Accueil Luxchat4Gov

Notice d'information pour les traitements de données à caractère personnel (Privacy Policy) opérés dans le cadre de l'utilisation de l'app Luxchat4Gov

La présente notice d’information, émise par le Centre des technologies de l’information de l’Etat (ci-après dénommé "CTIE") en sa qualité de responsable du traitement, a pour objectif d’informer les utilisateurs de l’application Luxchat4Gov (ci-après dénommée "Luxchat4Gov").

L'application Luxchat4Gov

Luxchat4Gov est l’application de messagerie instantanée interne du secteur public utilisée à des fins de communication professionnelle, une initiative du ministère de la Digitalisation, mise en place par le Centre des technologies de l’information de l’Etat (ci-après dénommé “CTIE”) (560, rue de Neudorf, L-2220 Luxembourg).

L’objectif de Luxchat4Gov est de faciliter, d’améliorer et de sécuriser la communication entre les agents du secteur public. Luxchat4Gov est une messagerie instantanée sécurisée hébergée et opérée au Luxembourg, qui se repose sur le protocole Matrix, un système de communication décentralisé et fédéré. Toutes les communications transmises sont chiffrées de bout en bout afin que ni le CTIE, ni le fournisseur de services (le groupement d’intérêt économique LU-CIX Management (ci-après dénommé "LU-CIX GIE") (202, Z.A.E. Wolser F; L-3290 Bettembourg), ni aucun tiers ne puissent accéder au contenu. S’agissant d’une application interne du secteur public, l’accès est restreint, le système de gestion d’identité et d’accès IAM du CTIE permet de se connecter à l’application via l’architecture d’accès du CTIE.

Coordonnées du Centre des technologies de l’information de l’Etat et de son délégué à la protection des données

Le Centre des technologies de l’information de l’Etat (560, rue de Neudorf; L-2220 Luxembourg; n° tél. 247-81 111) agissant en sa qualité de responsable du traitement, collecte et traite des données à caractère personnel vous concernant ("données") dans le cadre de l’utilisation de Luxchat4Gov.

Pour toute question concernant le traitement de vos données par le CTIE, veuillez contacter notre délégué à la protection des données:

à l’attention du Délégué à la protection des données

560, rue de Neudorf  - L-2220 Luxembourg

La base de licéité du traitement

Le CTIE traite des données à caractère personnel vous concernant ("données") sur base de l’article 6, paragraphe 1, point e) du RGPD aux fins de l’exécution des missions d’intérêt public mises à sa charge par l’article 2 paragraphes (d) et (n) de la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’Etat, en particulier:

  • L’administration du réseau informatique commun et de la messagerie électronique de l’État ;
  • La mise en place et l’exploitation de plateformes de collaboration reliant l’ensemble des agents de l’État.

Les catégories de données traitées

Le CTIE, en collaboration avec le sous-traitant agissant pour son compte, LU-CIX GIE, traite les données suivantes:

À des fins de création d’un compte utilisateur Luxchat4Gov, dès la première connexion en s’authentifiant par le biais de son compte IAM, les données suivantes sont traitées:

  • Vos données de profil, il s’agit:
    • de données traitées à partir des données d’identification IAM, notamment:
      • vos noms et prénoms;
      • votre numéro d’identification CTIE pour Luxchat4Gov, il s’agit d’un pseudonyme généré à partir de votre identifiant IAM, appelé ci-après "pseudonyme-CTIE";
      • ainsi que votre adresse électronique professionnelle de laquelle est déduite votre administration de rattachement;
    • de la photo de profil téléchargée par l’utilisateur même.
  • Votre identifiant Luxchat4Gov, qui vous identifie lors de l’utilisation de Luxchat4Gov, est composé comme suit: @pseudonyme-CTIE:FQDN_homeserver_Luxchat4Gov *(FQDN_homeserver_Luxchat4Gov = nom complet du serveur Luxchat4Gov)

Hormis les données traitées exclusivement par le système de gestion d’identité et d’accès IAM du CTIE, les données suivantes sont traitées lors de votre utilisation de Luxchat4Gov:

  • Vos données de profil;
  • Votre identifiant Luxchat4Gov;
  • Votre mot de passe de chiffrement (celui-ci n’est pas stocké sur les serveurs Luxchat4Gov);
  • Des clés cryptographiques pour garantir la sécurité de l’application et des communications;
  • Le nom complet du serveur Luxchat4Gov auquel l’utilisateur est affilié.
  • Contenu de la communication (chiffré en transit et en repos) :
    • Contenu du message (chiffré) ;
      • Texte, émojis, etc.;
      • Position géographique (si autorisée et utilisée)
    • Pièces jointes (chiffrées) ;
    • Communication audio et vidéo (chiffrée).
  • Métadonnées des communications et salles de discussions (chiffrées uniquement en transit):
    • Votre identifiant Luxchat4Gov;
    • Nom et prénom de l’utilisateur Luxchat4Gov;
    • Photos de profil (si téléchargée par l’utilisateur même);
    • Horodatage du message;
    • Type de compte (autorisation liée à la salle de discussion);
    • Noms, sujets et éventuellement photos de profil des salles de discussion;
    • Appartenance de l’utilisateur à un groupe ou à une salle de discussion;
    • "Event ID".
  • Données spécifiques à l’appareil de l’utilisateur:
    • Adresses IP;
    • Métadonnées enregistrées sur les terminaux (mobiles et ordinateurs):
      • Nom et version de l’application mobile;
      • Nom et version du système d’exploitation du mobile;
      • Nom et version du « Webclient » et du navigateur;
      • Modèle du mobile;
      • Système d’exploitation du terminal utilisé;
      • "Session ID".
  • Données à caractère personnel nécessaires pour signaler des événements, il s’agit de l’identifiant Luxchat4Gov, le nom de la salle de discussion, votre nom et prénom et les données d’identification de votre smartphone. Luxchat4Gov utilise des services push, par exemple pour signaler la réception d’un nouveau message au destinataire du message. Ces données relatives aux alertes push sont traitées par le fournisseur du système d’exploitation mobile ou d’exploitation du terminal utilisé.

Le CTIE n’effectue aucun traitement de données à caractère personnel sensibles vous concernant. Veuillez veillez à ne pas partager de données sensibles vous concernant lors de votre utilisation de Luxchat4Gov.

Les finalités du traitement

La finalité du traitement à laquelle est destinée vos données est la suivante:

  • Pour permettre une communication directe, instantanée et privée entre utilisateurs ou une communication de groupe entre plusieurs utilisateurs.

Les principales opérations de traitements sont les suivantes:

  • L’utilisation des données d’identification de l’ IAM pour vous permettre d’accéder à Luxchat4Gov, pour la création d’un compte utilisateur, ainsi que pour permettre à travers le nom d’affichage aux agents du secteur public de pouvoir rechercher et identifier leurs interlocuteurs à des fins de communication;
  • L’envoi d’alertes push;
  • Le chiffrement de vos communications

La durée de conservation de vos données

Les durées de conservation suivantes s’appliquent à l’utilisation de l’application Luxchat4Gov:

Les données relatives à votre compte utilisateur (vos données de profil + votre identifiant Luxchat4Gov):

  • Vos données de profil sont supprimées immédiatement des serveurs du fournisseur de services LU-CIX GIE après suppression de votre compte utilisateur Luxchat4Gov par le CTIE, suite à la désactivation de votre compte IAM en cas de changement d’administration, ou lorsque vous quittez l’emploi dans la Fonction publique de l’État. La suppression complète de vos données de profil intervient après la durée de rétention des back-ups précisée ci-dessous.
    • Le CTIE peut désactiver temporairement votre compte IAM, en conséquence vous ne pourrez temporairement plus accéder à votre compte Luxchat4Gov. Ceci interviendra dans des cas tels que par exemple un congé de maladie, congé sans solde, congé de maternité, ou encore comme mesure de sécurité temporaire en cas d’infection de votre poste de travail, etc., ou interviendra d’office durant une période de 6 semaines avant la désactivation définitive de votre compte IAM et la suppression de votre compte utilisateur Luxchat4Gov qui s’en suit.  Lors d’une telle désactivation temporaire, vous serez automatiquement déconnecté de toutes vos sessions Luxchat4Gov et vous serez marqué en tant qu’utilisateur "désactivé" dans Luxchat4Gov afin d’y alerter vos partenaires de conversation.
  • Votre identifiant Luxchat4Gov ne peut être supprimé des serveurs du fournisseur de services LU-CIX GIE, cependant à la suite de la suppression de votre compte utilisateur Luxchat4Gov et après la suppression automatique du contenu de vos communications (chiffré), des métadonnées des communications et salles de discussions et après suppression des back-ups, selon les durées de rétention précisées ci-dessous, cet identifiant Luxchat4Gov ne permettra plus à LU-CIX GIE de vous identifier sans information supplémentaire de la part du CTIE.
  • Votre "pseudonyme-CTIE" ne peut être supprimé des serveurs du CTIE par le CTIE, afin d’éviter une réattribution d’un même "pseudonyme-CTIE" à un autre compte IAM. Il fera l’objet d’une anonymisation ensemble avec l’anonymisation de votre identifiant IAM, 5 ans après la désactivation de votre compte IAM.

Les données de journal stockées sur les serveurs du fournisseur de services informatiques de LU-CIX GIE (par exemple, l’adresse IP de l’appareil final utilisé) sont automatiquement supprimées après 6 mois. Suite à cette suppression, les données de journal sont encore susceptibles de figurer dans les back-ups jusqu’à la durée de rétention des back-ups précisée ci-dessous.

Le contenu de vos communications sous forme chiffrée est automatiquement supprimé après une durée de 2 années sur les serveurs Luxchat4Gov. Suite à cette suppression, le contenu de vos communications sous forme chiffrée est encore susceptible de figurer dans les back-ups jusqu’à la durée de rétention des back-ups précisée ci-dessous.

Il s’agit des:

  • messages chat;
  • messages audio et vidéo enregistrés;
  • pièces jointes.

L’utilisateur peut cependant sur sa propre initiative supprimer ses communications, dans ce cas le contenu (toujours chiffré) des communications sera rendu invisible aussi bien auprès de l’utilisateur lui-même, qu’auprès de ses partenaires de discussion, et seront marqués supprimés dans les serveurs de LU-CIX GIE.

Luxchat4Gov se repose sur le protocole Matrix, il s’agit d’un système de communication décentralisé et fédéré, ce qui implique que lorsqu’un utilisateur envoie un message dans une salle de discussion, une copie de ce message est partagée avec chaque autre utilisateur présent dans la salle de discussion au moment de l’envoi du message. Lorsque ces utilisateurs sont affiliés à de différents serveurs, le message sera également dupliqué sur chacun de ces serveurs. Lorsque l’utilisateur utilise Luxchat4Gov via le Webclient (Web), application Windows ou macOS (client lourd), il peut archiver une conversation en téléchargeant une copie locale et statique du contenu des communications d’une salle de discussion, renseignant uniquement les communications existantes au moment de la création de la copie.

Les durées de conservation reprises ci-dessus s’appliquent sans préjudice d’un traitement des données vous concernant à des fins de constatation, d’exercice ou de défense d’un droit en justice.

Les métadonnées des communications et salles de discussions chiffrées uniquement en transit, stockées en clair sur les serveurs de LU-CIX GIE, seront automatiquement supprimées après une durée de 2 années sur les serveurs "Luxchat4Gov". Suite à cette suppression, les métadonnées des communications et salles de discussions sont encore susceptibles de figurer dans les back-ups jusqu’à la durée de rétention des back-ups précisée ci-dessous.

Ces données incluent les données à caractère personnel suivantes:

  • Votre identifiant Luxchat4Gov;
  • Nom et prénom de l’utilisateur Luxchat4Gov;
  • Photos de profil (si téléchargée par l’utilisateur même);
  • Noms des salles de discussion, qui dans les conversations 1:1 prennent le nom du partenaire de discussion.

Les données de back-ups, sont automatiquement supprimées en moyenne endéans les 7 jours, au plus tard après une durée d’1 mois.

Les données nécessaires à la génération des alertes push ne sont pas conservées après leur création.

Les destinataires de vos données

Hormis l’éventuelle transmission à des tiers de vos données enregistrées lors de l’utilisation de l’application Luxchat4Gov lorsque cela est requis par la loi ou dans le cadre de poursuites judiciaires, vos données ne seront transmises à aucun tiers. Dans cette éventualité, la transmission du contenu de vos communications se limite à vos communications sous forme chiffrée.

Un transfert des informations ou une mise en relation de ces informations avec d’autres sources de données ne peut avoir lieu.

Le transfert de vos données vers un pays tiers

Vos données seront traitées exclusivement à l’intérieur du Grand-Duché de Luxembourg, par conséquence exclusivement à l’intérieur de l’Espace Économique Européen (EEE), et ne feront pas objet d’un transfert international au sens du chapitre V du règlement (UE) 2016/679.

Les droits de la personne concernée

Vous disposez des droits prévus par les dispositions du chapitre III (articles 12 à 22) du règlement (UE) 2016/679.

Vous pouvez ainsi, dans les limites de la législation applicable, accéder aux données vous concernant, demander des renseignements quant à l’utilisation que le CTIE fait de vos données et en obtenir une copie (article 15). Vous pouvez également demander la rectification des données inexactes ou incomplètes (article 16) ainsi que l’effacement des données dans les conditions prévues par l’article 17 dudit règlement. Vous avez également, pour des raisons tenant à votre situation particulière et dans les limites de la législation applicable, le droit de vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du RGPD. Vous disposez dans certains cas de figure aussi d’un droit à la limitation du traitement de vos données (article 18), par exemple durant le temps de traitement d’une demande de votre part de vérification de l’exactitude de vos données.

Dans le contexte de l’exercice de vos droits, veuillez noter que le contenu de vos communications (messages textes, pièces jointes, enregistrements audio & vidéos, etc.) n’est stocké que sous forme chiffrée, de plus le contenu d’une personne spécifique ne peut être extrait. Le contenu de vos communications, même sous forme chiffrée, ne pourra donc pas vous être communiqué par le CTIE, ni par son sous-traitant LU-CIX GIE.

Le traitement des données vous concernant n’implique pas de prise de décision automatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire et ne comprend pas non plus le profilage.

Toute communication relative à une demande d’information, de réclamation ou quant à l’exercice de vos droits prévus par les dispositions du règlement (UE) 2016/679 est à adresser au délégué à la protection des données (dataprotection@ctie.etat.lu) du CTIE.

Réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD)

Si, après nous avoir contacté, vous estimez que le traitement de vos données effectué par le CTIE constitue une violation du règlement (UE) 2016/679 ou que vos droits prévus par ledit règlement ne sont pas respectés, vous pouvez introduire une réclamation après de la Commission Nationale pour la Protection des Données (CNPD) (https://cnpd.public.lu).

Dernière mise à jour