Questions / Réponses (FAQ) PRONOTE
-
PRONOTE et RGPD : quelles sont les nouvelles obligations de chacun ?
Les obligations du directeur d'établissement
Le règlement général sur la protection des données (RGPD) indique que " tout traitement de données à caractère personnel doit être licite et loyal ". Le responsable du traitement des données doit informer les personnes concernées " des risques, règles, garanties et droits liés au traitement " et " garantir une sécurité et une confidentialité appropriées ".
Pour cela, le directeur d'établissement doit tenir un registre où sont consignés le caractère licite des traitements des données et les mesures prises pour garantir la sécurité des données traitées.
Il doit notamment garantir :
- la sécurité physique du serveur où le traitement est effectué ;
- la protection des données qui ne doivent être accessibles qu'aux personnes habilitées ;
- la sécurité des systèmes de communication informatiques et électroniques ;
- la capacité à rétablir la disponibilité du serveur dans des délais appropriés en cas d'incident.
Les obligations des éditeurs de logiciels
Le règlement général sur la protection des données (RGPD) indique que les logiciels doivent être développés en intégrant, dès leur conception, les notions de sécurité et de protection des données personnelles.
À ce titre, Index Éducation s'inscrivait déjà pleinement dans cette perspective. Tous les logiciels édités par Index Éducation sont conçus avec un souci permanent de protéger les données :
- les données personnelles sont chiffrées,
- les bases de données sont annuelles, cela permet de limiter de fait la durée de conservation des données,
- chacun accède uniquement aux données auxquelles le directeur d'établissement lui donne accès,
- le niveau de sécurité des mots de passe est celui recommandé par la CNIL,
- des sauvegardes et archivages quotidiens garantissent la préservation des données,
- les services internet sont sécurisés avec le protocole TLS.
Dans le cadre de l'hébergement proposé par Index Éducation :
- le centre de données (data center) est en France et réunit les conditions de disponibilité de niveau TIER 3,
- chaque établissement a un serveur dédié, seule garantie d'une parfaite étanchéité entre les bases des établissements.
Ce contenu vous a été utile ?
Vous ne trouvez pas de réponse à votre question ?
Contactez notre assistance