Conditions Générales d'Utilisation

1. Sommaire

2. Objet et champ d’application des conditions générales d’utilisation

3. Définitions

4. Rôle et engagements de la DINUM

a. Présentation du Service

b. Prestations garanties

c. Niveau de service et disponibilité

i. Disponibilité du Service

ii. Sécurité du Service :

5. Rôle et engagements de l’Administration

a. La création d’une démarche en ligne

b. Restrictions d’usage

c. Les différents rôles de l’Administration :

i. Administrateur

ii. Instructeur

iii. Expert

d. Signalement à la DINUM

6. Traitements des données à caractère personnel

a. Traitements relevant de la responsabilité de la DINUM

b. Traitements relevant de la responsabilité de l’administration partenaire

i. Nature des traitements et catégories de données traitées par la DINUM sur instruction de l’administration partenaire

ii. Limitation de la finalité

iii. Sécurité du traitement

iv. Documentation et conformité

v. Liste des sous-traitants ultérieurs

vi. Transferts internationaux

vii. Assistance

viii. Notification de violation de données à caractère personnel

7. Dispositions générales

a. Gestion du support

b. Modalités financières

c. Evolutions du service et modifications des conditions d’utilisation

d. Responsabilités

e. Durée du Service et conditions de résiliation

i. Résiliation par l’Administration partenaire

ii. Suspension ou désactivation par la DINUM

2 . Objet et champ d’application des conditions générales d’utilisation

Les présentes conditions générales d’utilisation ont pour objet de définir dans quelles conditions et selon quelles modalités une administration peut utiliser la plateforme démarches-simplifiées pour dématérialiser une démarche administrative dans le cadre de la mise en œuvre d’un téléservice ou d’une démarche interne de l’administration.

Elles déterminent les droits et les obligations respectifs de l’administration qui utilise la plateforme démarches-simplifiées et de la direction interministérielle du numérique (DINUM) qui la met à la disposition des administrations.

3 . Définitions

Au sens des présentes conditions générales d’utilisation, il faut entendre par :

Service : la plateforme « demarches-simplifiees.fr », qui permet à une administration de créer des démarches en ligne et d’instruire les dossiers déposés sur la plateforme.

Administration : l’administration partenaire qui utilise le Service pour créer une démarche administrative en ligne. L’administration partenaire peut être issue des administrations de l’Etat, des collectivités territoriales, de leurs établissements publics administratifs et des organismes et personnes de droit public et privé chargés d’une mission de service public administratif, y compris les organismes de sécurité sociale.

Agent : agent d’une Administration partenaire qui bénéficie dans le Service des droits d’administrateur ou d’instructeur d’une démarche administrative.

Démarche administrative : la demande ou la déclaration présentée par le public à une administration et la procédure prévue pour son traitement. Une démarche administrative en ligne peut prendre la forme d’un téléservice quand elle est à destination du public ou être interne à l’administration.

Usager : personne physique ou morale qui utilise le Service pour accomplir une Démarche administrative auprès de l’Administration partenaire.

Utilisateurs : Agents et Usagers du Service.

4 . Rôle et engagements de la DINUM

La DINUM s’engage à respecter les présentes conditions générales d’utilisation et la législation en vigueur.

a . Présentation du Service

Le Service est un outil de dématérialisation et de simplification des démarches administratives de l’Administration. Il propose également des fonctionnalités d’aide à l’instruction des dossiers déposés.

Il permet à l’Administration :

• de dématérialiser une démarche administrative existante ou de créer une démarche en ligne ;

• de partager entre plusieurs Agents l’instruction un dossier déposé par un Usager et de recueillir des avis ;

• de suivre les dossiers à traiter et d’accéder à un tableau de bord récapitulatif des dossiers déposés par les Usagers ;

• de faire dialoguer ses Agents au sujet d’une démarche.

Il permet à l’Usager de réaliser une démarche en ligne, en partageant la construction du dossier avec les personnes de son choix, et de recevoir des notifications sur l’état d’avancement de son dossier.

Le Service est développé sous licence AGPL et le code est disponible à l’adresse suivante : https://github.com/betagouv/demarches-simplifiees.fr

b . Prestations garanties

La DINUM est responsable de l’administration générale de la plateforme. Elle tient le Service à la disposition de l’Administration.

Elle transmet toutes les informations nécessaires pour la mise en œuvre opérationnelle du Service par l’Administration.

Elle met à la disposition de l’Administration les fonctionnalités qui permettent d’enrôler les administrateurs, les instructeurs et les experts.

Elle est responsable de la création des comptes administrateurs préalablement validés par l’Administration et de la suppression des comptes utilisateurs.

Elle met à disposition de l’Administration un tableau de bord afin de lui permettre de consulter les statistiques d’usage du Service et de suivre le traitement des dossiers.

Elle propose une assistance technique et fonctionnelle en vue d’assurer le bon fonctionnement du Service.

La DINUM informe l’Administration de toute difficulté de nature à affecter le bon fonctionnement du Service.

C . Niveau de service et disponibilité

I. Disponibilité du Service

La plage d’ouverture du Service est 24h/24 7j/7, hors période d’indisponibilité pour maintenance.

La DINUM poursuit un objectif de disponibilité annuelle du Service de 99,5%, hors indisponibilités planifiées. En cas d’incident ou de maintenance, elle vise un délai de rétablissement de 72h en heures non ouvrables.

Dans le cadre d’une maintenance de l’environnement d’exécution du Service, la DINUM se réserve le droit de suspendre temporairement le fonctionnement du Service. Elle tient informée l’Administration au minimum 48h à l’avance. En cas d’urgence, cette suspension peut intervenir sans préavis.

Ces arrêts exceptionnels peuvent être rendus nécessaires par exemple pour des opérations de gestion des données en back office, des opérations de mise en production ou des changements d’architecture.

L’indisponibilité du Service n’ouvre droit à aucune compensation de quelque nature que ce soit.

II. Sécurité du Service :

La DINUM prend toute les précautions utiles pour préserver la sécurité de la plateforme et des outils mis en œuvre pour accomplir le Service, notamment s’agissant de l’accès au Service, de la gestion des comptes utilisateurs et du traitement des données collectées.

Le Service bénéficie d’une homologation de sécurité RGS de la direction interministérielle du numérique. L’attestation d’homologation est tenue à la disposition de l’Administration.

Le Service a également fait l’objet, en tant que socle pour les Démarches administratives, d’une analyse d’impact sur la protection des données (AIPD) pour les traitements qui relèvent de la responsabilité de la DINUM.

5 . Rôle et engagements de l’Administration

L’Administration s’engage à respecter les présentes conditions générales d’utilisation et à utiliser le Service conformément à la législation en vigueur. Elle fournit des informations complètes, exactes et à jour.

a . La création d’une démarche en ligne

L’Administration utilise le Service pour créer des démarches en ligne. Le Service peut être utilisé pour créer un téléservice à destination du public ou mettre en ligne une démarche interne à l’administration.

L’Administration est responsable des démarches qu’elle crée dans le Service et de leur conformité au cadre règlementaire applicable.

Elle est responsable de la création de la démarche, de son paramétrage, de sa clôture et de sa suppression. Elle est également responsable de l’organisation de son instruction.

Pour chaque démarche :

• Elle s’engage à décrire la démarche en des termes simples et compréhensibles pour le public ;

• Elle renseigne le cadre juridique applicable à la démarche ;

• Elle assure le respect du principe de minimisation des données, lorsqu’elle paramètre les champs d’un formulaire et demande des pièces justificatives complémentaires ;

• Elle détermine la durée de conservation à l’issue de laquelle les données seront supprimées du Service ;

• Elle désigne les agents en charge de l’instruction des dossiers et les autorise, le cas échéant, à solliciter l’avis d’experts invités.

La liste des démarches mises en ligne est publiée tous les mois sur data.gouv.fr, à l’exception de celles que l’administration ne souhaite pas publier. Cette publication concerne le descriptif de la démarche et la liste des champs du formulaire, à l’exception du lien d’accès et des informations relatives aux administrateurs créateurs des démarches.

Compte tenu de l’intégration de la démarche dans son propre système d’information et des risques que les traitements liés à la démarche sont susceptibles d’engendrer pour les droits et libertés des usagers, il incombe à l’Administration d’apprécier le besoin de procéder à une homologation de sécurité RGS complémentaire pour son propre système d’information et à la réalisation d’une analyse d’impact sur la protection des données (AIPD) pour les traitements dont elle est responsable.

b. Restrictions d’usage

L’homologation du Service ne couvre pas le traitement des données sensibles au sens des articles 9 et 10 du RGPD : données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions .

Le traitement de ces catégories de données reste toutefois possible, sous la responsabilité des administrations consommatrices, qui devront s’être préalablement assurées que le niveau de sécurité offert par le service est adapté aux risques liés à leurs traitements et, le cas échéant, après ajout de mesures de de sécurité complémentaires.

Le Service n’est pas prévu pour les démarches qui pourraient être effectuées par des mineurs de moins de 15 ans. L’accès à une démarche administrative pour les mineurs de plus de 15 ans relève de l’appréciation de l’Administration.

c. Les différents rôles de l’Administration :

i. Administrateur

L’administrateur est responsable, pour le compte de l’Administration, de la création d’une démarche administrative et de l’organisation de son instruction. Il est chargé de l’élaboration du formulaire de la démarche et donne leur habilitation aux instructeurs.

Pour exercer le rôle d’administrateur, l’utilisateur doit en faire la demande auprès du Service. Cette demande est instruite par son Administration.

La publication d’une démarche par un administrateur ne peut être réalisée que si ce dernier dispose des habilitations nécessaires délivrées par son administration.

ii. Instructeur

L’instructeur est responsable, pour le compte de l’Administration, de l’instruction des dossiers dans le cadre d’une démarche administrative créée par un administrateur. Il peut inviter un expert à formuler un avis sur un dossier.

iii. Expert

L’expert est invité par un instructeur pour formuler un avis sur un dossier. Il intervient sous la responsabilité de l’instructeur.

d. Signalement à la DINUM

L’Administration peut signaler toute utilisation du Service non conforme aux présentes conditions générales d’utilisation à la DINUM à l’adresse suivante : contact@demarches-simplifiees.fr.

6. Traitements des données à caractère personnel

a. Traitements relevant de la responsabilité de la DINUM

La DINUM est responsable des informations traitées dans le cadre du Service pour ce qui concerne la gestion de la plateforme et la gestion des comptes utilisateurs.

A ce titre, elle respecte les obligations inhérentes à ces traitements, notamment celles relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

b. Traitements relevant de la responsabilité de l’administration partenaire

i. Nature des traitements et catégories de données traitées par la DINUM sur instruction de l’administration partenaire

En sa qualité de responsable de traitement, l’Administration confie à la DINUM, qui agit en qualité de sous-traitant, les traitements nécessaires à la dématérialisation de ses démarches administratives, à l’instruction et au suivi des dossiers déposés par les usagers sur le Service.

A ce titre, l’Administration autorise la DINUM à :

• Collecter les données à caractère personnel des usagers qui réalisent une démarche administrative par l’intermédiaire du Service ;

• Héberger ces données pendant la durée du traitement fixée par l’Administration ;

• Rendre ces données accessibles aux instructeurs désignés par l’Administration ;

• Notifier aux usagers l’état d’avancement du traitement de leur dossier.

Dans ce cadre, la DINUM et l’Administration respectent les obligations inhérentes à ces traitements, notamment celles relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Le détail des opérations de traitement, et notamment les catégories de données à caractère personnel traitées, leur durée de conservation et les finalités du traitement pour lesquelles les données à caractère personnel sont traitées par la DINUM, en sa qualité de sous-traitant, pour le compte de l’Administration, responsable de traitement, est précisé au moment de la création d’une nouvelle démarche.

ii . Limitation de la finalité

La DINUM traite les données à caractère personnel uniquement pour les finalités spécifiques du traitement, telles que définies par l’Administration au moment de la création de la démarche, sauf instruction complémentaire de l’Administration.

iii. Sécurité du traitement

La DINUM met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel.

Conformément à l’article 3.c.ii., le Service a fait l’objet d’une homologation de sécurité RGS et d’une analyse d’impact sur la protection des données.

La DINUM tient à la disposition des Administrations qui en font la demande la liste des mesures mises en œuvre.

Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel).

Lors de l’évaluation du niveau de sécurité approprié, la DINUM et l’Administration tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

La DINUM n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure où cet accès est strictement nécessaire à l’accomplissement de leur mission. La DINUM veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

iv. Documentation et conformité

La DINUM et l’Administration doivent pouvoir démontrer leur conformité à la règlementation applicable aux traitements de données à caractère personnel.

La DINUM met à la disposition de l’Administration les informations nécessaires pour démontrer le respect de ses obligations au titre de l’article 28 du RGPD et permettre la réalisation d’audits des activités de sous-traitance qu’elle réalise pour l’Administration.

Lorsqu’elle décide d’un audit, l’Administration en informe la DINUM au minimum 30 jours avant le lancement de l’audit. L’Administration tient compte des analyses et certifications pertinentes en possession de la DINUM. L'Administration invite la DINUM aux réunions de lancement et restitution de l’audit et lui communique les différents rapports issus de cet audit.

L’Administration est associée à la définition des besoins en matière de protection des données et au suivi des mesures apportées par la DINUM pour y répondre.

La DINUM et l’Administration mettent à la disposition de l’autorité de contrôle compétente, dès que celles-ci en fait la demande, les informations nécessaires pour démontrer leur conformité, y compris les résultats de tout audit.

v. Liste des sous-traitants ultérieurs

La DINUM dispose de l’autorisation générale de l’Administration pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une liste convenue.

La DINUM tient la liste des sous-traitants ultérieurs à la disposition de l’Administration. L’Administration doit formuler sa demande à l’adresse contact@demarches-simplifiees.fr.

La DINUM informe l’Administration de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs.

L’Administration peut faire connaitre à la DINUM son opposition à ce changement. Si à l’issue de l’étude des raisons invoquées par l’Administration, la DINUM décide de procéder à l’ajout ou au remplacement de sous-traitants ultérieurs, l’Administration a la possibilité de résilier son adhésion au Service dans les conditions prévues à l’article 7.e.ii. des conditions générales d’utilisation

Lorsque la DINUM recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’Administration), elle le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées à la DINUM en vertu des présentes clauses. La DINUM veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles elle est elle-même soumise en vertu des présentes clauses et du règlement (UE) 2016/679.

La DINUM demeure pleinement responsable, à l’égard de l’Administration, de l’exécution des obligations du sous-traitant ultérieur conformément au contrat conclu avec le sous-traitant ultérieur. La DINUM informe le Partenaire de tout manquement du sous-traitant ultérieur à ses obligations contractuelles.

vi. Transferts internationaux

Tout transfert de données vers un pays tiers ou une organisation internationale par la DINUM n’est effectué que sur la base d’instructions documentées de l’Administration ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle la DINUM est soumise et s’effectue conformément au chapitre V du règlement (UE) 2016/679.

L’Administration convient que lorsque la DINUM recrute un sous-traitant ultérieur conformément à la clause 6.b.vi. pour mener des activités de traitement spécifiques (pour le compte de l’Administration) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, la DINUM et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission européenne sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.

vii. Assistance

La DINUM informe sans délai l’Administration de toute demande d’exercice de ses droits qu’elle a reçu de la part d’un Usager. Elle ne donne pas elle-même suite à cette demande dans la mesure où elle n’est pas responsable du traitement.

La DINUM prête assistance à l’Administration pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement.

La DINUM aide l’Administration à garantir le respect des obligations prévues aux articles 32 à 36 du règlement général sur la protection des données (RGPD), compte tenu de la nature du traitement et des informations à sa disposition.

vii. Notification de violation de données à caractère personnel

En cas de violation de données à caractère personnel, la DINUM coopère avec l’Administration et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679, en tenant compte de la nature du traitement et des informations dont dispose la DINUM.

Violation de données en rapport avec des données traitées par l’Administration :

En cas de violation de données à caractère personnel en rapport avec des données traitées par l’Administration, la DINUM prête assistance à l’Administration :

• aux fins de la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente, dans les meilleurs délais après que l’Administration en a eu connaissance, le cas échéant (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques) ;

• aux fins de l’obtention des informations suivantes qui, conformément à l’article 33, paragraphe 3, du règlement (UE) 2016/679 doivent figurer dans la notification du Partenaire, et inclure, au moins :

  • la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

  • les conséquences probables de la violation de données à caractère personnel ;

  • les mesures prises ou les mesures que l’Administration propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

• aux fins de la satisfaction, conformément à l’article 34 du règlement (UE) 2016/679, de l’obligation de communiquer dans les meilleurs délais la violation de données à caractère personnel aux personnes concernées, lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Violation de données en rapport avec des données traitées par la DINUM :

En cas de violation de données à caractère personnel en rapport avec des données traitées par la DINUM, celle-ci en informe l’Administration dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins :

• une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés) ;

• les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ;

• les conséquences probables de la violation et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

7. Dispositions générales

a. Gestion du support

La DINUM assure le support de premier niveau auprès des utilisateurs, exclusivement sur les parties techniques du Service.

L’Administration assure le support métier auprès des utilisateurs pour les démarches qu’elle crée.

Le support DINUM est disponible 5j/7 de 8h à 18h.Il est joignable par email à l’adresse suivante : contact@demarches-simplifiees.fr.

b. Modalités financières

L'utilisation du service en ligne "demarches-simplifiées" par les administrations et organismes publics est gratieux.

En tant que porteur d'un commun numérique à impact national, la DINUM acceuille cependant les contributions volontaires des partenaires à l'amélioration du service rendu.

Ces contribution peuvent prendre la forme d’un financement annuel sous la forme d’un transfert budgétaire, de contributions au code source de l’application, d’apport en nature ou par la valorisation d’apports en compétence.

c. Evolutions du service et modifications des conditions d’utilisation

La DINUM peut modifier à tout moment les conditions générales d’utilisation dans le respect des modalités suivantes :

• Si la modification des conditions générales d’utilisation répond à la mise en conformité du Service avec un texte législatif ou réglementaire, les mesures modifiées rentreront en vigueur au plus tard à la date d’application des dispositions législatives et réglementaires concernées ;

• Si la modification des conditions générales d’utilisation repose sur des raisons autres que législatives et réglementaires et implique une évolution substantielle du Service ou de ses règles de fonctionnement, la nouvelle version des conditions générales d’utilisation s’applique un mois après sa publication ;

• Si la modification des conditions générales d’utilisation repose sur des raisons autres que législatives et réglementaires et n’implique pas de changement substantiel du Service ou de ses règles de fonctionnement, la nouvelle version des conditions générales d’utilisation s’applique une semaine après sa publication.

L’information relative à la modification des conditions générales d’utilisation est communiquée par tout moyen jugé adéquat par la DINUM.

Si l’Administration n’est pas en mesure de respecter les modifications adoptées avant leur application, elle a la possibilité de prendre contact avec la DINUM pour l’informer des difficultés rencontrées.

Il appartient à l’Administration de se référer à la dernière version des conditions générales d’utilisation avant toute utilisation du Service.

d. Responsabilités

Le Service est développé conformément à l’état de l’art. Toutefois, il n’est pas garanti qu’il soit exempt d’anomalies ou d’erreurs. A ce titre, la DINUM ne peut être tenue responsable des pertes ou des préjudices, de quelque nature qu’ils soient, qui pourraient être causés à la suite d’un dysfonctionnement ou d’une indisponibilité du Service ou de son utilisation contraire aux présentes conditions générales d’utilisation. De telles situations n'ouvriront droit à aucune compensation financière.

e. Durée du Service et conditions de résiliation

Le Service est mis à disposition de l’Administration pour une durée indéterminée.

i.Résiliation par l’Administration partenaire

L’Administration peut mettre fin à tout moment à l’utilisation du Service, partiellement ou pour l’ensemble de ses démarches et de ses agents.

Elle doit s’être préalablement assurée de l’instruction des dossiers déposés par les Usagers relatifs à ces démarches ou traités par les Agents concernés et avoir récupéré, sous format numérique, l’ensemble des dossiers déposés par les usagers.

ii. Suspension ou désactivation par la DINUM

La DINUM peut désactiver une démarche et supprimer ou suspendre le compte d’un utilisateur : à la demande de l’Administration, pour des raisons tenant au non-respect des conditions générales d’utilisation, pour des raisons de sécurité ou suite à la cessation du Service.