Avis sur la protection des données à caractère personnel

Traitements liés à l'accueil des visiteurs sur site

La visite physique au sein des bâtiments administratifs sous la responsabilité du Centre des technologies de l'Information de l'État (ci-après "CTIE"), pourvus d’une réception avec gardien de sécurité, est soumise à une vérification de l’identité. Le traitement effectué consiste en un dépôt d’une pièce d’identité du visiteur (carte d’identité ou tout autre document permettant de vérifier son identité) et une inscription dans un registre des visiteurs, en échange d’un badge d’accès aux locaux. Conformément aux articles 20.1 et 20.2 du règlement grand-ducal modifié du 13 juin 1979 concernant les directives en matière de sécurité dans la fonction publique, nous avons besoin de vos données pour garantir la sécurité au sein de l’administration et assurer un environnement de travail protégé et efficace. Les données suivantes sont donc inscrites dans le registre : nom, prénom, plaque d’immatriculation le cas échéant, et éventuellement nom de l’entreprise/administration.

Ces données sont conservées pendant une période de 5 ans afin de pouvoir garantir la sécurité de l’administration et réaliser des analyses ultérieures si besoin.

Le destinataire, ainsi que le responsable du traitement sont le CTIE.

Conformément au règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, vous bénéficiez d’un droit d’accès à vos données pour des motifs dûment justifiés, ainsi que, le cas échéant, leur rectification, leur effacement ou une limitation du traitement.

Si vous souhaitez exercer ce droit, veuillez-vous adresser au Helpdesk du Guichet.lu :

  • via formulaire en ligne ; ou
  • par téléphone (+352) 247-82 000 du lundi au vendredi de 8h00 à 18h00.

Vous avez également la possibilité d’introduire une réclamation auprès de la Commission nationale pour la protection des données ayant son siège à 15, boulevard du Jazz, L-4370 Belvaux.

Traitements liés aux marchés publics

Le présent avis concerne le traitement de données à caractère personnel dans le cadre de la gestion des procédures de passation de marchés publics pour lesquels l’État du Grand-duché de Luxembourg, en tant que pouvoir adjudicateur, agit par le biais du Centre des technologies de l’information de l’État, sis 560 rue de Neudorf, L-2220 Luxembourg (ci-après "CTIE"), ainsi que dans le cadre de la gestion de l’exécution desdits marchés. 

Pour la gestion de la procédure de passation d’un tel marché ainsi que pour la gestion de son exécution, le CTIE est, sauf indication contraire dans les documents de marchés, le responsable du traitement au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (ci-après "RGPD"). 

Le présent avis porte sur le traitement de données personnelles dans le cadre d’un marché public à partir de la publication de l’avis de marché ou, le cas échéant, de l’avis de préinformation, jusqu’à la fin du marché en question. 

Le traitement des données à caractère personnel est soumis au RGPD.

1. Les personnes dont les données sont traitées et catégories de données traitées 

Lors de la gestion de la procédure de passation d’un marché, le CTIE est amené à traiter des données à caractère personnel d’un opérateur économique ayant exprimé un intérêt ou demandé une clarification sur la procédure de passation de marché, d’un candidat ou d’un soumissionnaire ainsi que les données personnelles des employés ou du sous-traitant du candidat/soumissionnaire. 

Les catégories des données à caractère personnel pouvant être collectées et faire l’objet d’un traitement sont les suivantes :

  • données d’identification (nom, prénom, sexe, date et lieu de naissance, pays de résidence, numéro d’identification nationale, numéro du passeport, numéro du document d’identité, toute autre donnée personnelle contenue dans le passeport, le document d’identité ou le certificat de nationalité, adresse personnelle) ;
  • données professionnelles (fonction, qualité à agir, adresse professionnelle, adresse électronique, numéro de téléphone / fax professionnel) ; 
  • données personnelles contenues dans l’extrait du casier judiciaire ; 
  • données personnelles contenues dans les certificats relatifs au paiement des cotisations de sécurité sociale ou d’impôts ;
  • données contenues dans le curriculum vitae (dont des données relatives à l’éducation et à la formation)  ;
  • autres données transmises par le candidat ou le soumissionnaire dans le cadre de la procédure de passation du marché.

Veuillez vous assurer que les documents transmis, notamment les CV, ne contiennent pas de données sensibles, telles que l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ou des données relatives à l’état de santé d’une personne. 

Dans le cadre de la gestion de l’exécution des marchés publics, le traitement des données à caractère personnel pouvant être collectées et faire l’objet d’un traitement sont les suivantes :

  • données financières de l’opérateur économique (références des comptes en banque (codes BIC et IBAN), numéro de TVA); 
  • données professionnelles des employés de l’opérateur économique chargés de l’exécution du marché (fonction, qualité à agir, adresse professionnelle, adresse électronique, numéro de téléphone / fax professionnel) ; 
  • nom(s) et prénom(s) des intervenants qui vont exécuter le marché pour le compte de l’adjudicataire ;
  • données d’identification des intervenants sur une déclaration sur l’honneur, rappelant les obligations relatives à la sécurité de l’information qui leur incombent au vu de se connecter au réseau du CTIE ;
  • données personnelles des intervenants liées à la création et à la gestion des identités et des droits d’accès aux systèmes informatiques gérées par le CTIE (Identity and Access Management (IAM)), dont l’identifiant utilisateur et le mot de passe ; 
  • données journalisées des activités des intervenants sur le système informatique gérés par le CTIE portant sur les dispositifs de communication et de systèmes et pouvant constituer des données à caractère personnel. 

 

2. La finalité et la base légale du traitement 

La finalité de la collecte et du traitement de ces données à caractère personnel est la gestion de la procédure d’attribution d’un marché ainsi que celle de la gestion de l’exécution d’un marché. 

Dans le cadre de la gestion de la procédure d’attribution d’un marché, la licéité du traitement des données à caractère personnel y relatif est fondée sur l’article 6, paragraphe 1, lettre c) du RGPD, tel qu’exigé par l’art. 9bis b) du règlement grand-ducal modifié du 27 août 2013 relatif à l’utilisation des moyens électroniques dans les procédures de passation de marchés publics et les procédures d’attribution de contrats de concession, ainsi que par l’article 80 (1) du règlement grand-ducal modifié du 8 avril 2018 portant exécution de la loi du 8 avril 2018 sur les marchés publics.

La finalité du traitement des données à caractère personnel lié à la gestion de l’exécution des marchés publics est le respect des obligations imposées par la législation en matière de marchés publics.  

La finalité du traitement des données à caractère personnel des intervenants est l’assurance de la sécurité de l’information. Les données journalisées sont en outre collectées pour une éventuelle mise à disposition aux autorités judiciaires et éventuellement pour assurer la défense du CTIE en justice, que ce soit dans le cadre d’une procédure judiciaire, administrative ou autre. La licéité du traitement administratif de données à caractère personnel des intervenants liés à l’exécution des marchés publics est fondée sur l’intérêt légitime du responsable du traitement (l’article 6, paragraphe 1, lettre f) du RGPD).

 

3. La durée de conservation des données 

Les données à caractère personnel communiquées par l’adjudicataire du marché sont conservées pendant la durée du marché public remporté, et pour une période supplémentaire de 10 ans à partir du 1er janvier suivant l’année au cours de laquelle a lieu le dernier acte d’exécution du marché. 

Lorsqu’un opérateur économique a exprimé un intérêt ou demandé une clarification sur la procédure de passation de marché ainsi qu’en cas de demande de participation ou de soumission restée infructueuse, les données à caractère personnel y relatives sont conservées pendant une durée de 5 ans à partir du 1er janvier suivant l’année au cours de laquelle l’expression de l’intérêt, la demande de clarification, la soumission ou la demande de participation a été effectuée.

Les données à caractère personnel des intervenants, collectées lors de l’exécution du marché en vue de l’assurance de la sécurité de l’information, sont conservées pendant la relation contractuelle entre le CTIE et l’adjudicataire, et pour une période supplémentaire de 5 ans à partir du 1er janvier suivant l’année au cours de laquelle a lieu le dernier acte d’exécution du marché. 

Les délais mentionnés sont sans préjudice des éventuelles dispositions légales applicables en matière d’archivage, ou d’éventuels recours, litiges, réclamations ou signalements ainsi que d’audits ou enquêtes relatifs à un marché qui sont susceptibles de prolonger cette durée.

 

4. Les destinataires des données 

Les catégories de destinataires des données traités peuvent être : l’administration de l’État luxembourgeois, des auditeurs mandatés par celui-ci, les établissements publics, les communes, la Cour des comptes du Grand-Duché de Luxembourg, la Chambre des députés du Grand-Duché de Luxembourg, des conseillers juridiques externes, des prestataires de services assistant le pouvoir adjudicateur dans la procédure de passation d’un marché ou dans l’exécution du marché, le cas échéant la Commission européenne, la Cour des comptes européenne, l’Office européen de lutte antifraude (OLAF) ainsi que le Parquet européen dans le cadre de marchés publics cofinancés par les Fonds structurels et d’investissement européens (Fonds ESI) ou le Plan pour la reprise et la résilience (PRR). 

 

5. Vos droits à l’égard du traitement de vos données 

 

En tant que "personne concernée", vous jouissez de droits spécifiques concernant le traitement de vos données à caractère personnel en vertu du chapitre III (articles 14 à 25) du RGPD. Vous avez le droit d'accéder à vos données personnelles, le droit de demander leur rectification ou leur effacement ainsi que le droit à la limitation du traitement de vos données personnelles.

Veuillez noter qu’une demande d’effacement de vos données peut entraîner une modification des termes de votre demande de participation ou de votre offre et avoir pour conséquence le rejet de celle-ci. 

Lorsque la collecte et le traitement de vos données est fondée sur l’intérêt légitime du CTIE en vue de l’assurance de la sécurité de l’information, vous avez en outre le droit de vous opposer, pour des raisons tenant à votre situation particulière, au traitement licite de vos données à caractère personnel. Veuillez noter qu’en cas d'opposition par un intervenant au traitement de ses données personnelles, celui-ci ne pourra plus participer à l’exécution du marché et devra être remplacé. 

Pour exercer l'un de ces droits, vous pouvez envoyer un courriel au délégué à la protection des données du CTIE (dataprotection@ctie.etat.lu).

Si vous estimez que le traitement de vos données personnelles ne respecte pas le RGPD, vous avez également la possibilité d'introduire une réclamation auprès de la Commission nationale pour la protection des données ayant son siège au 15, boulevard du Jazz, L-4370 Belvaux.

Il est rappelé que le CTIE n’est pas responsable du traitement des données à caractère personnel effectué par le biais du portail des marchés publics pour les finalités de gestion du portail et des services souscrits par les personnes concernées au moyen du portail, dont les modalités figurent au règlement grand-ducal modifié du 27 août 2013 relatif à l'utilisation des moyens électroniques dans les procédures des marchés publics (https://legilux.public.lu/eli/etat/leg/rgd/2013/08/27/n4/jo) ainsi qu’à l’adresse https://pmp.b2g.etat.lu/?page=Commun.ConditionsUtilisation&calledFrom=entreprise.  

Traitements liés à la vidéosurveillance

Les bâtiments (entrées et environs), y compris le bureau physique Guichet.lu, sous la responsabilité du Centre des technologies de l'Information de l'État (ci-après "CTIE") sont soumis à une surveillance vidéo. Le traitement effectué sur les images consiste en une visualisation en temps réel ou en temps utile par du personnel autorisé, ceci afin de participer activement à la détection d'intrusion ou d'accès non-autorisé. Ce traitement a pour finalité la sécurité de l'information confiée au CTIE, tel que prévu dans la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l'information de l'État, article 2, point b).

Une durée de conservation de 30 jours a été définie afin de permettre la détection de tout type d'intrusion ou accès non-autorisé, notamment celles et ceux pouvant faire l’objet d'actions malveillantes répétitives ou étalées dans le temps. Cette durée est fixée au regard de la criticité des informations confiées au CTIE et reste conforme aux recommandations en la matière émises par les autorités compétentes. Les images sont détruites après l’écoulement du délai de conservation, sauf en cas d'incident, d'infraction, ou encore en cas de communication aux ou saisie par les autorités policières ou judiciaires compétentes.

Le destinataire, ainsi que le responsable du traitement sont le CTIE.

Conformément au règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, vous bénéficiez d’un droit d’accès pour des motifs dûment justifiés.

Si vous souhaitez exercer ce droit, veuillez-vous adresser au Helpdesk du Guichet.lu :

  • via formulaire en ligne ; ou
  • par téléphone (+352) 247-82 000 du lundi au vendredi de 8h00 à 18h00.

Vous avez également la possibilité d’introduire une réclamation auprès de la Commission nationale pour la protection des données ayant son siège à 15, boulevard du Jazz, L-4370 Belvaux.