Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Politique de confidentialité

Publié le 27 nov. 2019

36

En navigant sur la plateforme Cybermalveillance.gouv.fr, certaines données sont collectées afin d’assurer le bon fonctionnement des services proposés par la plateforme ou de vous proposer des services supplémentaires.

Cette page a pour fonction de vous informer sur la nature des données collectées, les modalités de traitement et de conservation ainsi que sur vos droits.

Cette page peut évoluer en fonction des modifications mises en place sur les traitements de données effectués ainsi que du contexte légal et réglementaire.

Lorsque vous naviguez sur la plateforme Cybermalveillance.gouv.fr ou bénéficiez des différents services proposés, vous êtes périodiquement renvoyé.e sur tout ou partie de cette page à des fins d’information spécifique.

1 – Cadre législatif général applicable

Le GIP ACYMA, responsable du traitement, déclare qu’il effectue des traitements de données personnelles conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le RGPD) et à la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée) et au décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Aucune donnée collectée n’est stockée hors de l’Union Européenne.

2 – Responsable du traitement et autres intervenants

Le responsable du traitement est identifié ci-dessous.

Ses coordonnées sont : GIP ACYMA, 6 rue Bouchardon, 75010 Paris, représenté par son directeur général, Monsieur Jérôme NOTIN.

Courriel : contact@cybermalveillance.gouv.fr

Les coordonnées du délégué à la protection des données sont : dpo@cybermalveillance.gouv.fr

Vos données sont traitées exclusivement pour les finalités décrites dans cette politique de gestion des données personnelles et ne sont pas hébergées en dehors de l’Union européenne.

Les données collectées sont hébergées sur un espace réservé au GIP ACYMA et administré par les équipes d’ACYMA chez l’hébergeur OXYD SARL – 19 rue Alphonse de Neuville 75017 Paris – Téléphone 01 71 250 350.

Les datacenters d’OXYD SARL dont situés chez EQUINIX, 114 rue Ambroise Croizat, 93200 Saint-Denis et sont certifiés ISO 27001.

Certains traitements liés aux envois faits par la plateforme Cybermalveillance.gouv.fr à ses utilisateurs peuvent être effectués en utilisant l’outil d’emailing SendinBlue. Les données utilisées par l’outil ne sont pas traitées par d’autres acteurs que Cybermalveillance.gouv.fr et sont hébergés en Union européenne.

3 – Droits de la personne dont les données sont collectées et traitées

En tant que personne dont les données personnelles sont collectées, vous avez le droit :

– de demander au responsable du traitement l’accès à vos données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à votre personne ;

– de vous opposer au traitement de vos données personnelles ;

– à la portabilité de vos données, c’est-à-dire le droit de récupérer les données personnelles fournies dans un format structuré, couramment utilisé, ainsi que le droit de transmettre ces données à un autre responsable de traitement de données ;

– à formuler des directives relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel après votre décès ;

– de retirer votre consentement à tout moment, lorsque le traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques a nécessité le recueil de votre consentement préalable (traitement fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a) du RGPD).

L’ensemble de ces droits peuvent être exercés auprès du délégué à la protection des données personnelles du GIP ACYMA à l’adresse suivante : 6 rue Bouchardon, 75010 ou par email : dpo@cybermalveillance.gouv.fr

Le GIP ACYMA pourra, avant tout traitement de la demande, vérifier l’identité du demandeur et /ou demander des précisions complémentaires afin d’être en mesure d’apporter la réponse la plus adaptée. Le GIP ACYMA s’engage à donner suite aux demandes portant sur l’exercice des droits d’une personne dont les données sont collectées dans un délai raisonnable et en tout état de cause dans les délais fixés par le RGPD en fonction de la nature de la demande.

Le cas échéant, si le traitement de votre demande ne vous donne pas satisfaction, vous pouvez former une réclamation auprès de la Commission nationale de l’informatique et des libertés, via le formulaire en ligne dédié : https://www.cnil.fr/fr/plaintes

4 – Quelles données sont traitées, et pour quels objectifs ?

A – Données relatives à la navigation sur la plateforme

Données collectées

Lorsque vous consultez les contenus diffusés par Cybermalveillance.gouv.fr, nous recueillons votre consentement pour le recueil de certaines données par le biais d’un cookie :

– date, heure et durée de la consultation du site

– adresse IP de connexion (nous ne conservons pas les deux derniers chiffres de l’adresse IP, ce qui empêche une identification précise mais permet une localisation géographique à l’échelle du département)

– adresse du site internet (ou du moteur de recherche) depuis lequel vous arrivez sur la plateforme, page de sortie de la plateforme

– pages consultées sur la plateforme

– « parcours-victime » : ensemble du parcours d’assistance au diagnostic effectué sur la plateforme jusqu’à la sortie : renvoi vers un autre service, conseils et/ou proposition d’un prestataire d’assistance de proximité, etc.

Un cookie est un fichier texte déposé lors de la consultation d’un site, d’une application ou d’une publicité en ligne et stocké dans un espace spécifique du disque dur d’un ordinateur ou appareil mobile. Un cookie est généré par le navigateur internet utilisé et seul l’émetteur du cookie peut décider de la lecture ou de la modification des informations qui y sont contenues.

Ces données ne sont pas identifiantes, c’est à dire que nous ne pouvons les utiliser pour vous identifier personnellement. Elles nous sont utiles pour deux finalités :

– améliorer le service rendu : mesurer la fréquentation du site, la provenance des visiteurs, origine des consultations du site, les horaires de consultations etc.

– connaître les types de malveillance dont sont victimes les visiteurs du site au travers des parcours de victimes, afin de pouvoir adapter les modalités d’assistance aux victimes sur le site.

Vous pouvez choisir de ne pas autoriser le suivi de votre ordinateur via un cookie. Pour faire ce choix et installer un cookie d’exclusion, veuillez cliquer sur le lien ci-dessous :

Cliquez ICI pour installer le cookie d’exclusion

Durée de conservation

Les données collectées ne sont traitées que sous une forme anonymisée, à des fins statistiques et d’amélioration de notre service. Elles sont conservées pour une durée maximale de 13 mois.

Vos données ne sont à aucun moment hébergée hors de l’Union Européenne.

Cadre légal

La base légale de ces mesures liées à la navigation sur la plateforme Cybermalveillance.gouv.fr résulte de la délibération n° 2013-378 du 5 décembre 2013 « portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 » (alors en vigueur) et désormais régie par :

  • le règlement (UE) 2016/679 du 27 avril 2016 ;
  • le titre II « Traitements relevant du régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 du 27 avril 2016 » de la loi de la loi du 6 janvier 1978 en vigueur (articles 42 et suivants dans leur rédaction issue de l’ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978).

B – Données relatives à la mise en relation avec un prestataire d’assistance de proximité

Données collectées

Lorsque vous effectuez un « parcours-victime » sur la plateforme Cybermalveillance.gouv.fr, vous pouvez être orientée vers une mise en relation avec un prestataire d’assistance référencés par Cybermalveillance.gouv.fr.

Pour permettre cette mise en relation, Cybermalveillance.gouv.fr vous demande de créer un compte avec un identifiant (votre nom ou un pseudonyme), une adresse de messagerie ou un numéro de téléphone mobile, et une localisation géographique (code postal) qui vont être associés au diagnostic effectué sur la plateforme. Ces informations vont permettre de vous créer un « espace utilisateur » dans lequel vous allez suivre l’avancée de votre accompagnement.

Vous recevrez alors un email vous demandant de confirmer la création de votre compte. En confirmant la création de votre compte, vous acceptez que nous conservions votre adresse de messagerie dans notre base de données. Si vous ne confirmez pas la création de compte, votre email sera supprimé de notre base dans un délai de 3 mois.

Vous pouvez également demander immédiatement la suppression de votre adresse de messagerie si vous ne souhaitez plus créer de compte utilisateur, cela entraînera également la suppression des données personnelles recueillies (identifiant, adresse email, numéro de téléphone mobile) afin de permettre une mise en relation avec les prestataires.

Si vous aviez déjà créé un compte auparavant sur Cybermalveillance.gouv.fr, vous n’aurez alors qu’à vous identifier.

Vous pouvez également vous connecter via un identifiant FranceConnect.

Le diagnostic de votre situation va être proposé aux prestataires inscrits qui

1) sont en mesure de traiter le type de problème que vous rencontrez

2) interviennent dans votre zone géographique

Les prestataires n’ont pas accès à vos coordonnées personnelles mais seulement à un identifiant, un numéro de dossier et un résumé du diagnostic posé.

Lorsqu’un ou plusieurs prestataires acceptent la prise en charge de votre problème, ils vous sont alors présentés et vous choisissez lequel vous souhaitez contacter. Vous pouvez, à ce moment, choisir de communiquer vos coordonnées pour qu’ils vous recontactent.

En aucun cas les prestataires d’assistance n’ont accès à vos données personnelles avant que vous n’ayez choisi de les contacter pour vous assister.

Durée de conservation

Les données personnelles associées à votre compte seront conservées pendant une durée maximale de 3 ans après la dernière connexion sur votre compte. Vous recevrez alors un email vous informant de la suppression de votre compte.

Après votre mise en relation avec un prestataire d’assistance, vous recevrez un email afin de recueillir votre avis sur la qualité de l’assistance reçue.

Ponctuellement, vous pourrez recevoir un email comportant quelques demandes de précisions sur votre profil de victime, afin de nous aider à mieux comprendre la nature de la menace et les populations principalement ciblées, dans un objectif d’amélioration de nos services et de participation à l’orientation des politiques publiques en matière de sécurité numérique. Vous resterez toujours libre de ne pas renseigner ces informations.

Les données personnelles collectées dans le cadre de la création d’un compte « victime » sur la plateforme Cybermalveillance.gouv.fr ne sont en aucun cas traitées pour d’autres finalités que celle de vous mettre en relation avec un prestataire d’assistance et recueillir votre avis a posteriori, et comprendre la nature de la menace numérique.

Cadre légal

Le cadre légal applicable à ce traitement de données personnelles est le Règlement européen pour la protection des données (RGPD), Article 6 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[…]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »

Vos données ne sont à aucun moment hébergée hors de l’Union Européenne.

C – Données relatives à l’abonnement à des contenus d’alerte et de sensibilisation

Données collectées

Lors de votre navigation sur la plateforme Cybermalveillance.gouv.fr, ou lorsque vous créez un compte pour recevoir une assistance de proximité, nous vous proposons de vous abonner à nos alertes et contenus de sensibilisation.

Ces contenus ont comme objectif de vous sensibiliser sur les sujets de sécurité numérique, vous fournir des contenus de sensibilisation que vous pourrez partager librement avec votre entourage personnel ou professionnel, et vous tenir au courant des principales alertes de sécurité afin que vous puissiez vous prémunir des attaques en cours.

Lorsque vous vous inscrivez sur notre site ou lors d’un événement, vous recevez un courriel vous demandant de confirmer votre inscription. Ce courriel permet de vérifier la validité de votre adresse courriel et de nous assurer de votre consentement.

L’abonnement à ces contenus est paramétrable pour correspondre au mieux à vos besoins.

Durée de conservation

Votre adresse de messagerie est conservée le temps de votre inscription aux contenus d’alerte et de sensibilisation de Cybermalveillance.gouv.fr.

Vous pouvez vous désabonner à tout moment en utilisant la fonction « désabonnement » en bas des courriels qui vous seront envoyés.

Votre adresse de courriel sera alors supprimée de nos bases.

Cadre légal

Le cadre légal applicable à ce traitement de données personnel est l’article 7 du Règlement européen sur la protection des données qui décrit les conditions applicables au consentement :

« Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. »

Vos données ne sont à aucun moment hébergée hors de l’Union Européenne. Elles ne seront pas utilisées pour une autre finalité que celle pour laquelle elles ont été collectées : ici, l’envoi de contenus d’alerte et de sensibilisation.

D – Données relatives à l’inscription de prestataires d’assistance et de remédiation sur la plateforme Cybermalveillance.gouv.fr

Vous êtes prestataire d’assistance informatique et vous souhaitez être inscrit sur la plateforme Cybermalveillance.gouv.fr afin de pouvoir être mis en relation avec des victimes d’actes de cybermalveillance.

Vous allez créer un espace de candidature dans lequel vous allez renseigner des informations nécessaires à votre inscription. Dans ces informations figurent l’identité et les coordonnées du responsable légal de votre organisation ainsi que le recueil de la copie d’une pièce d’identité. Ces informations sont nécessaires à l’inscription sur la plateforme en tant que prestataire. En validant votre inscription, vous acceptez la collecte et la conservation de ces données.

Les données et informations personnelles sont conservées pendant toute la durée de votre inscription sur la plateforme Cybermalveillance.gouv.fr.

Lorsque vous demandez à être désinscrit, ou lorsque nous procédons à votre désinscription, les données sont supprimées à l’exception de l’adresse de messagerie associée au compte, nécessaire en cas de réclamation d’un utilisateur du site ou en cas d’autre besoin de vous contacter. Cette adresse de messagerie est conservée jusqu’à un an après la désinscription de la plateforme.

La base légale de ce traitement de données personnelles est l’article 6 du Règlement européen sur la protection des données :

« 1) Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

[…]

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci »

[…]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »