ENT : Attention à vos données personnelles !

  • à 09:40
ENT
Les applications et environnement scolaires sont une faille pour votre vie privée

Les solutions d’environnements numériques de travail (ENT) sont simples d’utilisation et permettent d’assurer un meilleur suivi pédagogique. Cependant, ces dernières sont encore loin derrière les exigences du RGPD.

Des failles de sécurité menaçant l’intégrité des données traitées par ces applications

Les solutions d’ENT sont la cible quotidienne de cyberattaques. L’intérêt pour un attaquant étant de chiffrer les données, de défigurer le site internet pour y insérer des messages de propagande, ou encore de voler les données afin de les revendre à d’autres attaquants.

En 2020, un hacker éthique alerte le journal Numerama d’une faille de sécurité retrouvée dans le script d’une application scolaire. Cette faille, si exploitée, pourrait se répandre à d’autres applications similaires hébergées sur le même serveur. Les données personnelles des élèves et du personnel éducatif pourraient alors très facilement être corrompues et/ou dérobées. A ce jour, rien ne nous permet d’affirmer l'existence d'une correction de cette faille.

Les établissements scolaires doivent impérativement renforcer la sécurité de leurs environnements numériques de travail afin d’être conformes au RGPD et ainsi garantir la sécurité, la confidentialité et l’intégrité des données personnelles qu’ils traitent. Cela passe notamment par la réalisation régulière de tests de sécurité du système d’information, afin d’en corriger les failles, mais aussi par des mesures qui renforcent les bases de la sécurité du système d'information.

Quelques indices pour avoir une idée sur la sécurité d’un ENT

Tout d’abord, rares sont les solutions qui respectent les exigences en termes de cloisonnement des accès aux informations. Il est possible pour des parents d’élèves d’avoir accès à la liste de l’ensemble des parents. Or, cela va à l’encontre du RGPD. Toute consultation non-nécessaire de données personnelles ne peut être effective.

Il doit également être possible pour les utilisateurs de modifier leurs mots de passe lors de leur première connexion. Par ailleurs, ces mots de passe doivent être suffisamment robustes : minimum 12 caractères alphanumériques alternant majuscules, minuscules et caractères spéciaux. A nouveau, une telle pratique est quasi-inexistante dans les solutions d’ENT présentes sur le marché. Les utilisateurs sont libres de rentrer des mots de passe comme 1234, 0000, password, ou encore la date de naissance de leur enfant.

Par ailleurs, la solution doit pouvoir déconnecter automatiquement l’utilisateur au bout d’une certaine période d’inactivité. De même, si l’utilisateur ferme la page, il devrait de nouveau avoir à s’authentifier. Cela contribue à la cybersécurité de la solution.

Aussi, un système de purge des données devrait être mis en place sur les boîtes mail internes. En effet, les données personnelles ne peuvent être conservées une fois la finalité de leur traitement atteinte.

Assurez-vous également que le site internet dispose du protocole HTTPS, permettant de grandement limiter les attaques du type « man-in-the-middle ».

Attention aux transferts de données hors Union Européenne !

Enfin, les données personnelles de ces applications peuvent être hébergées en France, mais par des entreprises basées aux États-Unis. En étudiant la politique de confidentialité d’une de ces solutions, l’on s’aperçoit que les données sont hébergées en UE, mais par des hébergeurs tels qu’Amazon ou Microsoft. Or, le Cloud act impose à ces entreprises de transmettre leurs données, peu importe leur localisation, si les autorités le requièrent. En effet, bien qu'un nouvel accord entre l'UE et les États-Unis soient en cours de signature pour les transferts de données vers des entreprises américaines, il ne faut pas oublier que ces accords dépendent de la personne au pouvoir. Ainsi, il n'est pas certain que le successeur de Joe Biden le maintienne.

Mais les Etats Unis ne sont pas les seuls Etats à disposer d'une telle réglementation.  Assurez-vous donc que les données ne soient pas hébergées par des solutions américaines ou, de manière générale, par des entreprises soumises à d’autres lois que celles de l’Union Européenne.

Protéger mes données personnelles
Mettre en conformité mon ENT

Informations légales

Nos engagements

Recrutement

Rejoignez l’équipe dès maintenant en envoyant votre candidature ici.

Newsletter

Champs obligatoires *

Tester son établissement : Les consentement légaux

Ce formulaire s’adresse uniquement aux entreprises et entre dans le cadre d’une relation B2B. Les informations recueillies à partir de ce formulaire sont nécessaires à l’évaluation de la conformité de votre entreprise ainsi qu’à l’envoi des résultats obtenus à ce test. Ces données sont destinées à un usage exclusivement interne.

La base juridique de ce traitement est un fondement contractuel que constitue lla fourniture d’un service gratuit d’évaluation de votre niveau de conformité

Vos données ne sont ni vendues, ni échangées, ni transférées en dehors de l’Union Européenne.
Vos données sont conservées en base active jusqu’à l’envoi des résultats à ce test.

Elles sont ensuite conservées pendant 3 ans afin de vous proposer des solutions de mise en conformité adaptées aux besoins identifiés. Ce traitement repose sur notre intérêt légitime. Le cas échéant, vous aurez la possibilité de vous opposer à ce traitement en vous opposant à ce que vos informations de contact soient conservées dans notre liste de diffusion.

Conformément à la Loi Informatique et Liberté de n°78-17 du 6 janvier 1978 modifiée, au Règlement (UE) 2016/679 et à la Loi pour une République numérique du 7 octobre 2016, vous disposez du droit d’accès, de rectification, de limitation, d’opposition, de suppression, du droit à la portabilité de vos données et de transmettre des directives sur leur sort en cas de décès.


Vous pouvez exercer ces droits en adressant un mail à dpo@mydigitplace.com.

Vous avez la possibilité de former une réclamation auprès de la CNIL à l’adresse : www.cnil.fr.

 En cochant cette case j’affirme avoir lu et accepté votre politique de confidentialité.

Inscription à la newsletters : les mentions d’informations RGPD

Ce formulaire s’adresse uniquement aux entreprises et entre dans le cadre d’une relation B2B. Les informations recueillies à partir de ce formulaire sont nécessaires à la fourniture d’un service de Newsletter. Ces données sont destinées à un usage exclusivement interne.

La base juridique de ce traitement est un fondement contractuel que constitue la fourniture d’un service gratuit d’envoi d’informations spécialisées sur le RGPD et la cybersécurité.

Vos données ne sont ni vendues, ni échangées, ni transférées en dehors de l’Union Européenne.
Vos données sont conservées en base active jusqu’à votre désabonnement de notre Newsletter.

Elles sont également conservées pendant 3 ans afin que nous puissions vous communiquer nos offres commerciales. Ce traitement repose sur notre intérêt légitime. Le cas échéant, vous aurez la possibilité de vous opposer à ce traitement en vous opposant à ce que vos informations de contact soient conservées dans notre liste de diffusion.

Notre prestataire d’e-mailing nous communique des statistiques d’ouverture des courriers électroniques. Ces informations peuvent être traitées par nos services afin d’améliorer la sécurité de nos services.

Conformément à la Loi Informatique et Liberté de n°78-17 du 6 janvier 1978 modifiée, au Règlement (UE) 2016/679 et à la Loi pour une République numérique du 7 octobre 2016, vous disposez du droit d’accès, de rectification, de limitation, d’opposition, de suppression, du droit à la portabilité de vos données et de transmettre des directives sur leur sort en cas de décès.

Vous pouvez exercer ces droits en adressant un mail à dpo@mydigitplace.com.

Vous avez la possibilité de former une réclamation auprès de la CNIL à l’adresse : www.cnil.fr.