1.1   Finalités

Le traitement a pour finalité principale la gestion du Pass’Région, la carte jeunes de la Région Auvergne-Rhône-Alpes.

Dans le détail, il permet à la Région Auvergne-Rhône-Alpes :

• de gérer l’attribution du Pass’Région : inscription du jeune en ligne, validation par l’établissement de rattachement du jeune entraînant la fabrication et l’envoi de la carte au bénéficiaire*
• de gérer l’utilisation des avantages du Pass’Région : traçabilité des transactions, débits sur le solde des jeunes et compensation financière des partenaires*
• de permettre la distribution et/ou la récupération des divers avantages du Pass’Région (manuels scolaires, dotations en matériels)*
• de permettre la géolocalisation des partenaires, des bons plans et de l’ensemble de l’offre d’avantages ou de service liés au Pass’Région*
• d’assister les utilisateurs : consultation des fiches des bénéficiaires ou des partenaires et de l’historique des évènements qui y sont répertoriés*
• de piloter l'activité : évaluation de la satisfaction usagers, production de statistiques d’activité *
• De gérer une base de référents thématiques au sein des établissements de rattachement des jeunes*
• de communiquer les bons plans du Pass'Région (places gratuites, tarifs préférentiels, ...)**
• de communiquer des informations liées aux dispositifs régionaux (événements, actualités, questionnaires...)**

Le support pourra servir pour le contrôle d’accès et la restauration scolaire : transmission sécurisée, sur demande de l’établissement, des données de correspondance entre l’identité du jeune et les données d’identification de son Pass’Région, avec une étanchéité totale des deux systèmes au-delà de l’identification. Dans le cadre de cette utilisation, les chefs d’établissement sont les responsables de traitement.

1.2   Bases légales

*Article n°6.1.e du Règlement Général sur la Protection des Données – RGPD (du 27 avril 2016, n°2016/679). Ce traitement de données est nécessaire à l'exécution d'une mission d'intérêt public dont est investi le responsable du traitement.

**Article n°6.1.a du Règlement Général sur la Protection des Données – RGPD (du 27 avril 2016, n°2016/679). Ces actions de communication sont opérées sur la base du consentement de la personne concernée. Le consentement peut être retiré à tout moment.

2.1   Catégories de données traitées

• Pour le jeune bénéficiaires du Pass’Région et/ou leur représentant légal :
• Données d’identification : nom, prénom, date de naissance, photographie, numéro d’identification au sein du dispositif ;
• Coordonnées : adresse postale, numéro de téléphone, adresse mail, établissement de rattachement ;
• Pour le partenaire (responsable et interlocuteur de la Région) :
• Données d’identification : nom commercial, SIRET, numéro d’identification au sein du dispositif, nom et prénom ;
• Coordonnées :  adresse postale, numéro de téléphone, adresse mail ;
• Données bancaires : RIB/IBAN ;
• Pour l’établissement de rattachement du jeune (chef d’établissement et référents) :
• Données d’identification : nom de l’établissement, SIRET, numéro d’identification au sein du dispositif, nom et prénom,
• Coordonnées : adresse postale, numéro de téléphone, adresse mail
• Données bancaires : RIB/IBAN.

2.2   Source des données

Ces informations sont recueillies auprès des futurs bénéficiaires et/ou leur représentant légal, des partenaires et des établissements de rattachement des jeunes.

2.3   Caractère obligatoire du recueil des données

Ce traitement prévoit, sauf mention contraire, le recueil obligatoire des données qui sont nécessaires au traitement de la demande.

2.4   Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée.

Le traitement de données concerne :

• Les personnes physiques bénéficiaires du Pass’Région et/ou leur représentant légal ;
• Les personnes physiques désignées comme référents au sein des établissements ;
• Les personnes physiques désignées comme interlocuteurs chez les partenaires ;
• Les personnels de la Région et ses sous-traitants en charge de la gestion du Pass’Région.

4.1   Catégories de destinataires des données

En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• Les établissements ;
• Les partenaires ;
• Les agents de la Région autorisés ;
• Les prestataires de la Région.

4.2   Transferts des données hors UE

Aucun transfert de données hors de l'Union européenne n'est réalisé.

Pour les besoins liés à la gestion du Pass’Région :

• Les données des bénéficiaires sont conservées 18 mois à l’issue de la dernière campagne d’utilisation du Pass’Région.
• Les données des partenaires et des établissements sont conservées jusqu’à la fin de la durée du conventionnement.

À l'issue de cette conservation (liée au traitement), les données sont archivées, supprimées ou anonymisées (à des fins statistiques) dans la limite et les conditions prévues en matière de respect des obligations légales, en particulier celles issues du Code du Patrimoine.

Les mesures de sécurité sont mises en œuvre conformément à la Politique Générale de sécurité des Systèmes Informatique (PGSSI) du groupe Docapost et aux préconisations ISO 27002.

Les applications et bases de données sont hébergées dans les datacenters Telehouse. Les serveurs web accessibles par les différents utilisateurs sont installés dans une zone isolée (DMZ) afin de les séparer des serveurs de données. Les sites sont accessibles depuis internet via le protocole https (certificats émis par une autorité de certification) afin de garantir la sécurité des échanges.

Les serveurs de bases de données sont protégés des accès externes par des Firewalls avec fonctions de protection contre les intrusions (IDP/IPS).

Les serveurs sont hébergés dans des fermes de serveurs VMWare / vSphare pour garantir un taux de disponibilité optimum grâce à l’affectation automatique des machines virtuelles.

L’ensemble des données est hébergé en France.

Il est possible, à tout moment, d’accéder à vos informations, en vous connectant à votre compte.

Les bénéficiaires ou leur représentant légal peuvent également modifier librement, depuis l’application mobile ou sur l'espace Bénéficiaire disponible sur Internet, les consentements exprimés lors de la création du compte, afin de recevoir ou non des informations de la Région.

Pour actualiser des données personnelles (adresse postale, email, téléphone, etc.), les bénéficiaires ou leur représentant légal doivent contacter l'assistance technique du Pass’Région :

• en téléphonant au 04 86 27 98 50 ; du lundi au vendredi de 9 h 00 à 18 h 00. 
• en envoyant une demande depuis le formulaire de contact disponible au sein du compte, une fois connecté.

7.1   Exercer ses droits

Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d'un droit à la portabilité et à la limitation du traitement de vos données. Pour exercer vos droits, vous pouvez faire appel à l’équipe du Pass’ en renseignant le formulaire de contact sur le site internet ou depuis l’application mobile Pass’Région à partir de la FAQ rubrique Contact.

Vous pouvez faire une demande de suppression de compte depuis l'écran "Mon Compte", rubrique "Demande de suppression de compte". Un mail sera envoyé au DPO de la Région qui examinera la recevabilité de la demande dans un délai d'un mois. Si la réponse de suppression de compte est positive, elle sera effectuée dans un délai d'un mois.

7.2   Coordonnées du DPO

Pour toute information complémentaire sur les traitements de données personnelles gérés par la Région, vous pouvez contacter son délégué à la protection des données. Il pourra vous être demandé de joindre tout document permettant de prouver votre identité :

Par courrier :

Région Auvergne-Rhône-Alpes   
Direction des affaires juridiques           
A l’attention du délégué de la protection des données (DPO)   
1 esplanade François MITTERRAND – CS20033   
69269 Lyon Cedex 2

Par courriel : dpo@auvergnerhonealpes.fr

7.3   Réclamation (plainte) auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) en ligne à la CNIL ou par voie postale.