Généralités

Les données à caractère personnel communiquées directement ou indirectement par l’utilisateur dans le cadre de l’utilisation de l’application sont traitées en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données ainsi que la loi du 1^er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du susdit règlement (UE) 2016/679.

Des mesures de sécurité techniques et organisationnelles sont mises en place par le CTIE afin de garantir un niveau approprié de confidentialité, d’intégrité, de disponibilité et de résilience des services offerts via l’application et pour lesquels il est le sous-traitant ou le responsable du traitement, ainsi que d’assurer la protection des droits et libertés de l’utilisateur selon les standards de l’industrie.

Sauf stipulation contraire prévue dans la présente politique de confidentialité, les données de l’utilisateur sont stockées au Grand-Duché de Luxembourg.

Les données à caractère personnel ne seront traitées que dans le but de permettre à l'utilisateur de bénéficier des services offerts via l’application. L’utilisateur en activant ou respectivement utilisant ces services consent aux traitements respectifs de données.

À défaut de consentement, l’utilisateur sera dans l’impossibilité d’activer lesdits services pour utiliser l’application alors que leur finalité ne pourra être atteinte.

Seuls les usagers et les utilisateurs autorisés peuvent accéder aux données à caractère personnel et ce, pour des motifs légitimes.

L'utilisateur dispose des droits d'accès, de rectification et d'effacement de données qui le concernent. Ces droits sont exerçables auprès du responsable du traitement concerné. Ces droits s’exercent, le cas échéant, via les fonctionnalités existantes dans la plateforme MyGuichet.lu ("MyGuichet.lu") (sources authentiques, fonction d’effacement, etc.).

Si un souci technique empêche l’utilisation de ces fonctionnalités, l’utilisateur peut s’adresser au Helpdesk Guichet.lu.

Dans le cas où le CTIE est responsable du traitement, l’utilisateur peut adresser sa demande par courrier à l’adresse suivante : "Centre des technologies de l'information de l'État B.P. 1111 L-1011 Luxembourg".

L’utilisateur dispose également des droits de limitation du traitement, d'opposition au traitement, de retrait du consentement et de portabilité qui sont exerçables directement auprès des responsables des traitements.

L’utilisateur peut adresser des réclamations relatives à la protection des données le concernant via les canaux de communication respectifs mis à disposition ainsi qu’auprès du responsable du traitement concerné par sa demande et/ou démarche. L'utilisateur peut, par ailleurs, déposer sa réclamation auprès du délégué à la protection des données du CTIE via l'adresse courriel suivante: dataprotection@ctie.etat.lu. L'utilisateur peut, en outre, s'adresser à la Commission Nationale pour la Protection des Données pour tout litige dans ce domaine.

Traitements de l’application relatifs aux démarches et aux sources authentiques

Les fonctionnalités offertes par l’application permettent, sur une base volontaire de l’utilisateur de créer des démarches administratives, de consulter les sources authentiques et d’utiliser celles-ci pour pré-remplir les démarches voire de générer des documents pour son propre usage. Lorsqu’il transmet sa démarche à l’administration ou l’établissement indiqué, le consentement exprès de l’utilisateur au traitement de ses données personnelles est sollicité dans le cadre de la démarche et/ou demande par l’administration ou l’établissement concerné.

Le responsable du traitement est l'administration ou l’établissement ayant mis en place la démarche en question ou l’accès à une source authentique donnée sur MyGuichet.lu. Ses coordonnées sont disponibles dans la rubrique "Organisme de contact", clairement affichée pour chaque démarche, ou en entête des données d’une source authentique. Le CTIE est son unique sous-traitant, en charge de l’hébergement de la plateforme MyGuichet.lu.

Concernant les démarches, la finalité est celle indiquée dans leurs intitulés et est complétée par la base légale de celle-ci. Cette base légale est accessible sur la page publique de description de la démarche sur le site Guichet.lu, dans la section "Liens associés", accessible via le lien libellé "en savoir plus sur cette démarche". Ce lien est disponible clairement lors de la création de la démarche et à tout moment, via les fonctionnalités de suivi du statut d'une démarche en cours ou achevée. Grâce aux messages transmis par l’administration ou l’établissement concerné dans MyGuichet.lu, l’utilisateur peut également suivre l'état d’avancement de ses dossiers via l’application.

Lorsque l’utilisateur transmet électroniquement son formulaire ou son dossier complet (formulaire, annexes éventuelles et pièces justificatives), les informations qu’il a renseignées sont enregistrées et transmises directement à l’administration ou l’établissement compétent. Le système informatique met sur le dossier transmis à l'aide de MyGuichet.lu un "timestamp" électronique mentionnant et prouvant la date et l'heure de la transmission du dossier à l'administration ou l’établissement compétent. Le dossier reste stocké dans MyGuichet.lu. En principe, il n’est pas possible d’annuler ou de modifier par le biais de MyGuichet.lu ou de l’application un dossier ainsi transmis à l'administration ou l’établissement compétent. Toute demande d’annulation ou de modification doit, le cas échéant, être adressée directement à l'administration ou l’établissement en question.

Lorsqu'une signature est requise, l’utilisateur doit apposer sa signature électronique sur le formulaire électronique. Conformément à l'article 1322-1 du Code Civil, l'utilisation de la signature électronique dans le cadre d'une démarche effectuée sur l’application identifie celui qui l'appose et manifeste son adhésion au contenu du document signé. En cas de litige, les documents signés électroniquement ainsi que toutes les données permettant de garantir l'horodatage, l'exactitude et l'intégrité des démarches effectuées, sont donc admissibles devant les tribunaux et font preuve des faits qu'ils contiennent ainsi que des engagements qu'ils expriment.

L'étendue des données collectées est déterminée par la base légale ou réglementaire sur laquelle se base la demande ou la démarche ainsi que par le responsable du traitement. Ces données sont uniquement accessibles par l'utilisateur ainsi que par le responsable du traitement. Hormis les informations fournies par l’utilisateur à l’administration ou l’établissement, ces derniers n’ont aucun accès ni aux données, ni aux documents stockés dans MyGuichet.lu ainsi que dans l’application. L'utilisateur consent, toutefois, à ce qu'un nombre strictement limité de personnes du CTIE ou de sous-traitants soumis à une clause de non-divulgation accèdent sur sa demande et de façon temporaire aux données d'une démarche donnée et ce, dans le cadre strict d’une demande d’assistance de l’utilisateur introduite auprès du service du Helpdesk Guichet.lu.

Dans le cadre du traitement de sa démarche, l'utilisateur consent à ce que, le cas échéant, les données transmises soient dupliquées au sein du système d’information du responsable du traitement. D'éventuels destinations futures et traitements ultérieurs des données par les responsables du traitement ne sont pas connus à l'avance par le CTIE et ne sont pas de son ressort. Le CTIE ne fournit qu’une plateforme d’initiation et de suivi d’une démarche entre deux parties identifiées. Il appartient dès lors à l’utilisateur de s’adresser directement aux responsables du traitement pour connaître, le cas échéant, les destinations ainsi que les traitements ultérieurs de ses données.

La durée de conservation des données de chaque type de démarche est variable et est du ressort du responsable du traitement. Les critères utilisés pour la déterminer dépendent de la base légale afférente. Lors de la consultation, les données des sources authentiques ne sont nullement conservées au sein de MyGuichet.lu ainsi que de l’application.

Il est à noter que les bases légales afférentes aux démarches peuvent contenir des dispositions spécifiques encadrant l'exercice des droits de l’utilisateur.

Le traitement de certaines démarches, communiquées à l’administration ou l’établissement compétent à travers MyGuichet.lu via l’application, peut nécessiter le transfert des données à caractère personnel vers l’autorité compétente d’un autre État membre de l’UE ou de l’Espace Economique Européen. Ce transfert pourrait s’effectuer, les cas échéants, à travers le système informatique européen IMI, mis en place dans le cadre de la coopération administrative et ce, en vertu du règlement (UE) 1024/2012. Ces données sont traitées en conformité au règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. De plus amples informations sont disponibles via le lien ci-présent.

Traitements liés à la sauvegarde du code secret de l’application

Une fois que l’utilisateur a couplé son compte MyGuichet.lu avec l’application sur son téléphone mobile ou sa tablette, il peut s’authentifier à l’aide :

• d’un code secret unique à 6 caractères choisi lors du couplage ; ou
• s’il souhaite l’activer, lors du couplage ou postérieurement, dans les paramètres de l’application, d’un des moyens d’authentification biométrique (tels que Touch ID ou Face ID) proposés par son téléphone mobile ou sa tablette.

Ainsi, l’utilisateur n’a plus besoin de se connecter à chaque fois avec son produit LuxTrust ou sa carte d’identité électronique par une double authentification pour accéder à son compte MyGuichet.lu et profiter des services proposés.

La durée de conservation du code secret créé au sein de l’application est sous le contrôle unique de l’utilisateur. Le code secret est lié au couplage, si l’utilisateur souhaite changer de code, il doit se découpler et effectuer un nouveau couplage depuis le site MyGuichet.lu.

Ce code n’est nullement transmis à quiconque.

Traitements liés à la création d’un document

L’utilisateur peut ajouter ou créer un document PDF ou autre pour une démarche en cours via l’application. L’ajout de document se fait via la sélection des documents accessibles par l’application sur l’appareil utilisé. La création se fait via la caméra de l‘appareil utilisé.

Ces documents peuvent contenir certaines données à caractère personnel de l’utilisateur. Ces données dépendent du document créé ou ajouté.

Lesdits documents sont sauvegardés temporairement dans un dossier sécurisé accessible uniquement par l’application dans le téléphone mobile ou la tablette de l’utilisateur.

La durée de conservation de ces données sauvegardées temporairement est en lien étroit avec la fonctionnalité d’envoi de documents au sein d’une démarche.

Traitements liés au paiement en ligne

Le paiement des frais administratifs de certaines démarches administratives peut se faire par les moyens de paiement offerts via Guichet.lu. Le paiement est effectué par le biais d’un établissement de paiement inscrit dans le registre public agréé au Luxembourg, qui sécurise les opérations de paiement.

Les données de paiement (cartes de crédit ou numéro de compte, montant du paiement, etc.) ne transitent pas par le site du CTIE qui n’a, à aucun moment, accès à ces données. Le CTIE n’intervient pas dans la procédure de paiement. Il ne peut dès lors être tenu responsable en cas de mauvais fonctionnement de l’application de l’établissement de paiement ou d’un usage frauduleux des données du paiement. L’utilisateur est soumis aux conditions générales de cet établissement dans le cadre du paiement.

Traitements liés à la gestion de l’application par les plateformes "Apple App Store" et "Google Play Store"

Les plateformes "Apple App Store" et "Google Play Store" sont susceptibles de traiter les données à caractère personnel communiquées directement ou indirectement par l’utilisateur dans le cadre du téléchargement de l’application.

Dans ce cas, Apple et Google seuls sont responsables du traitement des données à caractère personnel de l’utilisateur.

Étant donné qu’Apple et Google sont soumis également soumis au prédit règlement (UE) 2016/679 ainsi qu’à la susdite loi du 1^er août 2018, il appartient, dès lors, à l’utilisateur de prendre contact avec ces organismes pour exercer ses droits ci-dessus énoncés.