Iniprof — Documentation légale

Sécurité et RGPD

Cette page détaille les mesures techniques et organisationnelles (TOM) mises en œuvre par Iniprof pour garantir un niveau de sécurité approprié à vos données, conformément à l'article 32 du RGPD et aux référentiels de l'ANSSI et de la CNIL.

Dernière mise à jour : 28 avril 2026

Sommaire de cette page
  1. 01. Notre engagement sécurité
  2. 02. Infrastructure et hébergement
  3. 03. Chiffrement
  4. 04. Authentification et accès
  5. 05. Sauvegardes et continuité
  6. 06. Monitoring et journalisation
  7. 07. Gestion des incidents et violations
  8. 08. Contrats de sous-traitance
  9. 09. Portabilité et réversibilité (Data Act)
  10. 10. Audits et tests de sécurité
  11. 11. Personnel et confidentialité
  12. 12. Évolution V2 et gestion d'élèves
  13. 13. Contact sécurité
01

Notre engagement sécurité

La sécurité n'est pas une option chez Iniprof, c'est une condition préalable à tout traitement. Notre engagement :

  • Hébergement souverain : France et UE uniquement, jamais hors EEE.
  • Sécurité dès la conception (privacy & security by design).
  • Chiffrement systématique en transit et au repos.
  • Aucune donnée nominative d'élève dans la version actuelle.
  • Sauvegardes régulières et restauration testée.
  • Aucune commercialisation de vos données, jamais.
  • Procédure de signalement claire en cas d'incident.
02

Infrastructure et hébergement

Iniprof repose sur un hébergeur français, choisi pour sa conformité aux exigences de souveraineté numérique :

o2switch SAS — hébergeur

  • Datacenters en France métropolitaine (Clermont-Ferrand).
  • Conforme RGPD, contrat de sous-traitance article 28 signé.
  • Sauvegardes quotidiennes incluses, restauration testée régulièrement.
  • Site physique sécurisé : contrôle d'accès, vidéosurveillance, alimentation redondée, climatisation, anti-incendie.
  • Aucun transfert de données hors Union européenne.
03

Chiffrement

Chiffrement en transit

  • TLS 1.3 exclusivement pour toutes les communications client-serveur.
  • Protocoles obsolètes (SSLv3, TLS 1.0, 1.1) désactivés.
  • Suites cryptographiques limitées aux suites recommandées par l'ANSSI (référentiel RGS).
  • Certificats Let's Encrypt renouvelés automatiquement, validation Domain Validation puis Organization Validation pour la production.
  • HSTS preload activé : max-age=31536000; includeSubDomains; preload.

Chiffrement au repos

  • Bases de données chiffrées AES-256 au niveau de l'hébergeur.
  • Sauvegardes chiffrées avec clés distinctes du chiffrement de production.
  • Mots de passe utilisateurs hachés en Argon2id, le standard recommandé en 2026 par l'OWASP et l'ANSSI.

Chiffrement applicatif (V2 prévu)

Lorsque la fonctionnalité « Gestion classe » sera activée, les champs sensibles (nom de famille élève, INE, date de naissance) feront l'objet d'un chiffrement applicatif par colonne avec rotation possible des clés côté école. Ainsi, même en cas de fuite de la base, ces données resteraient illisibles.

04

Authentification et contrôle d'accès

Côté utilisateur·rice

  • Authentification par email + mot de passe avec exigences fortes (10 caractères minimum, complexité contrôlée par règle compromised password via API HaveIBeenPwned).
  • Authentification à deux facteurs (2FA / TOTP) disponible pour tous les comptes, fortement recommandée pour les directeurs.
  • Connexion via Google Workspace ou Microsoft 365 pour les écoles équipées (OAuth 2.0).
  • Limite des tentatives de connexion (rate limiting) avec mesures anti-brute-force.
  • Sessions expirées automatiquement après inactivité (12 heures par défaut).
  • Possibilité de déconnecter toutes les sessions actives en 1 clic depuis l'espace compte.

Côté équipe Iniprof

  • Politique moindre privilège : chaque membre n'a accès qu'aux données strictement nécessaires à sa mission.
  • Authentification 2FA obligatoire pour tout accès à la production.
  • Accès individuels nominatifs, jamais de comptes partagés.
  • Journalisation systématique de tout accès aux données.
  • Révocation immédiate des accès en cas de départ ou de fin de mission.
05

Sauvegardes et plan de continuité

  • Sauvegardes complètes quotidiennes, chiffrées AES-256, dans un datacenter géographiquement distinct du site de production (Paris ↔ Amsterdam UE).
  • Sauvegardes incrémentales toutes les heures en heures ouvrables.
  • Conservation 30 jours en rotation, plus une archive mensuelle conservée 12 mois.
  • Test de restauration trimestriel documenté.
  • Plan de continuité d'activité (PCA) et plan de reprise après sinistre (PRA) formalisés en interne, mis à jour annuellement.
  • RPO (Recovery Point Objective) : 1 heure maximum de perte de données acceptable.
  • RTO (Recovery Time Objective) : 4 heures maximum d'indisponibilité acceptable.
06

Monitoring et journalisation

  • Surveillance temps réel de l'application, de la base de données et de l'infrastructure.
  • Alertes automatiques en cas d'anomalie (pics inhabituels, tentatives d'intrusion, erreurs critiques).
  • Détection des connexions suspectes : changement brutal de pays, multi-connexions simultanées.
  • Logs applicatifs conservés 12 mois, centralisés et chiffrés, accessibles uniquement aux administrateurs Iniprof.
  • Logs d'accès aux données personnelles conservés conformément au référentiel CNIL « Journalisation » (max 6 mois pour usage standard, 12 mois si justifié).
  • Aucune information personnelle (mot de passe, contenu des messages) n'est journalisée en clair.
07

Gestion des incidents et violations de données

En cas de violation de données personnelles au sens de l'article 4-12 du RGPD, nous appliquons un protocole strict :

  1. Détection : surveillance automatisée + reporting interne.
  2. Confinement : isolation immédiate, suspension des comptes/services compromis.
  3. Évaluation : analyse de la nature, du volume et du risque pour les personnes.
  4. Notification CNIL : dans les 72 heures à compter de la connaissance de la violation, conformément à l'article 33 du RGPD, sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertés.
  5. Information des personnes concernées : si la violation est susceptible d'engendrer un risque élevé, nous informons sans retard injustifié les personnes concernées (article 34 RGPD), en clair, par email.
  6. Documentation : tout incident est consigné dans un registre interne (article 33-5 RGPD), même s'il n'est pas notifiable.
  7. Mesures correctives : post-mortem, identification de la cause racine, mise à jour des procédures et communication transparente.
Vous suspectez une fuite ou une faille ? Contactez-nous immédiatement à contact@iniprof.fr avec mention « Sécurité » en objet. Nous accusons réception sous 24 heures.
08

Contrats de sous-traitance

Conformément à l'article 28 du RGPD, chaque sous-traitant d'Iniprof est lié par un contrat écrit comportant a minima :

  • l'objet, la durée, la nature et la finalité du traitement ;
  • le type de données et les catégories de personnes concernées ;
  • les obligations et droits du responsable de traitement ;
  • l'engagement de ne traiter les données que sur instructions documentées ;
  • la confidentialité du personnel ayant accès aux données ;
  • la mise en œuvre de mesures techniques et organisationnelles appropriées ;
  • le cadre du recours à des sous-traitants ultérieurs ;
  • l'assistance pour l'exercice des droits des personnes concernées ;
  • la notification immédiate de toute violation ;
  • le droit d'audit et l'obligation de coopération ;
  • le sort des données à la fin du contrat (suppression ou restitution).

La liste détaillée de nos sous-traitants est publiée dans notre politique de confidentialité, section 06.

09

Portabilité et réversibilité — Data Act

Le règlement européen (UE) 2023/2854 dit « Data Act », applicable depuis le 12 septembre 2025, vous garantit le droit de récupérer et de transférer librement vos données.

Export de vos données — sous 48 heures

  • Export complet en formats ouverts standards : JSON structuré, PDF mise en page, DOCX éditable, CSV tabulaire, ICS pour le calendrier.
  • Récupération en 1 clic depuis votre espace compte (« Exporter mes données »).
  • Délai garanti : moins de 48 heures à compter de la demande.

Réversibilité contractuelle (Data Act)

  • Initiation du transfert vers un autre fournisseur dans 2 mois suivant votre demande.
  • Finalisation effective du transfert dans 30 jours supplémentaires maximum.
  • Aucun frais de changement à compter du 12 janvier 2027 (Data Act). Avant cette date, frais réduits éventuellement applicables, plafonnés au coût réel.
  • Mise à disposition d'un format intermédiaire si la migration nécessite une transformation technique.
10

Audits et tests de sécurité

  • Tests automatisés à chaque déploiement : tests unitaires, tests d'intégration, scan de vulnérabilités sur les dépendances (Snyk, GitHub Dependabot).
  • Audit de sécurité externe annuel par un cabinet indépendant à compter du lancement officiel (objectif : ISO 27001, niveau ANSSI SecNumCloud à moyen terme).
  • Programme de divulgation responsable : les chercheurs en sécurité peuvent nous signaler une vulnérabilité par email à contact@iniprof.fr avec mention « Vulnérabilité ». Aucune poursuite ne sera engagée contre les chercheurs respectant un cadre éthique (pas de divulgation publique avant correction, pas d'exfiltration de données, pas de DoS).
  • Mises à jour de sécurité appliquées sous 48 heures pour les CVE critiques et 7 jours pour les CVE majeures.
11

Personnel et confidentialité

  • Toute personne ayant accès aux données personnelles est liée par une obligation contractuelle de confidentialité.
  • Sensibilisation et formation régulière au RGPD, à l'AI Act et à la sécurité (référentiel AI literacy art. 4 du AI Act).
  • Charte d'usage des outils numériques et de la donnée diffusée à toute nouvelle recrue.
  • Procédure de retrait d'accès en cas de fin de mission ou de manquement.
12

Évolution V2 et gestion d'élèves

La fonctionnalité « Gestion classe et livret scolaire unique » sera ajoutée ultérieurement. Avant son activation, MBS Média Z s'engage à :

  • réaliser une analyse d'impact relative à la protection des données (AIPD) au sens de l'article 35 du RGPD, avec un cabinet RGPD spécialisé EdTech ;
  • désigner un Délégué à la Protection des Données (DPO) certifié, déclaré à la CNIL ;
  • réaliser une analyse d'impact sur les droits fondamentaux (FRIA) conforme à l'article 27 du AI Act ;
  • signer avec chaque école un contrat de sous-traitance article 28 spécifique, dans lequel l'école sera désignée comme responsable de traitement et Iniprof comme sous-traitant ;
  • publier une note d'information aux familles conforme aux référentiels CNIL et au partenariat MEN-CNIL ;
  • obtenir un hébergement HDS pour les éventuelles données de santé (PAI, AESH, allergies) ;
  • respecter le référentiel CNIL « gestion scolaire » et anticiper les exigences du GAR (Gestionnaire d'Accès aux Ressources de l'Éducation Nationale).
13

Contact sécurité

Pour toute question, signalement ou collaboration relative à la sécurité :

  • Email général : contact@iniprof.fr
  • Préciser « Sécurité » ou « Vulnérabilité » en objet pour un traitement prioritaire (≤ 24 heures).

Pour vos droits RGPD, consultez notre politique de confidentialité. Pour notre usage de l'intelligence artificielle, consultez notre politique IA.