Derniere mise a jour : mars 2026
A personnaliser Le responsable du traitement des données à caractère personnel est :
[Nom de la collectivité]
[Adresse du siege]
Représenté par : [Prenom Nom], [Fonction]
SIRET : [Numero SIRET]
La collectivité agit en qualité de responsable de traitement au sens de l'article 4(7) du Règlement general sur la protection des données (RGPD). Elle determine les finalités et les moyens du traitement des données collectées dans le cadre du diagnostic organisationnel.
A personnaliser Le délégué à la protection des données désigné est :
[Prenom Nom du DPO]
Courriel : [adresse email du DPO]
Telephone : [numero]
Adresse postale : [adresse]
RGPD art. 37-39 La designation d'un DPO est obligatoire pour les organismes publics. Le DPO est le point de contact pour toute question relative à la protection des données personnelles dans le cadre de ce dispositif.
Le traitement des données repose sur la mission d'interet public dont est investie la collectivité :
RGPD art. 6(1)(e) Le traitement est nécessaire à l'execution d'une mission d'interet public ou relevant de l'exercice de l'autorite publique dont est investi le responsable du traitement.
Cette mission d'interet public s'appuie sur plusieurs fondements legislatifs et reglementaires :
Le diagnostic organisationnel constitue une mesure de prévention primaire au sens de l'Accord-cadre du 22 octobre 2013 relatif à la prévention des risques psychosociaux dans la fonction publique. Il vise a identifier les facteurs de risques organisationnels avant qu'ils ne génèrent des situations pathogenes.
Les données sont collectées pour les finalités strictement suivantes :
| Finalite | Description |
|---|---|
| Diagnostic organisationnel | Evaluer les conditions de travail a travers 5 modeles scientifiques (Karasek, Maslach, Lencioni, Thomas-Kilmann, Blake-Mouton) afin d'identifier les situations a risque |
| Prévention des RPS | Detecter les signaux faibles d'épuisement professionnel, d'isolement ou de conflit avant qu'ils ne deviennent des situations de souffrance au travail |
| Amelioration des conditions de travail | Alimenter le plan d'action de la collectivité, les recommandations du CST et la mise a jour du DUERP sur la base de données objectives et anonymisées |
| Pilotage et suivi longitudinal | Comparer l'evolution des indicateurs entre campagnes successives pour mesurer l'efficacite des actions mises en place |
Exclusion expresse : les données ne seront JAMAIS utilisees à des fins disciplinaires, d'evaluation individuelle des performances, de notation ou de promotion. Aucune décision individuelle defavorable ne peut etre fondee sur les réponses au questionnaire.
Le traitement porte exclusivement sur les catégories de données suivantes :
Ce qui n'est JAMAIS collecte :
Nom, prenom, date de naissance, matricule agent, adresse email, numero de telephone, adresse postale, grade, echelon, photo, adresse IP (dans la version production), identifiant de session nominatif, données de geolocalisation.
Minimisation Conformement à l'article 5(1)(c) du RGPD, seules les données strictement necessaires aux finalités decrites ci-dessus sont collectées. Le principe de minimisation est applique des la conception de l'outil (privacy by design).
| Destinataire | Type de données accessibles | Condition |
|---|---|---|
| Agent repondant | Ses propres résultats individuels | Accès immédiat apres réponse |
| DGS et DGA | Données agrégées et anonymisées uniquement | Seuil minimum de 5 repondants par groupe (k-anonymat) |
| Médecin de prévention | Synthèses agrégées et alertes globales | Sur demande, dans le cadre de sa mission |
| CST (ex-CHSCT) | Résultats globaux anonymisés | Présentation lors des instances |
| Prestataire technique | Aucun accès aux données en clair | Hébergement chiffre, pas de cle de dechiffrement |
Aucun transfert de données hors de l'Union europeenne n'est effectue dans le cadre de la version de production. Les données ne font l'objet d'aucune commercialisation ni communication à des tiers non mentionnes ci-dessus.
| Type de donnee | Durée de conservation | Justification |
|---|---|---|
| Reponses brutes individuelles | 3 mois maximum | Temps nécessaire à l'agregation et à la production des syntheses. Effacement automatique. |
| Résultats agrégés par direction/niveau/famille | 5 ans | Suivi longitudinal et comparaison inter-campagnes pour mesurer l'efficacite des actions |
| Synthèses integrees au DUERP | 40 ans | C. trav. art. R.4121-4 Le DUERP et ses mises a jour successives sont conserves pendant 40 ans a compter de leur élaboration |
| Logs techniques (version production) | 12 mois | Sécurité et traçabilité, sans données personnelles |
A l'issue de ces délais, les données sont définitivement supprimees ou irreversiblement anonymisées. L'agent peut demander l'effacement anticipe de ses données brutes à tout moment (cf. section Droits).
Conformement au RGPD et à la loi Informatique et Libertes, chaque agent dispose des droits suivants :
| Droit | Article RGPD | Modalites |
|---|---|---|
| Droit d'accès | Art. 15 | Obtenir la confirmation que des données sont traitees et en recevoir une copie |
| Droit de rectification | Art. 16 | Faire corriger des données inexactes ou compléter des données incompletes |
| Droit à l'effacement | Art. 17 | Demander la suppression des données brutes à tout moment |
| Droit d'opposition | Art. 21 | S'opposer au traitement pour des raisons tenant a sa situation particuliere |
| Droit à la portabilite | Art. 20 | Recevoir ses données dans un format structure, couramment utilise et lisible par machine |
| Droit à la limitation | Art. 18 | Obtenir la limitation du traitement dans les cas prevus par le RGPD |
Comment exercer vos droits :
Toute demande doit etre adressée au DPO par courriel ou courrier postal (coordonnees en section 2). Une réponse sera apportee dans un délai maximum de 30 jours. En cas de difficulte, vous pouvez saisir la CNIL : www.cnil.fr
Rappel : la participation au questionnaire est strictement volontaire. Le refus de participer n'entraine aucune consequence professionnelle, disciplinaire ou sur l'evaluation de l'agent. Ce principe est garanti par la Charte éthique du dispositif.
La version de demonstration est hebergee sur Cloudflare Pages (Cloudflare, Inc.). Les données de la demo sont stockees localement dans le navigateur de l'utilisateur (localStorage) et ne transitent par aucun serveur distant. Aucune donnee personnelle réelle n'est collectee dans cette version.
La version de production sera hebergee sur un hebergeur souverain francais, certifie HDS (Hebergeur de Données de Sante) ou equivalent, situe en France metropolitaine. Les données ne quitteront pas le territoire francais.
Le système est concu selon le principe de privacy by design (RGPD, art. 25). L'anonymat ne repose pas sur une simple promesse organisationnelle mais sur des garanties techniques :
| Texte | Objet |
|---|---|
| RGPD (UE) 2016/679 | Règlement general sur la protection des données — cadre juridique du traitement des données personnelles |
| Loi n° 78-17 du 6 janvier 1978 | Loi Informatique et Libertes — dispositions nationales complémentaires au RGPD |
| Code du travail, art. L.4121-1 a L.4121-5 | Obligations de l'employeur en matière de prévention des risques professionnels |
| Code du travail, art. R.4121-1 a R.4121-4 | Document Unique d'Evaluation des Risques Professionnels (DUERP) |
| Code general de la fonction publique (CGFP) | Droits et garanties des agents publics, hygiene et sécurité |
| Decret n° 2020-256 du 13 mars 2020 | Portant reforme du DUERP et de ses conditions de conservation |
| Loi n° 2022-401 du 21 mars 2022 (loi Waserman) | Protection des lanceurs d'alerte — applicable aux signalements via l'outil |
| Accord-cadre du 22 octobre 2013 | Prévention des risques psychosociaux dans la fonction publique |
| Circulaire du 25 juillet 2014 | Mise en oeuvre du plan national de prévention des RPS dans la FP |
Document etabli conformement aux articles 12 a 14 du RGPD.
Pour toute question : contactez le DPO (coordonnees en section 2).
Consulter la Charte éthique