FAQ PRONOTE

La protection des données

  • Fiche de registre RGPD : où la télécharger et comment la compléter ?
  • La fiche de registre RGPD est un document dans lequel le directeur d'établissement doit recenser de façon précise les traitements de données personnelles mis en oeuvre.

    Index Éducation met à votre disposition une aide à la rédaction de cette fiche dans le cadre de la gestion administrative et financière des élèves avec PRONOTE :

    Aide à la rédaction de la fiche registre
  • Qu'en est-il des données personnelles dans PRONOTE ?
  • Quelles données personnelles sont conservées dans PRONOTE ?

    Les données personnelles conservées dans la base de données PRONOTE de l'établissement doivent correspondre à celles dont l'établissement est destinataire selon les arrêtés portant sur les traitements automatisés de l'Éducation nationale, par exemple l'article 5 de l'arrêté du 22 septembre 1995, portant sur les traitements automatisés liés à la gestion administrative et pédagogique des élèves du second degré.


    Qui est le responsable des données conservées dans PRONOTE ?

    C’est le directeur d'établissement qui est responsable du traitement des données conservées dans la base de données PRONOTE de l'établissement.


    D'où viennent les données conservées dans PRONOTE ?

    Les données conservées dans la base de données PRONOTE de l'établissement viennent du ministère de l'Éducation nationale (ou de son ministère de rattachement) et des saisies manuelles faites au cours de l'année par les professeurs et les personnels administratifs de l'établissement. En fonction de l'établissement, des données peuvent également provenir d'organismes tiers comme ceux qui gèrent la restauration scolaire, le CDI, etc.


    Où sont stockées les données saisies dans PRONOTE ?

    La base de données PRONOTE de l'établissement se situe sur un serveur choisi par l'établissement. Celui-ci peut être localisé dans l'établissement ou hébergé dans un centre de données (data center).

    Index Éducation propose un service d'hébergement dans son centre de données à Marseille. Ce centre de données réunit des conditions de sécurité de niveau TIER 3 et chaque établissement dispose d'un environnement dédié et cloisonné.


    Qui peut accéder aux données conservées dans PRONOTE ?

    C'est le directeur d'établissement qui définit qui peut accéder à quelles données.

    Chaque utilisateur de PRONOTE (professeur, personnel administratif, responsable légal, élève, maître de stage, inspecteur académique) dispose d'un espace sécurisé auquel il accède avec un identifiant et un mot de passe. Les données qu'il peut voir ou modifier dépendent de son profil, défini par le directeur d'établissement.

    D'autre part, le directeur d'établissement peut exporter les données conservées dans PRONOTE :
    - vers LSU, le livret scolaire unique mis en place par le ministère de l'Éducation nationale,
    - vers les services de restauration scolaire, de gestion financière, etc.,
    - vers un espace numérique de travail et ses services de confiance (ressources numériques).

    Dans le cas des bases de données hébergées dans le centre de données d'Index Éducation, des opérations de maintenance et de contrôle peuvent être effectuées à la demande du directeur d'établissement. Ces opérations sont effectuées par des personnels identifiés dont l'action est consignée dans un registre.
  • Pourquoi PRONOTE propose de nouvelles possibilités pour sécuriser son compte ?
  • Pour respecter les recommandations de la CNIL, PRONOTE propose aux enseignants et aux personnels la saisie d'un code PIN et / ou l'envoi de notifications lors de la connexion depuis tout nouvel appareil.

    Cette étape supplémentaire est à réaliser une seule fois par appareil, s'il est enregistré et si les cookies ne sont pas supprimés en fin de session (voir la FAQ Comment éviter la saisie du code PIN à chaque connexion tout en sécurisant mon compte ?).



    Une base de données PRONOTE contient les données personnelles de plusieurs centaines ou milliers de personnes et les enseignants sont particulièrement exposés au vol de leur mot de passe (qu'ils se connectent à PRONOTE directement ou via un ENT) car ils le saisissent fréquemment en présence d'élèves ou d'autres personnes.

    Le rôle d'un éditeur de logiciel est de proposer des solutions pour protéger les données, la responsabilité de chacun est d'adapter sa sécurité en fonction de son contexte d'utilisation.

    Dans tous les cas, c'est le chef d'établissement qui choisit les possibilités proposées (menu Paramètres > Options générales > Sécurité) et chaque utilisateur peut modifier son choix dans l'onglet Mes données > Compte > Sécurisation du compte depuis l'Espace Professeurs ou depuis le menu Préférences > Sécurité depuis un Client PRONOTE.

    Voir le tutoriel Sécuriser son compte
  • Pourquoi l'application PRONOTE demande-t-elle l'accès à l'identité, la position, les fichiers et la caméra, etc. ?
  • Internet : pour savoir si la connexion au Serveur PRONOTE est possible.

    Identité : pour que l'utilisateur puisse envoyer une demande d'assistance par e-mail (identité non stockée).

    Position : pour que l'utilisateur puisse accéder à la liste des établissements proches s'il choisit la géolocalisation lors de la configuration de son profil (position utilisée à la demande de l'utilisateur et non stockée).

    Photos/multimédia/fichiers : pour enregistrer des fichiers sur l'appareil (certificat de scolarité, bulletins, etc.) et afficher des images.

    Caméra : pour que l'utilisateur puisse flasher le QR code de son Espace sur son ordinateur s'il choisit cette option lors de la configuration de son profil (image non stockée).

    Calendrier : pour que l'utilisateur puisse enregistrer les événements PRONOTE dans son calendrier.

    Notification et badge : pour que l'utilisateur puisse - si l'établissement le permet et si l'utilisateur le souhaite - être notifié lorsqu'il a reçu un message.
  • RGPD : quelles sont les nouvelles obligations de chacun ?
  • Les obligations du directeur d'établissement

    Le règlement général sur la protection des données (RGPD) indique que « tout traitement de données à caractère personnel doit être licite et loyal ». Le responsable du traitement des données doit informer les personnes concernées « des risques, règles, garanties et droits liés au traitement » et « garantir une sécurité et une confidentialité appropriées ».

    Pour cela, le directeur d'établissement doit tenir un registre où sont consignés le caractère licite des traitements des données et les mesures prises pour garantir la sécurité des données traitées.

    Il doit notamment garantir :

    • la sécurité physique du serveur où le traitement est effectué ;

    • la protection des données qui ne doivent être accessibles qu'aux personnes habilitées ;

    • la sécurité des systèmes de communication informatiques et électroniques ;

    • la capacité à rétablir la disponibilité du serveur dans des délais appropriés en cas d'incident.


    Les obligations des éditeurs de logiciels

    Le règlement général sur la protection des données (RGPD) indique que les logiciels doivent être développés en intégrant, dès leur conception, les notions de sécurité et de protection des données personnelles.

    À ce titre, Index Éducation s'inscrivait déjà pleinement dans cette perspective. Tous les logiciels édités par Index Éducation sont conçus avec un souci permanent de protéger les données :

    • les données personnelles sont chiffrées,

    • les bases de données sont annuelles, cela permet de limiter de fait la durée de conservation des données,

    • chacun accède uniquement aux données auxquelles le directeur d'établissement lui donne accès,

    • le niveau de sécurité des mots de passe est celui recommandé par la CNIL,

    • des sauvegardes et archivages quotidiens garantissent la préservation des données,

    • les services internet sont sécurisés avec le protocole TLS.


    Dans le cadre de l'hébergement proposé par Index Éducation :

    • le centre de données (data center) est en France et réunit les conditions de disponibilité de niveau TIER 3,

    • chaque établissement a un serveur dédié, seule garantie d'une parfaite étanchéité entre les bases des établissements.
  • Quelles sont les mesures mises en œuvre par Index Éducation dans le cadre du RGPD ?
  • Dans le cadre du nouveau règlement européen sur la protection des données, Index Éducation restera vigilante à l'évolution des lois pour aider les directeurs d'établissement à comprendre, respecter et faire respecter leurs obligations sur la protection des données personnelles.

    D'autre part, depuis la rentrée 2018, nos logiciels ont évolué afin d'intégrer toutes les recommandations des agences nationales pour la sécurisation des comptes informatiques et la gestion des mots de passe.

    Dans le cadre du service d'assistance, Index Éducation renforce dorénavant les contrôles d'accès et la traçabilité des actions effectuées. Les procédures évoluent pour que chacun soit encouragé à n'avoir que des bonnes pratiques.
  • L'établissement doit-il faire une déclaration à la CNIL ?
  • À partir de l'entrée en vigueur du règlement européen sur la protection des données, le 25 mai 2018, les traitements de données ne doivent plus être déclarés. Les traitements de données doivent être justifiés, proportionnés et compatibles avec les droits fondamentaux. Ils doivent être consignés dans un registre documentant leur caractère licite et les mesures prises pour garantir la sécurité des données traitées.
  • Quelle politique des mots de passe faut-il adopter ?
  • Une base de données contient les données personnelles de plusieurs centaines ou milliers de personnes et les enseignants sont particulièrement exposés au vol de leur mot de passe (qu'ils se connectent directement ou via un ENT) car ils le saisissent fréquemment en présence d'élèves ou d'autres personnes.

    Notre rôle est de proposer des solutions pour protéger les données, la responsabilité de chacun est d'adapter sa sécurité en fonction de son contexte d'utilisation.

    Quel que soit le contexte, le chef d'établissement doit veiller aux points suivants.

    Règle de composition des mots de passe

    La règle de composition des mots de passe proposée par défaut évolue avec les recommandations de la CNIL. Actuellement, elle impose aux utilisateurs une taille minimum de 10 caractères et 3 critères de complexité :

    • Au moins un caractère numérique

    • Au moins une lettre

    • Mélange de minuscules et majuscules


    Les utilisateurs tenant le rôle d'administrateur, notamment le SPR, doivent être encore plus vigilants quant au choix de leur mot de passe. À ce titre, la CNIL recommande un mot de passe d'au moins 10 caractères mêlant des lettres en majuscules et minuscules, des caractères numériques ainsi que des caractères spéciaux.

    Attention, si vous récupérez les mots de passe d'année en année, il faut forcer leur changement pour appliquer cette règle.


    Renouvellement des mots de passe

    Il est nécessaire d'imposer régulièrement un renouvellement du mot de passe. Une manière simple de le faire est de ne pas récupérer les mots de passe d'année en année : à chaque rentrée, vous communiquez un nouveau mot de passe provisoire à chaque utilisateur qui le personnalise lors de sa première connexion.

    Une autre manière de faire est d'inciter ou forcer le changement des mots de passe tous les X jours. Selon l'option choisie, les utilisateurs sont informés qu'il est conseillé ou indispensable de modifier leur mot de passe.


    Double-authentification

    Pour respecter les recommandations de la CNIL, nous proposons par défaut aux enseignants et aux personnels la saisie d'un code PIN et / ou l'envoi de notifications lors de la connexion depuis tout nouvel appareil.

    Il est préférable de conserver ces mesures de sécurité.


    Sensibilisation des utilisateurs


    Il est conseillé de rappeler aux utilisateurs les règles essentielles à respecter : conserver son mot de passe secret, ne pas le noter ni le taper à l'abri des regards indiscrets, etc.


    Pour aller plus loin