Sésamath s'​engage avec le souci d'être respectueux et en conformité avec tout ce qui concerne les données personnelles.

Les données collectées pour le service LaboMEP avaient fait l'objet de la déclaration n°1512839 auprès de la CNIL.
À compter du 25/05/2018, l'entrée en vigueur du RGPD vient remplacer cette déclaration.

LaboMEP est une web-application avec pour objectif de créer des séances de travail personnalisées aux élèves (et d'en récupérer les résultats).

Elle comporte un accès “professeur/formateur” et un accès “élève”.
Dans le cadre d'un partenariat ENT avec une collectivité il existe aussi un accès possible à des statistiques globales par établissement / département / académie relative à la collectivité.

Un professeur peut y accéder en s'y connectant :

• via son compte Sésamath / Sésaprof
• via le GAR (si l'établissement est abonné, dans ce cas consulter également les dipositions RGPD du GAR)
• via un compte formateur directement créé sur l'application

Un élève peut s'y connecter :

• directement sur le site
• via le GAR (si l'établissement est abonné)

Seules les données strictement nécessaires à la poursuite des objectifs sont enregistrées.

• pour les professeurs / formateurs :
  • nom, prénom
  • courriel
  • login et mot de passe (crypté), uniquement si compte créé sur l'application
  • historique des connexions
  • établissement(s)
  • séquences créée(s)
• pour les élèves :
  • nom, prénom
  • courriel (facultatif)
  • login et mot de passe (crypté), uniquement si compte créé sur l'application
  • historique des connexions
  • établissement, classe
  • identifiant national élève (INE) si import SIECLE ou ONDE
  • résultats aux exercices

Aucune donnée n'est susceptible de soulever des risques en raison de leur sensibilité :

• origine raciale ou ethnique : NON
• opinions politiques : NON
• convictions religieuses ou philosophiques : NON
• appartenance syndicale : NON
• informations génétiques : NON
• informations biométriques : NON
• relatives à la santé : NON
• vie sexuelle ou orientation sexuelle : NON
• condamnations pénales ou infractions : NON
• numéro d'identification national unique (NIR) : NON

Les données des enseignants/formateurs sont saisies par eux-même (chaque enseignant gère son compte).

Les données des élèves :

• résultent d'import de fichiers (SIECLE, ONDE, tableur) si pas d'utilisation d'un ENT
• sont transmises par l'ENT si utilisation d'un ENT
• l'élève peut aussi créer son compte lui-même (formulaire de saisie, si les formateurs l'ont autorisé pour la structure)

Il n'y a aucune récupération ou transfert d'informations à un tiers effectuée à l'insu des établissements, et donc encore moins en dehors de l'Union Européenne (ni même en dehors de France).

Concernant les enseignants, les données sont supprimées :

• lors de la résiliation du compte par l'utilisateur
• passé un an d'inactivité du compte (c'est à dire sans connexion)

Concernant les élèves, les comptes sont supprimés chaque année à la fin de l'année scolaire (la date peut varier suivant les choix des formateurs, mais même en cas de changement de date par un formateur elle ne pourra excéder 18 mois).

Les sauvegardes automatiques des disques et des bases sont toutefois conservées pendant un an.
L'administrateur système peut donc potentiellement y retrouver des informations jusqu'à 1 an après suppression des données.

Enfin, la base de production peut être répliquée sur notre environnement de pré-production, cet environnement peut donc contenir d'anciennes données (les conditions d'accès et mesures de protection sont identiques à la production).

Sésamath s'engage à mettre en place tous les moyens nécessaires pour garantir la sécurité et la confidentialité des données transmises.

• Pour les accès hors GAR, les mots de passe sont enregistrés sous leur forme chiffrée (avec un algorithme irréversible ⇒ personne n'y a accès).
• L'authentification ainsi que la navigation s'effectuent avec le protocole HTTPS (communication chiffrée, certificat SSL imposant au navigateur l'utilisation d'un algorithme connu comme sûr).
• La base de données est hébergée :
  • en France (Roubaix, 59)
  • chez un fournisseur reconnu (OVH)
  • dans un environnement sécurisé (accès règlementés par badges et scanner d'empreinte digitale, vidéo surveillance couplée à des détecteurs de mouvement, techniciens présents en permanence)
  • maintenue sous la responsabilité d'un administrateur-système salarié (accès aux serveurs par clé SSH uniquement).

• Responsable du traitement : si accès GAR, c'est le ministre de l'Éducation Nationale (Sésamath est alors un sous-traitant), sinon c'est le président-e de l'association <president AT sesamath.net>
• Délégué à la protection des données : <contact-rgpd AT sesamath.net>
• Responsables des services de traitement : Daniel CAILLIBAUD <tech AT sesamath.net>
• Sous-traitants :
  • la société OVH pour l'hébergement (Roubaix - FRANCE)
  • la société d'infogérance Bearstech (Paris - FRANCE)

Personnes ayant accès aux données de façon générale :

• Daniel CAILLIBAUD (développeur, responsable du projet, administrateur système)
• le personnel de Bearstech qui peut intervenir sur nos serveurs (si un problème survient en l'absence de notre responsable système)

Personnes ayant accès aux données dans un établissement :

• les élèves ont accès à leurs résultats et bilans
• les professeurs ont accès aux noms / prénoms de leurs collègues
• les professeurs ont accès aux noms / prénoms des élèves, aux résultats des séances qu'ils ont conçues et aux résultats des séquences de leurs collègues qui les partagent (pour chaque séquence un formateur peut partager les bilans avec ses collègues)
• personne n'a accès aux mots de passe (qui sont chiffrés)

L'utilisateur professeur ou formateur est propriétaire des données enregistrées lorsqu'un utilisateur élève utilise LaboMEP dans la mesure où il s'agit d'informations à caractère pédagogique acquises dans le cadre d'une relation entre formateur et apprenant.
En particulier, l'utilisateur enseignant a accès aux dates et heures ouvrables auxquelles les ressources sont activées par les élèves ; cette information revêt de fait un intérêt pédagogique (si tel résultat provient d'une séquence collective qu'il a organisé ou pas).

Dans le cas d'une inscription directe à l'application LaboMEP (hors Sésaprof et hors ENT), les formulaires d'inscription et de gestion du compte comportent un lien vers cette page informative.

Cette page est aussi référencée dans le wiki d'aide / documentation de LaboMEP.

Les utilisateurs bénéficient d'un droit d'accès et de rectification aux informations qui les concernent.

Un élève peut modifier ses données personnelles via son menu “profil”.
S'il a décidé de fournir une adresse mél, il peut recevoir un nouveau mot de passe.
Dans le cas contraire, il peut demander à son professeur/formateur de lui en assigner un nouveau, qu'il pourra changer aussitôt. À sa première connexion, un élève est dans l'obligation de changer son mot de passe.

Un enseignant peut modifier ses données personnelles depuis la gestion de son compte.

En cas de besoin complémentaire, contacter le délégué à la protection des données (voir ci-dessus).

LaboMEP enregistre un cookie de session sur votre ordinateur, nécessaire au bon fonctionnement de l'application (c'est lui qui permet à chaque requête de faire le lien avec la personne authentifiée précédemment). Ce cookie est supprimé à la fermeture du navigateur.

LaboMEP n'utilise aucun cookie en rapport avec de la publicité, des réseaux sociaux, des statistiques d'audience, etc.
C'est la raison pour laquelle ces cookies de session sont exemptés du recueil de consentement des utilisateurs.