Contexte

L'exécution des prestations prévue dans le Contrat de services et de licences implique que la société EDUKA SOFTWARE accède à des Données personnelles et réalise un ou des traitement(s) sur celles-ci.

Dans le cadre de leurs relations contractuelles, la société EDUKA SOFTWARE et le Client s'engagent mutuellement à respecter la réglementation en vigueur applicable au traitement de données personnelles et, en particulier, le règlement (UE) 2016/679 du Parlement Européen et du Conseil Européen du 27/04/20116 entrant en application à compter du 25/06/2018, ci-après dénommé "Règlement Général européen sur la Protection des Données (RGPD)".

Chaque client (école) agit en sa qualité de Responsable du traitement et en conserve l'entière maîtrise tandis que qu'EDUKA SOFTWARE agit en qualité de sous-traitant au sens du Droit applicable à la protection des données.

Définitions

Dans le présent article, les termes et expressions identifiés par une majuscule ont la signification indiquée ci-après, qu'ils soient employés au singulier ou au pluriel :

• Autorité de contrôle : désigne l'autorité publique indépendante chargée de surveiller l'application du Droit applicable à la protection des données, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données au sein de l'Union européenne. En France par exemple, l'Autorité de contrôle est la Commission Nationale de l'Informatique et des Libertés (CNIL).
• Données personnelles: désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée " Personne concernée "), directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• Droit applicable à la protection des données: désigne la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l'égard du traitement de Données personnelles, et s'appliquant à EDUKA SOFTWARE. Le Droit applicable à la protection des données comprend notamment la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des Données personnelles et à la libre circulation de ces données, ainsi que le Règlement (UE) 2016/679 du Parlement européenen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données entrant en vigueur le 25 mai 2018, et tout autre texte français ou européen relatif à la protection des Données personnelles qui viendrait les compléter ou les modifier.
• Sous-traitant ultérieur: désigne tout sous-traitant engagé par le Prestataire ou par tout Sous-traitant ultérieur de celui-ci, qui accepte de recevoir d'EDUKA SOFTWARE ou de tout Sous-traitant ultérieur de celui-ci des Données personnelles exclusivement destinées à des activités de Traitement à effectuer pour le compte d'Eduka Software, conformément aux instructions d'Eduka Software et après avoir été autorisé par Eduka Software, aux conditions énoncées au présent article. Est également considérée comme Sous-traitant ultérieur, toute société faisant partie du Groupe du Prestataire, qui pourrait être amenée à intervenir dans l'exécution des prestations et à traiter ou accéder aux Données personnelles.
• Traitement de données personnelles ou Traitement: signifie toute opération ou tout ensemble d'opérations, décrites dans la présente Annexe, effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de Données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
• Transfert de données à caractère personnel ou Transfert: signifie toute action d'envoi, communication, copie, transmission, diffusion ou accès à distance à des Données personelles, quel que soit le support ou le moyen de communication utilisé.
• Violation de données: désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autoriséee de Données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Engagement d'Eduka Software

La société EDUKA SOFTWARE s'engage à respecter l'ensemble des obligations légales qui s'imposent à elle en application du Droit applicable à la protection des Données et à traiter les Données personnelles qui lui sont confiées par le Client conformément aux dispositions du Contrat de services et de licences. Le Client a sélectionné EDUKA SOFTWARE au regard de son engagement quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à respecter les exigences du Droit applicable à la protection des données et à garantir la protection des droits des Personnes concernées.

Caractéristiques du Traitement

Le Client autorise la société EDUKA SOFTWARE, pour la durée et les seuls besoins du Contrat de services et de licences, à procéder au Traitement des Données personnelles requis par les prestations objets du Contrat. Les caractéristiques de ce Traitement confié à EDUKA SOFTWARE sont définies dans l'annexe E - RGPD annexée au Contrat de services et de licences.

Dans ce cadre, EDUKA SOFTWARE s'engage à traiter les Données personnelles exclusivement sur la base des instructions du Client et s'interdit d'utiliser tout ou partie des Données personnelles pour son propre compte et pour d'autres finalités que celles définies par le Client.

EDUKA SOFTWARE s'engage à tenir un registre sous forme écrite (y compris sous la forme électronique) des catégories d'activités de traitements effectués pour le compte du Client.

EDUKA SOFTWARE s'engage à fournir un registre sous forme écrite (y compris sous la forme électronique) de toutes les activités de traitements effectués pour le compte du Client contenant :

• le nom et les coordonnées de la société EDUKA SOFTWARE et du Client, le cas échéant de leurs représentants, ainsi que de leur DPO (Délégué à la Protection des Données) respectif,
• les catégories de traitements effectués pour le compte du Client,
• le nom et les coordonnées de chaque sous-traitant ultérieur, le cas échéant,
• les transferts de données hors union européenne, le cas échéant,
• une description générale des mesures techniques et organisationnelles mises en oeuvre.

EDUKA SOFTWARE met le registre à la disposition de l'Autorité de contrôle qui en fait la demande et doit prévenir immédiatement le Client de cette mise à disposition.

Il est précisé qu'EDUKA SOFTWARE ne transmettra pas le registre au Client en dehors des cas de contrôles réalisés par l'Autorité de contrôle et sur demande expresse de cette dernière.

Sécurité et confidentialité des Données personnelles

Dans le cadre de la réalisation des prestations faisant l'objet du Contrat de services et de licences, EDUKA SOFTWARE s'engage à mettreen oeuvre les mesures de protection physiques, logiques et d'organisation nécessaires pour préserver la sécurité des Données personnelles, adaptées au risque de sécurité de l'information que présente le Traitement et, notamment, empêcher qu'elles ne soient détruites, perdues, déformées, endommagées, ou que des tiers non autorisés y aient accès, de manière accidentelle ou illicite.

En l'espèce, EDUKA SOFTWARE s'engage a minima à mettre en oeuvre les mesures techniques et organisationnelles suivantes et à les faire respecter par ses collaborateurs et les éventuels Sous-traitants ultérieurs :

• veiller à ce que les personnes autorisées à traiter les Données personnelles des écoles dans le cadre des prestations s'engagent à respecter la confidentialité ou soient soumises à une obligation contractuelle appropriée de confidentialité,
• veiller à ce que ses intervenants dans l'exécution des prestations faisant l'objet du Contrat de services et de licences soient sensibilisés, forméss et organisés pour présenter les garanties suffisantes de sécurité et de confidentialité vis-à-vis des Données personnelles,
• prendre toutes les mesures permettant d'éviter toute utilisation détournée ou frauduleuse des Données, documents et informations traités et notamment des mesures de : gestion des droits d'accès, journalisation des événements, sécurisation des échanges et du stockage des Données personnelles, sauvegarde des données, moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des infrastructures numériques, moyens permettant de rétablir la disponibilité des Données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique, une procédure visant à tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en place,
• assurer le maintien et l'évolution des mesures techniques et organisationnelles mises en place afin de protéger les Données personnelles du Responsable du traitement de façon appropriée, notamment en fonction de l'évolution de l'environnement.manière appropriée, en fonction notamment de l'évolution de l'état de l'art et par la mise en place de mesures de tests et de contrôles réguliers.

Violation de Données personnelles

Sans préjudice des dispositions du Contrat relatives aux signalements des incidents de sécurité, EDUKA SOFTWARE notifie au Client toute violation de Données personnelles dès qu'il en a pris connaissance, par courrier électronique, sauf si la violation implique des Données Personnelles de santé, auquel cas la notification s'opère par l'utilisation d'une messagerie sécurisée.

EDUKA SOFTWARE fournit au Client dans les meilleurs délais à compter de la notification de la violation de la sécurité des Données personnelles et dans la mesure du possible les informations suivantes :

• la nature de la violation,
• les catégories et le nombre approximatif de personnes concernées par la violation,
• les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés,
• la description des conséquences probables de la violation de données personnelles,
• la description des mesures prises ou qu'EDUKA SOFTWARE propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

EDUKA SOFTWARE s'engage à coopérer pour permettre au Client de notifier la violation de données à l'Autorité de contrôle compétente.

Sous-traitant ultérieur

Le Client autorise la société EDUKA SOFTWARE, de façon générale, à faire intervenir d'autres prestataires (les Sous-traitants ultérieurs) pour mener des activités de traitement spécifiques telles que l'hébergement, la maintenance, le support, l'accompagnement, la formation, les tests applicatifs, etc.

En cas de changement ou de proposition de nouveau sous-traitant ultérieur, le Client dispose d'un délai conforme à la règlementation de la commande publique ou à défaut de quinze (15) jours pour les autres types de contrat à compter de la date de réception de cette information pour présenter ses objections.

Les sous-traitants ultérieurs sont tenus de respecter leurs obligations contractuelles avec la société EDUKA SOFTWARE pour le compte et selon les instructions des Clients. EDUKA SOFTWARE s'assure que chaque sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Réglementation. Enfin, il est précisé que lorsque le sous-traitant ultérieur fournit la prestation convenue avec l'accord du Client hors UE/EEE, EDUKA SOFTWARE s'assure de la licéité en matière de protection des données conformément aux dispositions RGPD.

Exercice des droits des personnes

Dans la mesure du possible, EDUKA SOFTWARE doit apporter son concours au Client pour qu'il s'acquitte de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des Données personnelles, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage). Dans une telle hypothèse, toute demande du Client issue d'une réclamation d'une personne dont les Données personnelles ont été collectées, doit être notifiée à EDUKA SOFTWARE via l'adresse email suivante : [dpo@edukasoftware.com]. Le Client reconnaît et accepte qu'aucun échange concernant la gestion des demandes d'exercice de droits des personnes concernées sur des Données Personnelles relatives à leur santé, ne peut avoir lieu par email.

Lorsqu'une personne exerce ses droits directement auprès d'EDUKA SOFTWARE ce dernier s'engage, dès réception de cette demande, à l'adresser au Client par email à l'adresse communiquée par ce dernier.

Le Client s'assurera, dans les plus brefs délais, de la mise en œuvre des actions correspondantes à la demande de la personne concernée. Étant précisé qu'en qualité de Responsable du traitement, le Client reste responsable de la réponse à apporter aux personnes physiques concernées et le Prestataire s'engage à ne pas répondre à de telles demandes.

EDUKA SOFTWARE attire l'attention du Client sur le fait qu'il lui appartient de tenir à jour un registre sous forme écrite (y compris sous la forme électronique) de suivi des demandes d'accès, de rectification et d'opposition, contenant les différentes dates et la description des échanges intervenus avec les personnes concernées.

Information et audit

EDUKA SOFTWARE s'engage :

• à mettre à la disposition du Client toutes les informations strictement nécessaires en sa possession pour démontrer le respect des obligations prévues par le Droit applicable à la protection des données.
• à informer immédiatement son Client si, selon lui, une instruction constitue une violation du Droit applicable à la protection des données.

Description du traitement faisant l'objet de la sous-traitance

Catégorie de sous-traitance

En fonction de l'offre retenue :

• Suite logicielle modulaire Eduka Suite :
  • Avec support opérationnel limité
  • Avec support opérationnel illimité
• Suite logicieille modulaire Eduka Suite avec prestation d'hébergement des données (mode SaaS) sur une des infrastructures numériques d'EDUKA SOFTWARE :
  • Avec support opérationnel limité
  • Avec support opérationnel illimité

Contact

Nom et coordonnées du référent RGPD d'EDUKA SOFTWARE : Monsieur le DPO d'EDUKA SOFTWARE, [dpo@edukasoftware.com]

Description du traitement de Données personnelles

Finalités : objet du ou des traitement(s)

La nature des opérations réalisées sur les Données personnelles, la ou les finalité(s) du traitement, les Données personnelles traitées, les catégories de personnes concerné(e)ses et la durée du traitement sont décrits dans les documents contractuels et au surplus dans des documents techniques qui sont transmis au Client, et qui reprennent les instructions du Client.

De manière générale, les finalité(s) du traitement sont :

• Mise à disposition d'un logiciel dédié à la gestion administrative, pédagogique et financière des élèves d'un établissement scolaire,
• Sauvegarde régulière des bases de données et des documents,
• Support à l'utilisation du logiciel : pour l'exécution des prestations du support, le Client peut mettre à la disposition ponctuelle du support la base de données de son application web sous contrat de location.

Nature des opérations réalisées sur les données

Opérations	Cochez	Commentaires / précisions
Collecte	✅	- Informations des élèves et de leurs responsables légaux relatives à la gestion administrative, pédagogique et financière de leur scolarité. - Informations des personnels de l'établissement.
Enregistrement	✅	Enregistrement de l'ensemble des données.
Organisation / classement / structuration	✅	Classement des données
Conservation	✅	Conservation des données dans une base de données au format MySQL/MariaDB non propriétaire.
Adaptation ou modification	✅	Toute donnée du logiciel en fonction des profils et des droits.
Extraction	✅	- Édition des bilans de compétences et de bulletins scolaires - Édition des certificats de scolarité ou d'exeats - Édition de factures - Extractions de données sous forme de listes d'objets
Exportation	✅	- Export des données par API vers des partenaires à la discrétion du responsable du traitemernt (système de contrôle d'accès, logiciel de gestion de cantine, logiciel de vie scolaire, - Export des données vers le LSU (Livret Scolaire Unique) du Ministère de l'Éducation Nationale (MEN) français
Consultation	✅	- Logiciel :consultation en ligne de leurs emplois du temps par les élèves, leurs responsables légaux et les personnels de l'école, consultation du compte comptable de la famille, consultation des résultats obtenus par les élèves et leurs représentants légaux - Support client : consultation des données uniquement
Utilisation	✅	Toute donnée du logiciel en fonction des profils et des droits dans le cadre des finalités.
Communication par transmission	✅	Transmission des données suivantes avec agrément : - LSU à destination du MEN français - Au choix du responsable du traitement vers des applicatifs partenaires (Pronote, Pronote Primaire, Alise, Turboself) - Au choix du responsable du traitement vers des systèmes tiers en utilisant les API REST prévues par Eduka (accès contrôlés et traçables)
Diffusion ou toute autre forme de mise à disposition	✅	- Mise à disposition des données aux personnes concernées à l'adresse https de l'application web dédié au Client (ex : https://xxx.eduka.school)
Interconnexion	✅	- Délégation de l'authentification à un serveur CAS 2.0 - Intégrations de services numériques à forte valeur ajoutée pour : o la restauration scolaire o la vie scolaire o la comptabilité o la signature électronique o le paiement en ligne o le prélèvement automatique o la facturation électronique
Effacement ou destruction	✅	Dans le respect des obligations légales de conservation des données (notamment de scolarité et de facturation) depuis le Menu Archivage des données (Module Configuration d'Eduka).
Saisie	✅	Toute donnée du logiciel, par exemple : - Informations des élèves et de leurs responsables légaux pour l'inscription, la réinscription et la radiation, - Informations pédagogiques (compétences, bulletins) et de vie scolaire (emplois du temps, absences) - Informations financières des familles (bourses, RIB, frateries, etc.) - Gestion des passages à l'infirmerie (Module Infirmerie soumis à devis complémentaire).
Contrôle	✅	Toute donnée du logiciel contrôlée par le responsable du traitement et les personnels disposant d'un profil Administratif.
Archivage		Archivage des données dans le respect des obligations légales de conservation des données à réaliser dans un système tiers d'archivage externe à Eduka au choix du responsable du traitement
Autres

Données personnelles traitées dans Eduka

Les Données considérées à caractère personnel utilisées dans les différents modules d'Eduka sont notamment les informations suivantes que le Client peut être amené à traiter via l'application :

Catégorie de données	Cochez	Description de l'application
État civil, identité, données d'identification, images	✅	Élèves : Age (lecture seule), Code compte (lecture seule), Code identifiant (lecture seule), Date de naissance, Date expiration passeport 1, Date expiration visa, Nationalité 1, Nom, Nom complet (lecture seule), N° de passeport 1 ou carte d'identité, N° du visa, Pays de naissance, Photo (lecture seule), Prénom, Sexe, Ville de naissance, Adresse e-mail, Code AEFE, Autres contacts : Civilité, Nom, Prénom(s), Numéro(s) de téléphone. Responsables légaux : Age (lecture seule), Code compte (lecture seule), Code identifiant (lecture seule), Date de naissance, Date expiration passeport, Date expiration du visa, Langue parlée, Nationalité 1, Nom, Nom complet (lecture seule), N° de passeport, N° de visa, Photo (lecture seule), Prénom, Sexe, Titre (civilité). Personnels : Age (lecture seule), Code compte (lecture seule), Code identifiant (lecture seule), Date de naissance, Nom, Nom complet (lecture seule), Photo (lecture seule), Prénom, Sexe, Type (lecture seule), Signature Payeurs : Adresse : Pays, Code compte (lecture seule), Code identifiant (lecture seule), Nom, Nom complet (lecture seule), Prénom, Sexe
Vie personnelle	✅	Élèves : Inscription au Transport Responsables légaux : Relation avec l'enfant, Situation familiale Familles : Adresse facturation, Adresses e-mail secondaires Personnels : Adresse : Code postal, Adresse : Pays, Adresse : Rue, Numéro, Résidence, Bâtiment, Adresse : Ville, Adresse e-mail, Adresses e-mail secondaires, Fax, Téléphone Payeurs : Adresse : Rue, Numéro, Résidence, Bâtiment, Adresse : Ville, Adresse e-mail, Adresse facturation, Adresses e-mail secondaires, Fax, Téléphone, Adresse facturation
Vie scolaire et/ou vie professionnelle	✅	Élèves : Date de départ prévue, Structure (lecture seule), Structure (second wish), Anciens élèves : Année de promotion, Anciens élèves : Pays de résidence, Anciens élèves : Profession actuelle, Organisateur de l'entretien (orientation), Provenance : Adresse établissement, Provenance : Classe précédente, Provenance : Nom de l'établissement, Provenance : Pays de l'établissement, Provenance : Ville de l'établissement, code badge, Langue(s) parlée(s), Numéro de séquence badge, Photos : diffusion autorisée, Photos : prise autorisée, Régime cantine demandé Responsables légaux : E-mail de l'employeur, Employeur : Code postal, Employeur : nom, Employeur : Pays, Employeur : Rue (adresse), Employeur : Ville (adresse), Profession, Téléphone de l'employeur Personnels : Code badge, Numéro de séquence badge
Informations d'ordre économique et financier	✅	Familles : Avances et Remboursements Payeurs : Factures, Transactions, Autres paiements, Détails des frais facturés, Impayés, Échéanciers de paiement, Frais et Déductions, Changements et Statuts, Restant dû, Facturé, Ventilé, Avance
Données bancaires	✅	Payeurs : Compte bancaire de prélèvement ou de remboursement : Nom de la banque, Code SWIFT/BIC, Numéro de mandat de prélèvement SEPA, Nom du détenteur du compte, N° de comptes comptables, RIB/IBAN, code PIN du paiement en ligne simplifié
Données concernant la santé	✅	Élèves : Allergie : détails, Allergie, Asthme, Autres informations confidentielles, Date de dernière vaccination DT Polio, Infirmerie : Catégories santé
Données de connexion	✅	Adresses IPs, nom et prénom, identifiant du terminal, horodatage des requêtes effectuées, type des requêtes effectuées.
Données de localisation
Données révélant l'origine raciale ou ethnique
Données révélant les opinions politiques
Données révélant les convictions religieuses ou philosophiques
Données révélant l'appartenance syndicale
Données génétiques
Données biométriques aux fins d'identifier une personne physique de manière unique
Numéro de sécurité sociale
Données concernant la vie sexuelle ou l'orientation sexuelle
Données relatives à des condamnations pénales ou infractions
Autres données

Catégories de personnes concernées

• Personnels administratifs ou de direction, enseignants et prestataires
• Élèves de l'établissement
• Responsables légaux des élèves de l'établissement
• Payeurs
• Autres contacts

Transfert de Données hors UE

Les Données personnelles peuvent, dans le cadre de l'accomplissement des finalités décrites ci-avant et de leur hébergement, être transférées vers des personnes morales d'Eduka Software, ses partenaires, ainsi qu'à quelques sous-traitants situés hors de l’UE, ou de l’Espace Économique Européen, ou des pays reconnus comme disposant d’un niveau de sécurité adéquat par la Commission Européenne. Dans ce cas, EDUKA SOFTWARE Software prend les garanties nécessaires et met en place les outils adéquats d’encadrement de ces transferts en application de l’article 46 du RGPD afin de protéger les Données personnelles des personnes concernées.