Accord de Sous-Traitance RGPD
Article 28 du Règlement (UE) 2016/679 — Version 1.0 - 12 février 2026
Préambule
Le présent accord est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et définit les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel décrites ci-après.
Article 1 - Définition des parties
Le Responsable de traitement
L'établissement scolaire (représenté par son chef d'établissement ou l'académie pour les établissements publics) qui souscrit au Plan Établissement du service EvalIA pour ses enseignants.
Le Sous-traitant
Thomas Cavil, éditeur et développeur du service EvalIA
Entrepreneur individuel — SIREN 904 625 191 — 14 rue Traversière, 56690 Landévant
Contact : contact.EvalIA@oriantation.fr
Article 2 - Objet du traitement
Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les données à caractère personnel nécessaires au fonctionnement du service EvalIA, application d'aide à l'évaluation pédagogique multi-disciplines utilisant l'intelligence artificielle.
Finalités
- Fournir un service d'évaluation et de correction assistée par IA
- Permettre la génération de barèmes d'évaluation à partir de sujets d'examen
- Permettre l'analyse de copies d'élèves avec notation par compétences (D/A/PA/NA)
- Permettre la création de contenus pédagogiques via TeacherStudio
- Permettre la distribution d'exercices et de plans de travail aux élèves
- Assurer la gestion des classes et le suivi longitudinal des élèves
Article 3 - Catégories de données traitées
| Catégorie | Données | Sensibilité |
|---|---|---|
| Identification enseignant | Email, discipline, niveaux enseignés | Standard |
| Copies d'élèves (analyse directe) | Contenu de la copie (image/PDF) | Transient (RAM uniquement, jamais stocké) |
| Copies d'élèves (dépôts) | Fichiers uploadés par les élèves | Temporaire (supprimé 24h après correction) |
| Prénoms élèves (suivi) | Prénom uniquement, chiffré côté client | Chiffré zero-knowledge |
| Exercices / Plans de travail | Contenu, réponses, progression élèves | Standard |
| TeacherStudio | Sources RAG, générations, chatbots | Standard |
Article 4 - Personnes concernées
- Enseignants : professeurs de l'établissement utilisant le service (utilisateurs directs)
- Élèves : élèves dont les copies sont analysées, qui réalisent des exercices ou suivent des plans de travail (personnes concernées indirectes)
Les élèves n'ont pas de compte EvalIA. Leur interaction se fait via des liens sécurisés (exercices, dépôts, plans de travail) avec authentification par code + prénom.
Article 5 - Obligations du Sous-traitant
5.1 Traitement des données
- Traiter les données uniquement sur instruction documentée du Responsable de traitement
- Ne pas utiliser les données pour ses propres finalités
- Ne pas utiliser les données pour l'entraînement de modèles d'IA
- Garantir la confidentialité des données traitées
5.2 Localisation des données
Toutes les données personnelles et les traitements IA sont effectués au sein de l'Union Européenne (Belgique, europe-west1 pour Firebase et Vertex AI).
Exception : Les données d'abonnement (email, identifiant technique) sont transmises à LemonSqueezy (USA) dans le cadre de la gestion des paiements, encadrées par les Clauses Contractuelles Types (SCCs, Art. 46.2.c RGPD). Aucune donnée pédagogique ni donnée d'élève n'est transmise à LemonSqueezy.
5.3 Sécurité
- Chiffrement en transit (HTTPS/TLS 1.3) et au repos (AES-256)
- Chiffrement zero-knowledge des prénoms élèves (côté client)
- Contrôle d'accès strict (Firestore Rules, deny by default)
- Protection XSS et injection de prompt (30+ patterns)
- Rate limiting par utilisateur (20-30 req/min)
- Audit trail des actions sensibles
- 3381+ tests automatisés de sécurité
5.4 Assistance
- Réponse aux demandes d'exercice des droits (délai : 72h)
- Aide à la réalisation d'analyses d'impact (AIPD modèle fourni)
- Notification des violations de données (délai : 24h)
Article 6 - Sous-traitants ultérieurs
| Prestataire | Fonction | Localisation | Garanties |
|---|---|---|---|
| Google Firebase | Base de données, authentification, stockage | europe-west1 (Belgique) | DPA Google Cloud |
| Google Vertex AI | IA générative (Gemini 2.5 Flash/Pro) | europe-west1 (Belgique) | Pas d'entraînement sur données |
| Vercel | Hébergement frontend et API | Edge européen (Paris) | DPA Vercel, EU-US DPF |
| Sentry | Monitoring erreurs (pas de données personnelles) | UE (Francfort) | SOC 2 Type II, PII scrubbing |
| LemonSqueezy | Paiements et abonnements (email + ID uniquement) | USA (Merchant of Record) | PCI-DSS, SCCs Art. 46.2.c |
Tout nouveau sous-traitant ultérieur sera notifié au Responsable de traitement avec un délai de 30 jours pour s'y opposer.
Article 7 - Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Comptes enseignants actifs | Durée de l'abonnement établissement |
| Copies d'élèves (analyse directe) | Jamais stockées (RAM uniquement) |
| Copies d'élèves (dépôts) | 24h après correction, puis suppression automatique |
| Plans de travail et progression | Année scolaire + 1 an |
| Logs d'audit | 24 mois |
Article 8 - Sort des données en fin de contrat
- Export : fourniture des données en format structuré (JSON/CSV) sous 30 jours
- Suppression : suppression des systèmes sous 30 jours après confirmation
- Attestation : attestation de suppression fournie sur demande
Article 9 - Notification des violations
- Notification au Responsable de traitement dans un délai de 24 heures
- Fourniture des informations nécessaires (nature, catégories de données, mesures prises)
- Coopération à la notification CNIL si nécessaire (72h)
Article 10 - Audit et contrôle
Le Responsable de traitement peut demander toute information sur les traitements effectués, réaliser ou faire réaliser des audits (avec préavis de 15 jours), et accéder aux informations nécessaires pour démontrer le respect des obligations.
Article 11 - Obligations du Responsable de traitement
- Informer les personnes concernées (enseignants, élèves, parents) du traitement
- Recueillir les consentements nécessaires
- Inscrire le traitement au registre des activités de traitement
- Réaliser l'analyse d'impact si nécessaire (modèle pré-rempli fourni)
- Désigner un DPO ou référent RGPD
Règlement IA (AI Act - Règlement UE 2024/1689)
- L'établissement est le déployeur au sens du Règlement IA (Article 3.4)
- L'éditeur (Sous-traitant) est le fournisseur (Article 3.3)
- L'établissement doit assurer la supervision humaine et informer les personnes concernées de l'utilisation de l'IA
Articles 12-14 - Dispositions générales
- Responsabilité : Chaque Partie est responsable des dommages causés par un traitement non conforme au RGPD
- Droit applicable : Le présent accord est soumis au droit français
- Entrée en vigueur : À la date de signature, valable pour la durée de l'abonnement au Plan Établissement
Document complet avec champs de signature : Le document complet (PDF) avec les champs à remplir par l'établissement est fourni lors de la souscription au Plan Établissement.
Contact : contact.EvalIA@oriantation.fr
Documents de référence
- Politique de Confidentialité EvalIA
- Mentions Légales et CGU
- AIPD complète de l'éditeur (v2.8) : disponible sur demande
- Modèle AIPD pré-rempli pour l'établissement : fourni avec le présent accord
Version 1.0 - 12 février 2026
EvalIA - L'IA au service de l'évaluation pédagogique