Préambule
Le présent Data Processing Agreement (ci-après « DPA » ou « Accord ») est conclu entre :
- Le Client — organisme de formation souscripteur d'un abonnement MIBsoft, agissant en qualité de responsable de traitement au sens de l'article 4 (7) du RGPD ;
- MIBsoft — éditeur de la plateforme SaaS du même nom, agissant en qualité de sous-traitant au sens de l'article 4 (8) du RGPD.
Le présent DPA complète et fait partie intégrante du contrat principal (CGV + bon de commande, ci-après le « Contrat principal »). En cas de contradiction entre les présentes et le Contrat principal sur des sujets relatifs à la protection des données personnelles, le présent DPA prévaut.
Article 1 — Objet
Le présent Accord a pour objet de définir les conditions dans lesquelles MIBsoft s'engage à effectuer pour le compte du Client, sur instruction documentée de celui-ci, les opérations de traitement de données à caractère personnel décrites en Annexe A.
L'Accord s'inscrit dans le respect des dispositions du Règlement (UE) 2016/679 (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée.
Article 2 — Durée
Le présent Accord prend effet à la date de souscription du Contrat principal et reste en vigueur pendant toute sa durée. Il cesse à l'expiration ou à la résiliation du Contrat principal, sous réserve des obligations survivantes (confidentialité, restitution / suppression des données).
Article 3 — Description du traitement
La nature, l'objet, la finalité, les catégories de données et de personnes concernées sont décrits en Annexe A. Le Client peut compléter ces éléments par instructions documentées spécifiques.
Article 4 — Obligations du sous-traitant (MIBsoft)
4.1 Confidentialité et habilitation
MIBsoft s'engage à :
- Traiter les données uniquement pour les finalités convenues et sur instruction documentée du Client ;
- Garantir que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité (engagement contractuel ou statutaire) ;
- Limiter l'accès aux données aux strictes nécessités de la mission (principe du « need to know »).
4.2 Sécurité
MIBsoft met en œuvre les mesures techniques et organisationnelles décrites en Annexe B, conformément à l'article 32 du RGPD, pour assurer un niveau de sécurité adapté au risque.
4.3 Sous-traitance ultérieure
Le Client autorise par avance MIBsoft à recourir aux sous-traitants ultérieurs listés en Annexe C (renvoi vers la page sous-traitants.html). MIBsoft :
- Informe préalablement le Client de tout changement (ajout, remplacement) de sous-traitant ultérieur avec un préavis de 30 jours, par email à l'administrateur centre et publication mise à jour sur la page sous-traitants ;
- Permet au Client de s'opposer dans ce délai, étant entendu qu'en cas d'opposition fondée et impossible à concilier avec l'exécution du service, chacune des parties pourra résilier le Contrat principal sans pénalité ;
- Impose aux sous-traitants ultérieurs les mêmes obligations contractuelles que celles prévues au présent DPA.
4.4 Assistance au responsable de traitement
MIBsoft apporte au Client une assistance raisonnable pour :
- Répondre aux demandes des personnes concernées au titre de leurs droits (accès, rectification, effacement, portabilité, opposition, limitation). MIBsoft transmettra dans les 5 jours ouvrés au Client toute demande reçue directement ;
- Notifier les violations de données (article 33 et 34 RGPD) ;
- Réaliser les analyses d'impact relatives à la protection des données (AIPD) ;
- Consulter l'autorité de contrôle lorsque cela est nécessaire (article 36 RGPD).
4.5 Notification des violations de données
En cas de violation de données à caractère personnel, MIBsoft en informe le Client dans les meilleurs délais et au plus tard dans les 48 heures après en avoir pris connaissance, par email à l'administrateur centre, en précisant :
- La nature de la violation ;
- Les catégories et le nombre approximatif de personnes et d'enregistrements concernés ;
- Les conséquences probables ;
- Les mesures prises ou envisagées pour limiter les effets négatifs ;
- Les coordonnées du DPO ou du point de contact à joindre pour plus d'information.
Il appartient au Client, en sa qualité de responsable de traitement, de décider de la notification à la CNIL (sous 72 h) et, le cas échéant, aux personnes concernées.
4.6 Restitution et suppression à l'issue du contrat
À l'issue du Contrat principal et au choix exprès du Client formulé par écrit dans les 30 jours :
- Soit MIBsoft restitue les données dans un format ouvert et structuré (CSV / JSON) ;
- Soit MIBsoft les supprime, ainsi que toutes leurs copies, en confirmant par écrit la suppression.
Par défaut, sans instruction écrite du Client, MIBsoft supprime les données 30 jours après la résiliation. Les sauvegardes techniques (PITR Supabase) sont purgées dans un délai maximum de 90 jours suivant la suppression principale. Les données conservées pour obligation légale (factures comptables) ne sont pas concernées par cette suppression.
4.7 Documentation et audit
MIBsoft met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et permet la réalisation d'audits, dans les conditions suivantes :
- Audit annuel sur pièces (questionnaire de conformité, rapports de tests, certifications éventuelles) ;
- Audit sur site sur préavis raisonnable de 30 jours, à la charge financière du Client, hors cas d'incident majeur ;
- L'audit ne doit pas perturber les opérations normales et est encadré par un engagement de confidentialité ;
- Possibilité de mandater un auditeur tiers indépendant, soumis à confidentialité.
Article 5 — Obligations du responsable de traitement (Client)
Le Client s'engage à :
- Documenter par écrit toute instruction au sous-traitant ;
- S'assurer, avant et pendant tout traitement, du respect des obligations du RGPD lui incombant (information des personnes, base légale, AIPD si nécessaire) ;
- Veiller à la licéité de la collecte des données importées dans la plateforme ;
- Tenir un registre des activités de traitement comme l'exige l'article 30 du RGPD ;
- Superviser le traitement, y compris en réalisant des audits et inspections ;
- Recueillir les consentements lorsqu'ils sont requis (notamment pour les contenus optionnels comme photos de profil).
Article 6 — Transferts hors UE
Les données traitées sont hébergées en Union européenne (Supabase Frankfurt). Toutefois, certains sous-traitants ultérieurs ont leur siège hors UE ; les transferts éventuels associés sont encadrés par :
- Les Clauses Contractuelles Types de la Commission européenne (décision UE 2021/914) ;
- L'adhésion, le cas échéant, au EU-US Data Privacy Framework ;
- Des mesures supplémentaires de chiffrement et de pseudonymisation lorsque pertinent.
La liste des transferts est tenue à jour sur la page sous-traitants.html.
Article 7 — Responsabilité
Chaque partie est responsable des dommages résultant d'un manquement à ses obligations RGPD, dans les conditions de l'article 82 du RGPD. La responsabilité du sous-traitant est notamment engagée s'il a agi en dehors des instructions licites du responsable de traitement ou s'il n'a pas respecté ses obligations spécifiques d'article 28.
Article 8 — Coordonnées
Point de contact MIBsoft pour toute question relative au présent DPA :
- DPO / Référent RGPD :
[À COMPLÉTER : nom] - Email : dpo@mibsoft.fr
- Adresse :
[À COMPLÉTER : adresse postale]
Annexe A — Description du traitement
Nature et objet du traitement
Hébergement, stockage, traitement et restitution de données personnelles dans le cadre de la fourniture du service SaaS MIBsoft de gestion pédagogique de formations SSIAP.
Finalités
- Gestion des sessions de formation (création, planification, suivi) ;
- Évaluation des stagiaires (QCM, scores, présences) ;
- Production de statistiques pédagogiques anonymisées ;
- Animation de quiz et challenges en présentiel ou à distance ;
- Traçabilité des activités pour audit Qualiopi.
Catégories de données
- Données d'identification : nom, prénom, email, photo de profil (optionnelle) ;
- Données de connexion : identifiant, mot de passe haché, logs de session ;
- Données pédagogiques : scores QCM, temps de réponse, présences, certifications ;
- Données d'organisation : rôle, centre de rattachement, sessions de formation ;
- Données techniques limitées : adresse IP, user-agent (sécurité).
Catégories de personnes concernées
- Administrateurs des centres de formation ;
- Formateurs salariés ou indépendants des centres ;
- Stagiaires inscrits aux formations SSIAP 1, 2 ou 3.
Durée du traitement
Pendant toute la durée du Contrat principal, plus 30 jours de réversibilité après résiliation.
Annexe B — Mesures techniques et organisationnelles
Les mesures détaillées figurent dans la Politique de Sécurité du Système d'Information (PSSI). Synthèse :
- Chiffrement : TLS 1.3 en transit, AES-256 au repos ;
- Authentification : mots de passe hachés (bcrypt / argon2), MFA recommandé pour les administrateurs ;
- Cloisonnement : Row Level Security (RLS) PostgreSQL par centre ;
- Sauvegardes : Point-In-Time Recovery 7 jours ;
- Journalisation : logs d'accès et de modification ;
- Habilitation : accès personnel limité, traçabilité des actions admin ;
- Mise à jour : suivi des CVE des dépendances, patches sécurité prioritaires ;
- Sensibilisation : formation RGPD et sécurité des collaborateurs ;
- Tests : pentests annuels planifiés.
Annexe C — Liste des sous-traitants ultérieurs
La liste à jour des sous-traitants ultérieurs autorisés et des garanties associées est publiée sur la page dédiée : sous-traitants.html. Le Client est notifié de toute modification dans les conditions de l'article 4.3.
Signatures
Le présent DPA est conclu en deux exemplaires originaux, chaque partie en conservant un.
| Pour le Client (responsable de traitement) | Pour MIBsoft (sous-traitant) |
|---|---|
|
Raison sociale : _______________________ Représentée par : _______________________ Qualité : _______________________ Lieu : _______________________ Date : _______________________ Signature : |
Raison sociale : [À COMPLÉTER]Représentée par : [À COMPLÉTER]Qualité : [À COMPLÉTER]Lieu : _______________________ Date : _______________________ Signature : |