Aller au menu Aller au contenu

Protection des données à caractère personnel

Lexique :

Un traitement de données à caractère personnel est une opération ou un ensemble organisé d’opérations effectué sur des données à caractère personnel (collecte, structuration, conservation, modification, communication...).

Une donnée à caractère personnel est une information qui permet d’identifier un être humain (personne physique), directement (par exemple son nom/prénom), ou indirectement (par exemple son numéro de téléphone, son numéro de contrat, son pseudonyme).
La personne concernée est celle qui peut être identifiée par les données utilisées dans le cadre du traitement de données à caractère personnel.

Le responsable de traitement est celui qui décide de la manière dont sera mis en œuvre le traitement des données à caractère personnel, notamment en déterminant les fins et les moyens du traitement.

Le sous-traitant est, le cas échéant, celui qui effectue des opérations sur les données pour le compte du responsable de traitement. Il dispose notamment des garanties techniques et organisationnelles, lui permettant de traiter les données à caractère personnel qui lui sont confiées conformément à la règlementation.

Le Ministère de l’action et des comptes publics traite et conserve les données à caractère personnel des utilisateurs du profil d’acheteur suivantes :

  • L'identité (2 à 5 ans) ;
  • Les données de connexion (2 à 5 ans) ;
  • Autres : enregistrements des appels des utilisateurs dans le cadre du support, traces applicatives (6 à 12 mois).

Ces données sont obligatoires pour utiliser les fonctionnalités de PLACE et la constitution d’un annuaire des professionnels ; toute déclaration fausse ou irrégulière engage la responsabilité des utilisateurs concernés. À défaut d’avoir renseigné les champs obligatoires de ces informations, la plateforme ne peut pas être utilisée.
Seules les données à caractère personnel qui sont strictement utiles sont collectées et traitées et ne sont pas conservées au-delà de la durée nécessaire pour les opérations pour lesquelles elles ont été collectées.

Dans le cadre de l’utilisation de PLACE, le Ministère de l’action et des compte publics met en œuvre un traitement de données à caractère personnel sur le fondement de l’article 6.1 c) du règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) et après recueil du consentement des utilisateurs (notamment pour l’envoi des enquêtes de satisfaction et la constitution d’un annuaire des professionnels).

Les données à caractère personnel peuvent être communiquées par le Ministère de l’action et des comptes publics à des sous-traitants, au sens du RGPD. À ce titre, les sous-traitants concernés se sont engagés dans le cadre de leur relation avec le Ministère à respecter le RGPD. Le Ministère de l’action et des comptes publics s’est attaché à sélectionner des sous-traitants présentant les garanties nécessaires.

Ces données sont traitées de manière confidentielle et ne sont communiquées qu’aux agents publics (acheteurs), gestionnaires de l'application (exploitation, mainteneur), auditeurs et contrôleurs externes (juridictions financières et corps de contrôle, AQ-SSI) et au délégué à la protection des données à caractère personnel du ministère (DPD).

Conformément aux dispositions du RGPD, les utilisateurs concernés disposent de droits dédiés sur leurs données à caractère personnel, notamment : un droit d’information, un droit d’accès, un droit de rectification, un droit d’effacement, un droit de limitation. Ces droits peuvent être exercés auprès du délégué à la protection des données (DPD) :

Ainsi que directement auprès du responsable de traitement :

Pour faciliter les démarches, chaque utilisateur concerné, lors de l’envoi d’une demande d’exercice des droits, est invité à :

  • Indiquer quel(s) droit(s) il souhaite exercer,
  • Mentionner ses noms / prénoms / coordonnées auxquels il souhaite recevoir les réponses,
  • Joindre une copie de sa pièce d’identité

Pour plus d’informations, la CNIL a créé une rubrique dédiée à la compréhension des droits : https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles

Utilisation de témoins de connexion (« cookies »)

  • Un témoin de connexion, aussi appelé cookie, est une suite d'informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y reconnecterez.

Témoins de connexions internes utilisés par la plateforme

  • Ces témoins permettent au site de fonctionner de manière nominale pour un utilisateur authentifié. Vous pouvez vous y opposer et les supprimer en utilisant les paramètres de votre navigateur, cependant votre expérience utilisateur risque d’être très dégradée. En effet, la connexion à votre compte personnel et aux fonctionnalités réservées aux utilisateurs connectés vous seront impossibles.
Nom du témoin Finalité Durée de conservation
PHPSESSID Récupère ou définit l’identifiant de session pour la session courante de l’utilisateur session
SERVERID Détermine le serveur de l’application sur lequel l’utilisateur est connecté session