Parties
Entre :
Jean-Luke-Junior Delhaise, entrepreneur individuel, SIRET 802 926 022 00038
36 Rue Notre-Dame, 08600 Givet, France
Email : contact@altrisconseil.fr
Ci-après dénommé « le Sous-traitant » ou « Kursio ».
Et :
L'association ou entité souscrivant un abonnement Kursio, ci-après dénommée « le Responsable de traitement » ou « le Client ».
Ensemble dénommés « les Parties ».
Article 1. Objet et durée
Le présent Accord de traitement de données (DPA) formalise les conditions dans lesquelles Kursio traite des données à caractère personnel pour le compte du Client, dans le cadre de la fourniture du service Kursio, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
Le présent DPA entre en vigueur à la date de souscription de l'abonnement et demeure en vigueur pour toute la durée du contrat de service, y compris toute période d'essai.
Article 2. Nature et finalités du traitement
Kursio traite, pour le compte du Client, les données personnelles strictement nécessaires à la fourniture du service SaaS décrit dans les CGV, à savoir :
- Gestion des membres de l'association (administrateurs, professeurs, parents),
- Gestion des élèves (y compris les mineurs et leurs données pédagogiques),
- Planification et suivi des cours et sessions,
- Messagerie interne entre membres,
- Stockage et partage de documents,
- Suivi du paiement des cotisations,
- Envoi de notifications push et emails transactionnels.
Article 3. Catégories de personnes concernées et de données
| Personnes concernées | Catégories de données |
|---|---|
| Administrateurs et professeurs | Email, nom, rôle, avatar, historique d'activité |
| Parents | Email, nom, rôle, tokens de communication |
| Élèves (majoritairement mineurs) | Nom, date de naissance, photo, besoins spécifiques (données de santé éventuelles), données pédagogiques complètes |
| Visiteurs du site marketing | Données de navigation, cookies (sous réserve de consentement) |
Article 4. Obligations du Sous-traitant
Kursio s'engage à :
- Ne traiter les données personnelles que sur instruction documentée du Client (configuration et utilisation de la plateforme) ;
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
- Mettre en œuvre les mesures de sécurité appropriées (cf. article 32 RGPD) : chiffrement, contrôle d'accès RLS, journalisation, sauvegardes ;
- Ne pas recruter de sous-traitants ultérieurs sans en informer le Client préalablement ;
- Aider le Client à respecter les droits des personnes concernées (accès, rectification, effacement, portabilité) ;
- Supprimer ou restituer toutes les données personnelles à l'issue du contrat ;
- Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent article ;
- Notifier le Client dans les 72 heures de toute violation de données le concernant.
Article 5. Obligations du Responsable de traitement
Le Client s'engage à :
- Ne soumettre à Kursio que des données collectées légalement et pour des finalités déterminées ;
- Obtenir les consentements nécessaires auprès des personnes concernées, notamment pour les données de santé des élèves et les données relatives aux mineurs ;
- Informer les personnes concernées de l'existence du présent DPA et des transferts vers Kursio ;
- Ne pas saisir dans la plateforme des données dont le traitement serait interdit par la réglementation applicable.
Article 6. Sous-traitants ultérieurs
Le Client autorise Kursio à faire appel aux sous-traitants ultérieurs suivants, qui traitent des données personnelles dans le cadre du service :
| Sous-traitant | Service | Localisation | Garantie RGPD |
|---|---|---|---|
| Supabase Inc. | Base de données et stockage | Frankfurt EU (Allemagne) | DPA + SCC |
| Vercel Inc. | Hébergement et serverless | USA + edge UE | DPA + SCC |
| Resend Inc. | Emails transactionnels | USA | DPA + SCC |
| Stripe Inc. | Paiement (abonnement) | USA + Irlande | DPA + SCC |
| Apple (APNS) | Notifications push iOS | USA / UE | Conditions Apple Developer |
| Google (FCM) | Notifications push Android | USA | SCC (Firebase) |
Kursio notifiera le Client de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de 30 jours. Le Client peut s'opposer à un tel changement en résiliant son abonnement sans pénalité.
Article 7. Transferts hors Union européenne
Tous les transferts de données vers des entités établies hors de l'Union européenne sont encadrés par des Clauses Contractuelles Types (SCC) adoptées par la Commission européenne, conformément à l'article 46 RGPD.
Article 8. Accès support et audit
Tout accès des équipes Kursio aux données du Client dans le cadre du support technique est :
- Conditionné à la saisie préalable d'un motif obligatoire ;
- Tracé dans le journal d'audit de manière immuable ;
- Limité aux données opérationnelles nécessaires (voir Article 6 de la Politique de confidentialité) ;
- Excluant les messages privés, documents uploadés, données de santé et dates de naissance des mineurs.
Le Client peut demander la communication des entrées du journal d'audit le concernant à tout moment.
Article 9. Procédure de fin de contrat
À l'issue du contrat (résiliation ou non-renouvellement), Kursio procède comme suit :
- Suspension immédiate de l'accès à la plateforme,
- Notification par email aux administrateurs avec la date de suppression définitive (7 jours),
- Suppression définitive et irréversible de l'ensemble des données dans un délai de 7 jours,
- Conservation des entrées du journal d'audit sous forme anonymisée pendant 3 ans,
- Envoi d'un email de confirmation de suppression.
Article 10. Droit applicable
Le présent DPA est soumis au droit français. En cas de litige, les Parties s'engagent à rechercher une solution amiable avant tout recours contentieux. À défaut, les tribunaux de Charleville-Mézières (France) seront seuls compétents.
Article 11. Signatures
Pour le Sous-traitant (Kursio)
Jean-Luke-Junior Delhaise
EI — SIRET 802 926 022 00038
Date : _____________
Signature : _____________
Pour le Responsable de traitement (Client)
Nom et prénom : _____________
Qualité : _____________
Date : _____________
Signature : _____________
Pour formaliser la signature du présent DPA, contactez contact@altrisconseil.fr.