Accord de traitement des données (DPA)

Le présent accord de traitement des données (« DPA », pour Data Processing Agreement) encadre, conformément à l’article 28 du Règlement (UE) 2016/679 (« RGPD »), le traitement des données personnelles d’élèves effectué par DigitConsult pour le compte d’un établissement, d’un organisme de formation ou d’un enseignant qui utilise Tralo pour faire jouer des histoires interactives.

Il complète les CGU, les CGV et la politique de confidentialité et, pour ce qui concerne le traitement des données d’élèves décrit ci-dessous, prévaut sur ces documents en cas de contradiction. Il est réputé accepté dès lors qu’un Responsable de traitement utilise Tralo pour traiter des données d’élèves ; une version signée peut être conclue sur demande à contact@tralo.fr.

— Le Responsable de traitement(ci-après « le Responsable ») : l’établissement, l’organisme ou l’enseignant qui détermine les données d’élèves collectées via Tralo et leurs finalités.
— Le Sous-traitant : DigitConsult, SASU éditrice de Tralo (coordonnées dans les mentions légales).

Les termes « données à caractère personnel », « traitement », « personne concernée », « violation de données », « sous-traitant ultérieur » ont le sens que leur donne le RGPD. Le présent DPA ne concerne que les données traitées pour le compte du Responsable (données d’élèves) ; les données du compte de l’Auteur et la facturation relèvent de DigitConsult agissant comme responsable de traitement, et sont régies par la politique de confidentialité.

DigitConsult traite, pour le compte du Responsable, les données personnelles que le Responsable choisit de collecter auprès des élèves via Tralo.

— Nature des opérations : hébergement, stockage, organisation, structuration, affichage, mise à disposition via lien de partage, calcul de statistiques de lecture, effacement.
— Finalité : permettre aux élèves de jouer les histoires pédagogiques et, lorsque l’Auteur l’a activé, permettre à l’Auteur de suivre la progression des élèves.
— Catégories de personnes concernées : élèves et apprenants, susceptibles d’être mineurs.
— Catégories de données : identité optionnelle activée par l’Auteur (prénom, nom et/ou classe) ; données de progression (scènes parcourues, choix, erreurs, score, horodatage) ; données techniques de connexion. Aucune donnée sensible au sens de l’article 9 du RGPD ne doit être collectée.
— Durée : pendant la durée d’utilisation de Tralo par le Responsable, dans les limites précisées à l’article 9 ci-dessous.

DigitConsult ne traite les données que sur instructions documentées du Responsable. Les présentes, les CGU, la configuration choisie par l’Auteur (activation ou non de l’option d’identité, champs demandés) et toute instruction écrite ultérieure constituent ces instructions. DigitConsult informe le Responsable si, à son avis, une instruction constitue une violation du RGPD ou d’une autre disposition applicable en matière de protection des données.

DigitConsult veille à ce que les personnes autorisées à traiter les données d’élèves s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et n’y accèdent que dans la mesure nécessaire à la fourniture du service.

DigitConsult met en œuvre les mesures techniques et organisationnelles appropriées détaillées en Annexe 2, notamment : chiffrement des échanges (HTTPS/TLS), chiffrement des données au repos, hachage des mots de passe, contrôle et journalisation des accès, hébergement dans l’Union européenne, sauvegardes régulières, et mesures de résilience visant à garantir la confidentialité, l’intégrité, la disponibilité et la robustesse des traitements.

Le Responsable autorise DigitConsult à recourir aux sous-traitants ultérieurs listés en Annexe 1. DigitConsult impose à chacun, par contrat, des obligations de protection des données équivalentes à celles du présent DPA et demeure pleinement responsable de l’exécution de leurs obligations.

En cas d’ajout ou de remplacement d’un sous-traitant ultérieur, DigitConsult en informe le Responsable au moins 30 jours à l’avance, lui permettant de formuler une objection motivée ; en cas d’objection non résolue, le Responsable peut résilier l’utilisation du service concerné.

Compte tenu de la nature du traitement, DigitConsult aide le Responsable, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes (accès, rectification, effacement, limitation, portabilité, opposition). Les fonctions d’export (.json/.zip) et de réinitialisation des statistiques permettent au Responsable d’exercer directement ces opérations. Si une personne concernée adresse une demande directement à DigitConsult, celle-ci la transmet sans délai au Responsable et n’y répond pas elle-même, sauf instruction contraire.

Compte tenu de la nature du traitement et des informations à sa disposition, DigitConsult aide le Responsable à garantir le respect de ses obligations relatives à la sécurité (art. 32), à la notification des violations de données (art. 33 et 34), à l’analyse d’impact relative à la protection des données (art. 35) et à la consultation préalable de l’autorité de contrôle (art. 36).

DigitConsult notifie au Responsable toute violation de données à caractère personnel le concernant dans les meilleurs délais après en avoir pris connaissance, en fournissant les informations utiles (nature de la violation, catégories et nombre approximatif de personnes et d’enregistrements concernés, conséquences probables, mesures prises ou proposées), afin de permettre au Responsable de respecter, le cas échéant, ses propres obligations de notification.

Localisation et transferts. Les données d’élèves sont hébergées et traitées exclusivement au sein de l’Union européenne (Supabase, Francfort). DigitConsult n’effectue aucun transfert des données d’élèves en dehors de l’Union européenne. Si un sous-traitant ultérieur devait impliquer un tel transfert, celui-ci serait encadré par les clauses contractuelles types de la Commission européenne et/ou une décision d’adéquation.

Sort des données en fin de prestation. Au terme de la prestation, et selon le choix du Responsable, DigitConsult supprime ou restitue l’ensemble des données d’élèves et détruit les copies existantes, sauf obligation légale de conservation. À défaut d’instruction du Responsable, les données sont supprimées dans les conditions et délais prévus par la politique de confidentialité.

DigitConsult met à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations de l’article 28 du RGPD et permet la réalisation d’audits, y compris des inspections, par le Responsable ou un auditeur qu’il mandate. Ces audits s’effectuent moyennant un préavis raisonnable, pendant les heures ouvrées, sans perturber le service, dans le respect de la confidentialité et de la sécurité des autres clients, et peuvent prendre la forme de la mise à disposition de documentation, de certifications ou de réponses à un questionnaire.

Chaque partie répond des dommages causés par le traitement dans les conditions de l’article 82 du RGPD. Le Responsable garantit la licéité de la collecte des données d’élèves qu’il décide d’opérer via Tralo : il lui appartient de disposer d’une base légale appropriée, d’informer les élèves et leurs représentants légaux, de recueillir, le cas échéant, le consentement requis pour les mineurs de moins de 15 ans, et de ne demander que des données strictement nécessaires.

Les sous-traitants ultérieurs ci-dessous traitent des données d’élèves pour le compte du Responsable, dans le cadre du présent DPA :

— Supabase (via AWS) — base de données, authentification, hébergement des contenus et des statistiques (y compris l’identité optionnelle des élèves) — Union européenne (Francfort, eu-central-1).
— Hostinger International Ltd — hébergement de l’application via laquelle les données d’élèves sont collectées et mises à disposition — Union européenne (Chypre).

Pour mémoire, Stripe Payments Europe, Limited (paiement de l’abonnement) et Resend (e-mails transactionnels) ne traitent aucune donnée d’élève : ils interviennent uniquement sur les données du compte de l’Auteur et de la facturation, pour lesquelles DigitConsult agit comme responsable de traitement. Ils relèvent à ce titre de la politique de confidentialité et sont hors du périmètre du présent DPA.

— Chiffrement des communications entre le navigateur et les serveurs (HTTPS/TLS).
— Chiffrement des données au repos assuré par l’hébergeur Supabase.
— Mots de passe hachés, jamais stockés ni lisibles en clair.
— Aucune donnée de carte bancaire stockée (paiement délégué à Stripe, certifié PCI-DSS).
— Contrôle des accès aux bases, restreint aux personnes habilitées et journalisé.
— Cloisonnement des données par utilisateur (politiques d’accès au niveau de la base).
— Hébergement des données dans l’Union européenne (Francfort).
— Sauvegardes régulières et mesures de restauration.
— Journaux techniques limités et conservés pour une durée maximale de 30 jours.