Mon Compte Formation - Protection des données personnelles

Protection des données personnelles

La présente politique de protection des données à caractère personnel (« Politique ») est destinée à l’ensemble des Titulaires de compte personnel de formation (ci-après le ou les « Titulaire(s) ») de l’interface « Titulaire du compte » du site Mon Compte Formation. Elle décrit quels types de données à caractère personnel le Ministère du Travail (ci-après, « la DGEFP ») et la Caisse des Dépôts (ci-après, « la Caisse des Dépôts ») peuvent être amenés à collecter et la manière dont ils peuvent être amenés à les traiter dans le cadre de la gestion du site Mon Compte Formation.

Toutes les opérations sur les données à caractère personnel des Titulaires sont réalisées en vertu de la réglementation en vigueur notamment le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ainsi que la loi n°78-17 « Informatique, Fichiers et Libertés » du 6 janvier 1978.

Cette Politique peut être modifiée, complétée ou mise à jour afin notamment de se conformer à toutes évolutions législatives, réglementaires, jurisprudentielles ou techniques. Afin d’être toujours pleinement informés, les Titulaires doivent se référer avant toute navigation à la dernière version de la Politique.

1. Qui collecte les données à caractère personnel (Identité du responsable du traitement) ?

La DGEFP, dont le siège est situé au 15, rue de Grenelle 75007 PARIS, et la Caisse des Dépôts, dont le siège est situé au 56, rue de Lille 75007 PARIS, sont conjointement responsables du traitement automatisé de données à caractère personnel dénommé SI CPF, autorisé à l’article R.6323-32 du Code du Travail.

Lorsque la DGEFP et la Caisse des Dépôts collectent les données à caractère personnel des titulaires, cette collecte est effectuée de manière loyale et transparente.

Il est précisé que les traitements de données à caractère personnel réalisés par les organismes de formation via leurs systèmes d’information et outils sont de la responsabilité de chaque organisme de formation. Ainsi, les données collectées par l’organisme de formation pour la participation à une formation d’un titulaire sont traitées sous la seule responsabilité de l’organisme de formation.

2. Quelles sont les données à caractère personnel traitées ?

Une « donnée à caractère personnel » est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.

Les principales catégories de données personnelles pouvant être collectées sont :

  • Données relatives à l’identité du Titulaire du compte personnel de formation
  • Données relatives à la vie professionnelle du Titulaire du compte personnel de formation
  • Données relatives au parcours professionnel du Titulaire du compte personnel de formation
  • Données d’ordre économique et financier relatives au Titulaire du compte personnel de formation (notamment leurs données bancaires en cas de paiement en ligne)
  • Données relatives aux droits et parcours de formation du Titulaire du compte personnel de formation
  • Et de toute autre donnée à caractère personnel nécessaire dans le cadre des finalités définies à l’article 5 des présentes.

Nous vous invitons à consulter l’annexe 1 de l’arrêté du 11 octobre 2019 relatif à la mise en œuvre du traitement automatisé de données à caractère personnel dénommé « Système d'information du compte personnel de formation » pour plus d’information.

Les données à caractère personnel vous concernant peuvent être collectées directement auprès de vous-même via notamment nos formulaires, notre site Internet, notre assistance téléphonique et vos courriers.

Quel que soit le support de la collecte, le caractère obligatoire des réponses est indiqué dans les formulaires.

Si vous ne souhaitez pas fournir de tels renseignements, vous ne pourrez pas vous inscrire au site Mon Compte Formation. Les autres informations sont destinées à mieux vous connaître et sont, par conséquent, facultatives. La DGEFP et la Caisse des Dépôts prendront toutes mesures utiles pour que les données à caractère personnel qui sont traitées soient exactes.

Les données à caractère personnel vous concernant peuvent également être collectées indirectement auprès des employeurs des titulaires et auprès des organismes autorisés par la législation et la réglementation en vigueur.

Il peut s’agir de :

  • données relatives à l’identité et à l’activité professionnelle du titulaire du CPF dont le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ;
  • données relatives au parcours professionnel du titulaire du CPF ;
  • données relatives aux droits et parcours de formation du titulaire du CPF tels que les diplômes et certifications, ou encore le montant des droits inscrits sur le CPF.

Cas de FranceConnect+ ?

Le service FranceConnect+ est une solution proposée par l’Etat, via la DINUM (Direction Interministérielle du Numérique), permettant de sécuriser et simplifier la connexion à Mon Compte Formation. Ce service est également nécessaire pour l’achat de formations.  Dans ce cadre, la DINUM est responsable de traitement du téléservice FranceConnect+. Sa politique de protection des données est accessible en consultant ce lien.

Pour utiliser FranceConnect+, vous pouvez choisir entre deux fournisseurs d’identité agréés par l’État :

  • L’Identité Numérique La Poste, opérée par la Poste dont la politique de protection des données est disponible ici
  • France Identité, opérée par l’Agence Nationale des Titres Sécurisés (ANTS) dont la politique de protection des données est disponible ici.

Le choix du fournisseur d’identité dépendra de votre éligibilité et de vos préférences personnelles.

En vous inscrivant à FranceConnect+ par l’intermédiaire du service Identité numérique La Poste, les données susceptibles d’être collectées sont :

  • Données extraites de votre pièce d’identité : civilité, nom de naissance et nom d’usage, prénom, date de naissance, pays et commune de naissance, date de délivrance, date d’expiration de la pièce d’identité, numéro de la pièce d’identité
  • Données de contact : adresse postale, numéro de téléphone mobile, adresse électronique
  • Nationalité
  • Type de la pièce d'identité

En vous inscrivant à FranceConnect+ par l’intermédiaire du service France Identité, les données susceptibles d’être collectées sont :

  • Données lues via la puce NFC de votre pièce d’identité nouvelle génération    
  • Adresse de courrier électronique

Ces traitements sont réalisés conformément aux conditions générales d’utilisation de FranceConnect+, à l’arrêté du 8 Novembre 2018 relatif au téléservice dénommé FranceConnect et au règlement (UE) n°910/2014 dit « eIDAS ».

Lorsque l’utilisateur se connecte via le service FranceConnect+, les données à caractère personnel suivantes sont échangées pour permettre l’accès à son compte activité : le sexe, le(s) nom(s), les prénoms, la date et le lieu de naissance.

En cas de non-éligibilité au service FranceConnect+, ou si vous ne souhaitez pas utiliser ce service, vous pouvez utiliser la solution alternative d’authentification proposée par la DGEFP et la Caisse des Dépôts, opérée par Docaposte, en tant que sous-traitant.

Les données et justificatifs collectés par Docaposte dans ce cadre sont les suivants :

  • Pour tous les usagers :
    • Copie du titre d’identité et données collectées dans ce cadre,
    • Nom de naissance, nom d’usage, date et lieu de naissance permettant de vérifier la pièce d’identité,
    • Vidéo du visage du titulaire du compte en cas d’utilisation de la prestation de vérification d’identité à distance (PVID) ,
    • Adresse postale, adresse courriel, numéro de téléphone,
  • Pour les mineurs (moins de 15 ans) :
    • Copie d’acte de filiation,
    • Copie de la pièce d’identité du responsable légal,
    • Le cas échéant, copie de l’acte du juge qui désigne le responsable légal,
    • Attestation d’autorisation du responsable légal
  • Pour les mineurs émancipés :
    • Copie de l’acte d’émancipation.
  • Pour les majeurs protégés :
    • Extrait de la décision de justice mentionnant l’identité du majeur protégé, celle de son représentant (tuteur, curateur, organisme tutélaire), le type de mesure de protection, l’étendue des pouvoirs du représentant et la durée de la mesure.
    • Attestation d’autorisation du représentant

4. Quels sont les destinataires du traitement ?

Les données à caractère personnel vous concernant peuvent être transmises aux catégories de destinataires externes à la Caisse des Dépôts suivantes :

  • Les organismes financeurs
  • Les organismes ayant une mission d'orientation, d'accompagnement, de formation et d'insertion
  • Les organismes autorisés à accéder aux passeports de compétence et de prévention.
  • Les organismes ayant une mission de suivi statistique des actions de formation
  • La DGEFP dans le cadre de ses missions de suivi, de pilotage, d'étude et d'évaluation des politiques publiques en matière d'emploi et de formation professionnelle
  • Les organismes chargés de la mise en œuvre du partage des données mentionné à l'article L.6353-10 du code du travail
  • Les organismes en charge de la mise en œuvre et de la gestion du droit individuel à la formation des élus locaux.
  • Les organismes de formation et leurs sous-traitants pour leur mission de traitement des demandes d'inscription des titulaires à des formations
  • France Compétence pour assurer les missions mentionnées aux dispositions de l'article L.6123-5 du Code du Travail et afin que la Caisse des Dépôts lui rende compte de sa gestion du compte personnel de formation
  • Les organismes en charge de la validation des acquis de l'expérience

La liste exhaustive des destinataires est détaillée en annexe 3 de l’arrêté du 11 octobre 2019.

Les données à caractère personnel sont susceptibles d’être traitées par la Caisse des Dépôts dans le cadre de son traitement relatif à la gestion des précontentieux et contentieux. 

5. Quelles sont les finalités de traitement des données à caractère personnel et la base légale applicable ?

La base légale du traitement de données à caractère personnel est le respect d’une obligation légale à laquelle les responsables du traitement DGEFP et Caisse des Dépôts sont soumis, et le consentement des utilisateurs lorsque cela est requis par la réglementation en vigueur notamment pour la gestion des cookies.

Conformément aux dispositions de l'article L. 6323-8 du Code du travail, est autorisée la création, par le ministre chargé de la formation professionnelle, d'un traitement automatisé de données à caractère personnel dénommé Système d'information du compte personnel de formation (SI-CPF), permettant la gestion des droits inscrits sur le compte personnel de formation, la gestion du parcours de formation du titulaire du compte, la mise à disposition des informations relatives à l'offre de formation et la prise en charge des actions de formation de l'inscription du titulaire du compte aux formations jusqu'au paiement des prestataires mentionnés à l'article L. 6351-1, dont les finalités relatives aux Titulaires de comptes sont :

  • La gestion et le contrôle des droits acquis au titre du compte personnel de formation et au titre du droit individuel à la formation des élus locaux, ainsi que des abondements en droits complémentaires, accessible via un service dématérialisé mis en place à cet effet ;
  • L'information du titulaire du compte personnel de formation ou de droits individuels à la formation des élus locaux ;
  • La prise en charge des actions de formation, de l'inscription jusqu'au paiement des prestataires mentionnés à l'article L. 6351-1 du présent code ainsi que des organismes mentionnés à l'article L. 1221-3 du code général des collectivités territoriales, après contrôle des actions de formation et vérification du service fait ;
  • La mise en relation du titulaire du compte personnel de formation ou de droits individuels à la formation des élus locaux avec les prestataires et organismes mentionnés à l'article L. 6351-1 du présent code et à l' article L. 1221-3 du code général des collectivités territoriales, conformément aux modalités prévues par les conditions générales d'utilisation du service dématérialisé mentionnées à l'article L. 6323-9 du présent code et au III de l'article L. 1621-5 du code général des collectivités territoriales ;
  • Le contrôle du respect des conditions générales d’utilisation de la plateforme du service dématérialisé mentionné à l’article L. 6323-9 ainsi que la mise en œuvre et le suivi des mesures visant à prévenir et sanctionner les manquements à ces conditions générales d’utilisation ;
  • L'analyse de l'utilisation et, l'évaluation de la mise en œuvre du compte personnel de formation, du droit individuel à la formation des élus locaux, du passeport d’orientation, de formation et de compétences, du passeport de prévention et du compte d’engagement citoyen, notamment au moyen de la statistique ;
  • La mise à disposition des services prévus au titre du compte personnel d'activité mentionnés au II de l'article L. 5151-6 par l'intermédiaire du service en ligne mentionné au I de l'article L. 5151-6 ;
  • La mise à disposition de services permettant d'accompagner le titulaire du compte personnel de formation ou de droits individuels à la formation des élus locaux dans la construction de son parcours professionnel et de lui formuler des propositions en lien avec ses préférences, ses attentes et son parcours ;
  • Le recensement des activités bénévoles ou de volontariat, l'alimentation et la mobilisation des droits inscrits sur le compte d'engagement citoyen conformément aux dispositions des articles L. 5151-7, L. 5151-8 et L. 5151-9 ;
  • La mise à disposition de services permettant au titulaire du compte personnel de formation de recenser les connaissances et compétences acquises, au cours de sa formation initiale et continue, et de sa carrière, au sein du passeport d’orientation, de formation et de compétences mentionné au dernier alinéa de l’article L. 6323-8 ;
  • La mise en œuvre et la gestion du passeport de prévention mentionné à l’article L. 4141-5 du code du travail.
  • La mise en œuvre du partage des données mentionné au deuxième alinéa de l'article L. 6353-10 ;
  • L'instruction des réclamations et des litiges ainsi que le recouvrement des sommes indûment versées, conformément aux modalités prévues par les conditions générales d'utilisation du service dématérialisé mentionnées à l'article L. 6323-9 du présent code et au III de l'article L. 1621-5 du code général des collectivités territoriales ;
  • L'accès aux formations mentionnées au I de l'article L. 1621-5 du code général des collectivités territoriales.

6. Quelle est la durée de conservation des données à caractère personnel ?

Conformément à l’article R.6323-39 du Code du travail, la DGEFP et la Caisse des Dépôts traitent et conservent les données à caractère personnel du Titulaire dans un environnement sécurisé pendant une durée de trois ans à compter de la date de son décès

Les données à caractère personnel relatives aux traces de connexion des Titulaires (identification, la date, l’heure et la nature de leur opération) sur le site Mon Compte Formation sont conservées pendant une durée d’un an à compter de leur collecte.

Dans le cas d’une formation bénéficiant de financements européens, la conservation des données est de 5 ans après l’obtention des fonds.

Pour ce qui concerne les pièces justificatives transmises par les Titulaires à Mon Compte Formation (notamment les annulations de formation et/ou la solution alternative à FranceConnect+), les données sont conservées 5 ans à compter de la collecte puis 15 ans en archives intermédiaires pour des raisons de contrôle, de recouvrement, de contentieux et lutte contre la fraude.

Dans le cadre de la gestion de la fraude et du recouvrement, certaines données peuvent être conservées pendant une durée de 20 ans à compter de leur enregistrement dans le traitement.
Les cookies sont conservés pour une durée maximum de 13 mois.

7. Comment exercer vos droits ?

Pour toute question ou difficulté relative à l’accès ou utilisation de votre compte, et de vos droits à la formation, merci de contacter les services de gestion du MCF :

  • en consultant l’aide en ligne, dans la rubrique correspondant à votre situation
  • au 0970.823.551 du lundi au vendredi de 9 heures à 17 heures (appel non surtaxé)

Conformément au RGPD, les Titulaires disposent d'un droit d'accès, de limitation et de rectification sur leurs données à caractère personnel.

Certaines données peuvent être modifiées directement par le Titulaire depuis son espace personnel : le nom d’usage, l’adresse postale, l’adresse électronique ainsi que le numéro de téléphone.

Les Titulaires ont la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de leurs données après leurs décès. Les Titulaires peuvent modifier ou révoquer ces instructions et directives concernant le sort de leurs données à caractère personnel après la mort à tout moment.

Vous pouvez retirer votre consentement à tout moment, lorsque celui-ci a été requis.

Il est précisé que le droit d’opposition ne s'applique pas au traitement de données à caractère personnel relatif au Compte Personnel de Formation (SI-CPF).

Par ailleurs, en raison des obligations légales liées au traitement SI-CPF, les données définies dans l’annexe 1 de l’arrêté du 11 octobre 2019 ne sont pas soumises au droit de suppression. Toutefois, les titulaires conservent la possibilité de se désinscrire, ce qui entraîne la suppression de l’accès et de la consultation de leur compte, ainsi que l’effacement des données qu’ils ont eux-mêmes saisies, telles que le mot de passe, les favoris ou l’historique de recherche. Vous pouvez trouver la procédure de désinscription en consultant ce lien.

Pour exercer leurs droits, ils peuvent adresser leur demande :

La Caisse des Dépôts vous informe que certaines demandes de droits nécessitent la fourniture d’une pièce d’identité, tels que :

  • le droit d’accès
  • le droit de rectification de données collectées auprès de tiers
  • le droit de limitation, selon les cas 

Si vous le souhaitez, vous pouvez encadrer l’usage de votre document en y apposant un filigrane via l’outil officiel du gouvernement : https://filigrane.beta.gouv.fr/ 

La Caisse des Dépôts s’engage à vous répondre dans un délai d’un mois, ou de trois mois en cas de demande particulièrement complexe.

9. Quelles sont les mesures de sécurité et confidentialité mises en œuvre ?

La Caisse des Dépôts et la DGEFP accordent une importance particulière à la confidentialité et la sécurité des données à caractère personnel concernant les titulaires www.moncompteformation.gouv.fr 

Elles mettent en œuvre les mesures techniques et d’organisation les plus conformes à l’état de l’art pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment dans le cadre de la transmission de données dans un réseau.

L'accès aux données à caractère personnel est strictement limité aux personnes habilitées en raison de leurs fonctions et qui sont tenus par une obligation de confidentialité.

Toutes les transmissions de données à caractère personnel aux tiers autorisés sont sécurisées.

Mon compte formation fait l’objet d’une homologation RGS annuelle.

Les données relatives au compte personnel de formation sont hébergées en France.

La Caisse des Dépôts et la DGEFP ne procèdent à aucun transfert de données à caractère personnel hors de l’Espace économique européen.

10. Vous souhaitez contacter notre DPO ?

Pour toute information complémentaire ou difficulté relative à l’utilisation de leurs données à caractère personnel, les Titulaires peuvent contacter le délégué à la protection des données (DPO) de la Caisse des dépôts par mail à l’adresse dpo@caissedesdepots.fr

Pour faciliter les échanges, nous vous invitons à nous communiquer tout élément permettant de justifier de votre identité (nom, prénom, n° de tel) ou votre demande (captures d'écran, mails, etc.).

En cas de difficulté non résolue en lien avec l’utilisation de leurs données à caractère personnel, les Titulaires peuvent saisir la CNIL.

11. Les Cookies

11.1. A propos des cookies

Nous utilisons différents cookies sur le site pour améliorer l’interactivité du site et nos services. Pour votre parfaite information, certains cookies sont indispensables à l'utilisation du site, d'autres permettent d'optimiser et de personnaliser les contenus affichés.

11.2. Qu'est-ce qu'un "cookie" ?

Un "cookie" est un fichier de taille limitée, généralement constitué de lettres et de chiffres, envoyé par le serveur internet au fichier cookie du navigateur situé sur le disque dur de votre ordinateur.

11.3. Cookies déposés par la Caisse des Dépôts à partir du site      

Vous pouvez à tout moment vous informer et paramétrer les cookies pour les accepter ou les refuser en cliquant sur le lien « gestion des cookies » présent en bas de page permettant d’ouvrir le gestionnaire de cookies ou à travers le paramétrage de votre navigateur internet "En savoir plus sur les cookies"

Nous vous rappelons que le paramétrage est susceptible de modifier vos conditions d'accès à nos services nécessitant l'utilisation de cookies.

La Caisse des Dépôts décline toute responsabilité pour les conséquences liées au fonctionnement dégradé du Site et des services éventuellement proposés, résultant (i) du refus de cookies par l'utilisateur (ii) de l'impossibilité pour le gestionnaire du Site de consulter les cookies nécessaires à leur fonctionnement du fait du choix de l'utilisateur.

Les cookies déposés par le site sont les suivants :

Cookies internes nécessaires au site pour fonctionner

Ces cookies permettent au site de fonctionner de manière optimale. Vous pouvez vous y opposer et les supprimer en utilisant les paramètres de votre navigateur, cependant votre expérience utilisateur risque d’être dégradée.

Nom du cookieFinalitéDurée de conservation
MCF_COOKIE_CONSENT_MATOMOCookie permettant d’indiquer si un utilisateur a accepté les cookies    
 		1 mois et 1 jour
MCF_COOKIE_CONSENT_AB_TASTYCookie permettant d’indiquer si un utilisateur a accepté les cookies    
 		1 mois et 1 jour
XSRF-TOKENToken de sécurité permettant d’empêcher les attaques de falsification de requête intersitessession
JSESSIONIDConserve les informations sur la session de l’utilisateur pendant la navigationsession
Tarte au citrongestionnaire de consentement12 mois

Cookies de mesure d’audience du site

En vue d’adapter le site aux demandes de ses visiteurs, nous mesurons le nombre de visites, le nombre de pages vues ainsi que l'activité des visiteurs sur le site et leur fréquence de retour.

Matomo est un outil de mesure d’audience. Les cookies ci-dessous servent uniquement à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d’autres traitements ni transmises à des tiers.

Il nous permet d’approfondir la connaissance client sur laquelle nous nous basons pour améliorer nos services de façon continue.

Nom du cookieFinalitéDurée de conservation
_pk_id 
 		 Déclaration domaine Matomo permettant de distinguer les utilisateurs du site : permet d'attribuer un ID à l'utilisateur      12 mois
_pk_ses Déclaration domaine Matomo permettant de distinguer les utilisateurs du site : permet de distinguer les (re)visites et ainsi savoir si un utilisateur est venu plusieurs fois     30 min
test_cookie Cookie Matomo permettant de vérifier si le navigateur de l’utilisateur supporte les cookies. Mais ce dernier est supposé être supprimé directement une fois que la vérification a été effectuée    Quelques millisecondes
mtm_consent   Cookie Matomo qui indique si le consentement a été validé ou non par l’utilisateur6 mois
_gcl_auCookie exploité par Google AdSense pour permettre l'utilisation des produits publicitaires et mesurer les performances entre plusieurs sites. Mesure les conversions des publicités avec le module Conversion Linker11 mois
ar_debug.


Un cookie Google qui vérifie si un cookie de débogage technique est présent.

session

Cookies destinés à améliorer l’interactivité du site

Le site de la Caisse des Dépôts s’appuie sur certains services proposés par des sites tiers, notamment AB Tasty.

AB Tasty a pour but d’améliorer l’expérience utilisateur en testant différentes versions de notre application. Il nous permet d’approfondir la connaissance client sur laquelle nous nous basons pour améliorer nos services de façon continue. Les cookies peuvent collecter des données anonymisées pour valider les choix de variations.

Nom du cookieFinalitéDurée de conservation
AB TASTY        
  		Ce cookie collecte toutes les données de testing (visitorID, IDs de tests et variations, timestamps). 13 mois
AB TASTY SESSION   Ce cookie sert à identifier une session unique. Il permet de déterminer qu’une nouvelle session commence pour un utilisateur donné. session

Cookies Youtube

Le site s’appuie sur certains services proposés par des sites tiers susceptibles de placer des cookies.  Ces cookies peuvent être déposés sur votre navigateur, avec votre consentement, par des partenaires tiers agissant en qualité de responsables de traitements. Le gestionnaire ne gère pas les cookies de ces partenaires tiers et n'a aucun contrôle ni responsabilité sur ces cookies et sur l’utilisation des données collectées par leur biais. A cet égard, nous vous conseillons de consulter la propre politique de ces partenaires tiers liée à ces cookies. Vous pouvez à tout moment paramétrer ces cookies pour les accepter ou les refuser en cliquant sur le lien gestion des cookies en bas de page. En tout état de cause, aucun cookie n’est placé dans votre navigateur tant que vous n’utilisez pas ces services. En activant un service tiers, vous acceptez que son éditeur dépose des cookies.

Pour exercer vos droits sur les données collectées par les tiers ou pour toute question sur ces traitements vous pouvez les contacter directement.

Les Règles de confidentialité visent à vous indiquer quelles informations Youtube (Google) collecte et pour quelle raison, ainsi que la façon de les mettre à jour, de les gérer, de les exporter et de les supprimer : Politique des cookies de Youtube.

Ces cookies sont soumis à votre consentement. Le refus de ces cookies bloquera l'accès aux vidéos hébergées sur Youtube