Nous vous informons ci-après du traitement de vos données à caractère personnel sur la plateforme collaborative de la ville de Wiesbaden, basée sur Nextcloud, ainsi que des droits dont vous disposez en vertu de la réglementation relative à la protection des données. 

Le responsable du traitement au sens du règlement général sur la protection des données (RGPD) et des autres lois nationales sur la protection des données des États membres, ainsi que de toute autre disposition relative à la protection des données, est  

En ce qui concerne les traitements de données liés à l'enregistrement et à l'exploitation de Nextcloud par la ville de Wiesbaden : 

Ville de Wiesbaden
, représentée par le Magistrat

Service de l'innovation, de l'organisation et de la numérisation
Unité organisationnelle : 150230
Hasengartenstraße 21
65189 Wiesbaden
Téléphone : 0611 314163
E-mail : appservicewiesbadende 

En ce qui concerne le stockage des données à caractère personnel contenues dans les fichiers partagés ainsi que leur transmission par la ville de Wiesbaden :

Les services et départements concernés de la ville de Wiesbaden
Schlossplatz 6
65183 Wiesbaden
Téléphone : 0611 310
E-mail : buergerreferatwiesbadende 

Dans la mesure où des personnes externes téléchargent des données via Nextcloud, la responsabilité en matière de protection des données pour la transmission à la ville de Wiesbaden leur incombe. Il en va de même pour la réutilisation des données obtenues via Nextcloud. 

Délégué à la protection des données de la ville de Wiesbaden
Délégué à la protection des données de la ville de Wiesbaden
Wilhelmstraße 32
65183 Wiesbaden
Téléphone : 0611 313083
E-mail : datenschutzwiesbadende

Le délégué à la sécurité de l'information de la ville de Wiesbaden
Hasengartenstraße 21
65189 Wiesbaden
Téléphone : 0611 31780
E-mail : it-sicherheitwiesbadende

La plateforme basée sur l'application open source Nextcloud (ci-après dénommée « Nextcloud ») est un service centralisé de stockage dans le cloud doté de fonctionnalités supplémentaires intégrées pour le stockage et le partage de documents. Elle est accessible à tous les collaborateurs de la ville de Wiesbaden et sert à la collaboration numérique au sein de l'administration ainsi qu'avec des partenaires externes. À cette fin, certaines personnes externes se voient accorder un accès à la plateforme de collaboration de la ville de Wiesbaden basée sur Nextcloud afin d’échanger des fichiers et de collaborer dans le cadre de projets.

Le système « Nextcloud », avec le module « Nextcloud Files », sert au stockage et au partage de fichiers et est accessible à tous les collaborateurs de la ville de Wiesbaden. Il repose sur le logiciel open source « Nextcloud » de la société allemande Nextcloud GmbH.

La mise à disposition et l’exploitation technique de Nextcloud sont assurées par la société WIVERTIS GmbH au sein du centre de données municipal. La gestion technique du système est assurée par les collaborateurs du service Innovation, Organisation et Numérisation, département Gestion informatique, de la ville de Wiesbaden.

L'application « Keycloak » est chargée de l'authentification et de l'autorisation des utilisateurs et est utilisée en association avec Nextcloud. Elle sert notamment à l'authentification et à l'autorisation des comptes d'utilisateurs externes ainsi qu'à la gestion des identités.  

Le traitement de vos données dans Nextcloud est effectué aux fins professionnelles suivantes :

• Stockage de fichiers à des fins de collaboration professionnelle au sein de l'administration de la ville de Wiesbaden.
• Partage de fichiers entre les différents services et administrations.
• Partage temporaire de fichiers avec des prestataires de services ou des partenaires de coopération externes de la ville de Wiesbaden.
• Gestion des droits d'accès aux fichiers partagés avec des tiers ou au sein de l'administration municipale.
• Garantie de la sécurité et du bon fonctionnement de tous les services nécessaires au fonctionnement du système.

Lors de l'utilisation des applications « Nextcloud », les types de données suivants sont nécessaires ou générés par l'utilisation de l'application.

a. Données d'inventaire et d'authentification :

• Nom d'utilisateur : l'identifiant (interne) ainsi que l'adresse e-mail (externe) avec lesquels une modification a été apportée aux fichiers ;
• Groupe d'utilisateurs réservé aux collaborateurs de la LHW ;
• Coordonnées (professionnelles) (par exemple, adresse e-mail, numéro de téléphone) ou (privées/externes) (par exemple, adresse e-mail) ;
• Données personnelles : prénom et nom :
• Rôle et appartenance à une équipe : unité organisationnelle pour les collaborateurs de la LHW ;
• Données saisies à titre facultatif dans les informations personnelles de Nextcloud (numéro de téléphone, lieu, date de naissance, langue, paramètres régionaux, premier jour de la semaine de travail, site web, X-Handle, nom en ligne dans le Fediverse, photo de profil).

b. Données administratives :

Chaque accès à une page de l'application « Nextcloud » et chaque consultation d'un fichier stocké sont consignés dans des fichiers journaux par un serveur web. Le stockage sert à des fins internes et liées au système. Sont consignés :

• le fichier demandé ;
• le nom du fichier ;
• la date et l'heure de la demande ;
• le volume de données transférées ;
• le statut de l'accès (fichier introuvable, fichier transféré, etc.).

c. Données techniques :

• l'adresse IP du terminal accédant (externe ou interne) sur le serveur web/proxy web ;
• le type de navigateur web utilisé ;
• la date de connexion ;
• début de la session ;
• Données techniques d'utilisation (par exemple, contenu du cache, données d'index générées, versions, messages d'erreur, fichiers journaux) ;
• Données techniques dans la base de données (par exemple, date de connexion, début de session), qui sont lues directement à partir de l'AD (Active Directory) municipal ou d'autres systèmes similaires à l'AD (par exemple Keycloak). Aucun enregistrement n'est effectué dans le cadre de la procédure ni sur les systèmes concernés.
• Cookies : sur le site interne https://cloud.wiesbaden.de (S'ouvre dans un nouvel onglet) et le site externe https://ext.cloud.wiesbaden.de/login (S'ouvre dans un nouvel onglet), seuls les cookies absolument nécessaires à l'utilisation de Nextcloud sont utilisés. Vous trouverez de plus amples informations sur les cookies via le lien suivant : https://docs.nextcloud.com/server/latest/admin_manual/gdpr/cookies.html (S'ouvre dans un nouvel onglet)

d. Données de contenu et catégories particulières de données à caractère personnel :

• Données de contenu et de communication générées par les utilisateurs internes et externes (par exemple, documents, graphiques, images, fichiers audio et vidéo, notes et commentaires).
• Le contenu des documents stockés dans Nextcloud est indirectement concerné. D'un point de vue technique, il ne peut être exclu que les documents stockés contiennent des données à caractère personnel. En outre, il est possible que ces documents ou autres fichiers de contenu contiennent des informations sensibles, confidentielles ou à caractère personnel au sens de l'article 4, paragraphe 1, du RGPD. Cela inclut notamment les données soumises à une protection particulière conformément à l'article 9, paragraphe 1, du RGPD, ainsi que les informations concernant des personnes physiques vulnérables, en particulier les enfants. Il n'y a pas de détection ou de traitement automatique de tels contenus.

Le traitement des données à caractère personnel des agents municipaux s'effectue sur la base du contrat de travail ou dans le cadre de l'exercice de leurs fonctions au quotidien.

La responsabilité en matière de protection des données pour le traitement (en particulier le stockage et la transmission) des données à caractère personnel contenues dans les documents téléchargés par la ville incombe aux services et administrations concernés. Ceux-ci doivent notamment s'assurer qu'il existe une base juridique pour la transmission de données via Nextcloud. Il en va de même pour le stockage et le traitement ultérieur des données téléchargées par des personnes externes.

Les bases juridiques du traitement des données sont les suivantes :

• l'article 6, paragraphe 1, point a), du RGPD, dans la mesure où le traitement est fondé sur le consentement de la personne concernée ;
• Art. 6, al. 1, let. b du RGPD, dans la mesure où le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.
• Art. 6, al. 1, let. c du RGPD en liaison avec une disposition du droit communautaire ou du droit national, dans la mesure où le traitement est nécessaire au respect d'une obligation légale ;
• Art. 6, al. 1, let. e du RGPD en liaison avec une base juridique du droit communautaire ou du droit national, dans la mesure où le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

Aux fins susmentionnées, il est impératif de collecter et de traiter les données à caractère personnel indiquées, car les différentes étapes du processus s'enchaînent. Seules les données nécessaires à la création d'un profil ainsi qu'au bon fonctionnement technique du logiciel sont traitées. 

En principe, nous traitons et conservons vos données à caractère personnel uniquement pendant la durée nécessaire à la réalisation de la finalité du traitement.

Sauf indication contraire ci-dessous concernant la durée de conservation, vos données seront supprimées ou bloquées dès que la finalité de leur conservation n'aura plus lieu d'être. 

Les données à caractère personnel des agents municipaux sont conservées pendant toute la durée de leur utilisation à des fins professionnelles et de leur affiliation à l'administration municipale. C'est notamment le cas :

• en cas d'utilisation active de Nextcloud,
• pendant l'appartenance à un service, une direction ou un département de la ville de Wiesbaden (LHW),

Lors du départ, les données personnelles sont automatiquement supprimées de Nextcloud.

Les données des utilisateurs externes ne disposant pas d'un compte utilisateur sont conservées tant qu'au moins l'une des conditions suivantes est remplie :

• des dossiers ou des fichiers ont été partagés activement par des employés municipaux ;
• Il existe une obligation légale de conservation.
• La date d'expiration définie dans le cadre du partage n'est pas encore atteinte.

Une fois que toutes les conditions susmentionnées ne sont plus remplies, les données des utilisateurs sont supprimées, sauf si d'autres motifs juridiques s'opposent à cette suppression.

Les données des utilisateurs externes disposant d'un compte utilisateur sont enregistrées au même titre que celles des utilisateurs externes ne disposant pas de compte utilisateur. En outre, les données suivantes sont collectées pour les comptes d'utilisateurs externes :

• Les données à caractère personnel des utilisateurs externes ne sont collectées et enregistrées que dans la mesure où elles sont nécessaires à la création d'un compte utilisateur avec un accès complet à l'instance Nextcloud externe.
• La gestion et l'attribution des autorisations sont assurées par le service d'assistance du service spécialisé via une interface utilisateur externe distincte.
• Les comptes d'utilisateurs externes sont désactivés après trois mois d'inactivité et supprimés après un délai de blocage défini.
• La réactivation des comptes d'utilisateurs externes désactivés est uniquement possible par le service d'assistance du service spécialisé, qui est responsable de la gestion des utilisateurs externes.

Une fois que toutes les conditions susmentionnées ne sont plus remplies, les données des utilisateurs sont supprimées, sauf si d'autres raisons juridiques s'opposent à cette suppression.

• Au sein de l'interface Nextcloud, les utilisateurs peuvent fournir, à titre facultatif, des informations personnelles (par exemple, des informations de profil).
• Ces informations peuvent être supprimées à tout moment par l'utilisateur lui-même.
• À défaut d'une suppression manuelle, les données fournies volontairement sont automatiquement supprimées lors de la suppression du compte utilisateur concerné.

La suppression des données à caractère personnel s'effectue conformément aux exigences en matière de protection des données. Elle dépend de la finalité de l'utilisation, des responsabilités organisationnelles et des caractéristiques techniques du système.

Suppression de documents

• En principe, les administrateurs ne procèdent pas à la suppression de documents au niveau du système.
• La responsabilité de la suppression des données de contenu et de communication (par exemple, les fichiers dans les dossiers de groupe ou de projet) incombe aux utilisateurs concernés. Ceux-ci ont à tout moment la possibilité de supprimer eux-mêmes les contenus qu’ils ont créés.
• Les documents stockés dans le dossier personnel des employés municipaux sont supprimés après leur départ du service, conformément aux directives du processus de gestion des utilisateurs.

Suppression et modification des autorisations d'utilisateur

• La modification ou la suppression des autorisations d'utilisateur ainsi que l'ajustement des appartenances à des groupes s'effectuent dans le cadre du processus standardisé de gestion des utilisateurs de la ville. La suppression des contenus personnels s'effectue automatiquement lors de la suppression du compte utilisateur à la fin du contrat au sein de l'administration municipale.
• Ce processus est établi sur le plan organisationnel et technique et fait l'objet d'une surveillance continue par les services compétents.
• Les processus et les délais de suppression des comptes d'utilisateurs externes sont décrits dans les informations relatives à la protection des données de l'application « Keycloak ».

Données de journalisation

• Les fichiers journaux générés dans le cadre de l'utilisation du système sont stockés en toute sécurité sur tous les systèmes concernés de WIVERTIS GmbH pendant environ 30 jours.
• La suppression de ces données de journal s'effectue selon un processus continu : les anciennes données sont automatiquement écrasées par les nouvelles.
• L'analyse ou la fusion des informations de journalisation n'a lieu que dans le cadre d'une analyse des erreurs, dans la mesure où cela est techniquement nécessaire.
• En règle générale, il n'est pas possible d'établir un lien direct avec des personnes ; il n'y a pas de recoupement systématique avec d'autres bases de données.
• Il n'y a pas de stockage ou d'analyse des journaux au-delà de ce cadre.

Un stockage peut toutefois avoir lieu en cas de litige (imminent) avec vous ou de toute autre procédure judiciaire, ou si le stockage est prévu par des dispositions légales auxquelles nous sommes soumis en tant que responsable du traitement. Les données sont également bloquées ou supprimées à l'expiration du délai de conservation prescrit par les normes susmentionnées, sauf si une conservation supplémentaire est nécessaire de notre part et qu'il existe une base juridique à cet effet.

Les données à caractère personnel des employés municipaux sont intégrées dans Nextcloud exclusivement via l'Active Directory municipal. Les données à caractère personnel des utilisateurs externes disposant d'un compte utilisateur externe sont stockées exclusivement dans l'application « Keycloak ». Par ailleurs, aucune autre donnée à caractère personnel n'est actuellement collectée et stockée dans Nextcloud.

Les fichiers journaux générés sont réduits au strict minimum technique et sont conservés en toute sécurité pendant environ 30 jours sur tous les systèmes de la société WIVERTIS GmbH impliqués dans le traitement. Ils sont ensuite écrasés dans le cadre d'un processus automatisé et continu. Les heures de connexion et de déconnexion des utilisateurs municipaux ne sont pas enregistrées. L'analyse ou le regroupement des informations qu'ils contiennent n'ont lieu que dans le cadre d'une analyse des erreurs nécessaire. Il n'est pas possible d'identifier des personnes individuelles et il n'y a pas de stockage supplémentaire ni de regroupement avec d'autres données.

La suppression de documents dans les dossiers de groupe ou de projet n'est pas effectuée au niveau administratif. Les utilisateurs ont à tout moment la possibilité de supprimer eux-mêmes les données de contenu et de communication qu'ils ont générées. Les documents stockés dans le dossier personnel sont supprimés en conséquence lors du départ de l'employé municipal ou lors de la suppression du compte d'utilisateur externe.

Les données partagées par la ville de Wiesbaden via Nextcloud sont transmises aux destinataires des partages. Par ailleurs, les données que nous conservons ne sont en principe pas transmises à des tiers.

Toutefois, pour remplir nos missions et nos obligations, il peut s'avérer nécessaire que nous communiquions les données à caractère personnel vous concernant à des personnes physiques et morales, des autorités, des institutions ou d'autres organismes. 

Les catégories de destinataires suivantes sont notamment concernées :

Au sein du prestataire informatique municipal WIVERTIS GmbH, tous les administrateurs de Nextcloud ont accès à l'ensemble des données de toutes les personnes. La société WIVERTIS GmbH est le sous-traitant de la ville de Wiesbaden conformément à l'article 28 du RGPD.

WIVERTIS GmbH ne fait pas appel à des sous-traitants pour l'exploitation de Nextcloud et ne transmet donc aucune donnée à des tiers dans le cadre de l'exploitation technique.

Au sein des services, départements et divisions municipaux, l'accès aux données dans le cadre de l'utilisation de Nextcloud est régi par le concept de droits et de rôles.

L'utilisation du service est soumise à un concept différencié de rôles et d'autorisations qui régit l'accès aux données et aux fonctions en fonction du rôle attribué. Les employés municipaux bénéficient d'un accès de base aux dossiers administratifs et personnels qui les concernent.

Les autorisations administratives étendues pour la gestion des dossiers de projet, des groupes ou pour l'administration technique du système sont exclusivement réservées à des rôles spécialisés tels que les administrateurs de projet, de service ou du système. Les utilisateurs externes peuvent se voir accorder l'accès à des contenus explicitement partagés avec eux, soit de manière temporaire via des liens publics sans compte personnel, soit de manière permanente via un compte utilisateur distinct avec accès à l'interface web.

Chaque utilisateur est tenu d'utiliser le service exclusivement dans le cadre du rôle qui lui a été attribué et des autorisations qui y sont associées.

Les personnes externes qui accèdent à Nextcloud depuis l'extérieur du réseau municipal ne peuvent accéder aux données que s'il existe une base juridique justifiant la divulgation des données ou si un consentement a été donné.

En principe, les données que nous conservons ne sont pas transmises à des entités situées dans des pays tiers ni à des organisations internationales. Cela ne peut avoir lieu que dans des cas exceptionnels bien précis, conformément aux conditions prévues aux articles 44 et suivants du RGPD.

Si des données à caractère personnel vous concernant sont traitées, vous êtes une personne concernée au sens du RGPD et vous disposez des droits suivants vis-à-vis du responsable :

Conformément à l'article 15 du RGPD, vous pouvez demander des informations sur les données à caractère personnel que nous traitons. Dans votre demande d'accès, vous devez préciser votre demande afin de nous aider à rassembler les données nécessaires. Veuillez noter que votre droit d'accès est limité par les dispositions des §§ 24 al. 2, 25 al. 2, 26 al. 2 et 33 HDSIG.

Si les données vous concernant ne sont pas (plus) exactes, vous pouvez en demander la rectification conformément à l'article 16 du RGPD. Si vos données sont incomplètes, vous pouvez demander à ce qu'elles soient complétées.

Vous pouvez demander l'effacement de vos données personnelles dans les conditions de l'article 17 du RGPD et du § 34 de la HDSIG. Votre droit à l'effacement dépend entre autres de la question de savoir si nous avons encore besoin des données vous concernant pour l'accomplissement de nos tâches légales.

Dans le cadre des dispositions de l'article 18 du RGPD, vous avez le droit d'exiger une limitation du traitement des données vous concernant.

Conformément à l'article 21 du RGPD, vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement des données vous concernant. Toutefois, nous ne pouvons pas toujours y donner suite, par exemple lorsqu'une disposition légale nous oblige à traiter des données dans le cadre de l'accomplissement de nos tâches officielles, au sens du § 35 HDSIG.

Si le traitement des données repose sur votre consentement (art. 6, al. 1, 1° a du RGPD, art. 9, al. 2 a du RGPD), vous avez le droit de retirer ce consentement à tout moment avec effet pour l'avenir. Veuillez noter que la révocation n'affecte pas la licéité du traitement des données effectué sur la base du consentement jusqu'à la révocation ; celui-ci ne devient donc pas illicite a posteriori du fait de la révocation. 

L'autorité de contrôle compétente en matière de protection des données est :
Le délégué à la protection des données et à la liberté
d'information de la Hesse Gustav-Stresemann-Ring 1
65189 Wiesbaden
Téléphone : 0611 14080
E-mail : poststelledatenschutz.hessende