CONTRAT DE SOUS-TRAITANCE DE DONNÉES PERSONNELLES
Article 28 du Règlement (UE) 2016/679 (RGPD)
Entre les soussignés :
Le Responsable de traitement (ci-après « le RT ») :
Et :
Le Sous-traitant (ci-après « le ST ») :
Ci-après conjointement dénommés « les Parties ».
Préambule
Le RT utilise la solution logicielle Appel Internat (ci-après « la Plateforme »), éditée par le ST, pour assurer le suivi des présences des élèves internes. Dans ce cadre, le ST est amené à traiter des données personnelles pour le compte du RT.
Le présent contrat a pour objet de définir les conditions dans lesquelles le ST s'engage à effectuer les opérations de traitement de données personnelles pour le compte du RT, conformément à l'article 28 du RGPD.
Article 1 — Objet et durée
1.1 Le ST est autorisé à traiter, pour le compte du RT, les données personnelles nécessaires au fonctionnement de la Plateforme Appel Internat.
1.2 Le présent contrat entre en vigueur à la date de sa signature et s'applique pour toute la durée de l'utilisation de la Plateforme par le RT.
Article 2 — Description du traitement
2.1 Nature des opérations de traitement
- Collecte et enregistrement des données via l'interface de la Plateforme
- Stockage en base de données sécurisée
- Accès et consultation par les utilisateurs autorisés
- Génération de récapitulatifs et exports PDF
- Suppression des données en fin de contrat
2.2 Finalité du traitement
Gestion des présences des élèves internes : réalisation des appels du soir, communication interne entre les équipes éducatives (AED, CPE), et production de récapitulatifs de présence.
2.3 Types de données traitées
| Catégorie | Données |
|---|---|
| Comptes utilisateurs | Nom, prénom, adresse email, rôle (AED, CPE, etc.) |
| Élèves | Nom, prénom, niveau scolaire, sexe |
| Appels | Statut de présence (présent/absent), activité sportive pratiquée, raison d'absence |
| Observations | Notes libres saisies par nuit et par groupe |
| Messages | Contenu des messages internes CPE → AED |
| Récapitulatifs | Synthèses quotidiennes des présences |
| Autorisations de sortie | Nom/prénom de l'élève, destination, horaires, numéro de téléphone du responsable (si SMS activé) |
| Suivi infirmerie | Notes médicales libres (PAI, traitements), créneaux de traitement — données de santé (art. 9 RGPD) |
Le module de suivi infirmerie traite des données de santé au sens de l'article 9 du RGPD (notes médicales, traitements). Ce traitement est réalisé pour le compte du RT dans le cadre de ses obligations légales de médecine scolaire (art. 9.2.h RGPD).
2.4 Catégories de personnes concernées
- Élèves internes de l'établissement
- Personnel éducatif (AED, CPE, managers, infirmière, direction)
Article 3 — Obligations du sous-traitant
3.1 Traitement sur instruction documentée
Le ST s'engage à ne traiter les données personnelles que sur instruction documentée du RT. La signature du présent contrat et l'utilisation de la Plateforme constituent les instructions du RT.
Le ST s'engage à informer immédiatement le RT si, selon lui, une instruction constitue une violation du RGPD ou d'autres dispositions de droit de l'Union ou du droit des États membres.
3.2 Confidentialité
Le ST s'engage à garantir que les personnes autorisées à traiter les données sont soumises à des obligations de confidentialité appropriées. L'accès aux données est limité aux personnels strictement habilités.
3.3 Sécurité des données (art. 32 RGPD)
Le ST met en œuvre les mesures techniques et organisationnelles suivantes :
a) Chiffrement et authentification
- Chiffrement des mots de passe : bcrypt avec salt individuel (10 rounds, conforme aux recommandations ANSSI)
- Chiffrement des communications : HTTPS/TLS obligatoire sur toutes les connexions
- Session sécurisée : cookie JWT
HttpOnly,Secure,SameSite=Lax, durée 7 jours - En-têtes de sécurité HTTP : HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy
- Isolation multi-tenant : chaque établissement accède exclusivement à ses propres données
b) Contrôle d'accès et protection réseau
- Accès par rôle (RBAC) : permissions vérifiées côté serveur à chaque appel API
- Rate limiting : 10 tentatives de connexion par IP sur 15 minutes (protection brute-force)
- Validation des entrées : toutes les données sont validées via des schémas stricts (Zod)
c) Sauvegarde et plan de reprise d'activité (PRA)
- Sauvegarde automatique hebdomadaire : export PostgreSQL chaque lundi à 2h UTC, rétention 90 jours
- Infrastructure redondante : Vercel (CDN mondial, rollback instantané) et Supabase (réplication interne)
- RPO : perte de données maximale de 7 jours | RTO : remise en service en moins de 4 heures
d) Disponibilité et SLA
- Vercel : SLA uptime 99,99 % garanti contractuellement
- Supabase : SLA uptime 99,9 % garanti contractuellement
e) Journalisation et traçabilité
- Journaux d'accès : Vercel enregistre tous les appels HTTP, conservés 30 jours
- Actions sensibles tracées : connexions utilisateurs, soumissions d'appel, APIs critiques
3.4 Sous-traitants ultérieurs (art. 28.2 RGPD)
Le RT autorise le ST à faire appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement de l'application web | 🇪🇺 Région cdg1 — Paris, France (UE) |
| Supabase Inc. | Base de données PostgreSQL | 🇪🇺 Région EU (Union européenne) |
| Pusher Ltd. | Notifications temps réel (WebSockets) | 🇪🇺 Cluster eu — Dublin, Irlande (UE) |
| Twilio Inc. | Envoi de SMS (autorisations de sortie) | 🇺🇸 États-Unis — CCT (art. 46 RGPD) |
Vercel, Supabase et Pusher traitent les données exclusivement au sein de l'Union européenne. Twilio (SMS) est établi aux États-Unis — le transfert des numéros de téléphone et du contenu SMS est encadré par des clauses contractuelles types (CCT) conformément à l'article 46 du RGPD. Ce transfert ne concerne que les établissements ayant activé la fonctionnalité SMS pour les autorisations de sortie.
En cas de recours à un nouveau sous-traitant, le ST en informera le RT par email au moins 30 jours à l'avance. Le RT dispose d'un droit d'opposition motivé.
3.5 Assistance pour les droits des personnes
Le ST s'engage à aider le RT à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, limitation, portabilité) dans un délai de 10 jours ouvrés suivant la réception de la demande du RT.
3.6 Assistance pour les obligations du RT
Le ST s'engage à aider le RT à garantir le respect de ses obligations au titre des articles 32 à 36 du RGPD, notamment :
- Notification des violations de données : le ST s'engage à notifier le RT dans les 72 heures après en avoir pris connaissance
- Réalisation d'analyses d'impact relatives à la protection des données (AIPD) si nécessaire
- Consultation préalable de la CNIL si requis
3.7 Suppression des données en fin de contrat
À l'issue de la prestation, le ST s'engage à :
- Supprimer toutes les données personnelles liées au RT dans un délai de 30 jours suivant la fin du contrat
- Supprimer toutes les copies existantes sauf obligation légale de conservation
- Fournir au RT une attestation de suppression sur demande
3.8 Mise à disposition des informations et audits
Le ST s'engage à mettre à disposition du RT toutes les informations nécessaires pour démontrer le respect de ses obligations et à permettre la réalisation d'audits (y compris des inspections) par le RT ou un auditeur mandaté.
Article 4 — Obligations du responsable de traitement
Le RT s'engage à :
- Fournir au ST les données nécessaires à l'exécution de la prestation
- Documenter les instructions données au ST
- Veiller à la conformité RGPD des traitements dont il est responsable
- Informer le ST de tout changement affectant les données traitées
- Informer les personnes concernées du recours au ST (via la politique de confidentialité)
- S'assurer que les utilisateurs de la Plateforme respectent les présentes dispositions
Article 5 — Durée de conservation des données
Les données sont conservées pour la durée d'utilisation de la Plateforme. À titre indicatif :
- Données d'appels et récapitulatifs : 1 an glissant (recommandé)
- Comptes utilisateurs : durée du contrat, supprimés en fin de relation contractuelle
- Données élèves : durée de scolarité + 1 an (recommandé)
Le RT est responsable de la définition et du respect des durées de conservation.
Article 6 — Responsabilité
6.1 Le ST est responsable du traitement des données dans les limites des instructions reçues du RT. En cas de violation résultant d'une instruction du RT, la responsabilité incombe au RT.
6.2 Le ST est responsable des traitements effectués par ses sous-traitants ultérieurs dans les mêmes conditions qu'il l'aurait été lui-même.
Article 7 — Dispositions générales
7.1 Modification : Toute modification du présent contrat doit faire l'objet d'un avenant écrit signé par les deux Parties.
7.2 Droit applicable : Le présent contrat est soumis au droit français et aux dispositions du RGPD.
7.3 Litige : En cas de différend, les Parties s'efforceront de trouver une solution amiable. À défaut, le tribunal compétent est celui du ressort du domicile du défendeur.
7.4 Intégralité : Le présent contrat, ainsi que le contrat principal de prestation de services et les CGU, constituent l'intégralité de l'accord entre les Parties concernant le traitement des données.
Signatures
Fait en deux exemplaires originaux, le : _____ / _____ / 20_____
| Le Responsable de traitement | Le Sous-traitant |
|---|---|
| Établissement : _________________ | Victor Rubia Rodriguez |
| Représenté par : ________________ | Éditeur — Appel Internat |
| Qualité : Chef d'établissement | victor.r.r90@gmail.com |
| Signature Cachet de l'établissement | Signature |
Ce document a été établi conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD) et aux lignes directrices du Comité européen de la protection des données (CEPD).