RGPD

Beneylu et le RGPD

1 – À propos du RGPD

1.1. Qu’est ce que le RGPD

Le règlement n° 2016/679, dit Règlement Général sur la Protection des Données (RGPD), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel.

Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

En France, c’est la CNIL qui est chargée de vérifier l’application de ce règlement, pour plus d’informations : page dédiée du site Internet de la CNIL

1.2. Qu’est ce qu’une donnée personnelle ?

La CNIL définit une données personnelle comme :

Toute information identifiant directement ou indirectement une personne physique (ex. nom, n° d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).

Il existe une confusion fréquente entre donnée personnelle et donnée sensible (opinion politique, état de santé, etc.). Beneylu ne traite aucune donnée sensible.

1.3. Comment puis-je exercer mes droits ?

En tant qu’utilisateur des services de Beneylu, vous disposez de droits fondamentaux :

  • Droit d’accès aux données : Vous disposez du droit d’accès à vos informations personnelles détenues par Beneylu.
  • Droit de rectification : Vous disposez du droit de rectifier vos informations personnelles détenues par Beneylu.
  • Droit d’opposition : Vous disposez du droit de vous opposer à l’utilisation de vos données personnelles détenues par Beneylu.
  • Droit d’effacement : Vous disposez du droit de demander l’effacement de vos données personnelles détenues par Beneylu.
  • Droit à la portabilité : Vous disposez du droit de récupérer vos données personnelles sous forme numérique, dans un format ouvert.

Afin d’exercer ces droits, vous pouvez contacter Beneylu à l’adresse : support@beneylu.com

1.4. Qui est le délégué à la protection des données ?

Le délégué à la protection des données (ou data protection officer) déclaré auprès de la CNIL est monsieur Eymeric Taelman, joignable à l’adresse  dpd@beneylu.com.

2 – Application à la plateforme Beneylu School

2.1. La plateforme Beneylu School recueille t-elle des données personnelles ?

Oui, l’exploitation de la plateforme Beneylu School nécessite de connaître des données personnelles, notamment à des fins d’authentification, de contrôle d’accès et de personnalisation des services.

Beneylu applique les principes de minimisation des données et de privacy by design, nous ne recueillons ainsi que les données utiles à l’exploitation des services que vous choisissez sur Beneylu School.

Les données personnelles recueillies par la plateforme Beneylu School sont strictement utilisées dans le cadre de l’exploitation du service.

2.2. Quelles sont les données personnelles recueillies par Beneylu School ?

L’acte réglementaire unique RU-003 précise les données personnelles qui peuvent être recueillies par un « espace numériques de travail ». Les données personnelles susceptibles d’être recueillies par Beneylu School sont les suivantes :

Données personnelles – Compte « enseignant »

  • Nom
  • Prénom
  • Email
  • Documents stockés sur la médiathèque
  • Messages reçus et envoyés
  • Avatar – facultatif
  • Date d’anniversaire – facultatif
  • Adresse IP – obligation de traçabilité

Données personnelles – Compte « élève »

  • Nom
  • Prénom
  • Documents stockés sur la médiathèque
  • Messages reçus et envoyés
  • Avatar – facultatif
  • Date d’anniversaire – facultatif
  • Adresse IP – obligation de traçabilité

Données personnelles – Compte « parent »

  • Nom – facultatif
  • Prénom – facultatif
  • Email – facultatif
  • Numéro de téléphone – facultatif
  • Documents stockés sur la médiathèque
  • Messages reçus et envoyés
  • Adresse IP – obligation de traçabilité

L’obligation de traçabilité est décrite par le décret n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Cas des plateformes Beneylu School synchronisées avec les annuaires académiques

Dans certaines académies, des porteurs de projet signent une convention avec Beneylu. Cette convention permet de synchroniser automatiquement, selon une procédure sécurisée définie par le Ministère de l’Éducation nationale, les comptes utilisateurs de Beneylu School avec les informations mises à disposition par « l’annuaire académique fédérateur ».

L’annuaire académique fédérateur fournit des données personnelles supplémentaires utiles à l’exploitation technique de la plateforme, notamment la synchronisation des comptes :

  • Pour un compte « enseignant » :
    • Une référence académique chiffrée
  • Pour un compte « élève » :
    • Une référence académique chiffrée
    • L’ identifiant national de l’élève (INE) – nécessaire pour les changements d’établissement et la génération des livrets scolaires
  • Pour un compte « parent » :
    • Une référence académique chiffrée
    • Numéro de téléphone – facultatif, utile pour l’application « Messages flash »

2.3. Comment sont utilisées les adresse email recueillies par Beneylu School ?

Adresse email – Compte « enseignant »

L’adresse email associée à un compte « enseignant » est utilisée pour :

  • La gestion de l’identité : activation de compte, authentification, gestion du mot de passe
  • L’information : notifications d’activité sur la plateforme, support utilisateur, informations sur l’abonnement,  l’exploitation et la vie de la plateforme

Adresse email – Compte « élève »

Aucune adresse email n’est associée aux comptes « élèves ».

Adresse email – Compte « parent »

L’adresse email associée à un compte « parent » est utilisée pour :

  • La gestion de l’identité : authentification, gestion du mot de passe
  • L’information : notifications d’activité sur la plateforme, support utilisateur, informations sur la plateforme

2.4. Que prévoit le Ministère de l’Éducation nationale ?

Beneylu School est un « espace numérique de travail » pour l’école primaire.

Le Ministère de l’Éducation nationale publie le SDET (Schéma directeur des espaces numériques de travail) qui encadre l’exploitation générale de ce type de plateforme.

Le SDET est complété par l’acte réglementaire unique RU-003 qui précise que le responsable de traitement des données est :

le directeur académique des services de l’éducation nationale-DASEN, pour les écoles

L’acte réglementaire unique RU-003 précise les responsables de traitements concernés, les objectifs poursuivis par ces traitements, les données personnelles concernées, la durée de conservation des données, les destinataires des données et les informations « informatique et libertés ».

2.5. Qui a accès aux données personnelles ?

La plateforme Beneylu School est exploitée par notre société, Beneylu, et nos sous-traitants. Donc seuls Beneylu et ses sous-traitants ont accès à tout ou partie des données personnelles.

Le personnel de Beneylu, en fonction du niveau d’accès qu’il détient, peut accéder à des données personnelles :

  • L’équipe support, dans le but d’apporter une réponse personnalisée aux demandes des utilisateurs ;
  • L’équipe exploitation, pour assurer la maintenance et la mise à jour des bases de données.

Vos données personnelles sont archivées 3 mois après désactivation de votre compte Beneylu School, avant d’être supprimées.

La liste des sous-traitants de Beneylu, tous conformes au RGPD, est consultable en fin de document.

3 – Sous-traitants de Beneylu

Chaque sous-traitant est lui-même conforme au RGPD et engagé par contrat avec Beneylu.

3.1. À propos du Privacy Shield

Certains sous-traitants de Beneylu hébergent des données aux États-Unis, pays adéquat selon le RGPD.

Ils sont tous certifiés « Privacy Shield », le bouclier de protection des données UE – États-Unis. Selon la CNIL :

Le Bouclier de Protection des Données, mieux connu sous le nom de « Privacy Shield », est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données.

Les infrastructures d’exploitation principales des services Beneylu sont quant à elles hébergées en France, par OVH.

3.2. OVH

OVH est une entreprise française, leader européen des infrastructures d’hébergement « cloud ».

Nous confions à OVH l’exploitation de l’infrastructure technique Beneylu : serveurs, sauvegardes et bases de données. Les données sont stockées en France dans les datacentres de Roubaix et de Gravelines.

Données personnelles concernées : toutes.

3.3. Intercom

Intercom est une entreprise américaine, fournisseur de technologies de messagerie entre une plateforme et ses utilisateurs.

Nous utilisons Intercom pour la gestion personnalisée du support aux utilisateurs de Beneylu School.

Intercom est hébergé aux Etats-Unis, pays adéquat selon le RGPD et certifié « Privacy Shield » (voir « À propos du Privacy Shield »).

Données personnelles concernées – comptes « enseignant » uniquement : Nom, prénom, email, identifiant de la classe.

3.4. Stripe

Stripe est une entreprise américaine spécialisée dans le paiement en ligne.

Nous confions à Stripe la gestion des paiements en ligne.

Stripe est hébergé aux Etats-Unis, pays adéquat selon le RGPD et certifié « Privacy Shield » (voir « À propos du Privacy Shield).

Données personnelles concernées – porteur de la carte de paiement : Nom, prénom

3.5. AWS

Amazon Web Services Ireland est une entreprise irlandaise, branche européenne des « services cloud aux entreprises » d’Amazon.

Nous confions à AWS Ireland l’envoi des emails de notification produits par Beneylu School.

AWS Ireland est hébergé en Irlande, pays membre de l’Union Européenne et par conséquent adéquat selon le RGPD.

Donnée personnelle concernée : adresse email

3.6. Mailchimp

Mailchimp est une entreprise américaine spécialisée dans l’emailing.

Nous confions à Mailchimp la gestion de nos campagnes d’emails, comme les newsletters par exemple.

Mailchimp est hébergé aux Etats-Unis, pays adéquat selon le RGPD et certifié « Privacy Shield » (voir « À propos du Privacy Shield).

Données personnelles concernées : Nom, prénom, adresse email

3.7. Autres technologies

Beneylu utilise d’autres technologies pour exploiter ses services en ligne. Ces technologies n’exploitent pas de données personnelles et ne sont donc pas référencées sur cette page.