Différences

Ci-dessous, les différences entre deux révisions de la page.

--- rgpd [22/05/2018 18:02] – thomas
+++ rgpd [09/11/2022 09:55] (Version actuelle) – ancienne révision (05/09/2021 11:18) restaurée dcaillibaud
@@ Ligne 1: / Ligne 1: @@
 ====== RGPD - Détails des traitements des données personnelles ======
 ===== Introduction =====
+<color #8A0101>Sésamath s'engage avec le souci d'être respectueux et en conformité avec tout ce qui concerne les données personnelles.</color>
-<color #22b14c>Sésamath s'engage avec le souci d'être respectueux et en conformité avec tout ce qui concerne les données personnelles.</color>
 Les données collectées pour le service LaboMEP avaient fait l'objet de la déclaration n°1512839 auprès de la CNIL. \\
@@ Ligne 17: / Ligne 15: @@
 Un professeur peut y accéder en s'y connectant :
   * via son compte Sésamath / Sésaprof
-  * via un ENT (si partenariat)
+  * via le [[https://gar.education.fr/|GAR]] (si l'établissement est abonné, dans ce cas consulter également les dipositions [[https://gar.education.fr/mentions-informatives-rgpd/|RGPD du GAR]])
   * via un compte formateur directement créé sur l'application
 Un élève peut s'y connecter :
   * directement sur le site
-  * via un ENT (si partenariat)
+  * via le GAR (si l'établissement est abonné)
 ===== Nature des données enregistrées =====
+<color #8A0101>Seules les données strictement nécessaires à la poursuite des objectifs sont enregistrées.</color>
-<color #22b14c>Seules les données strictement nécessaires à la poursuite des objectifs sont enregistrées.</color>
+  * pour les professeurs / formateurs :
+    * nom, prénom
+    * courriel
+    * login et mot de passe (crypté), uniquement si compte créé sur l'application
+    * historique des connexions
+    * établissement(s)
+    * séquences créée(s)
+  * pour les élèves :
+    * nom, prénom
+    * courriel (facultatif)
+    * login et mot de passe (crypté), uniquement si compte créé sur l'application
+    * historique des connexions
+    * établissement, classe
+    * identifiant national élève (INE) si import SIECLE ou ONDE
+    * résultats aux exercices
-  * pour les professeurs / formateurs :
+<color #8A0101>Aucune donnée n'est susceptible de soulever des risques en raison de leur sensibilité :</color>
-     * nom, prénom
-     * courriel
-     * login et mot de passe (crypté), uniquement si compte créé sur l'application
-     * historique des connexions
-     * établissement(s)
-     * séquences créée(s)
-   * pour les élèves :
-     * nom, prénom
-     * courriel (facultatif)
-     * login et mot de passe (crypté), uniquement si compte créé sur l'application
-     * historique des connexions
-     * établissement, classe
-     * identifiant national élève (INE) si import SIECLE
-     * résultats aux exercices
-<color #22b14c>Aucune donnée n'est susceptible de soulever des risques en raison de leur sensibilité :</color>
   * origine raciale ou ethnique : NON
@@ Ligne 62: / Ligne 59: @@
 Les données des élèves :
-  * résultent d'import de fichiers (SIECLE, tableur) si pas d'utilisation d'un ENT
+  * résultent d'import de fichiers (SIECLE, ONDE, tableur) si pas d'utilisation d'un ENT
   * sont transmises par l'ENT si utilisation d'un ENT
-  * l'élève peut aussi créer son compte lui-même (formulaire de saisie)
+  * l'élève peut aussi créer son compte lui-même (formulaire de saisie, si les formateurs l'ont autorisé pour la structure)
 ===== Destination / transfert des données =====
-<color #22b14c>Il n'y a aucune récupération ou transfert d'informations à un tiers effectuée à l'insu des établissements, et donc encore moins en dehors de l'Union Européenne (ni même en dehors de France).</color>
+<color #8A0101>Il n'y a aucune récupération ou transfert d'informations à un tiers effectuée à l'insu des établissements, et donc encore moins en dehors de l'Union Européenne (ni même en dehors de France).</color>
 ===== Durée de conservation des données =====
@@ Ligne 76: / Ligne 73: @@
   * passé un an d'inactivité du compte (c'est à dire sans connexion)
-Concernant les élèves, les comptes sont supprimés chaque année (entre 2 années scolaires).
+Concernant les élèves, les comptes sont supprimés chaque année à la fin de l'année scolaire (la date peut varier suivant les choix des formateurs, mais même en cas de changement de date par un formateur elle ne pourra excéder 18 mois).
 Les sauvegardes automatiques des disques et des bases sont toutefois conservées pendant un an. \\
@@ Ligne 85: / Ligne 82: @@
 ===== Mesures de sécurité =====
-<color #22b14c>Sésamath s'engage à mettre en place tous les moyens nécessaires pour garantir la sécurité et la confidentialité des données transmises.</color>
+<color #8A0101>Sésamath s'engage à mettre en place tous les moyens nécessaires pour garantir la sécurité et la confidentialité des données transmises.</color>
+  * Pour les accès hors GAR, les mots de passe sont enregistrés sous leur forme chiffrée (avec un algorithme irréversible => personne n'y a accès).
-  * Les mots de passe sont enregistrés cryptés avec un algorithme irréversible (personne n'y a accès).
+  * L'authentification ainsi que la navigation s'effectuent avec le protocole HTTPS (communication chiffrée, certificat SSL imposant au navigateur l'utilisation d'un algorithme connu comme sûr).
-  * L'authentification ainsi que la navigation s'effectuent avec le protocole HTTPS (données chiffrées, certificat SSL avec chiffrement de haut niveau, clefs AES 256 bits).
   * La base de données est hébergée :
-     * en France (Roubaix, 59)
+    * en France (Roubaix, 59)
-     * chez un fournisseur reconnu (OVH)
+    * chez un fournisseur reconnu (OVH)
-     * dans un environnement sécurisé (accès règlementés par badges et scanner d'empreinte digitale, vidéo surveillance couplée à des détecteurs de mouvement, techniciens présents en permanence)
+    * dans un environnement sécurisé (accès règlementés par badges et scanner d'empreinte digitale, vidéo surveillance couplée à des détecteurs de mouvement, techniciens présents en permanence)
-     * maintenue sous la responsabilité d'un administrateur-système salarié (accès aux serveurs par clé SSH uniquement).
+    * maintenue sous la responsabilité d'un administrateur-système salarié (accès aux serveurs par clé SSH uniquement).
 ===== Acteurs =====
+  * Responsable du traitement : si accès GAR, c'est le ministre de l'Éducation Nationale (Sésamath est alors un sous-traitant), sinon c'est le président-e de l'association <president AT sesamath.net>
-  * Responsable du traitement : président-e de l'association <president AT sesamath.net>
   * Délégué à la protection des données : <contact-rgpd AT sesamath.net>
   * Responsables des services de traitement : Daniel CAILLIBAUD <tech AT sesamath.net>
   * Sous-traitants :
     * la société [[https://www.ovh.com/fr/hebergement-web/|OVH]] pour l'hébergement (Roubaix - FRANCE)
-    * la société d'infogérance [[https://bearstech.com/|Bearstech]] (Nantes - FRANCE)
+    * la société d'infogérance [[https://bearstech.com/|Bearstech]] (Paris - FRANCE)
-    * la société de développement [[http://thetribe.io/|The Tribe]] (Paris - FRANCE)
 ===== Accès aux données / Confidentialité =====
 Personnes ayant accès aux données de façon générale :
+  * Daniel CAILLIBAUD (développeur, responsable du projet, administrateur système)
-  * Daniel CAILLIBAUD (développeur, responsable du projet, administrateur systèmes)
+  * le personnel de Bearstech qui peut intervenir sur nos serveurs (si un problème survient en l'absence de notre responsable système)
-  * les développeurs de l'application ("The Tribe") ont accès aux données en préproduction (données dupliquées)
-  * le personnel de Bearstech qui peut intervenir sur nos serveurs si un problème survient en l'absence de notre responsable réseau
 Personnes ayant accès aux données dans un établissement :
   * les élèves ont accès à leurs résultats et bilans
-  * les professeurs ont accès aux noms / prénoms des élèves, et aux résultats des séances qu'ils ont conçues
+  * les professeurs ont accès aux noms / prénoms de leurs collègues
-  * personne n'a accès aux mots de passe (qui sont cryptés)
+  * les professeurs ont accès aux noms / prénoms des élèves, aux résultats des séances qu'ils ont conçues et aux résultats des séquences de leurs collègues qui les partagent (pour chaque séquence un formateur peut partager les bilans avec ses collègues)
+  * personne n'a accès aux mots de passe (qui sont chiffrés)
 L'utilisateur professeur ou formateur est propriétaire des données enregistrées lorsqu'un utilisateur élève utilise LaboMEP dans la mesure où il s'agit d'informations à caractère pédagogique acquises dans le cadre d'une relation entre formateur et apprenant. \\
-En particulier, l'utilisateur enseignant a accès aux dates et heures ouvrables auxquelles les ressources sont activées par les élèves ; cette information revêt de fait un intérêt pédagogique.
+En particulier, l'utilisateur enseignant a accès aux dates et heures ouvrables auxquelles les ressources sont activées par les élèves ; cette information revêt de fait un intérêt pédagogique (si tel résultat provient d'une séquence collective qu'il a organisé ou pas).
 ===== Information des personnes =====
@@ Ligne 133: / Ligne 126: @@
 S'il a décidé de fournir une adresse mél, il peut recevoir un nouveau mot de passe. \\
 Dans le cas contraire, il peut demander à son professeur/formateur de lui en assigner un nouveau, qu'il pourra changer aussitôt.
+À sa première connexion, un élève est dans l'obligation de changer son mot de passe.
 **Un enseignant** peut modifier ses données personnelles depuis la gestion de son compte.
 En cas de besoin complémentaire, contacter le délégué à la protection des données (voir ci-dessus).
-===== Annexe : cookies =====
-LaboMEP peut enregistre des cookies sur votre ordinateur, strictement nécessaires à votre authentification et au bon fonctionnement de l'application.
+===== Annexe : cookies =====
-Tous sont parfaitement inoffensifs et sont supprimés à la fermeture du navigateur.
-<color #22b14c>LaboMEP n'utilise aucun cookie en rapport avec de la publicité, des réseaux sociaux, des statistiques d'audience, etc. \\ Ainsi, les cookies de LaboMEP sont exemptés du recueil de consentement des utilisateurs.</color>
+LaboMEP enregistre un cookie de session sur votre ordinateur, nécessaire au bon fonctionnement de l'application (c'est lui qui permet à chaque requête de faire le lien avec la personne authentifiée précédemment). Ce cookie est supprimé à la fermeture du navigateur.
+<color #8A0101>LaboMEP n'utilise aucun cookie en rapport avec de la publicité, des réseaux sociaux, des statistiques d'audience, etc. \\
+C'est la raison pour laquelle ces cookies de session sont exemptés du recueil de consentement des utilisateurs.</color>