Le Règlement Général sur la Protection des Données (RGPD) est, depuis le mois de mai 2018, le cadre juridique européen du traitement des données personnelles.
Cette rubrique vous informe sur la façon dont la CPR traite vos données personnelles, en conformité avec les dispositions du RGPD.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Politique de protection des données personnelles
1. Quelles sont les données personnelles qui sont traitées par la CPR ?
A titre d’exemples, les données personnelles vous concernant peuvent être votre adresse postale, votre numéro d’immatriculation SNCF, votre numéro de sécurité sociale, votre nom et votre prénom, votre adresse électronique, votre numéro de téléphone, etc.
Les données personnelles collectées par la CPR sont strictement nécessaires à l’objectif poursuivi par le traitement dont elles font l’objet et à la mission de service public dévolue à la CPR (principe de minimisation des données).
Vos données personnelles sont traitées uniquement sur la base des fondements juridiques prévus par la réglementation en vigueur.
2. Pourquoi avons-nous besoin de traiter vos données personnelles ?
Les informations recueillies et traitées par la CPR sont utilisées dans le cadre de sa mission de service public définie par le décret n° 2007-730 du 7 mai 2007.
Vos données personnelles sont en effet traitées par la CPR afin qu’elle puisse réaliser les missions qui lui incombent en tant qu’organisme autonome gérant le régime spécial de Sécurité sociale SNCF, à savoir la liquidation des pensions de retraite, le remboursement des frais de santé et, plus généralement, afin de pouvoir exécuter les obligations légales, réglementaires et administratives en vigueur.
3. Comment sont traitées vos données personnelles ?
Vos données personnelles sont traitées par la CPR, responsable de traitement, notamment au moyen d’applications informatiques spécifiques.
Vos données personnelles sont accessibles au personnel de la CPR, en tout ou partie, en fonction des habilitations spécifiquement accordées. Peuvent également accéder à certaines données personnelles, toujours dans le respect de la règlementation en vigueur, certains des partenaires de la CPR (exemple : SNCF) et certains sous-traitants de la CPR.
4. Combien de temps sont conservées vos données personnelles ?
La durée de conservation de vos données personnelles par la CPR varie en fonction :
- de la finalité pour laquelle elle les utilise : la CPR doit conserver les données pendant la période nécessaire à l’accomplissement de la finalité liée au traitement ;
- des obligations légales : la législation ou la réglementation peut fixer une durée minimale pendant laquelle la CPR doit conserver vos données personnelles.
5. Sécurité et confidentialité des données
La CPR met en œuvre une politique de protection des systèmes d’information (PSSI) afin de garantir la sécurité et la confidentialité des traitements nécessaires à la réalisation de ses missions.
La CPR s’efforce de garantir la sécurité et la confidentialité de vos données personnelles, notamment pour empêcher leur perte, altération, destruction ou utilisation par des tiers non autorisés.
En outre, la CPR exige de ses sous-traitants et prestataires qu’ils assurent la confidentialité des données personnelles et un niveau de sécurité adapté au risque par la mise en œuvre de dispositifs de sécurité techniques et organisationnels appropriés (par exemple, par la signature de clauses RGPD spécifiques).
6. Quels sont les droits dont vous disposez sur vos données personnelles ?
Vous disposez :
- d’un droit à l’information:
Ce droit vous permet d’obtenir la communication d’une copie de l’ensemble de vos données personnelles, détenues par la CPR. Nous vous informons de notre identité, de l’objectif de la collecte d’informations, des destinataires des informations, de vos droits, etc.
- d’un droit d’accès :
Ce droit vous permet d’obtenir la communication d’une copie de l’ensemble de vos données personnelles, détenues par la CPR.
- d’un droit de rectification :
Ce droit vous permet de faire rectifier une information vous concernant lorsque celle-ci est obsolète ou erronée. Il vous permet également de faire compléter des informations vous concernant.
- d’un droit d’effacement :
Ce droit vous permet d’obtenir l’effacement de vos données personnelles.
Vous pouvez exercer ce droit lorsque :
- vos données ne sont pas ou plus nécessaires au regard des objectifs pour lesquels elles ont été initialement collectées ou traitées ;
- vos données doivent être effacées pour respecter une obligation légale ;
- vous vous êtes opposés au traitement de vos données et que la CPR n’a pas de motif légitime ou impérieux de ne pas donner suite à votre demande.
- d’un droit de limitation :
Ce droit vous permet de limiter le traitement de vos données personnelles dans les cas suivants :
- en cas d’usage illicite de vos données personnelles,
- si vous contestez l’exactitude de celles-ci,
- s’il vous est nécessaire de disposer de vos données personnelles pour constater, exercer ou défendre vos droits.
Vos données personnelles ne feront alors plus l’objet d’un traitement actif, et ne pourront pas être modifiées pendant la durée de l’exercice de ce droit.
Ce droit vous permet de vous opposer, pour des motifs légitimes, à ce que vos données soient traitées par la CPR.
Ce droit d’opposition ne joue pas :
- lorsqu’il existe une obligation légale qui nous impose de traiter vos données personnelles,
- lorsque vous avez consenti au traitement de vos données personnelles. Vous devez alors retirer ce consentement et non pas vous opposer.
- lorsqu’il existe des motifs légitimes et impérieux de traiter vos données ou que celles-ci sont nécessaires à la constatation, exercice ou défense des droits en justice.
Vous pouvez exercer l’ensemble des droits indiqués ci-dessus en vous adressant au Délégué à la protection des données de la CPR, selon les modalités indiquées plus bas.
Un délégué à la protection des données (DPD) est désigné au sein de la CPR. Le DPD a notamment pour mission de veiller au respect de la règlementation en matière de protection des données personnelles. Il est l’interlocuteur de la CNIL et des personnes concernées par une collecte ou un traitement de données à caractère personnel.
La CNIL est une autorité administrative indépendante créée en 1978 et chargée de veiller à ce que les traitements informatiques et papier contenant des données personnelles soient mis en œuvre dans des conditions de nature à assurer la protection des libertés individuelles des individus, notamment le respect dû à la vie privée des personnes.
En cas de désaccord sur la collecte ou l’usage de vos données personnelles, vous avez la possibilité de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL).
Vous trouverez des informations complémentaires concernant la protection des données personnelles sur le site internet de la CNIL.
7. Comment contacter le Délégué à la protection des données de la CPR ?
Pour exercer les droits indiqués ci-dessus sur vos données personnelles, et pour toute information à ce sujet, vous pouvez vous adresser à tout moment au Délégué à la protection des données de la CPR, selon les modalités suivantes :
- par courrier électronique : rgpd@cprpf.fr
- par courrier postal adressé à l’adresse suivante :
Caisse de prévoyance et de retraite du personnel ferroviaire
Département des affaires juridiques
17 avenue Général Leclerc,
13347 MARSEILLE CEDEX 20
Dans tous les cas, vous devez préciser l’objet précis de votre demande, ainsi que votre nom, votre prénom, numéro d’immatriculation, en joignant la copie recto-verso d’une pièce d’identité.