Accord de sous-traitance (DPA)

Modèle — version 22 juin 2026

⚠️ Modèle (article 28 RGPD) à compléter et à faire valider par un juriste. Il a vocation à être annexé au contrat entre l'établissement et BellTime, et signé par les deux parties.

Entre les parties

Le Responsable de traitement : [Établissement scolaire — dénomination, adresse, représentant]
Le Sous-traitant : BeebopCity SRL (BCE BE 0676.701.890), éditeur de BellTime (voir mentions légales).

1. Objet & durée

Le présent accord encadre le traitement de données à caractère personnel par le Sous-traitant pour le compte du Responsable, dans le cadre de la fourniture du service BellTime (génération/gestion d'horaire et vie scolaire). Il s'applique pendant toute la durée du contrat de service.

2. Nature, finalité & portée du traitement

Finalité : génération et gestion de l'horaire, des présences et de la vie scolaire de l'établissement.
Catégories de personnes : élèves (dont mineurs), responsables légaux, enseignants et personnel.
Catégories de données : identité, scolarité (classe, options), désidératas, présences ; le cas échéant N° national, naissance, adresse, coordonnées des responsables.
Opérations : collecte/import, structuration, stockage, consultation, génération, export, suppression.

3. Obligations du Sous-traitant (art. 28 RGPD)

Traiter les données uniquement sur instruction documentée du Responsable et pour les seules finalités ci-dessus ;
Garantir la confidentialité (personnel autorisé et tenu au secret) ;
Mettre en œuvre des mesures de sécurité appropriées (art. 32 — voir Annexe) ;
Ne recourir à des sous-traitants ultérieurs qu'avec autorisation (liste ci-dessous) et en leur imposant les mêmes obligations ;
Assister le Responsable pour répondre aux demandes d'exercice des droits des personnes ;
Assister le Responsable pour la sécurité, les analyses d'impact (AIPD) et les consultations préalables ;
Notifier toute violation de données dans les meilleurs délais (objectif < 48 h) ;
Au terme du contrat, supprimer ou restituer les données (au choix du Responsable) et détruire les copies, sauf obligation légale de conservation ;
Mettre à disposition les informations nécessaires pour démontrer la conformité et permettre des audits.

4. Sous-traitants ultérieurs autorisés

Prestataire	Rôle	Localisation
Vercel	Hébergement application	USA (régions UE) — SCC/DPF
OVH SAS	Base de données	France (UE)
Resend	E-mails transactionnels	UE (eu-west-1)

Le Responsable est informé de tout changement et peut s'y opposer pour motif légitime.

5. Transferts hors UE

Tout transfert hors Union européenne est encadré par des garanties appropriées : Clauses Contractuelles Types (SCC) et/ou EU-US Data Privacy Framework.

6. Localisation des données

Les données de l'établissement sont hébergées dans l'Union européenne : base de données chez OVH SAS (Roubaix, France) ; application déployée en régions UE (Vercel).

Annexe — Mesures de sécurité (art. 32)

Chiffrement des communications (HTTPS/TLS) ;
Cloisonnement des données par établissement (base dédiée par école) ;
Contrôle des accès, authentification, gestion des secrets ;
Journalisation et limitation des accès au strict nécessaire ;
Sauvegardes régulières et procédure de restauration ;
Procédure de gestion des violations de données.

Signatures

Fait à [lieu], le [date], en deux exemplaires.
Pour le Responsable : [nom, fonction, signature]
Pour le Sous-traitant : [nom, fonction, signature]