RGPD & Conformité GeReMS

GeReMS traite des données personnelles d'enseignants (identité, service, affectation). En tant que logiciel commercialisé à des établissements scolaires, il est soumis au Règlement Général sur la Protection des Données (RGPD — UE 2016/679). Ce chapitre présente les outils de conformité intégrés et les responsabilités de chaque acteur.

Accès réservé aux administrateurs
Toutes les fonctionnalités décrites ici sont accessibles uniquement aux comptes de rôle admin ou propriétaire. Un utilisateur sans ces droits qui tente d'ouvrir un document RGPD est redirigé vers le hub avec un message d'information.

1. Le hub RGPD

Le menu RGPD & Conformité de la barre de navigation ouvre le hub centralisé. Il regroupe en un seul endroit les 7 documents réglementaires de l'établissement.

Politique de confidentialité

Information des personnes sur les données collectées, les finalités, leurs droits et les contacts utiles (Art. 13-14 RGPD). Document imprimable.

Registre des traitements

Inventaire des 4 traitements de données (gestion RH, services, logs, sauvegardes) avec durées de conservation et mesures de sécurité (Art. 30 RGPD).

Fiche de conformité DPO

Document technique destiné au Délégué à la Protection des Données de l'académie ou de l'établissement (Art. 37-39 RGPD).

Contrat de sous-traitance

Modèle de DPA (Data Processing Agreement) à signer entre l'établissement (responsable de traitement) et BUBAPP (sous-traitant), Art. 28 RGPD.

Annexe sous-traitants

Liste des prestataires techniques autorisés (hébergeur OVH, CDN, messagerie) avec leurs garanties RGPD (Art. 28§2 RGPD).

Plan de réponse aux violations

Procédure interne en cas de violation de données : chronologie d'intervention, critères de notification CNIL (délai 72 h), registre des incidents (Art. 33-34 RGPD).

Exporter les données

Télécharge l'intégralité des données de l'établissement au format JSON horodaté. Couvre le droit à la portabilité (Art. 20 RGPD).

Documents dans un onglet dédié
Chaque document s'ouvre dans un nouvel onglet du navigateur, prêt à être imprimé ou exporté en PDF via le menu d'impression (Ctrl+P).

2. Mesures de sécurité techniques

GeReMS intègre nativement plusieurs couches de protection des données :

Mots de passe hachés : les mots de passe ne sont jamais stockés en clair — GeReMS utilise l'algorithme bcrypt (standard de référence).
Sessions sécurisées : les sessions expirent automatiquement après 2 heures d'inactivité. Le cookie de session est configuré HttpOnly et SameSite pour résister aux attaques XSS et CSRF.
Protection CSRF : chaque formulaire et chaque appel API est protégé par un jeton unique par session, renouvelé toutes les 2 heures.
Isolation multi-établissement : chaque établissement dispose de sa propre base de données SQLite. Aucune donnée ne peut « fuiter » vers un autre établissement.
Anonymisation des logs : les adresses IP enregistrées dans les journaux d'activité sont partiellement masquées (dernier octet IPv4 remplacé). Les logs sont purgés automatiquement après 12 mois.
Accès aux dossiers sensibles bloqué : les dossiers /data/, /config/, /sessions/, /keys/ et /logs/ sont protégés par des règles Apache qui empêchent tout accès HTTP direct.

3. Rôles et responsabilités

L'établissement scolaire

Responsable de traitement (Art. 4§7 RGPD).

  • Détermine les finalités et moyens du traitement.
  • Signe le contrat de sous-traitance avec BUBAPP.
  • Informe les enseignants (politique de confidentialité).
  • Tient son propre registre (pré-rempli dans GeReMS).
  • Notifie la CNIL en cas de violation (plan fourni).

BUBAPP (éditeur)

Sous-traitant (Art. 28 RGPD).

  • Développe et maintient GeReMS.
  • Garantit les mesures techniques de sécurité.
  • N'accède aux données qu'à la demande explicite de l'établissement (maintenance).
  • Met à jour les documents RGPD en cas d'évolution.

4. Droits des enseignants

Les enseignants dont les données sont traitées dans GeReMS disposent des droits suivants, à exercer auprès de l'établissement :

Droit d'accès (Art. 15) : obtenir une copie des données les concernant.
Droit de rectification (Art. 16) : faire corriger des données inexactes (nom, ORS, etc.).
Droit à l'effacement (Art. 17) : demander la suppression de leur profil à la fin du contrat ou en cas de départ de l'établissement.
Droit à la portabilité (Art. 20) : récupérer leurs données dans un format structuré — via la fonction Exporter les données du hub RGPD.
Droit d'opposition (Art. 21) : s'opposer à certains traitements — à évaluer avec le DPO académique.
Recours
En cas de litige non résolu, tout enseignant peut saisir la CNIL (Commission Nationale de l'Informatique et des Libertés) — cnil.fr.

5. En cas de violation de données

Si vous suspectez ou constatez une violation (accès non autorisé, perte de données, divulgation accidentelle…), ouvrez immédiatement le Plan de réponse aux violations depuis le hub RGPD. Il contient la procédure pas-à-pas et les contacts d'urgence.

Délai légal : 72 heures. Toute violation susceptible d'engendrer un risque pour les droits des personnes doit être notifiée à la CNIL dans les 72 heures suivant sa découverte (Art. 33 RGPD).