Accord de Sous-Traitance

Article 28 du RGPD - Version 1.0 - 17 janvier 2026

Objet de ce document

Cet accord formalise les obligations de sous-traitance au sens de l'article 28 du Règlement Général sur la Protection des Données (RGPD) entre un établissement scolaire utilisant OrIAntation et l'éditeur du service.

Ce document doit être signé par le chef d'établissement avant tout déploiement du service dans un établissement scolaire public ou privé.

Préambule

Le présent accord est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et définit les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel décrites ci-après.

Article 1 - Définition des parties

LE RESPONSABLE DE TRAITEMENT

L'établissement scolaire (représenté par son chef d'établissement ou l'académie pour les établissements publics) qui souscrit au service OrIAntation pour ses élèves et personnels.

LE SOUS-TRAITANT

Thomas Cavil, éditeur et développeur du service OrIAntation
Entrepreneur individuel — SIREN 904 625 191 — 14 rue Traversière, 56690 Landévant
Contact : contact@oriantation.fr

Ci-après dénommés ensemble « les Parties ».

Article 2 - Objet du traitement

2.1 Nature et finalité du traitement

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les données à caractère personnel nécessaires au fonctionnement du service OrIAntation, application d'aide à l'orientation scolaire utilisant l'intelligence artificielle.

2.2 Finalités

  • Fournir un service d'accompagnement à l'orientation personnalisé aux élèves
  • Permettre le suivi pédagogique par les enseignants référents
  • Générer des recommandations de formations et métiers via l'IA
  • Assurer la messagerie sécurisée enseignants-élèves
  • Produire des statistiques agrégées anonymisées pour l'établissement

2.3 Durée du traitement

Le traitement est effectué pour la durée de l'abonnement de l'établissement au service, puis pour la durée de conservation définie à l'article 6.

Article 3 - Catégories de données traitées

Catégorie Données concernées Base légale
Identification Nom, prénom, email, établissement, classe Exécution du contrat
Profil orientation Réponses questionnaires, centres d'intérêt, spécialités Consentement
Journal de bord Notes personnelles, réflexions, objectifs Consentement
Données académiques Notes, moyennes (si consentement spécifique) Consentement explicite
Messages Contenu, horodatage, expéditeur/destinataire Intérêt légitime (protection mineurs)
Données CV Téléphone, adresse, expériences (optionnel) Consentement explicite
Logs techniques IP, horodatage connexion, user-agent Intérêt légitime (sécurité)

Article 4 - Catégories de personnes concernées

  • Élèves : lycéens de Seconde, Première et Terminale inscrits dans l'établissement
  • Enseignants : professeurs principaux et référents Parcours Avenir
  • Personnel de direction : chef d'établissement et adjoints

Données de mineurs

La majorité des personnes concernées étant des mineurs, des mesures de protection renforcées sont mises en œuvre conformément à l'article 8 du RGPD et aux recommandations de la CNIL.

Article 5 - Obligations du Sous-traitant

5.1 Traitement des données

Le Sous-traitant s'engage à :

  • Traiter les données uniquement sur instruction documentée du Responsable de traitement
  • Ne pas utiliser les données pour ses propres finalités
  • Ne pas transférer les données hors de l'Union Européenne
  • Garantir la confidentialité des données traitées

5.2 Personnel autorisé

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données :

  • S'engagent à respecter la confidentialité
  • Reçoivent une formation sur la protection des données
  • N'accèdent qu'aux données strictement nécessaires à leurs fonctions

5.3 Sous-traitants ultérieurs

Le Sous-traitant est autorisé à faire appel aux sous-traitants ultérieurs suivants :

Prestataire Fonction Localisation Garanties
Google Firebase Base de données, authentification europe-west1 (Belgique) DPA Google Cloud
Google Vertex AI IA générative (Gemini) europe-west1 (Belgique) Pas d'entraînement sur données
Netlify Hébergement frontend CDN européen DPA Netlify
Brevo Emails transactionnels France Entreprise française RGPD

Tout nouveau sous-traitant ultérieur sera notifié au Responsable de traitement avec un délai de 30 jours pour s'y opposer.

5.4 Sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des données en transit (HTTPS/TLS 1.3)
  • Chiffrement des données au repos (AES-256)
  • Authentification forte pour les accès administrateurs (2FA)
  • Journalisation des accès aux données
  • Sauvegardes automatisées quotidiennes
  • Tests de sécurité réguliers
  • Protection contre les injections (XSS, SQL, prompt injection)
  • Modération automatique IA pour la protection des mineurs

5.5 Assistance au Responsable de traitement

Le Sous-traitant aide le Responsable de traitement à :

  • Répondre aux demandes d'exercice des droits des personnes (délai : 72h)
  • Réaliser les analyses d'impact (AIPD) si nécessaire
  • Notifier les violations de données (délai : 24h)
  • Assurer la conformité au RGPD

Article 6 - Durée de conservation

Type de données Durée de conservation
Comptes élèves actifs Durée de la scolarité dans l'établissement
Comptes élèves après départ 1 an (puis suppression automatique)
Messages (archives légales) 4 ans (obligation Éducation Nationale)
Comptes enseignants inactifs 18 mois puis avertissement + 30 jours
Logs de sécurité 1 an

Article 7 - Sort des données en fin de contrat

À l'issue de la prestation ou en cas de résiliation :

  1. Export : Le Sous-traitant fournit au Responsable de traitement l'ensemble des données dans un format structuré (JSON/CSV) sous 30 jours
  2. Suppression : Après confirmation de réception, les données sont supprimées des systèmes du Sous-traitant sous 30 jours
  3. Attestation : Une attestation de suppression est fournie sur demande

Exception : Les archives légales (messages, notes) sont conservées selon les durées légales puis supprimées automatiquement.

Article 8 - Notification des violations

En cas de violation de données à caractère personnel, le Sous-traitant s'engage à :

  1. Notifier le Responsable de traitement dans un délai de 24 heures
  2. Fournir toutes les informations nécessaires (nature, catégories de données, mesures prises)
  3. Coopérer à la notification à la CNIL si nécessaire
  4. Documenter l'incident dans un registre des violations

Article 9 - Audit et contrôle

Le Responsable de traitement peut :

  • Demander toute information sur les traitements effectués
  • Réaliser ou faire réaliser des audits (avec préavis de 15 jours)
  • Accéder aux locaux et systèmes du Sous-traitant pour vérification

Le Sous-traitant s'engage à mettre à disposition les informations nécessaires pour démontrer le respect des obligations.

Article 10 - Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

  • Informer les personnes concernées (élèves, parents, enseignants) du traitement
  • Recueillir les consentements nécessaires
  • Inscrire le traitement au registre des activités de traitement
  • Réaliser l'analyse d'impact si nécessaire (article 35 RGPD)
  • Désigner un DPO ou référent RGPD
  • Notifier au Sous-traitant toute instruction concernant le traitement

Règlement IA (AI Act)

OrIAntation utilisant l'IA dans un contexte éducatif :

  • Le Responsable de traitement est le déployeur au sens du RIA
  • L'éditeur (Sous-traitant) est le fournisseur
  • L'analyse d'impact RIA incombe au déployeur (établissement)

Modèle d'AIPD pour les établissements

Pour faciliter la réalisation de l'analyse d'impact (AIPD) obligatoire, OrIAntation met à disposition un modèle pré-rempli que l'établissement peut adapter à son contexte :

Télécharger le modèle AIPD (PDF)

Article 11 - Responsabilité

Chaque Partie est responsable des dommages causés par un traitement non conforme au RGPD.

Le Sous-traitant ne répond des dommages que s'il n'a pas respecté ses obligations spécifiques ou s'il a agi en dehors des instructions du Responsable de traitement.

Article 12 - Droit applicable

Le présent accord est soumis au droit français. En cas de litige, les tribunaux français sont compétents.

Article 13 - Signature et entrée en vigueur

Le présent accord entre en vigueur à la date de signature par les deux Parties et reste valable pour toute la durée de l'abonnement au service OrIAntation.

Comment signer cet accord ?

Pour formaliser cet accord de sous-traitance :

  1. Téléchargez la version PDF de ce document
  2. Complétez les informations de votre établissement
  3. Faites signer par le chef d'établissement
  4. Envoyez le document signé à pro@oriantation.fr

Un exemplaire contresigné vous sera retourné sous 5 jours ouvrés.

Télécharger le PDF à signer

Annexe A - Contact DPO / Référent RGPD

Sous-traitant (OrIAntation)

Référent protection des données : Thomas Cavil
Email : contact@oriantation.fr

DPO externe (en cours de désignation)
Coordonnées communiquées prochainement.

Responsable de traitement (Établissement)
Le DPO académique ou le référent RGPD de l'établissement.

Dernière mise à jour : 17 janvier 2026

OrIAntation - L'IA au service de l'orientation scolaire