Délibération 2026/14 pdf 406.5 Ko

EXTRAIT DU REGISTRE DES DELIBERATIONS
DU CONSEIL MUNICIPAL
___________
Conseillers en exercice : 65
Reçu en Préfecture le : 04/02/2026
ID Télétransmission : 033-213300635-20260203-149165- Séance du mardi 3 février 2026
DE-1-1
D-2026/14
Date de mise en ligne : 05/02/2026
certifié exact,
Aujourd'hui 3 février 2026, à 14h11,
le Conseil Municipal de la Ville de Bordeaux s'est réuni à Bordeaux, sous la présidence de
Monsieur Pierre HURMIC - Maire
Etaient Présents :
Monsieur Pierre HURMIC, Madame Claudine BICHET, Monsieur Stéphane PFEIFFER, Madame Camille CHOPLIN, Monsieur
Didier JEANJEAN, Madame Delphine JAMET, Monsieur Mathieu HAZOUARD, Madame Harmonie LECERF MEUNIER,
Madame Sylvie SCHMITT, Monsieur Dimitri BOUTLEUX, Madame Nadia SAADI, Monsieur Bernard G BLANC, Madame
Céline PAPIN, Monsieur Olivier CAZAUX, Madame Pascale BOUSQUET-PITT, Monsieur Olivier ESCOTS, Madame Fannie LE
BOULANGER, Monsieur Vincent MAURIN, Madame Sylvie JUSTOME, Monsieur Dominique BOUISSON, Madame Sandrine
JACOTOT, Madame Françoise FREMY, Madame Tiphaine ARDOUIN, Monsieur Baptiste MAURIN, Madame Marie-Claude
NOEL, Monsieur Didier CUGY, Madame Véronique GARCIA, Monsieur Patrick PAPADATO, Madame Pascale ROUX,
Madame Brigitte BLOCH, Madame Isabelle ACCOCEBERRY, Madame Isabelle FAURE, Monsieur Francis FEYTOUT, Madame
Eve DEMANGE, Monsieur Maxime GHESQUIERE, Monsieur Matthieu MANGIN, Monsieur Guillaume MARI, Madame Marie-
Julie POULAT, Madame Charlee DA TOS, Monsieur Marc ETCHEVERRY, Madame Léa ANDRE, Madame Lucile ROBERT,
Monsieur Maxime PAPIN, Madame Béatrice SABOURET, Monsieur Pierre De Gaétan NJIKAM MOULIOM, Madame
Alexandra SIARRI, Madame Anne FAHMY, Madame Géraldine AMOUROUX, Monsieur Marik FETOUH, Monsieur Aziz
SKALLI, Monsieur Thomas CAZENAVE, Madame Catherine FABRE, Monsieur Fabien ROBERT, Monsieur Guillaume
CHABAN-DELMAS, Monsieur Nicolas PEREIRA, Madame Evelyne CERVANTES-DESCUBES, Monsieur Philippe POUTOU,
Madame Magali FRONZES,
Monsieur Patrick PAPADATO présent à partir de 15h33, Monsieur Francis FEYTOUT présent sauf de 14h30 à 17h17
Excusés :
Monsieur Laurent GUILLEMIN, Madame Servane CRUSSIERE, Monsieur Jean-Baptiste THONY, Monsieur Radouane-Cyrille
JABER, Monsieur Maxime ROSSELIN, Madame Nathalie DELATTRE, Madame Myriam ECKERT,
Protocole relatif à la protection des données à caractère personnel
valant convention de responsabilité conjointe au sens de l'article 26
du RGPD, dans le cadre de la gestion dématérialisée des dossiers de
subventions de la politique de la ville - Décision - Autorisation.
Madame Delphine JAMET, Adjointe au Maire, présente le rapport suivant :
Mesdames, Messieurs,
La Ville de Bordeaux, acteur engagé dans la mise en œuvre de la politique de la ville, attribue des
subventions aux associations locales et s’inscrit, à cette fin, dans un dispositif national de
dématérialisation des demandes, piloté par l’Agence Nationale de la Cohésion des Territoires
(ANCT). Ce dispositif s’appuie sur la plateforme DAUPHIN et son module d’interopérabilité AIDEN
HUB, outils conçus pour rationaliser les procédures administratives.
Cette approche dématérialisée présente plusieurs avantages déterminants :
- Elle optimise l’instruction des dossiers en limitant les ressaisies et en réduisant les
risques d’erreurs, garantissant ainsi une gestion plus efficace des fonds publics ;
- Elle simplifie les démarches pour les porteurs de projets, tant au niveau du dépôt de leur
demande qu’au niveau de leur suivi ;
- Elle favorise une collaboration renforcée entre les différents financeurs publics, qu’ils
relèvent de l’État, des collectivités ou des opérateurs spécialisés.
Dans ce contexte, la gestion des données à caractère personnel collectées relève d’une
responsabilité conjointe entre l’ANCT et la Ville de Bordeaux, conformément à l’article 26 du
Règlement général sur la protection des données (RGPD). Les deux entités agissent en effet de
concert pour définir les finalités du traitement, qui couvrent l’instruction des demandes, le
contrôle des subventions attribuées ainsi que leur archivage.
Dans le cadre du système d’information mutualisé, Bordeaux Métropole participe à la
détermination et à la mise en œuvre des moyens techniques nécessaires au traitement. Elle met à
disposition de la Ville de Bordeaux l’infrastructure concernée ainsi que les interconnexions
nécessaires à leur fonctionnement et intervient en qualité de pouvoir adjudicateur pour le contrat
conclu avec l’éditeur AIDEN HUB.
A ce titre, Bordeaux Métropole est signataire avec l’ANCT du contrat cadre de fourniture de
données et documents des dossiers de subventions de la politique de la ville, auquel est annexée
le présent protocole relatif à la protection des données de la Ville de Bordeaux.
Le présent protocole a pour vocation de formaliser les engagements respectifs de l’ANCT et de la
Ville de Bordeaux en matière de protection des données. Il vise plus précisément à :
• Préciser les rôles et les obligations de chaque partie, dans le strict respect des
dispositions du RGPD et de la loi Informatique et Libertés ;
• Encadrer les échanges de données entre les systèmes d’information, en veillant à leur
sécurité, à leur minimisation et à leur traçabilité ;
• Établir les modalités de coopération en cas d’incident, tel qu’une violation de données, ou
dans le cadre d’un contrôle exercé par la Commission nationale de l’informatique et des
libertés (CNIL) ;
• Garantir l’effectivité des droits des personnes concernées, qu’il s’agisse des associations,
de leurs responsables ou des agents publics impliqués dans le processus.
Par ailleurs, ce protocole détaille les catégories de données traitées, parmi lesquelles figurent les
identifiants des associations, les pièces justificatives transmises et les coordonnées des acteurs
concernés, les durées de conservation appliquées, alignées sur les impératifs d’utilité
administrative, avec une période typique de dix ans pour les justificatifs de dépenses ainsi que les
mesures de sécurité déployées, incluant le chiffrement des données, leur journalisation
systématique et leur hébergement au sein d’infrastructures certifiées SecNumCloud.
VU le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD),
VU la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,
modifiée,
VU la Loi n° 2014-173 du 21 février 2014 de programmation pour la ville et la cohésion urbaine
(dite « loi Lamy »), notamment son article 10,
VU le Décret n° 2015-1131 du 14 septembre 2015 relatif aux contrats de ville,
VU le Décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et
Libertés,
VU le Code des relations entre le public et l’administration (CRPA), notamment ses articles L113-
12 et L113-13 et L114-8 à L114-10-1,
VU le contrat de fourniture de données et de documents des dossiers de subventions politique
de la ville signée entre Bordeaux Métropole et l’ANCT et auquel est annexé la présente
convention RGPD,
CONSIDERANT QUE la mise en œuvre de traitements de données à caractère personnel dans le
cadre de la politique de la ville doit respecter les principes du RGPD
Je vous demande de bien vouloir autoriser le Maire à signer la convention annexée à la présente
délibération et ses éventuels avenants et annexes, ayant pour objet de définir les rôles et
obligations de la Ville de Bordeaux en matière de protection des données, valant convention de
responsabilité conjointe au sens de l’article 26 du RGPD, dans le cadre de la gestion
dématérialisée des dossiers de subventions de la politique de la ville.
ADOPTE A L'UNANIMITE DES VOTANTS
ABSTENTION DU GROUPE ROUGE BORDEAUX ANTICAPITALISTE
Fait et Délibéré à Bordeaux, le 3 février 2026
P/EXPEDITION CONFORME,
Madame Delphine JAMET
FOURNITURE DE DONNEES ET
DOCUMENTS DES DOSSIERS DE SUBVENTIONS
POLITIQUE DE LA VILLE
Protocole relatif à la protection des données à caractère personnel valant convention de responsabilité
conjointe au sens de l’article 26 du RGPD
Entre
L’Agence Nationale de la Cohésion des Territoires, « ANCT », établissement public de l’Etat immatriculé sous le
numéro SIREN 130 026 032 dont le siège est 20 avenue de Ségur – TSA 10717 – 75334 PARIS CEDEX 07,
représenté par Monsieur Henri PREVOST, Directeur Général de ladite Agence, nommé à ces fonctions par décret
du Président de la République en date du 1er décembre 2022 et domicilié en cette qualité audit siège,
Ci-après dénommée « l’ANCT »,
Et
La Ville de Bordeaux, dont le siège social est situé, Hôtel de Ville, Place Pey Berland 33045 Bordeaux Cedex,
représentée par son Maire, Monsieur Pierre Hurmic, dument habilité par délibération n°
Ci-après dénommée « Financeur public »,
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
Table des matières
1. Définitions ................................................................................................................ 3
2. Objet ......................................................................................................................... 3
3. Description du Traitement faisant l’objet de la responsabilité conjointe ............. 4
3.1. Finalités et bases légales du Traitement .......................................................... 4
3.2. Architecture SI ................................................................................................... 4
3.3. Processus fonctionnel ....................................................................................... 5
3.4. Minimisation des données ................................................................................ 6
3.5. Enjeux et apports attendus ............................................................................... 6
3.6. Moyens du Traitement ..................................................................................... 6
3.7. Respect des finalités du Traitement ................................................................. 8
3.8. Mesures de sécurité .......................................................................................... 8
4. Sous-Traitance .......................................................................................................... 8
5. Obligations des Parties ............................................................................................ 9
5.1. Droits de la Personne concernée ...................................................................... 9
5.2. Information des Personnes concernées ........................................................... 9
5.3. Exercice des droits des Personnes concernées .............................................. 10
6. Registre du Traitement .......................................................................................... 10
7. Sort des Données à caractère personnel ............................................................... 10
8. Notification et communication d’une Violation de DCP et coopération auprès des
co-Responsables de Traitement et de l’Autorité de contrôle .................................. 11
8.1 Notification des Violations de DCP .................................................................. 11
8.2 Communication à la Personne concernée d’une Violation de DCP ................ 11
8.3 Coopération avec l’Autorité de contrôle ......................................................... 12
8.4 Analyses d’impact / Consultation préalable ................................................... 12
2
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
1. Définitions
Au sens des dispositions de la présente annexe, il convient d’entendre par :
« Données à caractère personnel (DCP) » : toute information se rapportant à une personne physique identifiée
ou identifiable (ci-après désignée la « Personne concernée ») ; est réputée être une « personne physique
identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant
en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale.
« Traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés
automatisés et appliquées à des DCP ou des ensembles de DCP, telles que la collecte, l'enregistrement,
l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation,
l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
« Règlementation applicable en matière de protection des DCP (Règlementation applicable) » : (i) le RGPD, (ii)
la loi Informatique et Libertés et son décret d’application n°2019-536 du 29 mai 2019
« Personne(s) concernée(s) » : toute personne physique dont les DCP font l’objet d’un traitement dont les
finalités et les moyens ont été définis par le responsable de traitement.
« Responsable(s) de Traitement » : la personne physique ou morale, l'autorité publique, le service ou un autre
organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens d’un traitement de
données à caractère personnel.
« Responsable(s) conjoint(s) du Traitement (RCT), « co-Responsable(s) de Traitement » : il s’agit de l’hypothèse
où deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du
traitement (article 26 du RGPD).
« Sous-traitant(s) (ST) » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme
qui traite des DCP pour le compte de l’un des RCT.
« Violation de DCP », « Violation » : une violation de la sécurité entraînant, de manière accidentelle ou illicite,
la destruction, la perte, l'altération, la divulgation non autorisée de DCP transmises, conservées ou traitées d'une
autre manière, ou l'accès non autorisé à de telles données.
« Autorité de contrôle compétente » : désigne l’autorité publique indépendante instituée par un Etat membre
de l’UE chargée de surveiller l’application de la Règlementation applicable. Pour la France c’est la CNIL
(Commission Nationale de l’Informatique et des Libertés).
2. Objet
Les présentes clauses ont pour objet de déterminer de manière transparente les obligations et rôles respectifs
des Parties aux fins d'assurer le respect des exigences de la Réglementation applicable, notamment en ce qui
concerne l'exercice des droits de la Personne concernée et leurs obligations respectives quant à la
communication des informations visées aux articles 13 et 14 du RGPD.
La présente annexe fait partie intégrante de la convention conclue entre les Parties. La présente annexe et la
convention sont complémentaires et s’expliquent mutuellement. Toutefois, en cas de contradiction, la présente
annexe prévaut.
De manière générale, dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la
Réglementation en vigueur applicable au Traitement de DCP, dont elles reconnaissent avoir parfaitement pris
connaissance.
En application du contrat d’engagement Ville–Métropole du 15 février 2016 modifié et de son annexe relative
au domaine numérique et au système d’information, la Ville de Bordeaux et Bordeaux Métropole exercent une
responsabilité conjointe pour les traitements mis en œuvre via le système d’information mutualisé lorsque la
Métropole contribue à la définition des finalités et des moyens. Cette configuration est applicable aux
traitements objets de la présente convention, la solution d’instruction des demandes de subvention étant
déployée au sein du système d’information mutualisé. À ce titre, Bordeaux Métropole met à disposition de la
Ville l’infrastructure concernée et intervient en qualité de pouvoir adjudicateur pour le contrat conclu avec
l’éditeur, participant ainsi à la détermination et à la mise en œuvre des moyens nécessaires au traitement.
3
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
3. Description du Traitement faisant l’objet de la responsabilité
conjointe
3.1. Finalités et bases légales du Traitement
Les Parties déterminent conjointement les finalités du Traitement. Chacune des Parties doit être en mesure de
démontrer la validité du recours à la base légale retenue pour les opérations de Traitement auxquelles elle
participe.
Les finalités du Traitement sont les suivantes :
Finalités liées à la réception et au partage des demandes :
o collecter et centraliser, via un dossier unique, les demandes de subventions déposées par les
associations auprès de plusieurs financeurs publics ;
o propager automatiquement ces demandes vers les financeurs identifiés en fonction du SIRET et des
règles d’éligibilité définies ;
o rendre accessibles les pièces, données et documents nécessaires à l’analyse des demandes.
Finalités liées à la co-analyse de la recevabilité
o permettre la vérification de la complétude des dossiers ;
o permettre une appréciation coordonnée de la recevabilité administrative ;
o permettre l’émission d’avis de recevabilité / irrecevabilité par chacun des financeurs.
Finalités liées à l’instruction
o permettre la consultation des avis et décisions nécessaires à la bonne gestion des fonds publics ;
o éviter les doublons de financement, l’incohérence d’attributions ou le cumul indu ;
o assurer l’analyse partagée des flux financiers publics affectés au même projet.
Finalités liées à la décision et à la notification
o consigner et mettre à disposition les décisions d’attribution ou de refus pour les financeurs concernés
;
o permettre la notification aux associations et la poursuite des processus comptables.
Finalités liées à la réception et au partage des comptes rendus financiers :
o collecter et centraliser dans le dossier de subvention le compte rendu financier (CRF) déposé par les
associations auprès de plusieurs financeurs publics ;
o rendre accessibles les pièces, données et documents du CRF.
Finalités transverses :
o assurer la traçabilité des actions (logs), la gestion des comptes usagers, la journalisation des
consultations ;
o permettre les opérations de contrôle, de vérification, d’audit interne ou externe ;
o assurer l’archivage électronique, la conservation proportionnée et la suppression ou l’anonymisation à
l’issue des durées définies ;
o répondre aux obligations légales de transparence de la dépense publique, d’évaluation, de contrôle, et
de reporting auprès des autorités compétentes.
Les Bases légales du traitement sont les suivantes :
o Mission d’intérêt public.
o Dispositions relatives aux transferts de données entre administrations et notamment les articles L113-
12, L113-13 et L114-8 à L114-10-1 du Code des relations entre le public et l’administration.
3.2. Architecture SI
Plateforme DAUPHIN :
o Outil de gestion collaborative des demandes de subventions dans le cadre de la politique de la ville.
o Fonctions :
o Collecte des dossiers déposés par les associations (formulaire dématérialisé).
4
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
o Gestion du cycle de vie des demandes (dépôt, réception, complétude, recevabilité,
instruction).
o Acteurs :
o ANCT (maîtrise d’ouvrage / responsable du service).
o Financeurs publics (collectivités territoriales, État, opérateurs publics).
o Base applicative : Issue du progiciel AIDEN, édité par la société MGDIS.
o Utilisation : Accès en mode SaaS par les financeurs publics.
Plateforme d’échange AIDEN HUB (Service HUB) :
o Plateforme d’interopérabilité permettant le partage automatique et sécurisé des données et
documents des demandes de subvention.
o Intermédiaire technique entre DAUPHIN et le système d’information des financeurs.
o Éditeur : Société MGDIS.
o Fonctions :
o « Propagation » des demandes depuis le Portail AIDEN “Fournisseur” (ANCT) vers le HUB.
o « Consommation » des demandes par les financeurs (« Portail AIDEN Consommateur »).
o Mise à disposition des données et documents nécessaires à l’instruction par chaque financeur.
o Hébergement : Environnement certifié SecNumCloud, intégrant l’hébergement des données et
documents partagés.
o Rôle dans la chaîne : Garantit l’échange dématérialisé, sécurisé, traçable et automatisé des dossiers.
API semi-publiques / Module récepteur AIDEN
o Composants d’interconnexion.
o Fonctions :
o Permettent au système d’information du financeur public de récupérer automatiquement les
données et documents disponibles dans le HUB.
o Assurent l’identification du financeur via son SIRET et la récupération des dossiers
correspondants.
o Utilisation par les collectivités (Métropole / villes) pour intégrer les données dans leur propre SI.
3.3. Processus fonctionnel
Le fonctionnement du dispositif repose sur deux mécanismes complémentaires :
o la “Propagation” des demandes depuis le Portail AIDEN Fournisseur vers l’AIDEN HUB ;
o la “Consommation” de ces données par les financeurs publics via le HUB et leur propre système
d’information.
Le processus complet s’articule selon les étapes suivantes :
1. Création d’un compte usager sur le Portail AIDEN « Fournisseur »
L’association (ou porteur de projet) crée un compte utilisateur afin d’accéder au service de dépôt dématérialisé
des demandes de subvention.
2. Dépôt d’une demande de subvention sur le Portail AIDEN « Fournisseur »
L’usager :
o complète le formulaire dématérialisé,
o joint les pièces requises,
o sélectionne les financeurs sollicités.
Un accusé de dépôt au format PDF est automatiquement transmis à l’usager par courrier électronique.
3. Propagation de la demande vers l’AIDEN HUB
Une fois le dossier valide sur le Portail AIDEN Fournisseur, les données et documents sont propagés
automatiquement vers l’AIDEN HUB.
Ce mécanisme assure la disponibilité des informations auprès des financeurs publics concernés.
4. Prise en charge des demandes par les financeurs publics “Consommateurs”
Chaque financeur identifié (via son SIRET et sa configuration de souscription) récupère les demandes mises à
disposition dans le HUB via ses modules techniques (API / Module récepteur AIDEN) ou son SI local.
5. Phase de recevabilité (administrative et documentaire)
Co-instruction de la recevabilité
Le Fournisseur (ANCT) et les financeurs Consommateurs réalisent une analyse conjointe visant à vérifier :
5
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
o la complétude des pièces,
o l’éligibilité administrative,
o le respect des critères généraux de recevabilité.
Avis de recevabilité individuel
Chaque financeur rend son propre avis (“recevable” ou “irrecevable”).
La consolidation de ces avis permet d’ouvrir l’étape d’instruction au fond.
6. Instruction de la demande
Étude du dossier
Chaque financeur procède à l’analyse approfondie du dossier selon :
o ses propres règles internes,
o ses critères d’opportunité et de financement,
o ses orientations stratégiques.
Prise en charge individuelle par chaque financeur
Chaque financeur applique son processus propre d’instruction, tout en disposant, via le HUB, des informations
nécessaires :
o données transmises par l’association,
o décisions ou statuts des autres financeurs,
o mise à jour de la situation du dossier.
7. Décision et notification
Chaque financeur prend sa décision individuelle (attribution, refus, montant) et procède à la notification auprès
de l’usager selon ses procédures habituelles
Dans certains cas, la notification peut être transmise via les outils AIDEN / HUB.
8. Phase de paiement
Une fois la subvention accordée :
o l’association peut déposer une demande de paiement,
o les financeurs expriment leur recevabilité,
o le paiement est effectué selon les modalités propres à chaque financeur.
3.4. Minimisation des données
Les données et documents de l’ANCT propagés dans le HUB sont filtrés, afin que les données
et documents mis à disposition soient fournis exclusivement aux financeurs publics utilisant le
HUB au fur et à mesure que ces derniers contractualiseront avec MGDIS le droit d’accès et
d’utilisation du HUB, et ne concernent que leurs seuls territoires.
3.5. Enjeux et apports attendus
Le dispositif apporte une simplification concrète tant pour les usagers que pour les agents publics :
o Un dépôt unique de demande : l’usager ne saisit qu’une seule fois son dossier en ligne, au moyen d’un
formulaire normalisé conforme au CERFA n°12156-06, quelle que soit la pluralité des financeurs
sollicités.
o Une collaboration renforcée entre financeurs : la plateforme DAUPHIN permet une validation partagée
de la demande et un tour de table transparent, accessible via le Portail des Aides.
o Une instruction sans ressaisie : les données et documents déposés par l’usager sont automatiquement
récupérés dans l’espace de travail des agents, supprimant toute double saisie et garantissant une
meilleure fiabilité des informations.
o Des données fiables et homogènes : la transmission dématérialisée via le HUB assure l’intégrité et la
cohérence des éléments partagés entre financeurs.
o Des spécificités préservées : chaque financeur conserve pleinement ses propres règles, critères et
modalités d’instruction, tout en bénéficiant d’un socle commun de données.
3.6. Moyens du Traitement
Les catégories de Personnes concernées par le Traitement sont les suivantes :
o responsables et salariés associatifs.
o agents utilisateurs.
Les données à caractère personnel (DCP) concernées et leurs durées de conservation en base active sont les
suivantes :
6
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
Données d’identification de l’association et de la personne physique, en tant que contact :
o Raison sociale de l’association, SIRET/SIREN.
o Adresse postale de l’association (siège).
o Courriel professionnel de l’association.
o Numéro de téléphone (professionnel et/ou mobile si fourni).
o Identifiants de compte utilisateur (login, identifiant technique).
o Mot de passe.
o Adresse e-mail personnelle du déposant.
o Nom, prénom des représentants légaux (président, trésorier…).
o Rôle/fonction exercée dans l’association (ex. salarié, bénévole, président).
Documents administratifs joints (fichiers) susceptible de comporter des données à caractère personnel :
o PV d’AG, mandat du représentant.
o Devis, factures, conventions, justificatifs de dépenses.
o CERFA ou formulaire de demande.
Données techniques / sécurité
o Adresse IP lors du dépôt (logs).
o Journalisation d’accès et actions.
o Traces d’authentification.
Les Données conservées dans le cadre du service HUB et de DAUPHIN seront conservées pendant une durée
proportionnée à leur finalité.
À titre indicatif, sous réserve de l’actualisation par les DPO des Parties, les durées applicables seront :
o Dossiers aboutis (pièces liées à une dépense publique) : conservation en base active pendant la durée
nécessaire à l’exécution et au contrôle puis archivage conformément à la durée d’utilité administrative
(DUA) applicable — typiquement 10 ans pour les pièces justificatives de dépenses, sauf prescription
légale contraire.
o Dossiers non aboutis (sans paiement) : conservation en base active pendant 2 à 3 ans à compter de la
clôture, puis suppression ou archivage selon critères définis par les DPO.
o Journalisation / logs : conservation technique distincte, durée à définir par les DPO en fonction des
besoins de sécurité (ex. 1 à 3 ans).
Les catégories de destinataires des DCP concernées sont les suivantes :
o le personnel habilité de chaque Partie à raison de leurs attributions ou de leur droit à connaître
les DCP concernées pour l’exercice de leurs missions.
Chaque Partie est en charge, le cas échéant et chacune pour ce qui la concerne, des périmètres de Traitement
A et B décrits ci-après :
Périmètre de Traitement A - Collecte et propagation (ANCT)
Opérations de Collecte, enregistrement, structuration, stockage, transmission, mise à
traitement effectuées disposition, interconnexion, consultation, annotation, conservation, archivage,
sur les DCP effacement.
Périmètre de Traitement B - Réception et instruction (Ville de Bordeaux)
Opérations de Réception, enregistrement, structuration, consultation, utilisation, annotation
traitement effectuées interne, enregistrement de décision, conservation, archivage, effacement,
sur les DCP structuration, consultation, utilisation.
Dans le cadre de ce périmètre de Traitement, chaque Partie qui transmet à une autre Partie en qualité de
destinataire des DCP s’engage à avoir :
o collecté les Données Personnelles équitablement et licitement conformément à la Réglementation
applicable.
o obtenu les Données Personnelles pour des finalités explicitement spécifiées au moment de la collecte
et s'assurer que lesdites données sont utilisées en accord avec ces finalités
7
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
3.7. Respect des finalités du Traitement
Les Parties s’engagent à ne traiter les Données Personnelles décrites à l’article 3.6 que pour les finalités
mentionnées à l’article 3.1 ou pour des finalités compatibles avec celles-ci et s’interdisent de procéder à tout
autre Traitement des Données Personnelles.
La Ville de Bordeaux s’engage notamment à ne réaliser aucune exploitation commerciale directe ou indirecte, à
titre gratuit ou onéreux.
Si, au cours de l’exécution de la convention, l’une des Parties décide de réaliser un Traitement non décrit à
l’article 3.1, les Parties s’engagent à conclure un accord ou tout acte juridique contraignant définissant et
déterminant, notamment :
o l’objet et la durée du Traitement,
o la nature et la finalité du Traitement,
o le type de Données Personnelles,
o les catégories de Personnes Concernées,
o leurs obligations et droits respectifs,
o les modalités de communication entre eux,
o le niveau de sécurité applicable au Traitement ainsi, de manière générale, que l’ensemble des
obligations de la Réglementation applicable.
3.8. Mesures de sécurité
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte
et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les
droits et libertés des personnes physiques, les Parties mettent en œuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et être en mesure de
démontrer que les opérations de Traitement que chacune effectue le sont conformément à la Réglementation
applicable. Ces mesures sont réexaminées et actualisées si nécessaire.
Des politiques appropriées en matière de protection des données sont mises en œuvre par les Responsables
conjoints du Traitement.
Les Parties s’engagent à prendre en compte, s’agissant de ses outils, produits, applications ou services, les
principes de protection des DCP dès la conception, et de protection des données par défaut notamment en
s’assurant de la minimisation des données afin que seules celles nécessaires au regard de chaque finalité
spécifique de Traitement soient traitées.
Les Parties prennent toutes les mesures requises en vertu de l’article 32 du RGPD.
En conséquence, chaque Responsable conjoint du Traitement doit effectuer (et être en mesure de documenter)
une évaluation des risques, puis mettre en œuvre des mesures pour atténuer les risques identifiés.
4. Sous-Traitance
Dans l’hypothèse où l’une des Parties serait amenée à faire appel à un Sous-traitant pour traiter tout ou partie
des Données Personnelles, elle devra en informer les autres Parties sans délai et y être autorisée préalablement
et expressément par elles.
La société MGDIS intervient en qualité de sous-traitant des Parties pour les opérations suivantes :
o Mise en œuvre, maintien en conditions opérationnelles et évolutives du progiciel AIDEN, utilisé pour la
dématérialisation, la collecte, la gestion et la structuration des demandes d’aides instruites au titre de
la politique de la ville.
o Fourniture, exploitation technique et sécurisation de la plateforme d’échange AIDEN HUB – “Politique
de la Ville”, assurant l’interopérabilité entre la plateforme DAUPHIN (ANCT) et les systèmes
d’information des financeurs publics, ainsi que l’hébergement, la mise à disposition et la transmission
sécurisée des données et documents propagés via le HUB, dans un environnement certifié
SecNumCloud.
En cas de changement ou d’ajout de Sous-traitants, la Partie faisant appel à un Sous-traitant s’engage à informer
les autres Parties avec un préavis minimum d’un (1) mois durant lequel ces dernières peuvent émettre des «
objections ».
8
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
Cette information doit indiquer clairement les opérations de Traitement sous-traitées, l’identité et les
coordonnées des Sous-traitants et les dates du contrat de sous-traitance. Cette sous-traitance ne peut être
effectuée que si les autres Parties n'ont pas émis d'objection pendant un délai de 15 jours ouvrés à compter de
la date de réception de cette information.
En cas d’objections aux changements ou ajouts demandés, les Parties s’engagent à se réunir et en discuter de
bonne foi.
Il est entendu que la Partie faisant appel à un Sous-traitant s’engage à :
- ce que le Sous-traitant respecte de manière générale les dispositions de l’article 28 du RGPD et de la
Réglementation applicable ;
- ce que le Sous-traitant présente les garanties suffisantes quant à la mise en œuvre de mesures techniques
et organisationnelles appropriées de manière que ce traitement réponde aux exigences de la
Réglementation applicable et garantisse la protection des droits des Personnes concernées ;
- signer un contrat ou tout autre acte juridique avec son Sous-traitant pour encadrer les engagements du
Sous-traitant relatifs aux dispositions du RGPD
- faire appel à un Sous-traitant situé dans le territoire de l’Union Européenne
Par conséquent, la Partie faisant appel à un Sous-traitant sera responsable de tout manquement à ces
dispositions commis par le Sous-traitant ou ses préposés ainsi que par son/ses propres sous-traitants
ultérieurs/secondaires.
5. Obligations des Parties
5.1. Droits de la Personne concernée
Les Parties prennent toutes les mesures techniques et organisationnelles nécessaires pour que les droits
conférés par la Réglementation applicable à la Personne concernée soient garantis dans les délais légaux.
Les droits de la Personne concernée pour les finalités du Traitement sont les suivants :
Base légale Droits de la Personne concernée
Mission d’intérêt public (RGPD, art. 6.1.e) - Droit d’information (RGPD, art. 12 à 14)
- Droit d’accès (RGPD, art.15)
- Droit de rectification (RGPD, art.16)
- Droit à l’effacement (RGPD, art.17)
- Droit à la limitation (RGPD, art.18)
- Droit d’opposition (RGPD, art. 21)
- Droit de ne pas faire l’objet d’une décision fondée
exclusivement sur un traitement automatisé (RGPD, art. 22)
- Droit d’introduire une réclamation auprès de l’Autorité de
contrôle compétente (RGPD, art. 77)
- Droit de définir des directives relatives au sort de ses DCP
après sa mort (loi Informatiques et Libertés, art. 85)
5.2. Information des Personnes concernées
Les Parties s'engagent à prendre des mesures appropriées pour fournir par écrit à la Personne concernée toute
information visée aux articles 13 et 14 du RGPD d’une façon concise, transparente, compréhensible et aisément
accessible, en des termes clairs et simples.
Les Parties conviennent que ces informations seront fournies selon les modalités suivantes :
o lorsque les DCP sont collectées directement auprès de la Personne concernée : chaque Partie fournit à
la Personne concernée les informations de l’article 13 du RGPD au moment de la collecte.
9
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
o lorsque les DCP n’ont pas été collectées auprès de la Personne concerné : chaque Partie fournit à la
Personne concernée les informations de l’article 14 du RGPD au plus tard au moment de la première
communication avec ladite personne ou conformément à l’article 14.3 du RGPD.
5.3. Exercice des droits des Personnes concernées
La Personne concernée peut exercer les droits que lui confère la Réglementation applicable à l’égard de et contre
chacun des Responsables conjoints du traitement conformément à l’article 26.3 du RGPD.
Lorsqu’une Personne concernée exerce auprès des autres Parties des demandes d’exercice de ses droits, celles-
ci doivent adresser ces demandes dès réception et sans délai par courrier électronique à la Ville de Bordeaux.
Chacun des Co-Responsables de Traitement s’engage à aider dans la mesure du possible son Co-Responsable de
Traitement à s’acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le
saisissent en vue d’exercer leurs droits prévus par la Réglementation applicable.
5.4. Point de contact pour les Personnes concernées
Les Parties désignent comme point de contact pour les personnes dont les Données Personnelles sont traitées :
BORDEAUX METROPOLE : contact.cnil@bordeaux-metropole.fr
Délégué à la Protection des Données de la Ville de Bordeaux
Direction des Affaires Juridiques
Esplanade Charles de Gaulle
33045 Bordeaux Cedex
ANCT : dpo@anct.gouv.fr
Délégué de l’Agence Nationale de la Cohésion Territoriale
20 avenue de Ségur, TSA 10717
75334 Paris Cedex 07, France
5.5. Confidentialité
En outre, les Parties s’engagent, chacune pour ce qui la concerne, à ce que les personnes autorisées à procéder
à un Traitement de DCP en vertu de la convention :
o N’accèdent qu’aux DCP nécessaires au Traitement particulier dont elles ont la charge ;
o S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de
confidentialité ;
o Reçoivent la formation nécessaire en matière de protection des DCP.
6. Registre du Traitement
Les Parties s’engagent, chacune pour ce qui la concerne, à satisfaire à son obligation de transparence et de
traçabilité en tenant notamment un registre de toutes les catégories d’activités de Traitement effectuées
conformément à l’article 30 du RGPD.
Chaque Co-Responsable de Traitement mettra le registre à la disposition de l’Autorité de contrôle, sur demande.
7. Sort des Données à caractère personnel
A l’issue du Traitement et au plus tard au terme de la convention, les Parties s’engagent soit à supprimer toutes
les Données Personnelles et détruire les copies existantes, soit à anonymiser de manière irréversible les DCP, à
moins que la Personne concernée n’ait été informé de l’intention de l’un des Responsables conjoints du
Traitement d’effectuer un traitement ultérieur conforme à la Réglementation applicable.
Il peut être justifié que les DCP soient conservées pour des durées plus longues, en archivage intermédiaire avec
accès restreint (gestion des droits d’accès et des habilitations) aux seules personnes ayant un intérêt à les traiter
en raison de leurs fonctions, distinctement de la base active ou au sein de la base active à condition de procéder
à un isolement des données archivées au moyen d’une séparation logique, dans la mesure où :
- une obligation légale impose de les conserver pendant une durée fixée ;
10
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
- elles présentent un intérêt administratif, notamment en cas de contentieux, justifiant de les conserver le temps
des règles de prescription/forclusion applicables, notamment en matière commerciale, civile et fiscale ;
- elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche
scientifique ou historique ou à des fins statistiques conformément à l'article 89.1 du RGPD et aux articles 4,2°,
78 et 79 de la loi Informatique et Libertés.
Lorsque les DCP sont traitées ultérieurement par l’une des Parties d’une manière compatible avec les finalités
initiales du Traitement ou lorsque les finalités et les moyens d’un Traitement ultérieur sont déterminés
séparément par les Parties, chaque Partie est responsable de traitement autonome au sens de l'article 4.7 du
RGPD et doit à ce titre distinctement respecter la Règlementation applicable.
8. Notification et communication d’une Violation de DCP et
coopération auprès des co-Responsables de Traitement et de
l’Autorité de contrôle
8.1 Notification des Violations de DCP
Dans le cadre de son obligation d’assistance, d’alerte et de conseil, chacun des RCT s’engage à coopérer
activement en vue d’assurer la conformité à la Réglementation applicable.
Les Parties s’informent mutuellement de toute difficulté liée à l’utilisation pérenne des DCP pendant la durée
de la convention. Lorsqu’une Partie constate une Violation de DCP au sens de la Réglementation applicable, elle
doit en informer immédiatement les autres après en avoir pris connaissance.
À la suite de la notification aux autres Parties, les Parties doivent se concerter afin de limiter au maximum la
propagation de la Violation mais également afin d’évaluer la situation.
Les Parties peuvent proposer des mesures de protection techniques et organisationnelles visant à remédier à la
Violation ou, le cas échéant, à atténuer les éventuelles conséquences négatives. En cas d’accord entre les Parties,
les mesures doivent être mises en œuvre immédiatement.
À ce moment, les Parties doivent recueillir l’ensemble des informations devant être notifiées à l’Autorité de
contrôle compétente conformément à l’article 33 du RGPD et les communiquer entre elles réciproquement.
En outre, la Partie en charge du périmètre de Traitement où s’est produite la Violation sera désignée responsable
de sa notification à l’Autorité de contrôle compétente et, en tout état de cause, sera son interlocuteur privilégié
dans le cadre de la Violation.
La Partie désignée devra notifier la Violation à l’Autorité de contrôle compétente dans les meilleurs délais et, si
possible 72 heures au plus tard après en avoir pris connaissance.
Lorsque la notification à l’Autorité de contrôle compétente n’a pas eu lieu dans les 72 heures, il est nécessaire
que la notification soit accompagnée des motifs de retard.
La notification doit à tout le moins comprendre les informations visées à l’article 33.3 du RGPD.
Si ces informations ne peuvent être délivrées en une seule fois dans le délai de 72 heures, elles peuvent
néanmoins être communiquées de manière échelonnée sans autre retard indu.
La Partie désignée doit, avec l’aide des autres Parties, réaliser un rapport documenté résumant l’ensemble de
ces informations (faits, effets, mesures prises) afin de permettre à l’Autorité de contrôle compétente de vérifier
la conformité des Parties à l’obligation de notification de la Violation.
8.2 Communication à la Personne concernée d’une Violation de DCP
Lorsqu’une Violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes
physiques, la Partie responsable de sa notification à l’Autorité de contrôle compétente communique la Violation
de DCP à la Personne concernée dans les meilleurs délais.
Pour ce faire, les Parties se concertent afin de déterminer si la Violation et les conditions d’un risque élevé sont
réunies. Si tel est le cas, la Partie désignée devra notifier la Violation à la Personne concernée dans les 72 heures
après avoir notifié à l’Autorité de contrôle compétente ladite Violation.
En cas de doute sur le degré de risque, la Partie désignée doit saisir l’Autorité de contrôle compétente pour
obtenir son assistance sur le sujet.
11
Protocole responsabilité conjointe ANCT _ Ville de Bordeaux
Si les Parties n’ont aucun doute quant au degré de risque, la Partie désignée doit à ses frais et après validation
des autres co-Responsables de Traitement communiquer à la Personne concernée la Violation en des termes
clairs et simples, et contenir les informations visées à l’article 34.2 du RGPD.
8.3 Coopération avec l’Autorité de contrôle
Chaque RCT s’engage à coopérer avec l’Autorité de contrôle, à la demande de celle-ci dans l’exécution de ses
missions.
Dans le cas d’un contrôle, les Parties doivent s’informer réciproquement des informations demandées par la
CNIL et, le cas échéant, des réponses apportées.
Les Parties doivent se concerter afin de fournir l’ensemble des informations et documents demandées par la
CNIL. Les réponses seront apportées par chaque Partie en fonction des demandes de la CNIL.
En tout état de cause, la Partie auditée communique à la CNIL la présente annexe.
8.4 Analyses d’impact / Consultation préalable
Chaque co-Responsable de Traitement s’engage à s’entraider pour la réalisation et l’amélioration continue des
analyses d’impact relatives à la protection des données et/ou pour la réalisation de la consultation préalable à
l’Autorité de contrôle en cas d’analyses d’impact ayant indiqué que le Traitement présenterait un risque élevé
s’il ne faisait pas l’objet d’une modification.
A ces fins, les Parties s’engagent à se fournir toutes les informations qu’elles disposent ainsi qu’une aide et
assistance technique afin de proposer des mesures d’atténuation des risques.
12