Données personnelles
Les engagements d'AppScho en matière de vie privée et de traitement des données personnelles
Le Réglement Général sur la Protection des Données (RGPD) créé un cadre global qui régit le traitement et le stockage des données personnelle à travers l'Europe. Chaque contrôleur et responsables des traitements des données est tenu à certaines procédures à compter du 25 mai 2018. AppScho sera entièrement conforme d'ici cette date.
Ce document décrit le rôle d'AppScho dans le traitement des données personnelles des utilisateurs de ses établissements scolaires clients, le type de traitement réalisé sur ces données et les procédures mises en place afin de protéger les utilisateurs.
Contractualisation
Les dispositions d'AppScho vis-à-vis du RGPD seront intégrés aux Contrats d'Utilisation de Service fourni par AppScho aux établissements. D'ici la date d'application, pour les contrats déjà signés, des avenants seront envoyés aux établissements.
Data Protection Officer
AppScho a choisi de ne pas désigner de Data Protection Officer, pour de simples raisons organisationnelles. AppScho reste cependant totalement en accord avec le RGPD et toutes ses obligations. Le service de Protection des Données d'AppScho peut être contacté sur privacy@appscho.com.
Dans la suite de ce document, la notion de Data Protection Officer ne désigne pas la personne officiellement désignée à ce poste, mais le service de Protection des Données d'AppScho.
Droit d'accès, de rectification et à l'oubli
AppScho a mis en place les outils nécessaires afin de respecter et journaliser les demandes de droits d'accès et de droit à l'oubli.
Un établissement peut nous communiquer les demandes qui lui ont été soumises par ses utilisateurs, et AppScho leur transmettra la réponse à leur requête sous 7 jours. Il sera admis que l'établissement (le contrôleur des données) aura fait les opérations nécessaires de vérification de l'identité de demandeur a priori.
AppScho ne stockant aucune données personnelle excepté les journaux d'accès, le droit à la rectification n'est pas applicable pour notre service application mobile. Il l'est cependant sur notre service d'administration My AppScho, destiné aux administrateurs de l'établissement.
Personnels d'AppScho
Tous les employés d'AppScho sont soumis à de stricts accords de confidentialité. Le niveau d'accès à n'importe quel type de données n'est accordé granulairement qu'en cas de stricte nécessité afin de remplir les obligations contractuelles d'AppScho envers ses établissements clients.
Conception sécurisée pour la protection des données
AppScho donne une importance capitale à la conception de ses logiciels et de ses systèmes informatiques. Chaque composant d'AppScho est minutieusement étudié pour traiter, conserver et transmettre uniquement la quantité minimale de données nécessaire au bon fonctionnement des services contractés par un établissement.
Conception infrastructures
Les infrastructures d'AppScho sont conçus pour garantir la sécurité, la confidentialité et l'isolation des contextes clients, et donc des données personnelles traitées. Les éléments logiciels effectuant l'interconnexion avec les systèmes informatiques des établissements (et donc la récupération et le traitement des données personnelles) sont opérés depuis des systèmes démunis de toute capacité d'administration à distance.
Les systèmes qui permettent une administration à distance le sont à travers des méthodes de connexion sécurisées et chiffrées, depuis des adresses IP fixes, et authentifiés grâce à des méthodes respectant l'état de l'art en matière de cryptographie numérique (Elliptic Curves).
Au sein d'AppScho, seuls les personnels autorisés et nécessitant un accès à ces systèmes à des fins d'opérations ou de garantie de respect de la RGPD peuvent s'y connecter (équipe systèmes et réseaux, Data Protection Officer) ; les développeurs et autres employés n'ont aucun accès à ces systèmes. Même au sein de ces personnels autorisés, un système de gestion des droits d'accès est appliqué afin de limiter les pouvoirs de chaque individus en fonction des besoin nécessaires à la réalisation de ses fonctions.
Les utilisateurs finaux ne se connectent, en aucune capacité, directement aux systèmes possédant les accès aux infrastructures des établissements, et ne peuvent donc en aucun cas abuser de ces accès. Chaque connexion depuis un appareil mobile passe à travers deux couches d'infrastructures filtrant et reroutant les flux utilisateurs.
Conception logicielle
AppScho est une suite de logiciels propriétaires en sources fermées, dont la conception fait l'objet de garanties de provenance et de qualité.
Chaque modification apportée à un code source relatif à AppScho est authentifiée et signée à l'aide d'identités cryptographiques unipersonnelles respectant l'état de l'art (clés RSA et GPG), et passe à travers un processus de revue de code a priori de leur intégration dans des systèmes de production.
Chaque modification est journalisée et permet la traçabilité interne de chaque modification.
Communication réseau
Toutes les communications réseau gérées par AppScho sont chiffrées de bout en bout lors du transit sur des réseaux publics à l'aide d'SSL/TLS. Nos engagements de compatibilité avec des appareils mobile anciens (afin de garantir une couverture maximale de la population étudiante), nous ne pouvons pas fournir une utilisation garantie de l'état de l'art en matière de protocoles et algorithmes SSL/TLS utilisés, même s'il seront préférés.
Les communications réseau entre AppScho et un tiers (que ce soit l'établissement ou un sous-traitant) utilisent les mêmes procédés, dans la mesure du possible. Il est de la responsabilité de l'établissement de fournir des connexions sécurisées avant le 25 mai 2018. En revanche, AppScho s'assurera, avant la date de mise en application de la RGPD, que tous ses sous-traitants proposent une telle connexion, et prendra les mesures nécessaires, le cas échéant.
Tous les services internes utilisés par les personnels d'AppScho utilisent les mêmes procédés de sécurisation des communications réseau.
Stockage des données
La politique de stockage des données personnelles d'AppScho est très conservatrice. A l'exception des journaux d'accès et des statistiques d'utilisation décrites ci-dessous, aucune donnée personnelle n'est stockée par AppScho. La situation particulière des sous-traitants sera explicitée dans la section leur étant dédiée.
L'appareil mobile de l'utilisateur est susceptible de stocker des données personnelles localement à des fins de cache. Il est important de noter que seules les informations relatives à l'étudiant présentement connecté sont stockées, et qu'AppScho n'a aucun accès à celles-ci.
Les données fournies par les administrateurs de l'établissement à travers une des plateformes Web d'AppScho sont conservées afin de garantir la continuité de service et les obligations légales. Ces données peuvent contenir, mais ne sont pas limitées à, les informations de connexion (adresse email, mot de passe hashé, nom et actions) des administrateurs de la plateforme, les messages envoyées par l'administration aux utilisateur de l'Application ou encore les contenus statiques mis à disposition dans l'Application. Ces données peuvent être conservées jusqu'à 5 ans après la rupture contractuelle.
AppScho indexe et conserve des journaux d'accès à ses infrastructures. Les accès à ces données est réservé à l'équipe Systèmes et Réseaux et au Data Protection Officer, dans le cadre de sa mission. Les journaux d'accès sont conservés pendant six mois (un décalage de quelques jours peut être remarqué). Les données personnelles contenues dans ces journaux d'accès sont les suivantes :
Nom d'utilisateur (il peut s'agir d'un identifiant numérique, d'un identifiant contenant le nom de l'utilisateur, ou de l'adresse email)
Adresse IP de connexion
Identifiant généré aléatoirement pour son appareil mobile
Des procédures sont en place chez AppScho afin de répondre rapidement aux demandes d'accès et de suppression des données personnelles par les sujets à qui elles correspondent. Les demandes peuvent être adressées par l'établissement au Data Protection Officer.
AppScho recueille également des données statistiques sur les appareils mobiles, à travers deux canaux différents :
Via un logiciel hébergé par AppScho, pour lequel nous transmettons des données personnelles (adresse IP) mais ne la stockons pas (la ville et le pays sont dérivés à partir de celle-ci). Des statistiques non nominatives sont également conservées (sessions, utilisation des fonctionnalités). Ce produit étant opéré par AppScho, toutes les modalités mentionnées dans ce document s'y appliquent.
Via Firebase pour la fonctionnalité Messaging et des statistiques d'installation. Firebase est respectueux du RGPD et est donc compatible avec notre fonctionnement.
Localité des traitements
Tous les traitements effectués par AppScho sont effectués au sein de l'Union Européenne post-Brexit. Les pays au sein desquels AppScho opère sont la Belgique, l'Allemagne et la France, en fonction du service concerné.
Les données transmises à des tiers restent également exclusivement, dans la mesure du possible, sur le territoire européen (voir la section sur les sous-traitants pour plus d'informations).
Sous-traitants
AppScho utilise deux types de sous-traitants, ceux sous la responsabilité et soumis à des contrats commerciaux ou de partenariat avec AppScho ; et les sous-traitants en lien avec l'établissement scolaire.
Tous les sous-traitants sous la responsabilité d'AppScho (à l'heure actuelle, cela concerne exclusivement nos hébergeurs), respectent pleinement les dispositions mises en place par le RGPD.
Vous pouvez accéder aux politiques de traitement des données de nos sous-traitants ci-dessous :
Google Cloud Platform
Politique de gestion des données : https://cloud.google.com/terms/data-processing-terms
Google Firebase
Politique de gestion des données (messages push) : https://firebase.google.com/terms/data-processing-terms
Politique de gestion des données (remontée d'erreurs) : https://firebase.google.com/terms/crashlytics/
Online.net (Iliad Group)
Politique de gestion des données : https://www.scaleway.com/en/terms/privacy/
L'autre type de sous-traitant comprend les services sans lien avec AppScho, souscrits par l'établissement scolaire, et dont les données doivent être inclues dans nos applications afin d'enrichir l'expérience de l'utilisateur. Ces sous-traitants peuvent, par exemple, faciliter l'accès aux logements étudiants, ou aux offres de stages et d'emploi. Ces sous-traitant sont généralement en contrat direct avec l'établissement, possible antérieurement à l'adoption d'AppScho par celui-ci.
En règle générale, nous pouvons transmettre à ces tiers des données personnelles sur un utilisateur à des fins d'authentification, afin de leur accorder l'accès ou de recueillir des données spécifique à l'étudiant en question. Cette transmission de données personnelles sera explicitée par contrat ou avenant au contrat entre AppScho et l'établissement, et sera clairement affichée à l'utilisateur lors de la demande de consentement.
De la même manière que décrite dans la section "Stockage des données", les données recueillies depuis ces sous-traitants ne sont pas stockées par AppScho lorsqu'elles sont ciblées pour un étudiant spécifique.
Des données personnelles sont également fournies par l'utilisateur à Google et Apple lors de l'utilisation de leur appareil mobile et le téléchargement de l'application AppScho sur le Play Store et l'App Store. Il s'agit ici d'une relation directe entre Google et Apple d'un côté, et l'utilisateur de l'autre. AppScho n'est donc pas responsable des données personnelles collectées par celles-ci.
Consentement utilisateur
Un consentement explicite de l'utilisateur est requis depuis le 25 mai 2018 afin de recueillir la permission qu'il donne à l'établissement scolaire de fournir des informations personnelles à AppScho, et indirectement, aux sous-traitants d'AppScho.
Toutes les informations requises par le règlement seront fournies, notamment l'utilisation faite du traitement et stockage des données personnelles, ainsi que les périodes de rétention de celles-ci.
Il sera nécessaire pour l'établissement de fournir ses informations de contact et de vie privée (coordonnées du responsable et du Délégué à la Protection des Données), et possiblement une utilisation annexe faite par l'établissement à travers AppScho.
Last updated