Contrat de sous-traitance des données personnelles (DPA)

Préambule

Le présent contrat de sous-traitance (ci-après « DPA ») est conclu conformément à l’article 28 du Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) entre :

Le Responsable de traitement : l’école ou l’établissement client de Scolarium (ci-après « le Client »)

Le Sous-traitant : Scolarium SAS, SAS au capital de 1 000 euros, immatriculée au RCS de Versailles sous le numéro 102 868 502, dont le siège social est situé 38 rue G. Lenôtre, 78120 Rambouillet (ci-après « Scolarium »)

Le présent DPA fait partie intégrante des conditions générales d’utilisation et des conditions générales de vente. Il s’applique dès lors que Scolarium traite des données personnelles pour le compte du Client dans le cadre de l’utilisation du Service.

Article 1 — Objet et durée du traitement

Scolarium traite des données personnelles pour le compte du Client dans le cadre de la fourniture de sa plateforme de gestion scolaire en ligne (SaaS).

Le traitement débute à la date de souscription au Service et prend fin à la suppression effective des données après résiliation, conformément aux durées de conservation prévues à l’article 9.

Article 2 — Nature et finalité du traitement

Scolarium traite les données personnelles du Client uniquement pour les finalités suivantes :

  • Gestion administrative des élèves, familles et inscriptions
  • Suivi pédagogique (programmes, évaluations, bulletins)
  • Facturation et gestion financière
  • Gestion des ressources humaines de l’école
  • Communication entre l’école, les enseignants et les familles
  • Support technique et maintenance de la plateforme
  • Sauvegarde et restauration des données

Scolarium ne traite les données personnelles que sur instruction documentée du Client et ne les utilise à aucune autre fin.

Article 3 — Catégories de données traitées

Les données personnelles traitées par Scolarium pour le compte du Client comprennent :

Données des élèves :

  • État civil : nom, prénom, date de naissance, sexe, nationalité
  • Informations scolaires : classe, inscriptions, présences, évaluations, bulletins
  • Informations médicales (le cas échéant) : allergies, protocoles d’accueil individualisés
  • Photo d’identité (si fournie par le Client)

Données des responsables légaux :

  • Nom, prénom, lien de parenté
  • Adresse postale, email, téléphone
  • Données de facturation (adresse, historique de paiements)

Données du personnel de l’école :

  • Nom, prénom, email professionnel, téléphone
  • Fonction, emploi du temps
  • Données contractuelles et de paie (si module RH activé)

Données techniques :

  • Identifiants de connexion, historique de connexion
  • Adresses IP, journaux d’activité

Article 4 — Catégories de personnes concernées

  • Élèves de l’école (y compris mineurs)
  • Responsables légaux et familles
  • Personnel de l’école (enseignants, administratifs, direction)
  • Tout autre utilisateur disposant d’un compte sur la plateforme

Article 5 — Obligations de Scolarium en tant que sous-traitant

Scolarium s’engage à :

a) Instruction du Client — traiter les données personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données hors UE. Si Scolarium est tenu par le droit de l’Union ou d’un État membre de procéder à un transfert, il en informe le Client préalablement, sauf interdiction légale. Scolarium informe immédiatement le Client si, selon son appréciation, une instruction du Client constitue une violation du RGPD ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

b) Confidentialité — veiller à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.

c) Sécurité — mettre en oeuvre les mesures techniques et organisationnelles appropriées (article 6) pour garantir un niveau de sécurité adapté au risque.

d) Sous-traitance ultérieure — respecter les conditions de l’article 7 pour le recours à tout sous-traitant ultérieur.

e) Assistance — aider le Client à répondre aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

f) Assistance complémentaire — aider le Client à garantir le respect de ses obligations en matière de sécurité, de notification des violations, d’analyse d’impact (AIPD) et de consultation préalable de la CNIL.

g) Restitution et suppression — au choix du Client, supprimer ou restituer toutes les données personnelles au terme de la prestation, et détruire les copies existantes, sauf obligation légale de conservation.

h) Audit — mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent article et permettre la réalisation d’audits (article 8).

Article 6 — Mesures de sécurité

Scolarium met en oeuvre les mesures techniques et organisationnelles suivantes, conformément à l’article 32 du RGPD :

Sécurité de l’infrastructure :

  • Hébergement en France auprès de Scaleway SAS (Paris)
  • Chiffrement des données en transit (TLS 1.3)
  • Chiffrement des données au repos (AES-256)
  • Sauvegardes quotidiennes chiffrées avec rétention de 30 jours
  • Redondance géographique des sauvegardes

Contrôle d’accès :

  • Authentification par mot de passe fort avec politique de complexité
  • Authentification multi-facteurs (MFA) disponible pour les comptes administrateurs
  • Gestion des rôles et permissions granulaire
  • Isolation des données entre écoles (architecture multi-tenant sécurisée)
  • Journalisation des accès et des actions sensibles

Sécurité organisationnelle :

  • Accès aux données de production limité au personnel strictement nécessaire
  • Politique de gestion des incidents de sécurité
  • Mises à jour régulières des composants logiciels et gestion des correctifs de sécurité
  • Tests de sécurité périodiques (tests d’intrusion annuels, scans de vulnérabilités)
  • Plan de continuité d’activité (PCA) et procédure de restauration rapide

Article 7 — Sous-traitants ultérieurs

Scolarium fait appel aux sous-traitants ultérieurs suivants :

Sous-traitantRôleLocalisation des données
Scaleway SASHébergement et infrastructureFrance (Paris)

Le Client autorise Scolarium à faire appel à ces sous-traitants ultérieurs dans le cadre du présent contrat.

Ajout d’un sous-traitant : Scolarium informe le Client par email de tout ajout ou remplacement d’un sous-traitant ultérieur au moins 30 jours avant la mise en oeuvre du changement. Le Client dispose de ce délai pour émettre une objection motivée. En cas d’objection légitime, Scolarium propose une solution alternative ou le Client peut résilier le contrat.

Scolarium impose contractuellement à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles prévues au présent DPA. Les sous-traitants ultérieurs n’ont accès qu’aux données strictement nécessaires à l’exécution de leur mission.

Scolarium demeure pleinement responsable devant le Client de l’exécution par ses sous-traitants ultérieurs de leurs obligations en matière de protection des données personnelles, conformément à l’article 28(4) du RGPD.

Article 8 — Audits

Le Client peut réaliser ou faire réaliser par un auditeur externe des audits de conformité au présent DPA, sous réserve de :

  • Notifier Scolarium au moins 30 jours à l’avance
  • Planifier l’audit pendant les jours ouvrés
  • Limiter la fréquence à un audit par an, sauf en cas de violation de données
  • Assurer la confidentialité des informations obtenues

Scolarium met à disposition les documents nécessaires (registre des traitements, politiques de sécurité, certifications) pour faciliter l’audit. Les frais de l’audit sont à la charge du Client.

Article 9 — Durée de conservation et restitution des données

Pendant le contrat : les données sont conservées et accessibles pendant toute la durée de l’abonnement.

À la résiliation : conformément à l’article 28(3)(g) du RGPD, Scolarium procède, au choix du Client :

  • À la restitution de l’intégralité des données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON), suivie de leur suppression sécurisée dans un délai de 30 jours
  • À la suppression immédiate et sécurisée de toutes les données dans un délai de 30 jours

Si le Client en fait la demande expresse, les données peuvent être conservées pour une durée maximale de 12 mois après la résiliation afin de permettre une éventuelle réactivation. Passé ce délai, ou en l’absence de demande de conservation, les données sont supprimées de manière irréversible. Un certificat de destruction est fourni sur demande.

Obligations légales : les données de facturation sont conservées 10 ans conformément aux obligations comptables et fiscales.

Article 10 — Notification des violations de données

En cas de violation de données personnelles au sens de l’article 33 du RGPD, Scolarium s’engage à :

  1. Notifier le Client dans un délai maximum de 48 heures après avoir pris connaissance de la violation
  2. Fournir les informations suivantes :
    • La nature de la violation (catégories et nombre de personnes et d’enregistrements concernés)
    • Le nom et les coordonnées du DPO ou du point de contact
    • Les conséquences probables de la violation
    • Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets
  3. Collaborer avec le Client pour respecter ses obligations de notification à la CNIL (72 heures) et aux personnes concernées
  4. Documenter toute violation dans un registre interne

Article 11 — Transferts de données hors UE

Scolarium ne transfère aucune donnée personnelle en dehors de l’Union Européenne ou de l’Espace Économique Européen.

L’ensemble des données est hébergé et traité exclusivement en France. Aucun accès aux données personnelles n’est effectué depuis un pays situé en dehors de l’Union Européenne ou de l’Espace Économique Européen, y compris pour les opérations de maintenance, de support technique ou d’administration.

En cas de nécessité de transfert ultérieur, Scolarium en informe le Client préalablement et met en place les garanties appropriées (clauses contractuelles types de la Commission européenne ou décision d’adéquation).

Article 12 — Protection des données de mineurs

Scolarium reconnaît que les données traitées dans le cadre du Service concernent en grande partie des mineurs, qui méritent une protection spécifique au titre du considérant 38 du RGPD. À ce titre, Scolarium s’engage à :

  • Appliquer le principe de minimisation des données de manière renforcée pour les données de mineurs
  • Ne jamais utiliser les données de mineurs à des fins de profilage, de marketing ou de prise de décision automatisée
  • Mettre en oeuvre des mesures de sécurité renforcées pour ces données
  • Signaler au Client toute demande d’accès aux données émanant de tiers concernant des mineurs
  • Supprimer les données des mineurs dans les meilleurs délais lorsque le Client en fait la demande

En cas de violation de données impliquant des données de mineurs, Scolarium s’efforce de notifier le Client dans les meilleurs délais et au plus tard dans les 24 heures suivant la prise de connaissance de la violation.

Article 13 — Registre des activités de traitement

Conformément à l’article 30(2) du RGPD, Scolarium tient un registre écrit de toutes les catégories d’activités de traitement effectuées pour le compte du Client, comprenant : les coordonnées du sous-traitant et du Client, les catégories de traitements effectués, le cas échéant les transferts de données vers un pays tiers, et une description générale des mesures de sécurité techniques et organisationnelles. Ce registre est tenu à la disposition de la CNIL sur demande.

Article 14 — Analyse d’impact (AIPD)

Compte tenu de la nature du traitement (données de mineurs, traitement à grande échelle), le Client est susceptible d’être tenu de réaliser une analyse d’impact relative à la protection des données (AIPD) conformément à l’article 35 du RGPD. Scolarium s’engage à fournir au Client toute information et assistance nécessaires à la réalisation de cette AIPD, y compris la description des mesures de sécurité techniques et organisationnelles mises en oeuvre, la nature des données traitées, et les risques identifiés.

Article 15 — Protection des données dès la conception

Scolarium s’engage à mettre en oeuvre les principes de protection des données dès la conception et par défaut (article 25 du RGPD) dans le développement et la maintenance de la plateforme.

Article 16 — Délégué à la protection des données

DPO de Scolarium : dpo@scolarium.fr

Le DPO est le point de contact pour toute question relative à la protection des données personnelles dans le cadre du présent contrat.

Article 17 — Sort du contrat

Le présent DPA prend effet à la date de souscription au Service et reste en vigueur tant que Scolarium traite des données personnelles pour le compte du Client.

Les obligations de confidentialité et de sécurité survivent à la fin du contrat.

Article 18 — Droit applicable

Le présent contrat est soumis au droit français et au RGPD. En cas de litige, les tribunaux de Versailles sont seuls compétents.

Dernière mise à jour : mars 2026