Données personnelles – Gestion des plaintes

Finalités

Le traitement a pour objet la gestion des plaintes / réclamations reçues pour manquement aux règles en matière de protection des données personnelles.

Il permet à la CNIL :

• la gestion des demandes reçues (réception, orientation, instruction) ;
• le suivi des actions réalisées sur les dossiers et des interactions avec les autorités de contrôle concernées dans le cadre de la coopération européenne ou internationale ;
• la gestion des contacts ;
• l'historisation des demandes et des réponses apportées aux usagers ;
• l'aide au pilotage de l’activité des services de l'exercice des droits et des plaintes ;
• la gestion des statistiques et des comptes-rendus de l’activité ;
• la mesure de l'utilisation des services proposés et la prise en compte des retours des usagers pour l'amélioration de ces services.

Base légale

Article 6 (1) e du règlement général sur la protection des données - RGPD

Ce traitement de données relève de l'exercice de l'autorité publique dont est investie la CNIL en application du règlement général sur la protection des données et de la loi Informatique et Libertés modifiée.

Catégories de données traitées

Concernant les usagers du téléservice :

• identité, coordonnées, données de connexion, objet de la demande, date et numéro de la demande, historique des échanges, retours qualité sur le service proposé, statistiques ;
• le cas échéant (en fonction de l’objet de la plainte transmise) : vie personnelle, vie professionnelle, informations d’ordre économique et financier, données relatives à la vie numérique, données sensibles au sens des articles 9 et 10 du RGPD

Source des données

Les données traitées dans le cadre de la gestion des plaintes sont issues :

• de l’utilisateur du service de plaintes en ligne ;
• des services contribuant à l’instruction des plaintes/réclamations ;
• des responsables de traitement et éventuellement des sous-traitants et tiers concernés (réponses aux demandes de la CNIL) ;
• le cas échéant, les autorités de contrôle européennes ou internationales ;
• des API publiques (FranceConnect, API Adresse, API Entreprise, API Sirene) ;
• des sources ouvertes (contenus Internet, annuaires).

Caractère obligatoire du recueil des données

L’identification du plaignant, la description de l’objet de sa plainte/réclamation et, le cas échéant, la fourniture de pièces justificatives sont nécessaires au traitement de son dossier.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée.

• Usagers de la CNIL (particuliers et professionnels) ;
• Responsables de traitement, éventuels sous-traitants et tiers concernés ;
• Membres et personnels de la CNIL ;
• Le cas échéant, membres et personnels des autorités de contrôle européennes ou internationales, ou des juridictions concernées.

Catégories de destinataires

Dans la limite de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• les usagers à l’origine de la plainte/réclamation ;
• les responsables de traitement, sous-traitants et éventuels tiers concernés par la plainte/réclamation ;
• les membres et personnels de la CNIL responsables du traitement des dossiers ;
• le cas échéant :
  • les membres et personnels des autorités de contrôle concernées et des juridictions compétentes ;
  • le prestataire en charge d'une partie des opérations de traitement des plaintes et réclamations ;
  • le prestataire en charge de la maintenance des solutions informatiques.

Transferts des données hors UE

Des transferts hors Union européenne de données relatives à une plainte/réclamation ne peuvent intervenir que lorsqu’ils sont nécessaires à la gestion du dossier concerné, ou dans la stricte limite des obligations de coopération internationale applicables.

Les dossiers de plainte / réclamation sont conservés 5 ans à compter de leur clôture. Cette conservation est étendue à dix ans en cas de mise en œuvre d’une mesure correctrice (art. 58.2 RGPD). Elle peut également être étendue à la durée de conservation d’un autre dossier de plainte portant sur le même objet nécessitant la conservation des échanges antérieurs.

Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information (PSSI) de la CNIL, issue de la PSSI de l’Etat.

Exercer ses droits

Le délégué à la protection des données (DPO/DPD) de la CNIL est votre interlocuteur pour toute demande d'exercice de vos droits sur ce traitement.

• Contacter le DPO/DPD par voie électronique

> Contacter le délégué à la protection des données (DPO/DPD) de la CNIL

• Contacter le DPO/DPD par courrier postal

Le délégué à la protection des données
CNIL
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07

Réclamation (plainte) auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL.