Protection des données à caractère personnel

Sommaire

• Principes applicables par défaut à tous les traitements de données opérés dans le cadre des JRGPD
• Liste des traitements de données et spécificités
• Outils statistiques et données de consultation des sites www.jrgpd.fr et direct2020.jrgpd.fr
• Outils de communication avec les membres des #JRGPD (et leur accès à la plateforme des #JRGPD)
• Liste de diffusion (ou mailing-list)
• Informations collectées par messagerie ou par d'autres moyens
• Données collectées lors du colloque INFORM du 21 novembre 2018
• Données d'inscription aux JRGPD
  • Données d'identification et de participation
  • Données destinées à établir des statistiques anonymes
  • Sons et images destinés à améliorer et promouvoir l'évènement
  • Données de contact et de facturation
  • Données de paiement

Sauf mention contraire, le responsable des traitements de données opérés pour le compte des JRGPD est Estelle De Marco en sa qualité de représentant légal de la société Inthemis. Elle peut être contactée à cette adresse.

Personnel d’Inthemis, comité d'organisation des JRGPD, ainsi que les sous-prestataires impliqués dans le développement des sites Internet des #JRGPD et de leurs activités, lorsque la communication de données personnelles est strictement nécessaire à l'exercice de leur mission. Aucune communication à des tiers n’a lieu sans consentement exprès de la personne concernée.

Stockage interne par Inthemis, à Montpellier (France), dans un répertoire chiffré. Des adresses email peuvent par ailleurs être stockées sur un serveur Alwaysdata (France), dans un répertoire administré par Inthemis.

Conformément au RGPD (arts. 15 à 22), vous disposez du droit de retirer votre consentement, d’un droit d'accès aux informations qui vous concernent, d’un droit à la rectification ou à l’effacement des données qui vous concernent, du droit à la limitation du traitement de ces données, du droit de vous opposer au traitement, du droit à la portabilité de vos données et du droit d’introduire une réclamation auprès de la CNIL.

Les droits mentionnés ci-dessus, hors action auprès de la CNIL, peuvent être exercés à tout moment à cette adresse.

Notez toutefois que dans les situations où les données que nous détenons sur vous ne nous permettent pas de vous identifier (exemple d'une simple adresse email), nous ne serons pas en mesure de répondre à toutes vos demandes comme l'explique l'article 11 du RGPD.

Spécificités concernant ces traitements :

• Données concernées : données mentionnées ci-dessus.
• Responsable du traitement : conforme à la première partie de cette page.
• Finalité de l'accès aux données : consultation statistique, exclusivement.
  Ces informations peuvent donner lieu à communication de statistiques anonymes de consultation.
• Destinataires : Le personnel d'Inthemis, le comité d'organisation des JRGPD, leurs sous-prestataires éventuels impliqués dans le développement des sites www.jrgpd.fr et direct2020.jrgpd.fr, ainsi que Matomo, intervenant en qualité de sous-traitant pour la collecte de données statistiques.
• Lieu de stockage : Sur un serveur hébergé en Allemagne, administré par Matomo. A moyen terme, il est prévu que ces données soient migrées sur le serveur des JRGPD, hébergé en France.
• Fondement juridique de l'accès aux données : intérêt légitime de connaître les statistiques et origines de fréquentation du site direct2020.jrgpd.fr, à des fins d'amélioration de l'organisation, de la promotion et de la pérennisation des JRGPD.
• Durée de conservation des données : le temps de la vie du site jrgpd.fr.

Spécificités concernant ces traitements :

• Données concernées : données mentionnées ci-dessus.
• Responsable du traitement : conforme à la première partie de cette page.
• Finalité de l'accès aux données : exclusivement de mesurer la bonne réception des messages et la qualité du service.
• Destinataires : le personnel d'Inthemis et ses sous-prestataires éventuels impliqués dans le développement du site direct2020.jrgpd.fr, ainsi que Alwaysdata, intervenant en qualité de sous-traitant pour la collecte de ces données.
• Lieu de stockage : sur un serveur Alwaysdata hébergé en France.
• Fondement juridique de l'accès aux données : intérêt légitime de mesurer la bonne livraison des messages permettant l'accès à la plateforme des JRGPD pour les membres et leur information concernant les nouveaux services qui leur sont rendus dans le cadre de leur adhésion, gestion des difficultés techniques.
• Durée de conservation des données : six mois maximum.

Nous proposons aux personnes qui ne sont pas membres des JRGPD de s'inscrire à une liste de diffusion, afin d'être tenues informées des nouveautés concernant l'organisation et les activités des JRGPD. D'autres listes de diffusion sont par ailleurs à la disposition des membres des #JRGPD.

Spécificités concernant ces traitements :

• Données concernées : adresse email.
• Finalité : concernant les lettres d'information, la finalité est de vous tenir informés des activitées liées aux JRGPD, exclusivement. La finalité des listes de diffusion proposées aux membres correspondent à l'objet des listes concernées, annoncé sur la plateforme des JRGPD.
• Fondement juridique : votre consentement, que vous manifestez en vous inscrivant à la liste de diffusion ou en nous demandant par un autre moyen de vous y inscrire.
• Responsable de traitement et destinataires : conforme à la première partie de cette page.
• Lieu de stockage : serveur Alwaysdata, en France, dans un répertoire administré par Inthemis.
• Durée de conservation des données : le temps de votre inscription à la liste de diffusion.
• Exercice de vos droits : conforme à la première partie de cette page. Notez que vous pouvez vous désinscrire de la liste de diffusion à tout moment en cliquant sur le lien qui se trouve en bas du dernier message reçu.
  A compter de votre désinscription, votre adresse email sera supprimée du serveur Alwaysdata en lien avec la mailing list concernée et l'équipe ou le comité d'organisation des JRGPD n'en conservera aucune trace.

Les informations collectées par le comité d'organisation des JRGPD par messagerie électronique ou directement voire indirectement dans le cadre d’autres activités sont traitées dans les conditions suivantes , sauf autre précision au moment de la collecte :

• Fondement juridique :
  • Traitement de données destinées à répondre à un message : consentement des personnes concernées.
  • Traitement de données destinées à contacter une personne : consentement ou intérêt légitime d'Inthemis ou du comité d'organisation des JRGPD d’initier une communication avec des personnes ayant publié ou communiqué à ce comité ou à l'un de ses membres leurs coordonnées à des fins de contact professionnel, en lien avec l'une des activités nécessaires à l'organisation des JRGPD.
  • Autres traitements : consentement de la personne concernée, lorsque le traitement de données n'est pas nécessaire à l'exécution d'un contrat ou de mesures pré-contractuelles prises à la demande de cette dernière, ou intérêt légitime du responsable de traitement (exemple : archivage à des fins de preuve ou conservation de la mémoire de précédents échanges).


• Finalités :
  • La finalité de tout traitement ou communication est soit exclusivement liée aux finalités pour lesquelles les personnes concernées ont publié, communiqué ou consenti à la communication de leurs coordonnées, soit d’émettre des propositions ou requêtes liées à la fonction ou aux compétences professionnelles des personnes concernées.
  • Les finalités des autres traitements (conservation, accès, mise à jour) sont, outre des obligations légales tenant à la qualité du traitement et des données, des finalités d’archivage à des fins de preuve et/ou aux fins de (1) conserver la mémoire de précédents échanges et (2) de pouvoir recontacter les personnes concernées, dans l’une des finalités mentionnées au paragraphe précédent.


• Responsable du traitement : Estelle De Marco. Dans certains cas particuliers, d'autres membres du comité d'organisation des JRGPD sont susceptibles d'être co-responsables de traitement.


• Durée de conservation : le temps nécessaire à la réalisation des finalités ayant présidé à la collecte des données et à leur traitement, dont le temps d'assurer la communication et/ou de répondre à son objet, et lorsque nécessaire le temps de la prescription des actions en justice.


• Destinataires, lieu de stockage, exercice de vos droits : conforme à la première partie de cette page.

Les informations nécessaires à l'enregistrement des participants au colloque INFORM, collectées par Inthemis, ont été conservées de manière strictement confidentielle et n'ont pas été partagées. Elles n'ont donné lieu qu'à création de listings pour les besoins du contrôle des participations le jour de l'évènement, comportant nom, prénom, fonction et signature.

Ces listings ont été adressés à la Commission européenne via le coordinateur du projet INFORM, LIF, après floutage des noms, prénoms et signatures (seule la fonction restant en clair), les originaux étant conservés par Inthemis.

Spécificités concernant ce traitement :

• Données concernées : groupe 1 : nom, prénom, fonction, signature ; groupe 2 : adresse email.
• Finalité : groupe 1 : remplir nos obligations contractuelles vis à vis de la Commission européenne (comptabilisation et identification des participants à l'évènement) ; groupe 2 : vous informer sur les suites des INFORM days.
• Fondement juridique : groupe 1 : intérêt légitime d'Inthemis, en sa qualité de partenaire du projet INFORM, à satisfaire à son obligation de faire rapport des résultats de ses activités de dissémination auprès de la Commission européenne ; groupe 2 : votre consentement, qui a été sollicité lors de la collecte.
• Responsable de traitement : groupes 1 & 2: Estelle De Marco, en sa qualité de représentant légal de la société Inthemis.
• Destinataires : groupes 1 & 2: personnel d'Inthemis. Groupe 1 : un listing faisant mention des nom, prénom, fonction et signature de chaque participant a par ailleurs été adressé à la Commission européenne, après floutage de ces informations hors la fonction, maintenue en clair. Les noms, prénoms, fonctions et signatures peuvent toutefois faire l'objet d'un contrôle de la Commission européenne pendant les cinq années suivant le dernier versement de la subvention due au titre du projet.
• Lieu de stockage : stockage interne par Inthemis, à Montpellier (France), dans un répertoire chiffré. Les adresses électroniques sont également conservées sur un serveur OVH (France), dans un répertoire administré par Inthemis.
• Durée de conservation des données : ces données seront supprimées cinq ans après le dernier versement de la subvention due au titre du projet par l'Union européenne (soit octobre 2024), à l'exception de l'adresse email des personnes qui ont fait la demande ou qui ont consenti explicitement à l'envoi d'informations concernant les suites du projet INFORM.
• Exercice de vos droits : pour toute demande d'informations ou exercice de vos droits en lien avec ce traitement de données, n'hésitez pas à nous contacter à cette adresse.

Dans le cadre des inscriptions aux #JRGPD2020, nous avons collecté plusieurs informations concernant les participants et les personnes qui procédaient à leur inscription.
Dans le cadre de la réouverture des inscriptions aux #JRGPD, depuis janvier 2021, nous collectons également plusieurs informations concernant les membres des #JRGPD et les personnes qui procèdent à leur inscription.

Le responsable de ces traitements est Estelle De Marco en sa qualité de représentant légal de la société Inthemis. Elle peut être contactée à cette adresse.

Vos droits peuvent être exercés conformément à la première partie de cette page.

Les autres caractéritiques des traitements dépendent des informations collectées et sont précisées ci-dessous.

• Groupe 1 : Données d'identification et de participation
• Données concernées
• Nom et prénom (réponse obligatoire)
• Jours de participation aux JRGPD 2020 (obligatoire)
• Participation à titre privé ou professionnel (réponse facultative)
• En cas de participation à titre professionnel, fonction et structure d'exercice (réponse facultative)
• Si applicable, groupe d'enfants ou d'étudiants généralement encadrés (réponse facultative)


• Finalités : les données d'identification (prénom, nom, jours de participation) étaient nécessaires pour assurer l'organisation de l'évènement de 2020. Elles ont également été utilisées, sur demande, pour établir des attestations de présence et des conventions de formation professionnelle. Ces données nourrissent enfin une finalité de sécurisation des paiements, qui ne sera pas prise en compte dans cette section concernant le groupe 1 de données, mais sera développée dans la section relative au groupe 5 de données.
  Les nom et prénom ont également été conservés pour permettre la participation des personnes concernées au Cycle 2021 des #JRGPD.
  Les données concernant fonctions, structure d'exercice et groupes de mineurs encadrés ont été utilisées pour optimiser l'adaptation des discours des intervenants aux attentes des participants. Elles seront utilisées à l'avenir pour adapter les ressources des JRGPD aux besoins de leurs membres ainsi que pour établir des statistiques anonymes.


• Fondement juridique : lorsque les données ne sont pas nécessaires à l'exécution de la relation contractuelle, intérêt légitime de l'Organisateur d'organiser l'évènement, d'établir des attestations de présence, d'optimiser l'adéquation entre les présentations /ressources de la plateforme et les attentes des participants ainsi que de générer des statistiques de participation anonymes.


• Destinataires : personnel d'Inthemis ainsi que ses sous-prestataires chargés des systèmes d'information, de leur sécurité et des statistiques, dont, en 2020, une personne habilité de la société COM'EVENT qui assurait la maintenance de la base de données des participants et du module d'inscription. Ces informations, expurgées de celle relative aux mineurs encadrés, peuvent également être accédées en cas de besoin par les organismes habilités pour connaître des dossiers de formation professionnelle, ainsi que par les prestataires de l'Organisateur intervenant dans l'organisation de l'évènement ou des JRGPD de manière plus générale.


• Durée de conservation : Les données autres que l'information concernant les groupes de mineurs encadrés sont conservées en base active durant un maximum de 12 mois ou, pour les nom et prénom, jusqu'au terme de la participation de la personne concernée aux JRGPD. Elles ne peuvent être accédées qu'en cas de besoin justifié. Elles sont ensuite exportées et conservées sous forme d'archives sécurisées le temps de la prescription des actions en justice.

  L'information concernant les groupes de mineurs encadrés par les participants aux JRGPD2020 n'est plus accessible à l'équipe des JRGPD. Concernant les nouveaux inscrits, elle sera retirée de la base de données à l'issu d'une période de 3 mois suivant l'inscription et restera conservée de manière indirectement personnelle (associée à un code permettant de retrouver l'identité de la personne en consultant la base de données, afin de pouvoir vérifier d'éventuelles erreurs de manipulation des données anonymisées) pendant un maximum de 12 mois. Elles sont définitivement anonymisées à ce terme.



• Lieu et méthode de stockage : La base de données active des JRGPD2020 est stockée sur un serveur sécurisé OVH, situé en France. Les données concernant les nouveaux inscrits sont stockées de manière interne par Inthemis, à Montpellier (France), dans un répertoire chiffré ne pouvant être accédé que par son dirigeant. Les données qui sont supprimées de ces bases puis conservées sous forme de fichier distinct indirectement nominatif sont stockées de manière interne par Inthemis, à Montpellier (France), dans un répertoire chiffré distinct ne pouvant être accédé que par son dirigeant.


• Groupe 2 : Données destinées à établir des statistiques anonymes (réponses facultatives)
• Données concernées
  • Civilité (M., Mme, Mx)
  • Ville et pays de résidence
  • Année de naissance ou tranche d'âge


• Finalités : ce groupe de données a pour finalité d'établir des statistiques anonymes de participation aux JRGPD.


• Fondement juridique : consentement des personnes concernées doublé de l'intérêt légitime de l'Organisateur de générer des statistiques de participation anonymes, notamment afin de promouvoir et améliorer les ressources des JRGPD et le contenu des Journées RGPD annuelles.


• Destinataires : personnel et éventuels sous-traitants d'Inthemis chargés des systèmes d'information et des statistiques ainsi que, jusqu'à l'issue de l'évènement 2020, une personne habilité de la société COM'EVENT, sous prestataire ayant assuré la mise en place et le bon fonctionnement de la base de données des participants et du module d'inscription. Toute communication à des tiers n'est faite que de manière totalement anonymisée (sans possibilité de réidentification de la personne concernée).


• Durées de conservation : Dans les 3 mois suivant l'évènement ou l'inscription, ces informations sont exportées dans un fichier séparé et expurgées de la base de données des participants. Elles sont conservées de manière indirectement personnelle (car comportant un code permettant de retrouver l'identité de la personne en consultant la base de données, afin de pouvoir vérifier d'éventuelles erreurs de manipulation) pendant un maximum de 12 mois. Elles sont définitivement anonymisées à ce terme.


• Lieu et méthode de stockage : La base de données active concernant les JRGPD 2020 est stockée sur un serveur sécurisé OVH, situé en France. Les données concernant les nouveaux inscrits sont stockées de manière interne par Inthemis, à Montpellier (France), dans un répertoire chiffré ne pouvant être accédé que par son dirigeant. Les données qui sont supprimées de cette base puis conservées sous forme de fichier distinct indirectement nominatif sont stockées de manière interne par Inthemis, à Montpellier (France), dans un répertoire chiffré distinct ne pouvant être accédé que par son dirigeant.



• Groupe 3 : Sons et images destinés à améliorer et promouvoir l'évènement
• Données concernées : des prises de son et d'image (photographies, vidéos et/ou bandes sonores) peuvent être effectuées lors des évènements organisés dans le cadre des JRGPD.


• Finalités : ces prises d'image et de son peuvent avoir pour finalité (1) de permettre l'organisation de l'évènement en ligne et/ou sa retransmission et/ou rediffusion, (2) de faciliter les interactions lors des différentes sessions des JRGPD, par l'intermédiaire d'écrans ; (3) de produire images, bandes son et/ou films longs et courts à des fins de retranscription, de partage des connaissances et de promotion et soutien de l'édition suivante des JRGPD, à titre ou non onéreux.


• Fondement juridique : ce traitement est réalisé sur le fondement juridique de l'intérêt légitime du responsable de traitement (organisation de l'évènement électronique, mémoire de l'évènement, dynamisation, promotion et soutien de l'évènement, contribution au partage de connaissances).


• Vos droits : concernant les diffusions ultérieures à l'évènement, toutes les précautions sont prises afin que la dignité et l'image des personnes filmées soient respectées. Vous disposerez par ailleurs d'un droit de rectification ou de suppression, selon l'opération la plus à même de vous anonymiser sans dénaturer le film, l'image ou la bande sonore en question, si la diffusion de ce dernier ou de cette dernière excède les limites de notre droit à l'information et à la création artistique, voire si cette anonymisation peut être effectuée sans porter atteinte à ces derniers droits.


• Destinataires : la retransmission des JRGPD 2020 ne sera accessible qu'aux personnes incrites à l'évènement. Après l'évènement, les films, images et sons non expurgés d'éventuelles prises de son ou d'image portant manifestement atteinte à la dignité de personnes ne seront consultés ou accédés que par le personnel d'Inthemis et ses prestataires dont la mission sera de retravailler le format et le contenu de ces films et images. Les destinataires des produits expurgés de ces images et sons sont potentiellement illimités.


• Durée de conservation : les images et sons portant manifestement atteinte à la dignité de personnes seront supprimés ou anonymisés au moment du constat de leur nature. Les films, images et bandes sonores expurgés de ces séquences seront conservés sans limitation de durée.


• Groupe 4 : Données de contact et de facturation
• Données concernées :
  • Adresse email
  • Données nécessaires à la facturation (siège social, adresse de facturation, n° de TVA si applicable)
  
  
• Finalités : l'adresse email a été collectée et conservée afin de vous contacter en lien avec l'organisation de l'évènement ainsi que de vous adresser ensuite vos codes d'accès à la plateforme des JRGPD (vous donnant accès à la redifusion des journées pendant un an minimum). Le traitement des autres informations composant ce groupe de données a eu pour finalité de permettre d'établir des factures conformément à la loi. Par ailleurs, le traitement de l'adresse email et de l'adresse de facturation nourrit une finalité de sécurisation des paiements, qui ne sera pas prise en compte dans cette section concernant le groupe 4 de données, mais sera développée dans la section relative au groupe 5 de données.


• Fondement juridique : concernant l'adresse email, information nécessaire à l'exécution du contrat de prestation ; concernant les autres informations, obligations légales en matière de facturation.


• Destinataires : personnel d'Inthemis exclusivement ainsi que, lorsque nécessaire, son cabinet comptable. Les sous-prestataires d'Inthemis chargés des systèmes d'information et de leur sécurité sont également susceptibles, en cas de besoin lié à leurs missions, accéder à ces informations de manière casuistique.


• Durée de conservation : le temps de la prescription des obligations de conservation de documents comptables et le temps de la prescription des actions en justice. Les adresses e-mail des participants seront conservées le temps de cette participation.


• Lieu et méthode de stockage : Les adresses email des participants ont été conservées sur un serveur OVH, en France, dans un répertoire administré par Inthemis, jusqu'en avril 2021. Elles sont depuis lors conservées sur un serveur d'Alwaysdata (France) dans les mêmes conditions. Une copie de ces adresses est conservée de manière interne par Inthemis, dans un répertoire chiffré ne pouvant être accédé que par son dirigeant. Les autres informations sont stockées de manière interne par Inthemis, à Montpellier (France), dans un répertoire chiffré concernant les documents électroniques.




• Groupe 5 : Données de paiement
• Données concernées :
  • Données bancaires (n° de CB, date de péremption, cryptogramme)
  • Panier d'achat via un cookie déposé sur l'ordinateur du client lors de l'inscription.
  • Nom, prénom, adresse email et adresse de facturation.
  
  
• Finalités : Le traitement des données bancaires et le cookie de suivi du panier d'achat ont pour finalité de permettre le paiement en ligne des billets d'entrée. Le traitement de ces informations ainsi que des nom, prénom, adresse email et adresse de facturation a pour finalité d'assurer la sécurité des transactions et la lutte contre la fraude.


• Fondement juridique : Le traitement des données bancaires et l'envoi d'un cookie lié au panier d'achat sont nécessaires à la relation pré-contractuelle ou contractuelle liant l'organisateur et le client. Le traitement des autres informations est basé sur l'intérêt légitime de l'organisateur et de Stripe, son sous-traitant concernant le paiement bancaire, d'assurer la sécurité des paiements effectués et de lutter contre la fraude.


• Destinataires : les données de paiement sont traitées exclusivement par Stripe (https://stripe.com) afin d'assurer le paiement. Elles sont conservées exclusivement sur la plateforme de Stripe, associées aux nom, prénom, adresse email et adresse de facturation. Seuls le dirigeant d'Inthemis et une personne habilitée de son sous-prestataire COM'EVENT auront un accès sécurisé à cette plateforme, qui ne sera utilisé qu'en cas de problème ne pouvant être résolu sans un tel accès, son accès aux informations bancaires n'étant que partiel (limité aux 4 derniers chiffres du numéro de CB).


• Durée de conservation : le code de sécurité et le cookie permettant de suivre la constitution du panier jusqu'à l'achat sont supprimés dès la fin de la transaction. Les autres informations (numéro de carte bancaire, date d'échéance, nom, prénom, adresses mail et de facturation) sont conservées par Stripe le temps de la prescription des contestations (13 ou 15 mois selon que le paiement est ou non différé), puis si nécessaire le temps de la prescription des actions en justice. Elles sont détruites par Stripe à ce terme.