Charte RGPD & CNDP MonPetit
Cette charte détaille nos engagements et mesures concrètes en matière de protection des données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) pour la France et l'Union Européenne, et à la Loi marocaine n° 09-08 sous le contrôle de la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) pour le Royaume du Maroc.
1. Notre engagement
MonPetit est conçu dès l'origine selon les principes du Privacy by Design et du Privacy by Default (article 25 RGPD ; article 23 Loi 09-08). La protection des données des enfants, des familles et des personnels éducatifs est une priorité absolue qui guide chacune de nos décisions techniques et organisationnelles.
Nous ne nous limitons pas à une conformité formelle : nous appliquons une logique de minimisation, de transparence et de redevabilité (accountability) dans tous nos traitements.
2. Principes appliqués
Nous appliquons strictement les six principes posés par l'article 5 du RGPD et l'article 3 de la Loi 09-08 :
- Licéité, loyauté et transparence : tout traitement repose sur une base légale identifiée (contrat, consentement, obligation légale ou intérêt légitime). Nous communiquons clairement sur nos traitements via cette charte et la Politique de confidentialité.
- Limitation des finalités : les données ne sont collectées que pour les finalités explicitement déclarées (communication école-famille, suivi pédagogique, sécurité). Aucune réutilisation à d'autres fins.
- Minimisation des données : nous ne collectons que les données strictement nécessaires. Aucune collecte spéculative, aucun champ optionnel sans justification claire.
- Exactitude : les données peuvent être corrigées à tout moment par leur titulaire depuis le profil utilisateur.
- Limitation de conservation : auto-purge automatique 12 mois après la fin de la scolarité de l'enfant, suppression tracée dans les logs d'audit.
- Intégrité et confidentialité : chiffrement bout-en-bout, isolation multi-tenant, audit immuable, sauvegardes chiffrées.
3. Mesures de sécurité techniques et organisationnelles
Nous mettons en œuvre les mesures de sécurité suivantes, en cohérence avec la norme ISO/IEC 27001 :
Mesures techniques
- Chiffrement TLS 1.3 en transit (HTTPS imposé sur tous les domaines, HSTS activé)
- Chiffrement AES-256-GCM au repos pour les secrets sensibles (clés 2FA, tokens)
- Hachage bcrypt cost 12 des mots de passe - jamais stockés en clair
- Isolation multi-tenant garantie au niveau base de données via PostgreSQL Row-Level Security
- URLs signées pour les médias avec validité maximale 7 jours, expirées automatiquement
Mesures organisationnelles
- Authentification à deux facteurs (2FA) obligatoire pour les comptes à privilèges (SUPER_ADMIN, SCHOOL_ADMIN)
- Politique d'expiration des mots de passe à 180 jours pour les comptes à privilèges (ISO 27001 K2)
- Audit logs immuables (table append-only) conservés 12 mois - toute action sensible est tracée
- Sauvegardes chiffrées quotidiennes, restauration testée trimestriellement
4. Vos droits
Conformément au RGPD (chapitre III) et à la Loi 09-08 (chapitre III), vous disposez des droits suivants :
- Droit d'accès : obtenir la liste de toutes les données vous concernant, sous forme d'un export ZIP structuré généré directement depuis votre profil (« Mes données »).
- Droit de rectification : corriger directement vos informations depuis le profil (nom, e-mail), ou contacter votre établissement pour modifier les données concernant votre enfant.
- Droit à l'effacement (droit à l'oubli) : demander la suppression de votre compte et de vos données personnelles, sous réserve des obligations légales de conservation des logs (12 mois).
- Droit à la portabilité : récupérer vos données dans un format structuré (JSON + médias originaux) pour les réutiliser ailleurs.
- Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes tenant à votre situation particulière.
- Droit de retrait du consentement : désactiver à tout moment les notifications par e-mail/push ou révoquer le droit à l'image, depuis le profil « Mes données ».
Pour exercer ces droits, utilisez les outils intégrés dans votre profil ou contactez le DPO. Une réponse vous sera apportée dans un délai d'un mois (RGPD art. 12). Vous pouvez également introduire une réclamation auprès de la CNIL (France) ou de la CNDP (Maroc).
5. Protection des mineurs
MonPetit est destiné à un usage scolaire encadré. Les enfants n'ont pas de compte direct sur la plateforme : toute communication est médiée par les comptes parents et enseignants adultes, qui assument la responsabilité de la conformité légale.
Le consentement au traitement des données concernant un enfant est donné par le titulaire de l'autorité parentale. La publication de photos/vidéos d'enfants requiert un consentement parental explicite (droit à l'image), distinct du consentement général au service, et révocable à tout moment.
6. Auto-purge automatique
Pour respecter le principe de limitation de conservation (art. 5.1.e RGPD), une purge automatique des données est exécutée chaque mois :
- 12 mois après la sortie de l'enfant de l'établissement → suppression définitive de ses médias, journaux quotidiens et messages
- 30 jours après la suppression d'un compte → purge des sauvegardes contenant ses données
- Toutes les opérations de purge sont tracées dans les logs d'audit pour preuve documentaire
7. Sous-traitants et tiers
Nous travaillons avec un nombre minimal de sous-traitants, tous localisés dans l'Union Européenne et liés par des Accords de Sous-Traitance (DPA) conformes à l'article 28 du RGPD :
- Hébergeur cloud européen (UE) : infrastructure technique et stockage
- Service e-mail transactionnel européen : envoi des notifications et invitations
- Service de supervision technique européen : alertes, monitoring
Aucun cookie publicitaire, aucun tracker tiers (Google Analytics, Facebook Pixel, etc.), aucun traitement externe automatisé de vos données.
8. Transferts internationaux
Les serveurs sont localisés exclusivement dans l'Union Européenne. Aucune donnée n'est transférée hors UE dans le cadre du fonctionnement normal du service.
Pour les établissements situés au Maroc, le transfert des données vers nos serveurs européens est effectué dans le cadre d'une autorisation préalable de la CNDP (article 43 de la Loi 09-08), encadrée par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
9. Conformité Royaume du Maroc
Pour les établissements situés au Royaume du Maroc, MonPetit applique strictement la Loi n° 09-08 et coopère avec la CNDP.
Loi 09-08 du 18 février 2009
Loi n° 09-08 promulguée par le Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009), complétée par le décret d'application n° 2-09-165 du 21 mai 2009. Cette loi pose les principes fondamentaux du droit marocain de la protection des données : finalité légitime, proportionnalité, durée limitée, exactitude, sécurité, droit d'information, droit d'accès, de rectification et d'opposition.
Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP)
La CNDP est l'autorité administrative indépendante créée par la Loi 09-08 pour veiller au respect du droit marocain de la protection des données. Tout traitement au Maroc fait l'objet d'une déclaration ou d'une autorisation préalable :
- Déclaration ordinaire (art. 12) : pour les traitements de données scolaires standard
- Autorisation préalable (art. 21) : pour le traitement de données sensibles (santé, religion)
- Autorisation préalable (art. 43) : pour le transfert de données hors du Maroc (vers l'UE)
- Inscription au registre public CNDP : transparence pour les personnes concernées
Adresse CNDP :
Avenue Annakhil, Hay Riad, Rabat - Royaume du Maroc
Tél. : +212 5 37 57 19 18
www.cndp.ma
10. Conformité République Française et Union Européenne
Pour les établissements situés en France et dans l'Union Européenne, MonPetit applique le Règlement (UE) 2016/679 (RGPD) et la loi française Informatique et Libertés.
Règlement Général sur la Protection des Données (RGPD)
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 est directement applicable dans les 27 États membres de l'Union Européenne depuis le 25 mai 2018. Il encadre tout traitement de données personnelles concernant des personnes situées dans l'UE.
Commission Nationale de l'Informatique et des Libertés (CNIL)
La CNIL est l'autorité de contrôle française du RGPD. Vous pouvez introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés. La CNIL coopère avec ses homologues européens dans le cadre du Comité européen de la protection des données (CEPD).
Adresse CNIL :
3 place de Fontenoy, TSA 80715 - 75334 Paris Cedex 07
Tél. : +33 1 53 73 22 22
www.cnil.fr
11. Notification de violation de données
Conformément à l'article 33 du RGPD et à l'article 23 de la Loi 09-08, en cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, MlfMonde s'engage à :
Notifier l'autorité de contrôle compétente (CNIL pour la France, CNDP pour le Maroc) dans un délai de 72 heures après la prise de connaissance de la violation, et informer sans délai les personnes concernées si le risque est élevé. Notre processus de gestion d'incident est testé semestriellement.
12. Délégué à la Protection des Données (DPO)
Pour exercer vos droits ou pour toute question relative à la protection des données, contactez notre Délégué à la Protection des Données :
Mission Laïque Française · DPO
9 rue Humblot, 75015 Paris, France
dpo@mlfmonde.org
