Accord de Traitement de Données (DPA)¶
Document modèle
Ce document est un modèle d'Accord de Traitement de Données fourni par Eden Studio en application des règlementations RGPD (EU 2016/679) et CNPDCP (loi camerounaise n° 2010/012). Il doit être validé par un avocat spécialisé en protection des données avant signature.
Version : 1.0 Date d'effet : 1er septembre 2026 Dernière mise à jour : 18 juin 2026
Préambule¶
Le présent Accord de Traitement de Données (ci-après le « DPA » ou « Accord ») est conclu entre :
- Le Responsable de Traitement : l'Établissement scolaire ayant souscrit aux Services Argon Education (ci-après « le Responsable » ou « le Client »).
- Le Sous-traitant : la société Eden Studio SARL éditant la Plateforme Argon Education (ci-après « le Sous-traitant » ou « Argon »).
Le présent DPA fait partie intégrante des Conditions Générales de Vente (CGV) liant les parties et s'applique en complément du Contrat principal.
En cas de contradiction entre le DPA et les autres documents contractuels, le DPA prévaut pour ce qui concerne le traitement des données personnelles.
Article 1 — Définitions¶
Les termes utilisés dans le présent DPA ont la signification suivante :
- « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable
- « Traitement » : toute opération effectuée sur des Données personnelles (collecte, enregistrement, conservation, modification, communication, suppression)
- « Responsable de traitement » : la personne morale qui détermine les finalités et les moyens du traitement
- « Sous-traitant » : la personne morale qui traite des Données personnelles pour le compte du Responsable
- « Personne concernée » : la personne physique dont les Données sont traitées (élève, parent, enseignant, autre utilisateur)
- « Violation de Données » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données personnelles
- « Sous-traitant ultérieur » : un sous-traitant employé par le Sous-traitant pour effectuer une activité de traitement spécifique au nom du Responsable
Article 2 — Objet et durée¶
2.1 Objet¶
Le présent DPA définit les conditions dans lesquelles le Sous-traitant traite les Données personnelles pour le compte du Responsable, dans le cadre de la fourniture des Services Argon Education.
2.2 Durée¶
Le DPA prend effet à la signature des CGV et reste en vigueur tant que le Sous-traitant traite des Données personnelles pour le compte du Responsable.
À la résiliation du contrat principal, les obligations du DPA continuent de s'appliquer pendant la phase de restitution / suppression des données (cf article 12).
Article 3 — Description du traitement¶
3.1 Nature du traitement¶
Le Sous-traitant héberge et exploite la Plateforme Argon Education pour le compte du Responsable. Cela comprend :
- L'hébergement de la base de données
- Le traitement des requêtes utilisateurs
- L'envoi de notifications (email, push)
- Les sauvegardes automatiques
- La maintenance technique
- Le support utilisateurs
3.2 Finalités du traitement¶
Les Données sont traitées exclusivement pour les finalités suivantes :
- Gestion scolaire : inscriptions, classes, emplois du temps, notes, bulletins, présences
- Communication : messagerie interne, annonces, notifications
- Finances : facturation, paiements, reçus, échéanciers
- Modules métier : boutique, transport, cantine, infirmerie
- Sécurité : authentification, audit log, détection d'anomalies
- Support technique : assistance aux utilisateurs
Le Sous-traitant ne traite PAS les Données pour :
- Des finalités publicitaires
- La revente à des tiers
- L'entraînement de modèles d'intelligence artificielle (sauf consentement explicite)
- Toute autre finalité non autorisée par le Responsable
3.3 Catégories de Personnes concernées¶
Le traitement concerne les catégories suivantes :
- Élèves inscrits dans l'Établissement
- Parents / tuteurs légaux des élèves
- Personnel enseignant
- Personnel administratif
- Visiteurs du site et de la documentation (logs techniques seulement)
3.4 Catégories de Données traitées¶
| Catégorie | Exemples | Sensibilité |
|---|---|---|
| Identité | Nom, prénom, date naissance, sexe, matricule | Standard |
| Coordonnées | Email, téléphone, adresse postale | Standard |
| Scolaires | Classe, notes, bulletins, présences | Standard |
| Financières | Factures, transactions, soldes | Standard |
| Santé (avec consentement) | Dossier médical, vaccinations, allergies | Sensible |
| Techniques | Logs de connexion, IP, navigateur | Standard |
| Multimédia | Photos d'élèves, documents PDF | Standard |
| Conversation | Messages internes | Standard |
Article 4 — Obligations du Sous-traitant¶
Le Sous-traitant s'engage à :
4.1 Traiter selon les instructions¶
Traiter les Données uniquement sur la base d'instructions documentées du Responsable, y compris pour les transferts internationaux.
En cas de doute ou de demande contraire à la loi, le Sous-traitant doit informer immédiatement le Responsable.
4.2 Garantir la confidentialité¶
Garantir que les personnes autorisées à traiter les Données personnelles :
- Sont soumises à une obligation de confidentialité
- Reçoivent une formation appropriée à la protection des Données
- N'accèdent qu'aux Données strictement nécessaires (principe du « need to know »)
Le secret médical est respecté pour les Données de santé : seuls les personnels habilités (infirmier scolaire avec permission spécifique) y ont accès.
4.3 Mesures de sécurité¶
Mettre en œuvre toutes mesures techniques et organisationnelles appropriées :
Mesures techniques¶
- Chiffrement en transit : TLS 1.3 obligatoire
- Chiffrement au repos : AES-256 sur les disques et backups
- Hashing des mots de passe : bcrypt cost 12
- Isolation multi-tenant : Row Level Security PostgreSQL
- Audit log : traçabilité de toutes actions sensibles (5-10 ans)
- Backups quotidiens chiffrés avec rétention 30 jours
- Sauvegardes offsite sur serveur tiers chiffré (Backblaze B2 / Hetzner)
- Pare-feu et rate limiting : protection anti-DDoS et anti-bruteforce
- Mises à jour de sécurité appliquées sous 7 jours pour les CVE critiques
Mesures organisationnelles¶
- Politique de mots de passe stricte pour le personnel du Sous-traitant
- Authentification multi-facteur pour les comptes administrateurs
- Procédure de gestion des incidents de sécurité
- Plan de continuité d'activité et de reprise après sinistre (PCA/PRA)
- Audits internes réguliers
Détails : security.argon.education.
4.4 Respect des droits des Personnes concernées¶
Assister le Responsable dans le respect des droits des Personnes concernées :
- Droit d'accès : fournir les Données concernant une Personne dans un format lisible
- Droit de rectification : modifier les Données inexactes
- Droit à l'effacement (« droit à l'oubli ») : supprimer les Données dans les limites légales
- Droit à la limitation : geler le traitement à la demande
- Droit à la portabilité : fournir un export structuré
- Droit d'opposition : cesser certains traitements
Délai de réponse : 30 jours maximum à compter de la réception de la demande du Responsable.
4.5 Notification de violation¶
En cas de Violation de Données :
- Notifier le Responsable dans un délai maximum de 72 heures après en avoir pris connaissance
- Fournir toutes informations nécessaires :
- Nature de la violation
- Catégories et nombre approximatif de Personnes concernées
- Catégories et volume de Données concernées
- Conséquences probables
- Mesures prises ou envisagées
- Documenter chaque violation (registre des incidents)
4.6 Assistance au Responsable¶
Le Sous-traitant aide le Responsable à :
- Conduire ses analyses d'impact (DPIA) lorsque requis
- Notifier les violations aux autorités de contrôle (CNPDCP, CNIL, etc.)
- Notifier les violations aux Personnes concernées lorsque requis
4.7 Mise à disposition d'informations¶
Fournir au Responsable toutes informations nécessaires pour démontrer le respect du DPA, notamment :
- Documentation technique sur les mesures de sécurité
- Liste des Sous-traitants ultérieurs (article 6)
- Rapports d'audits internes ou externes
4.8 Audits¶
Permettre au Responsable d'effectuer un audit annuel des conditions de traitement :
- Préavis : 30 jours
- Conduit par : le Responsable ou un auditeur indépendant qu'il mandate
- Frais : à la charge du Responsable, sauf en cas de manquement avéré du Sous-traitant
- Confidentialité : auditeur soumis à une obligation de confidentialité
Article 5 — Obligations du Responsable¶
Le Responsable s'engage à :
5.1 Légalité du traitement¶
S'assurer que le traitement des Données est :
- Licite (base légale appropriée : consentement, intérêt légitime, obligation légale)
- Loyal (transparence avec les Personnes concernées)
- Proportionné (collecter uniquement les Données nécessaires)
- Exact (Données à jour)
- Limité dans le temps (conservation appropriée)
5.2 Information des Personnes concernées¶
Informer les Personnes concernées de l'utilisation d'Argon, notamment :
- Identité du Responsable (l'Établissement)
- Finalités du traitement
- Durée de conservation
- Existence du Sous-traitant (Argon) et son rôle
- Droits des Personnes concernées
- Coordonnées du Délégué à la Protection des Données
Cette information peut être fournie via le règlement intérieur de l'Établissement, le livret d'accueil, ou les CGU acceptées à la première connexion.
5.3 Consentement¶
Recueillir le consentement explicite des Personnes concernées (ou de leur représentant légal pour les mineurs) lorsque la loi le requiert, notamment pour :
- Traitement de données de santé
- Traitement à des fins non strictement nécessaires à la fourniture des Services
- Communication de Données à des tiers
5.4 Réponse aux demandes des Personnes concernées¶
Être le point de contact principal pour les Personnes concernées (parents, élèves, personnel) qui exercent leurs droits.
Le Responsable peut s'appuyer sur le Sous-traitant pour répondre techniquement (article 4.4).
5.5 Coopération avec les autorités¶
Coopérer avec les autorités de contrôle compétentes (CNPDCP, CNIL, etc.) en cas de demande ou de contrôle.
Article 6 — Sous-traitants ultérieurs¶
6.1 Principe¶
Le Sous-traitant peut recourir à des Sous-traitants ultérieurs pour fournir le Service (hébergement, sauvegardes offsite, support, etc.).
6.2 Liste actuelle¶
| Sous-traitant ultérieur | Service | Localisation | Conformité |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement serveurs | Allemagne (UE) | RGPD ✅ |
| Backblaze Inc. | Sauvegardes offsite | États-Unis | DPF (Data Privacy Framework) ✅ |
| Cloudflare Inc. | DNS + CDN | Mondial | DPF + DPA standard |
| SendGrid (Twilio) | Envoi emails | États-Unis | DPF + DPA standard |
| Stripe / Mobile Money providers | Paiements | Variable | DPA spécifique selon |
Liste à jour : annexe au présent DPA, modifiable avec notification.
6.3 Engagement de conformité¶
Le Sous-traitant garantit que chaque Sous-traitant ultérieur :
- Est soumis à un DPA équivalent
- Met en œuvre des mesures de sécurité appropriées
- Respecte les mêmes obligations que le Sous-traitant principal
6.4 Modification de la liste¶
Toute nouvelle utilisation d'un Sous-traitant ultérieur ou changement de Sous-traitant ultérieur existant est notifiée au Responsable avec un préavis de 30 jours.
Le Responsable peut objecter dans ce délai. À défaut d'objection : acceptation tacite.
En cas d'objection motivée, les parties recherchent une solution. À défaut d'accord : possibilité de résilier le contrat principal sans pénalité.
6.5 Responsabilité du Sous-traitant¶
Le Sous-traitant reste pleinement responsable des actions de ses Sous-traitants ultérieurs vis-à-vis du Responsable.
Article 7 — Transferts internationaux¶
7.1 Localisation des données¶
Les Données sont stockées sur des serveurs situés en :
- Union Européenne (Allemagne, France, Pays-Bas) — pour l'hébergement principal
- États-Unis — pour certaines fonctions accessoires (CDN, emails transactionnels)
7.2 Cadre juridique des transferts¶
Pour les transferts hors UE, les garanties appropriées suivantes sont mises en œuvre :
- Clauses Contractuelles Types (CCT) de la Commission Européenne
- Data Privacy Framework (DPF) pour les États-Unis (pour les opérateurs certifiés)
- Décisions d'adéquation de la Commission Européenne lorsque disponibles
7.3 Données particulièrement sensibles¶
Pour les données de santé (module Infirmerie), les transferts hors zone CEMAC/UEMOA sont restreints au strict nécessaire technique (CDN pour images, etc.) et font l'objet de garanties renforcées.
Article 8 — Confidentialité¶
Le Sous-traitant garantit que ses employés, prestataires et toute personne accédant aux Données :
- Sont liés par une obligation de confidentialité écrite
- Reçoivent une formation initiale et continue sur la protection des Données
- N'accèdent qu'aux Données nécessaires à leur mission
Cette obligation perdure 3 ans après la fin du contrat.
Article 9 — Notification de violation de Données¶
9.1 Délai de notification¶
En cas de Violation de Données, le Sous-traitant notifie le Responsable dans un délai maximum de 72 heures après en avoir pris connaissance.
9.2 Contenu de la notification¶
La notification comprend, au minimum :
- Description de la violation (nature, gravité)
- Catégories et nombre approximatif de Personnes concernées
- Catégories et volume de Données concernées
- Conséquences probables
- Mesures prises ou envisagées pour atténuer les conséquences
- Coordonnées du DPO pour suivi
9.3 Suivi¶
Le Sous-traitant fournit au Responsable, dans les 30 jours suivant la notification initiale, un rapport détaillé incluant :
- Analyse de cause racine
- Mesures correctives déployées
- Mesures préventives à long terme
- Communication éventuelle aux Personnes concernées
Article 10 — Audits et inspections¶
10.1 Droit d'audit¶
Le Responsable a le droit d'effectuer ou de faire effectuer des audits annuels des conditions de traitement.
10.2 Modalités¶
- Préavis : 30 jours
- Heures ouvrées uniquement
- Auditeur : le Responsable, son DPO, ou un cabinet d'audit indépendant
- Confidentialité : NDA signé
- Frais : à la charge du Responsable, sauf manquement avéré
10.3 Coopération du Sous-traitant¶
Le Sous-traitant s'engage à :
- Mettre à disposition la documentation technique
- Fournir les rapports d'audits internes ou externes existants
- Répondre aux questions de l'auditeur
- Mettre en œuvre les recommandations légitimes
Article 11 — Responsabilité¶
11.1 Responsabilité de chaque partie¶
Chaque partie est responsable du respect de ses obligations au titre du présent DPA et du droit applicable.
11.2 Sanctions administratives¶
Toute sanction administrative (CNPDCP, CNIL) imposée à l'une des parties suite à un manquement de l'autre est à la charge de la partie défaillante.
11.3 Recours et limitation¶
La responsabilité du Sous-traitant au titre du présent DPA est limitée conformément à l'article 7 des CGV.
Toutefois, cette limitation ne s'applique pas en cas de :
- Manquement grave ou intentionnel
- Violation de Données résultant d'une négligence caractérisée
- Sanctions administratives liées à un manquement du Sous-traitant
Article 12 — Suppression et restitution¶
12.1 À la résiliation du contrat¶
À l'expiration ou la résiliation du contrat principal, le Responsable choisit, dans un délai de 15 jours, entre :
Option A — Restitution intégrale :
- Le Sous-traitant met à disposition un export complet des Données dans un format structuré (JSON + PDFs + médias)
- Le Responsable récupère l'export dans un délai de 30 jours
- Au-delà : suppression définitive
Option B — Suppression directe :
- Le Sous-traitant procède à la suppression définitive des Données dans un délai de 30 jours
12.2 Suppression effective¶
La suppression définitive comprend :
- Base de données : suppression des enregistrements
- Backups : purge selon le calendrier de rétention (30 jours par défaut)
- Logs techniques : conservation 90 jours (sécurité), puis purge
- Audit log : conservation selon obligations légales (5-10 ans)
- Médias : suppression de MinIO et tous backups
12.3 Attestation de suppression¶
À l'issue de la suppression, le Sous-traitant fournit au Responsable une attestation écrite confirmant la suppression effective.
12.4 Conservation obligatoire¶
Certaines Données peuvent être conservées au-delà de la résiliation pour des obligations légales :
- Factures : 10 ans (OHADA)
- Audit log : 5-10 ans (sécurité)
- Bulletins certifiés : 10-30 ans (MINEDUC)
Ces conservations sont effectuées dans des conditions de sécurité renforcée et un accès strictement limité.
Article 13 — Coordination¶
13.1 Délégué à la Protection des Données (DPO)¶
Sous-traitant :
- Nom : [à compléter]
- Email :
dpo@argon.education - Fonction : Délégué à la Protection des Données de Eden Studio
Responsable :
- Désigne son DPO ou référent RGPD dans le Bon de Commande
- Communique tout changement au Sous-traitant
13.2 Points de contact¶
Pour toute question, demande, ou notification au titre du présent DPA :
- Sous-traitant :
dpo@argon.education - Responsable : référent désigné
Article 14 — Dispositions finales¶
14.1 Priorité¶
En cas de contradiction entre le présent DPA et les autres documents contractuels, le DPA prévaut pour ce qui concerne le traitement des données personnelles.
14.2 Modifications¶
Le DPA peut être modifié :
- Par accord écrit entre les parties
- Par mise à jour notifiée par le Sous-traitant en cas de changement réglementaire (préavis de 3 mois)
14.3 Nullité partielle¶
Si une clause du DPA est jugée nulle ou inapplicable, les autres clauses restent en vigueur.
14.4 Droit applicable¶
Le présent DPA est régi par :
- Le droit camerounais (loi n° 2010/012)
- Le RGPD (UE 2016/679) pour les Données concernant des résidents européens
- Les lois nationales applicables pour les Données dans d'autres juridictions
14.5 Juridiction¶
Conformément à l'article 13 des CGV.
Annexes¶
- Conditions Générales d'Utilisation — utilisateurs finaux
- Conditions Générales de Vente — relation B2B
- Politique de sécurité — mesures techniques détaillées
- Annexe A : Liste des Sous-traitants ultérieurs (article 6.2) — mise à jour notifiée
- Annexe B : Procédure de notification de violation (article 9) — détails opérationnels
Document v1.0 — date d'effet 1er septembre 2026 — à valider par avocat spécialisé en protection des données avant signature