FAQ HYPERPLANNING

La protection des données

  • Fiche de registre RGPD : où la télécharger et comment la compléter ?
  • La fiche de registre RGPD est un document dans lequel le directeur d'établissement doit recenser de façon précise les traitements de données personnelles mis en oeuvre.

    Index Éducation met à votre disposition une aide à la rédaction de cette fiche dans le cadre de la gestion administrative et financière des étudiants avec HYPERPLANNING :

    Aide à la rédaction de la fiche registre
  • Qu'en est-il des données personnelles dans HYPERPLANNING ?
  • Qui est le responsable des données conservées dans HYPERPLANNING ?

    C'est le directeur d'établissement qui est responsable du traitement des données conservées dans la base de données HYPERPLANNING de l'établissement.


    Où sont stockées les données saisies dans HYPERPLANNING ?

    La base de données HYPERPLANNING de l'établissement se situe sur un serveur choisi par l'établissement. Celui-ci peut être localisé dans l'établissement ou hébergé dans un centre de données (data center).

    Index Éducation propose un service d'hébergement dans son centre de données à Marseille. Ce centre de données réunit des conditions de sécurité de niveau TIER 3 et chaque établissement dispose d'un environnement dédié et cloisonné.


    Qui peut accéder aux données conservées dans HYPERPLANNING ?

    C'est le directeur d'établissement qui définit qui peut accéder à quelles données.

    Chaque utilisateur d'HYPERPLANNING (enseignant, personnel administratif, parent, étudiant, maître de stage, appariteur) dispose d'un espace sécurisé auquel il accède avec un identifiant et un mot de passe. Les données qu'il peut voir ou modifier dépendent de son profil, défini par le directeur d'établissement.

    Dans le cas des bases de données hébergées dans le centre de données d'Index Éducation, des opérations de maintenance et de contrôle peuvent être effectuées à la demande du directeur d'établissement. Ces opérations sont effectuées par des personnels identifiés dont l'action est consignée dans un registre.
  • Pourquoi l'application HYPERPLANNING demande-t-elle l'accès à l'identité, la position, les fichiers et la caméra ?
  • Identité : pour que l'utilisateur puisse envoyer une demande d'assistance par e-mail (identité non stockée).

    Position : pour que l'utilisateur puisse accéder à la liste des établissements proches s'il choisit la géolocalisation lors de la configuration de son profil (position non stockée).

    Photos/multimédia/fichiers : pour tenir un journal des opérations réalisées (utilisé en cas de demande d'assistance et stocké localement).

    Caméra : pour que l'utilisateur puisse flasher le QR code de son Espace sur son ordinateur s'il choisit cette option lors de la configuration de son profil (image non stockée).

  • Quelle politique des mots de passe faut-il adopter ?
  • Une base de données contient les données personnelles de plusieurs centaines ou milliers de personnes et les enseignants sont particulièrement exposés au vol de leur mot de passe (qu'ils se connectent directement ou via un ENT) car ils le saisissent fréquemment en présence d'élèves ou d'autres personnes.

    Notre rôle est de proposer des solutions pour protéger les données, la responsabilité de chacun est d'adapter sa sécurité en fonction de son contexte d'utilisation.

    Quel que soit le contexte, le chef d'établissement doit veiller aux points suivants.

    Règle de composition des mots de passe

    La règle de composition des mots de passe proposée par défaut évolue avec les recommandations de la CNIL. Actuellement, elle impose aux utilisateurs une taille minimum de 8 caractères et 3 critères de complexité :

    • Au moins un caractère numérique

    • Au moins une lettre

    • Mélange de minuscules et majuscules


    Les utilisateurs tenant le rôle d'administrateur, notamment le SPR, doivent être encore plus vigilants quant au choix de leur mot de passe. À ce titre, la CNIL recommande un mot de passe d'au moins 10 caractères mêlant des lettres en majuscules et minuscules, des caractères numériques ainsi que des caractères spéciaux.

    Attention, si vous récupérez les mots de passe d'année en année, il faut forcer leur changement pour appliquer cette règle.


    Renouvellement des mots de passe

    Il est nécessaire d'imposer régulièrement un renouvellement du mot de passe. Une manière simple de le faire est de ne pas récupérer les mots de passe d'année en année : à chaque rentrée, vous communiquez un nouveau mot de passe provisoire à chaque utilisateur qui le personnalise lors de sa première connexion.

    Une autre manière de faire est d'inciter ou forcer le changement des mots de passe tous les X jours. Selon l'option choisie, les utilisateurs sont informés qu'il est conseillé ou indispensable de modifier leur mot de passe.


    Double-authentification

    Pour respecter les recommandations de la CNIL, nous proposons par défaut aux enseignants et aux personnels la saisie d'un code PIN et / ou l'envoi de notifications lors de la connexion depuis tout nouvel appareil.

    Il est préférable de conserver ces mesures de sécurité.


    Sensibilisation des utilisateurs


    Il est conseillé de rappeler aux utilisateurs les règles essentielles à respecter : conserver son mot de passe secret, ne pas le noter ni le taper à l'abri des regards indiscrets, etc.


    Pour aller plus loin