Politique de confidentialité

Responsable de traitement

Le responsable de traitement est l'établissement d'enseignement supérieur qui déploie Prestacap. Sa raison sociale et ses coordonnées sont communiquées sur la page mentions légales.

Finalités du traitement

Prestacap permet l'attribution et le suivi d'une prestation (preneur de notes en V1) à un étudiant. L'application gère :

• L'identité administrative des étudiants bénéficiaires (numéro étudiant, inscriptions).
• L'identité administrative des prestataires preneurs de notes.
• Les rattachements pédagogiques (cours, séances, formations).
• Les dépôts pédagogiques produits par les prestataires.
• Les journaux d'audit nécessaires à la traçabilité.

Base légale

Le traitement repose sur l'article 6.1.b du RGPD (exécution d'un contrat ou de mesures pré-contractuelles) pour la relation prestataire ↔ établissement, et l'article 6.1.e du RGPD (mission d'intérêt public) pour la relation établissement ↔ étudiant.

Catégories de données traitées

Aucune catégorie particulière au sens de l'article 9 RGPD n'est traitée. Les données traitées sont :

• Identité (nom, prénom, courriel professionnel ou personnel).
• Coordonnées (téléphone, adresse postale, optionnels).
• Données académiques (numéro étudiant, formations d'inscription).
• Données prestataire (organisme, RIB et justificatifs administratifs — chiffrés au repos).
• Logs d'audit (action, date, IP, utilisateur). IP purgée après 30 jours.
• Contenu pédagogique des dépôts.

Durées de conservation

• Compte actif : durée de la relation pédagogique, plus 1 an pour archivage.
• Logs d'audit : 5 ans (CNIL, finalité de preuve).
• Adresses IP isolées dans les logs : 30 jours.
• Comptes non vérifiés : purgés après 30 jours par défaut, paramétrable (SIGNUP_UNVERIFIED_PURGE_DAYS).

Vos droits

Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité prévus par les articles 15 à 22 du RGPD. Pour les exercer, contactez le Délégué à la Protection des Données (DPO) de l'établissement déployeur.

Outils d'exercice automatisé fournis par l'application :

• python manage.py export_student_dossier <numero_etudiant> — accès / portabilité (art. 15, 20).
• python manage.py anonymize_student <numero_etudiant> — effacement (art. 17).

Sécurité

• Connexion en HTTPS uniquement avec HSTS (1 an, preload).
• Cookies HttpOnly + Secure + SameSite=Lax.
• Headers Content-Security-Policy, Permissions-Policy, X-Frame-Options: DENY, Cross-Origin-Opener-Policy: same-origin.
• Mots de passe hashés (Argon2 par défaut Django).
• Chiffrement des champs sensibles prestataire (RIB, justificatifs) via Fernet (AES-128-CBC + HMAC-SHA256).
• Permissions à trois couches : QuerySet filter + django-guardian + template.