Données personnelles

Edulog s’engage auprès de ses clients pour répondre aux exigences du RGPD

Edulog est engagée dans une démarche de mise en conformité avec le Règlement Général sur la Protection des Données personnelles du 27/04/2016 (RGPD)

 

Edulog renforce ses procédures de protection des données personnelles des clients de nos solutions IAL, Vie Scolaire et Cahier de Textes En Ligne, afin qu’elles soient collectées et utilisées de manière transparente, sécurisées et confidentielles.

 

Conformément à la réglementation RGPD, Edulog a nommé un Délégué à la Protection des Données (DPO). Il assurera une veille permanente sur la conformité de nos solutions et assurera les conseils et formations pour nos équipes.

 

Le DPO Edulog sera aussi à la disposition de nos clients, et de leur DPO, afin de les accompagner dans leurs propres démarches de mise en conformité.

 

Vous pouvez contacter notre DPO

Tél : 01 48 01 09 73

dpo@edulog.fr

 

 

Nos engagements

Conformément aux exigences du RGPD, Edulog applique les mesures de sécurité optimale sur ces architectures technologique (matérielles et logicielles) pour que les données à caractères personnelles collectées pour ses clients soient inaccessibles (destruction, détournement, consultation, modification et transfert) à des tiers non autorisés.

 

Edulog ne communique pas vos données personnelles à des tiers à des fins de marketing ou de prospections commerciales.

 

Edulog, dans le cadre de ces prestations de services, peut être amené à collaborer avec des sociétés sous-traitantes (par exemple pour les hébergements Internet). Dans ce cas, Edulog confirmera la conformité RGDP de ces sociétés, et en avisera ses clients.

 

Edulog fournit tous les conseils et l’accompagnement nécessaire auprès de ces clients concernant leurs droits les dans le cadre de la gestion des données personnelles.

 

Edulog, accordant en permanence une attention à la protection des données de ses clients, peut être amené à modifier ou compléter nos dispositions concernant la protection des données qui lui sont confiées. A ce titre, Edulog informera en temps réel, sur son site www.edulog.fr ou par envoi de mail, ses clients des dernières versions et modification de notre politique RGPD (avenants aux contrats et aux conditions générales d’utilisation de nos solutions, conformes aux exigences du RGPD.

 

 

Quels sont les droits des utilisateurs des solutions Edulog ?

Edulog ne peut utiliser les données personnelles qui lui sont confiées, sauf instruction de la part de nos clients. Nos collaborateurs, tenus par un contrat de confidentialité, peuvent avoir accès à ces informations dans le cadre de leurs prestations pour analyser et s’assurer de l’intégrité de nos services.

De même, Edulog ne peut communiquer à un tiers des données personnelles. Sauf en y étant invité par un consentement de la part d’un client, ou suite à une obligation légale (autorité judiciaire, de police, de gendarmerie ou autre autorité habilitée).

Edulog doit fournir à ses clients certaines informations : la période pendant laquelle les données sont stockées ; le droit des utilisateurs (identification, rectification, destruction) ; l’origine de la collecte et le consentement des utilisateurs.

 

Un utilisateur (élève ou parent d’élève) ne peut demander la suppression de ses données directement auprès d’Edulog. Cette responsabilité incombe au client (établissement scolaire) et sur avis de son RPD. Dans le cas où l’établissement confirme la demande de l’utilisateur, Edulog sera à même de fournir les éléments de confirmation au client.

 

Un utilisateur (élève ou parent d’élève) peut demander une copie de l'ensemble de ses données personnelles. Dans ce cas, cette demande devra être validé par le DPO de l’établissement et Edulog sera à même de fournir les éléments de confirmation au client.

 

Edulog ne pourra supprimer les données personnelles d’un utilisateur qu’avec la confirmation écrite du client.

 

Edulog est tenu de signaler aux clients et utilisateurs de ses solutions les éventuels piratages de données personnelles, et de fournir la liste exhaustive des utilisateurs impactés.

Edulog intervient comme gestionnaire des données personnelles des utilisateurs d’un établissement scolaire. Edulog ne traite donc que les données communiquées et collectées par le client. Ces données personnelles sont issues du système de gestion administrative de l’établissement, ou saisies par les administrateurs de l’établissement dans le cadre des outils de Vie Scolaire et de l’ENT. La responsabilité de la conformité des données au titre de la RGPD est de la responsabilité du client sous le contrôle du DPO. Il faut savoir que nous n'obtenons aucune des données utilisateurs de manière indépendante.

L’ensemble des données traitées par les solutions Edulog sont hébergées dans des structures implantées dans l’espace de l’Union Européenne, et dans ce cas ne nécessite pas d’autorisation spécifique de la part des clients utilisateurs.

 

 

Quelles sont les obligations du client dans le cadre du RGPD ?

Edulog se tient à votre disposition pour vous accompagner dans votre démarche de mise en conformité au RGPD pour votre établissement.

Vous pouvez contacter pour un entretien personnalisé

Tél : 01 48 01 09 73

dpo@edulog.fr

 

Les étapes que vous devez réaliser :

 

- Nommer un DPO (Data Protection Officer) ou Responsable de la Protection de Données et définir ses missions

Ce DPO peut être un salarié de votre établissement, ou un prestataire extérieur sous forme d’une prestation de service contractualisé. Il exercera le contrôle des règles internes de protection des données personnelles et vérifiera leur bonne exécution.

 

- Tenir un registre des traitements

Les établissements doivent tenir un registre actualisé de tous leurs traitements de données personnelles.

Consultable à tout moment par la CNIL, ce registre comporte :

Le nom et coordonnées du responsable du traitement

Les finalités du traitement, l’objectif en vue duquel les données ont été collectées

Les catégories de personnes concernées par cette collecte (client, prospects, employé, …)

Les catégories de données personnelles (identité, situation familiale, économiques, …)

Les catégories de destinataires auxquels les données ont été ou seront communiqués, y compris les sous-traitants

Les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale

Les délais prévus pour l’effacement des différentes catégories de données

Une description générale des mesures de sécurité technique mis en œuvre.

 

- Identifier le périmètre des données sensibles

La réforme européenne préconise le cryptage ou la pseudonymisation pour les données les plus sensibles

Il s’agit des informations relatives aux origines raciales ou ethniques, à la religion, aux opinion politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes.

 

- Garantir les droits des personnes

L’établissement doit obtenir le consentement explicite des personnes concernées par le traitement et pouvoir en apporter la preuve.

Le droit à l’oubli oblige le responsable du traitement à garantir aux individus qui en feront la demande que leurs données seront bien supprimées dans le délai fixé.

Le règlement instaure un droit à la portabilité, soit la possibilité d’obtenir les données personnelles le concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.

 

- Revoir les contrats des fournisseurs de l’établissement

Le responsable du traitement doit s’assurer que les sous-traitants sont bien engagés sur la voie de la conformité en insérant des clauses contractuelles rappelant leurs nouvelles obligations.

 

- Rédiger une charte de bonnes pratiques

Une charte annexée au règlement intérieur permet de rappeler aux collaborateurs les bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi.

Un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie.

Il doit respecter les règles de sécurité définies par le service informatique/

 

- Se préparer à la possibilité d’une fuite de données

L’entreprise doit mettre en place les procédures d’escalade qui seront activées en cas de violation de données personnelles en termes de communication de crise et d’information

Le responsable du traitement doit notifier la CNIL si possible dans les 72 heures après en avoir pris connaissance.

Il doit de même avertir dans les meilleurs délais les personnes concernées quand la fuite présente un risque élevé pour leurs droits et liberté comme le vol de mot de passe ou de numéros de cartes bancaires.