Dernière mise à jour : 13/06/2026
1Responsable du traitement
Établissement Saint-Joseph de Tivoli
40 Av. d'Eysines, 33200 Bordeaux
Tél. : 05 56 08 04 40 · Email : secretariat.direction@tivoli-33.org
Pour toute question relative à vos données personnelles, contactez l'administration de l'établissement.
2Données collectées et finalités
| Catégorie |
Données |
Finalité |
Base légale |
| Comptes personnel |
Nom, prénom, adresse e-mail, mot de passe (hashé) |
Authentification et identification dans l'application |
Contrat / mission |
| Réservations |
Intitulé, description, dates/horaires, type, statut, ressource réservée |
Gestion des plannings de salles et matériels pédagogiques |
Intérêt légitime |
| Élèves (module CTP-info) |
Nom, prénom, classe |
Suivi des passages élèves en salle CTP-info |
Mission éducative |
| Logs de connexion |
Adresse IP (anti-bruteforce, 15 min max) |
Sécurité du système |
Intérêt légitime |
3Durées de conservation
| Données | Durée de conservation |
|---|
| Comptes personnel actifs |
Durée du contrat / de la mission au sein de l'établissement |
| Réservations |
Année scolaire en cours + 1 an (archivage statistique) |
| Données élèves (CTP-info) |
Année scolaire en cours |
| Logs anti-bruteforce (IP) |
15 minutes maximum |
La purge des données en fin d'année scolaire est effectuée par l'administrateur de l'application.
4Destinataires des données
- Tout le personnel connecté : peut consulter les réservations du calendrier (intitulé, ressource, horaires)
- Administrateurs : accès complet aux comptes utilisateurs et aux données de réservation
- Superviseurs : accès aux réservations des ressources dont ils sont responsables
-
BUBAPP (sous-traitant SaaS, Art. 28 RGPD) : prestataire hébergeant et exploitant
SyRes pour le compte de l'établissement. BUBAPP traite les données uniquement sur instruction du
Responsable du traitement, dans le cadre d'une
convention de sous-traitance
conforme à l'article 28 du RGPD.
-
OVH SAS (sous-traitant ultérieur de BUBAPP) : hébergement serveur en France
(DC2/DC3) — données non communiquées à des tiers commerciaux, aucun transfert hors UE.
5Vos droits (Art. 15–22 RGPD)
Droit d'accès
Consultez et exportez vos données depuis la page
Mes données.
Droit de rectification
Modifiez votre email et mot de passe depuis la page
Mes données. Pour nom/prénom, contactez l'administrateur.
Droit à l'effacement
Contactez l'administrateur pour demander la suppression de votre compte et de vos données.
Droit d'opposition / limitation
Contactez l'administrateur ou la direction de l'établissement.
6Sécurité des données
- Connexion chiffrée HTTPS en production
- Mots de passe hashés avec bcrypt (irréversible)
- Sessions sécurisées (HttpOnly, SameSite=Strict)
- Protection CSRF sur tous les formulaires
- Blocage automatique après 5 tentatives de connexion échouées
- Tokens de réinitialisation de mot de passe hashés et limités à 2 heures
7Droit de réclamation
Si vous estimez que le traitement de vos données ne respecte pas le RGPD, vous pouvez déposer
une réclamation auprès de la
CNIL
(Commission Nationale de l'Informatique et des Libertés).