Politique de protection des données des utilisateurs d'Atrium

1. OBJET

ATRIUM est édité par le Conseil régional Provence-Alpes-Côte d'Azur. Il s’agit d’un environnement numérique éducatif développé et mis à disposition par la Région Sud (ci-après la « Région ») qui agit ainsi en qualité de responsable de traitement au sens de la règlementation applicable.
Pour satisfaire au bon fonctionnement d’ATRIUM, la Région est tenue de mettre en œuvre des traitements de données à caractère personnel relatifs aux utilisateurs de la plateforme, à savoir des utilisateurs autorisés, à accéder aux services et fonctionnalités d’ATRIUM et notamment, sans que cela ne soit exhaustif, les lycéens, le personnel éducatif des lycées, les documentalistes, les équipes de direction des lycées et les éditeurs de services à vocation éducative.
La présente politique a pour objet de satisfaire à l’obligation d’information de la Région et de rappeler les droits dont l’ensemble des utilisateurs dispose en matière de données à caractère personnel lorsqu’ils utilisent ATRIUM.

2. BASE LEGALE

Les traitements des données utilisateurs mis en œuvre par ATRIUM au titre de la présente politique repose sur une ou plusieurs des bases légales suivantes:
  • l’exécution d’un contrat avec l’acceptation des conditions générales d’utilisation pour tout ce qui trait à l’utilisation d’ATRIUM
  • l’intérêt légitime d’ATRIUM, dans la mesure où il ne prévaut pas sur les droits et libertés des personnes concernées
  • lorsque la loi le requiert, comme par exemple en matière de prospection, le consentement.
3. DONNEES TRAITEES

Les données des utilisateurs sont collectées suivant le principe de minimisation, notamment lors de l’inscription à ATRIUM à partir des formulaires de collecte ou encore via les cookies déposés sur le site internet. Les informations relatives aux cookies sont accessibles ici. Les données traitées sont les suivantes :
 

Catégories de données

Détails

Identité

Nom, prénom, avatar personnel , état civil, numéro d’identifiant national (INE), prénoms, date de naissance et, le cas échéant, lieu de naissance, ville et pays de naissance dans l'hypothèse où l'INE n'est pas enregistré ou en cas de conflit d'INE

Coordonnées

Adresse postale, adresse email et numéro de téléphone

Vie professionnelle

CV, diplômes et formations, distinctions, situation professionnelle, structure de rattachement, informations administratives

Données de connexion

Toutes les données de connexion d’Atrium (Adresse IP, logs, journaux de connexion…).

Parcours pédagogique

Toute information concernant le parcours scolaire de l’élève (ex : note, diplômes, appréciations…).


4. FINALITES

La Région traite vos données à caractère personnel pour les finalités suivantes :
 

Numéro

Finalités

Fondements légaux

Finalité principale

Mise à disposition de l'espace numérique éducatif ATRIUM

Intérêt public

Finalité 2

Gestion de l'annuaire Atrium à partir des annuaires académiques

Intérêt public

Finalité 3

Gestion et administration des abonnements des utilisateurs aux ressources éditoriales (CORRELYCE)

Intérêt public

Finalité 4

Gestion et administration des tickets incidents (Application Atrium)

Intérêt légitime

Finalité 5

Gestion des fonctionnalités accessibles via Atrium grâce à un connecteur interne : glpi, matomo,…

Exécution du contrat et intérêt légitime

Finalité 6

Elaboration des statistiques de fréquentation d’Atrium

Intérêt légitime

Finalité 7

mise à disposition de connecteurs vers certains services tiers opérés par la Région (e-passjeunes, EMLS)

 Intérêt légitime et consentement

Finalité 8

Création et administration des sites collaboratifs (à l'échelle Région)

Exécution du contrat

Finalité 9

Procédure d'export des comptes CHAMILO

Intérêt légitime

Finalité 10

Gestion des logs de connexion pour des questions d’exploitation et de sécurité

Intérêt légitime

  
  • mise à disposition de l'espace numérique éducatif ATRIUM 
  • contrôle de l’utilisation d’ATRIUM
  • gestion de l'annuaire ATRIUM à partir des annuaires académiques fédérateurs
  • gestion et administration des abonnements des utilisateurs aux ressources éditoriales (CORRELYCE)
  • gestion et administration des tickets incidents (Application Atrium)
  • Gestion des fonctionnalités accessibles via Atrium grâce à un connecteur interne : glpi, matomo,;
  • gestion de la sécurité d’ATRIUM élaboration des statistiques de fréquentation de l'outil ATRIUM
  • Mise à disposition de connecteurs vers certains services tiers opérés par la Région (e-passjeunes, EMLS)
  • création et administration des sites collaboratifs (à l'échelle Région) utilisation d’ATRIUM par les établissements inscription à ATRIUM gestion de toute communication avec les utilisateurs
  • Procédure d'export des comptes CHAMILO
  • Gestion des logs de connexion pour des questions d’exploitation et de sécurité.
5. DESTINATAIRES

Sont destinataires des données des utilisateurs collectées des destinataires internes ou externes selon les cas.
Les destinataires internes concernent les collaborateurs habilités au sein de la Région dans la gestion d’ATRIUM, lesquels sont assujettis à une obligation de confidentialité.
Les destinataires externes sont :
  • le personnel relatif à l’environnement de l’éducation nationale et de l’enseignement agricole (ministères, autorités académiques, établissements);
  • les prestataires techniques (maintenance, hébergement, développement des sites internet, mailing, etc.) ;
  • les éditeurs de service et de produits numériques éducatifs;
  • les éditeurs de contenus.
6. DUREE DE CONSERVATION

Les données utilisateurs sont traitées pendant une durée limitée que la Région détermine au regard des contraintes légales et contractuelles et, à défaut, en fonction de ses besoins. Aux termes de cette durée, les données utilisateurs sont soit supprimées, soit anonymisées.
Les principales durées de conservation des données sont les suivantes :
 

Catégories de données personnelles concernées

Décision d’effacement

Fondement

Identité

 

Après départ de l'élève de l'établissement - sortie de l'annuaire au bout de 90 jours

Pour toutes les identités fournies par les annuaires des autorités académiques, le compte Atrium est supprimé 90 jours après la disparition de l’identité de l’annuaire académique ;

Pour les agents de la Région, les comptes sont supprimés annuellement (rentrée scolaire) ou manuellement en tant que de besoin (départ en cours d’année);

Pour tous les autres cas (comptes invités créés par un établissement…), les comptes sont supprimés par le gestionnaire du compte ou en instance de suppression à chaque transition scolaire

Schéma Directeur des Espaces numériques de Travail pour l’enseigne-ment scolaire (ci-après « SDET »)

Coordonnées

 

Après départ de l'élève de l'établissement - sortie de l'annuaire au bout de 90 jours

Pour toutes les identités fournies par les annuaires des autorités académiques, le compte Atrium est supprimé 90 jours après la disparition de l’identité de l’annuaire académique ;

Pour les agents de la Région, les comptes sont supprimés annuellement (rentrée scolaire) ou manuellement en tant que de besoin (départ en cours d’année);

Pour tous les autres cas (comptes invités créés par un établissement…), les comptes sont supprimés par le gestionnaire du compte ou en instance de suppression à chaque transition scolaire

SDET

Vie professionnelle

 

Après départ de l'élève de l'établissement - sortie de l'annuaire au bout de 90 jours

Pour toutes les identités fournies par les annuaires des autorités académiques, le compte Atrium est supprimé 90 jours après la disparition de l’identité de l’annuaire académique ;

Pour les agents de la Région, les comptes sont supprimés annuellement (rentrée scolaire) ou manuellement en tant que de besoin (départ en cours d’année);

Pour tous les autres cas (comptes invités créés par un établissement…), les comptes sont supprimés par le gestionnaire du compte ou en instance de suppression à chaque transition scolaire

SDET

Données de connexion

 

Après départ de l'élève de l'établissement - sortie de l'annuaire au bout de 90 jours

Pour toutes les identités fournies par les annuaires des autorités académiques, le compte Atrium est supprimé 90 jours après la disparition de l’identité de l’annuaire académique ;

Pour les agents de la Région, les comptes sont supprimés annuellement (rentrée scolaire) ou manuellement en tant que de besoin (départ en cours d’année);

Pour tous les autres cas (comptes invités créés par un établissement…), les comptes sont supprimés par le gestionnaire du compte ou en instance de suppression à chaque transition scolaire

Loi n°2004-575 du 21 juin 2004 pour la Confiance dans l’Economie Numérique, dite LCEN

Parcours scolaire

Nettoyage des sites collaboratifs assuré par les administrateurs et les propriétaires à chaque transition d’année scolaire.

Guide de transition d’année scolaire


7. LES DROITS DES UTILISATEURS

En tant qu’utilisateurs d’ATRIUM, vous êtes investis des droits suivants s’agissant des données à caractère personnel collectées et traitées :
  • un droit de demander confirmation que des données vous concernant sont traitées, d’accéder à ces données et d’en demander une copie ;
  • un droit d’obtenir la rectification de toute donnée vous concernant qui serait erronée ou obsolète 
  • un droit à la limitation du traitement qui s’applique en particulier lorsque vous contestez l’exactitude ou la légalité de l’utilisation de vos données à caractère personnel 
  • un droit d’opposition au traitement de vos données à caractère personnel lorsque ce dernier aurait pour finalité l’envoi de messages de prospection,
  • un droit à l’effacement applicable dans le cas où vous mettriez en œuvre le droit d’opposition précité en matière d’envoi de messages de prospection,
  • un droit d’obtenir la portabilité de vos données lorsque le traitement est fondé sur le consentement ou l’exécution d’un contrat, que vous avezvous-mêmes fourni vos données à la Région et que ce traitement est automatisé.
La demande d’exercice de vos droits doit émaner de vous exclusivement via le formulaire mis à votre disposition en cliquant ici.
En cas d’incertitude quant à votre identité, la Région est susceptible de solliciter de votre part la communication d’une copie de votre pièce d’identité qui sera détruite après vérification.

La Région fait son possible pour répondre à l’ensemble des demandes qui lui sont formulées dans un délai raisonnable et, au mieux, dans un délai d’un mois à compter de la réception de la demande, délai qui pourrait toutefois être porté à deux mois en cas de demande complexe ou de nombre élevé de demandes simultanées.  

8. SOUS-TRAITANCE

Le RGPD définit le « sous-traitant » comme toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
Au cas où la Région déciderait de recourir à tout sous-traitant de son choix dans le cadre du traitement des données de ses utilisateurs, elle s’assurera du respect par ce dernier de ses obligations en vertu du RGPD et s’engagera à signer avec lui un contrat écrit qui lui imposera les mêmes obligations que celles qu’il s’impose en matière de protection des données. De plus, la Région se réservera le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect de ses obligations.

9. SECURITE

La Région met en œuvre les mesures techniques et organisationnelles qu’elle estime appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisées de données de ses utilisateurs.
En cas de violation de données, la Région s’engage à en notifier la Cnil dans les conditions prescrites par le RGPD.
Si ladite violation fait peser un risque élevé pour nos utilisateurs, la Région s’engage à en aviser ceux qui sont concernés et à leur communiquer les informations et recommandations nécessaires.

10. DPO

Vous pouvez exercer vos droits auprès du Délégué à la protection des données de la Région en utilisant le formulaire https://www.maregionsud.fr/mentions-legales/formulaire-exercice-de-droit-sur-les-donnees ou bien en lui écrivant à l’Hôtel de Région, 27 place Jules Guesde, 13481 Marseille, Cedex 20.  

11. FLUX TRANSFONTIERES

Aucun flux transfrontière de données à caractère personnel ne peut intervenir vers un pays tiers à l’Union Européenne, à moins que la Région ne soit tenue d’y procéder en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise. Les utilisateurs en seront informés le cas échéant.
La Région s’assure du respect des droits des utilisateurs et signera si nécessaire un ou plusieurs contrats permettant d’encadrer ces flux avec le(s) pays destinataire(s).

12. REGISTRE DES TRAITEMENTS

La Région tient à jour un registre des activités de traitement et un registre des catégories d’activités de traitement qu’elle met à la disposition de la Cnil en cas de demande.

13. CONTACTS CNIL

Comme la loi l’y autorise, tout utilisateur peut introduire une plainte auprès de la Cnil à l’adresse suivante :
Service des plaintes de la Cnil,
3 place de Fontenoy – TSA 80751, 75334 Paris Cedex 07
Téléphone : 01.53.73.22.22.

14. REVISION

En cas d’évolution règlementaire ou de recommandations de la Cnil, la Région se réserve le droit de modifier la présente politique. Toute nouvelle politique sera notifiée avant son entrée en vigueur.