Accord de traitement des données
Version v1.0 — Avril 2026 · applicable au 1er mai 2026
Cet accord de traitement des données (Data Processing Agreement, « DPA ») s'applique automatiquement à tout Établissement qui souscrit un abonnement Scholr. Il complète les Conditions générales d'utilisation et est accepté en ligne par le directeur de l'établissement lors de sa première connexion.
Une copie signée au format PDF peut être fournie sur demande auprès de dpo@scholr.fr.
1. Parties
Le présent accord est conclu entre :
- Le sous-traitant : Scholr SAS, société par actions simplifiée au capital de 1 000 €, dont le siège social est situé au 2 chemin de la Croix Saint-Jérôme, 77123 Noisy-sur-École, France — ci-après désignée « Scholr ».
- Le responsable de traitement : l'Établissement d'enseignement souscripteur de l'abonnement Scholr — ci-après désigné « l'Établissement ».
2. Objet et qualification des parties
Dans le cadre du contrat d'abonnement à la plateforme Scholr, l'Établissement confie à Scholr le traitement de données à caractère personnel concernant ses élèves, apprenants, enseignants, personnels administratifs et, le cas échéant, leurs représentants légaux.
Conformément à l'article 28 du RGPD :
- L'Établissement agit en qualité de responsable de traitement : il détermine les finalités et les moyens du traitement.
- Scholr agit en qualité de sous-traitant : il traite les données uniquement sur instructions documentées de l'Établissement.
3. Description du traitement
Nature et finalités
- Fourniture d'une plateforme pédagogique SaaS
- Gestion des supports de cours, QCM, notes, bulletins, planning, présence, messagerie, stages, admissions
- Hébergement et streaming de contenus vidéo pédagogiques
- Accès mobile pour les étudiants (iOS / Android)
- Portail parents pour le suivi scolaire des enfants mineurs
Durée du traitement
Le traitement est effectué pendant toute la durée du contrat d'abonnement. À son terme, les données sont restituées ou supprimées selon les instructions de l'Établissement, dans un délai de 30 jours.
Catégories de personnes concernées
- Étudiants, apprenants, stagiaires
- Enseignants, formateurs, personnels administratifs
- Candidats (via le formulaire d'admission public)
- Représentants légaux des élèves mineurs
Catégories de données traitées
- Données d'identification (nom, prénom, email, téléphone, date de naissance)
- Données pédagogiques (notes, QCM, présences, bulletins)
- Données de connexion (logs, adresse IP, user agent)
- Contenus téléversés (cours, fiches, documents)
- Messages échangés via la messagerie interne
Aucune donnée de catégorie particulière (santé, origine, opinions) n'est traitée, à l'exception des données d'aménagement pédagogique pour situation de handicap lorsque l'Établissement les renseigne via le module Qualiopi dédié.
4. Obligations de Scholr (sous-traitant)
Scholr s'engage à :
- Traiter les données uniquement pour les finalités décrites à l'article 3 et sur instructions documentées de l'Établissement
- Garantir la confidentialité des données et veiller à ce que toute personne autorisée à y accéder soit soumise à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement (art. 32 RGPD)
- Ne recourir à un sous-traitant ultérieur qu'avec l'autorisation préalable écrite de l'Établissement (liste des sous-traitants en annexe)
- Aider l'Établissement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité)
- Notifier l'Établissement de toute violation de données dans un délai maximum de 72 heures après en avoir pris connaissance
- Mettre à disposition de l'Établissement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 RGPD
- Tenir un registre des catégories d'activités de traitement effectuées
- Restituer ou supprimer les données à la fin du contrat, au choix de l'Établissement
5. Obligations de l'Établissement (responsable de traitement)
L'Établissement s'engage à :
- Documenter par écrit toute instruction relative au traitement des données par Scholr
- Veiller à ce que les personnes concernées soient informées, préalablement au traitement, des finalités, de la base légale et de leurs droits
- Recueillir le consentement explicite des représentants légaux pour le traitement des données des mineurs de moins de 15 ans (art. 8 RGPD)
- S'assurer de la légalité et de la minimisation des données qu'il confie à Scholr
- Superviser les traitements et coopérer avec Scholr en cas d'incident
- Disposer d'un DPO (délégué à la protection des données) ou d'un référent identifié
6. Sous-traitants ultérieurs
L'Établissement autorise Scholr à recourir aux sous-traitants ultérieurs listés ci-après pour l'exécution du service :
| Prestataire | Finalité | Pays | Encadrement |
|---|---|---|---|
| Vercel Inc. | Hébergement | USA | DPF + CCT |
| Supabase | Base de données PostgreSQL | UE (Frankfurt) | RGPD natif |
| Stripe | Paiements | USA / UE | DPF + CCT |
| Resend | Emails transactionnels | USA | DPF + CCT |
| Sentry | Monitoring erreurs | USA | DPF + CCT |
| Mux | Streaming vidéo | USA | DPF + CCT |
| Pusher | Messagerie temps réel | USA / UE | DPF + CCT |
| Mapbox | Cartographie stages | USA | DPF + CCT |
| Vercel Blob | Stockage fichiers | USA | DPF + CCT |
| Upstash Redis | Rate limiting, cache | UE | RGPD natif |
| OpenAI / Anthropic | IA pédagogique (clés de l'Établissement, opt-in) | USA | DPF + CCT |
Scholr informera l'Établissement de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant, avec un préavis de 30 jours, permettant à l'Établissement d'émettre des objections.
7. Mesures techniques et organisationnelles
Scholr met en œuvre les mesures suivantes pour garantir la sécurité des données :
- Chiffrement TLS 1.2+ pour toutes les communications
- Chiffrement AES-256-GCM des clés API sensibles au repos
- Hachage bcrypt (12 rounds) des mots de passe
- Isolation stricte par établissement (architecture multi-tenant, scope « organizationId »)
- Authentification OAuth (Google, Microsoft Entra ID) avec vérification d'e-mail côté fournisseur
- Rate limiting applicatif et prévention des abus
- Monitoring continu des erreurs et alertes en temps réel
- Sauvegardes automatiques quotidiennes (PostgreSQL, Supabase)
- Tests de restauration réguliers
- Revue de code, tests E2E et audit sécurité périodiques
- Gestion des accès minimale (principe du moindre privilège)
8. Notification de violation de données
Scholr notifie l'Établissement de toute violation de données dans un délai maximum de 72 heures après en avoir pris connaissance, par email adressé au contact DPO de l'Établissement, en précisant :
- La nature de la violation et les catégories de données concernées
- Le nombre approximatif de personnes et d'enregistrements impactés
- Les conséquences probables
- Les mesures prises ou proposées pour remédier à la violation
9. Audit et vérification
L'Établissement a le droit de vérifier le respect des obligations de Scholr par tout moyen documenté (questionnaire, audit documentaire, demande d'attestations). Un audit sur site peut être réalisé une fois par an, avec un préavis de 30 jours, aux frais de l'Établissement.
Scholr met à disposition les rapports de ses propres audits (SOC 2, ISO 27001 lorsque disponibles) et les certifications de ses sous-traitants.
10. Fin du contrat — restitution ou suppression
À la fin du contrat d'abonnement, Scholr restitue à l'Établissement l'intégralité des données sous un format structuré couramment utilisé (export CSV / JSON), puis procède à leur suppression définitive dans un délai de 30 jours, sauf obligation légale de conservation.
Une attestation de destruction est fournie sur demande à dpo@scholr.fr.
11. Contact
- DPO Scholr : Alexandre Boittelle — dpo@scholr.fr
- Siège social : Scholr SAS, 2 chemin de la Croix Saint-Jérôme, 77123 Noisy-sur-École, France
- Autorité de contrôle : CNIL — www.cnil.fr
12. Acceptation
Le présent DPA est accepté par l'Établissement lors de la première connexion d'un administrateur à la plateforme Scholr après sa publication. La trace d'acceptation (date, heure, utilisateur, version) est conservée dans les paramètres de l'Établissement et horodatée.
Toute modification substantielle du DPA sera notifiée par email et fera l'objet d'une nouvelle acceptation explicite.