Contrat de traitement des données
Modèle DPA standard pour chaque école cliente. Définit les rôles (responsable, sous-traitant), les finalités du traitement, les durées de conservation, la politique de suppression.
Sécurité
Protection des données personnelles.
La sécurité n'est pas un choix.
Les élèves passent des examens. Les enseignants gèrent les notes.
Notre responsabilité est de garder ces informations accessibles
uniquement à ceux qui doivent y accéder.
GDPR
conformité totale
Chiffrées
connexions partout
24h
archives de sauvegarde
100%
journal d'audit
Architecture
Protection en couches, de l'appareil à la base de données
01
Ce que vous voyez
Application ou navigateur. Connexion chiffrée dès l'ouverture.
02
Le lien entre vous et nous
Protégé par des protocoles modernes. Personne sur le trajet ne peut lire la communication.
03
Avant d'atteindre le serveur
Limites de requêtes, en-têtes de sécurité, filtres. Première ligne contre les attaques automatisées.
04
Qui voit quoi
Une session active à la fois, contrôle des rôles, isolation par école.
05
Ce qui se passe
Application des règles métier, vérifications pour chaque action, audit des opérations sensibles.
06
Où vivent les données
Base de données protégée dans un environnement isolé. Les services n'ont que les droits nécessaires. Sauvegardes quotidiennes.
GDPR
Transparence et contrôle
La conformité GDPR est intégrée dans la conception. L'export et la suppression sont des outils dans l'application — directement accessibles, sans formulaires et sans attente.
Droit d'accès
L'utilisateur voit quelles données nous stockons à son sujet — noms, e-mail, notes, examens, fichiers. Transparent, en export JSON. (GDPR art. 15)
Export des données personnelles
Export en un clic dans l'application. Format JSON — lisible par humains et programmes. Sans formulaires, sans e-mail au support. (GDPR art. 15 + 20)
Informations minimisées
Nous ne collectons pas de données inutiles. Pas de tracking, pas d'empreinte d'appareil, pas de comportement publicitaire. Seulement ce qui est nécessaire au fonctionnement de l'examen.
Demande de suppression
L'utilisateur initie la suppression de son compte depuis les paramètres. La demande passe par une brève approbation à des fins d'audit. Après approbation — suppression complète en cascade de toutes les données personnelles. (GDPR art. 17)
Notification d'incident
En cas de violation de la sécurité — dans un délai de 72 heures, nous notifions les écoles concernées avec des détails : ce qui s'est passé, quelles données sont touchées, quelles mesures nous avons prises. (GDPR art. 33)
Défense active
Sécurité en temps réel
Connexions chiffrées partout
Tout le trafic est chiffré avec des protocoles modernes. Les versions plus anciennes sont désactivées. Les certificats se renouvellent automatiquement 30 jours avant expiration.
Limites contre le trafic excessif
Chaque type de requête — API principale, fichiers, gestion — a des limites séparées. Protection contre les attaques automatisées et la charge excessive.
Une session active
Lors d'une nouvelle connexion du même utilisateur, toutes les sessions précédentes sont terminées automatiquement. Protection contre les accès partagés.
Isolation par école
Les données d'une école ne sont pas visibles pour une autre, même pour un administrateur. Les requêtes sont restreintes au niveau de la base de données — impossible, accidentellement ou intentionnellement, de voir les élèves, notes ou examens d'autres écoles.
Transparence pour tout ce qui est important
Chaque action sensible est enregistrée — qui l'a faite, quand, sur quoi. Le directeur de l'école voit l'historique de tout au sein de l'école. Les enregistrements ne peuvent pas être supprimés.
Processus isolés
La base de données, le cache et l'application fonctionnent comme des utilisateurs séparés sans droits inutiles. Chaque service n'a accès qu'à ce dont il a besoin.
Sécurité d'examen
Protection de l'environnement d'examen
Verrouillage par IP
En option : l'école peut verrouiller ses examens aux adresses IP de son propre réseau uniquement. L'élève ne peut pas passer l'examen depuis chez lui, même connecté.
Surveillance en temps réel
L'enseignant suit l'activité des élèves pendant l'examen — qui est actif, qui a cessé de travailler, qui a terminé.
Soumission répétée sûre
La soumission de l'examen est protégée contre la duplication. Même si le réseau force le client à répéter plusieurs fois, les réponses atteignent le serveur une seule fois.
Soumission automatique à l'expiration
À l'expiration du temps, les réponses sont soumises automatiquement. Pas de possibilité de continuer au-delà du délai défini.
Fichiers d'examen protégés
Les images et PDF des examens ne s'ouvrent qu'à partir de l'application avec identification de session. Un lien partagé dans un chat ou navigateur ne fonctionne pas en dehors de la session. Les liens ont une durée de vie limitée.
Enregistrement de chaque infraction
Changement de fenêtre, copie, ouverture d'un nouvel onglet — tout est enregistré. L'enseignant voit les infractions immédiatement dans le journal de l'examen.
Sauvegardes
Procédure de restauration testée
Nous restaurons périodiquement les données dans un environnement séparé et vérifions leur intégrité — pour savoir que la procédure fonctionne en cas de besoin et que nos sauvegardes ne sont pas une illusion de sécurité.
- Sauvegarde quotidienne de la base de données
- Historique de 30 jours
- Récupération des données critiques
- Sauvegarde avant chaque déploiement en production
- En option : sauvegarde externe sur un emplacement séparé
Des exigences spécifiques ?
Contactez-nous pour un examen détaillé de la sécurité ou pour un modèle DPA.
Nous contacter