Traitement des données à caractère personnel
Cette partie a pour but d'exposer aux utilisateurs/utilisatrices du site https://www.logicielcantine.fr/sivu-chauffry-stdenis (« Site »):
- la manière dont sont collectées et traitées leurs données à caractère personnel (« DCP »),
- leurs droits concernant ces « DCP »,
- le responsable du traitement (« RT ») des « DCP » collectées et traitées,
- les destinataires des « DCP ».
Cette Politique peut être modifiée, complétée ou mise à jour afin notamment de se conformer à toutes évolutions législatives, réglementaires, jurisprudentielles ou techniques. Vous devez vous référer avant toute navigation à la dernière version de la Politique. Notre objectif est de vous communiquer notre Politique, afin que vous soyez toujours pleinement informé des catégories d'informations que nous recueillons, de la manière dont nous les utilisons, et des circonstances dans lesquelles elles peuvent être communiquées. La Politique fait partie intégrante des Conditions générales d'utilisation du Site dont l'usager déclare avoir pris connaissance.
Définitions :
- Les « DCP » désignent toute information permettant d'identifier, directement ou indirectement, une personne physique.
- Un traitement désigne toute opération ou ensemble d'opérations appliquées à des « DCP » notamment la collecte, l'enregistrement, l'organisation, la consultation, l'extraction, l'effacement et la destruction.
- Le « RT » désigne l'organisme qui détermine les finalités et les moyens de traitement.
- Le sous-traitant (« ST ») est l'organisme qui traite les « DCP » pour le compte et sur instructions du « RT ».
- Les personnes concernées sont les personnes dont les « DCP » sont collectées et traitées.
- Les destinataires des « DCP » sont les services internes ou toute entité externe habilités à recevoir communication des « DCP ».
Modalités de traitement des « DCP » :
SIVU de Chauffry - Saint Denis les Rebais met en oeuvre des traitements sur vos données, pour la gestion des prestations de restauration, périscolaire et de centre de loisirs, les réservations et présence, leur facturation (base légale : mission d'intérêt public).
Les traitements réalisés sur vos « DCP »
- la consultation,
- la création ou la modification,
- l'import et l'export,
- la sauvegarde ou restauration,
- la sécurisation (chiffrement-déchiffrement),
- l'archivage, l'anonymisation ou la suppression.
Quelles sont les « DCP » collectées ?
* données obligatoires pour l'inscription au service
Pour les parents :
- identité : civilité*, nom*, prénom*, date et lieu de naissance, profession, nom du foyer rattaché et historique*,
- coordonnées : adresse postale et historique des adresses*, numéro(s) de téléphone (fixe, mobile, personnel / professionnel) *, adresse mail*,
- responsabilité légale : parent ou tuteur*,
- données d'ordre social : quotient familial, régime social, numéro d'allocataire CAF ou MSA (et pour la MSA : NIR),
- données d'assurance : nom, n° de police, dates de début et de fin, historique,
- informations d'ordre économique et financier (variables selon le type de paiement utilisé) : nom de banque, numéro de chèque, RIB, mandat SEPA (historique, IBAN, BIC),
- données de connexion : login (= adresse mail) *, mot de passe*, adresses IP, journal des actions (logs de connexion).
Pour les enfants :
- identité : nom*, prénom*, genre*, date* et lieu de naissance, nationalité, nom du foyer rattaché et historique*,
- vie personnelle : régime alimentaire spécial (ex : sans porc, sans poisson, sans gluten, etc.),
- données d'assurance scolaire : nom, n° de police, dates de début et de fin, historique,
- information médicale : allergies.
Pour les contacts en cas d'urgence / sortie :
- identité : nom*, prénom*, lien avec l'enfant,
- coordonnées : adresse postale, numéro(s) de téléphone (fixe, mobile, personnel / professionnel), adresse mail.
Pour les adultes s'inscrivant à des prestations (ex : personnel enseignant, encadrant) :
- identité : civilité*, nom*, prénom*, date et lieu de naissance, profession, nom du foyer rattaché et historique*,
- coordonnées : adresse postale et historique des adresses*, numéro(s) de téléphone (fixe, mobile, personnel / professionnel) *, adresse mail*,
- vie personnelle : régime alimentaire spécial (ex : sans porc, sans poisson, sans gluten, etc.),
- données d'ordre social : quotient familial, régime social, numéro d'allocataire CAF ou MSA (et pour la MSA : NIR),
- données d'assurance : nom, n° de police, dates de début et de fin, historique,
- informations d'ordre économique et financier (variables selon le type de paiement utilisé) : nom de banque, numéro de chèque, RIB, mandat SEPA (historique, IBAN, BIC),
- données de connexion : login (= adresse mail) *, mot de passe*, adresses IP, journal des actions (logs de connexion).
Pour les agents qui utilisent le logiciel de gestion :
- identité : nom*, prénom*, fonction,
- coordonnées : adresse mail professionnelle*,
- données de connexion : login (= adresse mail) *, mot de passe*, adresses IP, journal des actions (logs de connexion).
Quelles sont les « DCP » sensibles et les spécificités de leur traitement ?
Les données identifiées comme sensibles ou à risque sont les suivantes :
- le régime alimentaire spécial, concernant un enfant ou un adulte,
- les allergies d'un enfant,
- le NIR d'un parent ou d'un adulte s'inscrivant aux prestations, en cas de régime social agricole (MSA).
Celles-ci sont soumises à des limitations et garanties, qui tiennent pleinement compte de la nature des données et des risques encourus :
- Régime alimentaire spécial
- Légitimité du traitement : ce traitement est nécessaire et légitime au regard des contraintes alimentaires, que peut avoir un enfant ou un adulte, en rapport avec sa santé, sa religion, ses convictions alimentaires (liste non exhaustive). De plus, cette information reste facultative à renseigner.
- Base légale : l'intérêt légitime.
- Limitation stricte de la finalité : la finalité de ce traitement est la gestion de la nature et de la quantité de repas préparés pour la restauration scolaire (cantine), le service enfance (goûter) et en cas de sortie scolaire (panier repas).
- Restrictions des accès : les accès à cette information sont restreints au personnel du restaurant scolaire, du service enfance et au personnel de gestion administrative du logiciel. L'administrateur du logiciel a la possibilité de créer des utilisateurs et des rôles. Chaque utilisateur se voit attribuer un rôle. En fonction de son poste au sein de la structure, il peut accéder à cette information.
- Durée de conservation des données :
- concernant un enfant, ces données sont conservées le temps de la période d'inscription aux établissements gérés par le « RT » (école, activités scolaires, extrascolaires et/ou périscolaires). En fin de cursus, au moment du départ ou de la désinscription de l'enfant, les données sont archivées et peuvent être anonymisées ou supprimées manuellement par le sous-traitant, sur demande du Responsable de traitement.
- concernant un adulte, ces données sont conservées le temps de la relation contractuelle entre l'adulte et le « RT ». Au terme de cette relation, les données sont archivées et peuvent être anonymisées ou supprimées manuellement par le sous-traitant, sur demande du « RT ».
- Allergies
- Légitimité du traitement : ce traitement est nécessaire et légitime au regard de
- la rapidité d'intervention requise, en cas d'évènement accidentel pouvant générer une réaction allergique grave (ex : piqûre d'abeille, prise accidentelle d'un médicament destiné à un camarade, etc.),
- la prise en compte de cette allergie en prévention d'une réaction allergique (ex : prise d'un médicament à l'infirmerie, allergie alimentaire, etc.),
- de plus, cette information reste facultative à renseigner.
- Base légale : sauvegarde des intérêts vitaux.
- Limitation stricte de la finalité : la finalité de ce traitement est la connaissance et la prise en compte d'une allergie d'un enfant, par le personnel chargé de la restauration scolaire ou le service enfance, l'encadrement de l'enfant (surveillants, enseignants, directeur d'école, ATSEM, animateur, etc.), la santé de l'enfant (infirmier ou médecin scolaire).
- Restrictions des accès : les accès à cette information sont restreints au personnel de restauration scolaire, du service enfance et au personnel de gestion administrative du logiciel. L'administrateur du logiciel a la possibilité de créer des utilisateurs et des rôles. Chaque utilisateur se voit attribuer un rôle. En fonction de son poste au sein de la structure, il peut accéder à cette information.
- Durée de conservation des données : ces données sont conservées le temps de la période d'inscription aux établissements gérés par le « RT » (école, activités scolaires, extrascolaires et/ou périscolaires). En fin de cursus, au moment du départ ou de la désinscription de l'enfant, les données sont archivées et peuvent être anonymisées ou supprimées manuellement par le sous-traitant, sur demande du « RT ».
- Légitimité du traitement : ce traitement est nécessaire et légitime au regard de
- NIR
- Légitimité du traitement : ce traitement est nécessaire pour l'attribution des prestations d'aides sociales, demandées auprès de la MSA, l'organisme public faisant l'intermédiaire entre le responsable concerné et l'organisme social. En effet, le numéro d'allocataire MSA n'est autre que le NIR. Ce traitement est autorisé par le Décret n° 2019-341 du 19 avril 2019 relatif à la mise en oeuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire, Article 2, point A ? f). De plus, cette information reste facultative à renseigner.
- Base légale : mission d'intérêt public.
- Limitation stricte de la finalité : la seule finalité est la transmission de bordereaux complétés par le « RT » et transmis à la MSA.
- Restrictions des accès : les accès à cette information sont restreints au personnel du service enfance et au personnel de gestion administrative du logiciel. L'administrateur du logiciel a la possibilité de créer des utilisateurs et des rôles. Chaque utilisateur se voit attribuer un rôle. En fonction de son poste au sein de la structure, il peut accéder à cette information.
- Durée de conservation des données : ces données sont conservées le temps de la période d'inscription aux établissements gérés par le « RT » (école, activités scolaires, extrascolaires et/ou périscolaires). En fin de cursus, au moment du départ ou de la désinscription de l'enfant, les données sont archivées et peuvent être anonymisées ou supprimées manuellement par le sous-traitant, sur demande du « RT ».
Exercice de vos droits
Vous avez des droits sur vos données personnelles : droit d'accès, de rectification, d'opposition, d'effacement, à la portabilité et de la limitation du traitement.
Vous pouvez exercer ce droit en contactant directement le service concerné ou le Délégué à la protection des données (DPO).
3D Ouest et SIVU de Chauffry - Saint Denis les Rebais vous informent que vous avez le droit d'introduire une réclamation auprès de la CNIL.
Protection des données :
Vous avez des droits sur vos « DCP » : droit d'accès, de rectification, d'opposition, d'effacement, à la portabilité et de la limitation du traitement.
3D Ouest et SIVU de Chauffry - Saint Denis les Rebais vous informent que vous avez le droit d'introduire une réclamation auprès de la CNIL.
Vous pouvez contacter la DPO de 3D Ouest par courriel à dpo@3douest.com.