Confidentialité et cookies

SOMMAIRE

1. Politique de confidentialité
2. Politique de gestion des cookies

Politique de confidentialité

introduction

Le CNES, responsable du traitement, collecte, utilise stocke et protège les données personnelles des utilisateurs dans le cadre de l'utilisation de la suite Microsoft 365 (M365).

Définition

La notion de « données personnelles » désigne toute information identifiant directement ou indirectement une personne physique par référence à un ou plusieurs éléments qui lui sont propres (nom, prénom, email, adresse postale ou IP…).

Par principe, le CNES s’interdit de collecter et de traiter toutes les données personnelles liées à vos origines raciales ou ethniques, à vos opinions politiques, à vos convictions religieuses ou philosophiques, à votre syndicalisation, ni de données génétiques ou données concernant votre orientation sexuelle.

Les bases légales et les finalités du traitement

Conformément au Règlement Général sur la Protection des Données (RGPD), le traitement des données repose sur les bases légales suivantes :

L'exécution d'un contrat : pour permettre aux utilisateurs d'accéder aux services M365 et d'exécuter leurs missions professionnelles.
L'intérêt légitime : pour assurer la sécurité des systèmes informatiques, prévenir les cyberattaques et améliorer l'efficacité des outils collaboratifs et les échanges entre salariés
L'obligation légale : pour se conformer aux exigences légales et réglementaires (ex : conservation des logs pour des raisons de sécurité).
Le consentement : lorsque nécessaire pour certaines fonctionnalités spécifiques (ex : photographie, enregistrement ponctuel de réunion pour des besoins spécifiques qui vous seront indiqués en début de réunion ou partage de données avec des tiers).

Les données collectées sont utilisées pour :

Améliorer la collaboration

Assurer la sécurité et l'intégrité des systèmes informatiques

Respecter les obligations légales et réglementaires

Gérer les droits d'accès et les permissions

Analyser l'utilisation des outils pour optimiser les performances

Les données collectées et traitées

Données d'identification

Nom et prénom

Adresse e-mail professionnelle

Identifiant utilisateur

Photographie

Voix

Données professionnelles

Fonction et poste occupé
Service
Informations de contact (numéro de téléphone professionnel, bâtiment, bureau)
Statut

Données techniques

Adresse IP
Historique de connexion et journaux d'activité

Données de communication et de collaboration

Contenu des e-mails (Outlook)
Conversations via Teams ou Skype for Business
Documents partagés via OneDrive ou SharePoint
Calendrier et événements professionnels

Données de productivité et d'utilisation

Données d'analyse sur l'utilisation des applications (Excel, Word, PowerPoint, etc.)
Temps d'activité et fréquence d'utilisation des outils M365

Données de sécurité

Informations sur les tentatives de connexion
Alertes de sécurité et incidents signalés

Partage et transfert des données

Les données collectées seront communiquées aux seuls destinataires suivants :

Les équipes internes et externes autorisées (les salariés CNES et non CNES, les administrateurs du système y compris le prestataire informatique dûment habilité (infogérant), les responsables de l’enregistrement d’une réunion…)
Microsoft en tant que prestataire de services cloud.
Les autorités compétentes en cas d'obligation légale

Les données sont stockées en France. En cas de transfert de données en dehors de l'EEE, nous nous assurons que des garanties adéquates sont en place, telles que :

Les clauses contractuelles types approuvées par la Commission européenne
Les certifications et mécanismes de conformité applicables

Durée de conservation

Les données personnelles sont conservées uniquement pendant la durée nécessaire à la réalisation des finalités mentionnées ci-dessus, et conformément aux obligations légales et aux politiques internes de gestion des données.

Objet M365	Durée de conservation	Archivage	Suppression définitive
Teams et Groupes M365	Conservé 12 mois à compter de la date de la dernière activité	Archivage automatique pendant 30 jours	Suppression après 18 mois d’inactivité
Canaux Teams	Pas de suppression automatique	Archivé avec l’équipe Teams	Suppression si l’équipe Teams est supprimée
OneDrive	Inactif après 90 jours après départ de l'utilisateur	Non applicable	Suppression définitive après 30 jours supplémentaires
Planner	Conservé 12 mois à compter de la date de la dernière activité	Archivage automatique	Suppression après 12 mois
Whiteboard	Conservé 12 mois à compter de la date de la dernière activité	Archivage automatique	Suppression après 12 mois
Stream (vidéos)	Conservé 12 mois à compter de la date de la dernière activité	Archivage automatique	Suppression après validation du propriétaire

Sécurité des données

Toutes vos données à caractère personnel sont strictement confidentielles et ne seront accessibles qu’en cas de nécessité, uniquement par le personnel du CNES dûment autorisé ainsi que les prestataires indépendants agissant en notre nom dans le cadre de mesures de sécurité techniques et organisationnelles appropriées.

Le CNES a mis en place des mesures de sécurité pour protéger vos données à caractère personnel contre tout accès et utilisation non autorisés. Nous suivons des procédures de sécurité appropriées dans la conservation et la divulgation de vos données à caractère personnel afin d’empêcher l’accès non autorisé par des tiers et d’éviter la perte accidentelle de vos données. Nous limitons l’accès à vos données à caractère personnel aux personnes qui ont réellement besoin d’y accéder pour des raisons professionnelles. Les personnes qui accèdent à vos données sont soumises à un devoir de confidentialité.

Nous avons également mis en place des procédures pour traiter toute atteinte présumée à la sécurité des données. Nous vous aviserons, ainsi que toute autorité de contrôle compétente, en cas d’atteinte présumée à la sécurité des données lorsque la loi nous impose de le faire.

Droits des utilisateurs

Vous pouvez exercer des droits relatifs à l’ensemble des données vous concernant. Les droits attachés à vos données personnelles sont les suivants :

Droit d’accès : vous pouvez exercer votre droit d’accès pour connaître les données personnelles, vous concernant, à savoir leur nature, leur origine et l’usage auxquelles elles sont destinées.
Droit de retrait du consentement : vous disposez du droit de retirer votre consentement à tout moment. Vous serez informés, le cas échéant, des conséquences de ce retrait.
Droit de rectification : si vos données personnelles détenues par Le CNES sont inexactes, vous pouvez demander à les modifier, les mettre à jour ou demander la complétude des informations.
Droit d’effacement : vous pouvez demander la suppression des données personnelles détenues par le CNES conformément aux lois applicables.
Droit à la portabilité : à la double condition que le traitement repose sur l’exécution d’un contrat ou le consentement de la personne, et qu’il soit automatisé, vous avez le droit de recevoir les données dans un format structuré, clair, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement sans que le CNES y fasse obstacle.
Droit à la limitation : vous avez le droit d’obtenir la limitation des traitements lorsque vous contestez l’exactitude des données, lorsque leur traitement est illicite, ou lorsque vous en avez besoin pour la constatation, l’exercice ou la défense de vos droits en justice.
Droit d’opposition : vous pouvez vous opposer au traitement de vos données à caractère personnel pour des raisons qui vous sont propres.

Vous avez également le droit de déterminer le sort de ces données après votre décès.

Consultez le site cnil.fr pour plus d’informations sur vos droits.

Vous avez la possibilité de faire valoir les droits exposés ci-dessus par courrier en contactant notre délégué à la protection des données (DPO) à l’adresse suivante : l-cnil@cnes.fr

Le CNES répondra dans un délai d'un mois à compter de la réception de la demande et, au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Vous serez alors informé de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande.

Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL.

Modifications de la politique de confidentialité

Nous nous réservons le droit de modifier cette politique à tout moment pour nous conformer aux évolutions légales ou aux changements dans l'utilisation de M365. Les utilisateurs seront informés de toute modification substantielle via une notification sur la plateforme ou par e-mail.

Politique de gestion des cookies

Le service Microsoft 365 du CNES utilise des « cookies », c’est-à-dire des petits fichiers de données ayant pour but de garder des traces de la connexion de l’utilisateur.

Qu’est-ce qu’un cookie ?

Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.

Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d'un site marchand, le contenu courant de votre panier d'achat, la langue d’affichage de la page web, un identifiant permettant de tracer votre navigation à des fins statistiques ou publicitaires, etc. Certains de ces usages sont strictement nécessaires aux fonctionnalités expressément demandées par l’utilisateur ou bien à l’établissement de la communication et donc exemptés de consentement. D’autres, qui ne correspondent pas à ces critères, nécessitent un consentement de l’utilisateur avant lecture ou écriture.

Pour plus d’informations, consultez le site de la CNIL.

Quels types de cookies utilisons-nous ?

Liste des cookies utilisés par les services Microsoft 365 du CNES :

1. Cookies techniques de fonctionnement du service

Nom du cookie	Description du cookie	Consentement	Durée de vie du cookie
MSCC (Microsoft Consent Cookie)	Stocke les préférences de consentement des utilisateurs.
AAD (Azure Active Directory)	Gèrent l’authentification et la session utilisateur.	Non	Jusqu'à 90 jours ou à expiration de la session.
MUID (Microsoft User Identifier)	Identifie de manière unique les utilisateurs entre différentes sessions.

2. Cookies techniques relatifs à la sécurité et à l'authentification

Nom du cookie	Description du cookie	Consentement	Durée de vie du cookie
SSO Cookies (Single Sign-On)	Facilitent la connexion unique sur plusieurs services M365.
WFESessionId, x-ms-gateway-slice	Utilisés pour la gestion des sessions dans les services Microsoft.	Non	Jusqu'à 90 jours ou à expiration de la session.
ESTSAUTH, ESTSAUTHLIGHT	Liés à l’authentification via Azure AD.

3. Cookies de performance et d’analyse des usages pour l'optimisation des services

Nom du cookie	Description du cookie	Consentement	Durée de vie du cookie
CLID, MR, ANON, NAP	Statistiques d’audience et mesure des performances	Oui	13 mois
_clck, _clsk	Utilisés par Clarity (outil d’analyse Microsoft) pour suivre l’interaction des utilisateurs.	Oui	13 mois

4. Cookies de Personnalisation

Nom du cookie	Description du cookie	Consentement	Durée de vie du cookie
MSPAuth	Stocke le jeton d’autorisation pour maintenir la session personnalisée	Non
MSPProf	Stocke les préférences utilisateur (langue, thème, comportement UI)	Oui	13 mois
SRM_B	Suivi de préférences dans SharePoint / Office	Non
PPLState	Enregistre l’état des applications Office côté client	Oui

5. Cookies publicitaires

Nom du cookie	Description du cookie	Consentement	Durée de vie des cookies
MUID	Aide Microsoft à suivre les utilisateurs sur différents sites.	Oui	390 jours
SRCHD, SRCHUID	Utilisé pour stocker des préférences de recherche Bing via le stockage d’un identifiant unique d’utilisateur	Oui	180 jours
SRCHHPGUSR	Utilisé pour stocker les préférences de l’utilisateur sur la page d’accueil Bing	Oui	90 jours