Données personnelles et sécurité

Vérifié le 13 juillet 2022 - Direction de l'information légale et administrative (Premier ministre)

La plateforme technique de service-public.fr a fait l'objet d'un travail préparatoire approfondi avec la CNIL (Commission nationale de l'informatique et des libertés) en vue d'offrir aux usagers toutes les garanties en matière de sécurité et de confidentialité de leurs données.

L'hébergement de la plateforme service-public.fr est réalisé sur un site dont les locaux et l'accès aux machines d'exploitation sont contrôlés. Les flux de données et les données personnelles sont chiffrés afin de prévenir des tentatives de détournement d'information. Les accès à la plateforme sont conservés afin de garantir leur traçabilité.

La Direction de l'Information Légale et Administrative (DILA), représentée par sa directrice Anne Duclos-Grisier est responsable du traitement des données personnelles pour le site service-public.fr.

Les coordonnées de la DILA sont les suivantes :

26 rue Desaix, 75727 Paris cedex 15

Tél. Standard : 01 40 58 75 00

La DILA s'engage à ce que les traitements de données personnelles effectués sur service-public.fr soient conformes au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.

Dans le cadre de la mise à disposition de téléservices, la DILA transmet les informations collectées aux administrations partenaires compétentes pour instruire les démarches accomplies via service-public.fr.

Les données peuvent dans une certaine mesure être rendues accessibles aux prestataires (sous-traitants au sens de la règlementation) de la DILA sous son contrôle, pour les stricts besoins et dans les limites de leurs missions. Ces sous-traitants sont soumis à une obligation de confidentialité et ne peuvent utiliser les données à caractère personnel que conformément à la législation applicable et aux dispositions contractuelles spécifiquement conclues.

En tant que responsable de traitement, la DILA s'engage à prendre toutes les mesures nécessaires permettant de garantir la sécurité et la confidentialité des informations fournies par l'usager. Elle s'engage à n'opérer aucune commercialisation des informations et documents transmis par l'usager au moyen du site service-public.fr, et à ne pas les communiquer à des tiers, en dehors des cas prévus par la loi, notamment, en cas de réquisition judiciaire.

La DILA met en œuvre des traitements de données à caractère personnel, sur la base des missions d'intérêt public dont elle est investie, pour les finalités suivantes :

  • La création et la gestion d'un compte personnel ;
  • Proposer au public un espace de stockage en ligne ;
  • Simplifier des démarches et formalités administratives effectuées par le public en mettant à leur disposition des téléservices, et en assurer la traçabilité et le suivi ;
  • Répondre au public sur toute question ou démarche administratives via un formulaire de contact ;
  • Mettre à disposition du public l'annuaire de l'Administration ;
  • Assurer le bon fonctionnement du site et améliorer votre expérience de navigation.

La DILA diffuse une lettre d'information au public sur la base du consentement de ses abonnés.

Les données collectées dans le cadre de la mise en œuvre de chacune des finalités décrites ci-avant sont limités au strict nécessaire.

Les catégories de données susceptibles d'être traitées en fonction de la finalité poursuivie sont les suivantes :

  • Données relatives à l'identification de la personne ;
  • Données nécessaires à l'accomplissement d'une formalité administrative ;
  • Données relatives à la navigation sur les sites web (horodatage, adresse IP des usagers, etc.)
  • Données relatives à la mesure d'audience du site.

La DILA s'engage à ce que vos données soient conservées pendant une durée qui n'excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

  • Les données nécessaires à la création du compte et sa gestion et les données enregistrées dans l'espace de stockage personnel sont conservées tant que le compte est actif.
  • Les données permettant d'accomplir une démarche administrative sont conservées jusqu'à la transmission de la demande à l'administration partenaire en charge d'instruire la demande.
  • Les données collectées via le formulaire de contact sont conservées cinq ans.
  • Les données diffusées sur l'annuaire sont conservées tant que l'agent public concerné est en poste.
  • Les données des journaux (logs) sont conservées 1 an.
  • Les données nécessaires à la production de statistiques d'audience et d'utilisation des services en ligne sont conservées durant 25 mois dans un format ne permettant pas l'identification des personnes par leur adresse IP, et comportent un identifiant (relatif au cookie) conservé pour une durée maximale de 6 mois sauf opposition de la personne concernée.

Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier si elles sont inexactes ou les faire effacer dans certains cas précis. Vous disposez également d'un droit à la limitation du traitement de vos données et du droit de retirer pour l'avenir votre consentement à tout moment, s'il servait de base légale au traitement de vos données.

Vous pouvez exercer vos droits ou obtenir des informations concernant le traitement de vos données personnelles directement auprès du responsable de traitement par courriel à l'adresse suivante : rgpd@dila.gouv.fr.

Si la réponse apportée ne convient pas à l'usager, ce dernier peut alors saisir le délégué à la protection des données des services du Premier ministre, par courriel à l'adresse suivante : dpd@pm.gouv.fr et par courrier à l'adresse suivante :

Service du Premier ministre

À l'attention du délégué à la protection des données (DPD)

56 rue de Varenne

75700 Paris

Nous vous invitons à joindre à votre demande toute pièce permettant de justifier votre identité et le bien-fondé de votre demande.

En tout état de cause, l'usager dispose également du droit d'introduire une réclamation ou une plainte auprès de la Commission Nationale de l'Informatique et des Libertés via l'adresse suivante : https://www.cnil.fr/fr/plaintes

Le site service-public.fr utilise des témoins de connexion (dits « cookies »* ) qui sont déposés sur l'ordinateur, le mobile ou la tablette de l'usager. La liste complète des tiers qui déposent ou lisent des cookies sur votre terminal est disponible sur la page « gestion des cookies » accessible en bas de page du site.

Cookies techniques strictement nécessaires au fonctionnement du site

Le site service-public.fr utilise des cookies permettant au site de fonctionner. Ils ne peuvent pas être désactivés, sauf en refusant tous les cookies dans les paramètres de votre navigateur. Cependant votre expérience utilisateur risque d'être dégradée.

Cookies de mesure d'audience

Notre site utilise des cookies de mesure d'audience. Certains de ces cookies sont strictement nécessaires au fonctionnement et aux opérations d'administration courante du site.

Notre site utilise également des cookies de mesure d'audience qui dépassent ces finalités, et permettent d'améliorer l'expérience utilisateur de navigation sur notre site. Ces cookies n'étant pas strictement nécessaires, ils sont soumis à votre consentement lors de votre première visite sur service-public.fr. Vous pouvez modifier votre choix à tout moment en vous rendant sur la page « Gestion des cookies ».

Cookies tiers destinés à améliorer l'interactivité du site

Le site service-public.fr s'appuie sur certains services fournis par des tiers qui permettent :

  • de visualiser des contenus multimédias ;
  • d'afficher des flux d'informations provenant des réseaux sociaux ;

Ces tiers collecteront et utiliseront vos données de navigation pour des finalités qui leur sont propres. Pour consulter la liste à jour de ces tiers et leur politique de confidentialité, ainsi que pour accepter ou refuser leurs cookies, ou pour modifier votre choix à tout moment, vous pouvez vous rendre sur la page « Gestion des cookies » accessible en bas de page du site.

À savoir  

*Un « cookie » est une suite d'informations, généralement de petite taille et identifiée par un nom, qui peut être transmis à votre navigateur par un site web sur lequel l'internaute se connecte. Le navigateur web de l'internaute le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que l'internaute s'y re-connectera.

Attention  

Pour accéder à la page de gestion des cookies, vous devez impérativement activer java script dans votre navigateur, puis cliquer sur "gestion des cookies" en bas de page.

Accès au site

Le site service-public.fr est protégé par un certificat électronique, matérialisé pour la grande majorité des navigateurs par un cadenas.

Cette protection participe à la confidentialité des échanges, mais permet aussi aux usagers de s'assurer de l'authenticité du site au regard d'éventuelles tentatives de filoutage :

http://www.ssi.gouv.fr/entreprise/glossaire/h/

En aucun cas les services associés à service-public.fr ne seront initiateur d'envois de courriels pour demander la saisie d'informations personnelles. En particulier, le mot de passe qui reste sous le contrôle exclusif des usagers. Seuls et dans certaines circonstances identifiables par l'usager, des courriels légitimes pourraient lui être adressés à des fins d'information ou d'invitation à poursuivre une démarche engagée par voie électronique.

Lors de la connexion au site service-public.fr, il est recommandé de copier ou de saisir manuellement l'adresse réticulaire (URL) dans le navigateur, et d'éviter de cliquer sur des liens qui auraient été reçus par messagerie ou qui seraient accessibles à partir de sites non réputés.

Le certificat qui sert le site est conforme aux exigences du Référentiel général de sécurité (RGS) et est émis par un Prestataire de certification électronique qualifié (PSCE). La liste des prestataires qualifiés est disponible sur :

http://lsti-certification.fr/index.php/fr/certification/psce

Choisir son mot de passe

Pour protéger vos accès et vos données, il est nécessaire de choisir et d'utiliser des mots de passe robustes, qui sont difficiles à retrouver à l'aide d'outils automatisés et à deviner par une tierce personne. La force d'un mot de passe dépend de sa longueur et des caractères le composant. Le site service-public.fr exige 8 caractères minimum, comportant au moins une lettre en majuscule, au moins une lettre en minuscule et au moins un chiffre

Pour information, vous pouvez vous reporter aux recommandations de la commission nationale de l'informatique et des libertés (CNIL)

Protéger ses moyens d'authentification

Afin de ne pas compromettre la sécurité de vos moyens d'authentification et de votre environnement d'utilisation, il est recommandé de :

  • Ne jamais demander à un tiers de créer pour vous un mot de passe ;
  • Changer de mot de passe régulièrement ;
  • Eviter de configurer les logiciels, y compris votre navigateur web, pour qu'ils retiennent les mots de passe ;
  • Ne pas envoyer ses mots de passe en clair sur Internet, par exemple sur sa messagerie personnelle ;
  • Ne pas noter ou stocker en clair les mots de passe dans un fichier ou un document en libre accès, ou sur un poste informatique connecté à Internet ;
  • Naviguer avec un navigateur à jour. Avant toute utilisation d'un navigateur, quel qu'il soit, il convient de s'assurer le plus tôt possible que celui-ci est à jour. Les navigateurs les plus récents proposent tous une fonctionnalité de mise jour automatique et des moyens de protection contre les malveillances, comme le filoutage. Ce qui est vrai en termes de mise à jour pour un navigateur, l'est également pour le système d'exploitation et les logiciels qui y sont installés.

Une solution pratique pour répondre à ces exigences avec un minimum de confort est d'utiliser un coffre-fort logiciel de type Keepass pour stocker les mots de passe : http://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portable/

Consulter l'infographie de l'Agence nationale de sécurité des systèmes d'snformation « Les bons réflexes sur Internet » : http://www.ssi.gouv.fr/uploads/2016/06/surfezzen_mini.jpg

Détecter un courriel malveillant sur les conseils de la CNIL :

https://www.cnil.fr/fr/detectez-un-courrier-electronique-malveillant

Menaces sur Internet

En complément de l'attention portée à la sécurité, voici quelques principales menaces d'Internet à surveiller :

  • Les codes malveillants : les postes utilisés pour accéder à l'espace personnel doivent être protégés (anti-virus et correctifs de sécurité à jour) contre les codes malveillants afin d'assurer la légitimité des accès au compte. Le principal risque sur service-public.fr serait le piratage de son mot de passe.
    http://www.ssi.gouv.fr/entreprise/glossaire/c/#code-malveillant-logiciel-malveillant-malicious-software-malware
  • Le filoutage : le site pourrait être copié avec pour simple objectif d'attirer les usagers à s'y connecter et récupérer leurs mots de passe. Pour service- public.fr, un certificat électronique émis par une autorité reconnue dans les navigateurs et qualifiée au sens du Référentiel général de sécurité, permet aux usagers et à leur navigateur de vérifier la légitimité du site auquel ils accèdent.
    http://www.ssi.gouv.fr/entreprise/glossaire/h/
  • Les pourriels (SPAM) : l'envoi de courriels non sollicités (SPAM) serait le principal vecteur pour inciter les usagers à s'authentifier sur des sites illégitimes (filoutage) ou infecter leurs postes via des liens ou des pièces jointes malveillants.
    http://www.ssi.gouv.fr/entreprise/glossaire/p/#pourriel-polluriel-spam

  • Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
  • Décret n° 2016-186 du 24 février 2016 modifiant le décret n° 2009-730 du 18 juin 2009 relatif à l'espace de stockage accessible en ligne pris en application de l'article 7 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
  • Arrêté du 6 novembre 2000 relatif à la création d'un site sur internet intitulé « service-public.fr ».
  • Arrêté du 24 février 2016 portant intégration au site internet « service-public.fr » d'un téléservice permettant à l'usager d'accomplir des démarches administratives en tout ou partie dématérialisées et d'avoir accès à des services d'informations personnalisés.
  • Délibération n° 2015-411 du 12 novembre 2015 portant avis sur un projet d'arrêté relatif à la mise en œuvre de traitements de données à caractère personnel intégrés au dispositif dénommé « service-public.fr » pour permettre, en un point d'accès unifié pour l'usager, d'accomplir des démarches administratives en tout ou partie dématérialisées et de bénéficier de services d'informations personnalisées (demande d'avis n° 1878256).