edu-kit

Accord de traitement des données (DPA)

Version 1.0.0  |  Conforme à l'article 28 du RGPD  |  Mise à jour : 14 juin 2026

Sommaire
  1. Préambule
  2. 1. Objet et durée
  3. 2. Nature et finalités
  4. 3. Catégories de données
  5. 4. Obligations d'edu-kit
  6. 5. Obligations de l'établissement
  7. 6. Transferts hors UE
  8. 7. Droit applicable

Préambule

Le présent accord (« DPA ») encadre le traitement par edu-kit (« le Sous-traitant ») des données personnelles des utilisateurs finaux (élèves, enseignants) pour le compte de l'établissement client (« le Responsable de traitement »). Il complète les CGU et la politique de confidentialité et prévaut sur les CGU pour le traitement des données des utilisateurs finaux.

1. Objet et durée

Le DPA prend effet à son acceptation par l'administrateur d'établissement et reste en vigueur pendant toute la durée du contrat de service, sous réserve des obligations de conservation.

2. Nature et finalités

edu-kit traite les données des utilisateurs finaux aux seules fins de fourniture du service :

  • gestion des comptes utilisateurs et contrôle d'accès ;
  • authentification et provisionnement des environnements ;
  • audit et traçabilité à des fins de sécurité ;
  • support technique.

Tout traitement à d'autres fins est interdit sauf instruction écrite du Responsable de traitement.

3. Catégories de données

CatégorieDonnées
IdentificationNom, prénom, identifiant de compte
ContactAdresse email
RôleProfil, groupe, promotion
ConnexionDate, heure et adresse IP de connexion

Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée dans le cadre du service.

4. Obligations d'edu-kit

  • Traiter les données uniquement sur instruction documentée du Responsable de traitement.
  • Garantir la confidentialité des personnes autorisées à traiter les données.
  • Mettre en œuvre des mesures de sécurité : chiffrement (transit et repos), RBAC au moindre privilège, authentification centralisée, isolation par tenant, journalisation, sauvegardes.
  • Assister le Responsable de traitement pour les demandes d'exercice de droits, sous 5 jours ouvrés.
  • Notifier toute violation de données dans les 48 heures suivant sa prise de connaissance.
  • Supprimer les données des utilisateurs finaux dans un délai de 30 jours à l'expiration du DPA.
  • Encadrer tout sous-traitant ultérieur par des obligations équivalentes et notifier tout changement avec un préavis de 30 jours.

5. Obligations de l'établissement

  • Fournir des instructions documentées et licites.
  • Informer les utilisateurs finaux du traitement et recueillir leur consentement le cas échéant.
  • Veiller à l'exactitude des données transmises.
  • Ne pas transmettre de données sensibles sans accord préalable écrit.

6. Transferts hors UE

Aucun transfert hors de l'Espace Économique Européen n'est effectué sans l'accord préalable du Responsable de traitement et la mise en place de garanties appropriées (articles 44 à 49 du RGPD).

7. Droit applicable

Le présent DPA est soumis au droit français et aux dispositions du RGPD.

Document établi conformément à l'article 28 du RGPD. La version contractuelle complète est remise à l'établissement lors de la souscription.

Retour à l'accueil