Skip to content

FAQ PRONOTE
RGPD et protection des données

  • RGPD et protection des données
  • Fiche de registre RGPD : où la télécharger et comment la compléter ? (mis à jour le 09 juillet 2018)
  • La fiche de registre RGPD est un document dans lequel le chef d'établissement doit recenser de façon précise les traitements de données personnelles mis en œuvre.

    Index Éducation met à votre disposition une aide à rédaction de cette fiche dans le cadre de la gestion administrative et financière des élèves avec PRONOTE :

    Aide à la rédaction de la fiche registre
  • Quelles données personnelles sont conservées dans PRONOTE ? (mis à jour le 01 juin 2018)
  • Les données personnelles conservées dans la base de données PRONOTE de l’établissement doivent correspondre à celles dont l’établissement est destinataire selon les arrêtés portant sur les traitements automatisés de l’Éducation nationale, par exemple l'article 5 de l'arrêté du 22 septembre 1995, portant sur les traitements automatisés liés à la gestion administrative et pédagogique des élèves du second degré.
  • Qui est responsable des données conservées dans PRONOTE ?
  • C’est le chef d'établissement qui est responsable du traitement des données conservées dans la base de données PRONOTE de l’établissement.
  • D'où viennent les données conservées dans PRONOTE ?
  • Les données conservées dans la base de données PRONOTE de l’établissement viennent du ministère de l'Éducation nationale (ou de son ministère de rattachement) et des saisies manuelles faites au cours de l’année par les professeurs et les personnels administratifs de l'établissement. En fonction de l’établissement, des données peuvent également provenir d'organismes tiers comme ceux qui gèrent la restauration scolaire, le CDI, etc.
  • Où sont stockées les données saisies dans PRONOTE ?
  • La base de données PRONOTE de l’établissement se situe sur un serveur choisi par l'établissement. Celui-ci peut être localisé dans l'établissement ou hébergé dans un centre de données (datacenter).

    Index Éducation propose un service d’hébergement dans son centre de données à Marseille. Ce centre de données réunit des conditions de sécurité de niveau TIER 3 et chaque établissement dispose d’un environnement dédié et cloisonné.
  • Qui peut accéder aux données conservées dans PRONOTE ? (mis à jour le 01 juin 2018)
  • C'est le chef d'établissement qui définit qui peut accéder à quelles données.

    Chaque utilisateur de PRONOTE (professeur, personnel administratif, responsable légal, élève, maître de stage, inspecteur académique) dispose d’un espace sécurisé auquel il accède avec un identifiant et un mot de passe. Les données qu’il peut voir ou modifier dépendent de son profil, défini par le chef d’établissement.

    D'autre part, le chef d'établissement peut exporter les données conservées dans PRONOTE :
    - vers LSU, le livret scolaire unique mis en place par le ministère de l’Éducation nationale,
    - vers les services de restauration scolaire, de gestion financière, etc.,
    - vers un espace numérique de travail et ses services de confiance (ressources numériques).

    Dans le cas des bases de données hébergées dans le centre de données d’Index Éducation, des opérations de maintenance et de contrôle peuvent être effectuées à la demande du chef d’établissement. Ces opérations sont effectuées par des personnels identifiés dont l’action est consignée dans un registre.
  • Pourquoi l'application PRONOTE demande-t-elle l'accès à l'identité, la position, les fichiers et la caméra ?
  • Identité : pour que l'utilisateur puisse envoyer une demande d'assistance par e-mail (identité non stockée).

    Position : pour que l'utilisateur puisse accéder à la liste des établissements proches s'il choisit la géolocalisation lors de la configuration de son profil (position non stockée).

    Photos/multimédia/fichiers : pour tenir un journal des opérations réalisées (utilisé en cas de demande d'assistance et stocké localement).

    Caméra : pour que l'utilisateur puisse flasher le QR code de son Espace sur son ordinateur s'il choisit cette option lors de la configuration de son profil (image non stockée).

  • RGPD : quelles sont les nouvelles obligations du chef d'établissement ?
  • Le règlement général sur la protection des données (RGPD) indique que « tout traitement de données à caractère personnel doit être licite et loyal ». Le responsable du traitement des données doit informer les personnes concernées « des risques, règles, garanties et droits liés au traitement » et « garantir une sécurité et une confidentialité appropriées ».

    Pour cela, le chef d'établissement doit tenir un registre où sont consignés le caractère licite des traitements des données et les mesures prises pour garantir la sécurité des données traitées.

    Il doit notamment garantir :

    • la sécurité physique du serveur où le traitement est effectué ;

    • la protection des données qui ne doivent être accessibles qu’aux personnes habilitées ;

    • la sécurité des systèmes de communication informatiques et électroniques ;

    • la capacité à rétablir la disponibilité du serveur dans des délais appropriés en cas d’incident.
  • RGPD : quelles sont les nouvelles obligations des éditeurs de logiciels ?
  • Le règlement général sur la protection des données (RGPD) indique que les logiciels doivent être développés en intégrant, dès leur conception, les notions de sécurité et de protection des données personnelles.

    À ce titre, Index Éducation s'inscrivait déjà pleinement dans cette perspective. Tous les logiciels édités par Index Éducation sont conçus avec un souci permanent de protéger les données :

    • les données personnelles sont chiffrées,

    • les bases de données sont annuelles, cela permet de limiter de fait la durée de conservation des données,

    • chacun accède uniquement aux données auxquelles le chef d'établissement lui donne accès,

    • le niveau de sécurité des mots de passe est celui recommandé par la CNIL,

    • des sauvegardes et archivages quotidiens garantissent la préservation des données,

    • les services internet sont sécurisés avec le protocole TLS.


    Dans le cadre de l'hébergement proposé par Index Éducation :

    • le centre de données (data center) est en France et réunit les conditions de disponibilité de niveau TIER 3,

    • chaque établissement a un serveur dédié, seule garantie d'une parfaite étanchéité entre les bases des établissements.

  • Quelles sont les mesures mises en œuvre par Index Éducation dans le cadre du RGPD ?
  • Dans le cadre du nouveau règlement européen sur la protection des données, Index Éducation restera vigilante à l’évolution des lois pour aider les chefs d’établissement à comprendre, respecter et faire respecter leurs obligations sur la protection des données personnelles.

    D’autre part, dès la rentrée 2018, nos logiciels évoluent pour intégrer toutes les recommandations des agences nationales pour la sécurisation des comptes informatiques et la gestion des mots de passe.

    Dans le cadre du service d'assistance, Index Éducation renforce dès à présent les contrôles d’accès et la traçabilité des actions effectuées. Les procédures évoluent pour que chacun soit encouragé à n’avoir que des bonnes pratiques.
  • L'établissement doit-il faire une déclaration à la CNIL ?
  • À partir de l'entrée en vigueur du règlement européen sur la protection des données, le 25 mai 2018, les traitements de données ne doivent plus être déclarés. Les traitements de données doivent être justifiés, proportionnés et compatibles avec les droits fondamentaux. Ils doivent être consignés dans un registre documentant leur caractère licite et les mesures prises pour garantir la sécurité des données traitées.


    Les paragraphes suivants sont obsolètes à partir du 25 mai 2018.

    En conformité avec les dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, les traitements automatisés de données nominatives réalisés dans le cadre de l'utilisation de logiciels doivent faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés. La déclaration doit être faite par le responsable du traitement des données personnelles, c'est-à-dire le chef de l'établissement..

    Les déclarations se trouvent sur le site de la CNIL (Commission nationale informatique et libertés) http://www.cnil.fr

    La déclaration à faire dépend de votre situation : http://www.index-education.com/fr/aide-declaration-cnil.php

  • Quelle politique des mots de passe faut-il adopter ?
  • Au plus près de la CNIL
    Afin de garantir toujours plus de sécurité, Index Éducation suit l’évolution des recommandations de la CNIL en matière de génération des mots de passe. Ainsi les options proposées et leurs valeurs par défaut évoluent régulièrement pour vous permettre de maintenir un niveau de sécurité suffisant lors de l’utilisation de nos logiciels.

    Mot de passe renforcé pour les « Administrateurs »
    Les utilisateurs tenant le rôle d’administrateur, notamment le SPR, doivent être encore plus vigilants quant au choix de leur mot de passe. À ce titre, la CNIL recommande un mot de passe d’au moins 10 caractères mêlant des lettres en majuscules et minuscules, des caractères numériques ainsi que des caractères spéciaux.

    L’atout majeur : la confidentialité
    Quel que soit le niveau de sécurité de votre mot de passe, il est indispensable de le conserver secret, de ne pas le divulguer, ne pas le noter et le taper à l’abri des regards indiscrets.

    Pour aller plus loin
    Voici quelques références concernant la sécurité des mots des passe :
    - Délibération n° 2017-012 du 19 janvier 2017 – Service public de la diffusion du droit
    - Conseils de la CNIL pour un bon mot de passe - CNIL
    - Recommandations de sécurité minimale - CNIL
    - Les bonnes pratiques de l’informatique - ANSSI
    - Recommandation de sécurité relatives aux mots de passe – ANSSI