GétulAI Academy
Créer un compte
Légal · DPA

Data Processing Agreement

Accord de traitement des données (art. 28 RGPD), applicable à tout contrat de service B2B avec Gétul AI Academy.

Version 1.0Mise à jour : 2026-05-28[À VALIDER AVOCAT] — projet non encore validé juridiquement

DPA signable — PDF

Version signable disponible sur demande dans le cadre de votre contrat B2B.

Contacter le DPO (ouvre dans une nouvelle fenêtre)

Article 0Préambule

Le présent Accord de Traitement de Données (« DPA ») fait partie intégrante du contrat de service entre :

  • Responsable de traitement (« le Client ») : entité signataire du contrat de service.
  • Sous-traitant : GETUL CONSULTING, S.L., NIF ESB12345678, siège Paseo Reding 43, 29016 Málaga (Espagne).

Cadre : Règlement (UE) 2016/679 (RGPD) et Règlement (UE) 2024/1689 (AI Act).

Article 1Objet

Définit les conditions de traitement par le Sous-traitant, pour le compte du Client, des données personnelles nécessaires à la fourniture du service Gétul AI Academy.

Article 2Description du traitement

2.1 Nature et finalité

  • Hébergement des comptes utilisateurs
  • Suivi de progression pédagogique
  • Évaluation par quiz et capstones
  • Délivrance de certificats
  • Production de preuves de formation au titre de l’article 4 AI Act

2.2 Catégories de données

  • Identification : nom, prénom, email professionnel
  • Données professionnelles : entreprise, fonction, département (si fournis)
  • Données d’usage : connexions, modules suivis, scores, durées
  • Interactions avec l’IA Tutor (avec consentement explicite)

2.3 Personnes concernées

Collaborateurs du Client utilisant la Plateforme.

2.4 Durée

  • Pendant la durée du contrat de service
  • 5 ans pour les logs auditables AI Act
  • 10 ans pour les factures (obligation comptable)
  • Suppression du compte sous 30 jours après résiliation, sauf opposition du collaborateur

Article 3Obligations du Sous-traitant

3.1 Conformité aux instructions

Traitement uniquement sur instruction documentée du Client (le présent DPA en tient lieu).

3.2 Confidentialité

Engagement de confidentialité du personnel autorisé (clauses dans contrats de travail / prestation).

3.3 Sécurité (art. 32 RGPD)

  • Chiffrement TLS 1.3 in-transit
  • Chiffrement at-rest (Postgres + S3 compatible chez Hostinger)
  • Bcrypt password hashing
  • 2FA admin obligatoire
  • Logs auditables 5 ans
  • Sauvegardes chiffrées AES-256
  • Tests d’intrusion annuels
  • PCA / PRA : RPO 24 h, RTO 4 h

3.4 Sous-traitants ultérieurs

Liste détaillée sur la page Sous-traitants.

Sous-traitantServicePaysDPA
Hostinger International Ltd.HébergementChypre / UE
Anthropic PBCLLM Claude (IA Tutor)USA (ZDR + SCC 2021/914)
Stripe Payments EuropePaiementIrlande
Resend Inc.Email transactionnelUSA (SCC)
CloudflareCDN / WAFEU edge
SentryMonitoring erreursUE
PostHogAnalytics produitUE

Le Sous-traitant informera le Client de toute modification avec un préavis de 30 jours, permettant au Client de s’y opposer pour motif légitime.

3.5 Assistance au Responsable

  • Réponse aux demandes des personnes concernées (droits RGPD)
  • Analyses d’impact (AIPD) si nécessaire
  • Notification des violations de données
  • Réalisation d’audits

3.6 Notification de violation

Notification du Client dans un délai maximum de 24 heures, avec nature, catégories et nombre approximatif de personnes concernées, mesures prises, conséquences probables.

3.7 Suppression / restitution

À la fin du contrat, au choix du Client : suppression sous 30 jours avec attestation, OU restitution CSV/JSON. Sauf obligation légale (logs AI Act 5 ans, factures 10 ans).

3.8 Audit

Le Client peut réaliser un audit sur préavis de 30 jours, dans la limite d’un audit par an, aux frais du Client.

Article 4Transferts hors UE

Sous-traitants situés hors UE (Anthropic, Resend aux USA). Garanties : SCC 2021/914, ZDR Anthropic, évaluation Schrems II documentée. Le Client autorise expressément ces transferts dans le cadre du présent DPA.

Article 5Conformité spécifique AI Act

La Plateforme permet au Client de satisfaire à ses obligations au titre de l’article 4 AI Act (compétence des collaborateurs en matière d’IA).

  • Export auditable des preuves de formation (ZIP signé HMAC-SHA256)
  • Signature cryptographique pour garantir l’intégrité
  • Système de vérification publique des certificats (/verify/[code])

Ces preuves sont opposables en cas de contrôle par les autorités compétentes.

Article 6Responsabilité

Chaque Partie est responsable de ses propres manquements.

La responsabilité du Sous-traitant est plafonnée au montant payé par le Client au cours des 12 derniers mois, sauf faute lourde ou dolosive, violation des droits fondamentaux des personnes, ou manquements aux obligations du présent DPA.

Article 7Durée

Effet à la date de signature, en vigueur pendant toute la durée du contrat de service principal. Les obligations de confidentialité, sécurité et restitution survivent à la résiliation.

Article 8Droit applicable

Droit français applicable. Litige soumis à la juridiction compétente de Paris, après médiation préalable.

Questions sur ce document ? Contactez privacy@getulconsulting.com (ouvre dans une nouvelle fenêtre) (DPO) ou hello@getulconsulting.com (ouvre dans une nouvelle fenêtre).