Skip to content

FAQ HYPERPLANNING
Le RGPD et la protection des données

  • Qu'en est-il des données personnelles dans HYPERPLANNING ?
  • Qui est le responsable des données conservées dans HYPERPLANNING ?

    C’est le directeur d'établissement qui est responsable du traitement des données conservées dans la base de données HYPERPLANNING de l'établissement.


    Où sont stockées les données saisies dans HYPERPLANNING ?

    La base de données HYPERPLANNING de l'établissement se situe sur un serveur choisi par l'établissement. Celui-ci peut être localisé dans l'établissement ou hébergé dans un centre de données (data center).

    Index Éducation propose un service d'hébergement dans son centre de données à Marseille. Ce centre de données réunit des conditions de sécurité de niveau TIER 3 et chaque établissement dispose d'un environnement dédié et cloisonné.


    Qui peut accéder aux données conservées dans HYPERPLANNING ?

    C'est le directeur d'établissement qui définit qui peut accéder à quelles données.

    Chaque utilisateur d'HYPERPLANNING (enseignant, personnel administratif, parent, étudiant, maître de stage, appariteur) dispose d'un espace sécurisé auquel il accède avec un identifiant et un mot de passe. Les données qu'il peut voir ou modifier dépendent de son profil, défini par le directeur d'établissement.

    Dans le cas des bases de données hébergées dans le centre de données d'Index Éducation, des opérations de maintenance et de contrôle peuvent être effectuées à la demande du directeur d'établissement. Ces opérations sont effectuées par des personnels identifiés dont l'action est consignée dans un registre.
  • Pourquoi l'application HYPERPLANNING demande-t-elle l'accès à l'identité, la position, les fichiers et la caméra ?
  • Identité : pour que l'utilisateur puisse envoyer une demande d'assistance par e-mail (identité non stockée).

    Position : pour que l'utilisateur puisse accéder à la liste des établissements proches s'il choisit la géolocalisation lors de la configuration de son profil (position non stockée).

    Photos/multimédia/fichiers : pour tenir un journal des opérations réalisées (utilisé en cas de demande d'assistance et stocké localement).

    Caméra : pour que l'utilisateur puisse flasher le QR code de son Espace sur son ordinateur s'il choisit cette option lors de la configuration de son profil (image non stockée).

  • RGPD : quelles sont les nouvelles obligations de chacun ?
  • Les obligations du directeur d'établissement


    Le règlement général sur la protection des données (RGPD) indique que « tout traitement de données à caractère personnel doit être licite et loyal ». Le responsable du traitement des données doit informer les personnes concernées « des risques, règles, garanties et droits liés au traitement » et « garantir une sécurité et une confidentialité appropriées ».

    Pour cela, le directeur d'établissement doit tenir un registre où sont consignés le caractère licite des traitements des données et les mesures prises pour garantir la sécurité des données traitées.

    Il doit notamment garantir :

    • la sécurité physique du serveur où le traitement est effectué ;

    • la protection des données qui ne doivent être accessibles qu'aux personnes habilitées ;

    • la sécurité des systèmes de communication informatiques et électroniques ;

    • la capacité à rétablir la disponibilité du serveur dans des délais appropriés en cas d'incident.


    Les obligations des éditeurs de logiciels


    Le règlement général sur la protection des données (RGPD) indique que les logiciels doivent être développés en intégrant, dès leur conception, les notions de sécurité et de protection des données personnelles.

    À ce titre, Index Éducation s'inscrivait déjà pleinement dans cette perspective. Tous les logiciels édités par Index Éducation sont conçus avec un souci permanent de protéger les données :

    • les données personnelles sont chiffrées,

    • les bases de données sont annuelles, cela permet de limiter de fait la durée de conservation des données,

    • chacun accède uniquement aux données auxquelles le directeur d'établissement lui donne accès,

    • le niveau de sécurité des mots de passe est celui recommandé par la CNIL,

    • des sauvegardes et archivages quotidiens garantissent la préservation des données,

    • les services internet sont sécurisés avec le protocole TLS.


    Dans le cadre de l'hébergement proposé par Index Éducation :

    • le centre de données (data center) est en France et réunit les conditions de disponibilité de niveau TIER 3,

    • chaque établissement a un serveur dédié, seule garantie d'une parfaite étanchéité entre les bases des établissements.

  • Quelles sont les mesures mises en œuvre par Index Éducation dans le cadre du RGPD ?
  • Dans le cadre du nouveau règlement européen sur la protection des données, Index Éducation restera vigilante à l'évolution des lois pour aider les directeurs d'établissement à comprendre, respecter et faire respecter leurs obligations sur la protection des données personnelles.

    D’autre part, dès la rentrée 2018, nos logiciels évoluent pour intégrer toutes les recommandations des agences nationales pour la sécurisation des comptes informatiques et la gestion des mots de passe.

    Dans le cadre du service d'assistance, Index Éducation renforce dès à présent les contrôles d'accès et la traçabilité des actions effectuées. Les procédures évoluent pour que chacun soit encouragé à n'avoir que des bonnes pratiques.
  • L'établissement doit-il faire une déclaration à la CNIL ?
  • À partir de l'entrée en vigueur du règlement européen sur la protection des données, le 25 mai 2018, les traitements de données ne doivent plus être déclarés. Les traitements de données doivent être justifiés, proportionnés et compatibles avec les droits fondamentaux. Ils doivent être consignés dans un registre documentant leur caractère licite et les mesures prises pour garantir la sécurité des données traitées.

  • Quelle politique des mots de passe faut-il adopter ?
  • Au plus près de la CNIL
    Afin de garantir toujours plus de sécurité, Index Éducation suit l'évolution des recommandations de la CNIL en matière de génération des mots de passe. Ainsi les options proposées et leurs valeurs par défaut évoluent régulièrement pour vous permettre de maintenir un niveau de sécurité suffisant lors de l'utilisation de nos logiciels.

    Mot de passe renforcé pour les « Administrateurs »
    Les utilisateurs tenant le rôle d'administrateur, notamment le SPR, doivent être encore plus vigilants quant au choix de leur mot de passe. À ce titre, la CNIL recommande un mot de passe d’au moins 10 caractères mêlant des lettres en majuscules et minuscules, des caractères numériques ainsi que des caractères spéciaux.

    L'atout majeur : la confidentialité
    Quel que soit le niveau de sécurité de votre mot de passe, il est indispensable de le conserver secret, de ne pas le divulguer, ne pas le noter et le taper à l'abri des regards indiscrets.

    Pour aller plus loin
    Voici quelques références concernant la sécurité des mots de passe :
    - Délibération n° 2017-012 du 19 janvier 2017 – Service public de la diffusion du droit
    - Conseils de la CNIL pour un bon mot de passe - CNIL
    - Recommandations de sécurité minimale - CNIL
    - Les bonnes pratiques de l’informatique - ANSSI
    - Recommandation de sécurité relatives aux mots de passe – ANSSI