IMT Mines Alès | Maison des Élèves — Service Hébergement
Conformité RGPD | UE 2016/679
FunAccess Logo
FunAccess Gestion d'accès & Badges — MDE
Document officiel de conformité

Charte de Conformité
RGPD

Politique de protection des données à caractère personnel applicable au traitement mis en œuvre par l'application FunAccess dans le cadre de la gestion des accès et des badges au sein de la Maison des Élèves (MDE) d'IMT Mines Alès.

Référence RGPD-MDE-2026-001
Version 1.0
Date d'entrée en vigueur 18 mars 2026
Classification Document Public
Conforme RGPD
Accueil Documentation Charte RGPD — FunAccess
RGPD-MDE-2026-001 — v1.0

Charte de Conformité RGPD — Application FunAccess

Préambule — La présente charte de conformité a pour vocation de formaliser l'ensemble des mesures techniques et organisationnelles mises en œuvre par le service Hébergement de la Maison des Élèves (MDE) d'IMT Mines Alès, dans le cadre de l'exploitation de l'application FunAccess, au regard du Règlement Général sur la Protection des Données (UE) 2016/679 (ci-après « RGPD »), de la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée, et des recommandations émises par la Commission Nationale de l'Informatique et des Libertés (CNIL) ainsi que l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).

01 Objet et périmètre d'application

La présente charte définit les engagements et les obligations en matière de protection des données à caractère personnel dans le cadre du déploiement et de l'utilisation de l'application web FunAccess.

L'application FunAccess est une interface web adossée à une base de données relationnelle, dont la finalité est de permettre au service Hébergement de la MDE de :

  • Gérer le cycle de vie des badges d'accès physiques à l'enceinte de la Maison des Élèves
  • Générer, activer, désactiver et révoquer les droits d'accès des résidents et personnels autorisés
  • Administrer les zones d'accès (bâtiments, étages, locaux communs, parkings)
  • Tracer les demandes d'accès à des fins de sécurité et de gestion administrative

Le périmètre de cette charte couvre l'intégralité du système d'information de FunAccess : interface web front-end, API back-end, base de données, et tout système de journalisation associé.

02 Responsable du traitement

Le responsable du traitement des données à caractère personnel au sens de l'article 4(7) du RGPD est :

Responsable du traitement IMT Mines Alès — Service Hébergement de la Maison des Élèves
6 Avenue de Clavières, 30319 Alès Cedex, France
Établissement public sous tutelle du Ministère de l'Économie, des Finances et de la Souveraineté industrielle et numérique

Le responsable du traitement détermine les finalités et les moyens du traitement et garantit la conformité du traitement avec les dispositions du RGPD et de la législation nationale applicable.

03 Finalités du traitement

Conformément au principe de limitation des finalités (article 5(1)(b) du RGPD), les données collectées via FunAccess sont traitées exclusivement pour les finalités suivantes :

Réf. Finalité Base légale Catégorie
F-01 Création et gestion des comptes utilisateurs (résidents, personnels, visiteurs temporaires) Exécution contractuelle Gestion
F-02 Attribution, activation, désactivation et révocation des badges d'accès physiques Exécution contractuelle Accès
F-03 Gestion des droits d'accès par zone (bâtiments, étages, locaux techniques et communs) Intérêt légitime Accès
F-04 Journalisation des événements d'accès à des fins de sécurité des biens et des personnes Intérêt légitime Sécurité
F-05 Production de statistiques anonymisées d'utilisation des accès Intérêt légitime Statistique
F-06 Gestion des demandes d'accès temporaires (visiteurs, intervenants extérieurs, livreurs) Exécution contractuelle Gestion
04 Bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement de données personnelles repose sur une base légale identifiée. Dans le cadre de FunAccess, les bases légales invoquées sont :

a) Exécution d'un contrat (art. 6(1)(b)) : Le traitement est nécessaire à l'exécution du contrat de résidence liant l'élève à la MDE, ou à l'exécution de mesures précontractuelles. L'attribution d'un badge d'accès constitue une obligation accessoire au contrat de résidence.

b) Intérêt légitime du responsable de traitement (art. 6(1)(f)) : La sécurisation des accès physiques à l'enceinte de la MDE constitue un intérêt légitime du responsable du traitement, sous réserve d'une mise en balance avec les droits et libertés des personnes concernées. Un test de proportionnalité (Legitimate Interest Assessment — LIA) a été réalisé.

c) Obligation légale (art. 6(1)(c)) : Certains traitements peuvent être fondés sur des obligations légales en matière de sécurité des établissements recevant du public (ERP) et de contrôle d'accès.

✓ Conformité vérifiée Aucun traitement de données sensibles au sens de l'article 9 du RGPD n'est mis en œuvre par FunAccess. L'application ne collecte aucune donnée biométrique, aucune donnée de santé, ni aucune donnée révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale des personnes concernées.
05 Catégories de données collectées

En application du principe de minimisation des données (article 5(1)(c) du RGPD), seules les données strictement nécessaires à l'accomplissement des finalités définies à l'article 3 sont collectées :

Catégorie Données concernées Caractère Finalité(s)
Identité Nom, prénom, identifiant élève/personnel Obligatoire F-01, F-02
Coordonnées Adresse e-mail institutionnelle (@mines-ales.fr) Obligatoire F-01, F-06
Résidence Numéro de chambre, bâtiment, étage Obligatoire F-02, F-03
Badge Numéro de badge, numéro de série, statut (actif/inactif/révoqué) Obligatoire F-02, F-03
Droits d'accès Zones autorisées, plages horaires, profil d'accès Obligatoire F-03
Journaux Horodatage des passages, point d'accès, résultat (autorisé/refusé) Automatique F-04
Données techniques Logs de connexion à l'interface web, adresse IP, user-agent Automatique F-04
⚠ Minimisation stricte Aucune photographie, aucune donnée biométrique, aucune information financière ni aucune donnée de géolocalisation en temps réel ne sont collectées par FunAccess. Les adresses e-mail personnelles ne sont pas traitées.
06 Durées de conservation

Conformément au principe de limitation de la conservation (article 5(1)(e) du RGPD), les données sont conservées pour des durées strictement proportionnées aux finalités :

Type de données Durée en base active Archivage intermédiaire Suppression définitive
Données d'identité et de résidence Durée du contrat de résidence 3 mois après départ Suppression automatique
Données de badge Durée d'activité du badge 1 mois après révocation Anonymisation
Journaux d'accès physiques 3 mois glissants Purge automatique
Logs de connexion web 12 mois (obligation légale LCEN) Purge automatique
Données de visiteurs temporaires Durée de la visite 48 heures Suppression automatique
ℹ Processus de purge Un mécanisme de purge automatisé (tâche planifiée côté back-end) est exécuté quotidiennement afin de garantir le respect des durées de conservation. Toute donnée ayant dépassé sa durée de rétention est irrévocablement supprimée ou anonymisée.
07 Destinataires des données

Les données à caractère personnel traitées par FunAccess ne sont communiquées qu'aux seuls destinataires habilités, dans le strict respect du principe du besoin d'en connaître :

Destinataire Données accessibles Justification
Service Hébergement MDE Intégralité des données (lecture/écriture) Administration du système
Service Sécurité / Accueil MDE Identité, badge, droits d'accès (lecture seule) Contrôle des accès physiques
Direction des Systèmes d'Information (DSI) Logs techniques (lecture seule) Maintenance et sécurité du SI
Résidents (personnes concernées) Leurs propres données (lecture seule) Exercice du droit d'accès

Aucune donnée n'est communiquée à des tiers commerciaux. Aucune donnée n'est utilisée à des fins de profilage, de scoring, de publicité ciblée ou de prise de décision automatisée au sens de l'article 22 du RGPD.

08 Mesures de sécurité techniques et organisationnelles

Conformément à l'article 32 du RGPD et aux recommandations de l'ANSSI (guide d'hygiène informatique), les mesures de sécurité suivantes sont implémentées :

🔐
Authentification
Authentification forte (SSO institutionnel / CAS). Politique de mots de passe conforme aux recommandations ANSSI 2024.
🔒
Chiffrement
TLS 1.3 pour les flux en transit. Chiffrement AES-256 pour les données au repos en base de données.
🛡️
Contrôle d'accès
RBAC (Role-Based Access Control) avec séparation des privilèges. Principe du moindre privilège appliqué.
📋
Journalisation
Logs d'audit inaltérables horodatés. Traçabilité complète des actions d'administration sur l'application.
💾
Sauvegarde
Sauvegardes quotidiennes chiffrées avec politique de rétention. Tests de restauration trimestriels documentés.
🧪
Tests de sécurité
Audits de sécurité périodiques. Analyse de vulnérabilités et tests de pénétration annuels sur l'interface web.

Mesures organisationnelles complémentaires :

  • Sensibilisation et formation RGPD de tous les agents du service Hébergement habilités à utiliser FunAccess
  • Procédure de gestion des habilitations avec revue trimestrielle des droits d'accès
  • Clause de confidentialité signée par chaque agent ayant accès aux données
  • Procédure de décommissionnement des comptes en cas de départ d'un agent
  • Plan de continuité d'activité (PCA) et plan de reprise d'activité (PRA) documentés
09 Protection des données dès la conception (Privacy by Design & by Default)

Conformément à l'article 25 du RGPD, l'application FunAccess a été conçue selon les principes de protection des données dès la conception et par défaut :

  • Minimisation par défaut : les formulaires ne collectent que les champs strictement nécessaires ; aucun champ optionnel superflu n'est proposé
  • Pseudonymisation : les identifiants de badge sont dissociés des identités civiles dans la couche de journalisation
  • Cloisonnement : séparation logique entre les données d'identification, les données de badge et les journaux d'accès
  • Paramétrage restrictif par défaut : tout nouveau compte est créé avec les permissions minimales ; les zones d'accès doivent être explicitement attribuées
  • Anonymisation des statistiques : toute exploitation statistique s'effectue sur des jeux de données préalablement anonymisés de manière irréversible
  • Suppression automatique : mécanismes de purge intégrés nativement dans le back-end applicatif
10 Sous-traitance (article 28 du RGPD)

L'hébergement de l'application FunAccess et de sa base de données est assuré sur une infrastructure interne à IMT Mines Alès (serveurs on-premise ou infrastructure cloud souveraine qualifiée SecNumCloud, le cas échéant).

En cas de recours à un sous-traitant, un contrat de sous-traitance conforme à l'article 28 du RGPD est formalisé, incluant :

  • L'obligation de traiter les données uniquement sur instruction documentée du responsable de traitement
  • L'obligation de garantir la confidentialité des données
  • L'obligation de mettre en œuvre des mesures de sécurité appropriées (art. 32)
  • L'obligation de suppression ou restitution des données en fin de contrat
  • Le droit d'audit du responsable de traitement sur les installations du sous-traitant
✓ Hébergement souverain L'ensemble des données traitées par FunAccess sont hébergées sur le territoire de l'Union Européenne, sur des infrastructures conformes aux exigences de souveraineté numérique et aux recommandations de l'ANSSI.
11 Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne dont les données sont traitées par FunAccess dispose des droits suivants :

Droit Article RGPD Description Modalité
Accès Art. 15 Obtenir la confirmation du traitement et une copie des données Actif
Rectification Art. 16 Faire corriger des données inexactes ou incomplètes Actif
Effacement Art. 17 Obtenir la suppression des données (« droit à l'oubli ») Actif
Limitation Art. 18 Obtenir la limitation du traitement dans certains cas Actif
Portabilité Art. 20 Recevoir ses données dans un format structuré (JSON/CSV) Actif
Opposition Art. 21 S'opposer au traitement fondé sur l'intérêt légitime Actif
ℹ Exercice des droits Toute demande d'exercice de droit peut être adressée par e-mail à l'adresse dpo@mines-ales.fr ou par courrier postal à l'attention du Délégué à la Protection des Données. Une réponse est apportée dans un délai maximum de 30 jours à compter de la réception de la demande, conformément à l'article 12(3) du RGPD. En cas de doute sur l'identité du demandeur, un justificatif d'identité pourra être demandé.

Toute personne concernée dispose également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés), autorité de contrôle compétente sur le territoire français : www.cnil.fr.

12 Transferts de données hors de l'Union Européenne
✓ Aucun transfert hors UE L'application FunAccess ne procède à aucun transfert de données à caractère personnel vers un pays tiers situé hors de l'Espace Économique Européen (EEE). L'ensemble des traitements, de l'hébergement et des sauvegardes sont réalisés sur le territoire de l'Union Européenne.

En cas d'évolution de l'architecture technique nécessitant un transfert hors UE, celui-ci ne serait effectué que dans le respect du chapitre V du RGPD (articles 44 à 49), et uniquement vers des pays bénéficiant d'une décision d'adéquation de la Commission Européenne, ou sous le couvert de clauses contractuelles types (CCT) approuvées.

13 Registre des activités de traitement & Analyse d'Impact (AIPD)

Registre des traitements (art. 30) : Le traitement mis en œuvre par FunAccess est inscrit au registre des activités de traitement d'IMT Mines Alès, tenu et maintenu à jour par le Délégué à la Protection des Données. Ce registre contient l'ensemble des informations requises par l'article 30(1) du RGPD.

Analyse d'Impact relative à la Protection des Données (AIPD — art. 35) : Bien que le traitement ne figure pas parmi les traitements soumis à AIPD obligatoire selon la liste publiée par la CNIL, une analyse d'impact a été réalisée à titre de bonne pratique, compte tenu de la nature du traitement (contrôle d'accès physique impliquant une journalisation systématique des passages).

ℹ Résultat de l'AIPD L'analyse d'impact a conclu à un niveau de risque résiduel acceptable au regard des mesures techniques et organisationnelles mises en œuvre. Aucun risque élevé résiduel pour les droits et libertés des personnes n'a été identifié, rendant la consultation préalable de la CNIL (art. 36) non nécessaire.
14 Délégué à la Protection des Données (DPO)

Conformément aux articles 37 à 39 du RGPD, un Délégué à la Protection des Données a été désigné au sein d'IMT Mines Alès. Ses coordonnées sont les suivantes :

Contact DPO Délégué à la Protection des Données — IMT Mines Alès
📧 dpo@mines-ales.fr
📍 6 Avenue de Clavières, 30319 Alès Cedex, France
📞 +33 (0)4 66 78 50 00 (standard)

Le DPO est le point de contact pour toute question relative à la protection des données personnelles dans le cadre de FunAccess, ainsi que pour l'exercice des droits des personnes concernées.

15 Gestion des violations de données

Conformément aux articles 33 et 34 du RGPD, une procédure de gestion des violations de données personnelles est formalisée :

  • Détection : Mécanismes de détection d'anomalies et d'alertes automatisées (monitoring des accès, détection d'exfiltration)
  • Notification CNIL : En cas de violation présentant un risque pour les droits et libertés des personnes, notification à la CNIL dans un délai de 72 heures à compter de la prise de connaissance de la violation
  • Information des personnes : En cas de risque élevé, communication sans délai indu aux personnes concernées
  • Documentation : Tenue d'un registre des violations de données, quelle que soit leur gravité, documentant les faits, les effets et les mesures correctives
  • Retour d'expérience : Analyse post-incident systématique avec mise à jour des mesures de sécurité le cas échéant
🚨 Procédure d'urgence En cas de suspicion de violation de données impliquant FunAccess, contacter immédiatement le DPO à dpo@mines-ales.fr et la DSI d'IMT Mines Alès. Un kit de réponse à incident est disponible et maintenu à jour.
16 Évolution et mise à jour de la présente charte

La présente charte de conformité fait l'objet d'une revue annuelle, ou lors de tout changement significatif affectant le traitement (évolution fonctionnelle de FunAccess, changement de sous-traitant, modification de la base légale, etc.).

Toute modification substantielle donnera lieu à une information des personnes concernées par le biais de l'interface FunAccess et/ou par communication électronique sur l'adresse institutionnelle.

L'historique des versions est maintenu dans le tableau ci-dessous :

Version Date Auteur Nature des modifications
1.0 18/03/2026 Service Hébergement MDE Rédaction initiale de la charte de conformité RGPD

Pour le Responsable de Traitement

Directeur(trice) de la MDE

IMT Mines Alès

Date et signature

Pour le Délégué à la Protection des Données

DPO — IMT Mines Alès

dpo@mines-ales.fr

Date et signature