PREMIER MINISTRE
DINUM
Hub d'Echange de l'Etat
Direction interministerielle du numérique
DataPass : Application dédiée à la mise en relation entre fournisseurs de données (les sites proposant des démarches en ligne) et les fournisseurs de service (les services instructeurs soit dans le cas présent les communes). Elle a été mise en place par la Direction Interministérielle du Numérique (DINUM) dans le cadre de l'article L114-8 du code des relations entre public et l'administration (CRPA).
Démarche en ligne : Démarche administrative proposée par un Opérateur de Service en Ligne au moyen de son site internet ou d'une application métier permettant la dématérialisation d'une procédure en transmettant les demandes au service instructeur en charge de la procédure.Exemple : Réalisation de la demande d'Acte d'état Civil mise à disposition sur le site https://www.service-public.fr par la Direction de l'Information légale et Administrative, transmise à la mairie de l'usager par voie électronique.
Opérateur de Service en Ligne (OSL) : Entité en charge de services web ou d'applications permettant aux usagers à de réaliser des à démarches en ligne .Par exemple, la Direction de l'Information légale et Administrative (DILA) avec https://www.service-public.fr et la démarche de demande d'Acte d'état Civil.
Usager : Toute personne réalisant une démarche en ligne au moyen d'un site internet ou d'une application proposée par un Opérateur de Service en Ligne. Ce peut être un citoyen qui utilise le site service-public.fr comme par exemple un médecin qui rédige un certificat de décés électronique.
Données à caractère personnel : Désignent les informations relatives à l'Usager, communiquées lors de la constitution de sa demande effectuée dans le cadre d'une démarche administrative, permettant son identification directe ou indirecte.
Service Instructeur (SI) : Toutes les entités en charge de l'instruction des démarches en ligne par les Usagers. Par exemple, les mairies pour la démarche de demande d'Acte d'état Civil.
Télédossier : Un télédossier comporte l'ensemble des éléments transmis par un à Usager à dans le cadre de la réalisation d'une démarche en ligne.
Les Conditions Générales d'utilisation (CGU) présentent les modalités d'utilisation du Portail Web du Hub d'échange de l'état (HubEE), ci-aprés dénommé "Service" , accessible à l'adresse suivante : https://www.hubee.numerique.gouv.fr. Elles sont mises en oeuvre conformément à l'article L. 112-9 du code des relations entre le public et l'administration. Elles s'imposent :
Le Service est mis en oeuvre par la Direction Interministérielle du Numérique (DINUM) et s'inscrit dans l'ambition d'accélérer la transformation numérique du service public afin de simplifier les procédures administratives. Ce service doit permettre d'assurer :
Administration fonctionnelle de HubEE : Direction Interministérielle du Numérique (DINUM). Ce site est édité par la DINUM appartenant aux services du Premier Ministre. Directeur de la publication : Madame Stéphanie Schaer, Directeur Interministériel au Numérique (DINUM)
Coordonnées
Adresse : DINUM, 20 avenue de Ségur, 75007 PARIS
Accueil : 01.71.21.01.70
Éditeur de la solution logicielle (dénommé à fournisseur à dans ce document) : CGI
Coordonnées
Adresse (siège social) : 17 place des reflets 92400 Courbevoie
Prestataire d'hébergement : OUTSCALE
Coordonnées
Adresse (siège social) : 1, rue Royale à 319 Bureaux de la Colline 92210 Saint-Cloud
Prestataire d'exploitation : CGI
L'utilisation du Service est gratuite, facultative et accessible depuis n'importe quel navigateur connecté Internet faisant plus de 1% de parts de marché en France dans les 6 derniers mois : Chrome 85, Safari 13.1, Firefox 80, Edge 85, Samsung Internet 12.1.
L'utilisation du Service est réservée aux personnes habilitées, en tout lieu et à toute heure. Le Service est full web, responsive Design et est adapté pour un usage en "bureau" ou "mobile" .
Le Service dépose des cookies de mesure d'audience (nombre de visites, pages consultées), respectant les conditions d'exemption du consentement de l'internaute définies par la recommandation à Cookies à de la Commission Nationale Informatique et Libertés (CNIL).
Cela signifie, notamment, que ces cookies ne servent que la production de statistiques anonymes et ne permettent pas de suivre la navigation de l'internaute sur d'autres sites.
Le Service dépose également des cookies de navigation, aux fins strictement techniques, qui ne sont pas conservés.
Les données à caractère personnel communiquées par les Usagers lors de la réalisation de démarches en ligne sont transmises par les OSL au Service qui se charge de les mettre à disposition du Service Instructeur destinataire. Ainsi, par exemple, une demande d'Acte État Civil réalisée par un Usager, habitant dans la commune X, sur le site https://www.service-public.fr, est mise à disposition du bureau d'état Civil de la commune X par le "Service". Il convient de distinguer plusieurs natures de traitement :
Pour effectuer une demande d'abonnement, le Service Instructeur désigne une personne habilitée à faire la ou les demandes d'abonnement pour le compte de l'établissement au moyen de la fourniture d'une adresse mail professionnelle valide au jour de la demande. Ces demandes, accessibles depuis le Service, sont gérées dans l'application DataPass via un formulaire dédié intégrant la justification de la demande. Les données à caractère personnel collectées sont :
A l'issue de la procédure de validation de la demande d'abonnement par l'Opérateur de Service en Ligne, la personne dispose d'un compte d'administrateur local au sein du Service. Grâce à ce compte, l'administrateur local pourra mettre à jour les modalités d'abonnement aux démarches qu'il vient de réaliser : mode d'accès (API/Portail), date d'activation du Service, notifications mail lors de la mise à disposition d'une demande. Ces modalités sont spécifiques à chaque démarche et le mode d'accès peut être différent pour chaque démarche. En revanche, le choix du mode de raccordement pour une démarche donnée est exclusif et le raccordement simultané à une même démarche selon les deux modes : API et Portail n'est pas possible.
L'administrateur local est responsable des paramètrages réalisés notamment lorsqu'il choisit d'abonner son établissement pour une ou plusieurs démarches via le mode API. Celui-ci suppose que l'administrateur local s'est au préalable assuré auprès du ou des éditeurs des progiciels concernés par cette ou ces démarches :
L'administrateur local peut à tout moment choisir de suspendre l'abonnement de son Service instructeur à une démarche. Il appartiendra au Service Instructeur de s'assurer que l'ensemble des demandes reçues jusqu'à cette date sont bien traitées. La suspension de tous les abonnements d'un Service Instructeur emporte la résiliation de son adhésion au dispositif.
[cf. CGU DataPass disponibles à l'adresse suivante : https://datapass.api.gouv.fr/docs/cgu_datapass.pdf]
L'adresse mail est utilisée pour notifier l'utilisateur de la création de son compte. Elle est également utiliser pour l'informer de la transmission des télédossiers pour les démarches auxquelles il est habilité si cette fonctionnalité est activée. Pour gérer la traçabilité des accès de l'utilisateur, les données collectées par le Service sont :
L'utilisateur est ensuite invité à personnaliser son mot de passe à la 1ére connexion selon les règles suivantes : 8 caractères avec au moins un chiffre, une majuscule et un caractère spécial.
Le mot de passe doit être choisi par l'utilisateur de façon qu'il ne puisse pas être deviné par un tiers. Il s'engage à en préserver la confidentialité et à avertir immédiatement la DINUM de toute utilisation non autorisée de ces informations, la DINUM ne pouvant être tenue pour responsable des dommages éventuellement causés par l'utilisation du mot de passe et du numéro de dossier par une personne non autorisée.
L'utilisateur s'engage à respecter les présentes CGU et la législation en vigueur. Il s'engage notamment à ne fournir, dans le cadre de l'utilisation du Service, que des informations exactes, à jour et complètes.
Dans l'hypothése où l'utilisateur ne s'acquitterait pas de ses engagements, la DINUM (ou autre donneur d'ordre) se réserve le droit de suspendre ou de résilier le Service pour cet utilisateur, sans préjudice des éventuelles actions en responsabilité pénale et civile qui pourraient être engagées à son encontre.
Il est rappelé que toute personne procédant à une fausse d'claration pour elle-même ou pour autrui s'expose, notamment, aux sanctions prévues à l'article 441-1 du Code Pénal, prévoyant des peines pouvant aller jusqu'à trois ans d'emprisonnement et 45 000 euros d'amende.
Les données à caractère personnel d'un utilisateur sont conservées par le Service jusqu'à la demande de suspension ou de suppression qu'il formule auprès de l'administrateur local de son établissement. La suppression du compte intervient immédiatement et l'utilisateur ne peut plus accéder au Service.
Les comptes utilisateurs sont vérifiés trimestriellement par l'envoi d'un email sur la boite professionnelle communiquée. En cas de non réponse à l'email dans un délai de 2 jours (48 heures), le compte est automatiquement suspendu. S'il n'est pas réactivé par un administrateur local dans les 2 mois suivants, le compte est supprimé de l'application.
L'utilisateur peut aussi effectuer sa demande de suppression de compte auprès de la DINUM en justifiant de son identité, soit :
Si l'utilisateur estime, aprés avoir contacté la DINUM, que ses droits Informatiques et Libertés ne sont pas respectées, il peut adresser une réclamation à la CNIL.
Les Opérateurs de Service en ligne sont responsables des traitements opérés sur les données personnelles déposées par les Usagers sur leur site dédié. Ils respectent à ce titre les obligations inhérentes à ces traitements, notamment celles prévues par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et par le règlement européen n° 2016/679 dit Règlement Général sur la Protection des Données (RGPD).
Les Opérateurs de Service en Ligne veillent notamment à ce que les démarches en lignes soient prévues par une disposition législative ou règlementaire et soient traitées dans ce cadre. Ils déterminent la liste des informations collectées auprès des Usagers, en mettant en oeuvre le principe de minimisation des données collectées aux seules fins du traitement concerné.
Les Opérateurs de Service en Ligne tiennent à jour la liste des traitements automatisés mis en oeuvre et déterminent la durée de conservation des données personnelles.
Les Opérateurs de Service en Ligne s'engagent à ne pas commercialiser les données reçues, à ne pas les communiquer à des tiers en dehors des cas prévus par la loi.
Le Service conserve les données uniquement le temps prévu pour l'instruction des demandes des Usagers.
A la date de fin de conservation du dossier, celui-ci est supprimé des bases du Service. Seule une trace de la demande est conservée. Celle-ci indique, le nom de l'Opérateur de Service en Ligne chargé de la démarche en ligne, le nom de la Démarche, la date de dépôt de la demande, la date de réception par le Service Instructeur, les dates et les types de traitement de la demande ainsi que la date de fin de traitement de la demande.
Les Opérateurs de Service en Ligne sont responsables de l'information des Usagers sur les droits prévus par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique aux fichiers et aux libertés Ces droits s'exercent auprès des contacts définis dans les CGU des Opérateurs de Service en Ligne. Ils sont transmis au Service et aux Services Instructeurs pour prise en compte des actions demandées.
Le Service conserve pendant une durée de 6 mois les données de journalisation (https://www.cnil.fr/fr/securite-tracer-les-acces-et-gerer-les-incidents).
Les Services Instructeurs sont responsables des traitements opérés sur les données personnelles des Usagers mis à leur disposition au sein du Service. Ils respectent à ce titre les obligations inhérentes à ces traitements, notamment celles prévues par la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés et celles du Règlement Européen n° 2016/679 du 27 avril 2016 dit Règlement Général sur la Protection des Données (RGPD).
Les Services Instructeurs veillent notamment à ce que la démarche soit prévue par une disposition législative ou règlementaire et soit traitée dans ce cadre. Ils déterminent la liste des informations collectées auprès des Usagers, en mettant en oeuvre le principe de minimisation des données collectées aux seules fins du traitement concerné et veillent à ne pas saisir de données à caractères personnel dans les zones de saisie libre.
Les Services Instructeurs tiennent à jour la liste des traitements automatisés mis en oeuvre et déterminent la durée de conservation des données personnelles conformément aux dispositions prévues par la loi pour les différentes démarches en ligne.
Les Services Instructeurs s'engagent à ne pas commercialiser les données reçues, à ne pas les communiquer à des tiers en dehors des cas prévus par la loi et à effectuer toutes formalités préalables obligatoires auprès de la Commission Nationale de l'Informatique et des Libertés.
Le Service conserve les données uniquement le temps prévu pour l'instruction des demandes.
Le présent Service est mis en oeuvre selon les dispositions du code des relations entre le public et l'administration (CRPA).
Il est conforme aux règles d'accessibilité (RGAA) définies par l'article 47 de la loi du 11 février 2005 pour l'égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées .
Il a un niveau de sécurité adéquat à la protection des données personnelles, conforme aux règles de sécurité définies par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).
La DINUM et ses partenaires assurent un accompagnement des Services Instructeurs dans la mise en place des démarches en ligne auxquelles ils souhaitent être raccordées, et le maintien en condition opérationnelle de ces démarches en prenant notamment à leur charge les prestations suivantes :
Dans le cadre de l'accompagnement que la DINUM assure au profit des Services Instructeurs adhérents, celle-ci leur propose l'usage de l'espace d'échange dédié du portail officiel de l'administration Service-Public.fr, pour appuyer les collaborations autour de la production et des contenus et des services proposés aux Usagers.
L'espace partenaires Service-Public.fr constitue un point d'information privilégié pour les Services Instructeurs raccordés à une ou plusieurs démarches avec notamment un groupe où sont disponibles les documents de référence (documentation de raccordement, guide d'utilisation du guichet de suivi, etc.) ainsi qu'un kit de communication sur les démarches à l'attention des Services Instructeurs pour promouvoir les services en ligne auprès des Usagers.
L'espace partenaires constitue également un lieu d'échange privilégié entre les Services Instructeurs afin d'obtenir une réponse à une question métier ou partager un retour d'expérience. La DINUM est autorisée à traiter, pour le compte des responsables de traitement, les données à caractère personnel nécessaires à l'usage du Service, à savoir :
La nature des opérations réalisées sur les données est la suivante :
Les obligations sont déterminées par le tableau ci-dessous :
| Thémes | DINUM |
|---|---|
| Respect de la vie privée (DPD, registre et conformité générale) | Obligation de transparence et de traçabilité et mise en oeuvre des principes de "privacy by design" . |
| Données traitées dans le cadre du Service | Mise en oeuvre du traitement pour les seules finalités, destinataires, durées de conservation fixées par l'administration. |
| Sécurité du traitement et confidentialité (organisationnel) | Obligation de confidentialité des agents et sous-traitants. Assurer que seules les personnes habilitées ont accès aux données traitées. Mise en oeuvre des mesures de sécurité définies par la DINUM et communiquées sur demande à l'administration. |
| Violation de données | Obligation d'alerte, d'assistance et de conseil, sans délai : La DINUM notifie à l'OSL responsable de la démarche et au(x) Service(s) Instructeur(s) en charge du traitement de la ou des demandes toute violation de données à caractère personnel dans un délai maximum de 24 heures aprés en avoir pris connaissance et par le moyen du mail défini lors de la création du compte au sein du Service. Cette notification est accompagnée de toute documentation utile afin de leur permettre, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente. |
| Sécurité des systèmes d'information | Analyse de risque et homologation RGS (Référentiel Général de Sécurité). Mise en oeuvre des mesures de sécurité susceptibles de garantir la confidentialité du traitement et l'intégrité des données traitées, y compris auprès de ses sous-traitants (anonymisation, hébergement, gestion des habilitations, etc.). |
| Droits des personnes | Accompagnement à la formalisation de l'exercice des droits. Mise en oeuvre de devoir d'information et les droits des personnes selon les modalités prévues par le responsable de traitement pour les données à caractère personnel mentionnées aux paragraphes 6.1 et 6.2 des présentes CGU. Application des demandes de traitements conformément aux demandes sous la responsabilité des responsables de traitement pour les données à caractère personnel mentionnées aux paragraphes 6.3 et 6.4 des présentes CGU . |
| Sous-traitance | Information préalable des sous-traitants mobilisés par la DINUM dans le cadre du projet. Engagement de confidentialité. Veiller à ce que les sous-traitants soient sensibilisés à la protection des données. |
| Travaux de conformité (mentions d'information, analyse d'impact, mentions légales et CGU) | Fournit l'ensemble des informations nécessaires à la réalisation de la documentation. |
| Audits | Se rendre disponible aux sollicitations des auditeurs. Proposer des mesures de contingence, indiquer la faisabilité et les prioriser. |
| Territorialité | Engagement à traiter les données à caractère personnel sur le territoire national ou européen. |
| RH | Mobilisation des personnels susceptibles de participer à la bonne sécurisation du projet. |
Le code du Service sera disponible sur le service d'hébergement et de gestion de développement de logiciels GITHub .
Le Service est développé conformément à l'état de l'art. Toutefois, il n'est pas garanti qu'il soit exempt d'anomalies ou erreurs. Le Service est donc mis à disposition sans garantie sur sa disponibilité et ses performances. A ce titre, la DINUM ne peut être tenue responsable des pertes et/ou préjudices, de quelque nature qu'ils soient, qui pourraient être causés à la suite d'un dysfonctionnement ou une indisponibilité du service. De telles situations n'ouvriront droit à aucune compensation financière.
La DINUM se réserve la liberté de faire évoluer, de modifier ou de suspendre, sans préavis, le Service pour des raisons de maintenance ou pour tout autre motif jugé nécessaire. La DINUM s'engage à prendre toutes les mesures nécessaires à la reprise normale du Service et à en informer les utilisateurs.
La DINUM prend toutes précautions utiles pour préserver la sécurité des données à caractère personnel et, notamment, empêcher qu'elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès. Ces mesures sont notamment les suivantes :
Par ailleurs, l'accès aux traitements par les Usagers du Service nécessite une authentification des personnes accédant aux données, au moyen d'un code d'accès et d'un mot de passe individuels, suffisamment robustes et régulièrement vérifiés. Les données transitant sur des canaux de communication non sécurisés font l'objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée.
Toute question à propos de la sécurité du Service peut être adressée à l'adresse suivante : contact@hubee.numerique.gouv.fr