SACoche : Évaluer par compétences et estimer la maitrise du socle commun

Le développement de l’application SACoche et de son environnement s’est toujours effectué avec le souci d’être respectueux et en conformité avec tout ce qui concerne les données personnelles.

Jusqu’en mai 2018, cela s’est traduit par une page complète d’informations précises à destination des utilisateurs, des déclarations auprès de la CNIL pour les serveurs hébergeant l’application, des documentations détaillées aidant à effectuer ces déclarations, etc.

Pour mémoire, concernant l’hébergement proposé par Sésamath, une déclaration auprès de la CNIL avait été effectuée une première fois à titre individuel le 12/10/2009 (n°1390450), puis une seconde fois au nom de l’association le 09/06/2011 (n°1512678).

À compter du 25 mai 2018, l’entrée en vigueur du règlement européen sur la protection des données personnelles (le RGPD : Règlement Général sur la Protection des Données) vient remplacer ces déclarations.

Cette page est destinée à vous apporter toutes les informations relatives au RGPD concernant l’application SACoche, ainsi que son hébergement pour ceux qui utilisent celui proposé par Sésamath.

L’application internet SACoche a pour objectif de suivre les acquisitions des élèves tout au long de leur scolarité au sein d’un établissement (dans le cadre d’un travail par compétences, sur des référentiels librement élaborés).
À partir des données saisies, elle permet d’élaborer des bilans, d’éditer des bulletins de compétences, de remplir le livret scolaire, d’exporter vers LSU.

Elle peut comporter différents accès / profils : administrateurs, personnels de direction, professeurs et autres personnels d’un établissement scolaire (CPE, Psy-EN, …), parents, élèves.

Seules les informations nominatives strictement nécessaires et indispensables au bon fonctionnement de SACoche, pour son usage pédagogique, sont utilisées.

La base de données d’un établissement scolaire peut contenir :

• pour tous les utilisateurs enregistrés :
  • genre (civilité), nom, prénom
  • courriel (facultatif)
  • login et mot de passe (crypté)
  • identifiants importés (Siècle…)
  • date et heure des connexions sur la dernière année
  • menus favoris (facultatif)
• en complément pour les élèves :
  • classes et groupes
  • notes, positionnements et appréciations reçus
  • date de naissance
  • date de sortie de l’établissement
  • établissement de scolarisation précédent
  • nombre d'absences et de retards
• en complément pour les professeurs :
  • classes et groupes
  • matières
  • indication de professeur principal ou coordonnateur
  • positionnements et appréciations émis
• en complément pour les responsables légaux :
  • liens et degrés de responsabilités
  • adresse postale

Les établissements ont aussi la possibilité d’intégrer des photos numériques pour les élèves (fonctionnalité trombinoscope) : consulter la documentation spécifique relative au droit à l’image.

Dans le cas d’une installation de type multi-structures, la base du webmestre contient :

• pour l’établissement : dénomination, localisation, numéro UAI, date d’inscription
• pour le contact référent : nom, prénom, courriel

Enfin, certaines actions sensibles sont aussi archivées dans un fichier de log : suppression de comptes utilisateurs (par des administrateurs), suppression d’éléments de référentiels (par des professeurs).

SACoche ne comporte donc aucune donnée susceptible de soulever des risques en raison de sa sensibilité :

• pas d’origine raciale ou ethnique
• pas d’opinions politiques
• pas de convictions religieuses ou philosophiques
• pas d’appartenance syndicale
• pas d’informations génétiques
• pas d’informations biométriques
• pas de données relatives à la santé
• pas de donnée sur la vie sexuelle ou l’orientation sexuelle
• pas de condamnations pénales ou d’infractions
• pas de numéro d’identification national unique (numéro INSEE en France)

Les données des utilisateurs d’un établissement résultent en majorité d’imports de fichiers réalisés avec l’aval et sous la responsabilité du chef d’établissement.
Le chef d’établissement est en effet le responsable des données informatiques de son établissement et de l’usage qui en est fait (le logiciel n’étant qu’une coquille vide de données au départ).

Un identifiant permettant la reconnaissance d’un utilisateur se connectant depuis un ENT peut être issu de l’interrogation d’un annuaire fédérateur.

Enfin, l’adresse de courriel et les menus favoris peuvent être renseignées par les utilisateurs eux-mêmes depuis leur compte.

Il n’y a aucune récupération ou transfert d’informations à un tiers effectuée à l’insu des établissements, et donc encore moins en dehors de l’Union Européenne (ni même en dehors de France).

SACoche permet seulement de générer des fichiers d’exports, sur commande d’un personnel d’un établissement, pour lui même ou des logiciels ayant la même finalité (LSU, Gepi).

De part sa finalité (permettre un suivi pédagogique des acquisitions des élèves), SACoche conserve les résultats saisis tant que l’élève demeure scolarisé dans l’établissement.

À chaque import de données, les utilisateurs sortants de l’établissement voient leur compte désactivé ; leurs données ne sont plus accessibles, mais ne sont pas supprimées, afin d’éviter une perte en cas d’erreur de manipulation ou au cas où l’utilisateur reviendrait.

À chaque rentrée scolaire, l’initialisation annuelle des données supprime les comptes désactivés depuis plus de 3 ans (1 an pour les parents).
Ces comptes désactivés peuvent aussi être supprimés sans attendre par les administrateurs.

Sauvegarde des bases

Un administrateur d’un établissement a la possibilité de récupérer une sauvegarde de la base de données de son établissement.
Il lui appartient de la conserver en lieu sur et pendant une durée raisonnable.

Concernant l’hébergement proposé par Sésamath, des sauvegardes automatiques des disques et des bases sont conservées pendant un an.
L’administrateur système peut donc potentiellement y retrouver des informations jusqu’à 1 an après suppression des données.

Pour les autres hébergements, renseignez-vous auprès du webmestre du serveur.

Sécurité du logiciel

L’application SACoche met en œuvre de nombreuses sécurités logicielles.

Sécurité du serveur

Tout hébergeur de l’application doit s’assurer des sécurités physiques (serveur…) de son installation.

Sésamath s’engage à mettre en place tous les moyens nécessaires pour garantir la sécurité et la confidentialité des données transmises.

Concernant l’hébergement proposé sur le serveur Sésamath :

• L’authentification ainsi que la navigation s’effectuent avec le protocole HTTPS (communication chiffrée, certificat SSL imposant au navigateur l’utilisation d’un algorithme connu comme sûr).
• La base de données est :
  • hébergée en France (Roubaix, 59) ;
  • chez un fournisseur reconnu (OVH) ;
  • dans un environnement sécurisé (accès règlementés par badges et scanner d’empreinte digitale, vidéo surveillance couplée à des détecteurs de mouvement, techniciens présents en permanence) ;
  • maintenue sous la responsabilité d’un administrateur-système salarié (accès aux serveurs par clé SSH uniquement).

Pour les autres hébergements, renseignez-vous auprès du webmestre du serveur.

Concernant l’hébergement proposé sur le serveur Sésamath :

• Responsable légal : président-e de l’association
• Délégué à la protection des données : Thomas CRESPIN
• Responsables techniques des services : Daniel CAILLIBAUD
• Sous-traitants :
  • la société OVH pour l’hébergement (Roubaix - FRANCE)
  • la société d’infogérance Bearstech (Paris - FRANCE)

Pour les autres hébergements, renseignez-vous auprès du webmestre du serveur.

Dans un établissement scolaire :

• les élèves ont accès à leurs résultats et bilans
• les responsables légaux ont accès aux résultats et bilans des élèves qui leurs sont affectés
• les professeurs ont accès aux noms / prénoms / logins / dates de naissance / photos de tous les élèves
• les professeurs ont accès aux résultats et bilans des élèves qui leurs sont affectés, aux dates de dernière connexion de leurs élèves et de leurs responsables
• les directeurs ont accès aux noms / prénoms / logins / dates de naissance / photos / résultats et bilans de tous les élèves, aux dates de dernière connexion des utilisateurs
• les administrateurs sont les seuls à avoir accès aux identifiants de jointures des utilisateurs et à pouvoir leur générer un nouveau mot de passe
• seul l’utilisateur concerné a accès à l’historique de ses connexions sur la dernière année
• personne n’a accès aux mots de passe (qui, de surcroit, sont cryptés)

Concernant l’hébergement proposé sur le serveur Sésamath, ont accès aux données :

• Daniel CAILLIBAUD (administrateur systèmes)
• Thomas CRESPIN (développeur et responsable du projet)
• le personnel de Bearstech qui pourrait intervenir sur nos serveurs si un problème survenait en l’absence de notre administrateur systèmes

Pour les autres hébergements, renseignez-vous auprès du webmestre du serveur.

Les élèves, responsables légaux, professeurs et directeurs, doivent confirmer la lecture des informations relatives à leurs données personnelles pour activer leur compte SACoche.
Ils peuvent à tout moment relire ces informations :

• depuis le menu Informations personnellesDonnées personnelles de l’application
• depuis le lien "Informations CNIL / RGPD" situé sur la page d’authentification / déconnexion
• en saisissant l’adresse « https://sacoche.sesamath.net/?page=cnil » dans leur navigateur
• en saisissant l’adresse « https://sacoche.sesamath.net/?page=rgpd » dans leur navigateur

Les utilisateurs bénéficient d’un droit d’accès et de rectification aux informations qui les concernent.
Ils peuvent l’exercer en contactant :

• un administrateur SACoche de leur établissement
• le chef d’établissement
• en cas d’installation mono-structure (un seul établissement), le webmestre responsable de l’installation dont l’adresse de courriel figure sur la page d’authentification

SACoche enregistre 5 cookies sur votre ordinateur, strictement nécessaires à la sécurité et l’optimisation de votre navigation.
Tous sont parfaitement inoffensifs (juste quelques caractères de texte), et trois sont supprimés à la fermeture du navigateur.

• l’identifiant de session
• l’établissement sélectionné
• le mode de connexion utilisé
• le temps restant avant déconnexion
• l’usage ou non d’un écran tactile

SACoche n’utilise aucun cookie en rapport avec de la publicité, des réseaux sociaux, des statistiques d’audience, etc.
Ainsi, les cookies de SACoche sont exemptés du recueil de consentement des utilisateurs.

Consulter la page informative dédiée.

Consulter la page informative dédiée.

Consulter la page informative dédiée.

La mise en œuvre du RGPD se substitue aux précédentes déclarations à la CNIL.
Vous n'avez donc aucune déclaration à effectuer auprès de la CNIL.

En revanche, tout traitement de données à caractère personnel mis en œuvre dans un établissement public d’enseignement, quel que soit le mode d’hébergement des données, doit faire l’objet d’une inscription sur le registre des activités de traitement tenu par le responsable de traitement.
Les informations à faire figurer sur ce registre concernant SACoche sont toutes disponibles aux paragraphes précédents.

Si l’installation utilisée est celle d’un serveur académique, alors la responsabilité du chef d’établissement est en général transférée vers le rectorat, mais ce n’est pas systématique, cela dépend des choix de l’académie et de son implication dans la décision de mettre en œuvre ce traitement ; rapprochez-vous de votre délégué académique à la protection des données pour tout renseignement.

Si vous utilisez l’hébergement offert par Sésamath, vous pouvez télécharger, compléter et nous renvoyer ce contrat listant les clauses de sous-traitance.

Vous n’avez plus à effectuer de déclaration à la CNIL (mais conservez celle que vous aviez).

En revanche, en particulier pour les installations de type multi-structures (typiquement départementales ou académiques), vous devez être en mesure de fournir les informations relatives à l’enregistrement des données sur le serveur et à leur confidentialité :

• stockage de sauvegardes
• mesures de sécurité
• identité des responsables
• sous-traitants éventuels (hébergeur…)
• personnes ayant accès aux données
• …

Pour ne rien oublier, vous pouvez passer en revue les paragraphes précédents.

Les traitements mis en œuvre dans les établissements d’enseignement relèvent en principe de l’exécution de la mission d’intérêt public dont est investi le responsable de traitement.
Ainsi, l’utilisation d’un logiciel ou d’un service numérique à des fins pédagogiques, par un enseignant ou un établissement, s’inscrit dans le champ du service public du numérique éducatif défini à l’article L.131-2 du Code de l’éducation.

Dans ce cadre, le responsable de traitement n’est, par conséquent, pas tenu de recueillir le consentement des parents, des élèves ou des personnels sous sa responsabilité pour mettre en œuvre un tel traitement.

De plus, toujours dans ce cadre, l’exercice du droit d’opposition est restreint : la personne dont les données sont collectées a le droit de s’opposer à tout moment à un traitement de données à caractère personnel, mais seulement pour des raisons tenant à sa situation particulière.
Un parent d’élève dont les données personnelles sont traitées dans une application scolaire ne peut donc s’opposer à ce traitement qu’à la condition d’exposer des raisons tenant à sa situation particulière, ce qui exclut des raisons tenant à des considérations d’ordre général, comme une opposition de principe.
Une demande non motivée au regard de la situation particulière de l’intéressé peut donc être rejetée.