Accord de traitement des données personnelles
Data Processing Agreement (DPA) — RGPD Article 28
Dernière mise à jour : 27 mars 2026
1. Parties
Le présent accord est conclu entre :
- Le Responsable de traitement : L'établissement scolaire (ci-après « le Client ») qui souscrit aux services EduGame.
- Le Sous-traitant : EduGame, plateforme éducative SaaS (ci-après « EduGame »).
2. Objet du traitement
EduGame traite des données personnelles pour le compte du Client dans le cadre de la fourniture de services de génération d'examens par intelligence artificielle, de suivi de progression scolaire et de gamification éducative.
Finalités du traitement
- Génération d'examens personnalisés (pipeline IA)
- Correction automatique et notation
- Suivi de progression et analytics pédagogiques
- Gestion des classes et des élèves
- Communication enseignant-famille
3. Catégories de données traitées
| Catégorie | Données | Protection |
|---|---|---|
| Identification | Name, email, username | AES-256-GCM |
| Academic | Grades, exam answers, progress | RBAC |
| Technical | IP, session ID, logs | PII redaction |
| Consent | Parental consent (<16) | Audit trail |
4. Personnes concernées
- Élèves (y compris mineurs de moins de 16 ans)
- Enseignants et personnel éducatif
- Parents et représentants légaux
5. Obligations d'EduGame (Sous-traitant)
Conformément à l'article 28 du RGPD, EduGame s'engage à :
- Traiter les données uniquement sur instruction documentée du Client.
- Garantir la confidentialité : tout le personnel ayant accès aux données est soumis à une obligation de confidentialité.
- Mettre en œuvre les mesures de sécurité appropriées (Article 32 RGPD) — voir section 7.
- Ne pas faire appel à un autre sous-traitant sans autorisation préalable écrite du Client — voir section 6.
- Assister le Client dans le respect de ses obligations (droits des personnes, AIPD, notification de violations).
- Supprimer ou restituer les données au terme de la prestation, au choix du Client.
- Mettre à disposition les informations nécessaires pour démontrer le respect du RGPD et contribuer aux audits.
6. Sous-traitants ultérieurs
EduGame fait appel aux sous-traitants ultérieurs suivants, approuvés par le Client :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Neon (PostgreSQL) | Database hosting | EU (AWS eu-central-1) | SOC 2 |
| Google Cloud (Gemini) | AI generation | EU (eu-west) | DPA Google, ISO 27001 |
| Hostinger | Application hosting | EU (Lithuania) | GDPR compliant |
| Resend | Transactional emails | US (DPF certified) | Data Processing Framework |
| Lemon Squeezy | Payments (MoR) | US (DPF certified) | PCI DSS |
| Sentry | Error monitoring | US (DPF certified) | PII redacted |
EduGame informera le Client de tout changement dans la liste des sous-traitants ultérieurs avec un préavis de 30 jours.
7. Mesures de sécurité (Article 32 RGPD)
- Chiffrement : AES-256-GCM pour les PII en base de données. HTTPS/TLS 1.3 pour les données en transit. HSTS avec preload.
- Contrôle d'accès : RBAC à 4 niveaux (élève, enseignant, parent, admin). Sessions signées HttpOnly/Secure. Proxy d'authentification sur toutes les routes privées.
- Pseudonymisation : Les élèves peuvent utiliser un pseudo au lieu de leur email. Les logs sont rédactés (aucune PII en clair).
- Intégrité : Validation Zod sur toutes les entrées. Requêtes SQL paramétrées (zéro injection). Sanitisation DOMPurify contre le XSS.
- Disponibilité : Sauvegardes automatiques Neon (PITR). PM2 avec auto-restart. Scripts de rollback automatisés.
- Tests de sécurité : Analyse statique (Semgrep), scan de secrets (Gitleaks), audit de dépendances (Trivy), scans quotidiens automatisés.
8. Notification de violation
En cas de violation de données personnelles, EduGame s'engage à notifier le Client dans un délai de 48 heures après en avoir pris connaissance. La notification inclura :
- La nature de la violation
- Les catégories et le nombre approximatif de personnes concernées
- Les conséquences probables
- Les mesures prises ou proposées pour y remédier
9. Exercice des droits des personnes
EduGame assiste le Client pour répondre aux demandes d'exercice de droits :
- Droit d'accès (Art. 15) : export des données utilisateur
- Droit de rectification (Art. 16) : modification depuis le profil
- Droit à l'effacement (Art. 17) : suppression complète avec cascade et audit trail
- Droit à la portabilité (Art. 20) : export JSON/CSV des données
- Consentement parental (Art. 8) : système de consentement intégré pour les mineurs de moins de 16 ans
10. Durée, restitution et suppression
Le présent accord est valable pendant toute la durée de la relation contractuelle. À son terme, EduGame s'engage à :
- Restituer l'ensemble des données au Client dans un format standard (JSON/CSV) sous 30 jours.
- Supprimer définitivement toutes les données dans un délai de 60 jours après restitution, sauf obligation légale de conservation.
- Fournir une attestation de destruction sur demande.
11. Audits
Le Client peut procéder ou faire procéder à des audits de conformité RGPD, sous réserve d'un préavis raisonnable de 15 jours ouvrables. EduGame s'engage à coopérer pleinement et à fournir tous les documents nécessaires.
12. Contact
Pour toute question relative au traitement des données personnelles :
Besoin d'une version signée ?
Contactez-nous à [email protected] pour obtenir une version PDF du DPA à signer entre votre établissement et EduGame.