Politique de confidentialité

1. IDENTITÉ DU RESPONSABLE DU TRAITEMENT ET DE SON REPRÉSENTANT

La Direction de l’information légale et administrative (ci-après DILA) est responsable de traitement pour le site legifrance.gouv.fr (ci-après “le Site” ou “le Site Légifrance”).

Elle est représentée par sa directrice Anne Duclos-Grisier.

Les coordonnées de la DILA :
Direction de l'information légale et administrative
26 rue Desaix
75727 Paris cedex 15
Tél. Standard : 01 40 58 75 00

2. DONNÉES COLLECTÉES PAR LE SITE ET FINALITÉS POURSUIVIES

La DILA minimise les données collectées par le Site Légifrance sur ses usagers.

Ainsi, des données personnelles ne sont collectées que pour le besoin de certains services proposés par le Site Légifrance, à savoir :

  • pour l’abonnement par email au sommaire du Journal officiel ;
  • la gestion des commentaires, avis et questions déposés par les usagers soit par le biais du formulaire “Nous contacter” présent directement sur le Site (https://www.legifrance.gouv.fr/contact/message), soit par l’intermédiaire de la fonctionnalité Hotjar gérée par la société Hotjar Ltd. (pour plus de détails voir la section “Gestion des cookies”).

Dans le cadre de ces services, la seule donnée personnelle collectée est l’adresse électronique de l’usager.

La DILA collecte également par l’intermédiaire des cookies Hotjar et AT Internet (Piano analytics) et Eulerian des données personnelles pour réaliser des statistiques d’audience dans le but d’améliorer le Site, ainsi que les services proposés.

En aucun cas les données personnelles transmises par l’utilisateur ne peuvent faire l’objet d’un usage commercial par des partenaires ou des prestataires de la DILA, ni être louées à des tiers.

La DILA met tout en œuvre afin d’assurer la sécurité de vos données personnelles et de les protéger contre l’altération, la perte accidentelle ou illicite, et l’utilisation, la divulgation ou l’accès non autorisé.

3. DONNÉES PERSONNELLES DIFFUSÉES SUR LE SITE LÉGIFRANCE

Les données personnelles diffusées par le site Légifrance sont conformes aux dispositions de l’arrêté du 9 octobre 2002 relatif au site internet de Légifrance. Le droit d’accès et de rectification ainsi que le droit d’opposition prévus par la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, s’exercent auprès du délégué à la protection des données personnelles des services du Premier ministre (voir la section “Vos droits sur les données personnelles collectées et diffusées par le Site Légifrance” pour le contacter).

4. REPRODUCTION ET RÉUTILISATION DES DONNÉES DIFFUSÉES PAR LE SITE LÉGIFRANCE

En vertu du décret n° 2002-1064 du 7 août 2002 modifié, le service public de la diffusion du droit par internet (SPDDI) a pour objet de mettre gratuitement à la disposition des internautes, sur le Site Légifrance, les textes en vigueur ainsi que la jurisprudence. Mais cette gratuité n'exclut pas certaines contraintes pour l'extraction et la réutilisation des données disponibles sur le site (consulter le répertoire des informations publiques de la DILA à la rubrique "Les données juridiques").

N'est pas regardée comme une extraction la simple apposition d'un lien vers le Site Légifrance qui peut être réalisée sans autorisation par tout site public ou privé ; à cet effet, est mis en place sur le Site un dispositif autorisant, en faveur des internautes, la création de liens (adresses URL) qui pointent vers des documents du site.

La réutilisation des informations contenant des données à caractère personnel, c’est-à-dire des éléments qui permettent d’identifier, directement ou indirectement, une personne physique, est étroitement encadrée par l’article L. 322-2 du code des relations entre le public et l'administration. La réutilisation ne peut avoir lieu que si les personnes intéressées y ont consenti, si ces informations ont fait l’objet d’une anonymisation par l’administration ou si une disposition législative ou réglementaire autorise la réutilisation.

La réutilisation d’une information publique contenant des données à caractère personnel est subordonnée au respect de la loi n° 78-17 du 6 janvier 1978 modifiée.

La réutilisation dans le cadre des API est de surcroît sujette à l’acceptation des Conditions générales d’utilisation de l’API de Légifrance.

5. BASE JURIDIQUE DU TRAITEMENT

La base légale principale du traitement des données par le Site est l’arrêté du 9 octobre 2002 relatif au site internet Légifrance, notamment en ce qui concerne les données publiées sur le Site.

S’agissant de la gestion des avis, commentaires et de l’abonnement par email au sommaire du JOE, la base légale est le consentement de la personne à la collecte de ses données personnelles pour lui permettre de bénéficier de ces services.

6. DURÉE DE CONSERVATION

  • Pour la gestion des avis, commentaires, questions envoyées par Hotjar ou par le formulaire « Nous contacter » : la durée de conservation est de 5 ans, puis il est procédé à un archivage.
  • Pour l’abonnement au sommaire électronique du JOE :
    • Si l’usager n’a pas confirmé sa demande d’abonnement dans les 7 jours, suppression de l’adresse électronique.
    • Si l’usager confirme sa demande d’abonnement : conservation de 12 mois reconductibles à compter de l’inscription ou jusqu'à suppression automatique de l'adresse de l'abonné le lendemain de sa demande de désabonnement ou de l'absence de réitération du consentement.

7. DESTINATAIRES DES DONNÉES

L'accès aux données personnelles collectées sur le Site est strictement limité à la DILA et, le cas échéant, à ses sous-traitants.

Les sous-traitants en question sont soumis à une obligation de confidentialité et ne peuvent utiliser vos données qu'en conformité avec nos dispositions contractuelles et la législation applicable.

Conformément aux dispositions légales et règlementaires applicables, en particulier la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés et du règlement européen n° 2016/679/UE du 27 avril 2016, dit RGPD, aucune information personnelle n'est collectée à votre insu ou cédée à des tiers.

8. VOS DROITS SUR LES DONNÉES PERSONNELLES COLLECTÉES ET DIFFUSÉES PAR LE SITE LÉGIFRANCE

Vous disposez d'un droit d'accès, de rectification, d'effacement de vos données ou encore de limitation de traitement. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Vous pouvez exercer vos droits en contactant la cellule juridique de la DILA :

  • par courriel à l'adresse suivante : rgpd@dila.gouv.fr
  • et par courrier à l'adresse suivante :
    DILA
    Données personnelles site Légifrance
    26, rue Desaix
    75727 Paris Cedex 15

Vous avez également le droit d'introduire une réclamation ou une plainte auprès de la CNIL si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés :

Soit en écrivant à l’adresse postale ci-dessous :

Commission Nationale de l'Informatique et des Libertés 
3 Place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07  

Tél : 01 53 73 22 22 
Fax : 01 53 73 22 00 

Soit en cliquant sur le lien suivant : https://www.cnil.fr/fr/plaintes

9. TRANSFERT DE DONNÉES PERSONNELLES À DESTINATION D'UN ETAT NON MEMBRE DE L'UNION EUROPÉENNE

Aucun transfert de données à caractère personnelles n’est effectué vers un Etat non membre de l’Union Européenne.

10. GESTION DES COOKIES

A quoi servent les cookies déposés par le Site Légifrance ?

Le Site Légifrance dépose deux types de cookies :

  • Des cookies techniques, qui permettent au Site de fonctionner correctement. Il s’agit par exemple de cookies permettant d'optimiser vos préférences de consultation et de faciliter votre navigation pendant une session ou encore réaliser un suivi d’audience du site ;
  • Des cookies d’audience, qui permettent à la DILA de mieux connaitre les attentes des utilisateurs lorsqu’ils ont accepté les cookies Hotjar ou Eulerian. Il s’agit par exemple de cookies permettant :
    • d'établir des mesures statistiques de fréquentation et d'utilisation du site, afin d'en améliorer l'usage, les parcours et les fonctionnalités proposés.

La DILA et les tiers émetteurs, AT Internet (Piano analytics), Eulerian et Hotjar, sont soumis à la loi informatique et libertés du 6 janvier 1978 modifiée.

Comment gérer les cookies déposés à partir du Site Légifrance ?

La DILA se fixe un objectif d’exemplarité pour le Site Légifrance concernant la réglementation en vigueur en matière de cookies et plus largement de respect de la vie privée et des données personnelles. C’est pourquoi la DILA dépose par défaut uniquement des cookies techniques.

Pour cette raison, lorsque l’on accède au gestionnaire de consentement pour les outils Hotjar et Eulerian, les cookies sont refusés par défaut.

En ce qui concerne AT Internet (Piano Analytics), la DILA a souhaité offrir aux usagers la possibilité de refuser tout suivi d’audience en sélectionnant manuellement « Refuser ». Par défaut, la collecte est minimale et exemptée lorsque « Accepter » est sélectionné. Il n’y a aucune collecte supplémentaire pour AT Internet (Piano Analytics).

Le Site Légifrance vous permet de gérer à tout moment les cookies déposés sur votre ordinateur via l’onglet “Gestion des cookies” présent en haut de toutes les pages du Site.
Vous pouvez ainsi choisir pour chaque service de cookie si vous acceptez ou refusez le dépôt des cookies. Vous pouvez également choisir de « tout accepter » ou de « tout refuser ». Les modifications apportées seront immédiatement prises en compte.

Pourquoi la fenêtre de gestion des cookies ne s’affiche pas par défaut sur le Site Légifrance comme sur les autres sites ?

Pour faciliter l’utilisation du Site aux usagers Légifrance et limiter l’affichage de la fenêtre de gestion des cookies sur le Site, la fenêtre ne s’affiche qu’en cliquant sur le lien « Gestion des cookies ».

Cette fenêtre ne s’affiche pas par défaut parce que le Site Légifrance limite le dépôt de cookies aux cookies techniques. Pour rappel, les cookies techniques sont exemptés de consentement. La fenêtre de gestion du consentement n’est donc pas nécessaire par défaut.

Quels sont les services externes à la DILA qui peuvent déposer des cookies sur votre ordinateur à partir du Site Légifrance ?

Il y a trois prestataires externes qui peuvent déposer des cookies à partir du Site Légifrance.

AT Internet (Piano analytics) - gestionnaire des statistiques de fréquentation du site

Les cookies AT Internet (Piano analytics) sont configurés en mode exemption par défaut pour collecter un minimum de données personnelles et sont déposés par défaut sur votre ordinateur, sauf opposition de votre part.

Il s'agit donc de cookies techniques uniquement.

Le fonctionnement est des cookies est le suivant:

  • Accepter (par défaut) : collecte minimale* de données d’audience exemptées de consentement au sens de l’article 82 de la loi informatique et liberté
  • Refuser : aucune collecte de données d’audience n’est réalisée lorsque « refuser » est choisi (refus du consentement)

Ce service est géré par la société Applied Technologies Internet SAS (AT Internet).  
 
Siège social :
Applied Technologies Internet
85, Avenue J.F. Kennedy
33700 Bordeaux-Mérignac

Pour en savoir plus sur la gestion des cookies de statistiques d'AT Internet (Piano analytics), nous vous invitons à consulter leur politique de confidentialité :

https://www.atinternet.com/societe/rgpd-et-vie-privee/collecte-de-donnees-sur-les-sites-de-nos-clients/  

AT Internet (Piano analytics) offre une option de retrait (ou option « opt-out ») sur son site pour bloquer la collecte d’information relatives à vos visites sur Légifrance au moyen de son propre cookie. Les cookies d’AT Internet (Piano analytics) demeurent actifs pendant 13 mois fixes. Les données brutes collectées via les cookies sont conservées 6 mois par AT Internet (Piano analytics).

* Collecte minimale
Exemple de collecte minimale : Evénements, Visites, Informations sur le site, Données techniques, Localisation, Dates et horaires, Pages.

Eulerian - gestionnaire des statistiques de fréquentation du site

Les cookies Eulerian sont configurés en mode exemption par défaut pour collecter un minimum de données personnelles et sont déposés par défaut sur votre ordinateur.

Il s’agit dans ce cas de cookies techniques uniquement.

Le fonctionnement des cookies est le suivant :

  • Accepter : collecte maximale de données d’audiences nécessitant un recueil du consentement. La DILA déconseille l’acceptation des cookies Eulerian car elle ne souhaite pas collecter ces informations.
  • Refuser (par défaut) : collecte minimale de données d’audience exemptées de consentement au sens de l’article 82 de la loi informatique et liberté

Ce service est géré par la société Eulerian.  
 
Siège social :
52 bis rue Ramponeau

75020 Paris

Pour en savoir plus sur la gestion des cookies de statistiques d'Eulerian, nous vous invitons à consulter leur politique de confidentialité :

https://www.eulerian.com/vie-privee

Les cookies d’Eulerian demeurent actifs pendant 13 mois fixes. 

Hotjar - gestionnaire des retours utilisateurs du Site Légifrance

Nous utilisons Hotjar afin de mieux comprendre les besoins de nos utilisateurs et d’améliorer les fonctionnalités du Site Légifrance.

Ce service est géré par la société Hotjar Ltd.

Hotjar
Level 2, St Julians Business
Centre3, Elia Zammit Street
St Julians STJ 3155, Malta, Europe

Dans un souci de respect de la vie privée des utilisateurs du Site Légifrance, la fonctionnalité Hotjar est désactivée par défaut et peut être activée à la demande en acceptant le dépôt des cookies Hotjar. Les utilisateurs du Site dispose de surcroît du formulaire “Nous contacter” comme alternative à l’utilisation de Hotjar.
 
Hotjar utilise des cookies et d'autres technologies pour collecter des données :

  • sur le comportement de nos utilisateurs et leurs appareils (en particulier l'adresse IP de l'appareil (capturée et stockée uniquement sous forme anonyme), la taille de l'écran de l'appareil, le type d'appareil (identifiants uniques) ;
  • les informations du navigateur ;
  • l'emplacement géographique (pays uniquement).

Hotjar stocke ces informations dans un profil utilisateur pseudonymisé. Pour plus de détails, veuillez consulter la politique de confidentialité de Hotjar en cliquant sur ce lien : https://www.hotjar.com/legal/policies/privacy/  
 
Vous pouvez choisir de vous opposer à tout suivi par Hotjar en suivant les recommandations de la page suivante : https://www.hotjar.com/privacy/do-not-track/ 

11. INFORMATION SUR LES OUTILS DE SÉCURITÉ UTILISÉS PAR LE SITE LÉGIFRANCE

L’hébergement du Site comme celui des données juridiques diffusées sont assurés par un opérateur français (Worldline France) sur des installations situées sur le territoire national.

Légifrance utilise des solutions de sécurité pour se protéger contre les attaques par déni de service distribuées (DDOS). Ce dispositif, à l’heure actuelle mis en œuvre par la société Imperva, peut entraîner l’affichage d’IP Américaine lorsque l’on interroge le Site via des outils techniques. Cependant aucune donnée personnelle ne transite par les Etats-Unis, les données utilisateurs sont stockées sur un hébergement situé en Europe. Ce n’est qu’en cas de suspicion d’agissement d’un robot ou d’une activité malveillante que cette solution de protection s’active et fait passer plusieurs défis afin de sécuriser le Site :

  1. Dépôt d’un cookie technique pour vérifier qu’il s’agit bien d’un navigateur ;
  2. Un test javascript sur le navigateur ;
  3. La résolution d’un captcha : affichage du reCAPTCHA Google par la solution de sécurité. La suppression de l’usage de ce reCAPTCHA est en cours d’étude avec la société titulaire du marché.

A noter : Le Captcha utilisé sur Légifrance pour protéger les textes contenant des données à caractère personnel (et notamment les informations nominatives à accès protégé tels que les décrets de naturalisation, les listes portant promotion etc.) est quant à lui basé sur une solution respectueuse du RGPD.

[Politique de confidentialité modifiée le 4 juillet 2023 pour apporter des précisions sur la gestion des cookies et informer sur le fonctionnement des outils de sécurité utilisés sur le site Légifrance]