Accord de Sous-Traitance des Données Personnelles (DPA)

Annexe aux Conditions Générales de Vente Synq9

Version 1.0 — En vigueur au 1er mars 2026

Préambule

Le présent Accord de Sous-Traitance (ci-après le « DPA ») complète les Conditions Générales de Vente (ci-après le « Contrat ») conclues entre :

  • Lysia SAS, société par actions simplifiée au capital de 5 000 €, immatriculée au RCS de Colmar sous le numéro 829 391 382, dont le siège social est situé 2 Rue de Bâle, 68180 Horbourg-Wihr, France, représentée par Bernard Guthmann en qualité de Président, en qualité de Sous-Traitant ;
  • Et la personne morale ou physique ayant souscrit au service Synq9, ci-après le « Client », agissant en qualité de Responsable de Traitement.

Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-Traitant traite des données à caractère personnel pour le compte du Responsable de Traitement, conformément à l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).

Article 1 — Définitions

Les termes employés dans le présent DPA ont le sens qui leur est donné par le RGPD, notamment :

  • Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable
  • Traitement : toute opération effectuée sur des données personnelles
  • Responsable de Traitement : la personne qui détermine les finalités et les moyens du traitement
  • Sous-Traitant : la personne qui traite des données pour le compte du Responsable de Traitement
  • Personne concernée : la personne physique à laquelle les données se rapportent
  • Violation de données : toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles

Article 2 — Objet et nature des traitements

2.1 Objet

Le Sous-Traitant met à disposition du Responsable de Traitement une plateforme logicielle (SaaS) dédiée à la gestion d'un organisme de formation, incluant notamment : gestion administrative des formations, suivi des apprenants, génération et signature de documents contractuels, communication entre formateurs et apprenants, archivage documentaire, CRM commercial.

2.2 Nature et finalité des traitements

Le Sous-Traitant traite les données personnelles aux seules fins de fourniture du service contractuellement prévu, sur instructions documentées du Responsable de Traitement.

2.3 Durée

Le présent DPA prend effet à la date d'acceptation du Contrat et demeure en vigueur pendant toute la durée de la relation contractuelle, augmentée des durées de conservation post-contractuelles prévues à l'article 9.

2.4 Catégories de données

Le Sous-Traitant traite les catégories de données suivantes :

  • Données d'identification : nom, prénom, adresse postale, email, téléphone, date de naissance
  • Données professionnelles : fonction, employeur, statut professionnel, numéro SIRET
  • Données de formation : parcours suivis, sessions, dates, émargements, attestations, évaluations, notes
  • Données contractuelles : conventions, devis, factures, signatures électroniques et dossiers de preuve
  • Données techniques : logs de connexion, adresse IP, identifiants de session
  • Données de communication : messages échangés via la messagerie intégrée

Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions, orientation sexuelle, etc.) n'est traitée par le Sous-Traitant, sauf si le Responsable de Traitement les introduit de sa propre initiative, auquel cas il en assume seul la responsabilité.

2.5 Catégories de personnes concernées

  • Apprenants, stagiaires en formation
  • Formateurs et intervenants pédagogiques
  • Personnel administratif du Responsable de Traitement
  • Clients commerciaux du Responsable de Traitement (entreprises, particuliers, financeurs)
  • Prospects du Responsable de Traitement

Article 3 — Obligations du Sous-Traitant

Le Sous-Traitant s'engage à :

3.1 Traitement sur instructions

Ne traiter les données personnelles que sur instructions documentées du Responsable de Traitement, y compris en ce qui concerne les transferts hors UE, sauf obligation légale contraire.

Les instructions du Responsable de Traitement résultent du Contrat, du présent DPA, et de l'utilisation du service par le Responsable.

Si le Sous-Traitant estime qu'une instruction enfreint le RGPD, il en informe immédiatement le Responsable de Traitement.

3.2 Confidentialité

Veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation contractuelle de confidentialité et reçoivent une formation appropriée.

3.3 Mesures de sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées détaillées à l'Annexe 1 du présent DPA, conformément à l'article 32 du RGPD.

3.4 Sous-traitance ultérieure

Ne recourir à d'autres sous-traitants (sous-traitants ultérieurs) qu'avec l'autorisation écrite préalable du Responsable de Traitement.

La liste des sous-traitants ultérieurs autorisés à la date du présent DPA figure à l'Annexe 2.

Toute modification de cette liste fera l'objet d'une information préalable au Responsable de Traitement par email ou via l'interface du service, avec un préavis de trente (30) jours. Le Responsable de Traitement peut s'opposer à un changement en résiliant le Contrat sans frais durant ce délai.

Le Sous-Traitant impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles fixées dans le présent DPA.

3.5 Assistance au Responsable de Traitement

Aider le Responsable de Traitement, dans la mesure du possible et compte tenu de la nature du traitement :

  • À répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition)
  • À garantir la sécurité des données (article 32 RGPD)
  • À notifier les violations de données (articles 33 et 34 RGPD)
  • À réaliser des analyses d'impact (article 35 RGPD) si nécessaire
  • À consulter l'autorité de contrôle (article 36 RGPD) si nécessaire

L'assistance fournie au-delà de la simple mise à disposition des outils standards du service peut faire l'objet d'une facturation au temps passé, selon les tarifs en vigueur du Sous-Traitant.

3.6 Notification de violation

Notifier au Responsable de Traitement toute violation de données personnelles dans un délai maximal de quarante-huit (48) heures après en avoir eu connaissance, par email à l'adresse de contact renseignée dans le compte.

La notification comporte au minimum :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées
  • Les catégories et le nombre approximatif d'enregistrements concernés
  • Les conséquences probables de la violation
  • Les mesures prises ou envisagées pour remédier à la violation et en atténuer les éventuelles conséquences négatives

Il appartient au Responsable de Traitement, en sa qualité, de notifier le cas échéant la violation à la CNIL dans le délai de 72 heures prévu par l'article 33 du RGPD, et aux personnes concernées en cas de risque élevé (article 34 du RGPD).

3.7 Restitution et suppression

Au terme du Contrat, selon le choix du Responsable de Traitement exprimé avant la date d'effet de la résiliation :

  • Restituer l'ensemble des données personnelles via les fonctions d'export disponibles, dans un délai de trente (30) jours suivant la résiliation
  • Et/ou supprimer l'ensemble des données personnelles, sauf obligation légale de conservation, dans un délai maximal de quatre-vingt-dix (90) jours suivant la résiliation effective

Le Sous-Traitant fournit, sur demande écrite, une attestation de suppression des données.

3.8 Mise à disposition d'information et audit

Mettre à disposition du Responsable de Traitement toute information nécessaire pour démontrer le respect des obligations prévues à l'article 28 du RGPD, et permettre la réalisation d'audits.

Les audits sont réalisés dans les conditions suivantes :

  • Préavis écrit de soixante (60) jours minimum
  • Au maximum un audit par an, sauf incident grave
  • Aux frais du Responsable de Traitement
  • Sous engagement de confidentialité signé par les auditeurs
  • Sans perturbation excessive de l'activité du Sous-Traitant
  • Privilégiant les audits documentaires sur les audits sur site

Le Sous-Traitant peut, à sa discrétion, satisfaire à l'obligation d'audit en fournissant des rapports d'audit récents réalisés par des tiers indépendants (notamment certifications ISO 27001, SOC 2 de ses sous-traitants).

3.9 Registre des traitements

Tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de Traitement, conformément à l'article 30.2 du RGPD.

Article 4 — Obligations du Responsable de Traitement

Le Responsable de Traitement s'engage à :

4.1 Légalité

S'assurer que les traitements qu'il met en œuvre via le service ont une base légale au sens de l'article 6 du RGPD, et le cas échéant de l'article 9 (données sensibles).

4.2 Information des personnes

Informer les personnes concernées du traitement de leurs données conformément aux articles 13 et 14 du RGPD, et mentionner Synq9 comme sous-traitant dans sa politique de confidentialité.

4.3 Exercice des droits

Traiter en première intention les demandes d'exercice de droits des personnes concernées. Le Sous-Traitant transmettra au Responsable de Traitement toute demande qui lui serait adressée directement.

4.4 Instructions documentées

Documenter ses instructions au Sous-Traitant. À défaut de spécification, les paramètres et fonctionnalités par défaut du service constituent les instructions du Responsable de Traitement.

4.5 Qualité et exactitude

Veiller à la qualité, à l'exactitude et à la pertinence des données qu'il introduit dans le service.

Article 5 — Transferts hors UE

Les données personnelles traitées par le Sous-Traitant sont hébergées en Union Européenne.

Toutefois, certains sous-traitants ultérieurs (notamment Stripe et SendGrid) sont susceptibles de traiter des données hors UE. Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (CCT) de la Commission européenne (Décision 2021/914)
  • Et, le cas échéant, par l'adhésion au Data Privacy Framework UE-États-Unis

Les transferts éventuels concernent uniquement les données strictement nécessaires aux finalités précisées (paiement, envoi d'emails). Aucune donnée pédagogique ou document de formation n'est transféré hors UE.

Article 6 — Mesures de sécurité

Les mesures techniques et organisationnelles mises en œuvre par le Sous-Traitant sont détaillées à l'Annexe 1 du présent DPA.

Ces mesures peuvent évoluer dans le temps. En cas d'évolution, le niveau de sécurité global ne peut être abaissé sans l'accord écrit préalable du Responsable de Traitement.

Article 7 — Responsabilité

7.1 Responsabilité du Sous-Traitant

Le Sous-Traitant est responsable des dommages causés par un traitement uniquement lorsqu'il n'a pas respecté les obligations du RGPD spécifiquement incombant aux sous-traitants, ou lorsqu'il a agi en dehors des instructions licites du Responsable de Traitement ou contrairement à celles-ci.

7.2 Limitation

Sauf en cas de faute lourde ou intentionnelle, la responsabilité du Sous-Traitant au titre du présent DPA est plafonnée selon les conditions prévues à l'article 10 du Contrat (plafond de douze mois d'abonnement).

7.3 Sanctions

Chacune des parties supporte les sanctions administratives qui lui seraient infligées par l'autorité de contrôle au titre de ses propres manquements.

Article 8 — Durée et fin

Le présent DPA prend fin à la date d'effet de la résiliation du Contrat, sous réserve de la persistance des obligations relatives à la restitution et à la suppression des données prévues à l'article 3.7.

Article 9 — Dispositions diverses

9.1 Modification

Le Sous-Traitant peut modifier le présent DPA pour tenir compte d'évolutions législatives ou réglementaires, ou de modifications substantielles de son organisation. Le Responsable de Traitement en est informé avec un préavis de trente (30) jours.

9.2 Hiérarchie

En cas de contradiction entre le Contrat et le présent DPA sur les questions de protection des données personnelles, le présent DPA prévaut.

9.3 Droit applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux du ressort de Colmar.

Annexe 1 — Mesures techniques et organisationnelles

Mesures techniques

Hébergement et infrastructure

  • Hébergement en Union Européenne (Francfort) chez des prestataires certifiés ISO 27001 et SOC 2 Type II
  • Isolation logique des données entre clients via Row Level Security PostgreSQL
  • Chiffrement au repos AES-256 des bases de données et fichiers
  • Chiffrement en transit TLS 1.3 obligatoire

Authentification et accès

  • Authentification sécurisée avec hachage bcrypt des mots de passe
  • Sessions à durée limitée avec renouvellement automatique
  • Authentification à deux facteurs obligatoire pour tous les accès aux infrastructures de production
  • Principe du moindre privilège pour les accès administrateurs

Sauvegardes

  • Sauvegarde quotidienne automatique de la base de données (rétention 7 jours)
  • Sauvegarde quotidienne externalisée chez un second fournisseur européen (rétention 30 jours)
  • Sauvegarde hebdomadaire des fichiers chez un second fournisseur européen (rétention 90 jours)
  • Sauvegardes chiffrées au repos

Signature électronique

  • Authentification renforcée par code à usage unique (OTP) email (selon plan d'abonnement)
  • Empreinte cryptographique SHA-256 du document
  • Horodatage serveur UTC
  • Capture des métadonnées techniques (IP, user-agent)
  • Stockage immuable des dossiers de preuve

Logs et traçabilité

  • Journalisation des accès et des opérations sensibles
  • Conservation des logs techniques pendant 12 mois maximum
  • Surveillance automatisée des anomalies

Mesures organisationnelles

  • Politique de sécurité documentée et révisée annuellement
  • Engagement de confidentialité des personnes ayant accès aux données
  • Procédure documentée de gestion des violations de données
  • Procédure documentée de gestion des demandes d'exercice de droits
  • Test de restauration des sauvegardes au moins annuel
  • Mise à jour régulière des dépendances logicielles
  • Séparation stricte des environnements de développement, test et production

Annexe 2 — Liste des sous-traitants ultérieurs

Vercel Inc.Hébergement applicatif — Europe (Francfort) — N/A (UE)
Supabase Inc.Base de données, stockage, authentification — Europe (Francfort) — N/A (UE)
Cloudflare Inc.Sauvegardes externalisées, CDN — Europe — N/A (UE)
StripeTraitement des paiements — Europe / États-Unis — CCT + DPF
Twilio SendGridEnvoi d'emails transactionnels — États-Unis — CCT + DPF

Liste à jour au 1er mars 2026 — version consultable à tout moment sur https://synq9.com/sous-traitants.

Annexe 3 — Précision sur les connecteurs LMS externes

Les LMS externes que le Client peut connecter via les fonctionnalités optionnelles de Synq9 (Moodle, 360Learning, Rise Up, etc.) ne sont pas des sous-traitants ultérieurs de l'Éditeur au sens de l'article 28 RGPD.

Ces LMS sont des outils ou prestataires choisis et contractualisés par le Client, qui en demeure pleinement responsable.

L'Éditeur agit en qualité de sous-traitant uniquement pour les opérations de stockage et d'affichage des données importées depuis ces LMS dans l'interface Synq9, dans les conditions définies au présent DPA.

Fait pour acceptation lors de la souscription au Contrat.

Le présent DPA est réputé accepté par le Client lors de la souscription au service Synq9 et de l'acceptation des Conditions Générales de Vente.

Version 1.0 — En vigueur au 1er mars 2026

Accord de Sous-Traitance des Données — Synq9 | Synq9