Conditions générales d’utilisation de l’application mobile GouvID et politique de confidentialité

Les présentes Conditions Générales d’Utilisation (ci-après "CGU") ont pour objet de déterminer les règles d’utilisation de l’application mobile GouvID.

L’application GouvID est mise en œuvre par l’État du Grand-Duché de Luxembourg (ci-après dénommé "État"). Sa publication est assurée par le Centre des technologies de l’information de l’État du Grand-Duché de Luxembourg (ci-après dénommé "CTIE") (560, rue de Neudorf, L-2220 Luxembourg).

En installant et/ou en utilisant l’application GouvID (ci-après "application") sur son téléphone mobile, l’utilisateur est réputé avoir pris connaissance et accepté sans réserve l'intégralité des termes et mentions des présentes CGU, il consent également à sa politique de confidentialité. Il s’engage à les respecter.

Article 1 : DÉFINITIONS

Le terme "utilisateur" désigne une personne physique majeure ou mineure (ayant préalablement obtenu l’autorisation de ses parents ou de la personne investie de l’autorité parentale) qui télécharge l’application GouvID sur son téléphone mobile (personnel ou professionnel dont il a l’usage courant).

Le terme "application" désigne le programme GouvID qui est téléchargeable sur les plateformes "Apple App Store" et "Google Play Store" pour être installé sur des téléphones mobiles compatibles.

Le terme "QR Code" désigne un code-barres en deux dimensions qui permet de stocker des informations. Il est décodé par un logiciel de lecture approprié à partir d’une image prise par un téléphone mobile ou une tablette équipée d’un appareil photo ou d’une webcam.

Les termes "reconnaissance faciale" désigne une technologie qui réalise une authentification et une identification d’une personne à partir des traits de son visage et ce, de manière automatique. Elle permet de déverrouiller un téléphone ou une tablette le supportant ainsi que d’effectuer des opérations sensibles comme des paiements. Il peut s’agir par exemple de la fonction "Face ID" développée par Apple.  

Les termes "reconnaissance par empreinte digitale" désigne une technologie qui réalise une authentification à l’aide des empreintes digitales d’une personne. Elle permet de déverrouiller un téléphone ou une tablette le supportant ainsi que d’effectuer des opérations sensibles comme des paiements. Il peut s’agir par exemple de la fonction "Touch ID" développée par Apple.

Les termes "communication en champ proche" ou "Near Field Communication" (ci-après "NFC") désignent une technologie de communication sans fil à courte portée permettant l’échange d’information entre deux périphériques. 

Les termes "lecteur sans contact" ou "lecteur NFC" désignent un lecteur qui permet de communiquer via communication en champ proche avec un autre périphérique et notamment une carte d’identité luxembourgeoise. 

Les termes "zone de lecture automatique" ou "Machine-Readable Zone" (ci-après "MRZ") désignent une zone sur un document officiel réservée à la lecture, à l’identification et à la validation de ce document.

Les termes "code PIN" (Personal Identification Number ou numéro d’identification personnel) désignent un code d’identification personnel qui permet de sécuriser l’accès à un système comme par exemple une carte SIM, une carte bancaire ou une carte à puce.

Les termes « signature électronique » désignent des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer. 

Le terme « authentification » désigne un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou signature.

Article 2 : OBJET DE L'APPLICATION

L’objet de l’application est de permettre à l’utilisateur d’utiliser son téléphone mobile comme lecteur sans contact de carte pour sa carte d’identité luxembourgeoise. Ainsi, l’application permet de mettre à profit les capacités d’authentification et de signature de la puce de la carte d’identité de l’utilisateur dans le cadre de l’utilisation des services publics en ligne tiers qui reconnaissent cette application.

L’application gratuite permet à l’utilisateur :

  • d’ajouter certaines informations de sa carte d'identité dans un portefeuille électronique (ci-après "portefeuille") ; 
  • de s’authentifier à un service en ligne ;
  • de signer un document provenant d’un service en ligne ;
  • de changer le code PIN initial de la carte à puce de sa carte d’identité après délivrance ;
  • de changer le code PIN actuel de la carte à puce de sa carte d’identité.

L’ajout des informations de la carte d’identité dans le portefeuille est possible en scannant avec son téléphone mobile la MRZ localisée au verso de la carte d’identité de l’utilisateur respectivement en saisissant les informations y contenues.

La finalisation d’une authentification à un service en ligne et/ou la signature de document ont lieu après que l’application ait scanné le QR Code qui s’affiche sur le site Internet accédé par l’utilisateur.

L’objet de l’application peut, à tout moment, être modifié, amplifié ou mis à jour par l’État. En cas d’amplification de cet objet, l’utilisateur en sera avisé.

Article 3 : MATÉRIEL NÉCESSAIRE POUR L'UTILISATION DE L'APPLICATION

Pour accéder à l’application et l’utiliser, l’utilisateur doit posséder :

  • un outil multimédia compatible, à savoir un téléphone mobile disposant d’un appareil photo, d’un lecteur NFC qui permet de lire des tags de type ISO7816 et du système d’exploitation iOS 13.0 ou Android 5.0 ou toutes versions ultérieures ;
  • un accès au réseau Internet ;
  • un compte client sur l’une des plateformes "Apple App Store" ou "Google Play Store".

Article 4 : DISPONIBILITÉ DE L'APPLICATION

L’État assure au mieux la sécurité d'accès, de consultation et d'utilisation des informations et services de l’application.

L’application est, en principe, accessible 24 heures sur 24, 7 jours sur 7, sauf en cas de force majeure ou de survenance d'un évènement hors du contrôle de l’État et sous réserve d’interventions du fait :

  • d’opérations de maintenance ;
  • de mises à jour ;
  • d’améliorations techniques ou pour en faire évoluer le contenu et/ou la présentation ;
  • de raisons de sécurité ;
  • de tout autre motif jugé nécessaire.

Ces interventions pourront être effectuées, à tout moment, sans que l’utilisateur n’en ait été préalablement averti.

L’indisponibilité ou le mauvais fonctionnement de l’application ne donne droit à l’utilisateur à aucune indemnité.

Article 5 : CONDITIONS FINANCIÈRES

L’application est téléchargeable gratuitement depuis les plateformes "Apple App Store" et "Google Play Store".

Les équipements et moyens matériels permettant l’accès et l’utilisation de l’application sont à la charge exclusive de l’utilisateur. Ce dernier assume également les frais de télécommunications induits pour accéder à l’application et l’utiliser.

Article 6 : PROPRIÉTÉ INTELLECTUELLE DE L'APPLICATION

L’État est, sauf mention expresse contraire et stipulations légales ou contractuelles contraires, propriétaire exclusif de tous les droits de propriété intellectuelle portant tant sur la structure que sur le contenu de l’application.

Les présentes CGU n’entraînent le transfert d’aucun droit de propriété intellectuelle au profit de l’utilisateur tant sur la structure que sur le contenu de l’application et de ses services.

L’utilisateur s’engage expressément à ce que l’utilisation de l’application ne porte en aucun cas atteinte aux droits de l’État et notamment, à ce que cette utilisation ne constitue pas une contrefaçon ou une concurrence déloyale ou parasitaire des informations.

Les éléments composant l’application soumis à des licences dites « open source » ou de « logiciel libre » sont régies par les conditions des licences qui les accompagnent. Les présentes CGU ne limitent ni n’octroient plus des droits aux utilisateurs que ce qui est convenu au sein des conditions de licences pertinentes.  

L’ensemble des textes, graphismes, icônes, photographies, illustrations et plus généralement, l’ensemble des éléments composant l’application ne peuvent faire l’objet d’une quelconque représentation, reproduction, exploitation ou extraction, intégrale ou partielle, sur quelque support que ce soit, sans l’autorisation expresse et écrite du Ministère de la Digitalisation. Sauf dispositions législatives et/ou réglementaires contraires ou dérogation expresse et écrite du Ministère de la Digitalisation, l’utilisateur s’engage à ne pas modifier, adapter, fusionner, traduire, faire de la rétro-conception, décompiler, démonter ou créer des travaux dérivés basés sur l’ensemble ou des parties des éléments composant l’application. À défaut, sa responsabilité sera engagée.

Article 7 : LICENCE D'UTILISATION

L’État concède à l’utilisateur une licence d’utilisation gratuite de l’application. Cependant, l’utilisateur s’interdit d’en faire un usage commercial. À défaut, sa responsabilité sera engagée.

Le terme "usage commercial" inclut notamment :

  • tout profit ou revenu commercial résultant de la commercialisation de l’application ou d’un usage concurrentiel ;
  • toute utilisation de l’application avec une société commerciale et/ou avec un tiers si cette utilisation conduit à une commercialisation de l’application.

Cette licence est non exclusive, révocable à tout moment, non cessible et non transférable.  

Article 8 : LIMITATION DE RESPONSABILITÉ

L’État ne peut garantir de façon totale la parfaite exactitude et complétude de l'ensemble des informations enregistrées dans l’application, qu'elles soient fournies par lui-même ou par toute autre personne ou organisme. Il ne saurait dès lors en être responsable.

La responsabilité de l’État ne saurait, non plus, être engagée en cas d’interruption d’accès à l’application ou aux services d’authentification et/ou de signatures du fait d’opérations de maintenance, de mises à jour ou d’améliorations techniques, ou pour en faire évoluer le contenu et/ou la présentation. 

En outre, l’État pourra interrompre temporairement ou définitivement, sans dédommagement quelconque, l’accès à l’application et à tout éventuel service lié.

Aucune responsabilité pour un quelconque dommage direct ou indirect en relation avec des évolutions ou modifications de l’application ne pourra être retenue à l’encontre de l’État.

L'utilisateur est seul responsable des mises à jour des versions ou sous-versions successives de l’application. L’État ne saurait engager sa responsabilité à ce titre.

L’État ne peut être tenu responsable de l’impossibilité d’accéder à l’application ou à ses services pour quelque raison que ce soit.

L’État ne peut être tenu responsable pour quelle que raison que ce soit, si la connexion internet devait être interrompue.

L’État ne peut être de fait tenu responsable sur les éventuelles omissions et/ou erreurs que pourrait contenir l’application.

La responsabilité de l’État ne saurait être engagée pour :

  • les dommages de toute nature, directs ou indirects, résultant de l’utilisation ou de l’incapacité à utiliser l’application ainsi que ses services et notamment toute perte d’exploitation, perte financière ou commerciale, perte de programmes et/ou de données en particulier dans le système d’information de l’utilisateur de l’application ;
  • les dommages de toute nature, directs ou indirects, résultant du contenu et/ou de l’utilisation ou de l’incapacité à utiliser des sites Internet liés à l’application ou auxquels l’utilisateur pourrait avoir accès via l’application.

L’État décline toute responsabilité en cas de mauvaise utilisation du téléphone mobile ainsi qu’en cas d’incident lié à l’utilisation dudit appareil lors de l’utilisation de l’application. L’État ne saurait en aucun cas être tenu responsable de tout dommage, de quelque nature que ce soit, causé à l’utilisateur, à son terminal, à ses équipements informatiques et téléphoniques et aux données qui y sont stockées, ni des conséquences pouvant en découler sur son activité personnelle, professionnelle ou commerciale.

L’utilisateur déclare connaître et accepter les risques, limites et les problématiques du réseau Internet ainsi que des systèmes d’exploitation de l’application et pour lesquels la responsabilité de l’État ne saurait être engagée. L’utilisateur reconnaît en particulier que :

  • son utilisation de l’application se fait à ses risques et périls ;
  • l’application lui est accessible « en état » et en fonction de sa disponibilité ;
  • la protection de ses propres données stockées sur son téléphone mobile et/ou logiciels lui incombe et il lui appartient de prendre toutes les mesures appropriées de façon à les protéger contre toute atteinte (perte du téléphone, dysfonctionnement, virus, piratage, etc.) ;
  • les performances techniques de l'Internet requièrent un temps de traitement nécessaire pour répondre, consulter, interroger ou transférer les informations. 

L’utilisateur s’engage à ne pas utiliser l’application pour des activités frauduleuses.

L’utilisateur reconnaît être seul responsable de tout manquement à ses obligations édictées dans les présentes CGU, ainsi que de ses conséquences.

Article 9 : POLITIQUE DE CONFIDENTIALITÉ ET PROTECTION DES DONNÉES COMMUNIQUÉES PAR L'UTILISATEUR

Les données à caractère personnel communiquées directement ou indirectement par l’utilisateur dans le cadre de l’utilisation de l’application sont traitées en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données ainsi que la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du susdit règlement (UE) 2016/679.

Généralités

L’application ne donne lieu à aucune collecte de données à caractère personnel de l’utilisateur de la part de l’État et/ou du CTIE hormis celles liées aux traitements décrits ci-après.

Sauf stipulation contraire, le CTIE est le responsable du traitement.

Des mesures de sécurité techniques et organisationnelles sont mises en place par l’État afin de garantir un niveau approprié de confidentialité, d’intégrité, de disponibilité et de résilience des services offerts via l’application et pour lesquels il est le sous-traitant ou le responsable du traitement, ainsi que d’assurer la protection des droits et libertés de l’utilisateur selon les standards de l’industrie.

Les données à caractère personnel ne seront traitées que dans le but de permettre à l'utilisateur de bénéficier des services offerts via l’application. L’utilisateur en activant ou respectivement utilisant ces services consent aux traitements respectifs de données.

A défaut de consentement, l’utilisateur sera dans l’impossibilité d’activer lesdits services pour utiliser l’application alors que leur finalité ne pourra être atteinte.

L'utilisateur dispose des droits d'accès, de rectification et d'effacement de données qui le concernent. Ces droits sont exerçables auprès du responsable du traitement.

L’utilisateur dispose également des droits de limitation du traitement, d'opposition au traitement, de retrait du consentement et de portabilité qui sont exerçables directement auprès du responsable du traitement.

L’utilisateur peut adresser sa demande par courrier à l’adresse suivante : Centre des technologies de l'information de l'État, B.P. 1111 L-1011 Luxembourg.

L’utilisateur peut adresser des réclamations relatives à la protection des données à caractère personnel le concernant auprès du délégué à la protection des données à caractère personnel du CTIE via l'adresse courriel suivante: dataprotection@ctie.etat.lu

L'utilisateur peut, en outre, s'adresser à la Commission nationale pour la protection des données pour tout litige dans ce domaine.

Traitements liés à la sauvegarde du code PIN

Lorsque l’utilisateur active la fonction biométrie de son téléphone mobile pour une carte d’identité, le code PIN de celle-ci est sauvegardé dans l’application et est protégé par les fonctions de reconnaissance faciale ou de reconnaissance par empreinte digitale de son téléphone mobile. Ainsi, l’utilisateur n’a pas besoin de saisir à nouveau le code PIN à chaque utilisation de sa carte d’identité. Il peut déverrouiller l’accès au PIN par l’application via lesdites fonctions de reconnaissances.

La durée de conservation du code PIN au sein de l’application est sous le contrôle unique de l’utilisateur.

Le code PIN n’est nullement transmis à quiconque. 

Traitements liés à l’enregistrement des données de la carte d’identité dans le portefeuille électronique

Lors de l’enregistrement de sa carte d’identité dans le portefeuille de l’application, certaines données à caractère personnel de l’utilisateur sont sauvegardées dans son téléphone mobile, à savoir : 

  • les informations contenues dans sa carte d’identité à savoir : nom(s), prénom(s), sexe, nationalité, date de naissance, numéro de la carte d’identité, dates de délivrance et d’expiration de la carte d’identité, photographie de l’utilisateur ainsi que sa signature manuscrite ;
  • les certificats LuxTrust (authentification et signature), si la carte d’identité en contient ;
  • le code PIN de la carte à puce de sa carte d’identité si l’utilisateur choisit de le sauvegarder dans l’application.

Cet enregistrement permet à l’utilisateur de clairement identifier et désigner la carte d’identité préalablement à toute utilisation de celle-ci au sein de l’application.

La durée de conservation de ces données dans le portefeuille électronique est sous le contrôle unique de l’utilisateur.

Ces données ne sont nullement transmises à quiconque.

Traitements liés aux journaux d’événements et au helpdesk

Par ailleurs, l’application enregistre sur le téléphone des journaux d’événements techniques qui permettront d’analyser d’éventuels problèmes techniques. Ces journaux d’événements techniques sont uniquement transmis au CTIE depuis l’application suite à une action provenant de l’utilisateur au sein de l’application. 

Le but de cet envoi est de mettre à disposition du CTIE davantage d’informations sur un problème technique existant afin qu’il puisse, le cas échéant, y apporter une solution. Par ailleurs, ces données peuvent être ultérieurement traitées à des fins statistiques par le CTIE.

Ces journaux d’événements techniques sont construits de telle manière qu’ils ne contiennent pas de données à caractère personnel. La demande de l’utilisateur intègre ces journaux ainsi que son identité. La demande dans sa globalité peut donc être qualifiée comme contenant des données à caractère personnel.

La demande ainsi constituée est stockée au Grand-Duché de Luxembourg.

La durée de conservation des données à caractère personnel communiquées par l’utilisateur est celle nécessaire au traitement de sa demande, augmentée d’une année pour permettre la réouverture à posteriori afin d’améliorer la qualité du service rendu aux utilisateurs.

Par ailleurs, les journaux d’événements techniques sont créés par l’application et sont régulièrement supprimés. Les journaux d’événement sont conservés au sein de l’application et sont supprimés lors de la suppression de l’application par l’utilisateur. 

Traitements liés à l’authentification et la signature 

Les fonctionnalités d’authentification et de signature, référencées dans l’application comme étant des « transactions en ligne », sont mises à disposition de l’utilisateur afin que ce dernier puisse en disposer lors de ses interactions respectives avec un service public en ligne tiers reconnaissant l’application. Le service en ligne communique des données en lien avec une transaction en ligne par l’intermédiaire d’un QR code qu’il crée et qui est ensuite scanné par l’utilisateur dans l’application. Les données issues du QR code sont ensuite renvoyées sous forme signée ou authentifiée audit service. La transaction en ligne permet l’authentification de l’utilisateur avant son entrée dans le service public en ligne, ou respectivement la signature d’un document.

La durée de traitement des données correspond à la durée d’interaction de l’utilisateur avec l’application lors de l’utilisation des fonctionnalités correspondantes suivie de celle de la transmission des données depuis l’application jusqu’au service public en ligne tiers via les serveurs du CTIE situés au Grand-Duché de Luxembourg. Les données ne sont nullement conservées par le CTIE lors de cette transmission.

Ledit service public en ligne tiers est, quant à lui, régi par des CGU qui lui sont propres et qui ne sont nullement de la responsabilité du CTIE dans le cadre de l’application GouvID. Le CTIE n’est donc pas le responsable des traitements liés à ces services. Le CTIE agit en qualité de sous-traitant pour ce qui est des traitements relatifs à l’authentification ou la signature effectués au sein de l’application et lors de la transmission des données.

Il appartient dès lors à l’utilisateur de consulter les CGU spécifiques de chacun des services utilisés et de contacter, le cas échéant, les responsables du traitement respectifs pour exercer ses droits d'accès, de rectification et d'effacement de données qui le concernent ainsi que ses droits de limitation du traitement, d'opposition au traitement, de retrait du consentement et de portabilité.

En effet, ces responsables de traitement sont soumis au susdit règlement (UE) 2016/679 ainsi qu’à la susdite loi du 1er août 2018.

Traitements liés à la gestion de l’application par les plateformes « Apple App Store » et « Google Play Store »

Les plateformes "Apple App Store" et "Google Play Store" sont susceptibles de traiter les données à caractère personnel communiquées directement ou indirectement par l’utilisateur dans le cadre du téléchargement de l’application.

Dans ce cas, Apple et Google seuls sont responsables du traitement des données à caractère personnel de l’utilisateur.

Étant donné qu’Apple et Google sont soumis également soumis au prédit règlement (UE) 2016/679 ainsi qu’à la susdite loi du 1er août 2018, il appartient, dès lors, à l’utilisateur de prendre contact avec ces organismes pour exercer ses droits ci-dessus énoncés.

Article 10 : MODIFICATION DES CONDITIONS GÉNÉRALES D'UTILISATION

L’État se réserve le droit de modifier, d’amplifier ou de compléter, à tout moment, tout ou partie, des dispositions des présentes CGU et ce, afin de les adapter aux évolutions des services, aux évolutions techniques, légales ou jurisprudentielles ou lors de la mise en place de nouvelles prestations. L’utilisateur sera avisé de ces modifications.

L’État invite toutefois tout utilisateur à s’informer et à consulter les CGU de l’application, dont seule la version actualisée accessible en ligne est réputée en vigueur à la date de l’utilisation de l’application par l’utilisateur.

Article 11 : LOI APPLICABLE ET ATTRIBUTION DE JURIDICTION

Les présentes CGU sont soumises à la loi luxembourgeoise.

Tout litige ou contestation relatif à l’exécution ou à l’interprétation des présentes CGU qui n’aura pu être réglé à l’amiable entre les parties sera soumis aux tribunaux luxembourgeois.