Politique de confidentialité
En navigant sur la plateforme Cybermalveillance.gouv.fr, certaines données sont collectées afin d’assurer le bon fonctionnement des services proposés par la plateforme ou de vous proposer des services supplémentaires.
Cette page a pour fonction de vous informer sur la nature des données collectées, les modalités de traitement de ces données et leurs finalités, leur durée de conservation ainsi que sur vos droits.
Cette page peut évoluer en fonction des modifications mises en place sur les traitements de données effectués ainsi que du contexte légal et réglementaire.
Lorsque vous naviguez sur la plateforme Cybermalveillance.gouv.fr ou bénéficiez des différents services proposés, vous êtes périodiquement renvoyé sur tout ou partie de cette page à des fins d’information spécifique.
1. Responsable du traitement et autres intervenants
Le responsable du traitement est identifié ci-dessous.
Ses coordonnées sont : GIP ACYMA, 6 rue Bouchardon, 75010 Paris, représenté par son directeur général, Monsieur Jérôme NOTIN.
Courriel :contact@cybermalveillance.gouv.fr
Les coordonnées du délégué à la protection des données sont : dpo@cybermalveillance.gouv.fr
Vos données sont traitées exclusivement pour les finalités décrites dans cette politique de gestion des données personnelles et ne sont pas hébergées en dehors de l’Union européenne.
Les données collectées sont hébergées sur un espace réservé au GIP ACYMA et administré par les équipes d’ACYMA chez l’hébergeur CLOUD TEMPLE – Le Belvédère, 1-7 Cr Valmy, 92800 Puteaux – Téléphone 01 41 91 77 77.
Les datacenters de CLOUD TEMPLE sont situés chez Interxion à La Courneuve et Telehouse à Magny-les-Hameaux.
2. Droits de la personne dont les données sont collectées et traitées
En tant que personne dont les données personnelles sont collectées, vous avez le droit :
- de demander au responsable du traitement l’accès à vos données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à votre personne ;
- de vous opposer au traitement de vos données personnelles ;
- à la portabilité de vos données, c’est-à-dire le droit de récupérer les données personnelles fournies dans un format structuré, couramment utilisé, ainsi que le droit de transmettre ces données à un autre responsable de traitement de données ;
- à formuler des directives relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel après votre décès ;
- de retirer votre consentement à tout moment, lorsque le traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques a nécessité le recueil de votre consentement préalable (traitement fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a) du RGPD).
L’ensemble de ces droits peuvent être exercés auprès du délégué à la protection des données personnelles du GIP ACYMA à l’adresse suivante : 6 rue Bouchardon, 75010 ou par email : dpo@cybermalveillance.gouv.fr
Le GIP ACYMA pourra, avant tout traitement de la demande, vérifier l’identité du demandeur et/ou demander des précisions complémentaires afin d’être en mesure d’apporter la réponse la plus adaptée. Le GIP ACYMA s’engage à donner suite aux demandes portant sur l’exercice des droits d’une personne dont les données sont collectées dans un délai raisonnable et en tout état de cause dans les délais fixés par le RGPD en fonction de la nature de la demande.
Le cas échéant, si le traitement de votre demande ne vous donne pas satisfaction, vous pouvez former une réclamation auprès de la Commission nationale de l’informatique et des libertés, via le formulaire en ligne dédié : www.cnil.fr/fr/plaintes
3. Quelles données sont traitées, et pour quels objectifs ?
A – Données relatives à la navigation sur la plateforme
Données collectées, finalités du traitement et destinataires
Lorsque vous consultez les contenus diffusés par Cybermalveillance.gouv.fr, nous procédons aur recueil de certaines données par le biais d’un cookie de mesure d’audience Matomo, dispensée du recueil de consentement de l’internaute, conformément à l’exemption formulée par la Commission nationale de l’informatique et des libertés (CNIL) (en savoir plus) :
- date, heure et durée de la consultation du site
- adresse IP de connexion (nous ne conservons pas les deux derniers chiffres de l’adresse IP, ce qui empêche une identification précise mais permet une localisation géographique à l’échelle du département)
- adresse du site internet (ou du moteur de recherche) depuis lequel vous arrivez sur la plateforme, page de sortie de laplateforme
- pages consultées sur la plateforme
- « parcours-victime » : ensemble du parcours d’assistance au diagnostic effectué sur la plateforme jusqu’à la sortie : renvoi versun autre service, conseils et/ou proposition d’un prestataire d’assistance de proximité.
Un cookie est un fichier texte déposé lors de la consultation d’un site, d’une application ou d’une publicité en ligne et stocké dans un espace spécifique du disque dur d’un ordinateur ou appareil mobile. Un cookie est généré par le navigateur internet utilisé et seul l’émetteur du cookie peut décider de la lecture ou de la modification des informations qui y sont contenues.
Ces données ne sont pas identifiantes, c’est à dire que nous ne pouvons pas les utiliser pour vous identifier personnellement.Elles nous sont utiles pour deux finalités :
- améliorer le service rendu : mesurer la fréquentation du site, la provenance des visiteurs, origine des consultations du site, les horaires de consultations ;
- connaître les types de malveillance dont sont victimes les visiteurs du site au travers des parcours de victimes, afin de pouvoir adapter les modalités d’assistance aux victimes sur le site.
À tout moment, vous pouvez changer vos préférences concernant le recueil de ces données par le biais d’un cookie. Il suffit de cliquer sur le lien ci-dessous :
Cliquez ICI pour modifier vos préférences
La navigation sur le site peut impliquer l’exécution de cookies tiers, pour lesquels votre consentement est recueilli via l’affichage d’un bandeau. Vous pouvez vous opposer à l’inscription de chacun de ces cookies tiers sur votre terminal via le centre de préférences proposé au titre dudit bandeau. La validité de l’acceptation de ces cookies est limitée à une durée de 13 mois.
Sont destinataires de ces données les équipes du GIP ACYMA et ses sous-traitants.
Durée de conservation
Les données collectées ne sont traitées que sous une forme anonymisée, à des fins statistiques et d’amélioration de notre service. Elles sont conservées pour une durée maximale de 25 mois.
Cadre légal
La base légale de ces mesures liées à la navigation sur la plateforme Cybermalveillance.gouv.fr résulte des délibérations suivantes de la CNIL :
Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019 ;
Délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »
Le cadre légal applicable à ce traitement de données personnelles est le Règlement européen pour la protection des données(RGPD), Article 6 :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : […]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »
B – Données relatives à la création d’un compte utilisateur
Données collectées, finalités du traitement et destinataires
Lorsque vous naviguez sur la plateforme Cybermalveillance.gouv.fr, vous avez la possibilité de créer un compte utilisateur qui vous permet de gérer vos alertes, abonnements à des contenus de sensibilisation et assistance si vous êtes victime.
Pour permettre cette création de compte, Cybermalveillance.gouv.fr vous demande de renseigner un identifiant (votre adresse email ou votre numéro de téléphone).
Vous recevrez alors un email ou un SMS vous demandant de confirmer la création de votre compte. En confirmant la création de votre compte, vous acceptez que nous conservions votre adresse de messagerie dans notre base de données. Si vous ne confirmez pas la création de compte, votre email sera supprimé de notre base dans un délai de 3 mois.
Vous pouvez également demander immédiatement la suppression de votre adresse de messagerie si vous ne souhaitez plus créer de compte utilisateur, cela entraînera également la suppression des données personnelles recueillies (identifiant, adresse email, numéro de téléphone mobile).
Dans votre profil utilisateur, vous avez la possibilité de renseigner des informations de contact de manière facultative : nom et prénom, ville ou code postal, numéro de téléphone, année de naissance. Afin de vous permettre de personnaliser votre espace, profiter du suivi de vos demandes d’assistance et/ou de sécurisation, modifier vos options d’abonnement et d’autres services.
Les données personnelles collectées dans le cadre de la création d’un compte sur la plateforme Cybermalveillance.gouv.fr ne sont en aucun cas traitées pour d’autres finalités que celle de vous mettre en relation avec un prestataire d’assistance et recueillir votre avis a posteriori, et vous permettre de paramétrer vos abonnements aux alertes et contenus de sensibilisation, et sous forme anonymisée de nous permettre d’analyser l’état de la menace et des victimes d’actes de cybermalveillance.
Sont destinataires de ces données les équipes du GIP ACYMA et ses sous-traitants.
Durée de conservation
Les données personnelles associées à votre compte seront conservées pendant une durée maximale de 3 ans après la dernière connexion sur votre compte. Vous recevrez alors un e-mail vous informant de la suppression de votre compte.
Cadre légal
Le cadre légal applicable à ce traitement de données personnelles est le Règlement européen pour la protection des données (RGPD), Article 6 :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
- lla personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
[…]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».
C – Données relatives à l’abonnement à des contenus d’alerte et de sensibilisation
Données collectées, finalités du traitement et destinataires
Lors de votre navigation sur la plateforme Cybermalveillance.gouv.fr, ou lorsque vous créez un compte pour recevoir une assistance de proximité, nous vous proposons de vous abonner à nos alertes et contenus de sensibilisation.
Ces contenus ont comme objectif de vous sensibiliser sur les sujets de sécurité numérique, vous fournir des contenus de sensibilisation que vous pourrez partager librement avec votre entourage personnel ou professionnel, et vous tenir au courant des principales alertes de sécurité afin que vous puissiez vous prémunir des attaques en cours.
Lorsque vous vous inscrivez sur notre site ou lors d’un événement, vous recevez un courriel vous demandant de confirmer votre inscription. Ce courriel permet de vérifier la validité de votre adresse courriel et de nous assurer de votre consentement.
L’abonnement à ces contenus est paramétrable pour correspondre au mieux à vos besoins.
Les données ne sont pas utilisées pour une autre finalité que celle pour laquelle elles ont été collectées : ici, l’envoi de contenus d’alerte et de sensibilisation.
Sont destinataires de ces données les équipes du GIP ACYMA et ses sous-traitants.
Durée de conservation
Votre adresse de messagerie est conservée le temps de votre inscription aux contenus d’alerte et de sensibilisation de Cybermalveillance.gouv.fr
Vous pouvez vous désabonner à tout moment en utilisant la fonction « désabonnement » en bas des courriels qui vous seront envoyés.
Votre adresse de courriel sera alors supprimée de nos bases.
Cadre légal
Le cadre légal applicable à ce traitement de données personnelles est le Règlement européen pour la protection des données(RGPD), Article 6 :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : […]
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».
D – Données relatives à la mise en relation avec un prestataire d’assistance de proximité
Données collectées, finalités du traitement et destinataires
Lorsque vous effectuez un « parcours-victime » sur la plateforme Cybermalveillance.gouv.fr, vous pouvez être orientée vers une mise en relation avec un prestataire d’assistance référencés par Cybermalveillance.gouv.fr.
Pour permettre cette mise en relation, Cybermalveillance.gouv.fr vous demande de créer un compte avec un identifiant (votre adresse email ou votre numéro de téléphone mobile) et une localisation géographique (code postal). Ces informations vont permettre de vous créer un « espace utilisateur dans lequel vous allez suivre l’avancée de votre accompagnement.
Vous recevrez alors un email ou un SMS vous demandant de confirmer la création de votre compte. En confirmant la création de votre compte, vous acceptez que nous conservions votre adresse de messagerie dans notre base de données. Si vous ne confirmez pas la création de compte, votre email sera supprimé de notre base dans un délai de 3 mois.
Vous pouvez également demander immédiatement la suppression de votre adresse de messagerie si vous ne souhaitez plus créer de compte utilisateur, cela entraînera également la suppression des données personnelles recueillies (identifiant, adresse email, numéro de téléphone mobile) afin de permettre une mise en relation avec les prestataires.
Dans votre profil utilisateur, vous avez la possibilité de renseigner votre nom et prénom pour simplifier les échanges avec les prestataires. Cette collecte de données est facultative.
Concernant l’année de naissance (falcultative) et le code postal, ces données serviront également à un traitement statistique anonymisé ayant pour finalité une meilleure connaissance des actes de cybermalveillance.
Si vous aviez déjà créé un compte auparavant sur Cybermalveillance.gouv.fr, vous n’aurez alors qu’à vous identifier.
Le diagnostic de votre situation va être proposé aux prestataires inscrits qui :
- sont en mesure de traiter le type de problème que vous rencontrez
- interviennent dans votre zone géographique
Les prestataires n’ont pas accès à vos coordonnées personnelles mais seulement à un numéro de dossier et un résumé du diagnostic posé.
Lorsqu’un ou plusieurs prestataires acceptent la prise en charge de votre problème, ils apparaissent dans votre espace utilisateur. Vous pouvez alors soit les contacter, soit demander à ce qu’ils vous recontactent. Les prestataires ont alors accès à votre identifiant (adresse email ou numéro de téléphone) afin de pouvoir vous contacter si vous le souhaitez. Ils ne doivent pas vous contacter pour une autre finalité que cette demande d’assistance.
Les données personnelles collectées dans le cadre de la création d’un compte « victime » sur la plateforme Cybermalveillance.gouv.fr ne sont en aucun cas traitées pour d’autres finalités que celle de vous mettre en relation avec un prestataire d’assistance et recueillir votre avis a posteriori, et comprendre la nature de la menace numérique.
Après votre mise en relation avec un prestataire d’assistance, vous recevrez un email afin de recueillir votre avis sur la qualité de l’assistance reçue.
Ponctuellement, vous pourrez recevoir un email comportant quelques demandes de précisions sur votre profil de victime, afin de nous aider à mieux comprendre la nature de la menace et les populations principalement ciblées, dans un objectif d’amélioration de nos services et de participation à l’orientation des politiques publiques en matière de sécurité numérique.
Vous resterez toujours libre de ne pas renseigner ces informations.
Durée de conservation
Les données personnelles associées à votre compte seront conservées pendant une durée maximale de 3 ans après la dernière connexion sur votre compte. Vous recevrez alors un email vous informant de la suppression de votre compte.
Cadre légal
Le cadre légal applicable à ce traitement de données personnelles est le Règlement européen pour la protection des données(RGPD), Article 6 :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : […]
- la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
[…]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »
E – Données relatives à l’inscription de prestataires d’assistance et de remédiation sur la plateforme Cybermalveillance.gouv.fr
Données collectées, finalités du traitement et destinataires
Vous êtes prestataire d’assistance informatique et vous souhaitez être inscrit sur la plateforme Cybermalveillance.gouv.fr afin de pouvoir être mis en relation avec des victimes d’actes de cybermalveillance.
Vous allez créer un espace de candidature dans lequel vous allez renseigner des informations nécessaires à votre inscription.Dans ces informations figurent l’identité et les coordonnées du responsable légal de votre organisation ainsi que le recueil de la copie d’une pièce d’identité. Ces informations sont nécessaires à l’inscription sur la plateforme en tant que prestataire. En validant votre inscription, vous acceptez la collecte et la conservation de ces données.
Sont destinataires de ces données les équipes du GIP ACYMA et ses sous-traitants.
Durée de conservation
– Documents d’identité : s’agissant des candidatures des prestataires dont l’inscription a été validée par le GIP, suppression après traitement de la candidature au référencement.
– Candidatures refusées : suppression des fichiers de données personnelles (scan cartes d’identité et / ou passeport) à l’expiration d’un délai de 90 jours. Anonymisation des données personnelles saisies par l’entreprise également dans un délai de 90 jours à compter du refus).
– Cas des dossiers de candidatures incomplets : si le dossier est incomplet au bout de 90 jours : cartes d’identité et / ou passeport et KBIS sont supprimés ; les données personnelles saisies dans le cadre de l’inscription sont anonymisées également dans ce délai.
Les autres données et informations personnelles sont conservées pendant toute la durée de votre inscription sur la plateforme Cybermalveillance.gouv.fr.
Lorsque vous demandez à être désinscrit, ou lorsque nous procédons à votre désinscription, les données sont supprimées à l’exception de l’adresse de messagerie associée au compte, nécessaire en cas de réclamation d’un utilisateur du site ou en cas d’autre besoin de vous contacter. Cette adresse de messagerie est conservée jusqu’à un an après la désinscription de la plateforme.
Cadre légal
La base légale de ce traitement de données personnelles est l’article 6 du Règlement européen sur la protection des données :
« 1) Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : […]
a) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci »
[…]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».
F – Données relatives à l’utilisation du module 17Cyber
Le module 17Cyber est un module de type « widget » intégrable sur n’importe quel site internet tiers souscripteur et accessible à tout utilisateur (particulier, entreprise, collectivité territoriale ou établissement public local, association) victime d’une cybermalveillance.
Le module permet d’accéder à un diagnostic en ligne directement depuis le site du souscripteur. À l’issue de ce diagnostic, l’utilisateur pourra, s‘il le souhaite, accéder à des conseils personnalisés sur Cybermalveillance.gouv.fr et être mise en relation avec un professionnel en cybersécurité référencé sur la plateforme.
Des données sont collectées à partir du moment où vous êtes redirigés sur Cybermalveillance.gouv.fr
Données collectées, finalité du traitement et destinataires
Lorsque vous consultez l’outil de diagnostic en ligne, nous recueillons un certain nombre de données de navigation au titre de l’utilisation de l’outil :
- date, heure et durée de la consultation du site
- adresse IP de connexion (nous ne conservons pas les deux derniers octets de l’adresse IP, ce qui empêche une identification précise mais permet une localisation géographique à l’échelle du département)
- adresse du site internet depuis lequel vous arrivez sur l’outil de diagnostic
- « parcours-victime » : ensemble du parcours d’assistance au diagnostic effectué via le module jusqu’au renvoi au contenu pertinent de la plateforme Cybermalveillance.gouv.fr
Ces données ne sont pas identifiantes, c’est à dire que nous ne pouvons pas les utiliser pour vous identifier personnellement. Elles nous sont utiles pour deux finalités :
- améliorer le service rendu : mesurer la fréquentation du site, la provenance des visiteurs, origine des consultations du site, les horaires de consultations ;
- connaître les types de malveillance dont sont victimes les visiteurs du site au travers des parcours de victimes, afin de pouvoir adapter les modalités d’assistance aux victimes sur le site.
Sont destinataires de ces données les équipes du GIP ACYMA et ses sous-traitants.
Durée de conservation
Les données collectées ne sont traitées que sous une forme anonymisée, à des fins statistiques et d’amélioration de notre service. Elles sont conservées pour une durée maximale de 25 mois, sauf à ce qu’elles soient anonymisées, notamment à des fins de détection des menaces.
Cadre légal
La base légale de ce traitement de données personnelles est l’article 6 du Règlement européen sur la protection des données :
« 1) Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[…]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».
Données collectées, finalité du traitement et destinataires
En parallèle du module 17Cyber, un outil de diagnostic est proposé aux personnes physiques, aux entreprises et aux collectivités territoriales dans le cadre d’une navigation sur la plateforme cybermalveillance.gouv.fr, en vue de permettre à la victime d’identifier l’acte de cybermalveillance dont elle est victime. Au terme de ce diagnostic en ligne, un bilan de diagnostic est établi et la victime peut se voir proposer, en fonction de la nature de l’acte de cybermalveillance en cause, une mise en relation avec un agent des forces de sécurité (voir infra, parcours 17 cyber) ou une remédiation avec un prestataire d’assistance référencé.
À ce titre, lors de ce parcours, le GIP ACYMA est amené à collecter, outre les données de navigation selon les modalités décrites au point A supra, votre adresse email, lorsque vous sollicitez la transmission du bilan de diagnostic par messagerie électronique, aux seules fins de cette transmission. L’email renseigné est immédiatement supprimé des serveurs du GIP ACYMA après envoi de ce bilan.
Sont destinataires de ces données les équipes du GIP ACYMA et ses sous-traitants.
Durée de conservation
S’agissant des données de navigation, il convient de se référer au point A supra.
L’adresse email renseignée pour l’envoi du diagnostic est immédiatement supprimée de nos bases après l’envoi.
Cadre légal
La base légale de ce traitement de données personnelles est l’article 6 du Règlement européen sur la protection des données :
« 1) Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[…]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».
H – Données relatives au parcours 17Cyber
Données collectées, finalités du traitement et destinataires
Le parcours 17cyber constitue un parcours spécifique ouvert aux personnes physiques, aux entreprises et aux collectivités territoriales dans le cadre d’une navigation sur la plateforme cybermalveillance.gouv.fr.
Le 17cyber consiste en un échange par messagerie instantanée (tchat) avec un agent des forces de sécurité appartenant à la gendarmerie nationale ou à la police nationale, à l’issue duquel un rapport récapitulatif permet de proposer des conseils et d’orienter la victime, le cas échéant vers une judiciarisation.
Lors de ce parcours, le GIP ACYMA est amené à collecter, outre les données de navigation selon les modalités décrites au point A supra :
- votre code postal, à seule fin d’orientation vers un agent des forces de sécurité intérieure du commissariat ou de la plus brigade le plus proche territorialement ;
- votre adresse email, lorsque vous sollicitez la transmission du rapport tchat conversationnel par messagerie électronique, aux seules fins de cette transmission. L’email renseigné est immédiatement supprimé des serveurs du GIP ACYMA après envoi du rapport ;
- Le bilan de votre diagnostic.
En outre, le tchat donne lieu à la collecte et au traitement de données personnelles selon des modalités et conditions déterminées par les responsables de traitement respectifs de la Gendarmerie nationale et de la Police nationale, dont la politique de confidentialité est consultable ici.
Cadre légal
La base légale de ce traitement de données personnelles est l’article 6 du Règlement européen sur la protection des données :
« 1) Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[…]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».
I –Données relatives au parcours SensCyber
Données collectées, finalités du traitement et destinataires
Le parcours SensCyber est un parcours d’e-sensibilisation sur les mécanismes des principales menaces sur Internet organisé en trois modules.
L’accès au parcours nécessite la création un compte utilisateur (sur la politique de confidentialité relative à la création d’un compte utilisateur, voir rubrique E – Données relatives à la création d’un compte utilisateur).
Pour vous permettre de réaliser votre parcours à votre rythme jusqu’à l’obtention de votre attestation de suivi, nous collectons les données personnelles suivantes :
- état d’avancement de votre parcours dans chacun des modules ;
- résultats obtenus aux quiz réalisés au titre de chacun des modules ;
- attestation de réussite au parcours.
Sont destinataires de ces données les équipes du GIP ACYMA et le sous-traitant en charge de la maintenance du site.
Durée de conservation
Les données personnelles associées à votre parcours SensCyber seront conservées pendant une durée maximale de 3 ans après la dernière connexion sur votre compte. Ensuite elles font l’objet d’une anonymisation.
Cadre légal
La base légale de ce traitement de données personnelles est l’article 6 du Règlement européen sur la protection des données :
« 1) Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[…]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».
J – Données relatives au parcours de sécurisation
Données collectées, finalités du traitement et destinataires
Le parcours de sécurisation propose aux utilisateurs professionnels (entreprises ou associations) ou collectivités territoriales une mise en relation avec des professionnels qualifiés dans la sécurisation de nouveaux systèmes ou de systèmes existants. Ces professionnels ont reçu le label ExpertCyber qui garantissent un niveau de compétence et d’expertise en sécurité numérique.
Lorsque vous effectuez un « parcours de sécurisation » sur la plateforme Cybermalveillance.gouv.fr, vous pouvez être orientée vers une mise en relation avec un prestataire.
Pour permettre cette mise en relation, Cybermalveillance.gouv.fr vous demande de créer un compte avec un identifiant (votre adresse email ou votre numéro de téléphone mobile) et une localisation géographique (code postal). Ces informations vont permettre de vous créer un « espace utilisateur » dans lequel vous allez suivre l’avancée de votre accompagnement.
Vous recevrez alors un email ou un SMS vous demandant de confirmer la création de votre compte. En confirmant la création de votre compte, vous acceptez que nous conservions votre adresse de messagerie et votre numéro de téléphone si renseigné dans notre base de données. Si vous ne confirmez pas la création de compte, votre email sera supprimé de notre base dans un délai de 3 mois.
Vous pouvez également demander immédiatement la suppression de votre adresse de messagerie si vous ne souhaitez plus créer de compte utilisateur, cela entraînera également la suppression des données personnelles recueillies (identifiant, adresse email, numéro de téléphone mobile) afin de permettre une mise en relation avec les prestataires.
Si vous aviez déjà créé un compte auparavant sur Cybermalveillance.gouv.fr, vous n’aurez alors qu’à vous identifier.
Les renseignements techniques sur votre demande seront transmis aux prestataires inscrits qui :
1) sont en mesure de traiter le type de demande de sécurisation
2) interviennent dans votre zone géographique
Les prestataires n’ont pas accès à vos coordonnées personnelles mais seulement à un numéro de dossier et un résumé de la demande d’accompagnement.
Lorsqu’un ou plusieurs prestataires acceptent la prise en charge de votre demande, ils apparaissent dans votre espace utilisateur. Vous pouvez alors soit les contacter, soit demander à ce qu’ils vous recontactent. Les prestataires ont alors accès à votre identifiant (adresse email ou numéro de téléphone) afin de pouvoir vous contacter si vous le souhaitez. Ils ne doivent pas vous contacter pour une autre finalité que cette demande d’accompagnement.
Les données personnelles collectées dans le cadre de la création d’un compte « victime » sur la plateforme Cybermalveillance.gouv.fr ne sont en aucun cas traitées pour d’autres finalités que celle de vous mettre en relation avec un prestataire d’accompagnement et recueillir votre avis a posteriori, et comprendre la nature de la menace numérique.
Durée de conservation
Les données personnelles associées à votre compte seront conservées pendant une durée maximale de 3 ans après la dernière connexion sur votre compte. Vous recevrez alors un email vous informant de la suppression de votre compte.
Cadre légal
Le cadre légal applicable à ce traitement de données personnelles est le Règlement européen pour la protection des données (RGPD), Article 6 :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : […]
- la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
[…]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement »