Accord de traitement de données (DPA)
Version 1.0 — applicable au lancement de la formule Pro
Le présent Accord de traitement de données (ci-après « DPA » pour Data Processing Agreement) est conclu en application de l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (« RGPD ») entre le Client professionnel souscripteur d'un abonnement TeamFactory Pro (ci-après le « Responsable de traitement ») et l'éditeur de TeamFactory (ci-après le « Sous-traitant »).
Le DPA fait partie intégrante des Conditions Générales de Vente et est réputé accepté par le Client lors de la souscription. Il est complété par les conditions de la politique de confidentialité, applicables aux traitements pour lesquels TeamFactory agit en qualité de responsable.
1. Définitions
Sauf mention contraire, les termes employés dans le présent DPA ont le sens qui leur est donné par l'article 4 du RGPD. Les termes ci-après sont en outre précisés :
- Responsable de traitement : le Client professionnel (établissement scolaire, organisme de formation, entreprise, formateur indépendant) qui souscrit l'abonnement TeamFactory Pro et détermine les finalités et moyens du traitement des données de ses utilisateurs (formateurs, apprenants, salariés en formation).
- Sous-traitant : l'éditeur de TeamFactory, qui traite les données pour le compte du Responsable de traitement et selon ses instructions documentées.
- Sous-traitants ultérieurs : les prestataires techniques (hébergeurs, services tiers) auxquels le Sous-traitant fait appel pour exécuter le service, listés en Annexe 2.
- Personnes concernées : les personnes physiques dont les données sont traitées (apprenants, élèves, étudiants, formateurs, enseignants, salariés en formation, personnel RH).
- Données : les données à caractère personnel traitées par le Sous-traitant pour le compte du Responsable, telles que listées en Annexe 1.
2. Objet du traitement
Le présent DPA encadre les opérations de traitement réalisées par le Sous-traitant pour permettre l'exécution du service TeamFactory : hébergement des comptes et sessions de jeu, synchronisation en temps réel entre les participants, conservation des paramètres de session et des debriefs, envoi d'e-mails transactionnels (lien magique d'authentification, notifications d'invitation).
Le Sous-traitant s'engage à ne traiter les Données que pour les finalités explicitement prévues par le présent DPA et à ne pas les utiliser à ses propres fins, notamment exclusion de tout profilage, prospection commerciale, revente ou réutilisation pour entraîner des modèles d'intelligence artificielle.
3. Durée
Le présent DPA prend effet à la date de souscription de l'abonnement TeamFactory Pro et reste en vigueur tant que le Sous-traitant traite des Données pour le compte du Responsable. Il s'éteint à l'issue des opérations de restitution / destruction décrites à l'article 13.
4. Catégories de Données et de Personnes concernées
Le détail des catégories de Données et de Personnes concernées figure en Annexe 1. À titre synthétique, le traitement porte principalement sur :
- des données d'identification techniques (e-mail du créateur, pseudonyme du participant, identifiant interne UUID, code de session) ;
- des données de jeu (rôle attribué, équipe, décisions, scores, debriefs, messages de chat et de fil social) ;
- des données techniques (adresse IP, user-agent, horodatage des actions, journaux serveur).
Aucune donnée sensible au sens de l'article 9 RGPD (données de santé, opinions politiques, religion, orientation sexuelle, etc.) ni aucune donnée bancaire n'est traitée par le Sous-traitant dans le cadre du service de jeu (les données de paiement sont traitées par Stripe en qualité de responsable autonome).
5. Obligations du Sous-traitant
Le Sous-traitant s'engage, conformément à l'article 28 du RGPD, à :
- ne traiter les Données que sur instruction documentée du Responsable, y compris en ce qui concerne les transferts hors Union européenne ;
- veiller à ce que les personnes autorisées à traiter les Données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- prendre toutes les mesures requises en vertu de l'article 32 du RGPD (article 6 du présent DPA) ;
- respecter les conditions de recours à un sous-traitant ultérieur (article 9) ;
- aider le Responsable, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes d'exercice des droits des Personnes concernées (article 11) ;
- aider le Responsable à se conformer à ses obligations en matière de sécurité, d'analyse d'impact relative à la protection des données (AIPD) et de consultation de l'autorité de contrôle ;
- au choix du Responsable, supprimer ou restituer les Données au terme du service (article 13) ;
- mettre à la disposition du Responsable toute information nécessaire pour démontrer le respect du présent article et permettre des audits dans les conditions de l'article 12.
6. Mesures de sécurité (article 32 RGPD)
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Le détail des mesures est précisé en Annexe 2. À titre principal :
- Chiffrement en transit : l'ensemble des communications entre les terminaux des utilisateurs, l'application web, l'API et la base de données est chiffré en TLS 1.2+ ; les certificats sont gérés automatiquement par les hébergeurs (Let's Encrypt / Vercel).
- Chiffrement au repos : les Données stockées en base sont chiffrées au repos par le sous-traitant ultérieur Supabase (chiffrement AES-256 au niveau du stockage Postgres).
- Cloisonnement par session et par équipe : l'isolation entre sessions et entre équipes est appliquée au niveau de la base via les politiques RLS (« Row Level Security ») de Supabase, complétées par des fonctions SECURITY DEFINER avec contrôle de propriétaire pour les opérations sensibles.
- Authentification : les créateurs s'authentifient par lien magique à usage unique. Aucun mot de passe utilisateur n'est stocké côté Sous-traitant. Les sessions JWT ont une durée de vie limitée et sont rafraîchies de manière sécurisée.
- Contrôle des accès administrateur : l'accès administratif aux bases de données et aux journaux est limité au seul Éditeur, via des identifiants forts (mots de passe générés + 2FA lorsque proposé par le sous-traitant ultérieur), et journalisé.
- Sauvegardes : la base de données fait l'objet de sauvegardes automatiques quotidiennes assurées par Supabase, avec un point de restauration sur les 7 derniers jours pour la formule en vigueur.
- Journalisation : les requêtes serveur, accès administratifs et erreurs applicatives sont journalisés pendant une durée limitée pour les besoins de sécurité et de débogage.
- Tests et audits internes : une suite de tests automatisés (typage strict TypeScript, suite Jest) couvre les invariants critiques. Un audit RLS interne est mené à chaque évolution majeure du schéma. Aucun pentest tiers indépendant n'est à ce jour réalisé sur la formule courante ; cette information sera mise à jour le cas échéant.
Le Sous-traitant peut faire évoluer les mesures de sécurité, dès lors que le niveau de protection global ne se trouve pas réduit.
7. Confidentialité
Le Sous-traitant veille à ce que toute personne intervenant sur les Données (employés, sous-traitants techniques, prestataires ponctuels) soit liée par une obligation de confidentialité, contractuelle ou légale, et n'accède aux Données que dans la stricte limite de l'exécution de ses missions.
8. Notification de violation de données
Le Sous-traitant notifie au Responsable toute violation de données à caractère personnel le concernant dans les meilleurs délais et au plus tard dans les soixante-douze (72) heures après en avoir pris connaissance.
La notification est adressée par e-mail à l'adresse du Responsable enregistrée dans son espace de gestion, et comprend, dans la mesure où les informations sont disponibles :
- la nature de la violation, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés ;
- les coordonnées du point de contact pour obtenir plus d'informations ;
- les conséquences probables de la violation ;
- les mesures prises ou envisagées pour y remédier et atténuer les éventuelles conséquences négatives.
Si toutes les informations ne peuvent être fournies en même temps, elles sont communiquées de manière échelonnée, sans retard indu.
9. Sous-traitants ultérieurs
Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés en Annexe 2 pour l'exécution du service. Cette autorisation est dite générale et écrite au sens de l'article 28.2 du RGPD.
Le Sous-traitant s'engage à :
- imposer à chaque sous-traitant ultérieur, par contrat ou autre acte juridique, les mêmes obligations en matière de protection des données que celles fixées par le présent DPA ;
- informer le Responsable de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur (par mise à jour de la présente page, et / ou par e-mail pour les changements significatifs) ;
- donner au Responsable la possibilité d'émettre des objections raisonnables à ce changement dans un délai de quinze (15) jours suivant la notification. En cas d'objection persistante, le Responsable pourra résilier l'abonnement, sans pénalité, dans les conditions de l'article 7 des CGV.
10. Transferts hors Union européenne
Certains sous-traitants ultérieurs (Vercel, Resend, Cloudflare, Stripe) sont établis aux États-Unis ou opèrent depuis des juridictions hors Espace économique européen. Les transferts sont encadrés par :
- une décision d'adéquation de la Commission européenne, lorsqu'elle existe, notamment l'EU-US Data Privacy Framework (DPF) pour les sous-traitants certifiés aux États-Unis ;
- à défaut, les clauses contractuelles types (CCT) de la Commission européenne, complétées le cas échéant par des mesures supplémentaires.
Le statut de chaque sous-traitant ultérieur (localisation, mécanisme de transfert) est précisé en Annexe 2.
11. Droits des Personnes concernées
Les Personnes concernées (apprenants, formateurs, etc.) disposent des droits prévus par les articles 15 à 22 du RGPD : accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement.
Ces droits s'exercent en priorité auprès du Responsable de traitement, qui détermine les finalités et moyens du traitement. Le Sous-traitant aide le Responsable à y donner suite :
- en mettant à disposition, dans l'espace de gestion ou sur demande à julienbt2f@gmail.com, des fonctionnalités d'export et de suppression ;
- en répondant aux sollicitations du Responsable dans un délai raisonnable, et au plus tard sous quinze (15) jours ouvrés, afin de lui permettre de respecter le délai d'un mois imposé par l'article 12.3 du RGPD.
Le Sous-traitant ne donne pas suite directement aux demandes des Personnes concernées qui lui seraient adressées par erreur, sauf instruction du Responsable ; il les redirige vers le Responsable identifié.
12. Audits
Le Responsable peut demander, au plus une (1) fois par an et avec un préavis raisonnable de trente (30) jours, à vérifier le respect par le Sous-traitant des obligations du présent DPA. Cette vérification peut prendre la forme d'un questionnaire écrit ou d'un audit documentaire.
Compte tenu de la nature du service (offre self-service à coût réduit), un audit sur site n'est pas inclus de droit ; il pourrait être organisé exceptionnellement, à la charge du Responsable, en cas de motif sérieux dûment justifié (par exemple, suspicion de violation grave) et sous réserve d'un accord préalable sur les modalités. Toute information recueillie à l'occasion de l'audit est strictement confidentielle.
Le Sous-traitant peut s'acquitter de ses obligations d'audit en remettant les rapports d'audit ou certifications obtenus auprès de ses sous-traitants ultérieurs (Vercel, Supabase, etc.) lorsqu'ils sont pertinents pour les opérations en cause.
13. Restitution / destruction des Données
Au terme de la prestation, et au choix du Responsable exprimé par e-mail à julienbt2f@gmail.com :
- le Sous-traitant restitue les Données traitées au Responsable, dans un format structuré couramment utilisé (CSV, JSON), dans un délai raisonnable ;
- ou le Sous-traitant supprime les Données et toutes les copies existantes, sauf obligation légale de conservation. La suppression est attestée par écrit au Responsable, sur demande.
À défaut d'instruction dans les quatre-vingt-dix (90) jours suivant la fin de la prestation, le Sous-traitant procède à la suppression des Données, à l'exception des journaux techniques anonymisés et des éléments comptables conservés au titre de leurs durées légales propres.
14. Documentation
Le Sous-traitant tient un registre des activités de traitement effectuées pour le compte du Responsable, conformément à l'article 30.2 du RGPD. Ce registre peut être communiqué sur demande à l'autorité de contrôle compétente (CNIL).
15. Responsabilité et sanctions
Sans préjudice des obligations prévues à l'article 82 du RGPD, chaque partie est responsable des dommages causés par tout traitement contraire au RGPD. La répartition des responsabilités entre le Responsable et le Sous-traitant suit les règles posées par le RGPD.
La limitation de responsabilité prévue à l'article 12 des CGV s'applique entre les parties, à l'exclusion des manquements engageant la responsabilité directe du Sous-traitant au titre de l'article 82 du RGPD à l'égard des Personnes concernées.
16. Droit applicable et juridiction
Le présent DPA est soumis au droit français. Tout litige relève de la juridiction définie à l'article 17 des CGV.
Annexe 1 — Description du traitement
Catégories de Personnes concernées
- Formateurs, enseignants, animateurs (créateurs de session) ;
- Apprenants, élèves, étudiants (participants) ;
- Salariés en formation interne, équipes RH ou animateurs internes (en contexte entreprise) ;
- Toute autre personne participant à une session organisée par le Responsable.
Catégories de Données traitées
| Catégorie | Exemples | Origine |
|---|---|---|
| Identification créateur | e-mail, identifiant UUID | Saisie utilisateur |
| Identification participant | pseudonyme, identifiant UUID, équipe / rôle | Saisie utilisateur |
| Données de session | code de session, paramètres pédagogiques, scénario, mode | Saisie créateur |
| Données de jeu | actions, scores, décisions, historique des journées, debrief | Généré par le service |
| Communications intra-jeu | messages de chat d'équipe, posts du fil social | Saisie utilisateur |
| Données techniques | adresse IP, user-agent, horodatage des actions, identifiants de session JWT | Captée par le service |
Aucune donnée sensible au sens de l'article 9 RGPD n'est sollicitée par le service. Les données bancaires éventuelles sont traitées exclusivement par Stripe en qualité de responsable autonome.
Finalités du traitement
- Permettre la création et le déroulement de sessions de jeu pédagogiques ;
- Synchroniser en temps réel les actions des participants entre eux ;
- Établir, à la fin de chaque partie, un debrief pédagogique transmis au formateur ;
- Envoyer des e-mails transactionnels (lien magique d'authentification, confirmation d'inscription, notifications opérationnelles) ;
- Assurer la sécurité, la disponibilité et le bon fonctionnement du service.
Durée de conservation
- Compte créateur actif : tant que le compte est actif, puis suppression dans un délai raisonnable après la dernière connexion (rappel adressé par e-mail avant suppression).
- Sessions de jeu actives ou terminées : 90 jours à compter de la fin de la session, sauf demande contraire du Responsable. Au-delà, archivage statistique anonymisé ou suppression.
- Messages de chat et posts du fil social : liés à la session de jeu, supprimés ou anonymisés en même temps qu'elle.
- Journaux techniques : 30 jours en moyenne, selon la politique de chaque sous-traitant ultérieur.
- Éléments de facturation : conservés 10 ans en application de l'article L.123-22 du Code de commerce.
Annexe 2 — Mesures techniques et organisationnelles & sous-traitants ultérieurs
A. Mesures techniques et organisationnelles détaillées
- Chiffrement : TLS 1.2+ en transit (HTTPS partout) ; AES-256 au repos pour la base de données (Supabase Postgres) ; certificats Let's Encrypt automatiquement renouvelés.
- Contrôle d'accès : politiques RLS Supabase activées sur toutes les tables sensibles ; opérations privilégiées via fonctions SECURITY DEFINER avec contrôle de propriétaire ; accès administrateur limité à l'éditeur via identifiants forts et 2FA lorsque proposé.
- Authentification utilisateur : lien magique à usage unique pour les créateurs, sans stockage de mot de passe ; codes de session pour les participants ; JWT à durée limitée et renouvellement sécurisé.
- Cloisonnement : isolation des données par session et par équipe au niveau base ; aucun croisement de données inter-clients.
- Sauvegardes : snapshots quotidiens automatiques de la base, point de restauration sur les 7 derniers jours (offre Supabase courante).
- Journalisation : journaux serveur (requêtes, erreurs) conservés ~30 jours ; accès administratifs tracés par le sous-traitant ultérieur.
- Mises à jour de sécurité : dépendances applicatives surveillées et mises à jour à un rythme raisonnable ; stack hébergée fréquemment patchée par les sous-traitants ultérieurs.
- Tests automatisés : type-check TypeScript strict, suite Jest couvrant les invariants critiques ; audit interne RLS à chaque évolution du schéma.
- Gestion des incidents : procédure de notification au Responsable conforme à l'article 8 du DPA (délai 72 h).
- Sensibilisation : l'éditeur, en tant que personne unique manipulant les données, applique les bonnes pratiques OWASP et les recommandations CNIL.
B. Liste des sous-traitants ultérieurs autorisés
À la date de publication du présent DPA, les sous-traitants ultérieurs sont les suivants :
| Sous-traitant | Rôle | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement de l'application web et des fonctions serverless | États-Unis (avec edges UE) | EU-US Data Privacy Framework |
| Supabase Inc. | Base de données Postgres, authentification, Realtime, stockage | Singapour (entité), région EU pour ce projet (Frankfurt) | CCT + mesures techniques supplémentaires |
| Resend | Envoi d'e-mails transactionnels (lien magique, confirmations) | États-Unis (région d'envoi : eu-west-1, Irlande) | EU-US Data Privacy Framework / CCT |
| Cloudflare Inc. | CDN, mesure d'audience anonyme (Web Analytics) sur la landing | États-Unis (réseau mondial avec anonymisation IP en edge) | EU-US Data Privacy Framework |
| Stripe Payments Europe Ltd. | Traitement des paiements (formule Pro) | Irlande (UE) | Aucun transfert hors UE pour la collecte ; Stripe agit en responsable autonome |
| OVH SAS | Bureau d'enregistrement du nom de domaine, zone DNS | France (UE) | Aucun transfert hors UE |
Les liens vers les politiques RGPD et certifications de chaque sous-traitant ultérieur peuvent être communiqués sur simple demande à julienbt2f@gmail.com.
Contact
Pour toute question relative au présent DPA, demande d'export, demande de suppression ou notification d'incident : julienbt2f@gmail.com
Une copie signée du DPA peut être transmise à votre service juridique ou DPO sur demande, en pièce jointe d'un e-mail.