studiobacstudiobac

Pour les écoles · Confidentialité

DPA — Modèle pour les écoles

Avenant de traitement (Article 28 RGPD) pré-rempli côté studiobac, à signer avec votre établissement avant déploiement.

Mis à jour le .

État : projet (revue juridique en cours)

Ce modèle est en version technique. La validation juridique est en cours auprès d'un cabinet spécialisé en droit français et québécois des données. La version contractuellement opposable sera annoncée sur cette page et notifiée aux DPO inscrits aux notifications de changement de sous-traitant.

Article 1 — Objet

Le présent avenant définit les conditions dans lesquelles studiobac (le sous-traitant) traite les données personnelles des élèves et personnels que l'établissement (le responsable de traitement) confie à studiobac dans le cadre du contrat principal de souscription.

Article 2 — Description du traitement

  • Finalité :fournir à l'élève un accompagnement pédagogique assisté par IA dans le cadre de sa préparation au baccalauréat de français.
  • Catégories de personnes concernées :élèves inscrits par l'établissement.
  • Catégories de données :identité (e-mail, prénom, nom), authentification, contenu pédagogique produit (dissertations, brouillons), interactions avec l'assistant IA, préférences d'interface, métriques d'usage anonymes.
  • Durée du traitement :durée du contrat principal, prolongée des délais fiscaux applicables aux factures (6 ans CRA / 10 ans FR).

Article 3 — Obligations de studiobac

studiobac s'engage à :

  • Traiter les données uniquement sur instruction documentée du responsable.
  • Garantir la confidentialité par des engagements contractuels sur tout le personnel ayant accès aux données.
  • Mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 2.
  • Notifier l'établissement sans délai (et au plus tard 72 heures) en cas de violation de données concernant les élèves.
  • Assister l'établissement dans la réponse aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition, limitation).
  • Restituer ou supprimer toutes les données à la fin du contrat, sur option du responsable (sauf rétention légale fiscale).

Article 4 — Sous-traitance ultérieure

studiobac peut recourir à d'autres sous-traitants pour exécuter le contrat. La liste à jour figure à l'adresse /legal/sous-traitants. Toute modification (ajout, retrait, remplacement) est notifiée par e-mail au DPO de l'établissement au moins 30 jours avant la prise d'effet, ouvrant un droit d'opposition.

Article 5 — Hébergement et transferts

  • État applicatif (Postgres) : hébergé dans l'Union européenne (Francfort).
  • Authentification (Clerk) : option UE en cours de confirmation ; dans tous les cas, encadré par les clauses contractuelles types (SCC).
  • E-mails (Customer.io) : instance UE (track-eu.customer.io), aucun transfert transfrontalier.
  • Analyse produit (PostHog) : instance UE (eu.posthog.com).
  • Modèles d'IA (Anthropic, OpenAI) : appels via Vercel AI Gateway avec accord zéro-rétention (ZDR) — aucune conservation des prompts ni des réponses, même temporairement.

Article 6 — Sécurité (résumé)

Détail complet en Annexe 2. En résumé :

  • Chiffrement en transit (TLS 1.2+) et au repos (AES-256 chez Neon, Upstash, Vercel).
  • Cloisonnement par utilisateur (Row-Level Security côté Postgres).
  • Gestion des secrets en coffre dédié (Doppler), rotation périodique.
  • Journaux d'accès sans PII, rétention courte (≤30 jours côté infrastructure).
  • Tests de régression automatisés sur les chemins d'authentification et de paiement.

Article 7 — Droits des personnes

studiobac met à disposition de l'élève (et de ses représentants légaux) une procédure de libre-service pour la suppression du compte et le retrait des données. Détail : /legal/droits-rgpd. Le délai de réponse est de 30 jours maximum, conformément au RGPD et à la Loi 25.

Article 8 — Audit

L'établissement peut demander un audit documentaire annuel. Sur demande motivée, un audit sur site peut être organisé moyennant un préavis raisonnable. studiobac fournit gracieusement : ROPA, politique de rétention, schéma d'architecture, liste des sous-traitants, et toute attestation de conformité disponible.

Article 9 — Fin du contrat

À la fin du contrat principal, l'établissement choisit : (a) suppression immédiate de toutes les données dans un délai de 30 jours, ou (b) export structuré (JSON/CSV) puis suppression. Les factures sont conservées anonymisées selon les obligations fiscales applicables.

Annexes

  • Annexe 1 — Liste détaillée des sous-traitants ultérieurs (lien permanent vers /legal/sous-traitants).
  • Annexe 2 — Description détaillée des mesures techniques et organisationnelles (fournie sur demande à ecoles@studiobac.com).
  • Annexe 3 — Cartographie de correspondance avec le référentiel CNIL pour la gestion des élèves (lien permanent vers le mapping technique public sur GitHub).

Contact pour signer

Pour engager la procédure de signature, écrire à ecoles@studiobac.com avec, dans le sujet, « DPA — [nom de l'établissement] ».