Politique de protection des données

La présente politique de protection des données à caractère personnel a pour objectif d’informer les usagers du site KorriGo.bzh sur les engagements et mesures pris afin de veiller à la protection de leurs données à caractère personnel, dans le cadre des traitements réalisés par la Région Bretagne et la société Cityway, exploitante du site KorriGo.

Cette démarche s’inscrit dans le cadre du dispositif de protection des données à caractère personnel :

• Le Règlement Général sur la Protection des Données n°2016/679 du Parlement et  du Conseil du 27 avril 2016,
• La loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.

La politique de confidentialité pourra évoluer en fonction du contexte légal et réglementaire et de la doctrine de la Commission Nationale de l’Informatique et des Libertés (CNIL). Dans ce cas, les nouvelles versions prendront effet au moment de leur publication.

Objet du site KorriGo.bzh

Le site KorriGo.bzh est le système d’information multimodale de la Région Bretagne. Il comporte les fonctionnalités suivantes :

•  Calcul d’itinéraire multimodale
  •    Informations horaires et info trafic des réseaux partenaires
  •    Informations pratiques sur l’utilisation de la carte KorriGo
  •    Informations évènementielles KorriGo
  •    Informations sur les services de mobilité et du quotidien accessibles avec la carte KorriGo
  •    Création de compte Client Mon-compte.bzh avec gestion des profils et favoris
  •    Service Après-Vente
•   Formulaire de contact

Qui sommes-nous ?

La Région Bretagne est responsable des traitements portés par le site KorriGo.bzh :

Conseil Régional de Bretagne, Collectivité territoriale de Région, immatriculée sous le numéro 233 500 016, ayant son siège au 283 Avenue Général Patton, CS 21101 35700 RENNES représentée par sa présidence.

La société Cityway est sous-traitant du Responsable de traitement concernant l’ensemble des traitements de données réalisés via le site KorriGo.bzh : Cityway SA, ayant son siège social au 85 rue Pierre Duhem - CS 30557, 13 594 AIX EN PROVENCE - Cedex 3.

Le responsable de traitement a nommé un Délégué à la Protection des Données (DPD). Ce dernier a pour mission de veiller au respect des dispositions de la règlementation sur la protection des données à caractère personnel.

Le DPD est consulté préalablement à la création, la mise en œuvre ou la modification d’un dispositif impliquant le traitement de données à caractère personnel. Il recense dans un registre la liste de l’ensemble des traitements de données à caractère personnel de la Région Bretagne au fur et à mesure de leur mise en œuvre.

Le DPD veille au respect des droits des personnes (droit d’accès, de rectification, d’opposition, d’effacement, de limitation du traitement et de portabilité le cas échéant).

Afin d’exercer ces droits, les personnes concernées peuvent saisir le DPD par email à l’adresse suivante informatique-libertes@bretagne.bzh.

Les données à caractère personnel traitées

Dans le cadre de la gestion de l’utilisation du site KorriGo.bzh, la Région Bretagne collecte les données suivantes :

 

Catégorie de données traitées	Données traitées
Données relatives à l’identification des personnes physiques	-        Nom / Prénom -        Civilité -        Adresse mail et adresse postale -        Numéro de téléphone -        Informations relatives au transport pour les alertes trafic (lignes, réseaux, arrêts…)
Données de connexion	-        Cookies de mesure de fréquentation et cookies d’utilisation du site (pages web visitées notamment) -        Logs de connexion -        Localisation dans le cadre d’une recherche d’itinéraire

Les données collectées le sont, selon les cas :

• Directement auprès des usagers concernant les données liées à l’identification ;
• Indirectement via le navigateur internet utilisé.

Objectifs de la collecte et durées de conservation des données personnelles

Les traitements mis en œuvre par le responsable de traitements répondent à des finalités explicites, légitimes et déterminées.

En fonction de la finalité du traitement, la durée de conservation des données à caractère personnel des usagers est susceptible de varier.

Le responsable de traitements conserve les données à caractère personnel pour la durée nécessaire à la réalisation de la finalité poursuivie ou pour remplir ses obligations légales.

Le tableau ci-dessous décrit les finalités pour lesquelles les données sont collectées ainsi que les durées de conservation associées :

Finalités poursuivies	Base légale du traitement	Durée de conservation
Gestion du compte client	Exécution des CGU	Les données sont conservées jusqu’à la suppression du compte client
Authentification	Exécution des CGU	Les données sont conservées jusqu’à la suppression du compte client
Diffusion d’informations	Consentement	Jusqu’au retrait du consentement
Réponse aux demandes / réclamations	Intérêt légitime	5 ans à compter de la clôture de la demande

Destinataires des données à caractère personnel

En interne, les destinataires des données sont les personnes habilitées à les traiter dans les services de la Région Bretagne et de la société Cityway.

Le responsable de traitements ne loue pas, ne cède pas et ne vend pas les données à caractère personnel des usagers, y compris à des fins de prospection commerciale.

En revanche, les données à caractère personnel peuvent faire l’objet d’un traitement au nom et pour le compte de la Région Bretagne par des prestataires de services de confiance. Dans cette hypothèse, la Région Bretagne s’assure que tous les prestataires avec lesquels elle travaille préservent la confidentialité et la sécurité des données.

La Région Bretagne peut notamment transférer des données personnelles :

• au prestataire d’hébergement des données ;

La Région Bretagne peut également communiquer les données de l’usager :

• aux agents des organismes assurant la gestion des services publics chargés des opérations administratives et comptables, en particulier les agents ayant à connaître des données et des résultats de traitements et leurs supérieurs hiérarchiques ;
• aux services de l'Etat habilités à exercer un contrôle en la matière ;
• aux officiers publics ou ministériels;
• aux autorités financières, judiciaires, administratives ou agences d’Etat, organismes publics et autorités de régulation auprès desquelles la Région Bretagne peut, notamment dans le cadre d’une procédure, d’un litige, d’un contrôle et/ou d’une requête être tenue de divulguer certaines données, sur demande et dans la limite de ce qui est permis par la réglementation.

Enfin, certaines données anonymisées peuvent être transmises à des tiers. Ces données sont alors transmises sous une forme ne permettant plus l’identification des personnes.

Stockage des données à caractère personnel

La Région Bretagne réalise l’ensemble des traitements des données à caractère personnel des données personnelles liées à KorriGo.bzh sur le territoire de l’Union Européenne (UE).

Les données collectées au travers le site KorriGo.bzh sont hébergées sur des serveurs situés en France.

Sécurité des données à caractère personnel

La Région Bretagne s’engage à prendre toutes mesures afin d’assurer la sécurité et la confidentialité des données à caractère personnel de l’usager et notamment à empêcher qu’elles ne soient endommagées, effacées ou que des tiers non autorisés y aient accès.

En cas d’incident de sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation et/ou l’accès non autorisé aux données à caractère personnel des usagers, la Région Bretagne s’engage à procéder à toute notification utile conformément à la règlementation sur la protection des données personnelles.

Les droits relatifs à la protection des données à caractère personnel

En application de la Règlementation sur la protection des données personnelles, les usagers disposent, selon les cas, des droits suivants :

Droit à l’information	L’usager est informé de façon claire, transparente, compréhensible et aisément accessible sur la manière dont la Région Bretagne utilise ses données à caractère personnel et sur ses droits, notamment grâce à cette politique.
Droit d’accès	L’usager peut avoir communication d’une copie de ses données à caractère personnel en téléchargeant un fichier via une fonctionnalité disponible sur le site.
Droit à la portabilité	L’usager peut recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que la Région Bretagne puisse y faire obstacle. Ce droit ne porte que sur les données que l’usager a fourni, et sur la base du consentement ou de l’exécution des conditions générales d’utilisation de KorriGo.bzh.
Droit de retirer son consentement	L’usager peut indiquer à la Région Bretagne qu’il retire son consentement au traitement de ses données personnelles (si le traitement est basé sur le consentement).
Droit de rectification	L’usager peut demander à la Région Bretagne de rectifier ses données à caractère personnel si elles sont inexactes ou périmées ou de les compléter si elles sont incomplètes, en modifiant directement ses données sur l’interface du site.
Droit d’opposition	L’usager peut contacter la Région Bretagne pour lui faire part de son souhait de ne plus voir ses données traitées dans le cadre des finalités décrites.
Droit à l’effacement	L’usager peut demander la suppression de ses données à caractère personnel en contactant la Région Bretagne via l’adresse suivante : informatique-libertes@bretagne.bzh
Droit à la limitation	L’usager peut demander la limitation des données collectées dans le cadre du traitement de ses données à caractère personnel.
Droit d’introduire une réclamation	L’usager a le droit de saisir et d’introduire une réclamation auprès de l’autorité de protection des données compétente au sein de son pays pour contester.

Pour exercer ces droits, les usagers peuvent écrire à l’adresse suivante : informatique-libertes@bretagne.bzh

En cas de doute raisonnable sur l’identité de l’usager à l’origine de la demande, la Région Bretagne se réserve le droit de lui demander des informations ou documents supplémentaires afin de vérifier son identité. La Région Bretagne s’engage à répondre aux demandes d’exercice de droits dans les meilleurs délais et en tout état de cause dans le respect des délais légaux.