Politique de confidentialité

Préambule

La présente politique de confidentialité décrit la manière dont Braven Conseil, éditeur du logiciel Navette, collecte, utilise et protège les données à caractère personnel traitées dans le cadre du service accessible à l'adresse navette-app.fr.

Elle s'inscrit dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

Braven Conseil s'engage à assurer un haut niveau de protection des données personnelles traitées via Navette, à être transparent sur les traitements mis en œuvre et à permettre à chaque personne concernée d'exercer pleinement ses droits.

1. Deux catégories de traitements couvertes par la présente politique

Le service Navette donne lieu à deux catégories de traitements de données à caractère personnel qu'il convient de distinguer, car elles n'obéissent pas au même régime juridique :

1.1. Traitement des données des agents utilisateurs de l'application

Lorsqu'un agent d'une collectivité territoriale ou d'un organisme public utilise Navette pour créer, instruire ou suivre des fiches navettes, ses données sont traitées sous la responsabilité de sa collectivité ou de son organisme employeur. Celle-ci a la qualité de responsable de traitement au sens de l'article 4 du RGPD. Braven Conseil agit dans ce cadre comme sous-traitant au sens de l'article 28 du RGPD, conformément à un accord de sous-traitance (Data Processing Agreement) conclu avec chaque collectivité cliente.

Pour ces traitements, les finalités, la durée de conservation, les destinataires et les modalités d'exercice des droits sont définis par la collectivité employeuse. Chaque agent est invité à se rapporter à la politique de protection des données de son employeur et à contacter son Délégué à la protection des données (DPO) pour toute question relative à ses droits.

La présente politique décrit néanmoins, par souci de transparence, les catégories de données que Braven Conseil est amené à traiter en qualité de sous-traitant, les mesures de sécurité mises en place et les engagements pris envers les personnes concernées.

1.2. Traitement des données collectées directement par Braven Conseil

Indépendamment de son rôle de sous-traitant, Braven Conseil est susceptible de collecter directement certaines données, notamment lorsqu'une personne prend contact par courrier électronique à l'adresse contact@navette-app.fr, ou lors de la gestion de la relation avec les collectivités clientes. Pour ces traitements, Braven Conseil agit en qualité de responsable de traitement et la présente politique s'applique pleinement.

À la date d'entrée en vigueur de la présente politique, aucun site vitrine public, aucun formulaire de contact en ligne, ni aucun outil de mesure d'audience n'est déployé sur navette-app.fr. Toute évolution en la matière fera l'objet d'une mise à jour de la présente politique.

2. Identité et coordonnées de Braven Conseil

Le service Navette est édité par :

• Nom de l'éditeur : Loann Belot, entrepreneur individuel exerçant sous le nom commercial Braven Conseil®
• Adresse : 116 boulevard Édouard Vaillant, [CODE POSTAL] [VILLE], France
• SIRET : [SIRET — en cours d'immatriculation au Registre National des Entreprises]
• Marque : Braven Conseil, marque déposée auprès de l'Institut National de la Propriété Industrielle (INPI) sous le numéro [N° DE DÉPÔT INPI]
• Adresse de contact : contact@navette-app.fr
• Site web : https://navette-app.fr

Compte tenu de la taille de la structure et de la nature des traitements, Braven Conseil n'est pas tenu de désigner un Délégué à la protection des données au sens de l'article 37 du RGPD. Toute question, demande ou réclamation relative à la protection des données personnelles peut néanmoins être adressée, à tout moment, à l'adresse contact@navette-app.fr.

3. Catégories de données traitées dans l'application Navette

Dans le cadre de l'exploitation de l'application Navette, les catégories suivantes de données personnelles sont traitées pour le compte des collectivités clientes :

3.1. Données d'identification et de compte utilisateur

• Nom et prénom de l'agent
• Adresse de courrier électronique professionnelle
• Mot de passe (stocké exclusivement sous forme de condensat cryptographique au moyen de l'algorithme bcrypt ; le mot de passe en clair n'est jamais conservé ni accessible à Braven Conseil)
• Service, unité hiérarchique et métier de rattachement
• Rôle fonctionnel au sein de l'application (prescripteur, instructeur, responsable, administrateur)

3.2. Données d'activité et de traçabilité

• Historique des actions réalisées par l'utilisateur sur les fiches navettes (création, dépôt, changement de statut, commentaires, etc.)
• Dates et horodatages de connexion et d'action
• Informations relatives à la charge de travail (nombre de fiches en cours d'instruction, attributions)
• Notifications adressées et leur état de lecture

3.3. Données saisies dans les fiches navettes

Les fiches navettes contiennent des informations relatives à la préparation des marchés publics. Elles peuvent incidemment contenir des données personnelles de tiers (noms de référents, titulaires de marchés antérieurs, contacts fournisseurs, etc.), dès lors que les utilisateurs choisissent d'en saisir. La responsabilité de la nature des données saisies dans ces champs libres incombe à la collectivité responsable de traitement et à ses agents.

3.4. Catégories de données non collectées

Navette ne collecte aucune donnée relevant des catégories particulières mentionnées à l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données de santé, orientation sexuelle, données biométriques ou génétiques). Navette ne met en œuvre aucune décision individuelle automatisée au sens de l'article 22 du RGPD, ni aucun profilage.

4. Finalités et bases légales des traitements

4.1. Côté collectivité utilisatrice (responsable de traitement)

Les traitements mis en œuvre dans Navette pour le compte des collectivités poursuivent les finalités suivantes :

• Gérer la préparation des marchés publics et structurer le dialogue entre les services prescripteurs et le service de la commande publique
• Assurer la traçabilité des échanges, des changements de statut et des décisions prises au cours de la phase navette
• Suivre les délais de traitement, les charges de travail et produire des indicateurs de pilotage internes
• Permettre l'authentification et la gestion des droits des utilisateurs

La base légale de ces traitements, au sens de l'article 6, paragraphe 1, du RGPD, est en principe l'exécution d'une mission d'intérêt public relevant de l'exercice de l'autorité publique dont est investie la collectivité (article 6.1.e). Cette qualification relève toutefois de la seule appréciation de chaque collectivité responsable de traitement.

4.2. Côté Braven Conseil (responsable de traitement)

Les traitements mis en œuvre directement par Braven Conseil poursuivent les finalités suivantes :

• Gestion de la relation contractuelle avec les collectivités clientes — base légale : exécution du contrat (article 6.1.b du RGPD)
• Réponse aux demandes adressées par courrier électronique à contact@navette-app.fr — base légale : intérêt légitime de Braven Conseil à répondre à ses interlocuteurs (article 6.1.f du RGPD)
• Respect des obligations légales et réglementaires incombant à Braven Conseil — base légale : obligation légale (article 6.1.c du RGPD)
• Assurance de la sécurité, de la disponibilité et de l'intégrité du service — base légale : intérêt légitime (article 6.1.f du RGPD)

5. Destinataires des données

Les données traitées dans Navette ne sont accessibles qu'aux catégories de destinataires suivantes, dans la limite stricte de leurs attributions :

• Les agents de la collectivité responsable de traitement disposant d'un compte dans l'application, selon les droits qui leur sont attribués par leur collectivité
• Les personnels de Braven Conseil habilités à intervenir sur l'application, à des fins exclusives de maintenance, de support et de sécurité, dans le cadre d'engagements stricts de confidentialité
• Les prestataires techniques intervenant comme sous-traitants ultérieurs de Braven Conseil, exclusivement pour l'hébergement et le fonctionnement de l'infrastructure (cf. article 6)
• Le cas échéant, les autorités administratives ou judiciaires compétentes, dans le cadre strict d'une obligation légale ou d'une demande régulière

Aucune donnée n'est cédée, louée ou communiquée à des tiers à des fins commerciales. Aucune donnée n'est exploitée par Braven Conseil à des fins publicitaires, de marketing direct non sollicité, ou d'entraînement de modèles d'intelligence artificielle.

6. Sous-traitants ultérieurs et hébergement des données

Braven Conseil fait appel à un unique sous-traitant ultérieur pour l'hébergement et l'exploitation technique de l'infrastructure sur laquelle est déployée l'application Navette :

• Hébergeur : Scalingo SAS, société au capital de [à préciser], immatriculée au RCS de Strasbourg sous le numéro 808 665 483, dont le siège social est situé 3 place de Haguenau, 67000 Strasbourg, France
• Rôle : hébergement de l'application, des bases de données et des sauvegardes
• Localisation des données : datacenters situés en France, exploités par des partenaires européens de Scalingo
• Garanties : Scalingo est signataire d'un accord de sous-traitance RGPD conforme à l'article 28, disponible sur son site. Aucun transfert de données hors Union européenne n'est mis en œuvre dans le cadre de cet hébergement.

À ce jour, Braven Conseil ne recourt à aucun autre sous-traitant ultérieur (pas de service d'analytics, de suivi d'erreurs, de messagerie transactionnelle externe, de chat support ou d'outil tiers embarqué dans l'application). Toute évolution à cet égard sera notifiée aux collectivités responsables de traitement conformément aux stipulations du contrat de sous-traitance, et reflétée dans une mise à jour de la présente politique.

7. Transferts de données hors de l'Union européenne

Aucune donnée personnelle traitée dans le cadre de Navette ne fait l'objet d'un transfert vers un pays situé hors de l'Union européenne ou de l'Espace économique européen. L'ensemble des données est hébergé dans des datacenters localisés en France.

8. Durées de conservation

Les durées de conservation applicables aux données traitées dans Navette sont les suivantes :

8.1. Données traitées pour le compte des collectivités

La durée de conservation des données traitées dans l'application pour le compte d'une collectivité est fixée par cette dernière dans l'exercice de sa responsabilité de traitement. Sauf instruction contraire et à titre supplétif, Braven Conseil applique les principes suivants :

• Les fiches navettes et les données qui y sont associées sont conservées en base active pendant toute la durée de la relation contractuelle avec la collectivité, puis archivées conformément aux durées de conservation applicables aux dossiers de marchés publics (à titre indicatif, cinq ans pour les pièces constitutives du dossier et dix ans pour les pièces financières, sous réserve des obligations propres à chaque collectivité).
• Les données de compte utilisateur sont conservées pendant toute la durée d'activité du compte et supprimées dans un délai raisonnable après sa désactivation, sauf obligation légale de conservation plus longue.
• Les journaux techniques de connexion sont conservés pour une durée maximale de douze mois à des fins de sécurité et de traçabilité, conformément aux recommandations de la Commission nationale de l'informatique et des libertés.

8.2. Données traitées directement par Braven Conseil

• Les données échangées par courrier électronique avec Braven Conseil (contact@navette-app.fr) sont conservées pendant la durée nécessaire au traitement de la demande, et au plus tard trois ans à compter du dernier contact, à des fins de prospection et de traçabilité commerciale.
• Les données relatives à la relation contractuelle avec les collectivités clientes sont conservées pendant la durée du contrat, puis archivées pendant la durée de prescription légale applicable (en principe cinq ans à compter de la fin du contrat).

9. Mesures de sécurité

Braven Conseil met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :

• Chiffrement des communications par le protocole HTTPS (TLS)
• Authentification forte par identifiant et mot de passe, avec stockage exclusif des mots de passe sous forme de condensat cryptographique (bcrypt)
• Gestion des droits fondée sur une logique de rôles (principe du moindre privilège)
• Cloisonnement des environnements techniques et sauvegardes régulières
• Journalisation et traçabilité des actions sensibles réalisées dans l'application
• Hébergement auprès d'un prestataire français certifié, dans des datacenters situés en France
• Contrôle strict des accès administratifs aux serveurs et à la base de données
• Engagements de confidentialité applicables à toute personne amenée à intervenir sur l'infrastructure

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Braven Conseil en informe la collectivité responsable de traitement dans les meilleurs délais, et au plus tard dans les quarante-huit heures, afin de lui permettre d'effectuer les notifications prévues aux articles 33 et 34 du RGPD.

10. Cookies et traceurs

L'application Navette utilise exclusivement un cookie strictement nécessaire au fonctionnement du service, destiné à maintenir la session authentifiée de l'utilisateur pendant sa connexion. Ce cookie est exempté de consentement préalable en application de l'article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée, dès lors qu'il a pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou qu'il est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

Aucun cookie de mesure d'audience, de traçage publicitaire ou de profilage n'est déposé. Aucun outil d'analytics (Google Analytics, Matomo, ou équivalent) n'est intégré à l'application.

Dans l'hypothèse où Braven Conseil intégrerait à l'avenir de tels outils, la présente politique serait mise à jour et un dispositif de recueil du consentement conforme aux lignes directrices de la Commission nationale de l'informatique et des libertés serait déployé préalablement.

11. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux dispositions de la loi Informatique et Libertés, toute personne dont les données sont traitées dans Navette dispose des droits suivants :

• Droit d'accès — obtenir la confirmation que des données la concernant sont traitées et en recevoir communication
• Droit de rectification — obtenir la correction de données inexactes ou incomplètes
• Droit à l'effacement — obtenir l'effacement de ses données, dans les limites fixées par la réglementation
• Droit à la limitation du traitement — obtenir la suspension temporaire d'un traitement
• Droit d'opposition — s'opposer à un traitement fondé sur l'intérêt légitime du responsable
• Droit à la portabilité — recevoir ses données dans un format structuré et lisible par machine
• Droit de définir des directives relatives au sort de ses données après son décès

11.1. Exercice des droits à l'égard de l'employeur

S'agissant des données traitées dans l'application pour le compte d'une collectivité, l'exercice des droits doit en priorité être adressé à la collectivité responsable de traitement ou à son Délégué à la protection des données. Braven Conseil prête assistance à la collectivité pour permettre la bonne exécution de ces demandes, conformément à ses obligations de sous-traitant.

11.2. Exercice des droits à l'égard de Braven Conseil

Pour les traitements dont Braven Conseil est responsable, toute personne peut exercer ses droits en adressant une demande à contact@navette-app.fr, accompagnée de tout élément permettant de justifier de son identité en cas de doute raisonnable. Braven Conseil s'engage à répondre dans un délai maximal d'un mois à compter de la réception de la demande, pouvant être prolongé de deux mois en cas de demande complexe, conformément à l'article 12 du RGPD.

11.3. Droit d'introduire une réclamation auprès de la CNIL

Toute personne estimant que ses droits ne sont pas respectés dispose du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou en ligne à l'adresse www.cnil.fr.

12. Évolution de la présente politique

La présente politique de confidentialité peut être modifiée à tout moment, notamment pour tenir compte des évolutions du service, de la réglementation applicable ou des pratiques de Braven Conseil. La version en vigueur est celle accessible à l'adresse navette-app.fr à la date de consultation. En cas de modification substantielle, les utilisateurs et les collectivités clientes en seront informés par les moyens appropriés.

Date de dernière mise à jour : [À RENSEIGNER]