La question de l’utilisation et de la protection des données occupe une place de plus en plus importante dans le débat public, à juste titre. Le fonctionnement de l’offre de services Lycée connecté implique un traitement de données personnelles, par le biais d'une procédure sécurisée et conforme aux exigences européennes.
- # Bonnes pratiques
- # Lycée connecté - mode d'emploi
Pour son fonctionnement, Lycée connecté implique une collecte et un traitement de données personnelles. Selon les utilisateurs et les usages, diverses informations peuvent être collectées. Ce traitement doit être conforme aux principes du Règlement général pour la protection des données (RGPD), en vigueur depuis le 25 mai 2018, et à la loi relative à la protection des données personnelles du 20 juin 2018.
Quelles données sont collectées ?
Les données à caractère personnel ne peuvent être traitées qu’en vue d’une finalité déterminée, explicite et légitime au regard des missions de l’établissement.
Les informations suivantes peuvent être collectées lors de l'utilisation de Lycée connecté
- Pour les élèves : numéro d’identifiant (INE), données d'état-civil, photographie et coordonnées personnelles (adresse postale, téléphones fixe et portable, télécopie, adresse électronique). Tous les éléments concernant la vie scolaire, la scolarité et les productions scolaires de l'élève sont également collectés.
- Pour les responsables des élèves : état-civil, adresse postale, téléphones fixe et portable, télécopie, adresse électronique.
- Pour les personnels enseignants et non enseignants : état-civil, situation professionnelle, structure de rattachement, coordonnées professionnelles, adresse électronique, et numéro de téléphone personnel. Les données concernant la scolarité des élèves dont ils ont la charge sont également collectées, tout comme les productions pédagogiques et administratives.
Selon les cas, il existe plusieurs destinataires possibles des données collectées
- Élèves.
- Personnes responsables des élèves.
- Personnels enseignants.
- Autres personnels des établissements.
- Intervenants extérieurs : Inspecteurs, personnels de la région.
- Les Directions des systèmes d'information des académies de Poitiers, Limoges, Bordeaux, de la Région Nouvelle-Aquitaine.
- Associations de parents d’élèves et représentants des collectivités territoriales dans les instances délibératives de l’école ou de l’établissement (en ce qui concerne leur mandat).
Comment les données sont-elles protégées ?
La plateforme fait l'objet d'une sécurisation poussée qui la prémunit de nombreux risques.
L'accès n'est possible que par une authentification sécurisée (bases de données académiques, régionales et comptes invités), via un identifiant et un mot de passe (fournis en début d'année scolaire). Tous les accès au serveur sont enregistrés dans un journal (utilisateur, dates et actions réalisées).
Plusieurs programmes scannent à intervalles réguliers la plateforme afin de détecter les vulnérabilités et les éventuelles tentatives d'intrusion. Une solution antivirus est déployée pour contrôler l'intégrité de tous les fichiers déposés. Des mécanismes de chiffrement des données sont en place.
La Région s'assure du respect du RGPD par tous les partenaires impliqués dans le fonctionnement de la solution technique. Les datacenters où sont hébergées les données collectées sont situés en France dans des locaux spécialisés et sécurisés, conformes aux normes internationales en la matière.
Comment exercer ses droits ?
Conformément au Règlement européen n°2016/679/UE du 27 avril 2016 sur la protection des données et à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un ensemble de droits concernant vos données personnelles.
Vous pouvez à tout moment demander l’accès, la rectification, l’effacement, ou la limitation des données vous concernant, ou vous opposer à leur traitement.
Vous pouvez exercer vos droits concernant ce traitement auprès de votre chef d’établissement et du délégué à la protection des données (DPD) de votre académie :
- Académie de Poitiers : Antony Barillot
Contacter le DPD par voie électronique : dpd@ac-poitiers.fr
Contacter le DPD par courrier postal : Rectorat de l’académie de Poitiers
A l’attention du délégué à la protection des données (DPD)
22 rue Guillaume 7 Le Troubadour
86 000 Poitiers
- Académie de Limoges : Alexandre Rieux
Contacter le DPD par voie électronique : dpd@ac-limoges.fr
Contacter le DPD par courrier postal : Rectorat de l'académie de Limoges
A l’attention du délégué à la protection des données (DPD)
13 rue François Chénieux
CS 23124
87031 Limoges cedex 1
- Académie de Bordeaux : Thierry Lavigne
Contacter le DPD par voie électronique : dpd@ac-bordeaux.fr
Contacter le DPD par courrier postal : Rectorat de l'académie de Bordeaux
A l’attention du délégué à la protection des données (DPD)
5, rue Joseph de Carayon-Latour
CS 81499
33060 Bordeaux Cedex
- DRAAF Nouvelle-Aquitaine : Franck Daniel et Laurent Vilain
Contacter les DPD mutualisés de l'Enseignement Agricole Public (EAP) par voie électronique : dpd-ea.draaf-nouvelle-aquitaine@agriculture.gouv.fr
Contacter le DPD par courrier postal : Franck DANIEL - DRAAF Nouvelle-Aquitaine
SRFD - DPD EA académie de Bordeaux
51, rue Kiéser - CS 31387
33077 Bordeaux Cedex
Contacter le DPD par courrier postal : Laurent VILLAIN - DRAAF Nouvelle-Aquitaine
SRFD - DPD EA académie de Poitiers & Limoges
15, rue Arthur Ranc - CS 40537
86020 Poitiers Cedex
Avant de répondre à votre demande, nous sommes susceptibles de vérifier votre identité et/ou vous demander de nous fournir davantage d’informations pour répondre à votre demande.
Nous nous efforcerons de donner suite à votre demande dans un délai raisonnable et, en tout état de cause, dans les délais fixés par la loi.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).
Combien de temps les données sont-elles conservées ?
Les données sont mises à jour pendant les congés d'été de chaque année scolaire.
Les données sont supprimées dans un délai de trois mois après la sortie de l'élève du système d'information académique.
Pour les enseignants, les comptes sont conservés le temps de la durée d'intervention dans l'établissement au point de vue professionnel.
Les contributions personnelles laissées dans les espaces communautaires ou de stockage d'informations personnelles, sauf opposition du contributeur lors de la fermeture de son compte, ne sont conservées qu'à des fins informatives, pédagogiques ou scientifiques dans les conditions définies dans le règlement.
Le RGPD, c’est quoi ?
Le Règlement général pour la protection des données(RGPD) est un texte européen entré en application le 25 mai 2018 qui vise à encadrer l’utilisation des données personnelles. Ces dernières correspondent à toutes les informations « se rapportant à une personne physique identifiée ou identifiable », que l’identification soit directe ou indirecte. Le RGPD impose un principe de consentement du propriétaire des données pour toute collecte et utilisation des données par une entité publique ou privée. Il répond à trois objectifs :
- renforcer les droits des personnes.
- responsabiliser les acteurs traitant des données.
- crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.