1. Qui est responsable du traitement ?
Le responsable du traitement des données personnelles collectées via l'application Appel Internat est l'établissement scolaire qui utilise cette solution, représenté par son chef d'établissement.
L'éditeur technique de l'application est Victor Rubia Rodriguez, qui intervient en qualité de sous-traitant au sens de l'article 28 du RGPD. Les obligations contractuelles de ce sous-traitant sont définies dans la convention de sous-traitance (DPA).
2. Quelles données sont collectées ?
L'application collecte uniquement les données strictement nécessaires au fonctionnement du service :
| Catégorie | Données | Finalité |
|---|---|---|
| Comptes utilisateurs | Nom, prénom, adresse email, rôle (AED, CPE, etc.) | Authentification et gestion des accès |
| Élèves | Nom, prénom, niveau scolaire, sexe | Réalisation des appels du soir |
| Appels | Statut de présence (présent / absent), activité sportive, raison d'absence | Suivi des présences en internat |
| Observations | Notes libres saisies par les AED par groupe et par nuit | Rapports quotidiens pour les CPE |
| Messages | Contenu des messages internes CPE → AED | Communication interne entre équipes |
| Récapitulatifs | Synthèse des appels (données agrégées) | Historique et export PDF |
| Autorisations de sortie | Nom et prénom de l'élève, destination, horaires, numéro de téléphone du responsable (si SMS activé) | Gestion des sorties des élèves, génération de QR code, notification SMS |
| Subscriptions push | Endpoint de notification push (URL technique), clés de chiffrement, user-agent | Envoi de notifications push PWA (opt-in volontaire) |
| Suivi infirmerie | Notes médicales libres (PAI, traitements en cours), créneaux de traitement (matin/midi/soir/nuit) | Suivi médical des élèves internes par l'infirmière scolaire |
| Observance des traitements | Créneau de traitement, date, statut pris/non pris | Suivi quotidien de la prise des médicaments par l'infirmière |
| Suivi social | Commentaires sociaux libres sur l'élève, notes de rendez-vous | Suivi social personnalisé par l'assistant sociale |
| Rendez-vous sociaux | Date, heure, durée, motif, notes post-RDV, statut | Planification et suivi des rendez-vous individuels avec les élèves |
Le module de suivi infirmerie traite des données de santé au sens de l'article 9 du RGPD (notes médicales, traitements). Ce traitement est mis en œuvre par l'établissement scolaire en tant que responsable de traitement, dans le cadre de ses obligations légales de protection de la santé des élèves internes.
3. Sur quelle base légale ?
Les traitements reposent sur la mission d'intérêt public confiée à l'établissement scolaire (art. 6.1.e du RGPD) : assurer la sécurité et le suivi des élèves internes pendant la nuit.
Le traitement des données de santé (module infirmerie) repose sur l'article 9.2.h du RGPD — traitement nécessaire aux fins de médecine préventive ou scolaire, dans le cadre des obligations légales de l'établissement envers la santé des élèves.
4. Qui a accès aux données ?
Les données sont accessibles uniquement aux personnes habilitées de l'établissement :
- AED — uniquement les élèves de leur groupe assigné
- CPE, Managers, Viescolaire — tous les groupes de leur internat
- Infirmière — sa liste personnelle d'élèves suivis (commentaires médicaux et traitements), messagerie et calendrier. Les données de santé détaillées (notes P.A.I., créneaux de traitement, motifs de passage) sont accessibles exclusivement à l'infirmière et ne sont jamais transmises aux autres rôles, même en lecture seule.
- Assistant sociale — sa liste personnelle d'élèves suivis avec commentaires sociaux, rendez-vous planifiés, messagerie et calendrier. Les commentaires sociaux et notes de rendez-vous sont accessibles exclusivement à l'assistant sociale qui les a saisis.
- Agent d'accueil — autorisations de sortie (selon permissions)
- Administrateur — gestion des comptes et des élèves de l'internat
- Direction / Superadmin — accès global à leur internat
Chaque internat dispose de ses données dans un espace strictement isolé. Aucune donnée n'est partagée entre établissements.
5. Sous-traitants techniques
L'application s'appuie sur les sous-traitants suivants, tous établis dans l'Union européenne :
| Catégorie | Données | Finalité |
|---|---|---|
| Vercel | Hébergement de l'application | Région cdg1 — Paris, France (UE) |
| Supabase | Base de données PostgreSQL | Région EU (Union européenne) |
| Pusher | Notifications temps réel (WebSockets) | Cluster eu — Dublin, Irlande (UE) |
| Twilio | Envoi de SMS (autorisations de sortie) | États-Unis — Clauses contractuelles types (CCT/SCC) |
Vercel, Supabase et Pusher traitent les données au sein de l'Union européenne. Twilio (SMS) est établi aux États-Unis — le transfert est encadré par des clauses contractuelles types (CCT) conformément à l'art. 46 du RGPD. Le détail des engagements contractuels avec ces sous-traitants est disponible dans la convention de sous-traitance (DPA).
6. Durée de conservation
Les données sont conservées pour la durée strictement nécessaire à la gestion des présences en internat, définie par l'établissement responsable du traitement. À titre indicatif, une durée de conservation d'un an glissant est recommandée pour les appels et récapitulatifs.
Les comptes utilisateurs sont supprimés à la fin de la relation contractuelle entre l'établissement et l'éditeur.
7. Sécurité des données
Les mesures techniques suivantes sont mises en œuvre :
- Mots de passe chiffrés avec bcrypt (10 rounds) — jamais stockés en clair
- Authentification par cookie JWT HttpOnly + Secure + SameSite=Lax
- Communications chiffrées en HTTPS (TLS)
- Isolation stricte des données par internat (architecture multi-tenant)
- Headers de sécurité : HSTS, Content Security Policy, X-Frame-Options
- Limitation des tentatives de connexion (rate limiting par IP)
- Cloisonnement des données de santé — les données médicales (P.A.I., traitements, motifs de passage) sont filtrées au niveau API : seul le compte infirmière y accède, les autres rôles reçoivent uniquement les informations administratives (statut présence/absence)
8. Droits des personnes concernées
Conformément au RGPD, toute personne dont les données sont traitées dispose des droits suivants :
- Droit d'accès (art. 15) — obtenir une copie de ses données
- Droit de rectification (art. 16) — corriger des données inexactes
- Droit à l'effacement (art. 17) — demander la suppression de ses données
- Droit à la limitation (art. 18) — restreindre un traitement
- Droit d'opposition (art. 21) — s'opposer à un traitement
Pour les données de santé traitées dans le module infirmerie (notes P.A.I., traitements, passages), ces droits s'exercent directement auprès de l'infirmière scolaire ou du chef d'établissement, en leur qualité de responsables de traitement pour ces données de catégorie spéciale (art. 9 RGPD).
Pour exercer ces droits, contactez le chef d'établissement ou le Délégué à la Protection des Données (DPO) de votre établissement.
9. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
cnil.fr/fr/plaintes — 3 Place de Fontenoy, 75007 Paris
10. Contact
Pour toute question relative à cette politique de confidentialité ou au traitement de vos données :
- Responsable de traitement : l'établissement scolaire utilisant l'application — contacter la direction de l'établissement
- Éditeur technique : victor.r.r90@gmail.com