À l'attention du Délégué à la Protection des Données (DPO) ou du Directeur d'école :
ce document formalise la relation de sous-traitance entre Outils Pour La Classe et votre établissement, conformément à l'article 28 du RGPD. Il peut être présenté en l'état, ou complété et signé par les deux parties si votre académie le demande.
1. Identification des parties
2. Objet et durée du traitement
2.1 Objet
Le sous-traitant met à disposition de l'enseignant et de l'établissement une plateforme web pédagogique permettant la création de fiches d'exercices, la gestion d'une classe et le suivi des progrès des élèves.
2.2 Durée
L'accord prend effet à la première utilisation de la plateforme par un enseignant rattaché à l'établissement, et reste applicable tant qu'au moins un compte enseignant lié à l'établissement est actif. Il prend fin avec la suppression du dernier compte ou sur demande écrite du responsable de traitement.
2.3 Nature et finalités du traitement
- Création et gestion de comptes élèves par l'enseignant
- Stockage de progrès pédagogiques (résultats d'exercices, badges, niveaux)
- Génération de fiches d'exercices différenciées (mathématiques, français, sciences, etc.)
- Calcul de statistiques de classe à des fins de différenciation pédagogique
3. Données traitées et personnes concernées
| Catégorie de personnes | Données traitées |
|---|
| Élèves |
Prénom, nom (facultatif), pseudonyme, niveau scolaire, progrès pédagogiques, indicateurs fonctionnels d'adaptation (police lisible, taille de texte, lignes colorées, temps majoré). |
| Enseignants |
Email, nom, niveau enseigné, paramètres de classe. |
Aucune donnée de santé n'est stockée en clair. Les indicateurs fonctionnels d'adaptation (par ex. police OpenDyslexic activée) ne nomment aucun diagnostic médical.
4. Obligations du sous-traitant
Conformément à l'article 28.3 du RGPD, le sous-traitant s'engage à :
- Traiter les données uniquement sur instructions documentées du responsable de traitement, y compris en matière de transferts de données hors UE (auxquels il ne procède pas — cf. §6).
- Veiller à la confidentialité des personnes autorisées à traiter les données (le sous-traitant étant un acteur unique, cet engagement le lie personnellement).
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) : chiffrement des mots de passe (Argon2id), authentification 2FA, headers HTTPS/HSTS/CSP stricts, audit OWASP, sauvegardes chiffrées, accès cloisonné par compte enseignant, hébergement en France (O2switch).
- Aider le responsable à donner suite aux demandes d'exercice des droits des personnes (accès, rectification, effacement, portabilité, opposition).
- Notifier toute violation de données dans un délai maximum de 24 heures après en avoir pris connaissance, par email à l'adresse fournie par le responsable, avec les éléments prévus à l'article 33.3 RGPD.
- Tenir un registre des activités de traitement effectuées pour le compte du responsable (article 30.2 RGPD) — disponible publiquement à /mes-eleves/registre-traitements.
- Mettre à disposition les informations nécessaires pour démontrer la conformité, et permettre la réalisation d'audits, sur demande du responsable.
- Supprimer ou restituer les données à la fin du contrat, au choix du responsable, sauf obligation légale de conservation.
5. Sous-traitants ultérieurs autorisés
Le responsable de traitement autorise le sous-traitant à recourir aux sous-traitants ultérieurs suivants :
| Prestataire | Finalité | Localisation |
|---|
| O2switch |
Hébergement web et base de données |
France (Auvergne) |
| Stripe Payments Europe Ltd |
Traitement des paiements (utilisateurs payants uniquement) |
Irlande (UE) |
| Sentry (Functional Software, Inc.) |
Détection d'erreurs techniques (anonymisées) |
UE (instance européenne contractuelle) |
Le sous-traitant informera le responsable par email de tout changement (ajout, remplacement) de sous-traitant ultérieur au moins 30 jours avant sa mise en œuvre, permettant au responsable d'émettre des objections motivées.
6. Transferts hors UE
Aucun transfert de données personnelles hors de l'Union européenne n'est réalisé dans le cadre de l'utilisation normale de la plateforme.
7. Sécurité — mesures techniques et organisationnelles
- Chiffrement TLS 1.3 sur l'ensemble des connexions (HSTS preload)
- Hashage des mots de passe (Argon2id, coût ≥ 12)
- Authentification à deux facteurs (TOTP + WebAuthn)
- Headers de sécurité conformes OWASP : CSP stricte, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
- Rate limiting sur les endpoints sensibles, protection CSRF
- Sauvegardes chiffrées quotidiennes de la base de données, conservées en France
- Tests automatisés (~32 600 tests PHPUnit) et analyse statique (PHPStan niveau 8, Psalm niveau 4)
- Une analyse d'impact (AIPD) est tenue à jour : /mes-eleves/aipd
8. Durées de conservation
- Données élèves : année scolaire en cours + 1 an, puis suppression ou anonymisation
- Comptes enseignants inactifs : 3 ans, puis email d'avertissement et suppression à 4 ans
- Logs techniques : 12 mois maximum
- Données de paiement : 10 ans (obligation légale comptable)
9. Droits des personnes concernées
Les élèves (via leurs parents, pour les mineurs) et les enseignants disposent des droits prévus aux articles 15 à 22 du RGPD : accès, rectification, effacement, limitation, portabilité, opposition. Ces droits s'exercent en priorité auprès de l'enseignant ou de l'établissement (responsable de traitement). Le sous-traitant apporte son assistance technique sous 30 jours pour les demandes ne pouvant être traitées localement.
10. Signatures
Responsable de traitement
Établissement :
Représenté par :
Date :
Signature :
Sous-traitant
Outils Pour La Classe
Boisnel Anthony
Date : 10/05/2026
Signature :