Politique de protection des données personnelles - FranceConnect / FranceConnect+ #
Version 1.3 - Cette version est applicable à partir du 15 février 2023
Dans le cadre de l’utilisation du Téléservice FranceConnect et/ou FranceConnect+, des Données personnelles vous concernant font l’objet d’un Traitement informatisé par la DINUM (Direction Interministérielle du Numérique, ci-après « Nous »).
La présente politique vise à décrire nos engagements en ce qui concerne le Traitement de vos Données personnelles, conformément au Règlement européen de protection des données (Règlement UE 2016/679 du 27 avril 2016, ci-après « RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après loi « Informatique et Libertés »).
Pour l’interprétation de la présente politique, il convient de se reporter aux définitions des Conditions générales d’utilisation du Téléservice et aux définitions ci-dessous.
Définitions importantes #
- Une Donnée personnelle est toute information relative à une personne identifiée ou identifiable, c’est-à-dire permettant de l’identifier directement (ex., le nom et le prénom) ou indirectement (ex., données de connexion), en application de l’article 4-1 du RGPD.
- Un Traitement de Données personnelles est toute opération ou ensemble d'opérations (automatisées ou non) portant sur des données ou des ensembles de Données personnelles, comme par exemple : la collecte, l'enregistrement, l'organisation, la conservation, la transmission des Données personnelles, en application de l’article 4-2 du RGPD.
- Le Responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens des traitements, en application de l’article 4-7 du RGPD.
- Le Sous-traitant est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement et sous ses instructions, en application des articles article 4-8 et 28 du RGPD.
Quel est notre rôle ? #
L’utilisation du Téléservice implique que le Fournisseur d’identité habilité Nous transmette des Données personnelles vous concernant. Dans le cadre du service d’Identification et/ou d’Authentification qu’il propose, le Fournisseur d’identité est Responsable du traitement.
Nous utilisons les Données personnelles transmises afin de vérifier leur unicité et exactitude au regard du Registre National d’Identité des Personnes Physiques (RNIPP). Pour ces opérations de Traitement, Nous sommes Responsable du traitement.
Une fois les opérations de vérification réalisées, Nous transmettons des Données personnelles vous concernant au Fournisseur de service habilité. Le Fournisseur de service destinataire de vos Données personnelles est Responsable du traitement dans le cadre du service en ligne auquel Vous vous connectez.
Le Traitement de vos Données personnelles que Nous réalisons est encadré par l'arrêté du 8 novembre 2018. La présente politique concerne exclusivement les Traitements que Nous réalisons.
Quels sont les traitements de données mis en oeuvre ? #
Le tableau qui suit a été établi sur la base de l’avis de la CNIL (délibération n°2018-164 du 24 mai 2018) et de l'arrêté du 8 novembre 2018.
| Finalité | Base légale | Données traitées | Durée de conservation |
|---|---|---|---|
| Gestion de la vérification de votre identité (consultation du RNIPP) | Article 6-1(e) RGPD – Mission d’intérêt public (arrêté du 8 novembre 2018) |
|
|
| Gestion de la traçabilité de vos accès au Téléservice et des modalités de ces accès | Article 6-1(c) RGPD – Obligation légale (arrêté du 8 novembre 2018) |
|
Données conservées pendant 36 mois |
| Transmission de vos Données personnelles aux Fournisseurs de service en tant qu’autorités administratives visées à l’arrêté du 8 novembre 2018 | Article 6-1(e) RGPD - Exécution d’une mission de service public |
|
Données conservées pendant toute la durée de la session, puis effacement |
| Transmission de vos Données personnelles aux Fournisseurs de service habilités autres que les autorités administratives visées à l’arrêté du 8 novembre 2018 | Article 6-1(a) RGPD - Consentement |
|
Données conservées pendant toute la durée de la session, puis effacement |
| Gestion de l’exercice des droits visés à l’arrêté du 8 novembre 2018 | Article 6-1(c) RGPD - Respect d’une obligation légale |
|
Données conservées pendant 5 ans à compter de notre réponse (prescription civile) |
| Gestion de la sécurité du site (Téléservice FranceConnect et/ou FranceConnect+) | Article 6-1(c) RGPD - Respect d’une obligation légale (RGS, Règlement eIDAS) | Données de connexion de l’utilisateur du Téléservice | Données conservées pendant 36 mois |
Quels sont les destinataires de vos données ? #
Les Données personnelles collectées sont transmises uniquement lorsque Vous vous authentifiez auprès des services en ligne proposés par les Fournisseurs de service Partenaires de FranceConnect ou FranceConnect+.
Seules les Données personnelles sélectionnées par le Fournisseur de service dans la liste des données renseignée lors de son habilitation lui sont transmises. Lors de chaque connexion auprès du Fournisseur de service, Vous êtes informés des Données personnelles transmises à celui-ci.
Les destinataires de vos Données personnelles sont :
- les Fournisseurs de service visés dans les textes réglementaires applicables au Téléservice FranceConnect et/ou FranceConnect+ et habilités en tant que Partenaires du téléservice ;
- nos Sous-traitants qui interviennent pour l’hébergement du Téléservice, le développement du Téléservice, le support et la sécurité du Téléservice ainsi que sa distribution.
Quelle sécurité pour vos données personnelles ? #
Nous veillons à prendre les mesures physiques, techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité de vos Données personnelles.
Quels sont vos droits ? #
Conformément à l'arrêté du 8 novembre 2018, Vous disposez d’un droit d’accès, de rectification et de suppression des Données personnelles qui vous concernent. Si Vous estimez, après Nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.
Pour exercer vos droits, il Vous suffit de nous écrire par voie électronique à support.securite@franceconnect.gouv.fr ou postale à FranceConnect - DINUM, 20, avenue de Ségur, 75007 Paris, en justifiant de votre identité dans le cas où cela est nécessaire.
Attention : Vos Données personnelles qui sont utilisées et conservées par les Fournisseurs de service sont de leur responsabilité et les droits y afférents doivent être exercés auprès d’eux.
Historique des versions #
| Version | Date d’applicabilité |
|---|---|
| Version 1.3 | Applicable à partir du 15 février 2023 |
| Version 1.2 | Applicable du 6 décembre 2021 au 14 février 2023 |
| Version 1.1 | Applicable du 12 mai 2021 au 5 décembre 2021 |