Politique externe de protection des données

Sommaire

• Préambule
• 1. Objet
• 2. Responsable de traitement
• 3. Catégories des données collectées
• 4. Finalités des données collectées
• 5. Destinataires des données
• 6. Durée de conservation des données collectées
• 7. Droits des personnes concernées
  • 7.1 Droit d’accès
  • 7.2 Droit de rectification
  • 7.3 Droit à l’effacement
  • 7.4 Droit à la limitation du traitement
  • 7.5 Droit à l’opposition au traitement
  • 7.6 Droit à la portabilité des données
  • 7.7 Droit d’introduire une réclamation auprès d’une autorité de contrôle
  • 7.8 Droit de définir des directives relatives au sort de vos données après votre décès
  • 7.9 Modalités d’exercice des droits
• 8. Sécurité du traitement
• 9. Loi applicable et juridiction compétente
• 10. Informations additionnelles

---

Préambule

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ( Règlement Général sur la Protection des Données ) et la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ( Loi Informatique et Libertés ) fixent le cadre juridique applicable aux traitements de données à caractère personnel.

Dans le cas de son activité, l’association MiNET, le responsable de traitement, par l’intermédiaire de son club HackademINT est susceptible de traiter des données à caractère personnel vous concernant.

Vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition sur vos données. Vous pouvez exercer ces droits en contactant notre délégué à la protection des données de plusieurs façons :

• par courrier électronique à l’adresse dpo@minet.net ;
• par courrier postal à l’adresse : Délégué à la Protection des Données, MiNET, 5 rue Charles Fourier, 91011 Évry Cedex, France.

En cas de non-conformité relative au traitement de vos données, vous pouvez introduire une réclamation ou une plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL) :

• via leur service en ligne https://www.cnil.fr/fr/plaintes ;
• par courrier postal à l’adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07, France.

---

1. Objet

Cette politique a pour objet d’informer les utilisateurs, des modalités de collecte, de traitement, et d’utilisation de leurs données personnelles et de leurs droits en matière de protection de ces données au regard du RGPD et de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.

---

2. Responsable de traitement

Le responsable de traitement, par l’intermédiaire de son club HackademINT réalise un traitement de données à caractère personnel, en tant que responsable du traitement. Elle est représentée par son Président (dont l’identité civile est disponible à la page https://minet.net/fr/equipe/).

Adresse : 5 rue Charles Fourier – 91011 Évry Cedex - France Courriel : webmaster@minet.net

---

3. Catégories des données collectées

Dans le cadre de l’utilisation du site https://ctf.404ctf.fr plusieurs types de données à caractère personnel peuvent être collectés. Principalement, les données collectées correspondant aux catégories suivantes :

1. données d’identification (nom, prénom ou pseudo, et mot de passe) ;
2. données aux fins de communication (adresse de courrier électronique) ;
3. données résultantes de vos activités sur le site et en particulier les données issues des challenges (réponses soumises, points ...) ;
4. données de connexion (adresses IPv4 et IPv6) ;

---

4. Finalités des données collectées

Dans le cadre du site https://ctf.404ctf.fr, la collecte de données personnelles est nécessaire aux fins des intérêts légitimes par le responsable de traitement, par l’intermédiaire de son club HackademINT, et a comme finalité :

1. la gestion et l’amélioration de l’accès et du fonctionnement du service ;
2. la constitution des fiches joueurs ;
3. le classement des joueurs sur le site ;
4. le développement d’un outil d’anti-triche.

La base juridique de ces traitements est l’intérêt légitime à fournir un service d’activités ludiques auxquels les internautes souscrivent librement ou encore à répondre au mieux à toute éventuelle sollicitation. Les champs identifiés dans les formulaires d’inscription ou de contact sont strictement nécessaires à la finalité poursuivie par le responsable de traitement, par l’intermédiaire de son club HackademINT. En l’absence de réponse ou si les informations fournies sont erronées, le responsable de traitement, par l’intermédiaire de son club HackademINT ne pourra pas garantir la qualité du service fourni.

---

5. Destinataires des données

Les informations communiquées par l’utilisateur sont destinées au personnel habilité du club HackademINT, de l’association MiNET, ainsi qu’aux personnes habilitées de Télécom SudParis et de la DGSE (Direction Générale de la Sécurité Extérieure). Toute personne est tenue à une obligation de confidentialité. Les informations seront conservées sur les serveurs français de l’entreprise OVHcloud, par le biais du compte administratif d'HackademINT.

L’association MiNET s’engage à ne pas transférer vos données personnelles hors de l’UE.

---

6. Durée de conservation des données collectées

Le responsable de traitement, par l’intermédiaire de son club HackademINT, conserve les données collectées via le site https://ctf.404ctf.fr pour des durées spécifiques en fonction de leurs finalités :

• Développement d’un outil d’anti-triche : Les données collectées à cette fin seront conservées pendant 12 mois.
• Données des joueurs :
  • Pour les 100 premiers joueurs, les données seront conservées pendant 12 mois après la fin de la compétition.
  • Pour les autres joueurs, leurs données seront conservées pendant toute la durée de la compétition (jusqu’au 01/06/25).

---

7. Droits des personnes concernées

Ce paragraphe est issue de la politique de confidentialité des données de MiNET: https://minet.net/fr/legal/politique-de-confidentialite/#8-droits-des-personnes-concern%C3%A 9es. MiNET est particulièrement attachée au respect des droits des personnes concernées par les traitements de données à caractère personnel qu’elle met en œuvre. La présente section a pour objet de détailler les droits dont vous disposez à cet égard mentionnés au préambule.

---

7.1 Droit d’accès

Vous avez le droit d’obtenir de MiNET la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi que les informations suivantes :

• les finalités du traitement ;
• les catégories de données à caractère personnel concernées ;
• les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
• lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
• l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel vous concernant, du droit de demander la limitation du traitement relatif à votre personne ou du droit de vous opposer audit traitement ;
• le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• lorsque les données à caractère personnel ne sont pas collectées auprès de vous, toute information disponible quant à leur source ;
• l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22 du RGPD et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour les personnes concernées.

Lorsque des données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, vous avez le droit d’être informé des garanties appropriées au titre de l’article 46 du RGPD relatives au transfert.

MiNET peut facturer des frais n’excédant pas le coût de la reproduction pour toute copie supplémentaire demandée. Lorsque vous présentez la demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que vous ne demandiez qu’il en soit autrement.

Lorsque que les demandes présentent un aspect manifestement abusif ou excessif notamment par leur nombre, leur caractère répétitif ou systématique, MiNET peut refuser de donner suite à la demande.

---

7.2 Droit de rectification

Vous avez le droit d’obtenir de MiNET, dans les meilleurs délais, que vos données à caractère personnel soient rectifiées et complétées lorsque celles-ci sont inexactes, incomplètes, équivoques ou périmées.

Il est rappelé que vous pouvez également procéder à la rectification de certaines de vos données à caractère personnel directement depuis votre espace adhérent.

---

7.3 Droit à l’effacement

Vous avez le droit d’obtenir de MiNET l’effacement, dans les meilleurs délais, de vos données à caractère personnel lorsque l’un des motifs suivants s’applique :

• les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
• vous retirez le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
• vous vous opposez au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
• les données à caractère personnel ont fait l’objet d’un traitement illicite ;

Ce droit n’est pas un droit général et il ne pourra y être fait droit si la situation ou le traitement de données relevait :

• de l’exercice du droit à la liberté d’expression et d’information ;
• du respect d’une obligation légale qui requiert le traitement prévue par le droit auquel MiNET est soumise ;
• de fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89 paragraphe 1 du RGPD, dans la mesure où le droit visé au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ; ou
• de la constatation, l’exercice ou la défense de droits en justice.

Ainsi, si aucun des motifs susmentionnés ne s’applique, MiNET ne pourra donner suite à votre demande d’effacement de vos données à caractère personnel.

---

7.4 Droit à la limitation du traitement

Vous avez le droit d’obtenir de MiNET la limitation du traitement lorsque l’un des éléments suivants s’applique :

• vous contestez l’exactitude des données à caractère personnel, pendant une durée permettant à MiNET de vérifier l’exactitude des données à caractère personnel ;
• le traitement est illicite et vous vous opposez à leur effacement et exigez à la place la limitation de leur utilisation ;
• MiNET n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice ;
• vous vous êtes opposé au traitement en vertu de l’article 21 paragraphe 1 du RGPD pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par MiNET prévalent sur les vôtres.

Lorsque le traitement a été limité, les données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec votre consentement ou pour la constatation, l’exercice ou la défense de droits en justice ou pour la protection des droits d’une autre personne physique ou morale ou pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

Vous serez informé par MiNET avant que la limitation du traitement ne soit levée.

---

7.5 Droit à l’opposition au traitement

Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement des données à caractère personnel vous concernant lorsque le traitement est fondé sur l’article 6 paragraphe 1 point e ou f du RGPD, y compris un profilage fondé sur ces dispositions.

MiNET ne traitera plus les données à caractère personnel, à moins qu’elle ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur vos intérêts et vos droits et libertés, ou pour la constatation, l’exercice ou la défense de droits en justice.

---

7.6 Droit à la portabilité des données

Vous avez le droit de recevoir les données à caractère personnel vous concernant que vous avez fournies à MiNET, dans un format structuré, couramment utilisé et lisible par machine, et avez le droit de transmettre ces données à un autre responsable du traitement sans que MiNET y fasse obstacle, lorsque :

• le traitement est fondé sur le consentement prévu à l’article 6 paragraphe 1 point a ou à l’article 9 paragraphe 2 point a du RGPD ou sur un contrat prévu à l’article 6 paragraphe 1 point b du RGPD ; et
• le traitement est effectué à l’aide de procédés automatisés.

Dans l’exercice de votre droit à la portabilité des données, vous avez le droit d’obtenir que les données à caractère personnel soient transmises directement de MiNET à un autre responsable du traitement, lorsque cela est techniquement possible.

Ce droit ne porte que sur les données que vous avez fournies à MiNET et ne s’applique pas aux données techniques relatives aux équipements terminaux utilisés susmentionnées.

Le droit à la portabilité des données ne doit pas porter atteinte aux droits et libertés d’autrui.

Vous pouvez demander la portabilité de vos données selon la procédure décrite à la section 7.9 en précisant si vous souhaitez que les données vous soient transmises ou directement à

un autre responsable de traitement. Dans ce dernier cas, vous devrez fournir les coordonnées et la dénomination exacte du responsable de traitement destinataire.

---

7.7 Droit d’introduire une réclamation auprès d’une autorité de contrôle

Vous avez le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel.

Vous pouvez saisir la CNIL par tout moyen mentionné au préambule.

Vous pourrez également introduire un recours devant les juridictions administratives ou juridictionnelles compétentes si vous considérez que le traitement de vos données à caractère personnel constitue une violation des textes applicables.

---

7.8 Droit de définir des directives relatives au sort de vos données après votre décès

Vous avez le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel après votre décès selon les modalités prévues à la section 7.9.

Vous disposez également du droit de désigner une personne chargée de l’exécution de ces directives. À défaut de désignation, vos héritiers seront chargés de l’exécution de ces directives.

Vous pouvez modifier ou révoquer ces directives à tout moment.

---

7.9 Modalités d’exercice des droits

Tous les droits susmentionnés peuvent être exercés auprès de MiNET en contactant notre délégué à la protection des données par tout moyen mentionné au préambule, pour rappel :

• par voie électronique à l’adresse dpo@minet.net ;
• par voie postale en s’adressant à : Délégué à la Protection des Données, MiNET, 5 rue Charles Fourier, 91011 Évry Cedex, France.

L’exercice de ces droits supposent que vous puissiez justifier de votre identité par tout moyen en application de l’article 77 du décret n°2019-536 du 29 mai 2019. Cette exigence vise à éviter toute divulgation de vos données à caractère personnel à une personne non autorisée à en recevoir communication.

MiNET s’engage à répondre à votre demande dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en raison de nombreuses demandes simultanées ou concomitantes dans le laps de temps imparti ou d’une certaine complexité de fond ou de forme relative à ladite demande. Dans ce cas, MiNET vous informera de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.

---

8. Sécurité du traitement

HackademINT, club de l’association MiNET met en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la sécurité et de la confidentialité de vos données à caractère personnel. Ces mesures sont mises en œuvre en tenant compte de l’état de l’art, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques identifiés. Cependant, la sécurité totale n’existant pas, celle de vos données ne peut être garantie. Toutefois, MiNET fera ses meilleurs efforts pour assurer un niveau de sécurité optimal.

En cas de violation de données à caractère personnel, et que cet incident constitue un risque au regard de la vie privée des personnes concernées, MiNET s’engage à respecter l’obligation de notification auprès de la CNIL et, le cas échéant, auprès de vous, et ce dans les meilleurs délais.

---

9. Loi applicable et juridiction compétente

La présente politique de confidentialité est régie par le droit français et celui de l’Union. En cas de litige relatif à la validité, l’interprétation ou à l’exécution de la présente politique, les parties s’efforceront de résoudre le litige à l’amiable. À défaut, les tribunaux français seront seuls compétents pour connaître de ce litige.

---

10. Informations additionnelles

Pour toute information complémentaire, vous pouvez contacter MiNET par tout moyen mentionné au préambule et à la section 7.9.

Pour toute autre information plus générale relative à la protection des données à caractère personnel, vous pouvez consulter le site de la CNIL : http://www.cnil.fr.