CNIL / RGPD - Inscription sur Sésaprof

Introduction

Sésamath s’​engage avec le souci d’être respectueux et en conformité avec tout ce qui concerne les données personnelles.

Cette page est destinée à vous apporter toutes les informations relatives au RGPD concernant l’inscription sur Sésaprof (enseignant sur les sites Sésamath).

Concernant les mentions légales plus générales, consulter la page principale dédiée.

---

Finalité des traitements

Les enseignants qui le souhaitent peuvent s’inscrire sur notre site Sésaprof afin :

• d'accéder à l’interface professeur de Labomep
• d'accéder à des ressources réservées (ex : corrections des cahiers Sésamath)
• d'accéder à des ressources dédiées (ex : livres du professeur des manuels Sésamath)
• de rejoindre des communautés d’enseignants sur des thèmes donnés (ex : travail par compétences)
• de bénéficier d’informations relatives au système éducatif et aux mathématiques (programmes, actualités)
• de communiquer avec des collègues ou l’association (forum, formulaires de contact, annonces)
• de partager leur expérience, proposer des ressources

Nous devons pouvoir nous assurer que les demandeurs sont bien enseignants dans l’établissement prétendu.

---

Nature des données enregistrées

Seules les données strictement nécessaires à la poursuite des objectifs sont enregistrées :

• nom, prénom
• login, mot de passe
• adresse de courriel professionnelle, adresse de courriel personnelle (facultative)
• établissement(s) d’exercice
• date d’inscription, date de désinscription, date de dernière connexion
• choix de recevoir ou pas une lettre d’informations
• informations relatives à la connexion utilisée lors de l’inscription (IP, navigateur)

Aucune donnée n’est susceptible de soulever des risques en raison de sa sensibilité :

• pas d’origine raciale ou ethnique
• pas d’opinions politiques
• pas de convictions religieuses ou philosophiques
• pas d’appartenance syndicale
• pas d’informations génétiques
• pas d’informations biométriques
• pas de données relatives à la santé
• pas de donnée sur la vie sexuelle ou l’orientation sexuelle
• pas de condamnations pénales ou d’infractions
• pas de numéro d’identification national unique (numéro INSEE en France)

---

Origine des données

En dehors des dates (automatiquement actualisées), et des données du navigateur à l’inscription, les données sont renseignées par les utilisateurs eux-mêmes sur notre site (formulaire de saisie).

Il peut aussi s’agir d’un enseignant disposant d’un connecteur dans son ENT ; dans ce cas l’utilisateur saisit de la même façon civilité / nom / prénom / courriel professionnel / établissement d’exercice (il ne renseigne pas d’identifiants puisqu'il se connecte sur son ENT, et ne recevra pas de newsletter).

---

Destination / transfert des données

Il n’y a aucun transfert d’informations à un tiers, et donc encore moins en dehors de l’Union Européenne (ni même en dehors de France).

En cas d’utilisation de l’application Labomep (de l’association Sésamath, sur nos mêmes serveurs), est transmis à Labomep pour son fonctionnement : civilité / nom / prénom / courriel professionnel / courriel personnel / établissement(s) d’exercice.

---

Durée de conservation des données

Les données sont supprimées :

• lors de la résiliation du compte par l’utilisateur
• passé un an d’inactivité du compte (c'est à dire sans connexion)

Quelques traces subsistent cependant dans la base : date d’inscription / désinscription, historique des affectations dans les établissements.
Ceci afin de pouvoir trouver la cause d’un éventuel problème signalé (inscription anormale), de mieux gérer la réinscription d’un collègue, ou de pouvoir analyser de multiples tentatives d’inscriptions frauduleuses de la part d’une même personne.

Des sauvegardes automatiques des disques et des bases sont conservées pendant un an.
L’administrateur système peut donc potentiellement y retrouver des informations jusqu'à 1 an après suppression des données.
Enfin, la base de production peut être répliquée sur notre environnement de pré-production, cet environnement peut donc contenir d’anciennes données (les conditions d’accès et mesures de protection sont identiques à la production).

---

Mesures de sécurité

Sésamath s’engage à mettre en place tous les moyens nécessaires pour garantir la sécurité et la confidentialité des données transmises.

L’inscription, l’authentification, et la gestion de son compte s’effectuent avec le protocole HTTPS (communication chiffrée, certificat SSL imposant au navigateur l’utilisation d’un algorithme connu comme sûr).

Les mots de passe sont enregistrés cryptés avec un algorithme irréversible et puissant.

La base de données est :

• hébergée en France (Roubaix, 59) ;
• chez un fournisseur reconnu (OVH) ;
• dans un environnement sécurisé (accès règlementés par badges et scanner d’empreinte digitale, vidéo surveillance couplée à des détecteurs de mouvement, techniciens présents en permanence) ;
• maintenue sous la responsabilité d’un administrateur-système salarié (accès aux serveurs par clé SSH uniquement).

---

Acteurs

• Responsable légal :
• Délégué à la protection des données :
• Responsables techniques des services :
• Sous-traitants :
  • la société OVH pour l’hébergement (Roubaix - FRANCE)
  • la société d’infogérance Bearstech (Paris - FRANCE)

---

Accès aux données / Confidentialité

Personnes ayant accès aux données :

• Daniel CAILLIBAUD (administrateur systèmes)
• Thomas CRESPIN (développeur et responsable du projet)
• les gestionnaires des utilisateurs de Sésamath (en dehors des 2 personnes déjà citées, 5 membres de l’association à ce jour)
• le personnel de Bearstech qui pourrait intervenir sur nos serveurs si un problème survenait en l’absence de notre administrateur systèmes

Les utilisateurs enregistrés :

• ont accès aux logins des inscrits par commune (carte des utilisateurs)
• sont informés quand un nouvel enseignant s’inscrit dans leur établissement (nom et prénom, pour nous avertir en cas d’anomalie)

---

Information des personnes

Les formulaires d’inscription et de gestion du compte comportent un lien vers cette page informative.
À l’inscription, le demandeur doit cocher qu’il en a pris connaissance pour soumettre sa demande.

Les utilisateurs peuvent accéder et mettre leurs données à jour depuis leur espace personnel.

En cas de besoin complémentaire, contacter le délégué à la protection des données (voir ci-dessus).

---

Dernière révision du document le 19/11/2023.