Politique de confidentialité
La DINUM est responsable des traitements de données à caractère personnel réalisés dans l’Application. Elle s’engage à assurer un traitement de ces données conforme au Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel et à la libre circulation de ces données et à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique aux fichiers et aux libertés.
1. Données à caractère personnel traitées
Ne sont traitées que les données strictement nécessaires au fonctionnement de l’Application. Ces données ne pourront en aucun cas servir au contrôle et à la surveillance de l’activité des Utilisateurs et Utilisatrices.
Les données à caractère personnel concernées sont les suivantes :
- Données relatives au profil : prénom, nom, organisation et adresse mail professionnelle (obligatoire), une photographie d’identité (optionnel) ;
- Données de contenus du service de messagerie instantanée : message, fichiers, métadonnées ;
- Données de contact du répertoire mobile : prénom, nom, adresse mail (optionnel et les données ne sont pas importées) ;
- Données de connexion.
2. Finalités
Les traitements ont pour finalité la mise à disposition des administrations d'un service numérique d'usage partagé de messagerie collaborative. Ils comprennent les traitements nécessaires à la gestion des comptes, à la gestion des services transverses d’échanges de messages et l’exploitation et l'amélioration de l’Application.
3.Base légale
3.1 Données relatives au profil
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement au sens de l’article 6-e du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La mission d’intérêt public constitue la mise à disposition et le développement d’outils collaboratifs par la DINUM en vue de leur intégration dans les ministères (article 6 du décret n°2019-1088 du 25 octobre 2019 relatif au système d’information et de communication de l’Etat et à la direction interministérielle du numérique).
3.2 Données de contenus du service de messagerie instantanée
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement au sens de l’article 6-e du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La mission d’intérêt public constitue la mise à disposition et le développement d’outils collaboratifs par la DINUM en vue de leur intégration dans les ministères(article 6 du décret n°2019-1088 du 25 octobre 2019 relatif au système d’information et de communication de l’Etat et à la direction interministérielle du numérique).
3.3 Données de connexion
Ce traitement est nécessaire au respect d'une obligation légale à laquelle le responsable de traitement est soumis au sens de l'article 6-c du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
L'obligation légale est posée par la loi LCEN n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et par l’article 5 du décret n° 2021-1362 du 20 octobre 2021.
4. Durée de conservation
Les données relatives au profil sont conservées pendant 36 mois après la suppression d’un compte. L'utilisateur ou l'utilisatrice peut à tout moment demander la suppression de son compte.
Un compte inactif pendant une période de 6 mois est automatiquement supprimé. Les contenus du service de messagerie instantanée sont conservés pendant 36 mois après la date d’envoi du message.
Concernant les contacts téléphoniques, l’application accède aux contacts du téléphone de l’utilisateur ou de l’utilisatrice en lecture seule, mais ceux-ci ne sont pas importés ni stockés sur les serveurs.
Les données de connexion sont conservées pendant 1 an après la suppression du compte, conformément au décret n° 2021-1362 du 20 octobre 2021.
Lorsque l'Utilisateur ou l'Utilisatrice modifie son image de profil, ses images de profil précédentes ne sont pas supprimées mais conservées en tant qu’historique et stockées de manière sécurisée.
Enfin, les cookies sont conservés jusqu’au retrait du consentement, si applicable, ou dans un délai de 13 mois, conformément aux recommandations de la CNIL.
5. Destinataires
Le responsable de traitement s’engage à ce que les données à caractère personnel soient traitées par les seules personnes autorisées à en connaitre. Les informations de profil sont visibles par :
- Les Utilisateurs et Utilisatrices de l’Application lorsqu’ils ou elles utilisent la fonction de recherche annuaire, sauf si l’Utilisateur ou l’Utilisatrice paramètre son compte en l’inscrivant sur « liste rouge ». Dans ce cas, les autres Utilisateurs et Utilisatrices ne pourront pas voir son compte lors de leurs recherches ;
- Les participants des salons que l’Utilisateur ou l’Utilisatrice a rejoints.
Dans les conversations et les salons privés, les contenus du service de messagerie instantanée sont chiffrés. Ils ne sont visibles que par les Utilisateurs et Utilisatrices participants à la conversation ou au salon. Dans les salons publics, les contenus ne sont pas chiffrés. L’équipe Tchap et les participants au salon ont accès aux contenus du service de messagerie instantanée. L'administration a accès à la liste de ses agents présents sur l'Application
6. Sous-traitants
Le Cloud du Ministère de l'Intérieur est responsable de l'hébergement et de l'envoi des adresses mails en France, conformément aux garanties décrites sur leur site : https://www.numerique.gouv.fr/services/cloud/cloud-interne/.
Crisp gère le support des utilisateurs par adresse mail, avec des traitements effectués aux Pays-Bas et en Allemagne, et des garanties disponibles ici : https://crisp.chat/fr/.
Dolist fournit un service d'envoi d'emails d'information, avec des traitements en France et en Suisse, sous les garanties détaillées ici : https://www.dolist.com/societe/politique-rgpd/.
Sendinblue assure le service d'envoi d'emails de secours, avec des traitements dans l'UE et hors UE, comme expliqué sur leur page RGPD : https://fr.sendinblue.com/rgpd/.
Enfin, Scalingo héberge la page d'accueil, avec des traitements effectués en France, sous les garanties détaillées ici : https://scalingo.com/fr/privacy-policy.
7. Accès à la liste des contacts locaux du téléphone
Lors de son utilisation sur un téléphone, Tchap vous demande l’autorisation d’accéder à la liste de vos contacts locaux. Il n’y a pas d’obligation à autoriser cet accès, l’Application fonctionne sans cette autorisation.
Lorsque vous autorisez cet accès, Tchap l’utilise de deux manières :
- Tchap parcourt les adresses mails de vos contacts pour découvrir d’autres Utilisateurs et Utilisatrices inscrits sur Tchap. Ces Utilisateurs et Utilisatrices sont listés dans la section ‘Contacts’ de l’Application. Ils vous sont proposés également lorsque vous souhaitez inviter des nouveaux membres à un salon. Aucune adresse mail n’est stockée sur les serveurs ;
- Lorsque vous souhaitez inviter des nouvelles personnes à rejoindre Tchap, les coordonnées de vos contacts locaux vous sont proposées.
8. Cookies
Le site dépose des cookies de mesure d’audience (nombre de visites, pages consultées), respectant les conditions d’exemption du consentement de l’internaute définies par la recommandation « Cookies » de la Commission nationale informatique et libertés (CNIL). Cela signifie, notamment, que ces cookies ne servent qu’à la production de statistiques anonymes et ne permettent pas de suivre la navigation de l’internaute sur d’autres sites.
Nous utilisons pour cela Matomo, un outil de mesure d’audience web libre, paramétré pour être en conformité avec la recommandation « Cookies » de la CNIL.
Cela signifie que votre adresse IP, par exemple, est anonymisée avant d’être enregistrée. Il est donc impossible d’associer vos visites sur ce site à votre personne.
Il convient d’indiquer que :
- Les données collectées ne sont pas recoupées avec d’autres traitements.
- Les cookies ne permettent pas de suivre la navigation de l’internaute sur d’autres sites.
Pour aller plus loin, vous pouvez consulter les fiches proposées par la Commission Nationale de l'Informatique et des Libertés (CNIL) :
Tchap utilise également des cookies strictement nécessaires au bon fonctionnement de l’Application sans lesquels l’accès à la plateforme ne peut être pleinement garanti.
9. Sécurité
Pour des raisons de sécurité, les contenus privés sont chiffrés et inaccessibles à un quelconque tiers. Toutes les interactions réalisées sur l’Application sont protégées. Ainsi, aucun travail de modération par la DINUM n’est possible et la DINUM ne traitera aucune demande de suppression de contenu.
Le chiffrement de bout en bout consiste à chiffrer et déchiffrer les messages sur les appareils des Utilisateurs et Utilisatrices. Lorsque vous envoyez un message à quelqu'un, il est chiffré avant de sortir de votre appareil. Par ailleurs vos traces d’activité (« métadonnées ») sur des réseaux non sécurisés sont protégées par un chiffrement du canal de transmission entre l’application et le serveur Tchap (TLS 1.2).
Un contrôle des documents échangés est effectué avant leur remise aux destinataires et le document n’est pas remis tant que le contenu n’est pas vérifié. Il donne lieu à un déchiffrement du document dans une zone technique isolée, une vérification du type de fichier et des signatures virales, immédiatement suivie d’une destruction sécurisée de sa copie. Il ne constitue pas un engagement de la DINUM sur son innocuité.
10. Exercice des droits à la protection des données à caractère personnel
Vous disposez d’un droit d’accès et de modification des données à caractère personnel qui vous concernent. Vous pouvez également vous opposer aux traitements réalisés par l’Application. Ces droits s’exercent auprès de la DINUM à l’adresse tchap@beta.gouv.fr
Pour exercer vos droits, vous pouvez également contacter le délégué à la protection des données (DPD) des services du Premier Ministre :
- par mail à dpd@pm.gouv.fr
- ou par courrier à l’adresse suivante :
Services du Premier MinistreÀ l’attention du délégué à la protection des données (DPD)56 rue de Varenne75007 Paris
Conformément au règlement général sur la protection des données, vous disposez du droit d’introduire une réclamation auprès de la CNIL (3 place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07). Les modalités de réclamation sont précisées sur le site de la CNIL :www.cnil.frTchap utilise les adresses mails professionnelles issues des domaines autorisés et les noms, prénoms, qui en découlent. Toute demande relative à une modification d’adresse mail professionnelle ou relative aux noms et prénoms, devra être adressée à l’administration concernée.
11. Contact
L’adresse mail de contact est la suivante : tchap@beta.gouv.fr