Politique de confidentialité
Dernière mise à jour : 24 mai 2026 · Version v1.0
La présente Politique de confidentialité décrit comment MonPetit, édité par la Mission Laïque Française (MLF), collecte, utilise et protège les données à caractère personnel des familles, enfants, enseignants et personnels administratifs des établissements scolaires utilisateurs. Elle est conforme au Règlement (UE) 2016/679 (RGPD) pour les usages en France et dans l'Union Européenne, ainsi qu'à la Loi marocaine n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel pour les usages au Royaume du Maroc.
1. Aperçu
MonPetit est une application web et mobile dédiée aux établissements de maternelle et de primaire du réseau MlfMonde. Elle permet aux enseignants de partager le quotidien des enfants (repas, sieste, activités, photos) avec leurs familles, dans un cadre sécurisé et conforme aux réglementations en vigueur.
Nous prenons la protection des données très au sérieux, en particulier celles des enfants mineurs. La présente Politique précise nos engagements et explique vos droits.
2. Responsable de traitement et sous-traitant
Au sens des règlementations applicables (RGPD, Loi 09-08), les rôles sont les suivants :
- Responsable de traitement : Chaque établissement scolaire (école, collège, lycée) du réseau MlfMonde, agissant en qualité de responsable du traitement pour les données de ses élèves, parents et personnel.
- Sous-traitant (au sens de l'article 28 RGPD) : Mission Laïque Française (MLF), association loi 1901 reconnue d'utilité publique, sise 9 rue Humblot, 75015 Paris (France), agissant pour le compte des établissements.
- Délégué à la Protection des Données (DPO) : dpo@mlfmonde.org
3. Catégories de données collectées
Nous appliquons strictement le principe de minimisation. Seules les données strictement nécessaires sont collectées :
Données de compte (parent, enseignant, administration)
- Identité : nom, prénom, civilité
- Coordonnées : adresse e-mail (obligatoire), téléphone (optionnel)
- Données d'authentification : mot de passe (haché bcrypt cost 12), méthode 2FA (TOTP ou code e-mail)
- Préférences : langue, thème, notifications (push, e-mail)
Données de l'enfant (renseignées par l'établissement)
- Identité : nom, prénom, date de naissance, genre
- Suivi quotidien (par les enseignants) : repas, sieste, humeur, activités, anecdotes
- Médias : photos et vidéos publiées par les enseignants (sous réserve du consentement parental préalable au droit à l'image)
- Lien parent–enfant : qui est rattaché à qui
Données techniques (collectées automatiquement)
- Adresse IP (hachée avec un sel propriétaire pour la détection d'anomalies de connexion)
- User-Agent du navigateur, type d'appareil
- Logs d'audit (connexions, actions sensibles) - conservés 12 mois pour la sécurité
4. Finalités du traitement
Les données sont collectées et traitées exclusivement pour les finalités suivantes :
- Permettre la communication quotidienne entre les enseignants et les familles (photos, journaux, messages directs)
- Assurer le suivi pédagogique de l'enfant au sein de l'établissement
- Gérer les comptes utilisateurs (création, authentification, sécurité)
- Garantir la sécurité et l'intégrité du service (détection d'intrusion, audit, conformité ISO 27001)
- Respecter nos obligations légales (RGPD, Loi 09-08, durée de conservation, droit à l'oubli)
5. Base légale du traitement
Conformément à l'article 6 du RGPD et à l'article 4 de la Loi marocaine 09-08, chaque traitement est fondé sur une ou plusieurs bases légales :
- Exécution du contrat : Lorsque l'établissement souscrit au service MonPetit, le traitement est nécessaire à l'exécution du contrat liant la famille à l'école.
- Consentement explicite : Pour la publication de photos et vidéos d'enfants (droit à l'image), pour les notifications par e-mail ou push. Révocable à tout moment depuis le profil.
- Obligation légale : Conservation des logs d'authentification, journalisation des accès aux données sensibles (ISO 27001).
- Intérêt légitime : Sécurité du système, prévention de la fraude, audit interne. Évaluation systématique de l'équilibre intérêt/droits des personnes concernées.
6. Destinataires des données
Les données ne sont accessibles qu'aux personnes strictement habilitées :
- Au sein de l'établissement : enseignants concernés, direction, administration (selon le rôle attribué)
- Au sein de la famille : parents/responsables légaux rattachés à l'enfant
- MLF en qualité de sous-traitant : équipe technique habilitée, soumise à clause de confidentialité
- Autorités publiques : uniquement sur réquisition judiciaire valide ou en application d'une obligation légale
Nous ne vendons, ne louons et ne partageons jamais vos données à des tiers à des fins commerciales ou publicitaires. MonPetit ne contient aucune publicité.
7. Transferts internationaux de données
Les serveurs hébergeant MonPetit sont situés exclusivement en Europe (Union Européenne). Aucun transfert de données hors UE n'est effectué dans le cadre du fonctionnement normal du service.
Pour les établissements situés au Maroc, les données peuvent transiter par des serveurs européens. Ce transfert est encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, et déclaré à la CNDP marocaine conformément à l'article 43 de la Loi 09-08.
8. Durée de conservation
Les données sont conservées le temps strictement nécessaire à la finalité poursuivie :
- Comptes actifs : pendant toute la durée de la scolarité de l'enfant dans l'établissement.
- Journaux quotidiens (repas, sieste, humeur) : 12 mois glissants, puis archivage anonymisé.
- Médias (photos, vidéos) : jusqu'à 12 mois après la fin de la scolarité, puis suppression définitive (auto-purge automatique tracée).
- Logs d'audit (connexions, actions sensibles) : 12 mois (conformité ISO 27001 A.12.4.1).
- Sauvegardes chiffrées : 30 jours glissants, puis suppression automatique.
9. Sécurité des données
MLF met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité des données :
- Chiffrement TLS 1.3 en transit (HTTPS imposé sur tous les domaines)
- Chiffrement AES-256-GCM au repos pour les secrets sensibles (clés 2FA, tokens)
- Hachage bcrypt (cost 12) des mots de passe - jamais stockés en clair
- Isolation multi-tenant garantie au niveau base de données via Row-Level Security PostgreSQL
- Authentification à deux facteurs (2FA) obligatoire pour les comptes à privilèges (admin, super-admin)
- Audit logs immuables, supervision 24/7, sauvegardes chiffrées quotidiennes
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, MLF notifiera l'autorité de contrôle compétente (CNIL pour la France, CNDP pour le Maroc) dans les 72 heures, et informera les personnes concernées sans délai si le risque est élevé (art. 33 et 34 RGPD ; art. 23 Loi 09-08).
10. Vos droits
Conformément au RGPD (chapitre III) et à la Loi 09-08 (chapitre III), vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie. Disponible directement depuis votre profil (rubrique « Mes données »).
- Droit de rectification : corriger des données inexactes ou incomplètes. Accessible depuis votre profil.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation (audit, comptabilité).
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (export ZIP depuis votre profil).
- Droit à la limitation du traitement : demander que le traitement soit suspendu temporairement (par exemple en cas de contestation de l'exactitude).
- Droit d'opposition : vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière.
- Droit de retrait du consentement : retirer à tout moment votre consentement aux traitements fondés sur celui-ci (notifications, droit à l'image).
Pour exercer ces droits, contactez le DPO à dpo@mlfmonde.org. Une réponse vous sera apportée dans un délai d'un mois (pouvant être prolongé de deux mois en cas de complexité). Vous disposez également du droit d'introduire une réclamation auprès de l'autorité de contrôle (CNIL pour la France, CNDP pour le Maroc).
11. Protection des mineurs
MonPetit est destiné à un usage scolaire encadré. Les données concernant les enfants mineurs sont traitées sous l'autorité parentale et l'autorité de l'établissement. Aucun enfant ne dispose de compte direct sur la plateforme : toute communication passe par les comptes parents et enseignants adultes.
Conformément à l'article 8 du RGPD, le consentement au traitement des données est donné par le titulaire de l'autorité parentale. Le droit à l'image fait l'objet d'un consentement séparé, révocable à tout moment.
12. Spécificités Royaume du Maroc
Pour les établissements situés au Royaume du Maroc, MonPetit applique strictement les exigences de la législation marocaine en matière de protection des données.
Loi 09-08 du 18 février 2009
Loi n° 09-08 promulguée par le Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, complétée par le décret d'application n° 2-09-165 du 21 mai 2009. MonPetit respecte l'ensemble des principes posés par cette loi : finalité, proportionnalité, durée limitée, exactitude, sécurité, droit à l'information.
Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP)
Tout traitement de données à caractère personnel au Maroc fait l'objet d'une déclaration ou d'une autorisation préalable auprès de la CNDP, autorité administrative indépendante créée par la Loi 09-08. MonPetit, lorsqu'il est utilisé par un établissement situé au Maroc, est déclaré ou autorisé selon le type de traitement :
- Traitement des données scolaires : déclaration ordinaire (art. 12)
- Transfert des données vers l'Union Européenne : autorisation préalable (art. 43)
- Traitement de données sensibles (santé, religion) : autorisation préalable (art. 21)
Contact CNDP :
Avenue Annakhil, Hay Riad, Rabat · Tél. : +212 5 37 57 19 18
www.cndp.ma
13. Spécificités République Française et Union Européenne
Pour les établissements situés en France et dans l'Union Européenne, MonPetit applique le Règlement (UE) 2016/679 (RGPD) ainsi que la loi française Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2018-493 du 20 juin 2018).
Règlement Général sur la Protection des Données (RGPD)
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 s'applique à tout traitement de données à caractère personnel concernant des personnes situées dans l'Union Européenne. MonPetit applique l'ensemble des principes du RGPD : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité et confidentialité, responsabilité (art. 5).
Commission Nationale de l'Informatique et des Libertés (CNIL)
La CNIL est l'autorité administrative indépendante chargée de veiller au respect du RGPD et de la loi Informatique et Libertés en France. Vous disposez du droit d'introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés.
Contact CNIL :
3 place de Fontenoy, TSA 80715 - 75334 Paris Cedex 07 · Tél. : +33 1 53 73 22 22
www.cnil.fr
14. Cookies et traceurs
MonPetit utilise un nombre minimal de cookies, strictement nécessaires au fonctionnement de l'application :
- Cookies essentiels : session d'authentification (NextAuth), CSRF, sélection du tenant. Ces cookies ne nécessitent pas de consentement (art. 82 loi Informatique et Libertés, exemption « strictement nécessaires »).
- Cookies de préférence : thème (clair/sombre), langue (FR/EN). Stockés uniquement après acceptation explicite de la bannière de cookies.
Aucun cookie publicitaire, aucun traceur tiers (Google Analytics, Facebook Pixel, etc.), aucun profilage. Aucun cookie n'est partagé avec des tiers.
15. Modifications de la Politique
La présente Politique peut être modifiée pour tenir compte d'évolutions légales ou techniques. En cas de modification substantielle, vous serez informé(e) par e-mail ou par notification dans l'application au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.
16. Contact
Pour toute question relative à la présente Politique ou à l'exercice de vos droits, contactez le Délégué à la Protection des Données (DPO) :
E-mail : dpo@mlfmonde.org
Courrier postal : Mission Laïque Française · DPO · 9 rue Humblot, 75015 Paris, France
