l’activité des personnels. Article 6 (1) f du RGPD.

Ce traitement est réalisé dans le respect de la charte informatique.

Données collectées : Nom et prénom, Coordonnées professionnelles, Informations professionnelles (matricule, fonctions, service, organisme…), Données de connexion (adresse IP, logs).

Destinataires des données : Les données sont destinées aux personnels habilités de la DSI et aux prestataires informatiques intervenant pour la fourniture des solutions et l’hébergement des données.

Durée de conservation des données : Les données sont conservées pendant toute la durée d’attribution des outils numériques.

Sécurité des données : Des mesures de sécurité techniques et organisationnelles sont mises en place pour protéger les données contre tout accès non autorisé, modification, divulgation ou destruction.

Hébergement :  Les données sont hébergées par la société Microsoft dans des centres de données situés en France. Ce transfert s’appuie sur des mécanismes tel que l’adhésion au Privacy Data Framework et les clauses contractuelles types approuvées par la Commission européenne.

Droits des personnes :  Vous disposez d’un droit d’accès et de rectification de vos données, de limitation de leur traitement, et sous certaines conditions, d’un droit à l’effacement et d’un droit d’opposition au traitement de vos données.

Contact :  Ces droits s’exercent auprès de la déléguée à la protection des données (DPO) à dpo@administration.gov.pf ou par courrier à BP 4574 98713 Papeete. Vous pouvez la contacter pour toute question relative à la protection de vos données.

La CNIL peut également être saisie d’une réclamation à www.cnil.fr