Data Processing Agreement — Art. 28 RGPD
Le présent Accord de Sous-Traitance (ci-après « DPA ») est conclu entre tout orthopédagogue utilisant la plateforme App'Évol (ci-après le « Responsable de traitement » ou « RT ») et la société exploitant App'Évol (ci-après le « Sous-traitant »), conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
L'utilisation de la plateforme emporte acceptation du présent accord. Aucune signature distincte n'est requise pour les clients existants ; l'accord entre en vigueur à la première utilisation des fonctionnalités de traitement de données personnelles.
Responsable de traitement (RT)
Tout professionnel (orthopédagogue, logopède, rééducateur) inscrit sur la plateforme App'Évol et utilisant celle-ci pour gérer des dossiers de ses propres clients.
Le RT détermine les finalités et les moyens du traitement de données de ses apprenants et familles.
Sous-traitant
Flavien MATHIEU — Entrepreneur individuel
4 bis rue Lucien Sergent – 91300 MASSY
SIRET : 94082246300011
Contact : flavien.mathieu01@gmail.com
Le Sous-traitant agit exclusivement sur instruction du RT pour héberger et restituer les données.
Le présent DPA encadre le traitement de données à caractère personnel effectué par le Sous-traitant pour le compte du RT dans le cadre de l'utilisation de la plateforme SaaS App'Évol.
Il prend effet à la date de la première utilisation du service et reste en vigueur pendant toute la durée du contrat d'abonnement, puis jusqu'à l'expiration des délais légaux de conservation applicables aux données conservées pour obligation légale.
| Traitement | Catégories de données | Personnes concernées |
|---|---|---|
| Dossiers apprenants | Identité, scolarité, suivis, données potentiellement sensibles, documents | Enfants / adolescents, parents |
| Séances et planification | Dates, durées, notes de séance, observations | Apprenants |
| Questionnaires et entretiens | Réponses aux questionnaires, fiche d'entretien structurée | Apprenants, parents, enseignants |
| Facturation | Identité et coordonnées du représentant légal, montants, dates | Parents / représentants légaux |
| Contrats et autorisations | Identité, signature électronique, date | Parents / représentants légaux |
| Emails transactionnels | Adresse email, nom, contenu du message | Familles, partenaires |
Instruction documentée
Le Sous-traitant ne traite les données que sur instruction documentée du RT. La configuration de la plateforme par le RT constitue une instruction permanente.
Confidentialité
Les données ne sont accessibles qu'au personnel strictement nécessaire, soumis à une obligation de confidentialité.
Sécurité (Art. 32 RGPD)
Mesures mises en œuvre : HTTPS / TLS 1.3, isolation multi-tenant par ownerId, tokens signés à expiration courte, accès admin restreint, monitoring Sentry (sans PII par défaut).
Sous-traitants ultérieurs
Le Sous-traitant informe le RT de tout changement de sous-traitant ultérieur en mettant à jour la liste ci-dessous (section 6). Le RT dispose d'un délai de 30 jours pour s'y opposer.
Assistance au RT
En cas d'exercice de droits RGPD par les personnes concernées, le Sous-traitant fournit au RT les informations nécessaires pour y répondre dans les délais légaux.
Violation de données (Art. 33-34 RGPD)
Notification au RT dans les 72 heures suivant la détection d'une violation susceptible de risque pour les droits et libertés des personnes.
Sort des données en fin de contrat
À résiliation : suppression physique ou anonymisation des données, sauf les données conservées pour obligation légale (10 ans pour les pièces comptables). Le RT peut demander un export avant résiliation.
Audit
Le RT peut demander un audit de conformité. Celui-ci sera réalisé à frais partagés, sur rendez-vous, et ne doit pas perturber le fonctionnement du service.
Certains sous-traitants ultérieurs sont établis hors de l'Union européenne ou y traitent des données. Ces transferts sont encadrés par les mécanismes suivants, conformément au Chapitre V du RGPD :
| Sous-traitant | Pays | Garantie |
|---|---|---|
| Vercel Inc. | France (Paris · cdg1) | Données traitées en UE — DPA Vercel disponible sur vercel.com/legal/dpa |
| MongoDB Atlas | France — AWS eu-west-3 (Paris) | Données stockées en France ; CCT pour les transferts résiduels — DPA MongoDB disponible sur mongodb.com/legal |
| Backblaze B2 | Pays-Bas — eu-central-003 (Amsterdam) | Données stockées en Europe — DPA Backblaze disponible sur backblaze.com/company/legal |
| Stripe Inc. | États-Unis / UE | CCT UE + Privacy Shield successor — DPA Stripe disponible sur stripe.com/legal/dpa |
| Sentry (Functional Software) | Allemagne / UE | Données hébergées en UE — DPA Sentry disponible sur sentry.io/legal/dpa |
| Anthropic PBC (Claude API) | États-Unis | CCT UE — usage limité à l'import de modèles professionnels (aucune donnée personnelle de tiers transmise) |
* Aucune donnée personnelle d'apprenant ou de famille n'est transmise à Anthropic (voir Politique de Confidentialité, section IA).
| Catégorie | Durée | Sort à l'issue |
|---|---|---|
| Dossiers apprenants | 3 ans | Suppression physique |
| Factures et comptabilité | 10 ans | Anonymisation (obligation légale — Art. L. 123-22 C. com.) |
| Logs techniques | 12 mois | Suppression automatique |
| Compte utilisateur (soft delete) | Jusqu'à expiration des données liées | Anonymisation immédiate + suppression différée de l'enregistrement résiduel |
Pour toute question relative au présent accord, pour exercer vos droits en tant que RT, ou pour signaler un incident de sécurité :
Le Sous-traitant s'engage à répondre dans un délai de 5 jours ouvrés à toute demande DPA.