← Retour au site

🏫 Conformité RGPD — Cadre Éducation Nationale

Document de transparence à destination des chefs d'établissement, DPD académiques et RSSI. Démontre la démarche de conformité RGPD spécifique au déploiement scolaire de Calcul Mental Challenge.

Version : 1.0 — 4 mai 2026 (app v0.4.6)
Éditeur : Studiophel — Laurent BOST
DPO : dpo@studiophel.fr
Hébergement : IONOS SE (Allemagne, UE)

Sommaire

1. Analyse d'Impact (AIPD / DPIA) — Art. 35 RGPD
2. Cadre légal applicable
3. Accord de sous-traitance (DPA)
4. Mesures techniques et organisationnelles
5. Droits des élèves et parents
6. Registre des activités de traitement (Art. 30)
7. Contact et procédures

1. Analyse d'Impact (AIPD / DPIA) — Art. 35 RGPD

Une AIPD est obligatoire car le traitement concerne des mineurs à grande échelle (CE1-Terminale, jusqu'à 200+ établissements via Intune scolaire).

1.1 Description du traitement

Application web/desktop/mobile permettant l'entraînement au calcul mental dans le cadre scolaire. Stockage local prioritaire (localStorage, IndexedDB). Mode en ligne optionnel pour duels, classements, sauvegarde multi-appareils.

1.2 Évaluation de la nécessité et proportionnalité

Finalité	Données	Nécessité
Jeu individuel hors ligne	Pseudo + scores (local)	Strict minimum ✓
Mode classe (LAN école)	Pseudo + score (jamais Internet)	Réseau école uniquement ✓
Mode en ligne (optionnel)	+ playerId + nationalité (option)	Désactivable, opt-in ✓
Bilan compétences LSU	Compétences agrégées (Acquis/En cours/À travailler)	Aligné programme officiel ✓

1.3 Évaluation des risques

Risque	Probabilité	Impact	Mesure
Accès non autorisé au compte enfant	Faible	Modéré	accountToken hashé HMAC, transmis en header Authorization (jamais en query string), HTTPS only
Identification d'un mineur via données combinées	Très faible	Élevé	Pas de nom réel sync au serveur, IP hachée + sel journalier, pas de cookie tracking
Fuite massive de scores	Très faible	Faible	Données pseudo-anonymisées (pas de PII)
Altération de la note d'un élève	Faible	Modéré	Validation IDOR (élève ∈ classe), rate limiting per-IP, scores capés à 50 000 pts
Indisponibilité du service	Modérée	Faible	Mode hors ligne fonctionnel (tous les jeux disponibles)

1.4 Mesures de protection des mineurs <15 ans (Art. 8 RGPD + Art. 45 LIL)

Mode en ligne désactivé par défaut sur les comptes enfants.
Lors du premier consentement RGPD : déclaration d'âge + si <15 ans, demande d'autorisation parentale par email avec lien de confirmation (cf. parental-consent.html).
Mode hors ligne et mode classe LAN équivalents fonctionnellement (zéro perte de fonctionnalité ludique en cas de refus parental).
Pas de chat, pas de messagerie, pas d'interaction texte libre entre joueurs (seulement scores et badges).

2. Cadre légal applicable

RGPD (UE 2016/679) — base légale principale
Loi Informatique et Libertés (LIL, modifiée) — notamment Art. 45 (mineurs <15 ans)
Code de l'éducation — Art. L. 312-9 (éducation aux médias et à l'information)
Délibération CNIL 2018-303 — Référentiel pour le traitement des données scolaires
Note DSI Éducation Nationale — recommandations sur les éditeurs RGPD-compatibles (en cours d'actualisation)

3. Accord de sous-traitance (DPA)

Un modèle de DPA conforme Art. 28 RGPD est mis à disposition : 📄 DPA pour établissement scolaire. Ce document doit être signé entre le chef d'établissement et Studiophel avant tout déploiement à grande échelle (par exemple via Intune scolaire).

4. Mesures techniques et organisationnelles (Art. 32)

Domaine	Mesure
Chiffrement transit	HTTPS Let's Encrypt (TLS 1.2+), CSP stricte, HSTS
Authentification	accountToken hashé HMAC v2 côté serveur, transmis en header Authorization Bearer (jamais en query string)
PIN parental	PBKDF2-SHA256, 200 000 itérations, sel aléatoire 16 octets
Adresses IP	Hachées SHA-256 + sel journalier, jamais persistées en clair
Cookies tiers / trackers	Aucun — pas de Google Analytics, pas de Facebook Pixel, pas de CDN tiers
Polices d'écriture	Auto-hébergées (pas de Google Fonts → pas de transfert IP USA)
Rate limiting	Per-IP sur récupération de compte, soumission de scores, matchmaking
Sauvegardes	Snapshots quotidiens, conservés 7 jours, chiffrés au repos
Logs serveur	30 jours maximum, IP hachée, pas de PII

5. Droits des élèves et parents (Art. 12 à 22)

Droit	Modalité	Délai
Accès (Art. 15)	Bouton « Télécharger mes données (JSON) » dans Paramètres → Mes données personnelles	Immédiat
Rectification (Art. 16)	Modification du profil (pseudo, niveau) directement dans l'app	Immédiat
Suppression / oubli (Art. 17)	Bouton « Supprimer mon compte en ligne » + « Supprimer mes données locales »	Immédiat (hard delete serveur)
Limitation (Art. 18)	Mode hors ligne (suspend tout traitement en ligne)	Immédiat
Portabilité (Art. 20)	Export JSON RGPD complet	Immédiat
Opposition (Art. 21)	Bouton « Repasser le choix RGPD » dans Paramètres	Immédiat
Retrait du consentement (Art. 7.3)	Identique au droit d'opposition	Immédiat

6. Registre des activités de traitement (Art. 30)

Le registre détaillé est tenu par Studiophel et disponible sur demande à dpo@studiophel.fr. Synthèse :

Traitement	Base légale	Catégories	Durée
Compte joueur	Consentement (Art. 6.1.a) ou intérêt public (Art. 6.1.e en milieu scolaire)	Élèves, enseignants	Tant qu'actif + 3 ans inactif
Classements en ligne	Consentement	Joueurs ayant opté	Hebdomadaire / saisonnier
Suivi de classe	Mission éducative	Élèves d'une classe	Année scolaire + archivage
Programme bêta-testeurs	Consentement explicite (Art. 7)	Volontaires	Sortie publique + 6 mois

7. Contact et procédures

DPO Studiophel : dpo@studiophel.fr — réponse sous 30 jours, gratuit
Notification de violation : dpo@studiophel.fr dans les 72h (RGPD Art. 33)
Réclamation : CNIL ou DPD académique de votre académie
Documentation associée :

Document maintenu par Studiophel. Dernière mise à jour : 4 mai 2026. Ce document n'a pas valeur d'homologation officielle ; il facilite le travail du DPD académique pour décision de référencement.