Politique de protection des données personnelles

Contexte :

L'exécution des services objet des Conditions générales de vente et d’utilisation (ci-après les « CGVU ») acceptées par le Client impliquent qu'INDEX ÉDUCATION accède à des Données à caractère personnel et réalise un ou des traitement(s) de données à caractère personnel.

Dans le cadre de leurs relations contractuelles, les parties aux CGVU (INDEX ÉDUCATION et le Client) s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »).
Sauf cas contraire prévu aux CGVU, le Client demeure le Responsable du traitement des Données à caractère personnel et en conserve l'entière maîtrise, INDEX ÉDUCATION n'agissant qu'en qualité de Sous-traitant au sens du Droit applicable à la protection des données.

Définitions :

Les termes et expressions identifiés par une majuscule au sein de la présente Politique sont définis dans l'article 4 du RGPD.

Engagement d'INDEX ÉDUCATION :

INDEX ÉDUCATION s'engage à respecter l'ensemble des obligations légales qui s'imposent à lui en application du Droit applicable à la protection des Données et à traiter les Données à caractère personnel qui lui sont confiées par le Client conformément aux dispositions des CGVU. Le Client a sélectionné INDEX ÉDUCATION au regard de son engagement quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à respecter les exigences du Droit applicable à la protection des données et à garantir la protection des droits des Personnes concernées.

Caractéristiques du Traitement :

Le Client autorise INDEX ÉDUCATION, pour la durée et les seuls besoins des CGVU, à procéder au Traitement des Données à caractère personnel requis par les services objet des CGVU. Les caractéristiques de ce Traitement confié à INDEX ÉDUCATION sont définies dans l'annexe RGPD figurant à la présente Politique.
Dans ce cadre, INDEX ÉDUCATION s'engage à traiter les Données à caractère personnel exclusivement sur la base des instructions du Client et s'interdit d'utiliser tout ou partie des Données à caractère personnel pour son propre compte et pour d'autres finalités que celles définies par le Client.
INDEX ÉDUCATION s'engage à tenir un registre des catégories d'activités de traitement effectuées pour le compte du Client, registre qui doit se présenter sous une forme écrite y compris la forme électronique.

Sécurité et confidentialité des Données à caractère personnel :

Dans le cadre de la réalisation des services objet des CGVU, INDEX ÉDUCATION s'engage à mettre en œuvre les mesures de protection physique, logique et d'organisation nécessaires pour préserver la sécurité des Données à caractère personnel, adaptées aux risques que présente le Traitement et, notamment, empêcher qu'elles ne soient détruites, perdues, déformées, endommagées, ou que des tiers non autorisés y aient accès, de manière accidentelle ou illicite.
En l'espèce, INDEX ÉDUCATION s'engage à minima à mettre en œuvre les mesures suivantes et à les faire respecter par son personnel et les éventuels Sous-traitants ultérieurs :
- Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel dans le cadre des services s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. Pour ce faire, INDEX ÉDUCATION s'engage à mettre en place un dispositif permettant de prouver que chaque opérateur ou conseiller en assistance a été sensibilisé au respect de la confidentialité des Données à caractère personnel.
- Veiller à ce que ses intervenants dans l'exécution des services objet des CGVU soient sensibilisés, formés et organisés pour présenter les garanties suffisantes de sécurité et de confidentialité vis-à-vis des Données à caractère personnel.
- Prendre toutes les mesures permettant d'éviter toute perte, utilisation détournée ou frauduleuse des Données à caractère personnel, documents et informations traités et notamment les mesures suivantes :

gestion des droits d'accès et des habilitations,
journalisation des événements,
sécurisation des échanges et du stockage des Données à caractère personnel,
sauvegarde des données,
moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement,
moyens permettant de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique,
procédures visant à tester, à analyser, à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en place.

En cas de Violation de données, INDEX ÉDUCATION doit, dans les meilleurs délais après en avoir pris connaissance, notifier au Client cette violation dans le respect du Droit applicable à la protection des données.
INDEX ÉDUCATION s'engage à coopérer pour permettre au Client de notifier la violation de données à l'Autorité de contrôle.

Sous-traitant ultérieur :

Le Client autorise INDEX ÉDUCATION, de façon générale, à faire intervenir un sous-traitant faisant partie du Groupe Docaposte. INDEX ÉDUCATION s'engage à informer le Client de tout changement concernant l'ajout ou le remplacement d'autres Sous-traitants ultérieurs faisant partie du Groupe Docaposte.
S'agissant de Sous-traitants ultérieurs ne faisant pas partie du Groupe Docaposte, INDEX ÉDUCATION ne devra pas faire intervenir un Sous-traitant ou un prestataire dans l'exécution des services sans l'autorisation écrite, préalable et spécifique du Client.
INDEX ÉDUCATION s'engage à ce que le(s) contrat(s) qu'il met en place avec ses éventuels Sous-traitants ultérieurs contien(nen)t des engagements au moins aussi stricts que ceux prévus au présent article.
INDEX ÉDUCATION restera pleinement responsable envers le Client en cas de non-respect par le Sous-traitant ultérieur de ses obligations en matière de protection des données.

Droits des Personnes Concernées :

INDEX ÉDUCATION s'engage à :
- Communiquer au Client dans les meilleurs délais, toute demande de communication des Données à caractère personnel ou d'accès à celles-ci qui lui aurait été faite directement par une Personne concernée ou quelle que soit l'autorité dont elle émane, sauf dans le seul cas où cette communication lui est interdite par ladite Autorité concernée, et à assister et coopérer avec le Client pour satisfaire aux exigences légales relatives à la protection des Données à caractère personnel ;
- Aider le Client, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le saisissent en vue d'exercer leurs droits prévus par le Droit applicable à la protection des données ;
- Corriger, mettre à jour, modifier ou supprimer des Données à caractère personnel utilisées dans le cadre de la sous-traitance des services sur instruction du Client.

Prestations d'Assistance au Client :

Sur acceptation expresse et préalable par le Client d'un devis émis par INDEX ÉDUCATION spécifiquement pour des prestations d'assistance au Client, INDEX ÉDUCATION pourra aider le Client à garantir le respect de ses obligations prévues par le Droit applicable à la protection des données en matière de sécurité des données, compte tenu des informations à sa disposition. Dans le cas où le Client ferait l'objet d'un contrôle de la part d'une Autorité de contrôle, INDEX ÉDUCATION s'engage à coopérer avec le Client et avec l'Autorité de contrôle.

Information - Audit :

INDEX ÉDUCATION s'engage à mettre à la disposition du Client toutes les informations strictement nécessaires en sa possession pour démontrer le respect des obligations prévues par le Droit applicable à la protection des données.

Suivi et amélioration des conditions de sécurité et de confidentialité des Données :

Le délégué à la protection des données d'INDEX ÉDUCATION désigné en Annexe de la présente Politique sera le point de contact référent du délégué à la protection des données ou toute personne référente en la matière désignée par le Client.
INDEX ÉDUCATION et le Client s'engagent à assurer une veille permanente de l'état des connaissances, des pratiques et technologies pertinentes permettant d'améliorer les mesures techniques et organisationnelles mises en place afin de garantir un niveau de sécurité adapté au risque, tout au long des CGVU.

Annexe - Traitement de données à caractère personnel

La présente Annexe est applicable aux CGVU acceptées par le Client lors de sa souscription aux services INDEX ÉDUCATION.

CATEGORIE DE SOUS-TRAITANCE

En fonction de l'offre retenue :
☒ Logiciel et Prestation d'assistance (EDT, HYPERPLANNING et PRONOTE)
☒ Logiciel et Prestations d'assistance et d'hébergement (EDT, HYPERPLANNING, PRONOTE et PRONOTE PRIMAIRE)

CONTACT

Nom et coordonnées du référent RGPD du Groupe Docaposte auprès du DPO du Groupe La Poste : Madame le DPO Référent Groupe DOCAPOSTE, privacy@docaposte.fr

DESCRIPTION DU TRAITEMENT

1. Finalités : Objet du ou des traitement(s)
Finalité principale (En fonction de l'offre retenue) :

Logiciel

Gestion et planification des enseignements de l'établissement.

HYPERPLANNING

Gestion administrative, pédagogique et financière des étudiants, des intervenants et des personnels dans l'établissement.

PRONOTE

Gestion administrative et pédagogique de l'établissement secondaire.

PRONOTE PRIMAIRE

Gestion administrative et pédagogique de l'établissement primaire.

Prestation d'assistance (Assistance à l'utilisation du logiciel par le Client) :

Les données à caractère personnel traitées sont, non exhaustivement, des données nominatives, des coordonnées, des événements de vie scolaire et toutes celles contenues dans le logiciel.
Les catégories de personnes concernées sont celles contenues dans le logiciel, non exhaustivement, personnels administratifs, enseignants, étudiants, élèves et/ou responsables, élèves et/ou responsables postulants.
Pour l'exécution des prestations d'assistance, le Client peut mettre à la disposition ponctuelle de l'Assistance la base de données de son logiciel sous contrat.

Prestation d'hébergement :

Mise à disposition d'une plateforme dédiée par client, entièrement configurable par ses soins, sur laquelle il garde le contrôle des moyens de son traitement. La plateforme inclut des services d'infogérance pour permettre au client de répondre à ses obligations légales de confidentialité, d'intégrité, de disponibilité et de résilience.
2. Nature des opérations réalisées sur les données

	cochez	commentaires / précisions
Collecte	☒	Informations des élèves ou des étudiants et de leurs responsables légaux sur leurs événements de vie scolaire.
enregistrement	☒	Enregistrement de l'ensemble des données.
organisation / classement / structuration	☒	Classement des données.
conservation	☒	Conservation des données dans une base au format propriétaire.
adaptation ou modification	☒	Toute donnée du Logiciel en fonction des profils et des droits.
extraction	☒	- Edition des bilans et des attestations - Extraction de statistiques anonymes
Export	☒	PRONOTE et PRONOTE PRIMAIRE : - Export des données vers des partenaires de gestion de cantine. - Export des données vers le LSU (Livret Scolaire Unique). - Export des données vers les ressources pédagogiques à la discrétion du Responsable du traitement.
consultation	☒	Logiciels : Toute donnée du Logiciel en fonction des profils et des droits dont : - Consultation des résultats obtenus par les élèves et leurs responsables légaux. - Consultation de leurs emplois du temps par les élèves, leurs responsables légaux et l'équipe éducative. Prestation d'assistance : - Consultation des données uniquement.
utilisation	☒	Toute donnée du Logiciel en fonction des profils et des droits dans le cadre des finalités.
communication par transmission	☒	Transmission des données suivantes avec agrément : - LSU à destination du Ministère de L'Education Nationale (MEN). - Au choix du responsable de traitement vers les prestataires de ressources numériques. PRONOTE PRIMAIRE : - Console Inspecteur de l’Education Nationale (IEN) et Console Mairie
diffusion ou toute autre forme de mise à disposition	☒	- Mise à disposition des données pour les enseignants et personnels administratifs via le client Logiciel. - Mise à disposition des données aux personnes concernées pour le site (pronote.net, edt.net ou hyperplanning.net en fonction de l'offre retenue).
rapprochement ou l'interconnexion	☒	Délégation de l'authentification et de l'accès aux ENT. Interconnexion avec des partenaires de : - Restauration, - Gestion financière, - Solution documentaire.
effacement ou destruction	☒	Dans le respect des obligations légales de conservation des données : EDT, PRONOTE, PRONOTE PRIMAIRE : Archivage annuel.
impression	☒	- Impression de toute donnée du Logiciel. - Edition des bilans et des attestations.
saisie	☒	Toute donnée du Logiciel, par exemple : - Informations des élèves et de leurs responsables légaux sur leurs événements de vie scolaire (absences, retards, punitions et sanctions), - Informations pédagogiques (notes, résultats) et administratives par l'équipe éducative, - Gestion des passages à l'infirmerie de l'établissement.
contrôle	☒	Toute donnée du Logiciel contrôlée par le Chef d'établissement.
archivage	☒	Dans le respect des obligations légales d'archivage. EDT, PRONOTE, PRONOTE PRIMAIRE : Archivage annuel.
autres	☐

3. Catégories de Données à caractère personnel traitées
EDT, PRONOTE, PRONOTE PRIMAIRE :

	Cochez	Description
état civil, identité, données d'identification, images…	☒	Élèves : Civilité, nom, prénoms, date de naissance, commune, département, pays de naissance, identifiant national élève (INE), identifiant interne (si besoin), nationalité (à des fins statistiques), adresse (si majeur), numéros de téléphone, photographie (sous réserve d'accord), adresse électronique, projet individuel, identifiants interne et applicatif de l’appareil mobile. Élèves postulants : Civilité, nom, prénoms, date de naissance, commune, département, pays de naissance, identifiant national élève (INE), identifiant interne (si besoin), nationalité (à des fins statistiques), adresse (si majeur), numéros de téléphone, adresse électronique, projet individuel. Personnes à contacter : Civilité, nom, prénoms, numéros de téléphone. Responsables légaux : Civilité, nom, prénoms, adresse, adresse électronique, numéros de téléphone, profession, identifiants interne et applicatif de l’appareil mobile. Responsables postulants : Civilité, nom, prénoms, adresse, adresse électronique, numéros de téléphone, profession. Professeurs et personnels : Civilité, nom, prénoms, adresse, numéros de téléphone, adresse électronique, discipline enseignée, numéro interne, photographie (sous réserve d'accord), identifiants interne et applicatif de l’appareil mobile. Maîtres de stage et IPR (PRONOTE) : Civilité, nom, prénoms, adresse, numéros de téléphone, adresse électronique.
vie personnelle (habitudes de vie, situation familiale, etc.)	☒	Élèves : code majorité, code orphelin, identité des responsables légaux, régime dans l'établissement. Responsables légaux : nombre d'enfants, lien de parenté, situation familiale. Personnes à contacter : lien avec l'élève.
Vie scolaire et/ou vie professionnelle (CV, formation professionnelles, distinction et diplômes)	☒	Élèves : situation scolaire actuelle et précédente, statut. Élèves (PRONOTE et PRONOTE PRIMAIRE) : vœux d'affectation, événements de la vie scolaire (assiduité, punitions, mesures conservatoires, …), notes et compétences, bilans et appréciations, parcours éducatif, accompagnement pédagogique spécifique, engagements, régimes (demi-pension, sortie). Responsables légaux : catégorie professionnelle. Maîtres de stage (PRONOTE) : Entreprise, fonction.
informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.)	☒	Élèves (PRONOTE) : code bourse, taux et montant des bourses. Responsables légaux : responsable financier, destinataire des aides sociales.
données bancaires (n° compte, RIB, IBAN, n° CB, etc.)	☐
données de connexion (adresse IP, identifiants dans des logs, etc.)	☒	Adresses IPs, nom et prénom, identifiant du terminal, horodatage des requêtes effectuées, message d'erreur des services d'authentification externes.
données de localisation (déplacements, données GPS, GSM, etc.)	☐
données révélant l'origine raciale ou ethnique	☐
données révélant les opinions politiques	☐
données révélant les convictions religieuses ou philosophiques	☐
données révélant l'appartenance syndicale	☐
données génétiques	☐
données biométriques aux fins d'identifier une personne physique de manière unique	☐
numéro de sécurité sociale	☐
données concernant la santé	☒	Élèves (PRONOTE et PRONOTE PRIMAIRE) : Données du Projet d'accueil individualisé (cf. Circulaire du 10/02/2021, paragraphe II.3.).
données concernant la vie sexuelle ou l'orientation sexuelle	☐
données relatives à des condamnations pénales ou infractions	☐
données relatives aux mineurs	☐
autres données	☐

HYPERPLANNING :

	Cochez	Description
état civil, identité, données d'identification, images…	☒	Étudiants : Civilité, nom, nom de naissance, prénoms, date de naissance, lieu de naissance, identifiant national élève (INE), identifiant interne (si besoin), numéro de contrat, nationalité (à des fins statistiques), adresse (si majeur), numéros de téléphone, photographie (sous réserve d'accord), adresse électronique, identifiants interne et applicatif de l’appareil mobile. Responsables légaux : Civilité, nom, prénoms, adresse, adresse électronique, numéros de téléphone, identifiants interne et applicatif de l’appareil mobile. Intervenants : Civilité, nom, nom de naissance, prénoms, adresse, numéros de téléphone, adresse électronique, date de naissance, lieu de naissance, discipline enseignée, numéro interne, photographie (sous réserve d'accord), site internet, identifiants interne et applicatif de l’appareil mobile. Personnels : Civilité, nom, prénoms, adresse, numéros de téléphone, adresse électronique. Correspondants des entreprises : Civilité, nom, prénoms, numéros de téléphone, adresse électronique.
vie personnelle (habitudes de vie, situation familiale, etc.)	☒	Étudiants : identité des responsables légaux, type et numéro de mutuelle, numéro d'assurance.
Vie scolaire et/ou vie professionnelle (CV, formation professionnelles, distinction et diplômes)	☒	Étudiants : date d'inscription, situation scolaire actuelle et précédente, statut, événements de la vie scolaire, notes, bilans et appréciations. Intervenants : apport annuel, statut, salle préférentielle. Responsables légaux : catégorie professionnelle, profession. Correspondants des entreprises : Entreprise, fonction.
informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.)	☒	Étudiants : code fiscal, financements horaire perçus. Intervenants : code fiscal, coûts (horaire, annuel), temps de travail, numéro de TVA.
données bancaires (n° compte, RIB, IBAN, n° CB, etc.)	☐
données de connexion (adresse IP, identifiants dans des logs, etc.)	☒	Adresses IPs, nom et prénom, identifiant du terminal, horodatage des requêtes effectuées, type des requêtes effectuées, message d'erreur des services d'authentification externes.
données de localisation (déplacements, données GPS, GSM, etc.)	☐
données révélant l'origine raciale ou ethnique	☐
données révélant les opinions politiques	☐
données révélant les convictions religieuses ou philosophiques	☐
données révélant l'appartenance syndicale	☐
données génétiques	☐
données biométriques aux fins d'identifier une personne physique de manière unique	☐
Numéro de sécurité sociale	☐
données concernant la santé	☐
données concernant la vie sexuelle ou l'orientation sexuelle	☐
données relatives à des condamnations pénales ou infractions	☐
données relatives aux mineurs	☐
autres données	☐

Applications mobiles :

	Cochez	Description
Données d'identification	☒	Adresses des serveurs PRONOTE, identifiants des comptes Utilisateur, jetons de connexion.

4. Durée de conservation des données

	Durée de conservation base active (production)	Durée de conservation archivage
état civil, identité, données d'identification, images…	Les données d'état-civil peuvent être conservées maximum deux ans à partir de la date de recueil de ces informations. Applications mobiles : Les données sont conservées tant que le compte est présent dans l’application mobile.	Prestation d'hébergement (EDT, PRONOTE et PRONOTE PRIMAIRE): Les années antérieures sont conservées en archivage intermédiaire 5 années maximum à la discrétion du client. HYPERPLANNING : Pas d'archivage intermédiaire.
vie personnelle (habitudes de vie, situation familiale, etc.)	Les données sont conservées pour une durée correspondant à l'année scolaire.	Prestation d'hébergement (EDT, PRONOTE et PRONOTE PRIMAIRE): Les années antérieures sont conservées en archivage intermédiaire 5 années maximum à la discrétion du client. HYPERPLANNING : Pas d'archivage intermédiaire.
Vie scolaire et/ou vie professionnelle (CV, formation professionnelles, distinction et diplômes)	Les données sont conservées pour une durée correspondant à l'année scolaire.	Prestation d'hébergement (EDT, PRONOTE et PRONOTE PRIMAIRE): Les années antérieures sont conservées en archivage intermédiaire 5 années maximum à la discrétion du client. HYPERPLANNING : Pas d'archivage intermédiaire.
informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.)	Les données sont conservées pour une durée correspondant à l'année scolaire.	Prestation d'hébergement (EDT, PRONOTE et PRONOTE PRIMAIRE): Les années antérieures sont conservées en archivage intermédiaire 5 années maximum à la discrétion du client. HYPERPLANNING : Pas d'archivage intermédiaire.
données bancaires (n° compte, RIB, IBAN, n° CB, etc.)
données de connexion (adresse IP, identifiants dans des logs, etc.)	Les journaux sont conservés pour l'année en cours, et l'année précédente est en archivage intermédiaire pour des raisons techniques dû à la conservation légale d'une année glissante.	Cf. précisions fournies sur la durée de conservation en base active.
données de localisation (déplacements, données GPS, GSM, etc.)
données révélant l'origine raciale ou ethnique
données révélant les opinions politiques
données révélant les convictions religieuses ou philosophiques
données révélant l'appartenance syndicale
données génétiques
données biométriques aux fins d'identifier une personne physique de manière unique
Numéro de sécurité sociale
données concernant la santé	Les données sont conservées pour une durée correspondant à l'année scolaire.	Prestation d'hébergement (EDT, PRONOTE et PRONOTE PRIMAIRE): Les années antérieures sont conservées en archivage intermédiaire 5 années maximum à la discrétion du client. HYPERPLANNING : Pas d'archivage intermédiaire.
données concernant la vie sexuelle ou l'orientation sexuelle
données relatives à des condamnations pénales ou infractions
données relatives aux mineurs
autres données

5. Catégories de personnes concernées
EDT, PRONOTE et PRONOTE PRIMAIRE :

Professeurs et personnels de l'établissement
Élèves de l'établissement
Responsables légaux des élèves de l'établissement
Élèves et Responsables légaux postulants dans l'établissement
Personnes à contacter

PRONOTE :

Maîtres de stage des élèves de l'établissement
Inspecteurs pédagogiques régionaux de l'éducation nationale