Accord de Traitement de Données (DPA)

Contrat de sous-traitance au sens de l'article 28 du RGPD

Document contractuel - Template à adapter pour chaque établissement/académie

ENTRE :

Le Responsable de traitement (ci-après "le Responsable") :

[Nom de l'établissement / académie / collectivité]

Représenté par : [Nom, qualité]

Adresse : [Adresse]

ET

Le Sous-traitant (ci-après "Ed.ai") :

ED.AI SAS

Représentée par : Jonathan Banon, en qualité de Président

Siège social : 30 rue Chevreul, 69007 Lyon

SIRET : 93258008700017

Ci-après dénommés individuellement une "Partie" et collectivement les "Parties".

Article 1 - Objet

Le présent accord définit les conditions dans lesquelles Ed.ai, en sa qualité de sous-traitant, traite des données à caractère personnel pour le compte du Responsable dans le cadre de la fourniture du service Ed.ai (assistant pédagogique IA d'aide à la correction, à l'analyse des apprentissages et à la remédiation).

Le présent accord complète les Conditions Générales d'Utilisation du service Ed.ai et prévaut en cas de contradiction.

Article 2 - Description du traitement

*Nature du traitement* : Analyse de copies d'élèves par IA, production de corrections, analyses de compétences et activités de remédiation

*Finalité* : Assister les enseignants dans la correction, le suivi des apprentissages et la différenciation pédagogique

*Types de données* : Identité des élèves (nom, prénom, classe ou identifiant GAR pseudonymisé), productions scolaires (copies), résultats (notes, compétences), activités générées

*Catégories de personnes* : Élèves du secondaire (mineurs), enseignants

*Durée du traitement* : Durée du contrat de service entre le Responsable et Ed.ai

Article 3 - Obligations d'Ed.ai

Ed.ai s'engage à :

3.1 Instructions documentées

Traiter les données uniquement sur instruction documentée du Responsable, y compris en ce qui concerne les transferts de données hors UE, sauf obligation légale.

3.2 Confidentialité

Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.

3.3 Sécurité

Mettre en oeuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :

  • Chiffrement des données en transit (TLS) et au repos.

  • Hébergement en France chez un prestataire certifié.

  • Contrôle d'accès granulaire et principe de moindre privilège.

  • Journalisation des accès.

  • Sauvegardes quotidiennes.

  • Tests de sécurité périodiques.

Le détail des mesures est consultable sur ed.ai/data-privacy-fr/securite.

3.4 Sous-traitance ultérieure

Ne pas recruter de sous-traitant ultérieur sans l'autorisation écrite préalable, générale ou spécifique, du Responsable.

En cas d'autorisation générale, Ed.ai informe le Responsable de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs, donnant ainsi au Responsable la possibilité d'émettre des objections.

La liste actuelle des sous-traitants ultérieurs est disponible sur ed.ai/data-privacy-fr/sous-traitants.

Ed.ai impose à ses sous-traitants ultérieurs les mêmes obligations que celles prévues au présent accord.

3.5 Engagements spécifiques relatifs à l'IA

Ed.ai s'engage en particulier à :

  • Ne pas utiliser les données du Responsable (copies, résultats, analyses) pour entraîner, affiner ou améliorer des modèles d'intelligence artificielle, qu'ils soient propriétaires ou tiers.

  • Garantir la non-rétention des données par ses fournisseurs d'IA au-delà du temps strictement nécessaire au traitement de chaque requête.

  • Pseudonymiser les données identifiantes avant transmission aux moteurs d'IA lorsque c'est techniquement possible.

  • Maintenir une supervision humaine : aucun résultat produit par l'IA n'est communiqué à un élève sans validation préalable de l'enseignant.

3.6 Assistance au Responsable

Assister le Responsable, dans la mesure du possible, pour :

  • Répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, etc.).

  • Respecter ses obligations en matière de sécurité, de notification de violation, d'AIPD et de consultation préalable de la CNIL.

3.7 Notification des violations

Notifier le Responsable dans les meilleurs délais (et au plus tard 48 heures) après avoir pris connaissance d'une violation de données personnelles, en fournissant les informations nécessaires pour permettre au Responsable de remplir ses propres obligations de notification.

3.8 Sort des données en fin de contrat

Au choix du Responsable, à l'issue du contrat :

  • Restituer toutes les données personnelles au Responsable dans un format structuré et couramment utilisé, et supprimer les copies existantes, ou

  • Supprimer toutes les données personnelles et certifier cette suppression par écrit.

Sauf obligation légale de conservation.

3.9 Audit

Mettre à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent accord, et contribuer aux audits et inspections réalisés par le Responsable ou un auditeur mandaté.

Article 4 - Obligations du Responsable

Le Responsable s'engage à :

  • Documenter par écrit toute instruction concernant le traitement des données par Ed.ai.

  • Veiller à ce que le traitement repose sur une base légale appropriée.

  • Informer les personnes concernées (élèves, représentants légaux) du traitement de leurs données conformément aux articles 13 et 14 du RGPD.

  • Exercer son droit d'audit dans des conditions raisonnables (préavis, horaires, confidentialité des informations obtenues).

Article 5 - Transferts hors UE

Les données ne font l'objet d'aucun transfert en dehors de l'Espace économique européen. Tous les fournisseurs de services (hébergement, LLM, email) opèrent en région UE.

Article 6 - Durée

Le présent accord est conclu pour la durée du contrat de service entre le Responsable et Ed.ai. Les obligations de confidentialité et de suppression des données survivent à la résiliation.

Article 7 - Droit applicable et juridiction

Le présent accord est régi par le droit français. En cas de litige, les Parties s'engagent à rechercher une solution amiable avant de saisir les tribunaux compétents.

Annexe A - Sous-traitants ultérieurs autorisés

Microsoft Azure (Microsoft Ireland Operations Limited)

Description : Hébergement serveurs et BDD (France Central / Europe)

France / UE

Certifications Azure (ISO 27001, 27017, 27018, SOC 1/2/3), conformité RGPD

Azure OpenAI / Azure Claude / Azure Mistral

Description : Traitement IA des copies, analyses, remédiation

UE

DPA Microsoft Azure, non-rétention, non-entraînement

Mandrill (Mailchimp / Intuit)

Description : Emails transactionnels et newsletters

UE

DPA Mailchimp

HubSpot (HubSpot Inc.)

Description : CRM et prospection commerciale

UE

DPA HubSpot

Pylon (usepylon.com)

Description : Support technique (gestion des tickets)

UE

DPA Pylon

Sentry (Functional Software Inc.)

Description : Monitoring des erreurs applicatives

UE

DPA Sentry

Annexe B - Mesures de sécurité techniques et organisationnelles

Voir le document "Sécurité des Données" publié sur ed.ai/data-privacy-fr/securite, incorporé par référence au présent accord.

Signatures

Pour le Responsable :

Nom : _____

Qualité : _____

Date : _____

Signature : _____

Pour Ed.ai :

Nom : _____

Qualité : _____

Date : _____

Signature : _____