Politique de confidentialité de MonServiceSécurisé

En vigueur à partir du 28.04.2023

Dans le cadre de l'utilisation du portail MonServiceSécurisé (ci-après le « Site »), l'utilisateur (ci-après l'« Utilisateur ») peut être amené à transmettre à l'Agence nationale de la sécurité des systèmes d'information (ci-après l'« ANSSI ») des données à caractère personnel pour :

D'une part :

• constituer le dossier d'homologation de sécurité du ou des services numériques nécessitant une telle homologation en application de la réglementation en vigueur ;
• pouvoir bénéficier des services proposés par le Site (constitution du dossier d'homologation, génération du dossier d'homologation à faire signer à l'autorité d'homologation, conservation des dossiers d'homologation).

D'autre part :

• inscrire et gérer la liste de diffusion de la lettre d'information du service.

Les champs obligatoires sont indiqués dans les formulaires. L'ANSSI, en tant que responsable de traitement, s'engage à ce que la collecte et le traitement des données à caractère personnel de l'Utilisateur soit effectués de manière licite, loyale et transparente, conformément au Règlement (UE) général sur la protection des données (« RGPD ») et à la Loi informatique et libertés de 1978 modifiée (« LIL »).

Cette collecte d'informations se limite au nécessaire, conformément au principe de minimisation des données. Les définitions fournies à l'article 4 du RGPD sont applicables aux présentes. En cas de mise à jour, l'ANSSI n'abaissera pas le niveau de confidentialité de manière substantielle sans l'information préalable de l'Utilisateur.

La Politique de confidentialité fait partie intégrante des Conditions générales d'utilisation.

1. Objet

La Politique de confidentialité définit les règles applicables à la collecte et au traitement des données à caractère personnel de l'Utilisateur lors de sa navigation sur le Site et de son utilisation du Site une fois connecté à son espace.

L'ANSSI est libre de modifier, à tout moment, la Politique de confidentialité, afin notamment de prendre en compte toute évolution législative, réglementaire, jurisprudentielle et technique. La version qui prévaut est celle accessible en ligne.

L'Utilisateur sera informé en cas de modification de la Politique de confidentialité. S'il s'oppose aux modifications apportées, il est libre de cesser d'utiliser à tout moment les services du Site et de supprimer son compte. Si l'Utilisateur continue à utiliser le Site après la publication ou l'envoi d'un avis concernant les modifications apportées à la Politique de confidentialité, cet usage vaut acceptation de la Politique de confidentialité mise à jour.

2. Identité et coordonnées du responsable de traitement

Le responsable des traitements des données à caractère personnel que l'Utilisateur transmet lors de son inscription sur le Site ou pendant tout le processus de recrutement est l'ANSSI (51 boulevard de la Tour-Maubourg, 75700 Paris 07 SP).

3. Fondement juridique du traitement

Le fondement juridique des deux traitements est à l'article 6.1. a) du RGPD, soit le consentement de l'Utilisateur.

En effet, lors de la création de son compte sur le Site, l'Utilisateur consent :

• pour la création à l'utilisation du Site à la collecte de ses données à caractère personnel en cochant en ligne la case d'acceptation des Conditions générales d'utilisation et de la Politique de confidentialité, dont il déclare avoir pris connaissance ;
• pour l'abonnement à la lettre d'information du service, à la collecte de ses données pour l'envoi de la lettre en cochant la case spécifique prévue à cet effet.

4. Données à caractère personnel collectées

A. Données que l'Utilisateur communique à l'ANSSI

Données d'inscription.

Pour créer un compte, l'ANSSI demande à l'Utilisateur de fournir ses nom et prénom, une adresse électronique, le type d'entité pour laquelle il travaille ou pour le compte de laquelle il travaille, et de créer un mot de passe.

Données demandées pour constituer un dossier d'homologation.

Les données obligatoires sont celles qui sont demandées pour l'inscription, les coordonnées des personnes composant la Commission d'homologation (prénom, nom, fonction) ainsi que les informations relatives au service à homologuer (informations générales, caractéristiques complémentaires, vérification des risques, mesures de sécurité, documents complémentaires, avis de l'expert cybersécurité).

Données demandées pour l'envoi de la lettre d'information du service.

La donnée obligatoire est l'adresse électronique de l'Utilisateur.

B. Journaux de connexion

Des données d'utilisation (adresses IP, logs de connexion et d'utilisation) sont collectées automatiquement sur le Site dès lors que l'Utilisateur est connecté via son compte. Ces données sont enregistrées en vue de faciliter sa navigation, diagnostiquer les problèmes de serveur, prévenir et lutter contre la fraude informatique (spamming, hacking…) et améliorer la gestion du Site.

Celles-ci seront conservées pour une durée ne pouvant être supérieure à 13 mois à compter de leur enregistrement et ne sont visibles que des agents chargés de l'administration du Site.

C. Cookie

Cookie utilisé lors de la connexion au compte.

Le Site utilise un petit fichier texte (un « cookie » ou « traceur ») sur le terminal de l'Utilisateur (ordinateur, tablette ou smartphone) qui permet à l'Utilisateur de s'authentifier sur le Site et d'accéder à son espace personnel. Ce cookie étant strictement nécessaire à la fourniture des services du Site demandés expressément par l'Utilisateur, ce dernier ne peut s'y opposer, conformément à l'article 82 de la LIL.

5. Finalités du traitement

Les données à caractère personnel collectées auprès de l'Utilisateur ont pour finalité :

• la création et la gestion de son compte, des procédures d'authentification et de mot de passe oublié ;
• la création, la gestion et le suivi du traitement de ses dossiers d'homologation ;
• la collecte de données statistiques de fréquentation et d'usage.

Si l'Utilisateur souhaite s'abonner à la lettre d'information du service, son adresse électronique collectée a pour finalité :

• L'inscription à la lettre d'information du service ;
• La gestion de la liste de diffusion de cette lettre d'information.

Les logs et le cookie permettent de :

• améliorer et faciliter la navigation sur le Site ;
• diagnostiquer les problèmes du serveur et améliorer la gestion du Site ;
• résoudre tout litige éventuel ou régler tout problème dans le cadre de l'utilisation du Site.

6. Durée de conservation des données à caractère personnel que l'Utilisateur a communiquées

L'ANSSI s'engage à conserver les données à caractère personnel que l'Utilisateur lui a communiquées uniquement pendant la durée strictement nécessaire au traitement selon les finalités précitées, et en toute hypothèse dans les limites imposées par la loi. La durée de conservation des données à caractère personnel est de 12 mois à compter de la dernière connexion de l'Utilisateur. Néanmoins, l'Utilisateur peut décider de supprimer son compte à tout moment. Cette suppression entraîne l'effacement de toutes ses données à caractère personnel dans un délai d'un mois maximum, de tout l'historique des dossiers d'homologation déjà effectués et interrompt tout processus d'homologation en cours. Elle entraîne également le désabonnement à la lettre d'information conformément au paragraphe suivant.

L'adresse électronique de contact pour la lettre d'information est conservée tant que l'Utilisateur est abonné et jusqu'à 6 mois après la demande de suppression de ses données telles que prévue au paragraphe précédent ou la demande de suppression de son abonnement.

Dans tous les cas, l'ANSSI s'engage à effacer les données à caractère personnel de l'Utilisateur des bases de données du Site à l'issue des durées mentionnées.

Toutefois, l'ANSSI peut conserver certaines informations pour une période supérieure à la période de conservation évoquée afin de satisfaire à des obligations légales. Les données de l'Utilisateur seront néanmoins désactivées et ne seront plus accessibles en ligne.

7. Destinataires des données à caractère personnel

Les destinataires des données à caractère personnel de l'Utilisateur sont le personnel de l'ANSSI impliqué dans l'administration et la gestion du Site ou de la lettre d'information.

8. Sous-traitants et transfert des données à caractère personnel

Les données à caractère personnel de l'Utilisateur sont à usage interne de l'ANSSI, pour la bonne administration et la gestion du Site, elles sont strictement confidentielles et ne peuvent être divulguées à des tiers, sauf accord exprès de sa part ou si l'Utilisateur a décidé de les rendre publiques.

En cas de communication des données à caractère personnel de l'Utilisateur à un tiers, quelle que soit sa qualité, l'ANSSI s'assurera préalablement que ce dernier est tenu d'appliquer des conditions de confidentialité assurant au moins le même niveau de garanties que les siennes.

L'ANSSI s'engage à (i) ce que tout sous-traitant présente des garanties contractuelles suffisantes et appropriées pour respecter les droits de l'Utilisateur, afin que le traitement réponde aux exigences du RGPD et (ii) à respecter les dispositions du RGPD applicables aux transferts des données.

Sur la base de nos obligations légales, les données à caractère personnel de l'Utilisateur pourront être divulguées en application d'une loi, d'un règlement ou en vertu d'une décision d'une autorité réglementaire ou judiciaire compétente.

9. Sécurité des données à caractère personnel

L'ANSSI met en œuvre toutes les mesures techniques et organisationnelles afin d'assurer la sécurité et la conformité des traitements de données à caractère personnel, ainsi que la confidentialité de ces données.

À ce titre, l'ANSSI prend toutes les précautions utiles sur le Site au regard de la nature des données et des risques présentés par le Site, afin de préserver la sécurité des données et, notamment, d'empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisées y aient accès.

10. Droits de l'Utilisateur

Conformément à la réglementation européenne en vigueur, l'Utilisateur dispose des droits suivants :

• droit d'accès (article 15 du RGPD), de rectification, de mise à jour et de complétude de ses données (article 16 du RGPD) ;
• droit d'effacement de ses données dans les conditions prévues à l'article 17 du RGPD. L'exercice du droit d'effacement des données par l'Utilisateur entraînera la suppression de son compte et des éventuelles homologations déjà effectuées.
• droit à la limitation du traitement de ses données (article 18 du RGPD) ;
• droit à la portabilité des données qu'il a fournies (article 20 du RGPD).

L'Utilisateur peut exercer ses droits en contactant l'ANSSI

• par courriel à l'adresse suivante : lab-inno [at] ssi.gouv.fr
• par courrier postal à l'adresse suivante :

  Agence nationale de la sécurité des systèmes d'information
  À l'attention du Lab Inno
  51 boulevard de la Tour-Maubourg
  75007 PARIS 07 SP

Dans ce cas l'Utilisateur doit préciser quelles sont les données concernées par sa demande et justifier de son identité (fournir une copie d'une pièce d'identité). Par ailleurs, dès que l'ANSSI a connaissance du décès d'un Utilisateur, elle s'engage à détruire ses données, sauf si leur conservation s'avère nécessaire afin de répondre à une obligation légale.

Pour la lettre d'information du service, un lien de désinscription est proposé lors de chaque envoi de la lettre.

Si l'Utilisateur estime après avoir contacté l'ANSSI que les droits sur ses données n'ont pas été respectés, il peut introduire une réclamation auprès de la CNIL.

Voir le site de la CNIL pour plus d'informations sur les droits de l'Utilisateur.