Confidentialité

En navigant sur la plateforme Cybermalveillance.gouv.fr, certaines données sont collectées afin d’assurer le bon fonctionnement des services proposés par la plateforme ou de vous proposer des services supplémentaires.

Cette page a pour fonction de vous informer sur la nature des données collectées, les modalités de traitement et de conservation ainsi que sur vos droits.

Cette page peut évoluer en fonction des modifications mises en place sur les traitements de données effectués ainsi que du contexte légal et réglementaire.

Lorsque vous naviguez sur la plateforme Cybermalveillance.gouv.fr ou bénéficiez des différents services proposés, vous êtes périodiquement renvoyé.e sur tout ou partie de cette page à des fins d’information spécifique.

1 – Cadre législatif général applicable

Le GIP ACYMA, responsable du traitement, déclare qu’il effectue des traitements de données personnelles conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le RGPD) et à la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée) et au décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Aucune donnée collectée n’est stockée hors de l’Union Européenne.

2 – Responsable du traitement et autres intervenants

Le responsable du traitement est identifié ci-dessous.

Ses coordonnées sont : GIP ACYMA, 6 rue Bouchardon, 75010 Paris, représenté par son directeur général, Monsieur Jérôme NOTIN.

Courriel : contact@cybermalveillance.gouv.fr

Les coordonnées du délégué à la protection des données sont : dpo@cybermalveillance.gouv.fr

Vos données sont traitées exclusivement pour les finalités décrites dans cette politique de gestion des données personnelles et ne sont pas hébergées en dehors de l’Union européenne.

Les données collectées sont hébergées sur un espace réservé au GIP ACYMA et administré par les équipes d’ACYMA chez l’hébergeur CLOUD TEMPLE – Le Belvédère, 1-7 Cr Valmy, 92800 Puteaux – Téléphone 01 41 91 77 77.

Les datacenters de CLOUD TEMPLE sont situés chez Interxion à La Courneuve et Telehouse à Magny-les-Hameaux.

Certains traitements liés aux envois faits par la plateforme Cybermalveillance.gouv.fr à ses utilisateurs peuvent être effectués en utilisant l’outil d’emailing Brevo. Les données utilisées par l’outil ne sont pas traitées par d’autres acteurs que Cybermalveillance.gouv.fr et sont hébergés en Union européenne.

3 – Droits de la personne dont les données sont collectées et traitées

En tant que personne dont les données personnelles sont collectées, vous avez le droit :

– de demander au responsable du traitement l’accès à vos données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à votre personne ;

– de vous opposer au traitement de vos données personnelles ;

– à la portabilité de vos données, c’est-à-dire le droit de récupérer les données personnelles fournies dans un format structuré, couramment utilisé, ainsi que le droit de transmettre ces données à un autre responsable de traitement de données ;

– à formuler des directives relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel après votre décès ;

– de retirer votre consentement à tout moment, lorsque le traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques a nécessité le recueil de votre consentement préalable (traitement fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a) du RGPD).

L’ensemble de ces droits peuvent être exercés auprès du délégué à la protection des données personnelles du GIP ACYMA à l’adresse suivante : 6 rue Bouchardon, 75010 ou par email : dpo@cybermalveillance.gouv.fr

Le GIP ACYMA pourra, avant tout traitement de la demande, vérifier l’identité du demandeur et /ou demander des précisions complémentaires afin d’être en mesure d’apporter la réponse la plus adaptée. Le GIP ACYMA s’engage à donner suite aux demandes portant sur l’exercice des droits d’une personne dont les données sont collectées dans un délai raisonnable et en tout état de cause dans les délais fixés par le RGPD en fonction de la nature de la demande.

Le cas échéant, si le traitement de votre demande ne vous donne pas satisfaction, vous pouvez former une réclamation auprès de la Commission nationale de l’informatique et des libertés, via le formulaire en ligne dédié : https://www.cnil.fr/fr/plaintes

4 – Quelles données sont traitées, et pour quels objectifs ?

A – Données relatives à la navigation sur la plateforme

Données collectées

Lorsque vous consultez les contenus diffusés par Cybermalveillance.gouv.fr, nous recueillons votre consentement pour le recueil de certaines données par le biais d’un cookie :

– date, heure et durée de la consultation du site

– adresse IP de connexion (nous ne conservons pas les deux derniers chiffres de l’adresse IP, ce qui empêche une identification précise mais permet une localisation géographique à l’échelle du département)

– adresse du site internet (ou du moteur de recherche) depuis lequel vous arrivez sur la plateforme, page de sortie de la plateforme

– pages consultées sur la plateforme

– « parcours-victime » : ensemble du parcours d’assistance au diagnostic effectué sur la plateforme jusqu’à la sortie : renvoi vers un autre service, conseils et/ou proposition d’un prestataire d’assistance de proximité, etc.

Un cookie est un fichier texte déposé lors de la consultation d’un site, d’une application ou d’une publicité en ligne et stocké dans un espace spécifique du disque dur d’un ordinateur ou appareil mobile. Un cookie est généré par le navigateur internet utilisé et seul l’émetteur du cookie peut décider de la lecture ou de la modification des informations qui y sont contenues.

Ces données ne sont pas identifiantes, c’est à dire que nous ne pouvons pas les utiliser pour vous identifier personnellement. Elles nous sont utiles pour deux finalités :

– améliorer le service rendu : mesurer la fréquentation du site, la provenance des visiteurs, origine des consultations du site, les horaires de consultations etc.

– connaître les types de malveillance dont sont victimes les visiteurs du site au travers des parcours de victimes, afin de pouvoir adapter les modalités d’assistance aux victimes sur le site.

A tout moment vous pouvez changer vos préférences concernant le recueil de ces données par le biais d’un cookie. Il suffit de cliquer sur le lien ci-dessous :

Cliquez ICI pour modifier vos préférences

Durée de conservation

Les données collectées ne sont traitées que sous une forme anonymisée, à des fins statistiques et d’amélioration de notre service. Elles sont conservées pour une durée maximale de 13 mois.

Vos données ne sont à aucun moment hébergée hors de l’Union Européenne.

Cadre légal

La base légale de ces mesures liées à la navigation sur la plateforme Cybermalveillance.gouv.fr résulte des délibérations suivantes de la CNIL :

• Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et et abrogeant la délibération n° 2019-093 du 4 juillet 2019 ;

• Délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

B – Données relatives à la mise en relation avec un prestataire d’assistance de proximité

Données collectées

Lorsque vous effectuez un « parcours-victime » sur la plateforme Cybermalveillance.gouv.fr, vous pouvez être orientée vers une mise en relation avec un prestataire d’assistance référencés par Cybermalveillance.gouv.fr.

Pour permettre cette mise en relation, Cybermalveillance.gouv.fr vous demande de créer un compte avec un identifiant (votre adresse email ou votre numéro de téléphone mobile) et une localisation géographique (code postal) qui vont être associés au diagnostic effectué sur la plateforme. Ces informations vont permettre de vous créer un « espace utilisateur » dans lequel vous allez suivre l’avancée de votre accompagnement.

Vous recevrez alors un email ou un SMS vous demandant de confirmer la création de votre compte. En confirmant la création de votre compte, vous acceptez que nous conservions votre adresse de messagerie dans notre base de données. Si vous ne confirmez pas la création de compte, votre email sera supprimé de notre base dans un délai de 3 mois.

Vous pouvez également demander immédiatement la suppression de votre adresse de messagerie si vous ne souhaitez plus créer de compte utilisateur, cela entraînera également la suppression des données personnelles recueillies (identifiant, adresse email, numéro de téléphone mobile) afin de permettre une mise en relation avec les prestataires.

Si vous aviez déjà créé un compte auparavant sur Cybermalveillance.gouv.fr, vous n’aurez alors qu’à vous identifier.

Vous pouvez également vous connecter via un identifiant FranceConnect.

Le diagnostic de votre situation va être proposé aux prestataires inscrits qui

1) sont en mesure de traiter le type de problème que vous rencontrez

2) interviennent dans votre zone géographique

Les prestataires n’ont pas accès à vos coordonnées personnelles mais seulement à un numéro de dossier et un résumé du diagnostic posé.

Lorsqu’un ou plusieurs prestataires acceptent la prise en charge de votre problème, ils apparaissent dans votre espace utilisateur. Vous pouvez alors soit les contacter, soit demander à ce qu’ils vous recontactent. Les prestataires ont alors accès à votre identifiant (adresse email ou numéro de téléphone) afin de pouvoir vous contacter si vous le souhaitez. Ils ne doivent pas vous contacter pour une autre finalité que cette demande d’assistance.

Durée de conservation

Les données personnelles associées à votre compte seront conservées pendant une durée maximale de 3 ans après la dernière connexion sur votre compte. Vous recevrez alors un email vous informant de la suppression de votre compte.

Après votre mise en relation avec un prestataire d’assistance, vous recevrez un email afin de recueillir votre avis sur la qualité de l’assistance reçue.

Ponctuellement, vous pourrez recevoir un email comportant quelques demandes de précisions sur votre profil de victime, afin de nous aider à mieux comprendre la nature de la menace et les populations principalement ciblées, dans un objectif d’amélioration de nos services et de participation à l’orientation des politiques publiques en matière de sécurité numérique. Vous resterez toujours libre de ne pas renseigner ces informations.

Les données personnelles collectées dans le cadre de la création d’un compte « victime » sur la plateforme Cybermalveillance.gouv.fr ne sont en aucun cas traitées pour d’autres finalités que celle de vous mettre en relation avec un prestataire d’assistance et recueillir votre avis a posteriori, et comprendre la nature de la menace numérique.

Cadre légal

Le cadre légal applicable à ce traitement de données personnelles est le Règlement européen pour la protection des données (RGPD), Article 6 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[…]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »

Vos données ne sont à aucun moment hébergée hors de l’Union Européenne.

C – Données relatives à l’abonnement à des contenus d’alerte et de sensibilisation

Données collectées

Lors de votre navigation sur la plateforme Cybermalveillance.gouv.fr, ou lorsque vous créez un compte pour recevoir une assistance de proximité, nous vous proposons de vous abonner à nos alertes et contenus de sensibilisation.

Ces contenus ont comme objectif de vous sensibiliser sur les sujets de sécurité numérique, vous fournir des contenus de sensibilisation que vous pourrez partager librement avec votre entourage personnel ou professionnel, et vous tenir au courant des principales alertes de sécurité afin que vous puissiez vous prémunir des attaques en cours.

Lorsque vous vous inscrivez sur notre site ou lors d’un événement, vous recevez un courriel vous demandant de confirmer votre inscription. Ce courriel permet de vérifier la validité de votre adresse courriel et de nous assurer de votre consentement.

L’abonnement à ces contenus est paramétrable pour correspondre au mieux à vos besoins.

Durée de conservation

Votre adresse de messagerie est conservée le temps de votre inscription aux contenus d’alerte et de sensibilisation de Cybermalveillance.gouv.fr.

Vous pouvez vous désabonner à tout moment en utilisant la fonction « désabonnement » en bas des courriels qui vous seront envoyés.

Votre adresse de courriel sera alors supprimée de nos bases.

Cadre légal

Le cadre légal applicable à ce traitement de données personnel est l’article 7 du Règlement européen sur la protection des données qui décrit les conditions applicables au consentement :

« Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. »

Vos données ne sont à aucun moment hébergée hors de l’Union Européenne. Elles ne seront pas utilisées pour une autre finalité que celle pour laquelle elles ont été collectées : ici, l’envoi de contenus d’alerte et de sensibilisation.

D – Données relatives à l’envoi d’informations ou de contenus ponctuels par email depuis la plateforme Cybermalveillance.gouv.fr

Lorsque vous effectuez un parcours d’assistance sur la plateforme Cybermalveillance.gouv.fr, vous pouvez demander à recevoir un résumé de votre diagnostic par email.

D’autres contenus peuvent vous êtes proposés à l’envoi ponctuel par email.

Votre adresse de messagerie n’est jamais conservée en base après l’envoi de cet email.

E – Données relatives à la création d’un compte utilisateur

Données collectées

Lorsque vous naviguez sur la plateforme Cybermalveillance.gouv.fr, vous avez la possibilité de créer un compte utilisateur qui vous permet de gérer vos alertes, abonnements à des contenus de sensibilisation et assistance si vous êtes victime.

Pour permettre cette création de compte, Cybermalveillance.gouv.fr vous demande de renseigner un identifiant (votre adresse email ou votre numéro de téléphone).

Vous recevrez alors un email ou un SMS vous demandant de confirmer la création de votre compte. En confirmant la création de votre compte, vous acceptez que nous conservions votre adresse de messagerie dans notre base de données. Si vous ne confirmez pas la création de compte, votre email sera supprimé de notre base dans un délai de 3 mois.

Vous pouvez également demander immédiatement la suppression de votre adresse de messagerie si vous ne souhaitez plus créer de compte utilisateur, cela entraînera également la suppression des données personnelles recueillies (identifiant, adresse email, numéro de téléphone mobile) afin de permettre une mise en relation avec les prestataires.

Vous pouvez également vous connecter via un identifiant FranceConnect.

Dans votre profil utilisateur, vous avez la possibilité de renseigner des informations de contact telles que votre adresse, votre numéro de téléphone, ou votre année de naissance etc. Ces informations sont facultatives et serviront uniquement à un traitement statistique anonymisé ayant pour finalité une meilleure connaissance de la menace et des victimes d’actes de cybermalveillance.

Durée de conservation

Les données personnelles associées à votre compte seront conservées pendant une durée maximale de 3 ans après la dernière connexion sur votre compte. Vous recevrez alors un email vous informant de la suppression de votre compte.

Les données personnelles collectées dans le cadre de la création d’un compte sur la plateforme Cybermalveillance.gouv.fr ne sont en aucun cas traitées pour d’autres finalités que celle de vous mettre en relation avec un prestataire d’assistance et recueillir votre avis a posteriori, et vous permettre de paramétrer vos abonnements aux alertes et contenus de sensibilisation, et sous forme anonymisée de nous permettre d’analyser l’état de la menace et des victimes d’actes de cybermalveillance.

Le cadre légal applicable à ce traitement de données personnelles est le Règlement européen pour la protection des données (RGPD), Article 6 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

[…]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »

Vos données ne sont à aucun moment hébergée hors de l’Union Européenne.

F – Données relatives à l’inscription de prestataires d’assistance et de remédiation sur la plateforme Cybermalveillance.gouv.fr

Vous êtes prestataire d’assistance informatique et vous souhaitez être inscrit sur la plateforme Cybermalveillance.gouv.fr afin de pouvoir être mis en relation avec des victimes d’actes de cybermalveillance.

Vous allez créer un espace de candidature dans lequel vous allez renseigner des informations nécessaires à votre inscription. Dans ces informations figurent l’identité et les coordonnées du responsable légal de votre organisation ainsi que le recueil de la copie d’une pièce d’identité. Ces informations sont nécessaires à l’inscription sur la plateforme en tant que prestataire. En validant votre inscription, vous acceptez la collecte et la conservation de ces données.

Les données et informations personnelles sont conservées pendant toute la durée de votre inscription sur la plateforme Cybermalveillance.gouv.fr.

Lorsque vous demandez à être désinscrit, ou lorsque nous procédons à votre désinscription, les données sont supprimées à l’exception de l’adresse de messagerie associée au compte, nécessaire en cas de réclamation d’un utilisateur du site ou en cas d’autre besoin de vous contacter. Cette adresse de messagerie est conservée jusqu’à un an après la désinscription de la plateforme.

La base légale de ce traitement de données personnelles est l’article 6 du Règlement européen sur la protection des données :

« 1) Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

[…]

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci »

[…]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

G – Données relatives à l’utilisation du module « Assistance Cyber en Ligne »

Le module «Assistance CYBER en ligne» est un module de type « widget » intégrable sur n’importe quel site internet tiers souscripteur et accessible à tout utilisateur (particulier, entreprise, collectivité territoriale ou établissement public local, association) victime d’une cybermalveillance.

Le module permet d’accéder à un diagnostic en ligne directement depuis le site du souscripteur. À l’issue de ce diagnostic, l’utilisateur pourra, s‘il le souhaite, accéder à des conseils personnalisés sur Cybermalveillance.gouv.fr et être mise en relation avec un professionnel en cybersécurité référencé sur la plateforme.

Des données sont collectées à partir du moment où vous êtes redirigés sur Cybermalveillance.gouv.fr.

Données collectées

Lorsque vous consultez l’outil de diagnostic en ligne, nous recueillons un certain nombre de données de navigation au titre de l’utilisation de l’outil:

• date, heure et durée de la consultation du site
• adresse IP de connexion (nous ne conservons pas les deux derniers octets de l’adresse IP, ce qui empêche une identification précise mais permet une localisation géographique à l’échelle du département)
• adresse du site internet depuis lequel vous arrivez sur l’outil de diagnostic
• « parcours-victime » : ensemble du parcours d’assistance au diagnostic effectué via le module jusqu’au renvoi au contenu pertinent de la plateforme Cybermalveillance.gouv.fr

Ces données ne sont pas identifiantes, c’est à dire que nous ne pouvons pas les utiliser pour vous identifier personnellement. Elles nous sont utiles pour deux finalités :

• améliorer le service rendu : mesurer la fréquentation du site, la provenance des visiteurs, origine des consultations du site, les horaires de consultations etc.
• connaître les types de malveillance dont sont victimes les visiteurs du site au travers des parcours de victimes, afin de pouvoir adapter les modalités d’assistance aux victimes sur le site.

Durée de conservation

Les données collectées ne sont traitées que sous une forme anonymisée, à des fins statistiques et d’amélioration de notre service. Elles sont conservées pour une durée maximale de 13 mois, sauf à à ce qu’elles soient anonymisées, notamment à des fins de détection des menaces.

Vos données ne sont à aucun moment hébergée hors de l’Union Européenne.

Cadre légal

La base légale de ces mesures liées à la navigation sur la plateforme Cybermalveillance.gouv.fr résulte des délibérations suivantes de la CNIL :

Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019 ;

Délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »