Politique de confidentialité

1. Responsable du traitement

Direction de l’Enseignement Catholique (DDEC) de APP-DEV
Adresse : 2 rue des Érables – 69760 Limonest – France
Courriel : support@example.com

2. Données collectées

  • Données fournies par les utilisateurs : identité (civilité, prénom, nom), coordonnées (email, téléphone), identifiants académiques, rôles, informations professionnelles, justificatifs téléversés, observations liées aux demandes.
  • Données collectées automatiquement : adresses IP tronquées, journaux d’évènements, horodatages de connexion, cookies techniques (session, consentement, préférence de thème), codes temporaires d’authentification forte.
  • Données provenant de tiers : informations synchronisées depuis le portail IAM (statut compte, hash de mot de passe, appartenance académie), pièces hébergées sur l’infrastructure cloud, traces générées lors des envois d’emails transactionnels.

3. Finalités

Les données sont utilisées pour : l’authentification et la gestion des comptes, le suivi des affectations et justificatifs, la génération des documents officiels, la traçabilité des actions, la détection des usages frauduleux, la communication administrative (emails d’invitation, OTP, réinitialisation, notifications de justificatifs), et le support utilisateur.

4. Bases légales

  • Mission d’intérêt public / exécution d’une mission de la DDEC : gestion des mouvements et services numériques pédagogiques.
  • Obligation légale : conservation des justificatifs, journalisation des accès et contrôles réglementaires.
  • Intérêt légitime : sécurisation des accès, prévention de la fraude, amélioration continue du service.
  • Consentement : fonctionnalités optionnelles (notifications non essentielles, assistance IA si activée).

5. Destinataires

L’accès est limité aux personnels habilités de la DDEC (administrateurs, gestionnaires, directions) et aux sous-traitants indispensables : hébergeur cloud, service d’envoi d’emails, fournisseur d’assistance IA lorsque cette option est utilisée. Les partenaires académiques interconnectés via le portail IAM reçoivent uniquement les informations nécessaires à la connexion.

6. Hébergement et transferts

Le cœur applicatif est hébergé sur une infrastructure cloud localisée en Union européenne (AWS région Paris). Les emails transitent par un prestataire européen (Brevo). Si l’assistance IA est activée, les données strictement nécessaires sont envoyées aux serveurs de l’éditeur concerné ; ce transfert est encadré contractuellement.

7. Durées de conservation

  • Comptes utilisateur : pendant la durée d’utilisation du service puis archivage selon les règles académiques.
  • Historique d’affectation et justificatifs : durée requise par la réglementation et les besoins de suivi administratif (jusqu’à 5 ans).
  • Journaux de sécurité et codes MFA : quelques mois (maximum 6) pour l’audit et la réponse aux incidents.
  • Tokens de réinitialisation / invitation : 60 minutes.

8. Mesures de sécurité

Gestion stricte des rôles, authentification forte par code à usage unique, chiffrement des mots de passe avec algorithme robuste, validation CSRF, contrôle des sessions, journalisation des actions sensibles, surveillance des uploads, sauvegarde et cloisonnement des environnements. Les accès au cloud et aux bases sont restreints aux administrateurs autorisés.

9. Cookies et technologies similaires

  • Cookie de session (technique) : conserve l’état de connexion.
  • Cookie / localStorage de consentement : enregistre l’acceptation des cookies indispensables.
  • Cookie / localStorage de thème : mémorise la préférence d’affichage clair/sombre.
  • Aucun cookie publicitaire ou de suivi externe n’est installé.

10. Droits des utilisateurs

Accès, rectification, effacement, opposition, limitation, portabilité, directives post-mortem : toute demande s’effectue auprès du DPO (dpo@bimp.fr) ou via le support académique. En cas de litige, vous pouvez saisir la CNIL.

11. Décision automatisée

Aucun profilage ni décision automatisée produisant des effets juridiques n’est opéré. Les traitements automatisés servent uniquement à faciliter la gestion administrative et restent supervisés par des acteurs humains.

12. Sous-traitants

  • AWS (hébergement et stockage).
  • Brevo / SMTP professionnel (envoi des emails transactionnels).
  • Fournisseur IA (OpenAI) – uniquement si la fonctionnalité est activée par l’académie.
  • Portail IAM interne (synchronisation des comptes).

13. Mise à jour

Cette politique est revue à chaque évolution majeure du service ou de la réglementation. Dernière mise à jour : 08/12/2025.

14. Contact RGPD

Délégué à la Protection des Données – BiMP Éducation / Groupe LDLC
2 rue des Érables – 69760 Limonest – France
Email : dpo@bimp.fr