Skip to content

FAQ EDT
Le RGPD et la protection des données

  • RGPD : quelles sont les nouvelles obligations de chacun ?
  • Les obligations du directeur d'établissement


    Le règlement général sur la protection des données (RGPD) indique que « tout traitement de données à caractère personnel doit être licite et loyal ». Le responsable du traitement des données doit informer les personnes concernées « des risques, règles, garanties et droits liés au traitement » et « garantir une sécurité et une confidentialité appropriées ».

    Pour cela, le directeur d'établissement doit tenir un registre où sont consignés le caractère licite des traitements des données et les mesures prises pour garantir la sécurité des données traitées.

    Il doit notamment garantir :

    • la sécurité physique du serveur où le traitement est effectué ;

    • la protection des données qui ne doivent être accessibles qu'aux personnes habilitées ;

    • la sécurité des systèmes de communication informatiques et électroniques ;

    • la capacité à rétablir la disponibilité du serveur dans des délais appropriés en cas d'incident.


    Les obligations des éditeurs de logiciels


    Le règlement général sur la protection des données (RGPD) indique que les logiciels doivent être développés en intégrant, dès leur conception, les notions de sécurité et de protection des données personnelles.

    À ce titre, Index Éducation s'inscrivait déjà pleinement dans cette perspective. Tous les logiciels édités par Index Éducation sont conçus avec un souci permanent de protéger les données :

    • les données personnelles sont chiffrées,

    • les bases de données sont annuelles, cela permet de limiter de fait la durée de conservation des données,

    • chacun accède uniquement aux données auxquelles le directeur d'établissement lui donne accès,

    • le niveau de sécurité des mots de passe est celui recommandé par la CNIL,

    • des sauvegardes et archivages quotidiens garantissent la préservation des données,

    • les services internet sont sécurisés avec le protocole TLS.


    Dans le cadre de l'hébergement proposé par Index Éducation :

    • le centre de données (data center) est en France et réunit les conditions de disponibilité de niveau TIER 3,

    • chaque établissement a un serveur dédié, seule garantie d'une parfaite étanchéité entre les bases des établissements.

  • Quelles sont les mesures mises en œuvre par Index Éducation dans le cadre du RGPD ?
  • Dans le cadre du nouveau règlement européen sur la protection des données, Index Éducation restera vigilante à l'évolution des lois pour aider les directeurs d'établissement à comprendre, respecter et faire respecter leurs obligations sur la protection des données personnelles.

    D’autre part, dès la rentrée 2018, nos logiciels évoluent pour intégrer toutes les recommandations des agences nationales pour la sécurisation des comptes informatiques et la gestion des mots de passe.

    Dans le cadre du service d'assistance, Index Éducation renforce dès à présent les contrôles d'accès et la traçabilité des actions effectuées. Les procédures évoluent pour que chacun soit encouragé à n'avoir que des bonnes pratiques.
  • L'établissement doit-il faire une déclaration à la CNIL ?
  • À partir de l'entrée en vigueur du règlement européen sur la protection des données, le 25 mai 2018, les traitements de données ne doivent plus être déclarés. Les traitements de données doivent être justifiés, proportionnés et compatibles avec les droits fondamentaux. Ils doivent être consignés dans un registre documentant leur caractère licite et les mesures prises pour garantir la sécurité des données traitées.

  • Quelle politique des mots de passe faut-il adopter ?
  • Au plus près de la CNIL
    Afin de garantir toujours plus de sécurité, Index Éducation suit l'évolution des recommandations de la CNIL en matière de génération des mots de passe. Ainsi les options proposées et leurs valeurs par défaut évoluent régulièrement pour vous permettre de maintenir un niveau de sécurité suffisant lors de l'utilisation de nos logiciels.

    Mot de passe renforcé pour les « Administrateurs »
    Les utilisateurs tenant le rôle d'administrateur, notamment le SPR, doivent être encore plus vigilants quant au choix de leur mot de passe. À ce titre, la CNIL recommande un mot de passe d’au moins 10 caractères mêlant des lettres en majuscules et minuscules, des caractères numériques ainsi que des caractères spéciaux.

    L'atout majeur : la confidentialité
    Quel que soit le niveau de sécurité de votre mot de passe, il est indispensable de le conserver secret, de ne pas le divulguer, ne pas le noter et le taper à l'abri des regards indiscrets.

    Pour aller plus loin
    Voici quelques références concernant la sécurité des mots de passe :
    - Délibération n° 2017-012 du 19 janvier 2017 – Service public de la diffusion du droit
    - Conseils de la CNIL pour un bon mot de passe - CNIL
    - Recommandations de sécurité minimale - CNIL
    - Les bonnes pratiques de l’informatique - ANSSI
    - Recommandation de sécurité relatives aux mots de passe – ANSSI