Protection des données
1. OBJET
ATRIUM est édité par le Conseil régional Provence-Alpes-Côte d'Azur. Il s’agit d’un environnement numérique éducatif développé et mis à disposition par la Région Sud.
Pour satisfaire au bon fonctionnement d’ATRIUM, la Région est amenée à traiter des données à caractère personnel relatives aux utilisateurs de la plateforme, à savoir des utilisateurs autorisés, à accéder aux services et fonctionnalités d’ATRIUM et notamment, sans que cela ne soit exhaustif, les lycéens, le personnel éducatif des lycées, les documentalistes, les équipes de direction des lycées et les éditeurs de services à vocation éducative.
La présente politique a pour objet de satisfaire à l’obligation d’information de la Région et de rappeler les droits dont l’ensemble des utilisateurs dispose en matière de données à caractère personnel lorsqu’ils utilisent ATRIUM.
2. QUALIFICATION JURIDIQUE
En fonction des traitements considérés, la Région est qualifiée soit de responsable de traitement, soit de sous-traitant au sens du Règlement Général sur la Protection des Données (UE) 2016/679, dit « RGPD ». Lorsque la Région agit comme sous-traitant, le chef d’établissement est qualifié de responsable du traitement.
3. FINALITES
La Région est considérée comme responsable du traitement pour la mise à disposition de l’espace numérique éducatif ATRIUM, en ce notamment compris les finalités suivantes :
- la gestion de l’annuaire ATRIUM à partir des annuaires académiques ;
- la gestion et l’administration des abonnements des utilisateurs aux ressources éditoriales Correlyce ;
- la gestion et l’administration des tickets incidents en lien avec l’application ATRIUM ;
- la gestion des fonctionnalités accessibles via ATRIUM grâce à un connecteur interne (par exemple, Matomo) ;
- l’élaboration de statistiques de fréquentation d’ATRIUM ;
- la mise à disposition de connecteurs vers certains services tiers (ePassjeunes, EMLS), comprenant en outre la création et la validation de devis portant sur la fourniture de licences manuels numériques et ressources scolaires en ligne ou papier et l’identification des personnes ayant le droit de passer ces commandes ;
- la gestion des logs de connexion.
La Région est en revanche qualifiée de sous-traitant lorsqu’elle met à disposition des utilisateurs, par le biais de son environnement numérique éducatif, des ressources numériques fournies par des éditeurs de services tiers. Cette mise à disposition comprend notamment :
- la gestion des comptes pour l’établissement concerné ;
- la gestion des fonctionnalités natives d’Atrium mises à disposition des utilisateurs de l’EPLE ;
- la gestion des fonctionnalités accessibles via ATRIUM grâce à un connecteur interne.
4 BASE LEGALE
Les traitements des données utilisateurs mis en œuvre par ATRIUM au titre de la présente politique repose sur une ou plusieurs des bases légales suivantes:
- - l’exécution d’une mission d’intérêt public relative au service public numérique éducatif ;
- - l’exécution des obligations légales applicables en particulier à la Région ;
- - l’exécution d’un contrat avec l’acceptation des conditions générales d’utilisation pour tout ce qui trait à l’utilisation d’ATRIUM.
5. DONNEES TRAITEES
Les données des utilisateurs sont collectées suivant le principe de minimisation, notamment lors de l’inscription à ATRIUM à partir des formulaires de collecte ou encore via les cookies déposés sur le site internet. Les informations relatives aux cookies sont accessibles ici.
Les données traitées sont les suivantes :
|
Catégories de données |
Détails |
|
Identité |
Nom, prénom, avatar personnel , état civil, numéro d’identifiant national (INE), prénoms, date de naissance et, le cas échéant, lieu de naissance, ville et pays de naissance dans l'hypothèse où l'INE n'est pas enregistré ou en cas de conflit d'INE |
|
Coordonnées |
Adresse postale, adresse email et numéro de téléphone |
|
Vie professionnelle |
CV, diplômes et formations, distinctions, situation professionnelle, structure de rattachement, informations administratives |
|
Données de connexion |
Toutes les données de connexion d’Atrium (Adresse IP, logs, journaux de connexion…). |
|
Parcours pédagogique |
Toute information concernant le parcours scolaire de l’élève (ex : note, diplômes, appréciations…). |
6. DESTINATAIRES
Sont destinataires des données des utilisateurs collectées des destinataires internes ou externes selon les cas.
Les destinataires internes concernent les collaborateurs habilités au sein de la Région dans la gestion d’ATRIUM, lesquels sont assujettis à une obligation de confidentialité.
Les destinataires externes sont :
- le personnel relatif à l’environnement de l’éducation nationale et de l’enseignement agricole (ministères, autorités académiques, établissements);
- les prestataires techniques (maintenance, hébergement, développement des sites internet, mailing, etc.) ;
- les éditeurs de service et de produits numériques éducatifs;
- les éditeurs de contenus.
7. DUREE DE CONSERVATION
Les données utilisateurs sont traitées pendant une durée limitée que la Région détermine au regard des contraintes légales et contractuelles et, à défaut, en fonction de ses besoins. Aux termes de cette durée, les données utilisateurs sont soit supprimées, soit anonymisées.
Les principales durées de conservation des données sont les suivantes :
|
Catégories de données personnelles concernées |
Décision d’effacement |
Fondement |
|
Identité |
Après départ de l'élève de l'établissement - sortie de l'annuaire au bout de 90 jours Pour toutes les identités fournies par les annuaires des autorités académiques, le compte Atrium est supprimé 90 jours après la disparition de l’identité de l’annuaire académique ; Pour les agents de la Région, les comptes sont supprimés annuellement (rentrée scolaire) ou manuellement en tant que de besoin (départ en cours d’année); Pour tous les autres cas (comptes invités créés par un établissement…), les comptes sont supprimés par le gestionnaire du compte ou en instance de suppression à chaque transition scolaire |
Schéma Directeur des Espaces numériques de Travail pour l’enseigne-ment scolaire (ci-après « SDET ») |
|
Coordonnées |
Après départ de l'élève de l'établissement - sortie de l'annuaire au bout de 90 jours Pour toutes les identités fournies par les annuaires des autorités académiques, le compte Atrium est supprimé 90 jours après la disparition de l’identité de l’annuaire académique ; Pour les agents de la Région, les comptes sont supprimés annuellement (rentrée scolaire) ou manuellement en tant que de besoin (départ en cours d’année); Pour tous les autres cas (comptes invités créés par un établissement…), les comptes sont supprimés par le gestionnaire du compte ou en instance de suppression à chaque transition scolaire |
SDET |
|
Vie professionnelle |
Après départ de l'élève de l'établissement - sortie de l'annuaire au bout de 90 jours Pour toutes les identités fournies par les annuaires des autorités académiques, le compte Atrium est supprimé 90 jours après la disparition de l’identité de l’annuaire académique ; Pour les agents de la Région, les comptes sont supprimés annuellement (rentrée scolaire) ou manuellement en tant que de besoin (départ en cours d’année); Pour tous les autres cas (comptes invités créés par un établissement…), les comptes sont supprimés par le gestionnaire du compte ou en instance de suppression à chaque transition scolaire |
SDET |
|
Données de connexion |
Après départ de l'élève de l'établissement - sortie de l'annuaire au bout de 90 jours Pour toutes les identités fournies par les annuaires des autorités académiques, le compte Atrium est supprimé 90 jours après la disparition de l’identité de l’annuaire académique ; Pour les agents de la Région, les comptes sont supprimés annuellement (rentrée scolaire) ou manuellement en tant que de besoin (départ en cours d’année); Pour tous les autres cas (comptes invités créés par un établissement…), les comptes sont supprimés par le gestionnaire du compte ou en instance de suppression à chaque transition scolaire |
Loi n°2004-575 du 21 juin 2004 pour la Confiance dans l’Economie Numérique, dite LCEN |
|
Parcours scolaire |
Nettoyage des sites collaboratifs assuré par les administrateurs et les propriétaires à chaque transition d’année scolaire. |
Guide de transition d’année scolaire |
8. LES DROITS DES UTILISATEURS
En tant qu’utilisateurs d’ATRIUM, vous êtes investis des droits suivants s’agissant des données à caractère personnel collectées et traitées :
- un droit de demander confirmation que des données vous concernant sont traitées, d’accéder à ces données et d’en demander une copie ;
- un droit d’obtenir la rectification de toute donnée vous concernant qui serait erronée ou obsolète
La demande d’exercice de vos droits doit émaner de vous exclusivement via le formulaire mis à votre disposition en cliquant ici.
En cas d’incertitude quant à votre identité, la Région est susceptible de solliciter de votre part la communication d’une copie de votre pièce d’identité qui sera détruite après vérification.
La Région fait son possible pour répondre à l’ensemble des demandes qui lui sont formulées dans un délai raisonnable et, au mieux, dans un délai d’un mois à compter de la réception de la demande, délai qui pourrait toutefois être porté à deux mois en cas de demande complexe ou de nombre élevé de demandes simultanées.
9. SOUS-TRAITANCE ET SOUS-TRAITANCE ULTERIEURE
Le RGPD définit le « sous-traitant » comme toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Lorsque le sous-traitant lui-même recourt à un sous-traitant, ce dernier est alors qualifié de « sous-traitant ultérieur ».
Au cas où la Région déciderait de recourir à tout sous-traitant ou sous-traitant ulterieur de son choix, selon le cas, dans le cadre du traitement des données de ses utilisateurs, elle s’assurera du respect par ce dernier de ses obligations en vertu du RGPD et s’engagera à signer avec lui un contrat écrit qui lui imposera les mêmes obligations que celles qu’il s’impose en matière de protection des données. De plus, la Région se réservera le droit de procéder à un audit auprès de ses sous-traitants ou sous-traitants ultérieurs afin de s’assurer du respect de ses obligations.
10. REGISTRES DES TRAITEMENTS
Lorsqu’elle agit en tant que responsable du traitement, la Région s’engage à tenir à jour un registre de toutes les activités de traitement qu’elle met en œuvre en tant que tel. La Région s’engage également à tenir un registre permettant de recenser l’ensemble des traitements qu’elle effectue en tant que sous-traitant. En toutes hypothèses, la Région s’engage à fournir à la Cnil, à première demande, les renseignements lui permettant de vérifier la conformité des traitements à la règlementation sur les données personnelles en vigueur.
11. SECURITE
La Région met en œuvre les mesures techniques et organisationnelles qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisées de données de ses utilisateurs.
En cas de violation de données, , et lorsqu’elle agit en tant que responsable de traitement, la Région s’engage à en notifier la Cnil dans les conditions prescrites par le RGPD.
Si ladite violation fait peser un risque élevé pour nos utilisateurs, la Région s’engage à en aviser ceux qui sont concernés et à leur communiquer les informations et recommandations nécessaires.
Lorsqu’elle agit en tant que sous-traitant, la Région s’engage à notifier à son responsable de traitement, toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
12. DPO
S’agissant des traitements pour lesquels la Région agit en tant que responsable du traitement, vous pouvez exercer vos droits auprès du Délégué à la protection des données de la Région en utilisant le formulaire https://www.maregionsud.fr/mentions-legales/formulaire-exercice-de-droit-sur-les-donnees ou bien en lui écrivant à l’Hôtel de Région, 27 place Jules Guesde, 13481 Marseille, Cedex 20.
En revanche, lorsque la Région agit comme sous-traitant, votre demande d’exercice des droits doit être adressée au chef d’établissement ou à l’académie concerné(e) selon le cas.
13. FLUX TRANSFONTIERES
Aucun flux transfrontière de données à caractère personnel ne peut intervenir vers un pays tiers à l’Union Européenne, à moins que la Région ne soit tenue d’y procéder en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise. Les utilisateurs en seront informés le cas échéant.
La Région s’assure du respect des droits des utilisateurs et signera si nécessaire un ou plusieurs contrats permettant d’encadrer ces flux avec le(s) pays destinataire(s).
14. REGISTRE DES TRAITEMENTS
La Région tient à jour un registre des activités de traitement et un registre des catégories d’activités de traitement qu’elle met à la disposition de la Cnil en cas de demande.
15. CONTACTS CNIL
Comme la loi l’y autorise, tout utilisateur peut introduire une plainte auprès de la Cnil à l’adresse suivante :
Service des plaintes de la Cnil,
3 place de Fontenoy – TSA 80751, 75334 Paris Cedex 07
Téléphone : 01.53.73.22.22.
16. REVISION
En cas d’évolution règlementaire ou de recommandations de la Cnil, la Région se réserve le droit de modifier la présente politique. Toute nouvelle politique sera notifiée avant son entrée en vigueur.