Accord de Traitement des Données (DPA)

Addendum au Traitement des Données (DPA). En vigueur à compter du : 25 mars 2026. Entité juridique : MB Tutlio. Contact : info@tutlio.lt.

En utilisant la plateforme Tutlio et en saisissant les données des élèves, vous confirmez avoir lu et accepté le présent Accord de Traitement des Données (DPA), la Politique de Confidentialité et les Conditions d'Utilisation.

✓ J'accepte les termes du DPA

Document créé : 25-03-2026

Entité juridique : MB Tutlio

Version : 1.0

Note : Le présent Accord de Traitement des Données (DPA) fait partie intégrante des Conditions d'Utilisation et de la Politique de Confidentialité de la plateforme Tutlio. Il s'applique à tous les Tuteurs et Organisations qui utilisent la plateforme Tutlio et traitent les données personnelles des élèves.

10. RÉSILIATION DU CONTRAT ET RESTITUTION DES DONNÉES

• Restitution des données : Le Prestataire remet toutes les données du Client au format JSON ou CSV dans les 30 jours
• Suppression des données : Le Prestataire supprime de manière sécurisée toutes les données du Client et des élèves dans les 30 jours

10.1. Restitution ou suppression des données

À la résiliation de l'accord entre le Client et le Prestataire, le Client peut choisir :

• Obligations légales (ex. lois comptables – 10 ans pour les documents de paiement)
• Actions en justice (résolution de litiges)
• Nécessité technique (ex. sauvegardes, automatiquement supprimées dans les 30 jours)

10.2. Exceptions

Le Prestataire peut conserver certaines données plus longtemps si requis par :

• Le Prestataire est responsable des violations des mesures de sécurité techniques et organisationnelles, des incidents de sécurité des données dus à sa propre faute
• Le Client est responsable du traitement des données sans base juridique, de la notification insuffisante des personnes concernées, de la saisie de données injustifiées ou incorrectes
• Responsabilité mutuelle : Si une personne concernée dépose une plainte pour violation du RGPD, les parties coopèrent et sont responsables selon leurs domaines de responsabilité respectifs

11. RESPONSABILITÉ ET INDEMNISATION

Chaque partie est responsable du non-respect de ses obligations au titre du présent DPA :

La limitation de responsabilité est établie dans les Conditions d'Utilisation de la Plateforme et la législation applicable.

Contacts de MB Tutlio pour les questions RGPD :

E-mail : info@tutlio.lt

Note : Actuellement, MB Tutlio n'a pas de Délégué à la Protection des Données (DPO) désigné car elle ne relève pas des exigences de l'Art. 37 du RGPD. Toutes les questions relatives au RGPD sont traitées via le contact général.

Sous 5 jours ouvrables

Délai de réponse :

« RGPD / Protection des données »

Objet : « RGPD / Protection des données »

12. CONTACTS ET DÉLÉGUÉ À LA PROTECTION DES DONNÉES

• Conditions d'Utilisation de Tutlio
• Politique de Confidentialité de Tutlio
• Accords d'organisation (le cas échéant)

13. ANNEXES ET INFORMATIONS COMPLÉMENTAIRES

Le présent DPA fait partie intégrante des documents suivants :

• Validité : Le présent DPA entre en vigueur à compter du 25-03-2026 et est valable pour toute la durée de l'accord entre le Client et le Prestataire
• Modifications : Le Prestataire peut mettre à jour le présent DPA en informant le Client par e-mail au plus tard 30 jours avant l'entrée en vigueur des modifications
• Droit applicable : Le présent DPA est régi par le droit de la République de Lituanie et le RGPD
• Litiges : Les litiges sont résolus par négociation ; à défaut d'accord – devant les tribunaux de la République de Lituanie

14. DISPOSITIONS FINALES

1. PARTIES ET DÉFINITIONS

• MB Tutlio (ci-après – le Prestataire, la Plateforme), fournissant les services de la plateforme Tutlio, et
• Tuteur/Organisation (ci-après – le Client), utilisant la Plateforme pour la gestion des données des élèves et l'organisation des cours.

1.1. Parties

Le présent Accord de Traitement des Données (ci-après – DPA) est conclu entre :

• RGPD – Règlement Général sur la Protection des Données (UE 2016/679)
• Données personnelles – toute information relative à une personne physique (élève, parent/tuteur légal) dont l'identité est connue ou peut être déterminée
• Responsable du traitement – une personne physique ou morale qui détermine les finalités et les moyens du traitement des données
• Sous-traitant – une personne physique ou morale qui traite les données personnelles pour le compte du responsable du traitement
• Personne concernée – une personne physique (élève, parent/tuteur légal) dont les données personnelles sont traitées
• Sous-traitant ultérieur – un tiers utilisé par le Prestataire pour les opérations de traitement des données (ex. Supabase, Stripe)

1.2. Définitions

2. PORTÉE ET FINALITÉS DU TRAITEMENT DES DONNÉES

• Prénom et nom
• Adresse e-mail
• Numéro de téléphone
• Âge et niveau (facultatif)
• Codes d'invitation
• Historique des cours (dates, heures, sujets, notes)
• Informations de paiement (montant, statut, délais de paiement)
• Données du parent/tuteur légal (si le payeur n'est pas l'élève) : nom, e-mail

2.1. Données traitées

Les données personnelles suivantes des élèves et parents/tuteurs légaux peuvent être traitées sur la Plateforme :

• Fourniture du service de la Plateforme : Planification des cours, gestion du calendrier, envoi de rappels
• Administration des paiements : Traitement des paiements de cours, envoi de factures
• Communication : Envoi de notifications automatisées (rappels, confirmations, invitations)
• Comptabilité : Gestion des documents financiers conformément aux obligations légales
• Amélioration de la Plateforme : Statistiques anonymes pour l'amélioration des services de la Plateforme

2.2. Finalités du traitement des données

Les données sont traitées aux fins suivantes :

• Tant que l'accord entre le Client et la Plateforme est en vigueur
• Documents financiers (paiements, factures) – 10 ans conformément aux lois comptables
• Après la résiliation du contrat : jusqu'à 30 jours, sauf si le Client demande une suppression ou une restitution anticipée

2.3. Durée du traitement des données

Les données sont conservées :

3. OBLIGATIONS ET RESPONSABILITÉS DES PARTIES

• Traiter les données uniquement selon les instructions du Client et aux fins spécifiées dans le présent DPA
• Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées :

Chiffrement des données (en transit et au repos)

Contrôle d'accès (authentification, autorisation, politiques RLS)

Sauvegardes régulières et plans de récupération

Audit et surveillance de la sécurité

Formation des employés sur la protection des données

• Signaler les violations de sécurité des données dans les 72 heures suivant la découverte au Client et à l'autorité de contrôle (si nécessaire)
• Assister dans la mise en œuvre des droits des personnes concernées :

Droit d'accès – fournir la possibilité d'exporter les données

Droit à l'effacement – supprimer les données dans les 30 jours

Droit de rectification – permettre la correction des données via la Plateforme

Droit à la portabilité – exporter les données au format JSON/CSV

• Utiliser uniquement des sous-traitants ultérieurs approuvés (voir section 4) et informer le Client de tout changement
• Restituer ou supprimer les données à la résiliation du contrat selon le choix du Client
• Permettre les audits – fournir les informations et documents nécessaires à la vérification de la conformité RGPD
• Ne pas transférer les données en dehors de l'UE/EEE sans garanties appropriées (ex. clauses contractuelles types)

3.1. Obligations du Prestataire

Le Prestataire s'engage à :

• Avoir une base juridique pour le traitement de toutes les données saisies sur la Plateforme (consentement, contrat, intérêt légitime au titre de l'Art. 6 du RGPD)
• Informer les personnes concernées (élèves, parents) sur :

Quelles données sont traitées

Pourquoi elles sont traitées (finalités)

Que les données seront traitées sur la plateforme Tutlio

Lien vers la Politique de Confidentialité de Tutlio : tutlio.lt/privacy-policy

Leurs droits (accès, effacement, rectification, etc.)

• Obtenir le consentement approprié : Si la personne concernée est mineure (moins de 16 ans), obtenir le consentement du parent/tuteur légal
• Garantir l'exactitude des données : Saisir uniquement des données correctes et à jour sur la Plateforme
• Saisir uniquement les données nécessaires : Respecter le principe de minimisation des données
• Répondre aux demandes des personnes concernées : En utilisant les fonctionnalités de la Plateforme ou en contactant le Prestataire pour assistance
• Signaler les incidents de sécurité : Informer immédiatement le Prestataire de toute violation de sécurité des données constatée
• Utiliser la Plateforme de manière responsable : Ne pas partager l'accès avec des tiers, protéger les identifiants de connexion

3.2. Obligations du Client

Le Client s'engage à :

Conformité RGPD :

Localisation des données :

Politique de confidentialité :

Resend (Zernonia, Inc.)

Conformité RGPD : Conforme au RGPD

Localisation des données : USA (AWS)

Service : Envoi d'e-mails (rappels, invitations, notifications)

Service :

Stripe, Inc.

Conformité RGPD : Conforme au RGPD, certifié PCI DSS Niveau 1

Localisation des données : USA, UE (avec clauses contractuelles types)

Service : Traitement des paiements, gestion des abonnements

Supabase Inc.

Conformité RGPD : Conforme au RGPD, certifié ISO 27001

Localisation des données : Union européenne (AWS eu-central-1)

Service : Hébergement et gestion de base de données

4. SOUS-TRAITANTS ULTÉRIEURS

4.1. Sous-traitants ultérieurs approuvés

Le Prestataire utilise les sous-traitants ultérieurs suivants pour les opérations de traitement des données :

4.2. Changements de sous-traitants ultérieurs

Si le Prestataire prévoit d'ajouter un nouveau sous-traitant ultérieur ou de remplacer un existant, il informera le Client par e-mail au plus tard 30 jours avant le changement. Le Client a le droit de s'opposer au nouveau sous-traitant ultérieur, auquel cas il peut résilier le contrat sans frais supplémentaires.

5. DROITS DES PERSONNES CONCERNÉES

• Droit d'accès (Art. 15) : Obtenir une copie de ses données
• Droit de rectification (Art. 16) : Corriger les données inexactes
• Droit à l'effacement (Art. 17) : « Droit à l'oubli » (avec exceptions, ex. lois comptables)
• Droit à la limitation (Art. 18) : Limiter le traitement de certaines données
• Droit à la portabilité (Art. 20) : Recevoir les données dans un format structuré et lisible par machine
• Droit d'opposition (Art. 21) : S'opposer au traitement des données fondé sur l'intérêt légitime
• Droit de porter plainte (Art. 77) : Déposer une plainte auprès de l'autorité de contrôle compétente (CNIL)

5.1. Exercice des droits

Les personnes concernées (élèves, parents) disposent des droits suivants en vertu du RGPD :

• Directement auprès du Client (tuteur/organisation)
• Via les paramètres de la Plateforme (si l'élève a un compte)
• Par e-mail au Prestataire : info@tutlio.lt

5.2. Délais et procédures de réponse

Les demandes des personnes concernées peuvent être soumises :

Délai de réponse : Au plus tard 30 jours après réception de la demande (peut être prolongé à 60 jours dans les cas complexes, en informant la personne concernée).

6. MESURES DE SÉCURITÉ DES DONNÉES

• Chiffrement : TLS 1.3 en transit, AES-256 au repos
• Authentification : Stockage sécurisé des mots de passe (bcrypt), capacité MFA
• Contrôle d'accès : Politiques de sécurité au niveau des lignes (RLS) dans la base de données
• Sauvegardes : Sauvegardes quotidiennes automatiques avec rétention de 30 jours
• Surveillance : Suivi et notifications des événements de sécurité
• Mises à jour : Mises à jour régulières du système et des dépendances

6.1. Mesures techniques

• Formation des employés : Formation RGPD et protection des données
• Obligations de confidentialité : Tous les employés signent des accords de confidentialité
• Restriction d'accès : Seuls les employés autorisés ont accès aux données
• Gestion des incidents : Procédures documentées pour la gestion des violations de sécurité des données
• Audits : Audits de sécurité internes réguliers

6.2. Mesures organisationnelles

7. VIOLATIONS DE SÉCURITÉ DES DONNÉES

• Immédiatement (dans les 72 heures) notifie le Client par e-mail
• Décrit la violation : Nature de la violation, quelles données ont été affectées, combien de personnes concernées
• Indique les mesures prises : Comment la violation a été contenue, quelles mesures ont été prises pour restaurer les données
• Recommande des actions : Ce que le Client devrait notifier aux personnes concernées
• Si la violation présente un risque élevé pour les droits des personnes concernées, le Prestataire notifie l'autorité de contrôle et assiste le Client dans la notification des personnes affectées

7.1. Procédure de notification

En cas de violation de sécurité des données, le Prestataire :

7.2. Responsabilité du Client

Le Client s'engage à signaler immédiatement au Prestataire tout incident de sécurité observé concernant son compte ou ses données sur la Plateforme.

• Se conformer aux exigences du RGPD
• Utiliser les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne
• Disposer de mesures de sécurité techniques et organisationnelles appropriées

8. TRANSFERTS INTERNATIONAUX DE DONNÉES

Les données primaires sont stockées dans l'Union européenne (Supabase AWS eu-central-1). Certains sous-traitants ultérieurs (Stripe, Resend) peuvent stocker des données aux États-Unis, mais ils :

Le Prestataire ne transférera pas de données vers des pays tiers en dehors de l'UE/EEE sans garanties appropriées et sans en informer le Client.

• Fournir les documents confirmant la mise en œuvre des mesures de sécurité
• Fournir la liste des sous-traitants ultérieurs et leur conformité RGPD
• Permettre les audits (sur demande raisonnable et accord préalable)
• Coopérer avec les autorités de contrôle (CNIL)

9. AUDIT ET VÉRIFICATION DE CONFORMITÉ

Le Client a le droit de demander des informations sur la conformité RGPD du Prestataire. Le Prestataire s'engage à :