Introduction

La société TiqTec, éditrice de la plateforme MyScol, attache une importance fondamentale à la protection des données personnelles des utilisateurs de ses services, et en particulier à la protection des données des mineurs qui utilisent la Plateforme dans un cadre scolaire ou de formation.

La présente Politique de Confidentialité a pour objet d'informer les utilisateurs de la Plateforme MyScol et les établissements clients des modalités de collecte, de traitement, de conservation et de protection de leurs données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française n°78-17 du 6 janvier 1978 modifiée.

Cette politique s'applique à l'ensemble des traitements effectués dans le cadre de l'utilisation de la Plateforme https://*.myscol.net ainsi qu'à la navigation sur le site vitrine https://www.myscol.com.

---

Article 1 — Identité du responsable de traitement et du sous-traitant

1.1 Responsable de traitement — L'Établissement

L'Établissement client (école, collège, lycée, CFA, organisme de formation, association...) agit en qualité de Responsable de traitement au sens de l'article 4 du RGPD pour l'ensemble des données personnelles de ses élèves, apprenants, parents, enseignants et personnels qu'il gère via la Plateforme.

1.2 Sous-traitant — TiqTec

TiqTec agit en qualité de Sous-traitant au sens de l'article 28 du RGPD. TiqTec traite les données personnelles exclusivement sur instruction documentée de l'Établissement et pour les seules finalités de fourniture du service.

1.3 Responsable de traitement — TiqTec (données clients)

TiqTec agit en qualité de Responsable de traitement pour les données collectées dans le cadre de la relation commerciale avec les Établissements clients (données de contact, de facturation, de navigation sur www.myscol.com).

1.4 Délégué à la Protection des Données (DPO)

TiqTec n'a pas désigné de DPO à ce stade. Pour toute question relative à la protection des données : [email protected]

---

Article 2 — Catégories de données personnelles traitées

2.1 Données relatives aux élèves et apprenants

• Données d'identité : nom, prénom, date de naissance, sexe, nationalité ;
• Coordonnées : adresse postale, email, numéro de téléphone ;
• Photo de profil ;
• Données scolaires : résultats, notes, bulletins, appréciations, emploi du temps, absences ;
• Données de situation familiale : composition du foyer, situation des parents ;
• Données de stage et d'alternance : entreprises d'accueil, tuteurs ;
• Données de connexion : identifiants, logs d'accès, adresse IP.

2.2 Données relatives aux parents et représentants légaux

• Données d'identité : nom, prénom, qualité (père, mère, tuteur légal) ;
• Coordonnées : adresse postale, email, numéro(s) de téléphone ;
• Données de connexion : identifiants, logs d'accès, adresse IP ;
• Données de paiement : transactions traitées par les prestataires sécurisés (Stripe, PayPal, GoCardless).

2.3 Données relatives aux enseignants et personnels

• Données d'identité : nom, prénom, fonction, matières enseignées ;
• Coordonnées professionnelles : email, téléphone ;
• Données pédagogiques : emplois du temps, notes saisies, appréciations, ressources publiées ;
• Données de connexion : identifiants, logs d'accès, adresse IP.

2.4 Données relatives aux tuteurs entreprise (invités externes)

• Données d'identité : nom, prénom, fonction, entreprise ;
• Coordonnées professionnelles : email, téléphone ;
• Données de connexion : identifiants temporaires, logs d'accès.

2.5 Données collectées dans le cadre de la relation commerciale

• Données d'identification de l'Établissement : raison sociale, SIRET, adresse, N° TVA ;
• Données du représentant légal et contacts : nom, prénom, fonction, email, téléphone ;
• Données de facturation et de paiement ;
• Données de navigation sur www.myscol.com (cookies, adresse IP, pages visitées).

---

Article 3 — Finalités et bases juridiques des traitements

Finalité du traitement	Base juridique (RGPD)	Responsable
Gestion administrative des élèves et apprenants	Mission d'intérêt public / Obligation légale	Établissement
Suivi pédagogique (notes, bulletins, absences)	Mission d'intérêt public	Établissement
Communication établissement-familles	Intérêt légitime / Consentement	Établissement
Données de santé — PAI	Intérêt vital / Consentement explicite	Établissement
Gestion des paiements en ligne	Exécution du contrat	TiqTec / Établissement
Gestion de la relation commerciale clients	Exécution du contrat	TiqTec
Facturation et comptabilité	Obligation légale	TiqTec
Sécurité et maintenance de la Plateforme	Intérêt légitime	TiqTec
Statistiques d'usage anonymisées	Intérêt légitime	TiqTec
Envoi de notifications (push, email)	Consentement / Intérêt légitime	TiqTec / Établissement

---

Article 4 — Protection spécifique des données des mineurs

TiqTec applique les principes suivants pour les données des mineurs :

• Minimisation : seules les données strictement nécessaires à la gestion scolaire sont collectées ;
• Accès restreint : données accessibles uniquement aux personnels habilités de l'Établissement et aux représentants légaux concernés ;
• Pas d'exploitation commerciale : données jamais utilisées à des fins publicitaires ou de profilage ;
• Consentement parental : requis pour tout traitement non strictement nécessaire impliquant des mineurs de moins de 15 ans.

---

Article 5 — Sous-traitants et destinataires des données

5.1 Hébergeur principal

Prestataire	Rôle	Localisation	Garanties
OVH SAS	Hébergement infrastructure	France (Roubaix, Strasbourg)	ISO 27001, HDS

5.2 Sous-traitants tiers

Prestataire	Rôle	Localisation	Garanties RGPD
Stripe	Paiement par carte bancaire	USA / UE	Data Privacy Framework (DPF)
PayPal	Paiement en ligne	USA / Luxembourg	Data Privacy Framework (DPF)
GoCardless	Prélèvement SEPA	Royaume-Uni / UE	Clauses contractuelles types (CCT)
Firebase / OneSignal	Notifications push	USA	Data Privacy Framework (DPF)
SMTP2Go	Emails transactionnels	Australie / UE	Clauses contractuelles types (CCT)
Zoho	CRM et support client	Inde / UE	Clauses contractuelles types (CCT)
Google Analytics	Analyse d'audience site vitrine uniquement	USA	Data Privacy Framework (DPF)

5.3 Transferts hors Union Européenne

Les transferts vers des prestataires établis hors UE sont encadrés par :

• Le Data Privacy Framework (DPF) UE-États-Unis (adopté par la Commission européenne le 10 juillet 2023) pour les prestataires américains certifiés ;
• Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne pour les autres transferts hors UE.

5.4 Absence de vente de données

---

Article 6 — Cookies et traceurs

6.1 Cookies utilisés

Catégorie	Finalité	Consentement requis	Support
Strictement nécessaires	Fonctionnement, authentification, sécurité de session	Non (exemptés)	myscol.net
Analytiques	Mesure d'audience (Google Analytics)	Oui	myscol.com uniquement
Publicitaires	Publicités ciblées, mesure de performance	Oui	myscol.com uniquement
Préférences	Mémorisation des préférences utilisateur	Non (fonctionnels)	myscol.net

6.2 Gestion des cookies

Un bandeau de gestion des cookies est affiché lors de la première visite sur https://www.myscol.com. L'utilisateur peut accepter, refuser ou paramétrer les cookies non essentiels à tout moment via les paramètres de son navigateur.

Les cookies analytiques et publicitaires sont conservés pour une durée maximale de 13 mois, conformément aux recommandations de la CNIL.

---

Article 7 — Durée de conservation des données

Catégorie de données	Durée de conservation	Justification
Données des utilisateurs actifs	Pendant toute la durée d'activité de l'abonnement	Nécessité du service
Données après résiliation	6 mois après résiliation, puis suppression définitive	Délai de récupération des données
Données de facturation et comptables	5 ans à compter de la date de facturation	Obligation légale (Code de commerce)
Données de connexion et logs techniques	12 mois glissants	Sécurité / Recommandation CNIL
Données de prospects (site vitrine)	3 ans à compter du dernier contact	Intérêt légitime
Cookies analytiques et publicitaires	13 mois maximum	Recommandation CNIL

---

Article 8 — Droits des personnes concernées

8.1 Vos droits

Droit	Description
Accès (art. 15)	Obtenir une copie des données vous concernant
Rectification (art. 16)	Faire corriger des données inexactes ou incomplètes
Effacement (art. 17)	Demander la suppression de vos données
Limitation (art. 18)	Demander la suspension temporaire du traitement
Portabilité (art. 20)	Recevoir vos données dans un format structuré et lisible
Opposition (art. 21)	Vous opposer au traitement fondé sur l'intérêt légitime
Retrait du consentement	Retirer à tout moment votre consentement

8.2 Modalités d'exercice

• Données traitées par l'Établissement (données scolaires, pédagogiques...) → adresser la demande directement à l'Établissement ;
• Données traitées par TiqTec (relation commerciale, navigation sur myscol.com...) → adresser la demande à [email protected] avec un justificatif d'identité.

TiqTec s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande.

8.3 Droit de réclamation auprès de la CNIL

---

Article 9 — Sécurité des données

TiqTec met en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD, notamment :

• Chiffrement des données en transit (TLS/HTTPS) et au repos ;
• Authentification sécurisée avec gestion des droits d'accès par profil ;
• Accès support via jetons temporaires à durée de vie limitée ;
• Hébergement en France dans des datacenters certifiés ISO 27001 (OVH Cloud) ;
• Sauvegardes régulières et plan de reprise d'activité ;
• Accès aux données restreint aux seuls personnels habilités, soumis à obligation de confidentialité.

En cas de violation de données personnelles, TiqTec s'engage à notifier l'Établissement concerné dans les meilleurs délais et la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD.

---

Article 10 — Accès de l'équipe support de TiqTec

Dans le cadre de la maintenance et de l'assistance technique, les équipes support de TiqTec peuvent accéder à l'espace d'un Établissement sur la Plateforme, dans les conditions suivantes :

• Finalité exclusive : maintenance corrective, débogage, résolution d'incidents, assistance à la configuration ;
• Mécanisme : authentification via jeton temporaire sécurisé à expiration automatique ;
• Déclenchement : sur demande de l'Établissement ou de manière proactive en cas d'incident détecté ;
• Périmètre : limité aux données strictement nécessaires à la résolution de l'incident ;
• Traçabilité : chaque accès est journalisé. Un dispositif de notification des Établissements est en cours de déploiement ;
• Confidentialité : personnels soumis à obligation contractuelle de confidentialité.

---

Article 11 — Modifications de la politique

TiqTec se réserve le droit de modifier la présente Politique à tout moment pour se conformer à toute évolution légale ou technique. En cas de modification substantielle, les Établissements seront informés par email au moins trente (30) jours avant l'entrée en vigueur des modifications.

La version en vigueur est accessible à tout moment sur https://www.myscol.com/politique-de-confidentialite.

---

Article 12 — Contact et exercice des droits

Merci de préciser dans votre demande : votre identité, la nature de votre demande, et si vous agissez en tant qu'utilisateur individuel ou au nom d'un Établissement.