Le règlement général sur la protection des données (RGPD) entre en application et concerne les entreprises, administrations et collectivités. Il implique la prise en compte d’exigences, notamment en matière de sécurité des données, essentielle à la protection des données à caractère personnel. Une opportunité pour le renforcement général de la sécurité numérique en France, que l’ANSSI accompagne avec ce « kit de la sécurité des données ». Show
LA sécurité au service de la protection des données à caractère personnelAdopté le 27 avril 2016 par l’ensemble des États membres de l’Union européenne (UE) et le Parlement européen, applicable à partir du 25 mai 2018, le RGPD harmonise et renforce les règles applicables en matière de protection des données à caractère personnel sur le territoire de l’UE. Parmi les exigences fixées, la sécurité des données occupe une place centrale. En invitant toutes les entités publiques et privées concernées à faire face au risque numérique, le RGPD participe à accroître le niveau général de sécurité numérique en France. Il vient ainsi compléter d’autres dispositifs règlementaires concourant au renforcement de la sécurité numérique, jusqu’à présent limités à un nombre restreint d’organisations(LPM, directive NIS). Le kit pour « la sécurité des données »En plus des recommandations de la CNIL en matière de sécurité des données (voir encadré) et dans le contexte de la nécessaire sécurisation des données à caractère personnel, l’ANSSI
met à disposition, à partir d’aujourd’hui, le « kit de la sécurité des données » : management du risque, bonnes pratiques, sensibilisation, équipements et services de confiance… autant de ressources méthodologiques et pratiques, de recommandations et d’outils utiles aux entreprises de toutes tailles, administrations et collectivités soucieuses de renforcer la sécurité des données. Le secrétariat général du ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés (ANTS) s'engagent à ce que le traitement de données à caractère personnel « SGIN » soit conforme au règlement général sur la protection des données RGPD et à la loi Informatique et Libertés. Objet du traitementLes démarches dématérialisées font aujourd’hui l’objet d’un usage massif. Dans ce contexte, le besoin d’identification et d’authentification numériques est croissant et constitue l’un des facteurs de confiance déterminants pour la poursuite du développement de cet écosystème digital. Pour permettre la mise en œuvre de ce moyen d’identification électronique au sens du règlement eIDAS, des données à caractère personnel figurant sur le titre d’identité physique de l’usager sont collectées et conservées, le cas échéant, uniquement dans une zone protégée de l’application France Identité sous le seul contrôle des usagers. Ce traitement est mis en œuvre par le ministère de l’intérieur et l’Agence nationale des titres sécurisés, dans le respect des exigences de la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, et du règlement 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD). La collecte et l’enregistrement des données à caractère personnel de l’utilisateur dans le cadre du traitement SGIN s’opèrent conformément aux dispositions du e) de l’article 6-1. du règlement général sur la protection des données et notamment au regard :
La collecte et l’enregistrement de ces données sont nécessaires à la mise en œuvre du traitement SGIN. Responsables du traitementLa responsabilité du traitement SGIN est assurée conjointement par le secrétariat général du ministère de l’intérieur et par l’agence nationale des titres sécurisés (ANTS), établissement public à caractère administratif placé sous tutelle du ministère de l’intérieur. Toute évolution concernant le statut des deux responsables de traitement identifiés supra pourra donner lieu à une actualisation des présentes mentions d’information. Finalités du traitementLa finalité du traitement SGIN est de proposer aux titulaires d’une carte nationale d’identité comportant un composant électronique, tel que mentionné à l’article 1-1 du décret du 22 octobre 1955, la délivrance d’un moyen d’identification électronique leur permettant de s’identifier et de s’authentifier électroniquement auprès d’organismes publics ou privés, en utilisant l’application France Identité qui permet notamment la lecture sans contact du composant électronique de ce titre. Les services rendus sont les suivants
En cas de contact via l’adresse , la donnée à caractère personnel collectée est l’adresse de courrier électronique des usagers concernés. Cette donnée est enregistrée dans un fichier informatisé et sécurisé afin d’assurer une gestion individualisée des demandes des usagers. Sans cette donnée, le responsable du traitement ne peut assurer cette tâche. La gestion des demandes des usagers implique la conservation de la donnée collectée la durée nécessaire à l’accomplissement de sa finalité c’est-à-dire six mois. Lorsque les demandes portent sur l’accessibilité des informations et fonctionnalités du portail, cette donnée est conservée quatre ans. Base juridique du traitement de donnéesLe traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement conformément aux dispositions du e) de l’article 6-1. du règlement général sur la protection des données. La délivrance des titres d’identité aux citoyens relève de la compétence exclusive de l’Etat. Cette mission régalienne est essentielle : elle garantit l’identité des personnes concernées et elle leur permet de prouver leur identité, leur nationalité et d’exercer leur citoyenneté. Catégories de données obligatoirement traitéesLes données traitées par l’application France Identité sont :
Les données traitées par le serveur du SGIN sont :
Les données traitées par le site Internet France Identité sont :
Catégories de personnes concernéesLes personnes concernées sont les personnes utilisant le SGIN pour l’application mobile et la rubrique « mon compte » du site Internet. Destinataires des donnéesL’accès au traitement SGIN est exclusivement réservé :
Sur demande des autorités judiciaires ou des personnes concernées, ces agents peuvent également avoir accès aux traces d’utilisation du moyen d’identification électronique.
Peuvent recevoir les données à caractère personnel des usagers :
Aucune de vos données n’est exploitée à des fins publicitaires ou commerciales (revente de données). La durée de conservation des donnéesLes données à caractère personnel traitées par l’ordiphone sont conservées cinq ans maximum, suivant la durée de validité de l’identité numérique selon le référentiel général de sécurité (RGS). Les données à caractère personnel traitées par le serveur SGIN sont supprimées dès lors que :
Le numéro de titre, et l’adresse email de l’usager sont stockés sur le serveur 3 ans à compter de la suppression du compte. Les usagers ont la possibilité de supprimer leur moyen d’identification électronique ou de désinstaller l’application France Identité. Lorsque la suppression du moyen d’identification électronique est sollicitée, le délai de suppression est de 2 mois maximum, pour le cas où l’usager a sollicité un code d’activation. Lorsque l’usager désinstalle l’application France Identité, seules les données stockées sur l’ordiphone sont supprimées. Les traces relatives aux opérations de création, consultation, utilisation, révocation et suppression du moyen d’identification électronique sont conservées trois ans pour faire face à un éventuel contentieux. Cookies et traceurs d’audienceRésumé du Coockies
Le portail dépose un traceur (ou cookie) de mesure d’audience sur votre ordinateur, tablette, téléphone portable, lorsque vous le consultez. Il a pour objet de générer des statistiques anonymes de fréquentation du portail. La société AT-Internet est chargée de déposer ce traceur de mesure d’audience. Le traceur de mesure d’audience déposé sur votre ordinateur, tablette, téléphone portable est paramétré pour être en conformité avec les recommandations de la Commission nationale de l’informatique et des libertés (CNIL) qui exemptent d’autorisation préalable de tels traceurs lorsqu’ils sont correctement configurés pour respecter la vie privée. Pour en savoir plus, cliquer ici Le traceur d’audience collecte un minimum de données à caractère personnel. Il demeure actif pendant 13 mois fixes. L’ensemble des données collectées et traitées est conservé 25 mois à compter de la collecte par la société AT-Internet. Pour en savoir plus sur la gestion du traceur de mesure d’audience déposé par la société AT-Internet, vous pouvez consulter la politique de confidentialité de cette société. Le traceur de mesure d’audience déposé sur votre ordinateur, tablette, téléphone portable est parametré pour être en conformité avec les recommandations de la Commission nationale de l’informatique et des libertés (CNIL) qui exemptent d’autorisation préalable de tels traceurs lorsqu’ils sont correctement configurés pour respecter la vie privée. Pour plus d’informations, vous pouvez le consulter ici Vos droits Informatique et LibertésConformément aux exigences de l’article 13 du règlement général sur la protection des données, les personnes concernées sont informées des traitements effectués. Elles peuvent recueillir des informations précises sur le traitement sur le site de la direction du programme interministériel France identité numérique. L’information se traduira également par des explications pédagogiques écrites et des vidéos adaptées à la compréhension de tous les publics susceptibles d’être concernés par le traitement. Les droits d’accès, de rectification et de limitation conformément aux exigences des articles 15, 16 et 18 du règlement général sur la protection des données ne s’appliquent qu’aux données à caractère personnel conservées dans le serveur du SGIN. Les données saisies par l’usager de l’ordiphone sont modifiables et accessibles par l’utilisateur du SGIN. L’usager dispose du droit d’accès à ses données. Ces droits s’exercent, auprès des responsables de traitement, par l’envoi d’un courrier électronique accompagné de la copie d’un titre d’identité en cours de validité (CNI/passeport) ou d’un justificatif d’identité généré à partir de l’application France Identité à l’adresse de courrier électronique suivante : Le droit à l’effacement et le droit à l’opposition ne sont pas applicables au présent traitement. Les usagers ont la possibilité de supprimer leur moyen d’identification électronique ou de désinstaller l’application mobile de leur ordiphone. La suppression du moyens d’identification électronique permet de supprimer les données personnelles de l’usager sur le serveur du ministère de l’Intérieur et, si possible sur le mobile de l’usager. La désinstallation de l’application mobile a pour effet de supprimer les données personnelles contenues sur le mobile. Coordonnées des responsables de traitement Ministère de l’intérieurSecrétaire Général, Place Beauvau Agence nationale des titres sécurisés Coordonnées du délégué à la protection des donnéesMinistère de l’intérieur Réclamation auprès de la Commission nationale de l’informatique et des libertésVous pouvez aussi déposer une réclamation auprès de la commission nationale de l’informatique et des libertés : Commission nationale de l’informatique et des libertés Contacter la Cnil Qu'estDans l'univers numérique, la Commission nationale de l'informatique et des libertés (CNIL) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
Qu'estLe sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l'Union européenne.
Quelle sont les 4 missions de la CNIL ?accéder à tous les locaux professionnels, demander communication de tout document nécessaire et d'en prendre copie, recueillir tout renseignement utile et entendre toute personne, accéder aux programmes informatiques et aux données.
Qui assure la protection des données personnelles en France ?Qui est chargé de contrôler la bonne application du règlement ? Ce sont les autorités indépendantes de chaque Etat (en France, la CNIL) qui contrôlent l'application de la législation relative à la protection des données.
|