PROTECTION DE VOS DONNÉES À CARACTÈRE PERSONNEL

Opération de traitement: site web de l’«Office des publications de l’Union européenne» (portail de l’OP)

Responsable du traitement des données: unité A.5 «Portail et services web» de l’Office des publications de l’Union européenne

Référence: DPR-EC-00449

1. Introduction

La Commission européenne (ci-après la «Commission») est déterminée à protéger vos données à caractère personnel et à respecter votre vie privée. Elle recueille et traite des données à caractère personnel en vertu du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données [abrogeant le règlement (CE) n° 45/2001].

La présente déclaration relative à la protection de la vie privée explique la raison du traitement de vos données à caractère personnel, la façon dont elles sont recueillies, traitées et protégées, l’usage qui en est fait et les droits que vous pouvez exercer les concernant. Elle indique également les coordonnées du responsable du traitement des données avec qui prendre contact pour exercer vos droits, du délégué à la protection des données et du Contrôleur européen de la protection des données.

Les informations concernant l’opération de traitement relative au «site web de l’Office des publications de l’Union européenne (portail de l’OP)», effectuée par l’unité A.5 «Portail et services web» de l’Office des publications de l’Union européenne, sont présentées ci-dessous.

2. Pourquoi et comment vos données à caractère personnel sont-elles traitées?

Finalité du traitement: l’unité A.5 «Portail et services web» de l’Office des publications recueille et utilise vos données à caractère personnel pour l’enregistrement des utilisateurs sur le site web du portail de l’OP, y compris pour les services liés à la commande de publications imprimées sur le site des «Publications de l’UE», ainsi que pour la fonctionnalité «assistant de l’Office des publications».

Enregistrement des utilisateurs: cette opération de traitement consiste à tenir à jour une liste contenant des données à caractère personnel dans une base de données. Ces données sont également utilisées de manière anonyme pour réaliser des études et/ou à des fins statistiques, dans le but d’améliorer le service.

«Assistant de l’Office des publications»: cette fonctionnalité (une fenêtre sur la page web) permet aux utilisateurs de poser des questions standard sur les services du portail et les publications disponibles. Ces questions peuvent être posées par écrit ou oralement. Dans le cas d’une question posée oralement, l’«assistant de l’Office des publications» utilise le chatbot «Publio». Le chatbot enregistre le signal audio entrant (les questions que vous posez oralement) et l’envoie à un moteur de reconnaissance vocale qui la convertit en texte. Le signal audio est traité sur un serveur Microsoft Azure. L’«assistant de l’Office des publications» affiche ensuite la question, en utilisant les termes interprétés par le moteur de reconnaissance vocale, puis il affiche une réponse standard par écrit et au moyen d’un message audio automatisé. Cet échange est instantané et éphémère. La fermeture de la fenêtre de l’«assistant de l’Office des publications» entraîne la suppression de l’intégralité de l’échange. Ni le signal audio, ni les questions posées et les réponses fournies ne sont conservés.

Vos données à caractère personnel ne seront pas utilisées en vue d’une prise de décision automatisée, y compris d’un profilage.

3. Quelles sont les bases juridiques du traitement de vos données à caractère personnel?

Nous traitons vos données à caractère personnel pour la raison suivante:

- le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi l’institution ou l’organe de l’Union;

et

- en tant que personne concernée, vous avez consenti au traitement de vos données à caractère personnel pour une ou plusieurs finalités spécifiques;

- si vous passez une commande sur le portail de l’OP, le traitement de vos données à caractère personnel est nécessaire à l’exécution de cette commande.

Base juridique du traitement: mandat de l’Office des publications et décision 2009/496/CE, Euratom du Parlement européen, du Conseil, de la Commission, de la Cour de justice, de la Cour des comptes, du Comité économique et social européen et du Comité des régions, du 26 juin 2009, relative à l’organisation et au fonctionnement de l’Office des publications de l’Union européenne.

4. Quelles sont les données à caractère personnel que nous recueillons et traitons?

Aux fins de l’opération de traitement dont il est question ici, l’unité A.5 «Portail et services web» de l’Office des publications de l’Union européenne recueille les catégories de données à caractère personnel ci-dessous.

Enregistrement des utilisateurs

Données obligatoires pour un compte complet:

• prénom,
• nom,
• adresse électronique,
• mot de passe (chiffré).

Données obligatoires pour un compte à «connexion unique» (données extraites du service externe EU Login):

• nom d'utilisateur,
• adresse électronique,
• prénom,
• nom.

Données optionnelles:

• numéro de téléphone,
• centre d'intérêt,
• rôle préféré,
• type d'adresse,
• prénom (peut être différent des données obligatoires),
• nom (peut être différent des données obligatoires),
• adresse postale,
• code postal,
• ville,
• pays,
• adresse électronique (peut être différente de l’adresse obligatoire),
• numéro de téléphone lié à l'adresse,
• type de personne,
• organisation,
• service,
• fonction.

La communication de données à caractère personnel n’est pas obligatoire pour consulter le portail de l’Office des publications. Toutefois, elle est obligatoire pour pouvoir bénéficier de services supplémentaires liés à un compte complet, tels que les fonctionnalités «Mes adresses», «Mes listes», «Mes widgets», «Mes commandes», «Mon profil», «Mes alertes», «Mes annotations», «Mes évaluations», «Mes recherches» et «Mes flux RSS».

En outre, la communication de données à caractère personnel est obligatoire pour pouvoir commander une publication et se la faire livrer à domicile.

Fonctionnalité «assistant de l’Office des publications»:

• voix (si vous interagissez oralement avec l’assistant).

5. Combien de temps vos données à caractère personnel sont-elles conservées?

L’unité A.5 «Portail et services web» de l’Office des publications ne conserve vos données à caractère personnel que le temps nécessaire pour atteindre l'objectif pour lequel elles ont été recueillies ou traitées, à savoir fournir les services demandés. En cas de création d’un compte complet, vous pouvez effacer vous-même vos données à caractère personnel si vous le souhaitez (option «Supprimer mon compte»).

En cas d’inactivité pendant trois ans, nous vous enverrons un message à la fin de cette période. En l’absence de réponse après un mois, nous supprimerons automatiquement votre compte.

6. Comment vos données à caractère personnel sont-elles protégées?

Toutes les données à caractère personnel disponibles sous forme électronique (courriels, documents, bases de données, lots de données téléchargés, etc.) sont conservées:
- dans MS Azure Cloud (Europe), géré par les sous-traitants principaux SOFTWARE IMAGINATION & VISION S.R.L. (SIMAVI), Roumanie, et ARHS Spikeseed S.A, Luxembourg, chargés de l'application «PORTAIL OP»;
- dans MS Azure Cloud (Europe), géré par le sous-traitant Tremend Software Consulting S.R.L., Roumanie, chargé de la continuité des activités du PORTAIL OP;
- sur les serveurs du sous-traitant Paragon Supply Services, France, chargé de traiter les commandes de publications imprimées;
- par les sous-traitants qui contribuent à l’«assistant de l’Office des publications» (Publio): Pureinsights Technology Ltd, Royaume-Uni, et Wisevoice AI, Roumanie.

Toutes les opérations de traitement sont exécutées conformément à la décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne.

Les contractants de la Commission sont liés par une clause contractuelle spécifique régissant toute opération de traitement de vos données pour le compte de la Commission, ainsi que par les obligations de confidentialité découlant du règlement général sur la protection des données ou «RGPD» [règlement (UE) 2016/679].

La Commission a mis en place un certain nombre de mesures techniques et organisationnelles pour protéger vos données à caractère personnel. Les mesures techniques comprennent des actions appropriées visant à assurer la sécurité en ligne et à atténuer les risques de perte de données, de modification des données ou d’accès non autorisé, en tenant compte du risque posé par le traitement et de la nature des données à caractère personnel traitées. Les mesures organisationnelles visent notamment à restreindre l’accès aux données à caractère personnel aux seules personnes autorisées ayant un besoin légitime de les connaître aux fins de l’opération de traitement dont il est question dans la présente déclaration.

7. Qui a accès à vos données à caractère personnel et à qui sont-elles communiquées?

L’accès à vos données à caractère personnel est octroyé aux membres du personnel de la Commission responsables de la réalisation de cette opération de traitement et au personnel autorisé selon le principe du «besoin d’en connaître». Ce personnel respecte les conventions réglementaires et, le cas échéant, des règles de confidentialité supplémentaires.

L’accès à vos données à caractère personnel est également accordé aux sous-traitants (SIMAVI et ARHS Spikeseed S.A.) chargés de gérer l’application, ainsi qu'à Tremend Software Consulting S.R.L., chargé de la continuité des activités.

Si vous utilisez la fonctionnalité vocale de l’«assistant de l’Office des publications» (Publio), les données vocales seront traitées dans des systèmes fournis par les sous-traitants Pureinsights Technology Ltd et Wisevoice AI.

Si vous passez une commande pour une publication imprimée dans la partie Publications de l’UE du portail de l’OP, vos données à caractère personnel seront traitées par le sous-traitant chargé de traiter les commandes, actuellement Paragon Supply Services, France. Ce traitement fait l’objet d’une déclaration spécifique relative à la protection de la vie privée, qui sera mise à votre disposition lorsque votre commande sera exécutée.

Les informations que nous recueillons ne seront communiquées à aucun tiers.

8. Quels sont vos droits et comment les exercer?

Vous avez des droits spécifiques en qualité de «personne concernée» au titre du chapitre III (articles 14 à 25) du règlement (UE) 2018/1725, en particulier le droit de consulter, de rectifier ou de supprimer vos données à caractère personnel et le droit de restreindre le traitement de ces données. S’il y a lieu, vous avez également le droit de vous opposer à leur traitement ou le droit de les faire transférer.

En enregistrant un profil d’utilisateur sur le portail de l’OP, vous avez consenti à fournir vos données à caractère personnel à l’unité A.5 «Portail et services web» de l’Office des publications. Vous pouvez retirer votre consentement à tout moment en informant le responsable du traitement des données. Le retrait de votre consentement ne porte pas atteinte à la licéité du traitement effectué avant ce retrait.

Vous pouvez exercer vos droits en prenant contact avec le responsable du traitement des données ou, en cas de litige, avec le délégué à la protection des données. Si nécessaire, vous pouvez également vous adresser au Contrôleur européen de la protection des données. Leurs coordonnées figurent au point 9 ci-dessous.

Si vous souhaitez exercer vos droits dans le cadre d’une ou de plusieurs opérations de traitement spécifiques, veuillez fournir leur description (en indiquant leur référence comme celle mentionnée au point 10 ci-dessous) dans votre demande.

9. Coordonnées

- Responsable du traitement des données

Si vous souhaitez exercer vos droits en vertu du règlement (UE) 2018/1725, ou si vous avez des commentaires, questions ou inquiétudes, ou si vous souhaitez porter plainte concernant la collecte et l'utilisation de vos données à caractère personnel, n'hésitez pas à contacter le responsable du traitement des données, l'unité A.5 «Portail et services web» de l’Office des publications (info@publications.europa.eu).

- Délégué à la protection des données (DPD) de la Commission

Vous pouvez prendre contact avec le délégué à la protection des données (DATA-PROTECTION-OFFICER@ec.europa.eu) pour des questions relatives au traitement de vos données à caractère personnel en vertu du règlement (UE) 2018/1725.

- Contrôleur européen de la protection des données (CEPD).

Vous avez le droit de saisir le Contrôleur européen de la protection des données (edps@edps.europa.eu) pour introduire une réclamation si vous estimez que les droits dont vous jouissez en vertu du règlement (UE) 2018/1725 ont été enfreints à la suite du traitement de vos données à caractère personnel effectué par le responsable de ce traitement.

10. Où trouver de plus amples informations?

Le délégué à la protection des données (DPD) de la Commission publie le registre de toutes les opérations de traitement de données à caractère personnel de la Commission qui sont documentées et qui lui sont notifiées. Ce registre peut être consulté à l’adresse suivante: https://commission.europa.eu/about/service-standards-and-principles/transparency/data-processing-register_fr.

L’opération de traitement spécifique dont il est question dans la présente déclaration a été consignée dans le registre public du DPD sous la référence suivante: DPR-EC-00449.