Objectif et portée de cette politique
L’Etablissement public du château, du musée et du domaine national de Versailles (EPV) est amené, dans le cadre de ses missions de service public, à collecter et à traiter des données à caractère personnel relatives à ses publics, ses partenaires, ses agents, ses fournisseurs et prestataires.
Ces traitements de données personnelles sont notamment encadrés par le Règlement général sur la protection des données (RGPD).
Traitement des données
Retrouvez les traitements réalisés sur les données personnelles des différents utilisateurs du site internet du Château, en application du Règlement Général sur la Protection des Données.
Retrouvez également :
En effet, les traitements de données personnelles sont susceptibles de révéler beaucoup de la vie des personnes physiques, y compris des éléments relevant de leur intimité, de leurs difficultés économiques ou sociales, de leur santé ou encore de leur vie privée ce qui peut conduire à des atteintes, éventuellement graves, à leurs droits et libertés fondamentaux.
La protection des données à caractère personnel revêt donc un enjeu démocratique, sociétal et éthique dont les législateurs européen et français se sont saisi, parfois de longue date, puisque la France s’est dotée, dès 1978, d’une législation en matière de protection des données à caractère personnel.
Le RGPD s’inscrit dans la continuité de ce que la France avait initié, en prenant en compte les spécificités actuelles induites par une automatisation et une informatisation de plus en plus prégnantes des informations relatives à nos vies privées et du traitement de nos données personnelles.
Il veille notamment à renforcer la transparence sur les traitements de données à caractère personnel mis en œuvre par les entreprises publiques ou privées, les administrations, les employeurs, l’Etat et ses collectivités dans la perspective d’informer et de protéger les personnes physiques.
En conséquence, cette réglementation n’interdit rien a priori. Tous les traitements de données à caractère personnel sont donc possibles, sous la seule réserve, qu’ils respectent notamment les principes de transparence, de licéité et de loyauté posés par le RGPD et que la sécurité et la confidentialité de ces données soient protégés. Pour les dire autrement, tout traitement qui respecte des principes éthiques en n’enfreignant pas les droits et les libertés fondamentaux des individus et qui s’inscrit dans les règles d’encadrement posées par le RGPD peut être mis en œuvre.
C’est dans ce cadre que s’inscrit la présente politique, qui a pour objet de présenter les engagements de l’Etablissement public en matière de protection de ces données à caractère personnel, qu’il soit lui-même responsable de leur traitement, ou qu’il réalise des traitements pour le compte d’un tiers dans le cadre d’une relation contractuelle (comme par exemple le groupement d’intérêt public « Centre de Recherche du Château de Versailles » dont il est membre).
Elle est publiée dans les rubriques « Données personnelles » du portail internet institutionnel du Château de Versailles, et de son intranet destiné au personnel.
définitions
Donnée à caractère personnel : il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Exemples : le prénom, le nom, l’adresse, la fonction, l’adresse mél, un numéro de carte bancaire, un numéro d’abonné ou d’adhérent, un numéro de téléphone, mais aussi un enregistrement audio ou vidéo permettant de reconnaître la voix ou le visage d’une personne…
Données à caractère personnel particulières : il s’agit de données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Personne concernée : il s’agit de toute « personne physique identifiable ».
Exemple : un visiteur qui achète en ligne un billet d’entrée au château de Versailles.
Responsable d’un traitement de données à caractère personnel : il s’agit de la personne physique, ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
L’EPV est le responsable de tous les traitements de données concernés par la présente politique de protection des données à caractère personnel.
Sous-traitant : il s’agit de la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Exemple : la société exploitant le Centre d’Appels du château de Versailles, à qui l’EPV confie certains actes de gestion de la relation avec les clients de la billetterie.
Exemple : l’EPV lui-même, lorsqu’il effectue des actes de gestion du personnel pour le compte du Centre de Recherche du Château de Versailles, est un sous-traitant de ce dernier.
Traitement de données à caractère personnel : constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Exemple : la création, le suivi puis l’archivage du compte personnel d’un internaute sur la billetterie en ligne de l’EPV.
les principes appliqués aux données personnelles
L’Etablissement public attache la plus grande importance au respect, par l’ensemble de ses personnels, fournisseurs, prestataires ou partenaires, des principes suivants dans le cadre de la collecte et l’exploitation des données à caractère personnel.
Une utilisation légitime et proportionnée
La collecte et le traitement de données à caractère personnel ne peuvent être mis en œuvre que pour des finalités déterminées, explicites et légitimes, relevant des missions de service public de l’établissement public ou de son fonctionnement ; il s’agit notamment de :
- la conservation, la présentation, l’enrichissement et la valorisation de son patrimoine matériel et immatériel ;
- la production et la diffusion de son offre culturelle ;
- l’information et l’accueil de ses publics de toutes natures ;
- la commercialisation de biens et de services entrant dans le cadre de ses missions ;
- la gestion de ses ressources humaines ;
- la gestion de ses finances, de sa comptabilité, de ses achats, de ses équipements et installations techniques, etc. ;
- et plus généralement le respect de ses obligations règlementaires, administratives et juridiques.
Par ailleurs les données à caractère personnel ne peuvent être utilisées ultérieurement, de manière incompatible avec les finalités pour lesquelles elles ont été initialement collectées ou traitées.
Pour chaque traitement de données à caractère personnel qu’il met en œuvre, l’Etablissement public s’engage à ne collecter et traiter que les données strictement nécessaires à l’objectif poursuivi.
Des traitements de données loyaux et transparents
L’Etablissement public informe les personnes concernées de chaque traitement qu’il met en œuvre par des mentions d’information :
- soit globales, via les rubriques « Données personnelles » de son portail internet institutionnel ou de l’intranet destiné à ses employés ;
- soit spécifiques, dans les applications et documents relatifs à un traitement donné (ex. un formulaire d’inscription en ligne ou papier).
Ces données sont collectées loyalement ; aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles n’en soient préalablement informées.
Une pertinence, adéquation et minimisation des données collectées
Les données à caractère personnel collectées, et les traitements qui sont mis en œuvre, sont strictement nécessaires à l’objectif poursuivi par le traitement. L’Etablissement public s’attache à minimiser les données collectées et à les tenir exactes.
Un respect des droits des personnes
Les personnes dont les données font l’objet de traitements par l’Etablissement public bénéficient de droits qui doivent pouvoir être exercés par elles et mis en œuvre par l’Etablissement public, dans le respect des dispositions légales et réglementaires applicables.
Ces droits portent notamment sur :
- l’accès aux données à caractère personnel de la personne concernée ;
- la rectification de ces données, dans le cas où elles seraient inexactes ou incomplètes ;
- l’opposition à un traitement de données personnelles ;
- l’effacement de données personnelles, ou « droit à l’oubli » ;
- la limitation des traitements de données personnelles, dans certains cas délimités par le RGPD ;
- le droit à la portabilité des données personnelles, d’un responsable de traitement à un autre responsable de traitement.
Une protection des données à caractère personnel dès la conception et par défaut
L’Etablissement public respecte les principes de protection des données à caractère personnel dès la conception et par défaut.
Ainsi, lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel, l’Etablissement public prend en compte le droit à la protection des données à caractère personnel.
Dans l’hypothèse d’un recours à des applications, services ou produits fournis par des tiers, l’Etablissement public s’assure auprès des fournisseurs, prestataires ou partenaires correspondants qu’ils répondent aux prescriptions légales et permettent d’assurer la protection des données qui y seront traitées.
la sécurité des données personnelles
L’Etablissement public met en place des mesures techniques et organisationnelles adaptées au degré de sensibilité des données à caractère personnel qu’il traite, en vue d’assurer l’intégrité et la confidentialité de ces données et de les protéger contre tout accès malveillant, toute perte, altération ou divulgation à des tiers non autorisés.
L’Etablissement public effectue régulièrement des audits afin de vérifier la bonne application opérationnelle des règles relatives à la sécurité des données.
Ainsi, il s’engage à prendre les mesures de sécurité physiques, techniques et organisationnelles nécessaires pour :
- protéger ses activités ;
- préserver la sécurité et la confidentialité des données à caractère personnel qu’il traite ;
- empêcher tout accès, modification, déformation, divulgation, destruction non autorisés relatifs à ces données.
L’Etablissement public impose notamment à ses fournisseurs, prestataires et partenaires, dans les contrats, marchés publics ou conventions qu’il passe avec eux :
- une utilisation des données à caractère personnel uniquement pour assurer la gestion des services qu’ils doivent fournir contractuellement ;
- un respect strict de la législation et de la règlementation applicables en matière de données à caractère personnel ;
- la mise en œuvre de toutes les mesures techniques et organisationnelles nécessaires pour assurer la protection des données à caractère personnel qu’ils peuvent être amenés à traiter pour le compte de l’Etablissement public.
la gouvernance des données personnelles
L’Etablissement public a mis en place une organisation et une gouvernance spécifiques des données à caractère personnel qu’il traite (procédures et instances de pilotage, de suivi opérationnel, de gestion des crises).
Il a également désigné un délégué à la protection des données qui a notamment pour missions :
- d’informer et de conseiller l’EPV sur les obligations qui incombent à celui-ci en matière de protection des données personnelles de ses agents, de ses publics, de ses fournisseurs, de ses prestataires et plus généralement de ses partenaires ;
- de contrôler, d’une manière indépendante, le respect de ces obligations – et tout particulièrement le respect du droit d’accès, de rectification et d’effacement des données personnelles ;
- d’assurer la liaison avec l’autorité de contrôle française, à savoir la Commission Nationale Informatique et Libertés (CNIL).
L’Etablissement public assure la formation de ses agents chargés de mettre en place des traitements de données à caractère personnel, et met à leur disposition les informations et appuis nécessaires.
Il met en place un contrôle interne de la gestion des données à caractère personnel, et peut recourir à des audits, internes ou externes, pour s’assurer de la qualité du dispositif et améliorer celui-ci.
informations et contact
Pour toute information complémentaire sur la politique de protection des données à caractère personnel du Château de Versailles, vous pouvez poser une question par messagerie électronique à l’adresse : donneespersonnelles@chateauversailles.fr.
Le délégué à la protection des données de l’établissement public est actuellement en cours de désignation, suite à la fin de mission du précédent délégué.