Conditions générales d'utilisation de Recommandations-collaboratives

Mise à jour : 16/12/2024

Les présentes conditions générales d’utilisation (ci-après « CGU ») ont pour objet de définir dans quelles conditions et selon quelles modalités un Utilisateur peut utiliser le service Recommandations-collaboratives.

Les CGU déterminent les droits et les obligations respectives des Utilisateurs et du Centre d'études et d'expertise sur les risques, l'environnement, la mobilité et l'aménagement (ci-après « CEREMA ») qui met à la disposition des Utilisateurs le Service.

Article 2 – Objet

Recommandations-collaboratives est un service numérique qui permet aux ministères et autres acteurs publics de créer une plateforme numérique de conseil de projets à destination de leurs bénéficiaires, y compris d’autres acteurs publics (collectivités territoriales par exemple).

Article 3 – Définitions

Au sens des présentes CGU, il faut entendre par :

« Administration » : le ministère ou l’acteur public qui utilise le Service et le met à disposition de ses Agents.

« Agent » : agent d’une Administration qui utilise le Service.

« Editeur » : le CEREMA responsable du service numérique Recommandations-collaboratives.

« Service » : la plateforme Recommandations-collaboratives et les fonctionnalités associées.

« Utilisateurs » : Administration ou Agent qui utilise le Service.

« Usager » : toute personne qui dépose un projet sur un espace Recommandations-collaboratives d’une Administration.

Article 4 - Fonctionnalités

4.1 Généralités

Le Service permet d’éditer et de générer des espaces “Recommandations-collaboratives” en ligne sous réserve de l’acceptation de la demande par l’Editeur.

Le Service permet à un Usager de déposer un projet en lien avec la thématique de l’espace afin d’obtenir des conseils ou bonnes pratiques de la part de l’Utilisateur.

Un espace Recommandations-collaboratives propose aux Utilisateurs les fonctionnalités décrites dans les présentes CGU.

4.2 Demande de création d’un espace Recommandations-collaboratives

L’accès au Service est réservé aux Utilisateurs qui répondent aux critères cumulatifs suivants :

  • être une Administration au sens des présentes CGU ;
  • présenter un projet qui participe à répondre à des problématiques liées à l’urbanisme, à la transition écologique et à l’aménagement du territoire ;
  • avoir besoin d’un espace de conseil et suivi des projets avec des collectivités territoriales et / ou des services déconcentrés ;
  • disposer d’un document de vision qui témoigne d’une trajectoire de déploiement et d’une stratégie de conseil cohérentes.

Toute personne peut demander via un formulaire en ligne la création d’un espace Recommandation Collaborative. Après instruction, la demande est validée ou refusée par l’Editeur.

4.3 Accompagnement dans la conception d’un espace Recommandations-collaboratives

Le Service propose un accompagnement des Utilisateurs par un ou plusieurs membres de l’équipe Recommandations-collaboratives.

Cet accompagnement permet :

  • de présenter le fonctionnement du Service ;
  • de paramétrer une plateforme selon les instructions de l’Utilisateur, par exemple le choix du logo et du nom de domaine.
  • de prendre en main les fonctionnalités de la plateforme et former les équipes de l’Utilisateur.

Le paramétrage de l’espace Recommandations-collaboratives est réalisé dans l’état du développement du Service qui peut évoluer selon son versionnage.

4.4 Fonctionnalités proposées par un espace Recommandations-collaboratives

Les fonctionnalités suivantes sont disponibles :

  • Personnaliser le site vitrine de l’espace créé ;
  • Attribuer différents rôles aux Utilisateurs (Administrateur, Staff), et aux Usagers (Conseiller, Porteur de projet, Invité…) ;
  • Créer des projets selon les demandes déposées par les Usagers ;
  • Consulter un tableau de bord qui permet d’accéder à tous les projets ;
  • Consulter les détails du projet et les informations renseignées par l’Usager ;
  • Émettre et consulter des recommandations à destination de l’Usager, qui peuvent s’appuyer sur des fiches-ressources génériques ;
  • Échanger avec l’ensemble des membres du projet ou avec uniquement les conseillers sur ce projet ;
  • Consulter et partager des documents avec l’ensemble des membres du projet ;
  • Consulter et administrer la base d’utilisateurs de l’espace Recommandations-collaboratives via un outil de “gestion relation client” (CRM).

Article 5. Engagements et responsabilités du CEREMA

Le CEREMA s’engage à respecter les présentes conditions générales d’utilisation et la législation en vigueur.

5.1 Généralités

Le Service est développé conformément à l’état de l’art. Toutefois, il n’est pas garanti qu’il soit exempt d’anomalies ou d’erreurs.

A ce titre, le CEREMA ne peut être tenu responsable des pertes ou des préjudices, de quelque nature qu’ils soient, qui pourraient être causés à la suite d’un dysfonctionnement ou d’une indisponibilité du Service ou de son utilisation contraire aux présentes CGU. De telles situations n'ouvriront droit à aucune compensation financière, ni indemnité d’aucune sorte.

5.2 Prestations garanties

Le CEREMA est responsable de l’administration générale du Service. Il tient le Service à la disposition des Utilisateurs.

Il transmet aux Utilisateurs toutes les informations nécessaires à l’utilisation du Service. Il assure l’hébergement des données déposées sur l’espace Recommandations-collaboratives.

Il met à disposition des Utilisateurs un tableau de bord afin de lui permettre de consulter les statistiques d’usage du Service et de suivre le traitement des dossiers.

Il propose une assistance technique et fonctionnelle en vue d’assurer le bon fonctionnement du Service. Il informe par tout moyen raisonnable les Utilisateurs de toute difficulté de nature à affecter le bon fonctionnement du Service.

5.3 Niveau de service et disponibilité

5.3.1 Disponibilité du Service :

La plage d’ouverture du Service est 24h/24 7j/7, hors période d’indisponibilité pour maintenance.

Le CEREMA poursuit un objectif de disponibilité annuelle du Service de 99,5%, hors indisponibilités planifiées. En cas d’incident ou de maintenance, il vise un délai de rétablissement de 72h en heures non ouvrables.

Dans le cadre d’une maintenance de l’environnement d’exécution du Service, le CEREMA se réserve le droit de suspendre temporairement le fonctionnement du Service. Il tient informée les Utilisateurs au minimum 48h à l’avance. En cas d’urgence, cette suspension peut intervenir sans préavis.

Ces arrêts exceptionnels peuvent être rendus nécessaires par exemple pour des opérations de gestion des données en back office, des opérations de mise en production ou des changements d’architecture.

L’indisponibilité du Service n’ouvre droit à aucune compensation de quelque nature que ce soit.

5.3.2 Sécurité du Service :

Le CEREMA prend toutes les précautions utiles pour préserver la sécurité du Service, notamment s’agissant de l’accès et de la gestion des comptes utilisateurs et du traitement des données collectées.

Tout Utilisateur peut signaler les éventuels dysfonctionnements ou non-conformités aux présentes CGU au CEREMA par voie électronique à recommandations-collaboratives@beta.gouv.fr

Le Service prépare actuellement une homologation de sécurité RGS de la direction interministérielle du numérique.

5.3.3 Gestion du support :

Le CEREMA assure le support de premier niveau auprès des utilisateurs, exclusivement sur les parties techniques du Service.

Le support CEREMA est disponible 5j/7 de 9h à 18h.Il est joignable par email à l’adresse suivante : recommandations-collaboratives@beta.gouv.fr

5.4 Contrôle de l’utilisation du Service

Le CEREMA s’autorise à suspendre ou révoquer n’importe quel Utilisateur ou Usager et toutes les actions réalisées par ce biais, s’il estime que l’usage réalisé du Service porte préjudice à son image, ne correspond pas aux exigences de sécurité ou méconnaît les stipulations des présentes CGU ainsi que toutes autres dispositions légales ou réglementaires.

La suspension ou la révocation d’un ou plusieurs Usager ou Utilisateur ne donne lieu à aucune compensation d’aucune sorte. Cette action ne vaut pas renonciation à d’éventuelles poursuites à l’encontre de l’Utilisateur ou de l’Usager concerné.

Article 6. Engagements et responsabilités des Utilisateurs

Les Utilisateurs s’engagent à respecter les présentes CGU et à utiliser le Service conformément à la législation en vigueur.

6.1 Restriction d’usage de certaines catégories de données à caractère personnel

Le Service ne doit pas être utilisé pour le traitement des données sensibles au sens des articles 9 et 10 du RGPD : données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données à caractère personnel relatives aux condamnations pénales et aux infractions.

Par ailleurs, le Service ne doit pas être utilisé à des fins de profilage au sens de l’article 4 du RGPD, ni conduire à traiter des données qui nécessitent des autorisations spécifiques au titre d’une réglementation sectorielle.

Le traitement de ces catégories de données reste toutefois envisageable, sous la responsabilité des Utilisateurs, qui doivent s’être préalablement assurés que le niveau de sécurité offert par le Service est adapté aux risques liés à leurs traitements et, le cas échéant, après ajout de mesures de sécurité complémentaires.

6.2 Engagements et responsabilités des Administrations

L’Administration souscrit un accès au Service pour le compte de l’ensemble de ses Agents.

L’Administration est responsable des données et informations saisies dans le Service et de leur utilisation en conformité au cadre légal et règlementaire applicable.

Elle est responsable de la création d’un fichier, de son paramétrage, de sa clôture et de sa suppression.

L’Administration est responsable solidairement avec ses Agents de l’éventuelle méconnaissance des présentes CGU. Il incombe à l’Administration seule d’engager les poursuites et actions récursoires qu’elle estime appropriées auprès de son ou de ses Agent(s).

Il appartient à l’Administration compte-tenu des risques que les traitements sont susceptibles d’engendrer pour les droits et libertés des personnes, d’apprécier le besoin de procéder à une homologation de sécurité RGS complémentaire pour son propre système d’information et à la réalisation d’une analyse d’impact sur la protection des données (AIPD) pour les traitements dont elle est responsable. Le CEREMA s’engage à apporter son concours à l’Administration qui souhaite mener des actions complémentaires de conformité.

6.3 Engagements et responsabilités des Agents

Tout Agent qui demande la création d’un espace Recommandations-collaboratives s’assure d’être en mesure d’engager juridiquement son Administration ou fait son affaire d’obtenir les validations nécessaires auprès de son Administration. Il est rappelé que toute personne non-autorisée à valider les présentes CGU engage sa responsabilité personnelle.

L’Agent s’engage à ne pas mettre en ligne de contenus ou informations contraires aux dispositions légales et réglementaires en vigueur. En particulier, il veille à respecter les stipulations de l’article 6.1 des présentes CGU.

L’Agent s’engage à ne pas commercialiser les données reçues et à ne pas les communiquer à des tiers en dehors des cas prévus par la loi.

L’Agent est responsable solidairement avec son Administration de l’éventuelle méconnaissance des présentes CGU.

Il est rappelé que toute personne procédant à une fausse déclaration pour elle-même ou pour autrui s’expose, notamment, aux sanctions prévues à l’article 441-1 du code pénal, prévoyant des peines pouvant aller jusqu’à trois ans d’emprisonnement et 45 000 euros d’amende.

Article 7. Traitements des données à caractère personnel

7.1 Traitements relevant de la responsabilité du CEREMA

Le CEREMA est responsable de traitement des informations traitées dans le cadre du Service pour ce qui concerne la gestion des accès au Service et la création d’un espace Recommandations-collaboratives.

A ce titre, il respecte les obligations inhérentes à ces traitements, notamment celles relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

7.2 Traitements relevant de la responsabilité de l’Administration partenaire

L’Administration est co-responsable de traitement à l’égard des données à caractère personnel manipulées par ses Agents avec le Service, aux côtés du CEREMA qui a également la qualité de co-responsable.

Les obligations respectives des co-responsables de traitement sont précisées dans une annexe dit « contrat de co-responsabilité des données à caractère personnel » qui fait partie intégrante des présentes CGU à moins qu’un accord spécifique conclu entre le CEREMA et l’Administration écarte expressément cette annexe.

Article 8. Evolutions du Service et modifications des conditions d’utilisation

Les termes des présentes conditions d’utilisation peuvent être amendés à tout moment, en fonction des modifications apportées à la plateforme, de l’évolution de la législation ou pour tout autre motif jugé nécessaire. Chaque modification donne lieu à une nouvelle version qui est acceptée par les parties.

Article 9. Durée du Service et conditions de résiliation

Le Service est mis à disposition de l’Administration pour une durée indéterminée.

9.1 Résiliation à la demande de l’Administration

Un Agent pour le compte de son Administration peut mettre fin à tout moment à l’utilisation du Service. L’Agent s’assure de disposer des habilitations nécessaires à cette demande de suppression.

Le CEREMA ne peut en aucune circonstance être tenu responsable des éventuels différends entre l’Agent et son Administration résultant de cette résiliation.

La suppression d’un espace Recommandations Collaboration entraîne la suppression dans un délai de 30 jours de l’intégralité des données sous réserve des obligations légales de conservation qui s’imposent au CEREMA.

9.2 Suspension ou désactivation par le CEREMA

Le CEREMA peut supprimer ou suspendre un espace Recommandations-collaboratives :

  • à la demande de l’Administration,
  • pour des raisons tenant au non-respect des présentes CGU, pour des raisons de sécurité ou suite à la cessation du Service.

Accord de co-responsabilité sur les données à caractère personnel

Préambule

Conformément aux dispositions de l’article 26 du règlement général sur la protection des données, le Centre d'études et d'expertise sur les risques, l'environnement, la mobilité et l'aménagement (le CEREMA) et l’Administration (ci-après séparément « la Partie », ensemble « les Parties ») sont responsables conjoints du traitement de données à caractère réalisé dans le cadre du Service numérique.

Dans ce cadre, le CEREMA et l’Administration respectent les obligations inhérentes à ces traitements, notamment celles relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) et la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Le présent accord vise à clarifier les responsabilités et rôles des responsables conjoints du traitement, conformément à l’article 26 du RGPD.

Le présent accord est juridiquement contraignant pour l’ensemble des responsables conjoints. Les obligations réciproques des responsables conjoints ne sont pas opposables aux personnes concernées par le traitement de données à caractère personnel.

Chaque Partie doit être en mesure de démontrer envers l’autre le respect des dispositions précitées et du présent contrat.

1. L’exercice des droits des personnes

En sa qualité de responsable de traitement conjoint, l’Administration est chargée de garantir l’exercice des droits des personnes prévus aux articles 12 et suivants du RGPD et ci-après énoncés :

  • le droit d’information et le droit d’accès aux données ;
  • le droit d’opposition au traitement ;
  • le droit de rectification des données et le cas échéant de suppression des données ;
  • le droit à la limitation des données traitées ;
  • le droit au retrait du consentement (pour les cookies).

Ils peuvent s’exercer par voie postale ou par voie électronique. L’Administration s’engage à informer les personnes de l’adresse postale et/ou email à laquelle ces droits peuvent s’exercer.

L’Administration répond à toute demande d’exercice des droits dans un délai inférieur à 30 jours suivants la demande.

Pour informer les personnes, l’Administration s’engage à mettre à disposition sur le Service numérique une politique de confidentialité mentionnant l’ensemble des modalités du traitement notamment : données, personnes concernées, durées de conservation, sous-traitants auxquels elle fait appel. Le cas échéant, l’information des personnes pourra s’appuyer sur la diffusion de mentions d’information.

Le CEREMA est tenu, sur instruction de l’Administration, de prendre les mesures nécessaires pour garantir l’exercice des droits des personnes tels que prévus aux articles 15 et suivants du RGPD.

Lorsqu’une demande d’exercice des droits précités est reçue par le CEREMA, celui-ci s’engage à transmettre la demande à l’Administration dans un délai de 48 heures suivants la réception de la demande, afin que l’Administration y réponde.

2. Les mesures de sécurité

En sa qualité de responsable de traitement conjoint, le CEREMA est chargé de mettre en œuvre les mesures de sécurité techniques et organisationnelles au sein du CEREMA garantissant la sécurité du Service numérique.

Le CEREMA met en œuvre toutes les mesures nécessaires pour assurer la sécurité et la confidentialité des données personnelles traitées : mesures de sécurité physiques (sécurité des locaux, verrouillage des portes) et informatiques (anonymisation, stockage des données en base de données, cloisonnement des données, mesures de traçabilité, surveillance, protection des réseaux, sauvegarde, antivirus, politique de mot de passe sécurisé) et notamment des mesures organisationnelles (politique de contrôle d’accès des données, sensibilisation des utilisateurs à la protection des données à caractère personnel, procédures en cas de fuite des données personnelles et audits réguliers des procédures et traitements).

L’Administration veille à mettre en place les mesures organisationnelles au sein de sa structure permettant de renforcer la sécurité et la protection des données à caractère personnel traitées et de fournir un complément aux mesures de sécurité relatives au Service numérique mises en place par le CEREMA. L’Administration doit veiller à faire respecter la confidentialité desdites données. Chaque personne ayant accès au Service numérique doit être habilitée à manipuler les données à caractère personnel, objet du traitement.

3. Information réciproque des Parties

Chaque Partie fournit à l’autre les informations raisonnablement nécessaires pour que celle-ci soit en mesure de respecter ses obligations au titre du RGPD et du présent contrat.

Dans le cas où l’Administration souhaite traiter sur le Service numérique des données à caractère personnel dont le CEREMA n’a pas une connaissance préalable, l’Administration devra en informer par écrit au préalable le CEREMA.

4. Analyse d’impact relative à la protection des données

Dans le cas où une analyse d’impact pour la vie privée est requise conformément à l’article 35 du RGPD, le CEREMA sera en charge de son élaboration avec l’aide de l’Administration.

L’Administration fournit au CEREMA les informations nécessaires à la mise en place d’une analyse d’impact relative à la protection des données, notamment celles relatives aux mesures organisationnelles et aux modalités d’exercice des droits des personnes.

5. Documentation du traitement

Chaque Partie demeure chargée d’intégrer dans ses propres outils et documentation la conformité du traitement réalisé au sein du Service numérique.

6. Principe de limitation

Chaque Partie s’engage à respecter strictement les finalités pour lesquelles les données à caractère personnel sont traitées. Les données à caractère personnel ne peuvent être utilisées ultérieurement que pour des finalités compatibles aux finalités initiales.

7. Contrôle réalisé par une autorité de contrôle

Le CEREMA et l’Administration mettent à la disposition de l’autorité de contrôle telle que définie à l’article 4 du RGPD (ci-après « l’autorité de contrôle ») compétente dès que celle-ci en fait la demande, les informations nécessaires pour démontrer leur conformité, y compris les résultats de tout audit.

Dans le cas où un contrôle est réalisé auprès de l’une des Parties, celle-ci devra en informer immédiatement par écrit l’autre Partie.

Le CEREMA est en charge de piloter tout contrôle sur le traitement de données à caractère personnel réalisé dans le cadre du Service numérique, opéré par l’autorité de contrôle compétente.

La mise à disposition des informations auprès de l’autorité de contrôle compétente par chaque Partie devra faire l’objet d’une consultation préalable de l’autre Partie. En cas de désaccord entre les Parties, le CEREMA définira les modalités de mise à disposition de ces informations ainsi que leur contenu.

8. Violation de données à caractère personnel

Selon l’article 4 du RGPD, la violation de données à caractère personnel est définie comme toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données.

Si une Partie constate une violation de données à caractère personnel en rapport avec les données à caractère personnel traitées au sein du Service numérique (ci-après « violation de données à caractère personnel), celle-ci doit en notifier par écrit l’autre Partie dans un délai de 24 heures suivants la constatation de ladite violation. Cette notification contient au moins :

  • une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d'enregistrements de données à caractère personnel concernés) ;
  • les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données à caractère personnel ;
  • les conséquences probables de la violation et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

En cas de violation de données à caractère personnel, le CEREMA réalise :

  • la notification de la violation de données à caractère personnel à l’autorité de contrôle compétente, dans les meilleurs délais après que le CEREMA en a eu connaissance (sauf si la violation de données à caractère personnel est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques) ;
  • la communication auprès des personnes concernées, conformément à l’article 34 du RGPD et ce dans les meilleurs délais lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Si la violation de données est imputable à l’Administration, celle-ci devra apporter des preuves de la mise en place de mesures correctives pour renforcer la protection des données à caractère personnel. Si ces mesures sont considérées comme ne présentant pas un niveau de garantie suffisant pour protéger les données à caractère personnel, le CEREMA se réserve le droit d’interrompre le Service numérique dans un délai raisonnable.

9. Sous-traitants

Le CEREMA est autorisé à faire appel à l’entité Alwaysdata pour mener les activités de traitement relatives aux activités de stockage des données à caractère personnel via un service cloud et de mise à disposition de serveurs.

En cas de recrutement d’un ou d’autres sous-traitants par l’une des Parties, le CEREMA ou l’Administration informe l’autre Partie.

10.Transferts internationaux

Tout transfert de données vers un pays tiers ou une organisation internationale ne peut se faire sans informer au préalable par écrit l’autre Partie.

Chaque Partie convient que lorsqu’elle recrute un sous-traitant pour mener des activités de traitement dans le cadre du Service numérique et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du RGPD, la Partie concernée et le sous-traitant garantissent le respect du chapitre V du RGPD en s’assurant que le pays destinataire a une législation adéquate à celle du RGPD, ou à défaut en utilisant les clauses contractuelles types adoptées par la Commission européenne sur la base de l’article 46, paragraphe 2, du RGPD, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.

11. Durée

Le présent contrat de co-responsabilité prend fin en cas de résiliation des CGU par le CEREMA ou l’Administration.