Offres
API
Connexion
Documents similaires
Déliberation - download
Déliberation - download
Déliberation - download
Acte - download
Déliberation - download
Déliberation - download
Déliberation - download
Déliberation - download
Déliberation - download
Déliberation - download
Déliberation - download
Document publié le Mercredi 1 janvier 2025 par la commune de Juvisy-sur-Orge.
Lien du pdf (Déliberation - download)
Thèmes du document : Données personnelles, Cybersécurité, Éducation,
Accusé de réception - Ministère de l'Intérieur
J U\ / ISY 091-219103264-20251215-2025-DEL-111-DE] GRAND é 6 exé PARIS Accusé certifié exécutoire
6 rue Piver Réception par le préfet : 15/12/2025)
91260 JUVISY-SUR-ORGE Département de l'Essonne République Française
DELIBERATION N° 2025-DEL-111 DU CONSEIL MUNICIPAL
Séance du 11 décembre 2025
Les membres du Conseil Municipal de la commune de JUVISY-SUR-ORGE, légalement convoqués le 05 décembre 2025 se sont réunis à la salle Xavier PIDOUX DE LA MADUERE sise 64 Grande Rue à Juvisy-sur-Orge-sur-Orge, pour leur séance du 11 décembre 2025 sous la présidence de Madame BENSARSA REDA, Maire (séance ouverte à 19H 41).
Présents : Lamia BENSARSA REDA, Sébastien BENETEAU, Michel PERRIMOND, Amandine COSTA, Nathalie
MOUREY, Chantal GUIBLIN, Raymond SOLIGO, Malika ABBACI, Marie SERMAGE, Bakary SOUKOUNA, Jean- François DOUTEAU, Stéphanie BEGHE, Pascal GOMEZ, Patricia ROBIN, Francis SAINT-PIERRE, Filipe MONTEIRO, Nadia MARTINS, Adnane BENNANI, Sonia KANTIANA, Bernadette AVELLANO, Laurence GAUTHIER, André PLAS, Samira KECHELAL.
Absents représentés: Virginie FALGUIERES pouvoir à Michel PERRIMOND ; Benedicte HURIEZ pouvoir à
Patricia ROBIN; Jean-Claude NASSE pouvoir à Amandine COSTA; Christian LORIC pouvoir à Nadia MARTINS; Cédric DI TOMMASO pouvoir à Lamia BENSARSA REDA; Valérie ROQUES pouvoir à Sébastien BENETEAU ; Kumba DIAWARA pouvoir à Marie SERMACGE ; Stéphanie RIVIER pouvoir à Malika ABBACI; Alain VILLEMEUR pouvoir à Bernadette AVELLANO; Gabriel BRUNIER COULIN pouvoir à Sonia KANTIANA ;
Absents non représentés :
Nombre de conseillers 33
Municipaux en exercice u
Présents 23
Votants 33
Secrétaire de séance : Francis Saint-Pierre
Objet : Convention relative à l'utilisation de l'Espace Numérique de Travail (ENT) dans les écoles de l'Académie
VU la loi n°2015-991 du 7 août 2015 portant nouvelle organisation territoriale de la République,
VU l'avis de la Commission n° 3 « Population, Citoyenneté, Solidarité », en date du 2 décembre 2025,
CONSIDERANT la volonté de la Ville de poursuivre son soutien à l'usage des technologies de l'information et de la communication pour les équipes enseignantes, les élèves qui fréquentent les écoles de la Ville et leurs familles.
CONSIDERANT la proposition de la région académique Ile-de-France de formaliser le partenariat entre la Ville et la région académique concernant l'utilisation d'un Espace Numérique Territorial (ENT) dans les écoles de l'académie.
CONSIDERANT que le déploiement de l'ENT permettra l’utilisation d'un nouvel outil de communication au service des écoles et des familles. L'ENT permettra également un espace commun d'échanges et de travail à destination des élèves de la Ville.
Après avoir entendu l'exposé de Madame Costa,
Après en avoir délibéré, le conseil municipal à la majorité à raison de 32 voix pour et 1 abstention (Samira KECHELAL) + APPROUVE approuver la convention entre la Ville de Juvisy-sur-Orge et la région Académique Ile-de-France portant sur l’utilisation de l'Espace Numérique de Travail (ENT) dans les écoles de l'Académie,
+ AUTORISE Madame le Maire à signer ladite convention.
Fait et délibéré en séance les jours, mois et an susdits.
Pour extrait conforme au registre des délibérations du Conseil Municipal.
Fait à Juvisy-sur-Orge, le 15 décembre 2025
Le Maire Accusé de réception - Ministère de l'Intérieur
[091 -219103264-20251215-2025-DEL-11 1-DE|
Accusé certifié exécutoire
(Réception par le préfet : 15/12/2025
E
RÉGION ACADÉMIQUE Juv ISY saxo ÎLE-DE-FRANCE PARIS Liberté Égalité
Fraternité
Convention cadre – ENT pour les écoles
CONVENTION RELATIVE A L’UTILISATION DE
L’ESPACE NUMERIQUE DE TRAVAIL (ENT) DANS
LES ECOLES DE L’ACADEMIE 28 février 2025 Convention cadre – ENT pour les écoles Page 2
Entre
La région académique Île-de-France, représentée par M. Étienne CHAMPION, en sa qualité de recteur de l’académie de Versailles ;
ci-après dénommée "la région académique".
Et
La commune De JUVISY-SUR-ORGE,
située 6 rue Piver 91260 JUVISY-SUR-ORGE,
représentée par Mme Lamia BENSARSA REDA, Maire de JUVISY-SUR-ORGE,
ci-après dénommée « la commune ».
Vu l’arrêté du 1er février 2022, n°2022-04 RRA, portant création de la délégation régionale académique au numérique éducatif (DRANE) et notamment son article 1er la plaçant sous l’autorité fonctionnelle du recteur de l’académie de Versailles ;
Vu l’arrêté du 14 février 2022, NOR : MENG2206541A, portant création de la direction régionale académique des systèmes d'information (DRASI) et notamment son article 1er la plaçant sous l’autorité fonctionnelle du recteur de l’académie de Versailles.
Il est établi la convention suivante :
PRÉAMBULE
La vision stratégique du ministère de l’Éducation nationale vise à ce que les acteurs s’accordent sur une vision commune, sur des transformations inédites, qui seront à mener et à réussir ensemble. Ils permettent de poser plusieurs défis à relever au cours des années 2023-2027 :
• créer une impulsion pour renforcer la coopération des acteurs ; construire une ambition partagée et une gouvernance efficiente qui structure la coopération des acteurs nationaux et locaux autour de projets pédagogiques mobilisant le numérique là où il est pertinent ;
• relever les défis d’aujourd’hui et de demain en développant l’éducation à la citoyenneté numérique, l’esprit critique et l‘éducation aux médias et à l’information ; en garantissant l’acquisition par tous les élèves d’une culture numérique ; en transmettant un socle de compétences nécessaires à l’aisance numérique ; en développant les compétences et en soutenant l’orientation des élèves, en particulier des filles, vers les formations et les filières du numérique ;
• fournir aux enseignants une offre lisible en outils et ressources numériques éducatives, simple et adaptée, soutenant la liberté pédagogique et l’innovation éducative ; accompagner et conseiller les enseignants et les personnels de direction ; créer les conditions d’un numérique pour une éducation inclusive, durable et éthique, pour les élèves, les familles, les enseignants, les accompagnants, les acteurs des établissements et des territoires ainsi que pour tous les autres agents du ministère ;
• accompagner et renforcer la sécurisation, la résilience et la fiabilité des données et du système d’information ministériel, au service des utilisateurs ; garantir l’interopérabilité des outils et des ressources, développer une approche utilisateur des produits et promouvoir un numérique écoresponsable.
La vision stratégique du numérique pour l’éducation est donc structurée selon quatre axes : • un écosystème engagé au service d’une politique publique partagée,
• un enseignement du numérique qui développe la citoyenneté et les compétences numériques, • une communauté éducative soutenue par une offre numérique raisonnée, pérenne et inclusive, • de nouvelles règles du jeu pour un système d’information ministériel au service de ses utilisateurs.
L’article L212-4 du Code de l’éducation dispose que « La commune a la charge des écoles publiques. Elle est propriétaire des locaux et en assure la construction, la reconstruction, l'extension, les grosses réparations, l'équipement et le 28 février 2025 Convention cadre – ENT pour les écoles Page 3
fonctionnement (…). »
Dans ce cadre, la commune a acquis un ENT. La mise à disposition de l’ENT s’adresse aux écoles de la commune.
La gouvernance du projet se fait sur des actions très concrètes : mise à disposition de l’ENT, prise en main et maintien en conditions opérationnelles dans les écoles, formation des utilisateurs et notamment des personnels de l’Éducation nationale, promotion des usages tant administratifs que pédagogiques.
L’engagement des deux partenaires, la région académique et la commune, est une condition essentielle à la réussite du déploiement de l’ENT.
Article 1 - Objet de la convention
La présente convention a pour objet de formaliser le partenariat entre la commune et la région académique et de définir les responsabilités et rôles de chacune des parties dans le cadre du déploiement de l’ENT. Elle s’inscrit dans la collaboration entre la commune et la région académique dans le domaine du numérique pour l’éducation.
Article 2 - Espace numérique de travail des écoles de la commune
L’Espace numérique de travail propose aux écoles de la commune une offre complète de services dans le respect du schéma directeur des espaces numériques de travail (SDET).
Il se compose de :
- Services pédagogiques intégrés.
- Services pédagogiques tiers depuis le Gestionnaire d’accès aux Ressources :
L’accès à des ressources pédagogiques financées par le Ministère ou proposées par des éditeurs privés par l’intermédiaire du MédiaCentre de l’ENT connecté au GAR (Gestionnaire d’Accès aux Ressources) proposé par le ministère de l’éducation nationale. L’ENT est notamment interconnecté au GAR qui permet un accès sécurisé à des ressources numériques externes à celui-ci. Ce dispositif est incontournable. Dans ce cadre, c’est la région académique qui centralise les demandes et est en relation avec le GAR.
La commune s'engage à rendre accessible dans l’ENT, en accord avec l’équipe pédagogique, des services pédagogiques dans la limite des possibilités techniques et financières liées à la compatibilité de ces services ou produits : ressources référencées GAR.
- Services communs, services de base, services de communication et services de vie des écoles. - Services connectés.
En parallèle de ces services proposés aux acteurs de la communauté éducative, sont mis en place des services d’exploitation et d’administration de la plate-forme ENT.
Article 3 - Principes fondateurs de gouvernance et de répartition des rôles
Il est convenu entre les parties les points suivants.
3.1 –Ecoles.
L’école est le centre opérationnel du projet.
3.2 – Le déploiement de l’ENT.
Le déploiement de l’ENT dans les écoles de la commune est mené en partenariat, dans le respect des prérogatives de chacun :
3.2.1. - La région académique : 28 février 2025 Convention cadre – ENT pour les écoles Page 4
- est associée au pilotage du déploiement de l’ENT ;
- accompagne les acteurs de terrain dans la prise en charge des usages de l’ENT ;
- apporte un appui à la conduite du changement (formations, conseil, expertise…) ;
- apporte l'expertise et les normes nécessaires à la conformité du dispositif, aux exigences de sécurité et aux interfaces nécessaires avec le système d'information de l’Éducation nationale ;
- met à disposition de l’école, via la commune et/ou le prestataire retenu, les données à caractère personnel, définies dans le cadre du respect des obligations légales notamment relatives à la loi « informatique et libertés » et au règlement général sur la protection des données (RGPD), issues de l’annuaire fédérateur, qui concernent les utilisateurs de l’ENT ;
- élabore avec la commune la mise en application de la politique de sécurité des systèmes d’information et de protection des données à appliquer au dispositif ENT et est associée aux activités de contrôle de la commune sur ses prestataires concernant la sécurité des systèmes d’information et la protection des données;
- prend en charge les incidents de sécurité relevant de son champ de compétence décrite à l’article 6.
3.2.2. - La commune :
- assure la maîtrise d’ouvrage unique et globale du déploiement de l’ENT ;
- garantit la qualité et la pérennité du service rendu aux écoles : il s’agit de critères de choix majeurs dans l'organisation des prestations informatiques mises en place dans le respect des conditions de bon fonctionnement et de sécurité des services proposés ;
- assure la mise en place de l’infrastructure numérique (ENT, réseaux, équipements) et son administration technique
- élabore avec la région académique la mise en application de la politique de sécurité des systèmes d’information et de protection des données à appliquer au dispositif ENT et s’engage à contrôler ses prestataires concernant l’application de cette politique ;
- prend en charge les incidents de sécurité relevant du champ de compétence décrit à l’article 6 ;
- assure l’assistance aux écoles concernant ce dispositif.
Article 4 - Conduite du projet
Au titre de l’alinéa 3.2.2, la commune coordonne et anime un comité de pilotage en charge du suivi stratégique du déploiement de l’ENT. Ce comité de pilotage est composé de membres de la commune et de la région académique. Il se réunit 2 fois par an.
Le suivi du déploiement de l’ENT, selon sa dimension, peut aussi donner lieu à des comités de projet réguliers et des groupes de travail. Ces instances sont composées de membres de la commune et de la région académique. Elles peuvent être élargies à d’autres partenaires du projet. Elles se réunissent autant que de besoin.
Il est convenu entre les parties que, dans chaque école, le directeur d’école coordonne et anime ce projet dans le cadre des différents Conseils.
Article 5 – Accompagnement, formation et suivi des usages
La région académique s’engage à assurer l’aide à l’élaboration des projets des écoles de la commune pour le développement des usages de l’ENT.
Elle accompagne les équipes éducatives par des actions d’information, de documentation et d’animation menées par des formateurs ainsi que par la mise en place d’un réseau de proximité en étroite collaboration avec les responsables de suivi de l’ENT de la commune. 28 février 2025 Convention cadre – ENT pour les écoles Page 5
Elle organise une formation continue de tous les personnels concernés par ce dispositif et sur l’ensemble des services proposés, notamment le travail collaboratif.
Elle assure l’accompagnement au changement et plus particulièrement auprès des directeurs d’école, y compris dans la gestion des difficultés.
Elle développe des outils d’accompagnement et de formation au plus près des usages de l’ENT, par exemple des tutoriels, classes virtuelles ou encore forums et foire aux questions.
Elle propose régulièrement des actions de sensibilisation à la sécurité et aux usages responsables d’Internet, en particulier à destination des directeurs d’école.
Les circonscriptions, les médiapôles ainsi que les Ateliers Canopé, partenaires de la région académique, sont des lieux essentiels et réactifs du dispositif d’accompagnement, tout particulièrement pour l’expertise, la présentation des nouveaux produits, le transfert des compétences et le partage des usages pertinents.
Par ailleurs, les parties proposent d’enrichir la charte des usages du numérique avec un modèle de charte des utilisateurs de l’ENT à faire adopter en conseil d’école, destiné à définir les règles de son utilisation et les droits et devoirs de chaque utilisateur.
Les administrateurs informatiques de la région académique sont soumis à une charte spécifique. Dans le cadre du déploiement de l’ENT, la région académique organise des formations afin d’informer ces personnels sur leurs droits et obligations.
Article 6 – Sécurité et confiance numérique
6.1 - Sécurité du système informatique de l’école
La sécurité informatique de l’école relève de la responsabilité du recteur de l’académie de Versailles, en sa qualité d’Autorité Qualifiée en matière de Sécurité des Systèmes d’Information (AQSSI).
L’AQSSI est conseillée par le Responsable de la Sécurité des Systèmes d’Information (RSSI) de l’académie de Versailles qu’elle mandate pour mettre en œuvre la politique de sécurité des systèmes d’information en conformité avec la politique de sécurité de l’État.
La sécurité informatique en école consiste principalement à mettre en place une infrastructure de protection sécurisée, à assurer la protection des données personnelles du système d’information et à assurer une sécurité spécifique en matière de protection des mineurs.
L’ensemble des parties s’assurera de la parfaite conformité de la politique de sécurité du système d’information (PSSI) académique avec les règles et bonnes pratiques, en application notamment du Référentiel Général de Sécurité (RGS), défini dans le cadre de l’ordonnance n° 2005-1516 du 8 décembre 2005, relative aux échanges électroniques entre les usagers et les autorités administratives et de ses évolutions ultérieures et du décret n°2010-112 du 2 février 2010, des recommandations de la Commission Nationale de l’informatique et des Libertés de l’Agence Nationale de la Sécurité des Systèmes d’Information.
L’académie porte la responsabilité :
- de la définition de la politique de sécurité en matière de filtrage des accès à internet ;
- de l’usage de l’Espace Numérique de Travail et des ressources numériques ;
- du respect des procédures de sécurité par l’ensemble des usagers de son école ;
- de l’utilisation sécurisée des données du SI de l’école ;
- du signalement de tout incident de sécurité au RSSI de l’académie ;
- de la sensibilisation, de la formation et de l’information des usagers.
L’académie a adopté et publié sa politique de confiance numérique :
https://www.ac-versailles.fr/la-politique-de-confiance-numerique-de-l-academie-125689 28 février 2025 Convention cadre – ENT pour les écoles Page 6
Au titre de leur rôle et fonction de responsable de la sécurité des systèmes d’information (RSSI), les services de l’académie :
- édictent et communiquent les règles constituant la politique de sécurité des SI (PSSI) ;
- expriment leurs besoins, en termes fonctionnels ;
- sont le point d’entrée pour les signalements d’incidents SSI ;
- inspectent et qualifient les incidents signalés ;
- consignent et récupèrent via la collectivité les équipements et données nécessaires en cas de réquisition ;
- sont informés par la collectivité et suivent la mise en place des plans de remédiation convenus ;
- inspectent et auditent la sécurité effective des SI ;
- accompagnent les usages numériques sécurisés ;
- assurent le rôle d’autorité conjointe d’homologation avec la Commune.
La Commune :
- met en place et maintient en condition opérationnelle des solutions techniques respectant la Politique de Sécurité des Systèmes d’Information (PSSI) ;
- met en œuvre les recommandations académiques en matière de filtrage des accès à internet et de protection des mineurs ;
- assure le rôle d’autorité conjointe d’homologation avec l’académie ;
- partage avec l’académie les résultats des audits de sécurité qu’elle diligente ;
- informe l’académie de l’avancée des plans de remédiation convenus ;
- informe l’académie de tout incident de sécurité qui lui est transmis directement via la chaîne d’alerte définie.
La sécurité numérique doit devenir un objectif stratégique central : une gouvernance adaptée doit permettre de porter ce sujet. Une chaîne d’alerte et une gestion de crise sont à installer sur le champ organisationnel en définissant précisément les rôles et responsabilités des acteurs ; un annuaire prévu à cet effet est à produire entre les parties prenantes.
6.2 RGPD
Les parties ont souhaité définir leurs rôles respectifs afin de construire la nouvelle répartition des compétences sur une compréhension commune et partagée par tous.
Chacune des parties s’engage, selon la politique générale de protection des données à caractère personnel qu’elle aura mise en place, à assurer une utilisation des données à caractère personnel qui respecte les devoirs qui incombent à tout responsable de traitement ; les droits des utilisateurs et les principes fondamentaux du RGPD.
La région académique fournissant la quasi-totalité des données personnelles, la politique générale de protection des données de l’académie de Versailles devra être appliquée strictement par la commune et ses sous-traitants.
Dans le cadre défini par la présente convention des traitements de données pourront faire l’objet d’une responsabilité conjointe entre l’académie de Versailles et la commune, au sens de l’article 26 du RGPD.
Toutes les opérations de définition des exigences dans un projet interne ou vis-à-vis de tiers, collecte, traitement, stockage, archivage ou destruction de données à caractère personnel entrant dans le cadre de la responsabilité conjointe définie en annexe 1 seront effectuées dans le strict respect de ces principes.
Les modalités détaillées sont traitées en annexe.
6.3 Gestion de crise
Dans l’objectif de répondre aux situations d’urgence qui pourraient survenir au sein des écoles et qui rendraient le service inopérant, il est défini et mis en œuvre le dispositif de gestion de crise suivant. 28 février 2025 Convention cadre – ENT pour les écoles Page 7
Sur notification de l’incident par la région académique ou la commune, au travers de la création d’un ticket d’incident auprès de la commune ou de la région académique, il est déclenché une intervention de diagnostic entre les représentants de la région académique et les représentants de la commune. Lorsque des données personnelles sont concernées – quel qu’en soit le degré – les délégués à la protection des données doivent être systématiquement associés à l’ensemble des démarches et réunions, conformément à la chaîne d’alerte définie au point 7 de la présente convention.
Les résultats de ce diagnostic sont analysés conjointement par les services de la région académique et les services de la commune afin de déterminer la solution technique à apporter.
La région académique et la commune décident de mettre en commun un annuaire précisant les personnes à contacter dans le cadre du dispositif de gestion de crise.
Article 7 – Les chaînes d’alerte
Des chaînes d’alerte ont été mises en place au niveau académique pour signaler sans délai les incidents de sécurité informatique ainsi que les violations de données à caractère personnel.
En cas de fuite de données à caractère personnel, la région académique demande à tous les personnels, aux acteurs de la communauté éducative et aux communes, d’utiliser la chaîne d’alerte suivante : dpd@ac-versailles.fr. En effet, le délégué à la protection des données est tenu de faire un rapport à la commission nationale de l'informatique et des libertés (CNIL) dans les 48 heures de la connaissance de l’incident par les parties ou le sous-traitant.
Tout incident de sécurité constaté par la commune ou la région académique sera signalé à l’IEN (inspecteur de l’éducation nationale) de la circonscription et à : alerte-ssi@ac-versailles.fr.
La région académique prendra les décisions qui s’imposent.
Article 8 - Annexe à cette convention
Dans l’annexe 1, la commune et la région académique stipulent les modalités relatives à la responsabilité conjointe.
Dans l’annexe 2, la commune et la région académique stipulent la liste des écoles qui bénéficient du dispositif de l’ENT décrit dans cette présente convention.
L’annexe 3 à cette convention précise les modalités pratiques relatives au circuit de signature de la présente convention et à la mise à disposition des données à caractère personnel issues de l’annuaire fédérateur.
La commune complète la dernière page de cette convention, en annexe "Coordonnées du Référent ENT de la commune et des correspondants techniques de l’exploitant", avant signature.
La commune signe la convention en 2 exemplaires. Ces 2 exemplaires sont ensuite transmis par la commune, avec toutes les pages de l’annexe, à l’IEN de la circonscription.
Article 9 - Mise en œuvre de la convention
Le suivi de la mise en œuvre de cette convention sera assuré par le comité de pilotage défini à l’article 4.
Article 10 - Avenant à la convention
Toute modification des conditions ou modalités d'exécution de la présente convention, définie d'un commun accord entre les parties, fera l'objet d'un avenant, préalablement approuvé par la commune. Celui-ci précisera les éléments 28 février 2025 Convention cadre – ENT pour les écoles Page 8
modifiés de la convention, sans que ceux-ci puissent conduire à remettre en cause les objectifs généraux fixés dans la convention.
Article 11 - Durée de la convention
Cette convention est conclue pour une durée de 4 ans à compter de sa signature par les parties. A l’issue de cette première période, elle sera renouvelée annuellement par tacite reconduction.
Elle peut être dénoncée par l’un des signataires avec un préavis de 3 mois.
Article 12 – Résiliation
En cas de faute grave ou de non-respect de ses engagements contractuels par l’une des parties ne résultant pas d’un cas de force majeure, l’autre partie pourra résilier de plein droit la présente convention à l’expiration d’un délai de trois mois suivant l’envoi d’une lettre recommandée avec avis de réception, valant mise en demeure, restée sans effet.
Jusqu’à l’expiration du délai de préavis, les parties à la présente convention seront tenues d’exécuter leurs obligations contractuelles. Dans ces conditions, l’ENT reste accessible jusqu’à la fin de l’année scolaire en cours.
Article 13 – Litiges
Tout différend qui s’élèverait entre les parties au sujet de l’exécution ou de l’interprétation de la présente convention et qui n’aurait pas fait l’objet d’un règlement amiable sera soumis à la juridiction compétente.
Fait à ………., le …….., en … exemplaires originaux,
P/La commune de JUVISY-SUR-ORGE
Madame le Maire
P/La région académique Île de France
Le Recteur de l’académie de Versailles 28 février 2025 Convention cadre – ENT pour les écoles Page 9
Annexe 1
MODALITES DE LA RESPONSABILITE CONJOINTE
Article 1 : Définition des traitements objet de la responsabilité conjointe
Chacune des parties s’engage, selon la politique générale de protection des données à caractère personnel qu’elle aura mise en place, à assurer une utilisation des données à caractère personnel qui respecte les devoirs qui incombent à tout responsable de traitement ; les droits des utilisateurs et les principes fondamentaux du RGPD.
La commune et l’académie de Versailles entendent exercer une responsabilité conjointe sur les traitements de données à caractère personnel dont ils ont défini les moyens et finalités en commun selon les termes de l’article 26 du RGPD ; en s’appuyant notamment sur les politiques générales de protection des données à caractère personnel qu’elles auront mises en place.
S’en trouvent exclus tous les traitements de données à caractère personnel opérés par une des parties, pour la gestion de ses opérations propres, et qui n’implique pas la fourniture de moyens ou de données venant de l’autre: (ex gestion des personnels, financement de son fonctionnement, attribution d’une compétence dévolue expressément à l’académie ou à la commune, et les traitements effectués par le gestionnaire d’accès aux ressources (GAR) qui dépendent de la responsabilité du ministère de l’éducation nationale).
Les traitements n’entrant pas dans la description du paragraphe précédent devront obéir aux règles communes définies ci-après.
Article 2 - Mise en commun de moyens permettant la réalisation des obligations conjointes des parties
L’académie et la Commune s’engagent à échanger les informations et documents concernant les traitements de données à caractère personnel communs. Elles s’obligent en outre à ne pas prendre d’engagements impliquant des traitements de données à caractère personnel conjoints sans avoir arrêté des exigences communes fixées par écrit. Ces exigences devront être intégrées les documents contractuels qui organisent, utilisent tout ou partie des traitements conjoints. Lesdits documents devront faire mention de la responsabilité conjointe de traitement.
Article 3 - Information et exercice des droits des personnes concernées
3.1. Information
Les personnes concernées devront recevoir une information sur le présent accord qui sera accompagné du détail des traitements conjoints ainsi que des procédures mises en place pour recevoir leurs demandes et leur permettre ainsi d’exercer les droits prévus aux articles 15 à 22 du RGPD.
Pour ce faire, l’académie et la Commune rédigent conjointement une charte d’information sur la protection des données à caractère personnel.
Les informations seront mises à disposition par le collège aux personnes concernées par tout mode de communication pertinent et convenu par les parties.
Chacune des parties reste responsable de l’information des personnes concernées pour les traitements qui relèvent de sa seule responsabilité.
L’académie s’engage dans le cadre de la charte des usages numériques à mettre à disposition des usagers un paragraphe concernant la protection des données à caractère personnel. 28 février 2025 Convention cadre – ENT pour les écoles Page 10
3.2. Exercice des droits
3.2.1. Modalités de traitement de la demande de droit
L’académie et la Commune s’engagent à collaborer dans la gestion des demandes d’exercices des droits d’accès, de rectification, d’effacement, d’opposition, de limitation du traitement.
Les demandes devront être traitées dans un délai de 1 mois à maximum, à compter de la réception de la demande. Au besoin, ce délai pourra être prolongé de deux mois, en fonction de la complexité et du nombre de demandes.
Un modèle type d’accusé de réception de la demande ainsi que la liste des pièces justificatives permettant de vérifier systématiquement l’identité du demandeur, est rédigé conjointement et utilisé par les deux parties pour toute demande de droit concernant les traitements communs.
Un point mensuel est programmé entre les Délégués à la protection des données (DPD) de chaque entité. Le point peut se réaliser selon les besoins et les contraintes de chacun en présentiel, par visioconférence, par téléphone ou par email. Ce point a pour objectif :
- d’assurer la fluidité du processus et le respect des délais ;
- de faire un état des lieux des demandes en cours ;
- d’effectuer la répartition de la réponse entre les DPD.
Afin de permettre le respect des droits des personnes et la tenue des délais réglementaires de réponse aux demandes de droits, les Délégués à la protection des données doivent être en mesure de recevoir, de la part de chaque responsable et/ou des sous-traitants d’un traitement de données à caractère personnel, un fichier contenant l’ensemble des données à caractère personnel d’un demandeur dans un format structuré et lisible par un ordinateur.
3.2.2. Répartition du traitement des demandes de droit
Types de demandes de droits Commune Académie
Demandes de droit effectuées par un
enseignant, un parent d’élève ou un élève X
Demandes de droit effectuées par un personnel
de la commune X
Demandes de droit effectuées directement
auprès de l’académie
X
(sauf préemption
de la commune
validée par les
parties)
Demandes de droit effectuées directement
auprès de la commune
X
(sauf préemption
de l’académie
validée par les
parties)
Article 4 - Notification des violations de données à caractère personnel auprès de la CNIL et communication auprès de la Personne concernée.
En cas de failles de sécurité impliquant des données à caractère personnel, une chaîne d’alerte réactive doit être systématiquement mise en place dans le cadre de la procédure décrite ci-dessous. 28 février 2025 Convention cadre – ENT pour les écoles Page 11
4.1 Notification d’une faille de sécurité
La partie ou le sous-traitant de la partie ayant découvert une telle faille doit la notifier sous 24 heures maximum auprès des personnes suivantes :
- Le DPD de chaque entité.
- Le RSSI de chaque entité le cas échéant.
La notification prend la forme d’un formulaire standard de déclaration mis à la disposition de tous et contenant les catégories d’informations suivantes :
- Le service concerné et la localisation de l’hébergement.
- La date début et fin de la violation.
- La nature de la violation.
- Les catégories de données et de personnes.
- Les mesures de sécurité prises ou envisagées.
Une mise à jour de l’ensemble de ces informations est effectuée et communiquée auprès des personnes indiquées toutes les 24 heures jusqu’à résolution de l’incident.
4.2 Cellule de crise et qualification de la faille
Une cellule de crise est convoquée dans les 24 heures à compter de la notification de la faille afin de décider de procéder ou non à sa notification auprès de l’autorité de contrôle. Afin que la cellule de crise puisse se tenir les responsables conjoints devront échanger tous les documents techniques ou juridiques en leur possession permettant de décrire, qualifier ou remédier à la ou les failles alors en cours. En cas de sous-traitance, le ou les prestataires devront adresser les informations en leur possession aux responsables conjoints.
Les différentes décisions possibles sont :
- La décision de non-notification en raison d’une absence de violation de données.
- La décision de notification suite à la qualification d’une violation.
4.2.1 Décision de non-notification auprès de l’autorité de contrôle
Dans l’hypothèse d’une décision de non-notification, la documentation et l’argumentation de la décision sont conservées par les DPD dans leurs registres respectifs des violations de données.
4.2.2 Décision de notification auprès de l’autorité de contrôle
En cas de notification, l’action incombe à la partie d’où la faille provient :
- Le DPD de l’académie notifie la violation issue de l’action d’un membre de la communauté éducative, ou issue d’une alerte des outils mis à disposition.
- Le DPD de la Commune notifie la violation issue de l’action d’un personnel de la Commune ou issue d’une alerte des outils mis à disposition par lui.
Chaque DPD conserve tout document utile relié à la notification effectuée dans son registre des violations de données.
Article 5 - Sous-traitance d’un traitement sous responsabilité conjointe
5.1 Garanties suffisantes du sous-traitant d’un traitement de données à caractère personnel sous responsabilité conjointe
Dans le cadre de la responsabilité conjointe, tout sous-traitant retenu par une des parties doit présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles permettant d’assurer le respect de 28 février 2025 Convention cadre – ENT pour les écoles Page 12
la réglementation applicable ainsi que les droits des personnes concernées, conformément à l’application du RGPD dans le droit de la commande publique.
5.2 Définition commune des exigences attendues du sous-traitant d’un traitement de données
Dans l’hypothèse où la sous-traitance ne serait contractualisée qu’avec l’un des responsables conjoints de traitement, il devra partager les éléments du cahier des charges qui concernent le traitement des données à caractère personnel avec les autres responsables conjoints de traitement afin qu’ils puissent participer à la définition des exigences requises dans les documents contractuels du marché ; et en tout état de cause intégrer les exigences communes précédemment définies.
Une grille d’évaluation des garanties sera réalisée par le responsable de traitement qui a lancé la consultation, lequel informera les Délégués à la protection des données à caractère personnel des responsables conjoints de traitement afin de prendre en considération si besoin leurs conseils, lors de l’évaluation des offres dans le cadre de prestations relevant du régime de la commande publique.
5.3 Communication entre la partie responsable conjointe non cocontractante et le sous-traitant de l’autre partie.
Les parties conviennent d’organiser les demandes faites au sous-traitant dans le cadre d’ateliers mensuels ; cependant en cas de réponse non satisfaisante du sous-traitant dans un délai de 2 mois, chacun des responsables conjoints peut s’adresser au sous-traitant, tout en informant l’autre.
Article 6 - Sécurité appliquée aux traitements
6.1 Engagement réciproque de respect des mesures de sécurité adéquates
Chaque partie s’engage à respecter et faire respecter par ses personnels et ses sous-traitants toute mesure de sécurité visant notamment à empêcher que les données à caractère personnel ne soient déformées, endommagées, perdues, détournées, corrompues, divulguées, transmises ou communiquées à des personnes non autorisées.
6.2 Engagement de conformité aux réglementations de sécurité en vigueur
Le recteur de l’académie de Versailles, en sa qualité de d’Autorité Qualifiée pour la SSI (AQSSI), est responsable de l’application de la Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE) et de la définition d’une politique de sécurité académique. Il nomme un RSSI chargé de leur définition et de leur application dans les services académiques et l’ensemble des écoles scolaires.
Les parties et leurs sous-traitants s’assurent de la parfaite conformité et du respect de la politique de sécurité des systèmes d’information où transitent les données à caractère personnel avec : - les règles et bonnes pratiques, en application notamment du Référentiel Général de Sécurité version 2 (RGS) et ses évolutions ultérieures ;
- les recommandations de la Commission Nationale de l’Informatique et des Libertés (Cnil) et de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), en particulier de la conformité des règles de sécurité à la Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE) ;
- la politique de sécurité des systèmes d’information académique ;
- la Politique Générale de Protection des données à caractère personnel Personnelles académiques ;
- le référentiel Wi-fi de l’Education nationale et la loi n° 2015-136 du 9 février 2015 relative à la sobriété, à la transparence, à l'information et à la concertation en matière d'exposition aux ondes électromagnétiques ;
- le cadre de référence de l’Education nationale des services d'infrastructures numériques des Etablissements scolaires et d'écoles (CARINE) ;
- le Cadre de référence de l’Education nationale pour l'Accès aux Ressources pédagogiques via un équipement Mobile (CARMO). 28 février 2025 Convention cadre – ENT pour les écoles Page 13
Article 7 - Analyse d’impact sur la protection des données à caractère personnel et consultation préalable dans le cadre du respect par le responsable de traitement de ses obligations
7.1 Analyse d’impact sur la protection des données
Chaque responsable de traitement devra tenir informé l’ensemble des responsables de traitement lors de la réalisation d’une analyse d’impact sur la protection des données à caractère personnel, lorsque, celle-ci s’avère nécessaire. Une fois l’analyse d’impact approuvée par les DPD des responsables conjoint de traitement, ces derniers pourront procéder à sa validation.
7.2 Décision de consultation de la CNIL en cas de risque résiduel
La décision de consulter la CNIL en cas de risque résiduel récurrent appartient à chacune des parties. Le cas échéant, la partie qui saisit la CNIL avertit l’autre de manière concomitante.
Article 8 - Tenue d’un registre des catégories d’activités de traitement
Les parties rédigent ensemble les fiches de traitements correspondant aux traitements communs. Chaque partie conserve les fiches concernées dans son propre registre de traitement. Les parties tiennent seules un registre pour les activités de traitement dont elles sont seules responsables.
Article 9 – Localisation des données
Les parties s’engagent à ce que les données à caractère personnel traitées soient localisées de préférence sur le territoire de la France métropolitaine, sur le territoire de l’Union européenne et en dernier ressort sur le territoire d’un pays ayant fait l’objet d’une décision d’adéquation par la Commission européenne.
Article 10 – Documentation et audits
Chaque responsable du traitement met à la disposition de l’autre sur simple demande, la documentation nécessaire pour démontrer le respect de toutes ses obligations.
Chaque responsable de traitement pourra solliciter auprès du responsable contractuel la réalisation d’un audit. L’opportunité de cette demande sera étudiée conjointement. L'audit pourra être effectué par un auditeur professionnel ou par un collaborateur de la partie sollicitant l’audit. Le rapport établi de l’audit sera partagé à l’ensemble des responsables de traitement. Les frais d’audit seront pris en charge par la partie sollicitant l’audit.
Article 11 - Prise en considération de l’évolution de la règlementation en matière de protection des données à caractère personnel à caractère personnel
En cas d'évolution de la législation sur la protection des données à caractère personnel en cours d'exécution de la convention, les modifications éventuelles demandées par l’une des parties, afin de se conformer aux règles nouvelles, donnent lieu à la signature d'un avenant par les parties à la présente annexe. 28 février 2025 Convention cadre – ENT pour les écoles Page 14
Annexe 2
Liste des écoles qui bénéficient du dispositif
Commune Nom de l'école Adresse UAI
JUVISY-SUR-ORGE Maternelle Antoine de Saint-Exupéry 27 Grande Rue 91260 JUVISY-SUR-ORGE 0910543w
JUVISY-SUR-ORGE Maternelle Françoise Dolto 2 rue des Palombes 91260 JUVISY-SUR-ORGE 0911955f
JUVISY-SUR-ORGE Maternelle Jean Jaurès 5 rue Petit 91260 JUVISY-SUR-ORGE 0910544x
JUVISY-SUR-ORGE Maternelle Jean de La Fontaine 36 rue Monttessuy 91260 JUVISY-SUR-ORGE 0911067r
JUVISY-SUR-ORGE Groupe scolaire Simone Veil 25 rue Vercingétorix 91260 JUVISY-SUR-ORGE 0912477y
JUVISY-SUR-ORGE Groupe scolaire Tomi Ungerer 4 allée Jean Fourest 91260 JUVISY-SUR-ORGE 0912325h
JUVISY-SUR-ORGE Elémentaire Jean Jaurès 5 rue Petit 91260 JUVISY SUR ORGE 0910257k
JUVISY-SUR-ORGE Elémentaire Edmond Michelet 30 rue Blazy 91260 JUVISY SUR ORGE 0910255h 28 février 2025 Convention cadre – ENT pour les écoles Page 15
Annexe 3
Modalités pratiques
1. Circuit de validation et signature des conventions pour la mise à disposition de l’AAF 1er degré dans le cadre d’un projet ENT :
La commune complète la dernière page de cette convention, en annexe "Coordonnées du Référent ENT de la commune
et des correspondants techniques de l’exploitant ", avant signature.
La commune signe la convention en 2 exemplaires. Ces 2 exemplaires sont ensuite transmis par la commune, avec toutes
les pages de l’annexe, à l’IEN de la circonscription.
Les 2 exemplaires de la convention seront signés par le recteur et un exemplaire sera retourné à la commune.
Le circuit de validation et signature de la convention au sein de l’académie de Versailles est le suivant :
Conserve 1
exemplaire signé
Numérise la
convention signée,
puis la transmet
à la DSI et au DPD
Collectivité territoriale
IEN de la circonscription
IEN Numérique
IA-DASEN
en 2 exemplaires signés Transmet
Transmet
Vérifie et transmet
Valide et transmet
Retourne les 2
exemplaires signés DACES
Recteur
Transmet pour signature
Retourne 1 exemplaire
signé
Répertoire
partagé
Archivage 28 février 2025 Convention cadre – ENT pour les écoles Page 16
2. Coordonnées du Référent ENT de la commune et des correspondants techniques de l’exploitant à compléter
Le référent ENT et les correspondants techniques nommés ci-dessous seront les interlocuteurs privilégiés de la région
académique pour la mise à disposition des données à caractère personnel issues de l’annuaire fédérateur.
La région académique déterminera avec les correspondants techniques les informations suivantes :
• préfixe des fichiers fournis, sachant que les fichiers AAF extraits seront au format suivant
_
_aaaammjj_
_nnnn.xml où
o
est parmi { "Delta", "Complet" },
o aaaammjj est la date du jour d'extraction,
o
est parmi "Eleve", "EtabEducNat", "PersEducNat", "PersRelEleve",
o nnnn est un numéro d'ordre du fichier dans une même catégorie pour l'extraction courante,
• type d'export (delta / complet) et modalités d'une initialisation éventuelle (exemple : dans un complet ou dans
un export à part un jour). Les complets seront fournis chaque jeudi.
• si nécessaire, bordereau au format texte indiquant les informations suivantes : le code destinataire, la date
d'envoi, le nom de l'archive zip et les noms des fichiers xml avec leur taille en lignes,
• fourniture d'une archive zip ou non (et si oui, nom du fichier à fournir),
• commande d'envoi par sftp sur serveur distant du prestataire (après échange de clefs ssh avec les
correspondants techniques de l’exploitant).
Editeur de l’ENT :
Exploitant de l’ENT :
Référent ENT de la commune :
NOM et prénom : BAUDRY Olivier
Téléphone : 01.69.12.50.00
Adresse de messagerie : OBAUDRY@mairie-juvisy.fr
service.enfance@mairie-juvisy.fr
Correspondant technique principal de l’exploitant :
NOM et prénom :
Téléphone :
Adresse de messagerie :
2e correspondant technique de l’exploitant :
NOM et prénom :
Téléphone :
Adresse de messagerie :