S’applique lors de l’utilisation de la plateforme Tutlio.
Remarque : Le présent Accord de traitement des données (DPA) fait partie intégrante du Contrat de prestation de services (s’il a été signé), des Règles internes de la Plateforme Tutlio et de la Politique de confidentialité. Il s’applique à tous les Tuteurs et Organisations qui utilisent la plateforme Tutlio et traitent des données personnelles d’élèves.
1. PARTIES ET DÉFINITIONS
1.1. Parties et rôles
Le présent Accord de traitement des données (ci-après le DPA) est conclu entre :
- MB Tutlio (ci-après le Prestataire de services ou la Plateforme), qui fournit les services de la plateforme Tutlio, et
- le Tuteur/l’Organisation (ci-après le Client), qui utilise la Plateforme pour gérer les données des élèves et organiser les leçons.
Les parties conviennent expressément que, conformément au Règlement général sur la protection des données (RGPD), lors du traitement des données personnelles dans la Plateforme, le Client agit exclusivement comme Responsable du traitement, tandis que MB Tutlio agit exclusivement comme Sous-traitant (conformément à l’article 28 du RGPD).
1.2. Définitions
- RGPD désigne le Règlement général sur la protection des données (UE 2016/679).
- Données personnelles désigne toute information relative à une personne physique (élève, parent/tuteur légal) dont l’identité est connue ou peut être déterminée.
- Responsable du traitement désigne une personne physique ou morale (le Client) qui détermine les finalités et les moyens du traitement des données.
- Sous-traitant désigne une personne physique ou morale (MB Tutlio) qui traite les données personnelles exclusivement pour le compte et selon les instructions du responsable du traitement.
- Personne concernée désigne une personne physique (élève, parent/tuteur légal) dont les données personnelles sont traitées.
- Sous-traitant ultérieur désigne un tiers utilisé par le Prestataire de services pour les opérations de traitement des données (par exemple Supabase, Stripe, Perlas Finance).
2. PORTÉE ET FINALITÉS DU TRAITEMENT DES DONNÉES
2.1. Données traitées
Dans la Plateforme, sur instruction du Client, les données personnelles suivantes des élèves et des parents/tuteurs légaux peuvent être traitées :
- Prénom et nom
- Adresse e-mail
- Numéro de téléphone
- Âge et classe (facultatif)
- Codes d’invitation
- Historique des leçons (dates, horaires, sujets, notes)
- Informations de paiement (montant, statut, échéances de paiement)
- Données des parents/tuteurs légaux (si le payeur n’est pas l’élève lui-même) : nom, e-mail
2.2. Finalités du traitement des données
Les données sont traitées aux fins suivantes :
- Fourniture des services de la Plateforme : Planification des leçons, gestion du calendrier, envoi de rappels.
- Administration des paiements : Traitement des paiements des leçons, génération et envoi de factures.
- Communication : Envoi de notifications automatiques (rappels, confirmations, invitations).
- Comptabilité : Tenue des registres financiers conformément aux exigences légales.
- Amélioration de la Plateforme : Statistiques anonymes destinées à améliorer les services de la plateforme.
2.3. Durée du traitement des données
Les données sont conservées :
- Tant que le contrat de prestation de services ou l’utilisation du compte entre le Client et la Plateforme reste en vigueur.
- Les documents financiers (paiements, factures) sont conservés pendant 10 ans conformément aux exigences des lois comptables.
- Après la résiliation du contrat / la suppression du compte : jusqu’à 30 jours, sauf si le Client demande une suppression plus précoce ou l’exportation des données.
3. OBLIGATIONS ET RESPONSABILITÉS DES PARTIES
3.1. Obligations du Prestataire de services (Sous-traitant)
Le Prestataire de services s’engage à :
- Traiter les données uniquement selon les instructions du Client (Responsable du traitement) et aux fins indiquées dans le présent DPA.
- Mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées (chiffrement, contrôle d’accès, sauvegardes, etc.).
- Notifier au Client les violations de sécurité des données dans les 72 heures suivant leur découverte.
- Aider le Client à exercer les droits des personnes concernées (droits d’accès, de suppression, de rectification et de portabilité au moyen des fonctionnalités de la Plateforme).
- Utiliser uniquement des sous-traitants ultérieurs approuvés (voir section 4) et informer le Client de leurs changements.
- Restituer ou supprimer les données à la fin du contrat selon le choix du Client.
- Permettre l’audit : sur demande justifiée, fournir les informations nécessaires à la vérification de la conformité au RGPD.
- Ne pas transférer les données hors de l’UE/EEE sans garanties appropriées.
3.2. Obligations du Client (Responsable du traitement)
Le Client s’engage à :
- Disposer d’une base juridique pour le traitement de toutes les données saisies dans la Plateforme (consentement, contrat, intérêt légitime conformément à l’article 6 du RGPD).
- Informer les personnes concernées (élèves, parents) des données collectées, des raisons de leur collecte et du fait qu’elles seront traitées dans la plateforme Tutlio (en fournissant un lien vers la Politique de confidentialité de Tutlio).
- Obtenir les consentements appropriés (si la personne concernée est mineure, obtenir le consentement des parents/tuteurs légaux).
- Garantir l’exactitude des données et respecter le principe de minimisation des données (ne saisir que les données nécessaires aux leçons).
- Répondre de manière autonome aux demandes des personnes concernées, en utilisant si nécessaire les fonctionnalités de la Plateforme.
- Utiliser la Plateforme de manière responsable, ne pas transmettre l’accès à des tiers et protéger les données de connexion.
4. SOUS-TRAITANTS ULTÉRIEURS
4.1. Sous-traitants ultérieurs approuvés
Le Client accorde au Prestataire de services une autorisation générale d’utiliser les sous-traitants ultérieurs suivants :
Supabase Inc. Service : hébergement et gestion de la base de données. Lieu des données : Union européenne (région AWS eu-central-1). Conformité RGPD : conforme au RGPD, certifié ISO 27001.
Stripe, Inc. Service : traitement des paiements (marchés internationaux). Lieu des données : États-Unis, UE (au moyen des clauses contractuelles types, SCC). Conformité RGPD : conforme au RGPD, certifié PCI DSS Level 1.
UAB Perlas Finance Service : services d’open banking et de traitement des paiements (marché local). Lieu des données : Union européenne (Lituanie). Conformité RGPD : établissement de paiement agréé par la Banque de Lituanie, conforme au RGPD.
Resend (Zernonia, Inc.) Service : envoi d’e-mails (rappels, notifications). Lieu des données : États-Unis (AWS, avec SCC). Conformité RGPD : conforme au RGPD.
4.2. Changement de sous-traitants ultérieurs
Si le Prestataire de services prévoit d’ajouter un nouveau sous-traitant ultérieur ou de remplacer un sous-traitant existant, il informera le Client par e-mail au plus tard 30 jours avant le changement. Le Client a le droit de s’opposer au nouveau sous-traitant ultérieur (s’il existe des motifs raisonnables liés à la protection des données) ; dans ce cas, le Client a le droit de résilier le contrat de prestation de services.
5. DROITS DES PERSONNES CONCERNÉES
5.1. Exercice des droits
Les personnes concernées (élèves, parents) disposent des droits suivants au titre du RGPD : droit d’accès, droit de rectification, droit à l’effacement (droit à l’oubli), droit à la limitation, droit à la portabilité, droit d’opposition, droit d’introduire une réclamation auprès de l’Inspection nationale de la protection des données (VDAI).
5.2. Délais de réponse et procédures
Les demandes des personnes concernées doivent d’abord être traitées par le Client (Responsable du traitement). Si le Client a besoin d’une assistance technique pour extraire ou supprimer les données, il peut contacter le Prestataire de services par e-mail à info@tutlio.lt. Le Prestataire de services répond à ces demandes au plus tard dans les 30 jours.
6. MESURES DE SÉCURITÉ DES DONNÉES
6.1. Mesures techniques
- Chiffrement : TLS 1.3 pour le transport, AES-256 au repos (stockage).
- Authentification : Stockage sécurisé des mots de passe (hash bcrypt).
- Contrôle d’accès : Accès cloisonné aux données (Row-Level Security - RLS).
- Sauvegardes : Sauvegardes automatiques quotidiennes (conservées 30 jours).
- Surveillance : Surveillance des événements de sécurité et des métriques des serveurs.
6.2. Mesures organisationnelles
- Formations des employés et engagements de confidentialité (tous les employés signent un NDA).
- Limitation de l’accès : Seuls les employés autorisés disposent d’un accès technique à l’infrastructure.
- Gestion des incidents : Procédures documentées pour le traitement des violations de sécurité.
7. VIOLATIONS DE SÉCURITÉ DES DONNÉES
En cas de violation de sécurité des données, le Prestataire de services notifie sans délai (au plus tard dans les 72 heures) le Client par e-mail, décrit la nature de la violation, indique les mesures prises et fournit des recommandations. Le Client, en tant que Responsable du traitement, est responsable de l’information ultérieure des personnes concernées ou de la VDAI conformément aux exigences du RGPD.
8. TRANSFERT INTERNATIONAL DE DONNÉES
Les principales données personnelles sont conservées dans l’Union européenne (AWS eu-central-1). Lors de l’utilisation de sous-traitants ultérieurs enregistrés aux États-Unis (par exemple Stripe, Resend), le transfert de données est effectué conformément aux clauses contractuelles types (SCC) approuvées par la Commission européenne, afin d’assurer le niveau de protection requis par l’UE.
9. AUDIT ET VÉRIFICATION DE CONFORMITÉ
Le Client a le droit de demander des informations sur les mesures de conformité au RGPD appliquées par le Prestataire de services. Le Prestataire de services s’engage à fournir les documents justificatifs. Les audits physiques de l’infrastructure ne peuvent être effectués qu’après accord préalable, avec prise en charge des coûts de support d’audit du Prestataire de services et sans porter atteinte à la confidentialité des autres clients.
10. FIN DU CONTRAT ET RESTITUTION DES DONNÉES
En cas de résiliation du contrat de prestation de services ou de suppression du compte par le Client, le Prestataire de services restitue les données (permet leur exportation) au format JSON ou CSV. À l’issue de la période de transition de 30 jours, toutes les données personnelles du Client sont irréversiblement supprimées des systèmes et des sauvegardes, à l’exception des données dont la conservation est exigée par la loi (par exemple les opérations financières à des fins comptables).
11. RESPONSABILITÉ ET INDEMNISATIONS
Chaque partie est responsable des dommages résultant de sa propre violation du présent DPA et du RGPD. La responsabilité financière maximale du Prestataire de services (Sous-traitant) pour les violations du présent DPA est limitée aux montants et conditions fixés dans le Contrat principal de prestation de services ou dans les Règles internes de la Plateforme (limitation de responsabilité / Liability Cap).
12. CONTACTS
Contacts de MB Tutlio pour les questions relatives au RGPD et à la confidentialité :
- E-mail : info@tutlio.lt
- Objet : RGPD / Protection des données
- Délai de réponse : sous 5 jours ouvrables
13. DISPOSITIONS FINALES
Le présent DPA entre en vigueur lorsque le Client accepte les Règles de la Plateforme (ou signe le Contrat de prestation de services) et reste valable pendant toute la durée de fourniture des services. Le Prestataire de services peut mettre à jour le présent DPA en informant le Client par e-mail au plus tard 30 jours avant l’entrée en vigueur des changements. Le présent accord est régi par le droit de la République de Lituanie et les exigences du RGPD de l’UE.