Technologies et cadrage
Architecture, connexion et conformité
Les choix techniques de la plateforme, du navigateur à l'hébergement. Authentification Microsoft Entra ID, API REST documentée, données hébergées en Suisse.
Technologies retenues
Chaque brique répond à un besoin précis
La plateforme repose sur une architecture découplée : une interface, une API REST et des services de données séparés. Le front reste remplaçable sans toucher au métier.
| Couche | Technologie | Bénéfice pour le canton |
|---|---|---|
| Interface | SvelteKit (Svelte 5) | Pages légères et réactives, adaptées aux exercices interactifs, à la visualisation de données et aux tablettes des classes. |
| API | NestJS (TypeScript) | API REST documentée (OpenAPI), modulaire et testable. Cœur métier réutilisable pour l’interconnexion cantonale. |
| Base de données | PostgreSQL avec Drizzle | Base relationnelle fiable et performante, répliquée, avec sauvegardes en continu. |
| Génération de documents | Puppeteer | Production des PDF fidèles et imprimables : Guide de stage, Passeport START!, Certificat. |
| Cache et traitements | Redis | Sessions, cache et file de tâches pour la génération en lot et la migration annuelle des comptes. |
| Stockage de fichiers | S3 (Infomaniak) | Ressources pédagogiques, médias et documents archivés, hébergés en Suisse. |
| Authentification | Microsoft Entra ID (OAuth2 / OIDC) | Connexion via les comptes Microsoft 365 existants, sans mot de passe supplémentaire. |
| Hébergement | Infomaniak (Suisse) | Datacenters en Suisse, soumission au seul droit suisse, hors Cloud Act. |
Architecture
Du navigateur à l'hébergement, en Suisse
L'authentification est déléguée à Microsoft Entra ID. Tout le reste, interface, API et données, est hébergé chez Infomaniak, en Suisse.
Utilisateurs
Élèves · Enseignant·e·s · Conseillers·ères · Directions
Microsoft 365 · tenant cantonal
Microsoft Entra ID — authentification
Hébergé en Suisse · Infomaniak
Interface
SvelteKit
API REST
NestJS · documentée (OpenAPI)
→ outils cantonauxPostgreSQL
Base de données
Redis
Cache et files
S3
Fichiers
Puppeteer
Connexion
Une connexion Microsoft 365, sans nouveau mot de passe
L'authentification unique (SSO) utilise OAuth2 / OIDC sur le tenant éducatif du canton. Le rôle est attribué selon le domaine de l'adresse et les groupes Microsoft Entra ID.
| Profil | Adresse |
|---|---|
| Élèves | @studentfr.ch |
| Enseignant·e·s titulaires | @edufr.ch |
| Conseillers·ères en orientation | @fr.ch |
| Directions d’écoles | @fr.ch |
Chaque profil voit ses propres données. Service de migration annuelle des comptes inclus, à chaque rentrée.
Aucun mot de passe n'est créé ni stocké par la plateforme. L'identité reste gérée par Microsoft 365.
Sécurité et souveraineté
Protection des données, au niveau cantonal et fédéral
Hébergement chez Infomaniak, en Suisse, soumis au seul droit suisse. Azure Switzerland North, hébergé à Zürich, reste exposé au Cloud Act américain.
Chiffrement
Données chiffrées au repos (AES-256) et en transit (TLS 1.2+).
Isolation par rôle
Données invisibles d’un rôle à l’autre. Contrôle d’accès strict (RBAC).
Résidence des données
Hébergement en Suisse, accord de traitement (DPA) contractuel.
Confidentialité
Aucune utilisation publicitaire, aucun transfert à des tiers.
Droit à l’effacement
Suppression complète des données d’un utilisateur sur demande.
Conformité
- nLPD (fédérale)
- LPDA (cantonale)
- LIPDA (cantonale)
- RGPD (UE)