Join us now

Luxchat Privacy Policy

Vous trouverez ci-dessous la notice d’information pour les traitements de données à caractère personnel opérés dans le cadre de l’utilisation de l’application Luxchat grand public et entreprises sur le serveur
LU-CIX GIE.

Notice d’information pour les traitements de données à caractère personnel opérés dans le cadre de l’utilisation de l’application Luxchat grand public et entreprises

La présente notice d’information (ci-après « Notice d’Information »), émise par LU-CIX Management G.I.E. (ci-après dénommé « LU-CIX GIE ») en sa qualité de responsable du traitement, a pour objectif d’informer les utilisateurs de l’application Luxchat grand public et entreprises (ci-après dénommée « Luxchat ») sur le traitement des données à caractère personnel conformément au Règlement Général sur la Protection des données (UE) 2016/679 (ci-après “RGPD“).

Table des matières

  1. L’application Luxchat
  2. Coordonnées du prestataire et de son délégué à la protection des données
  3. La base de licéité du traitement
  4. Les catégories de données traitées (« vos données »)
  5. Les finalités des traitements
  6. La durée de conservation de vos données
  7. Les destinataires de vos données
  8. Le transfert de vos données vers un pays tiers
  9. Vos droits
  10. Réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD

 

  1. L’application Luxchat

Luxchat est une application de messagerie instantanée proposée par plusieurs prestataires luxembourgeois.

L’objectif de Luxchat est de proposer une messagerie instantanée sécurisée hébergée et opérée par plusieurs prestataires au Luxembourg, qui repose sur le protocole Matrix (https://matrix.org/). Toutes les communications transmises sont chiffrées de bout en bout afin que ni le prestataire, ni aucun tiers ne puissent accéder au contenu.

L’utilisateur doit être âgé d’au moins 16 ans pour s’inscrire et utiliser Luxchat seul. Si l’utilisateur est âgé d’au moins 12 ans mais n’a pas encore atteint l’âge de 16 ans, il peut s’inscrire et utiliser Luxchat à condition d’obtenir l’autorisation préalable de ses parents ou de toute autre personne les remplaçant le cas échéant (p.ex. un tuteur légal).

Avant de pouvoir utiliser Luxchat, l’utilisateur doit d’abord s’identifier auprès de « LuxID » (via login et mot de passe), service presté par la société POST Luxembourg qui propose une solution d’identification et d’authentification sécurisée. L’utilisation du service « LuxID » est soumise aux conditions d’utilisation de POST Luxembourg. Si l’utilisateur n’a pas encore de compte « LuxID » il lui sera demandé de créer un compte « LuxID » avant de pouvoir utiliser Luxchat.

Les informations que vous échangez avec d’autres utilisateurs (p.ex. messages textes, photos, vidéos, etc.) dans le cadre de l’utilisation de Luxchat sont chiffrées (tel qu’expliqué dans la section 4 ‘Les catégories de données traitées’ de cette Notice d’Information). Cela signifie que LU-CIX GIE n’a aucun moyen technique de déchiffrer le contenu puisque LU-CIX GIE ne dispose pas des clés de chiffrement et de déchiffrement.

  1. Coordonnées du prestataire et de son délégué à la protection des données

LU-CIX GIE, agissant en sa qualité de responsable du traitement pour la mise à disposition et l’utilisation de Luxchat, collecte et traite des données à caractère personnel vous concernant.

Pour toute question concernant le traitement de vos données par LU-CIX GIE, veuillez contacter le délégué à la protection des données :

  • Par courriel : dpo-luxchat@lu-cix.lu
  • Par voie postale :

LU-CIX Management G.I.E.

(à l’attention du DPO)

202, Z.A.E. Wolser F

L – 3290 Bettembourg

  1. La base de licéité du traitement

LU-CIX GIE traite des données à caractère personnel vous concernant sur la base de différentes justifications (qui servent de base de licéité au sens du RGPD) :

  • Lorsque l’utilisateur a donné son consentement (article 6, paragraphe 1, point a) du RGPD). L’utilisateur peut demander le retrait de son consentement à tout moment ;
  • Lorsque le traitement des données personnelles est nécessaire à l’exécution de mesures précontractuelles ou d’un contrat auquel l’utilisateur est partie (article 6 paragraphe 1, point b) du RGPD) ;
  • Lorsqu’il existe une obligation légale de traiter les données personnelles (article 6 paragraphe 1, point c) du RGPD) ;
  • Lorsqu’il existe un intérêt légitime de LU-CIX GIE (article 6, paragraphe 1, point f) du RGPD) à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent.

La relation entre les différentes bases de licéité et les différents traitements de données personnels sont décrits plus en détails sous la section 5 (‘Les finalités du traitement’) de cette Notice d’Information.

  1. Les catégories de données traitées (« vos données »)

Comme expliqué dans la section 1 (« L’application Luxchat ») de cette Notice d’Information, le processus de création de compte Luxchat est initié par le service « LuxID » de POST Luxembourg qui sera considéré comme le responsable de traitement de vos données personnelles telles que votre nom, prénom, numéro de téléphone mobile, login, mot de passe, identifiant unique Luxchat, etc.

« LuxID » transmet à LU-CIX GIE, avec l’accord de l’utilisateur, les informations suivantes :

  • <identifiant-unique> : fourni par « LuxID » ;
  • Nom et prénom de l’utilisateur ;
  • Consentement (ou non) pour figurer dans l’annuaire national.

Sans les informations précitées, LU-CIX GIE ne pourra pas créer de compte Luxchat pour l’utilisateur.

LU-CIX GIE traite les données personnelles suivantes :

Dès la première connexion, les données suivantes sont traitées par LU-CIX GIE :

  • Vos données de profil, il s’agit :
    • D’un nom (p.ex., votre prénom et nom, modifiable à tout moment par l’utilisateur) qui sera affiché en tant que « Display name » dans l’application Luxchat. Ce nom sera utilisé pour être affiché dans les communications de Luxchat et pourra, si l’utilisateur y consent, figurer dans un annuaire national.
    • Votre photo de profil si l’utilisateur la télécharge lui-même.
  • Votre identifiant Luxchat (« Luxchat-ID »), qui vous identifie lors de l’utilisation de Luxchat et qui est composé comme suit : @<identifiant-unique>:<homeserveur>
    • <identifiant-unique> : fourni par « LuxID » ;
    • <homeserveur> : nom défini par le prestataire Luxchat.

Hormis ces données, les données suivantes sont traitées lors de votre utilisation de Luxchat :

  • Vos données de profil ;
  • Votre identifiant Luxchat-ID;
  • Votre mot de passe de chiffrement (celui-ci n’est pas stocké sur les serveurs Luxchat et n’est pas connu par LU-CIX GIE) ;
  • Des clés cryptographiques pour garantir la sécurité de l’application et des communications ;
  • Le nom complet du serveur Luxchat auquel vous est affilié.
  • Contenu de la communication (chiffré en transit et au repos) :
    • Contenu du message (chiffré) ;
      • Texte, émojis, etc. ;
      • Position géographique (si autorisée et utilisée).
    • Pièces jointes (chiffrées) ;
    • Communication audio et vidéo (chiffrée).
  • Métadonnées des communications et salles de discussions (chiffrées uniquement en transit) :
    • Votre identifiant Luxchat-ID ;
    • Nom affiché (« Display name ») tel que définis par l’utilisateur Luxchat ;
    • Photos de profil (si téléchargée par l’utilisateur même) ;
    • Horodatage du message ;
    • Type de compte (autorisation liée à la salle de discussion) ;
    • Noms, sujets et éventuellement photos de profil des salles de discussion ;
    • Appartenance de l’utilisateur à un groupe ou à une salle de discussion ;
    • « Event ID ».
  • Données spécifiques à l’appareil de l’utilisateur :
    • Adresses IP ;
    • Métadonnées enregistrées sur les terminaux (téléphones mobiles et ordinateurs) :
      • Nom et version de l’application mobile ;
      • Nom et version du système d’exploitation du mobile ;
      • Nom et version du « Webclient » et du navigateur ;
      • Modèle du mobile ;
      • Système d’exploitation du terminal utilisé ;
      • « Session ID».
  1. Les finalités des traitements
FinalitésDescription du traitementBase de licéité
Traitements réalisés par LU-CIX GIE pour la fourniture de Luxchat
Communication entre utilisateursUne communication directe, instantanée et privée entre utilisateurs ou une communication de groupe entre plusieurs utilisateurs. 

Exécution du contrat

Gestion des comptes d’utilisateursL’utilisation des données pour la création d’un compte utilisateur, pour vous permettre d’accéder (se connecter) à Luxchat et ensuite communiquer entre utilisateurs.Exécution du contrat
Transfert des informations « LuxID » c.à.d. identifiant unique, nom et prénom vers LU-CIX GIE.Consentement
L’envoi d’alertes « push notification ».Consentement
Le chiffrement de vos communications.Exécution du contrat
Gestion de l’annuaire nationalL’affichage de votre « Display name » et de votre Luxchat-ID dans un annuaire national permettant aux utilisateurs d’entrer en contact les uns avec les autres. 

Consentement

Supervision des infrastructuresSupervision des infrastructures.

Statistiques d’utilisation des services et réseaux.

Gestion de la qualité de service des infrastructures.

 

Intérêt légitime

Gestion de la sécurité des infrastructures informatiquesDétection, prévention et lutte contre les menaces pesant sur les infrastructures informatiques et de communication.

Protection des données à caractère personnel.

Cybersécurité.

 

 

Intérêt légitime

Gestion des demandes d’exercice de droitsEnregistrement, traitement et réponse des demandes d’exercice de droits émanant d’utilisateurs en application des articles 12 à 23 du RGPD. 

Obligation légale

Gestion des demandes de communication d’informationAccès, conservation et divulgation en cas de demande légale de la part d’organisme de régulation, des forces de l’ordre ou autres ou pour mettre en œuvre des mesures de sécurité appropriées. Par exemple, un mandat de perquisition ou une injonction issu(e) par les forces de l’ordre ou les juridictions luxembourgeoises exigeant de fournir des informations en lien avec une enquête, telles que votre image de profil, votre Luxchat-ID ou votre adresse IP. 

 

 

Obligation légale

 

  1. La durée de conservation de vos données

LU-CIX ne conserve pas vos données personnelles plus longtemps que nécessaire pour permettre d’atteindre les finalités spécifiques pour lesquels les informations ont été recueillies.

Les durées de conservation suivantes s’appliquent aux données personnelles traitées dans le cadre de l’utilisation de Luxchat :

Les données relatives à votre compte utilisateur Luxchat :

  1. Vos données de profil sont supprimées sur le serveur de Luxchat directement après désactivation de votre compte utilisateur Luxchat par vous-même ou votre prestataire. La suppression complète de vos données de profil sur le serveur intervient après la durée de conservation des sauvegardes/back-ups précisée ci-dessous. Cependant, une partie des données personnelles de votre profil utilisateur se retrouvant dans les métadonnées de vos communications seront supprimées selon la durée définie ci-après.
  2. Votre identifiant Luxchat « Luxchat-ID » : nous conservons votre identifiant Luxchat après avoir supprimé tout le contenu lié à ce compte, car il ne contiendra plus de données à caractère personnel.
  3. Les données de journal stockées sur les serveurs : les données de journal stockées sur les serveurs du fournisseur de services informatiques de LU-CIX GIE (par exemple, l’adresse IP de l’appareil utilisé) sont supprimées 6 mois après leur création. À la suite de cette suppression, les données de journal sont encore susceptibles de figurer dans les back-ups jusqu’à la durée de conservation des back-ups précisée ci-dessous.

 

Le contenu de vos communications :

Le contenu de vos communications sous forme chiffrée est automatiquement supprimé du serveur de LU-CIX GIE au plus tard 12 mois après la date d’envoi des fichiers attachés (messages vocaux, photos et vidéos partagés) et au plus tard 24 mois après la date d’envoi pour les messages textes. À la suite de cette suppression, le contenu de vos communications sous forme chiffrée est encore susceptible de figurer dans les back-ups jusqu’à la durée de conservation des versions sauvegardées/back-ups comme précisée ci-dessous.

En cas de dépassement de la capacité de stockage autorisée par utilisateur, LU-CIX GIE se réserve le droit de supprimer les messages et fichiers attachés les plus anciens dépassant la limite de capacité de stockage autorisée.

Suppression de ses messages par l’utilisateur :

L’utilisateur peut, de sa propre initiative, supprimer ses communications. Dans ce cas le contenu (toujours chiffré) des communications sera directement rendu invisible aussi bien auprès de l’utilisateur lui-même, qu’auprès de ses partenaires de discussion, et seront marqués comme supprimés dans les serveurs des prestataires Luxchat.

Fédération entre serveurs et copie des messages :

Luxchat est conçu pour fonctionner sur la base du protocole Matrix.

Si deux ou plusieurs utilisateurs affiliés sur le même serveur Luxchat communiquent dans une ‘salle de discussion’ (ou ‘room’), les messages qu’ils se partagent se retrouveront sur le même serveur Luxchat et partageront ainsi les mêmes règles d’utilisation.

Lorsque des utilisateurs sont affiliés à de différents serveurs, les messages seront dupliqués sur chacun de ces serveurs. Les messages dupliqués se trouvant sur d’autres serveurs sont soumis aux conditions générales d’utilisations et les notices d’information des prestataires opérant ces serveurs.

Les métadonnées des communications et salles de discussions :

Les métadonnées des communications et salles de discussions chiffrées uniquement en transit, stockées en clair sur les serveurs de LU-CIX GIE, seront supprimées ensemble avec les messages et fichiers attachés au plus tard après une durée de 12 mois pour les fichiers attachés respectivement 24 mois pour les messages sur le serveur de LU-CIX GIE.

À la suite de cette suppression, les métadonnées des communications et salles de discussions sont encore susceptibles de figurer dans les back-ups jusqu’à la durée de rétention des back-ups précisée ci-dessous.

Ces données incluent les données à caractère personnel suivantes :

  • Votre identifiant Luxchat « Luxchat-ID » ;
  • « Display name » de l’utilisateur Luxchat ;
  • Photos de profil (si téléchargée par l’utilisateur même) ;
  • Noms des salles de discussion qui dans les conversations bilatérales prennent le nom du partenaire de discussion.

Export des communications par l’utilisateur :

Lorsque l’utilisateur utilise l’application Luxchat sur Windows, sur macOS ou dans un navigateur, il peut archiver une conversation en téléchargeant une copie locale et statique du contenu des communications d’une salle de discussion, renseignant uniquement les communications existantes au moment de la création de la copie.

Annuaire national :

Les données, « Luxchat-ID » et « Display name », se trouvant seulement après l’accord de l’utilisateur dans l’annuaire national, sont supprimées au moment de la suppression du compte Luxchat. Veuillez noter qu’à la suite à cette suppression, ces données sont encore susceptibles de figurer dans les versions sauvegardées/back-ups et ce, jusqu’à la durée de conservation des back-ups précisée ci-dessous.

Veuillez noter que lorsque vous changez votre « Display name », le « Display name » sera également modifié dans l’annuaire. Si vous souhaitez que votre « Display name » et votre « Luxchat-ID » ne puissent plus être retrouvés dans l’annuaire, nous vous recommandons de demander une telle suppression directement via le portail de « LuxID ». Dans le cas de retrait d’un consentement, les identifiants de l’utilisateur de Luxchat seront supprimés de l’annuaire dès que possible (généralement dans un délai d’environ 24h).

Les données de back-ups :

Les données de back-ups sont automatiquement supprimées en moyenne endéans les 7 jours, et au plus tard après une durée d’1 mois.

Alertes « push notification » :

Les données nécessaires à la génération des alertes « push notification » ne sont pas conservées après leur création.

Les durées de conservation reprises ci-dessus s’appliquent sans préjudice d’un traitement des données vous concernant à des fins de constatation, d’exercice ou de défense d’un droit en justice.

Log-out des sessions inactives :

Lorsqu’une session (connexion à Luxchat depuis un appareil spécifique) de l’utilisateur reste inactive, cette session sera automatiquement supprimée après 6 mois à partir de la dernière activité enregistrée.

Suppression de comptes inactifs :

Lorsqu’un compte reste inactif (plus aucune session active), ce compte d’utilisateur sera définitivement supprimé 1 an après sa dernière activité enregistrée.

 

  1. Les destinataires de vos données

LU-CIX GIE ne vend pas vos données et celles-ci ne font l’objet d’aucune monétisation de la part de LU-CIX GIE.

Dans le cadre des services de messagerie Luxchat et dans les limites des finalités décrites ci-dessus, certaines de vos données sont, selon votre utilisation des services de Luxchat, susceptibles d’être communiquées uniquement aux prestataires ci-dessous pour les finalités suivantes :

 

Stockage de données :

Broadcasting Center Europe (ci-après « BCE »), agit en tant qu’hébergeur des fichiers attachés chiffrés et n’aura aucun accès aux clés de déchiffrement qui sont détenues par les utilisateurs eux-mêmes. Par conséquent, BCE agit en tant que tiers hébergeur de données chiffrées.

Alertes « push notification » :

Luxchat utilise des services « push notification », par exemple pour signaler la réception d’un nouveau message au destinataire du message. Les données à caractère personnel nécessaires pour signaler des événements (par exemple : l’identifiant Luxchat « Luxchat-ID », le nom de la salle de discussion, le nom affiché et les données d’identification de votre smartphone) sont traitées par le fournisseur du système d’exploitation mobile ou d’exploitation du terminal utilisé.

Annuaire national :

Pour la tenue de l’annuaire national commun entre tous les prestataires, recensant les utilisateurs Luxchat ayant donné leur consentement pour figurer dans l’annuaire, LU-CIX GIE agit :

  • En tant que responsable de traitement pour ses propres utilisateurs ;
  • En tant que sous-traitant pour les autres prestataires Luxchat qui sont, eux, responsables du traitement des données de leurs utilisateurs respectifs.

 

  1. Le transfert de vos données vers un pays tiers

Lorsque les serveurs des prestataires de Luxchat sont concernés, et tant que vous ne communiquez qu’avec les utilisateurs des prestataires de Luxchat, vos données sont traitées exclusivement dans le Grand-Duché de Luxembourg, par conséquent exclusivement à l’intérieur de l’Espace Économique Européen (« EEE »), et ne feront donc pas l’objet d’un transfert international au sens du chapitre V du RGPD.

Par dérogation à ce qui précède, le serveur Luxchat de LU-CIX GIE transfèrera les données requises pour ces notifications (« push notification ») en dehors de l’EEE.

  1. Vos droits

Vous disposez des droits prévus par les dispositions du chapitre III (articles 12 à 23) du RGPD, sous réserve des limitations expressément prévues dans le RGPD et sous réserve de nos propres droits et obligations.

  • Vous pouvez ainsi, dans les limites de la législation applicable, accéder aux données vous concernant (article 12 & 13 du RGPD) ;
  • Vous pouvez demander des renseignements quant à l’utilisation que LU-CIX GIE fait de vos données et en obtenir une copie (article 15 du RGPD) ;
  • Vous pouvez demander la rectification des données inexactes ou incomplètes (article 16 du RGPD) ;
  • Vous pouvez demander l’effacement des données dans les conditions prévues par l’article 17 du RGPD ;
  • Vous avez également, pour des raisons tenant à votre situation particulière et dans les limites de la législation applicable, le droit de vous opposer au traitement de vos données dans les conditions prévues par l’article 21 du RGPD ;
  • Vous disposez dans certains cas de figure aussi d’un droit à la limitation du traitement de vos données (article 18 du RGPD), par exemple durant le temps de traitement d’une demande de votre part de vérification de l’exactitude de vos données.

Le traitement des données vous concernant n’implique pas de prise de décision automatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire et ne comprend pas non plus le profilage.

Toute communication relative à une demande d’information, de réclamation ou quant à l’exercice de vos droits prévus par les dispositions du RGPD est à adresser au délégué à la protection des données de LU-CIX :

  • Par courriel : dpo-luxchat@lu-cix.lu
  • Par voie postale :

LU-CIX Management GIE

(à l’attention du DPO)

202, Z.A.E. Wolser F

L – 3290 Bettembourg

 

  1. Réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD)

Si, après avoir contacté LU-CIX GIE, vous estimez que le traitement de vos données effectué par LU-CIX GIE constitue une violation du RGPD ou que vos droits ne sont pas respectés, vous pouvez introduire une réclamation après de la Commission Nationale pour la Protection des Données (CNPD) (https://cnpd.public.lu).