Conformité RGPD du plugin Compilatio pour Moodle
Des traitements sur des données personnelles sont réalisés via Moodle. L’ajout du plugin Compilatio pour Moodle permet d’effectuer des traitements complémentaires, pour la détection et la mesure de similitudes. Ces traitements sont sous traités à Compilatio, les instructions de traitements sont transmises via l’interface de Moodle.
Pour que les traitements réalisés dans Moodle soient conformes, il faut que l’établissement et ses sous-traitants le soient également.
Afin de vous assurer que Compilatio est un sous-traitant conforme, vous devez valider les éléments suivants :
Le sous-traitant traite-t-il les données personnelles sur instruction documentée du responsable de traitement :
En tant que sous-traitant, Compilatio effectue les traitements uniquement sur demande explicite et documentée de l’utilisateur (via l’interface en ligne ou les commandes API dans le cas d’une intégration Moodle).La localisation (ou transfert) de données personnelles traitées par le sous-traitant est-elle effectuée dans des pays conformes :
Cf https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
Dans le cadre de l’utilisation de Compilatio avec le plugin Moodle, les données personnelles des utilisateurs sont hébergées sur des centres de serveurs gérés par les sociétés suivantes:Traitement des données issues des documents et de la plateforme > OVH > France - https://www.ovh.com/fr/apropos/datacentres.xml
Informations sur les demandes de support > ZENDESK > Europe https://www.zendesk.com/company/policies-procedures/regional-data-hosting-policy/
Existe-t-il une clause de confidentialité pour les personnes autorisées par le sous-traitant à traiter les données personnelles ?
Tous les employés de la société Compilatio SAS qui sont susceptibles de manipuler des données à caractère personnel sont tenues à la plus stricte confidentialité par une clause contractuelle de confidentialité.La sécurité des données personnelles est-elle assurée ?
Compilatio SAS met en œuvre toutes les mesures connues en vue d’assurer un niveau de sécurité adapté à la nature des données, et aux risques d’atteintes aux droits et libertés des utilisateurs.
Une attention particulière est portée sur les aspects suivants de la sécurité :La résilience – rester opérationnelle et performante, même en cas de défaillance d’un ou plusieurs serveurs
La disponibilité – les données sont accessibles en permanence, même en cas de défaillance d’un ou plusieurs serveurs
La pérennité – la capacité de récupérer des données corrompues ou accidentellement perdues suite à un incident
Le contrôle d’accès – les données ne sont accessibles que pour les utilisateurs et les traitements autorisés
Le transfert des données vers un autre sous-traitant fait-il l’objet d’une mention et/ou formalisation, avec accord du responsable du traitement ?
Les conditions générales de ventes définissent les modalités d’utilisation et de transfert de données entre l’établissement client et Compilatio.Une procédure existe-t-elle pour assurer l’exercice des droits pour les personnes concernées ?
Dans le cas d’un étudiant ayant remis un devoir via Moodle, il doit prendre contact avec son enseignant pour faire valoir ses droits sur ses données personnelles dans Moodle.
Sur demande d’un enseignant, le gestionnaire des services Compilatio dans l’établissement dispose d’une interface en ligne pour supprimer tout document et l’ensemble des informations personnelles qui y sont rattachées.
Une demande peut également être transmise directement au support technique de Compilatio pour toute assistance complémentaire sur ce sujet. Une prochaine mise à jour de nos services début 2019, permettra à l’enseignant de maîtriser l’indexation et la suppression et ses documents directement depuis le rapport d’analyse.
La propriété des données personnelles est-elle explicite ?
L’utilisateur conserve la propriété intellectuelle de ses données personnelles. Elles sont effacées au plus tard 3 mois après la suppression du compte de l’utilisateur.
C’est pourquoi nous estimons que l’usage de Compilatio dans Moodle à l’aide du plugin d’intégration ne remet pas en cause la conformité des traitements de données déjà réalisés par ailleurs dans Moodle.