Protection des données Personnelles

1. Généralités – Missions

Dans le cadre des missions qui lui sont conférées par l’article 6 du décret n° 2008-680 du 9 juillet 2008 portant organisation de l'administration centrale du ministère de l'écologie, de l'énergie, du développement durable et de l'aménagement du territoire, cette administration met en œuvre des activités de traitement de données à caractère personnel pour la stricte réalisation de ces missions.

Ces activités sont régies par les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, les dispositions de la loi n° 78-17 modifiée du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et l’ensemble des principes qui en découlent.

Pour chacune des activités concernées, la Direction générale de l’aviation civile (DGAC) s’engage à ce que les données traitées le soient en conformité avec ces règles, comprenant les finalités déterminées, explicites et légitimes associées et dans le respect des principes de transparence, de loyauté et de sécurité.

Dans le cadre de la mission dévolue à la DGAC en tant qu’organisme chargé de veiller à l’application générale du règlement européen (CE) n°261/2004 du 11 février 2004, établissant des règles communes en matière d'indemnisation et d'assistance des passagers en cas de refus d'embarquement et d'annulation ou de retard important d'un vol, le bureau des passagers aériens (DGAC/DTA/SDS/S3) recueille les signalements individuels et traite des données à caractère personnel qu’ils contiennent.

A cet effet, la DGAC a mis en place un système dématérialisé permettant aux passagers aériens de signaler le litige qui les oppose à un transporteur aérien à travers une application informatique. 

2. Quelles sont les données recueillies et comment sont-elles recueillies ?

Pour chacune des missions qu’elle exerce, la DGAC s’engage à ne traiter que les seules données à caractère personnel indispensables à leur accomplissement.

Notamment, pour accéder aux sites mis à disposition par la DGAC, sont collectées et traitées les données d’identification des utilisateurs (nom, prénom et adresse électronique) ainsi que les données d’utilisation du service (adresse IP ; navigateur utilisé ; système d’exploitation ; dates, horaires et temps de connexion sur la plateforme …).

Les données recueillies sont fournies par les passagers qui signalent leur litige :

Données concernant le Vol :

• Nom de la compagnie aérienne
• Numéro de vol
• Date et heure de départ et d'arrivée
• Aéroport de départ et d'arrivée

Données relatives au trajet :

• Type de signalement (retard du vol, annulation de vol, refus d'embarquement, surclassement payant ou déclassement dans l'avion)
• Informations en cas de retard du vol (ex : retard de plus ou de moins de 5h, date et heure de départ et d'arrivée effectives, etc.)
• Informations sur le vol annulé (date/heure et motif d’annulation, document attestant de l'annulation et document attestant du motif de l'annulation du vol si existants, etc.)
• Informations dans le cas de refus d'embarquement (date et heure de présentation à l’enregistrement et à l'embarquement, motif de refus d'embarquement, etc.)
• Factures attestant des frais supplémentaires engagés par le passager pour rejoindre sa destination finale

Données relatives à la réclamation du passager auprès de la compagnie aérienne :

• Réclamation effectuée par le passager
• Réponse de la compagnie
• Dans le cas de remboursement ou indemnisation, le(s) montant(s) remboursé(s), ainsi que les justificatifs
• Conditions d'obtention d'une réponse de la compagnie.

Données passager :

• Nom
• Prénom
• Numéro de téléphone
• Adresse
• Adresse mail
• Réservation et confirmation de réservation de vol, et autres factures de frais engagés pour d'autres services relatifs au voyage initialement prévu (hébergement, transports, restauration, etc.)
• Carte d'enregistrement et carte d'embarquement

Toutes ces données sont collectées et sauvegardées dans le serveur d'application.

Les personnes destinataires et qui ont accès aux données soumises par les passagers sont les agents de la DGAC habilités au traitement des signalements des passagers.

Ces données, lorsqu’elles sont transmises directement à la DGAC, résultent des bases légales suivantes :

• Soit d’une obligation légale à laquelle la DGAC est soumise ;
• Soit du respect d’un contrat lorsque le traitement est nécessaire à son exécution ;
• Soit du consentement libre et éclairé de la personne concernée.

Lorsque des données à caractère personnel sont recueillies indirectement par la DGAC, la personne concernée en est dûment informée et mise en mesure d’exercer ses droits.

Le service responsable du traitement des données est le bureau des passagers aériens de la sous-direction des services aériens de la direction du transport aérien de la DGAC (DTA/SDS/S3)

(0) 1 58 09 43 21

50 rue Henry Farman

75720 PARIS Cedex 15 

3. Combien de temps sont conservées les données traitées ?

Pour chaque activité de traitement, la DGAC s’engage à ne conserver les données à caractère personnel que pour une durée proportionnée aux finalités associées et dans le respect des différentes réglementations en vigueur, relatives notamment :

• A la législation régissant les rapports avec le personnel ;
• A la législation sur les archives publiques ;
• Aux délais de prescription afférents aux actions judiciaires ;

Chaque année N, les signalements reçus en année N-5 sont anonymisés et conservés pour des besoins statistiques. 

4. Qui sont les destinataires ?

Pour chacune de ses activités, la DGAC s’assure, dans le respect de sa Politique de Sécurité des Systèmes d’Information (PSSI), que seules les personnes dûment habilitées à raison de leur mission sont en mesure d’intervenir sur les données.

Lorsque la DGAC fait appel à un ou plusieurs sous-traitants pour tout ou partie du développement, de la mise à jour ou de l’entretien des outils informatiques déployés, le ou les prestataires retenus, en conformité avec les règles de la commande publique et de la charte de déontologie de la commande publique que la DGAC a adoptée, réalisent les prestations dans le respect des règles de protection définies lors de l’élaboration des besoins.

Les données à caractère personnel mentionnées au point 2 peuvent être transmises, dans des conditions de sécurité et de confidentialité suffisantes, aux compagnies aériennes et/ou gestionnaires d’aéroport concernés situés sur le et hors du territoire de l’Union européenne et pour le strict besoin des missions de la DGAC afin de recueillir de leur part l’ensemble des éléments pertinents relatifs à l’éventuelle commission de manquements au droit européen en matière de droit des passagers aériens.

5. Comment s’exercent les droits des personnes ?

Conformément à la réglementation en vigueur, selon le motif de licéité du traitement et les finalités associées, chaque personne peut exercer ses droits auprès :

• Du responsable de traitement ou de son représentant opérationnel : dans ce cas, l’information associée au traitement mentionne expressément les coordonnées du représentant de la DGAC ; (cf. : page « contact »)
• Du correspondant privilégié du DPD à la DGAC, qui assure l’interface avec le DPD, par voie électronique : sg-dpd-dgac-bf@aviation-civile.gouv.fr.
• Du délégué à la protection des données,
  • Soit par voie électronique (Délégué à la protection des données (DPD) - SG/DAJ/AJAG1-2 : dpd.daj.sg@developpement-durable.gouv.fr)
  • Soit par courrier :

Délégué à la protection des données - Ministère de la transition écologique / Ministère de la cohésion des territoires et des relations avec les collectivités territoriales / Ministère de la mer

Secrétariat Général/Direction des affaires juridiques

Grande Arche Paroi Sud – 92055 LA DÉFENSE CEDEX

6. Quels sont les droits des personnes ?

Conformément aux articles 12 à 23 du RGPD, éclairés par la loi n° 78-17 du 6 janvier 1978, les personnes concernées par un traitement de ses données à caractère personnel bénéficient :

• Du droit à l’information dans les conditions prévues aux articles 12 à 14 du RGPD ;
• Du droit d’accès dans les conditions prévues à l’article 15 du RGPD ;
• Du doit de rectification dans les conditions prévues à l’article 16 du RGPD ;
• Du droit d’effacement (« droit à l’oubli ») dans les conditions prévues à l’article 17 du RGPD. Toutefois, la DGAC pourra s’opposer à cette demande
  • Soit lorsqu’elle ne répondra pas aux conditions légales permettant d’en bénéficier,
  • Soit lorsqu’elle serait contraire aux obligations légales nationales ou européennes auxquelles la DGAC est soumis (médecine du travail, exercice d’une action juridictionnelle, archivage, etc.) ;
• Du droit à la limitation du traitement dans les conditions prévues aux articles 18 et 19 du RGPD ;
• Du droit à la portabilité dans les conditions prévues à l’article 20 du RGPD lorsque le traitement repose sur l’exécution d’un contrat ou le consentement ;
• Du droit d’opposition dans les conditions prévues à l’article 21 du RGPD, lorsque ce droit est prévu pour le traitement concerné.

Aucun traitement de données à caractère personnel n’entraîne de prise de décision automatisée produisant des effets juridiques, y compris de profilage.

La DGAC s’engage à donner suite aux demandes qu’elle reçoit dans les plus brefs délais, au plus tard dans le délai d’un mois à compter de la réception de la demande.

Dans le cas où la personne concernée estime que la réponse apportée est insuffisante, erronée ou tardive, cette dernière peut introduire une réclamation auprès de l’autorité de contrôle dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation des données personnelles aurait été commise.

Les personnes physiques concernées ont également le droit à un recours juridictionnel contre une décision rendue par une autorité de contrôle en vertu de l’article 78 du RGPD.

7. Quelles sont les règles de sécurité et de confidentialité ?

Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information (PSSI) de la DGAC, issue de la PSSI de l’Etat approuvée par la circulaire n° 5725/SG du 17 juillet 2014, et aux autres exigences spécifiques applicables aux opérateurs d’importance vitale et aux échanges électroniques entre les usagers et les autorités administratives.