Centre de confiance pour les écoles et les achats

Statut : Actif | Version : 1.0

1. Résumé analytique

Edudata.io est une plateforme SaaS de gouvernance, de gestion des risques et de conformité (GRC) de classe entreprise, conçue exclusivement pour le secteur éducatif. Elle dessert actuellement des municipalités, des commissions scolaires et des établissements d'enseignement en Finlande et en Suède. La plateforme centralise la protection des données, la cybersécurité, l'accessibilité et la conformité de l'intelligence artificielle au sein d'un pôle opérationnel unique.

Plutôt que d'ériger des frontières de données locales rigides, Edudata.io agit comme un facilitateur de conformité, aidant les écosystèmes éducatifs transfrontaliers à naviguer de manière fluide dans les réglementations européennes complexes, notamment le RGPD, la directive NIS 2, le Règlement européen sur l'IA (EU AI Act) et les mandats d'accessibilité européens.

2. Modules fonctionnels de base

• Edudata Compliance & Library : Centralise une base de données mondiale de milliers d'applications éducatives préalablement évaluées. Ce module suit les Accords de traitement des données (ATD) et les politiques de confidentialité des éditeurs, mettant à jour dynamiquement le statut de conformité lorsque ces derniers modifient leurs conditions juridiques.
• Automated RoPA & Mapping : Génère et maintient de façon programmatique le registre des activités de traitement (RoPA) d'un établissement. Lorsqu'une application est autorisée ou bloquée par l'administration, le système enregistre instantanément les flux de données et les points de données spécifiques des élèves.
• Edudata Transparency : Une interface publique (transparency.edudata.io) offrant aux élèves, aux parents et aux tuteurs une visibilité en temps réel sur les applications exactes approuvées pour une utilisation en classe et sur leurs règles de conservation des données correspondantes.

3. Architecture technique avancée : le moteur d'IA CAG

Le cœur analytique d'Edudata.io est son moteur d'IA déterministe et juridiquement ancré. Le système utilise un paradigme spécialisé de Génération Augmentée par Cache (CAG), abandonnant complètement les infrastructures RAG obsolètes qui reposaient sur des bases de données vectorielles, l'indexation et le découpage de texte (splitters).

Infrastructure et hydratation

• Couche de modèle : Bâtie sur Gemini 3.1 Pro, exploitant sa fenêtre de contexte native étendue pour ingérer des bibliothèques réglementaires entières sans compression structurelle.
• Mise en cache du contexte Vertex AI : L'ensemble du cadre juridique européen non fragmenté, les programmes d'enseignement nationaux (y compris les normes finlandaises et suédoises) et les règles d'évaluation propriétaires d'Edudata sont maintenus hydratés en permanence dans la RAM GPU à haute vitesse.
• Traitement sans récupération (Retrieval-Free) : Le moteur n'effectuant aucune recherche en temps réel dans des bases de données externes ni aucune extraction sémantique de fragments de texte, il fonctionne sans la dégradation typique du contexte ou les angles morts informationnels inhérents aux pipelines de recherche classiques.

Garanties architecturales clés

• Raisonnement juridique sans hallucination : En évaluant les requêtes des utilisateurs par rapport aux réglementations sources complètes et non fragmentées et aux politiques scolaires plutôt qu'à des extraits de texte fragmentés, le système garantit un raisonnement juridiquement sûr et exempt d'hallucinations.
• Latence en millisecondes : Le contournement du goulot d'étranglement de la recherche en base de données en plusieurs étapes minimise le temps de génération du premier jeton (TTFT), offrant des évaluations de sécurité quasi instantanées.
• Notation mathématique 100 % déterministe : Le modèle agit comme un interprète logique fiable pour les règles d'évaluation verrouillées, garantissant que les mesures de risque sont mathématiquement prévisibles, reproductibles et précises.

4. Gouvernance des données paneuropéenne et sécurité du cloud

• Souveraineté des données dans l'UE : Afin de répondre aux exigences rigoureuses de protection des données du secteur public de l'éducation tout en facilitant l'évolution opérationnelle transfrontalière, tous les stockages de cache de contexte, d'inférence et de télémétrie sont hébergés strictement dans des régions de cloud sécurisées et souveraines basées dans l'UE (en s'appuyant sur l'infrastructure européenne de Google Cloud).
• Harmonisation réglementaire transfrontalière : La plateforme est nativement conçue pour faire correspondre simultanément les évaluations de conformité aux directives européennes globales et aux spécificités éducatives nationales propres à la Finlande et à la Suède.
• Contrôle humain (Human-in-the-Loop) : Le moteur CAG fonctionne comme un conseiller juridique expert. Bien qu'il analyse les politiques et calcule les scores de risque avec une précision mathématique totale, l'approbation institutionnelle finale requiert une confirmation humaine de la part d'un professionnel certifié de la protection de la vie privée ou d'un DPO.
• Isolation des clients (Tenant Isolation) : Les données de configuration des clients, les profils des écoles et les mesures de journalisation d'audit sont cloisonnés de manière sécurisée dans des couches de base de données indépendantes, garantissant une contamination croisée nulle entre les municipalités utilisant l'application partagée.

Date d'entrée en vigueur : 11 mars 2026

Les présentes Conditions générales d'utilisation (« CGU ») décrivent vos droits et obligations lors de l'utilisation du service Edudata.io (« Service »), exploité par Cloudpoint Oy (« nous », « notre » ou « l'Entreprise »). Veuillez lire attentivement ces CGU avant d'utiliser toute version du Service Edudata.io.

Le Service est fourni par Cloudpoint Oy, Malminkaari 17-19B 00700 Helsinki, Finlande, numéro d'identification fiscale (Business ID) 2325703-6.

De plus, l'accès et l'utilisation de ce Service, y compris la structure, l'organisation, la présentation de ses données et les perspectives qu'il révèle sur la méthodologie et le savoir-faire propriétaires d'Edudata.io, sont strictement limités aux fournisseurs d'enseignement éligibles et régis par ces CGU. Toute utilisation par des concurrents, à des fins d'analyse concurrentielle, d'ingénierie inverse ou pour obtenir des informations non autorisées sur les processus, la sélection des données ou le modèle commercial d'Edudata.io, est expressément interdite et sujette à d'importantes conséquences financières et à des dommages-intérêts prédéfinis tels que détaillés dans les présentes CGU.

1. Aperçu général du Service et description des versions

Edudata.io est utilisé pour évaluer la protection des données, la conformité de l'IA et de la sécurité, ainsi que l'adéquation globale des services numériques utilisés dans l'éducation. Le Service est destiné aux Clients (par exemple, les villes, les municipalités, les fournisseurs d'enseignement, les établissements scolaires), « ci-après désignés le Client » ou « le Fournisseur d'enseignement ».

Edudata.io aide le fournisseur d'enseignement à maintenir à jour la documentation relative au traitement des données à caractère personnel des élèves dans les différents services numériques utilisés pour l'enseignement.

Composants du Service Edudata.io :

• EDUDATA Compliance : Se compose de la plateforme Edudata.io elle-même et d'une liste sélectionnée de services numériques utilisés dans l'éducation, accompagnée d'informations détaillées à leur sujet.
• EDUDATA Compliance Service : Un service professionnel dans lequel l'Entreprise ou un Partenaire évalue les services éducatifs numériques, permettant au Client de cartographier et de gérer les risques associés et de soumettre des services pour évaluation.
• EDUDATA Privacy : Un outil de transparence permettant à un élève de voir les services numériques utilisés, les données traitées dans ces services, la durée de conservation des données et le moment où l'utilisateur s'est connecté avec ses identifiants scolaires (EDU).
• EDUDATA Security : Un composant qui collecte les données de connexion de premier et second niveau à partir d'environnements d'apprentissage définis séparément et qui, après pseudonymisation, sont stockées et gérées par le Client (Responsable du traitement). Ce composant propose également des outils d'analyse pour les données collectées.

Versions du Service Edudata.io :

• a. Edudata Starter : Offre un accès de base à la plateforme Edudata.io Compliance et à la liste des services. Les utilisateurs effectuent leurs propres évaluations des risques. Cette version ne fournit pas de recommandations spécifiques ni de fonctionnalités assistées par l'IA, et n'inclut pas l'accès à l'application EDUDATA Privacy. Les caractéristiques et fonctionnalités de la version gratuite peuvent être modifiées ou limitées à la seule discrétion de l'Entreprise. Veuillez noter que la version gratuite n'inclut aucun support technique, accord de niveau de service (SLA) ou garantie de disponibilité. Offert « en l'état » et sans garantie de fourniture continue, de support ou de maintenance.
• b. Edudata Advanced : Un niveau de service payant où les évaluations des risques sont enrichies par des fonctionnalités d'Intelligence Artificielle intégrées à la plateforme Edudata.io Compliance. L'IA d'Edudata a été entraînée à partir d'évaluations et d'analyses réalisées par des conseillers juridiques. L'IA fournit une assistance et des analyses, mais la responsabilité finale de valider et d'agir sur les évaluations incombe au Client. Cette version inclut l'accès à l'application EDUDATA Privacy.
• c. Edudata Premium : Un niveau de service payant qui comprend la plateforme Edudata.io Compliance et où les évaluations des risques sont menées par les conseillers juridiques d'Edudata.io (dans le cadre d'Edudata.io Compliance Service). Ces évaluations et recommandations sont fournies à titre d'orientation professionnelle, et la responsabilité de la décision finale et de la conformité incombe uniquement au Client. Cette version inclut également l'accès à l'application Edudata.io Privacy.

2. Acceptation des CGU et pouvoir d'engager l'organisation

• a. Accord contraignant : Les présentes CGU constituent un accord juridiquement contraignant entre votre organisation et Edudata.io.
• b. Autorité : En créant un compte, en accédant ou en utilisant toute version du Service Edudata.io, la personne effectuant cette action (« Personne autorisée ») garantit et déclare personnellement que :
  • i. Elle accepte ces CGU au nom d'une organisation légalement reconnue (par exemple, un établissement d'enseignement).
  • ii. Elle possède la pleine autorité légale pour conclure le présent accord et engager cette organisation selon ces CGU.
  • iii. L'organisation qu'elle représente accepte d'être, et sera, pleinement liée par l'ensemble des termes et conditions des présentes.
• c. Confiance dans la déclaration : Edudata.io se fie à cette déclaration d'autorité. Si la Personne autorisée ne dispose pas de ce pouvoir, elle sera tenue personnellement responsable de tout manquement à ces CGU et de tout dommage ou perte qui en résulterait pour Edudata.io, en plus de la responsabilité éventuelle de l'organisation.
• d. Acceptation : En procédant à la création du compte, à l'accès ou à l'utilisation du Service, la Personne autorisée, au nom de son organisation, signifie que cette dernière a lu, compris et accepté d'être liée par les présentes CGU. Si votre organisation n'accepte pas ces CGU, ou si la Personne autorisée n'a pas le pouvoir d'engager l'organisation, ni la Personne autorisée ni l'organisation ne peuvent accéder au Service ou l'utiliser.

3. Confidentialité et coordonnées

Nous traitons les données à caractère personnel conformément à l'accord de traitement des données d'Edudata.io conclu entre nous et l'organisation du Client.

Vous pouvez nous contacter par e-mail à l'adresse info@edudata.io. Si nous devons contacter le Client, nous le ferons par écrit à l'adresse e-mail fournie par le Client. L'expression « par écrit » désigne les e-mails pour toutes les communications formelles en vertu des présentes CGU.

4. Accès utilisateur et sécurité

L'utilisation du Service doit être conforme aux présentes CGU. L'utilisateur accède au Service en se connectant via une authentification unique tierce (SSO) telle que Google ou Microsoft, et en utilisant un mot de passe connu de lui seul.

Le Client accepte les pratiques de traitement des données à caractère personnel telles qu'énoncées dans l'accord de traitement des données, la politique de confidentialité et les présentes CGU. Nous pouvons fermer le compte à tout moment en cas de non-respect de ces CGU ou de tout autre accord en vigueur entre le Client et nous.

Le Client doit maintenir des mesures de sécurité appropriées, y compris, mais sans s'y limiter, l'utilisation d'une protection antivirus mise à jour et des changements fréquents de mot de passe afin d'empêcher le système du Client de contaminer le Service avec tout type de contenu malveillant.

5. Éligibilité et création de compte

• a. Fournisseur d'enseignement reconnu : L'accès et l'utilisation de toute version du Service Edudata.io sont strictement limités aux institutions ou entités formellement reconnues comme fournisseurs d'enseignement en vertu du droit national de leur pays d'activité (par exemple, les écoles, collèges, universités, instituts de formation professionnelle accrédités, ainsi que les villes et municipalités (limités à leur secteur éducatif)).
• b. Garantie de l'organisation : En s'enregistrant ou en utilisant le Service, votre organisation, par l'intermédiaire de sa Personne autorisée, garantit et déclare qu'elle remplit ce critère d'éligibilité et qu'elle n'est pas, ni n'est affiliée à, un concurrent d'Edudata.io ou à une entité engagée dans la fourniture de services similaires d'évaluation des risques, de protection de la vie privée ou d'évaluation d'applications auprès d'établissements scolaires ou d'autres entités.
• c. Vérification : Edudata.io se réserve le droit de demander des justificatifs ou de vérifier par tout moyen le statut de fournisseur d'enseignement reconnu de votre organisation, ou sa situation concurrentielle, à tout moment. Tout défaut de preuve d'éligibilité satisfaisante sur demande entraînera la résiliation immédiate de l'accès de votre organisation au Service.
• d. Responsabilité du compte : Votre organisation est responsable du maintien de la confidentialité des identifiants de compte et de toutes les activités qui se déroulent sous son compte. Votre organisation accepte de signaler immédiatement à Edudata.io toute utilisation non autorisée de son compte.

6. Utilisation autorisée et restrictions

• a. Licence : Sous réserve du respect par votre organisation des présentes CGU et de tout contrat d'abonnement applicable, Edudata.io accorde à votre organisation une licence limitée, non exclusive, non transférable, non sous-licenciable et révocable d'utiliser le Service uniquement pour ses besoins éducatifs internes et non commerciaux, conformément à la version spécifique souscrite.
• b. Utilisations interdites : Tous les utilisateurs doivent respecter les règles suivantes concernant l'utilisation acceptable du Service. Par conséquent, l'utilisateur du service ne doit pas :
  • i. Utiliser le Service de manière illégale, à des fins illicites ou de manière non conforme aux présentes CGU, ni agir de manière frauduleuse ou malveillante ;
  • ii. Transmettre ou utiliser tout élément diffamatoire, offensant ou autrement répréhensible dans le cadre de l'utilisation du Service ;
  • iii. Utiliser le Service d'une manière qui pourrait endommager, désactiver, surcharger, altérer ou compromettre la sécurité de nos systèmes, ou interférer avec d'autres utilisateurs ;
  • iv. Porter atteinte à nos droits de propriété intellectuelle ;
  • v. Utiliser le Service, ou toute donnée, information, analyse, méthodologie ou tout produit dérivé obtenu à partir du Service, à des fins d'analyse concurrentielle, d'évaluation comparative (benchmarking), de développement de produits, d'ingénierie inverse ou à toute autre fin susceptible de concurrencer, d'informer ou de nuire de quelque manière que ce soit aux services actuels ou futurs ou aux intérêts commerciaux d'Edudata.io ;
  • vi. Louer, donner à bail, distribuer, vendre, revendre, céder ou transférer de toute autre manière ses droits d'utilisation du Service ou de ses résultats, sauf dans le cadre de l'utilisation normale du Service autorisée par les présentes ;
  • vii. Collecter ou extraire des informations ou des données du Service ou de nos systèmes dans le but de tenter de déchiffrer toute transmission vers ou depuis les serveurs exécutant le Service ;
  • viii. Copier le Service ou son contenu, sauf dans le cadre de l'utilisation normale du Service telle qu'autorisée par les présentes CGU ;
  • ix. Traduire, fusionner, adapter, faire varier, altérer ou modifier le Service, ni permettre au Service d'être combiné avec d'autres programmes ou d'y être incorporé, sauf dans la mesure nécessaire à l'utilisation du Service autorisée par les présentes CGU ;
  • x. Désassembler, décompiler, effectuer de l'ingénierie inverse ou créer des applications ou des services basés sur tout ou partie du Service.

En plus de tout autre recours à notre disposition, nous nous réservons le droit de prendre les mesures correctives que nous jugeons nécessaires, y compris la suspension ou la résiliation immédiate d'un utilisateur, sur notification et sans responsabilité, en cas de non-respect de ces dispositions d'utilisation acceptable ou si, à la seule discrétion de l'Entreprise, une telle action est jugée nécessaire pour prévenir toute interruption des Services ou tout préjudice envers autrui.

Pour clarifier l'utilisation autorisée des évaluations et des recommandations : L'utilisation acceptable comprend l'utilisation du service d'évaluation des risques et des données connexes pour demander l'évaluation de services d'enseignement numérique, formuler des recommandations à leur sujet et partager les décisions prises sur la base de ces recommandations avec les personnes appartenant à l'organisation du Client. Les recommandations ou évaluations formulées par l'Entreprise (spécifiquement dans les versions assistées par l'IA ou Premium) sont partagées avec le personnel, les représentants ou les utilisateurs autorisés du Client dont l'accès est nécessaire à l'accomplissement de leurs tâches. Ces recommandations ou évaluations ne peuvent être partagées avec d'autres organisations ou personnes extérieures à l'organisation propre du Client sans l'accord écrit préalable d'Edudata.io. Le Client peut publier sans restriction les décisions qu'il a prises lui-même, à condition qu'elles ne contiennent pas les informations spécifiques de recommandation ou d'évaluation fournies par l'Entreprise.

7. Utilisation non autorisée par des non-fournisseurs d'enseignement et abus concurrentiel

Le Service Edudata.io est exclusivement destiné et strictement limité aux fournisseurs d'enseignement reconnus tels que définis à la Section 5(a). Tout accès ou utilisation du Service par une organisation qui ne remplit pas ce critère d'éligibilité, ou toute utilisation à des fins concurrentielles interdite à la Section 6.b.v, sans accord écrit séparé et explicite avec Edudata.io for un tel usage, constitue un manquement grave aux présentes CGU et entraînera des conséquences sévères.

Dans le cas où Edudata.io détermine que votre organisation utilise le Service sans remplir les critères d'éligibilité ou à des fins concurrentielles interdites :

• a. Exclusion : Votre organisation sera immédiatement et définitivement exclue de l'utilisation de tout service d'Edudata.io. Cela s'applique à nos offres gratuites ainsi qu'à nos offres payantes.

• c. Recours légaux : Edudata.io se réserve le droit de poursuivre tous les autres recours légaux disponibles, y compris, mais sans s'y limiter, des mesures d'injonction et des dommages-intérêts supplémentaires, à l'encontre de l'organisation non autorisée et de toute personne physique responsable de cet abus.

8. Confidentialité et informations propriétaires

• a. Définition : Vous reconnaissez que la compilation, la sélection, l'arrangement, la structure, l'organisation, la catégorisation et la présentation des détails des applications et des informations associées au sein du Service, as well as any non-public features, functionalities, underlying methodologies, processes, business strategies, and know-how of the Edudata.io platform (collectively, les « Informations propriétaires »), constituent de précieux secrets commerciaux et informations confidentielles d'Edudata.io. Ces Informations propriétaires tirent leur valeur économique du fait qu'elles ne sont pas généralement connues du public ou aisément accessibles par des moyens appropriés par d'autres personnes susceptibles de tirer une valeur économique de leur divulgation ou utilisation, et Edudata.io a pris des mesures raisonnables pour en préserver le secret.
• b. Obligation : Votre organisation accepte de préserver la stricte confidentialité de toutes les Informations propriétaires consultées via le Service. Vous ne devez pas divulguer, copier, reproduire, distribuer ou utiliser de toute autre manière les Informations propriétaires à des fins autres que votre utilisation éducative interne et non commerciale autorisée par les présentes CGU. Le Client doit protéger toutes les Informations confidentielles de l'Entreprise au même titre que ses propres informations confidentielles, en appliquant un niveau de diligence au moins raisonnable. Le Client ne divulguera aucune Information confidentielle de l'Entreprise à une personne autre que son personnel, ses représentants ou ses utilisateurs autorisés dont l'accès est nécessaire pour leur permettre d'exercer leurs droits ou d'exécuter leurs obligations en vertu de l'Accord, sous réserve que ces personnes se soient engagées à garder ces informations confidentielles.
• c. Utilisation interdite par des concurrents : Plus précisément, vous ne devez pas utiliser les Informations propriétaires pour développer, améliorer ou proposer un produit ou service concurrent, ou pour conseiller ou assister un tiers dans cette démarche, et vous ne devez pas non plus les divulguer à un concurrent ou à un tiers à des fins concurrentielles. Le Client ne doit divulguer aucune information concernant les évaluations de risques ou les recommandations à un tiers en dehors de l'organisation propre du Client.
• d. Survie : Cette Section 8 survivra à la résiliation ou à l'expiration des présentes CGU.

9. Droits de propriété intellectuelle

L'Entreprise détient et conserve la propriété du Service, y compris tous les droits de propriété intellectuelle liés au Service. Les droits liés au service sont concédés sous licence aux Clients pour la durée du contrat. Pour cette raison, le Client ne reçoit aucun droit de propriété intellectuelle, mais uniquement le droit d'utiliser le service conformément aux présentes CGU pour la durée du contrat.

L'Entreprise a le droit d'utiliser les informations ajoutées au Service par le Client et les utilisateurs du Client, qui ne sont pas classées comme des données à caractère personnel, sans limitation et à titre gratuit. Ces informations peuvent inclure des descriptions d'applications ou de sites web tiers ainsi que des évaluations de risques réalisées par l'organisation du Client. Ces informations sont utilisées pour développer et améliorer le Service.

L'Entreprise se réserve tous les droits sur les évaluations de risques et les recommandations formulées par elle. Le Client a accès à ces évaluations et recommandations spécifiques au Client pour la durée du contrat, selon la version de service souscrite.

10. Modifications et mises à jour du Service

L'Entreprise peut modifier le Service pour se conformer aux lois et réglementations en vigueur, ajouter de nouvelles fonctionnalités et/ou implémenter des améliorations techniques, telles que l'amélioration de la sécurité contre les cybermenaces. Ces modifications n'affectent pas de manière significative l'utilisation du Service. Nous informerons le Client lorsque nous apporterons des modifications plus importantes.

L'Entreprise peut mettre à jour le Service ou obliger le Client à le mettre à jour. Il incombe au Client de veiller à ce que les mises à jour soient installées sans délai.

11. Responsabilité pour pertes ou dommages (Limitation de responsabilité)

Notre responsabilité pour toute perte ou dommage subi par le Client, qu'il soit prévisible ou non, est strictement limitée aux montants maximaux spécifiés ci-dessous pour chaque version de Service. Nous sommes responsables des dommages prévisibles causés par nos activités. Si nous ne respectons pas les présentes CGU, nous portons la responsabilité de la perte ou du dommage subi par le Client, sous réserve des limitations énoncées aux présentes. Cependant, des mesures raisonnables ne peuvent être prises que dans le cas où la perte ou le dommage est le résultat prévisible d'une violation de nos obligations contractuelles envers vous ou de notre défaut d'utilisation d'une diligence et d'une compétence raisonnables. Par conséquent, nous ne sommes pas responsables des pertes ou dommages qui ne peuvent être raisonnablement considérés comme prévisibles.

Une perte ou un dommage est prévisible s'il est évident qu'il se produira ou si, au moment de la conclusion du contrat, les deux parties savaient qu'il pourrait se produire, par exemple si vous en aviez discuté avec nous avant d'acheter le Service.

Nous n'excluons ni ne limitons en aucune façon notre responsabilité envers le Client là où cela serait illégal. Nous ne sommes pas responsables des dommages indirects ou consécutifs.

Limitations de responsabilité spécifiques par version de Service :

• Pour la version Starter (gratuite) : Le montant maximum des dommages-intérêts pour lesquels l'Entreprise peut être tenue responsable est de cent euros (100 €).
• Pour les versions Advanced & Premium : Le montant maximum des dommages-intérêts pour lesquels l'Entreprise peut être tenue responsable est égal au montant payé par le Client pour l'utilisation du Service au cours des 12 derniers mois.

Edudata.io s'engage à faire preuve de diligence professionnelle dans la génération de recommandations assistées par l'IA pour les évaluations et dans la fourniture de recommandations par des conseillers juridiques dans la version Premium. Le but des évaluations et recommandations fournies par le Service est de soutenir et d'enrichir la propre gestion des risques et la prise de décision du Client.

Edudata.io développe en permanence ses modèles d'IA et assure la qualité des évaluations des conseillers juridiques par des examens et validations. Malgré ces efforts, le Client comprend et accepte que ces évaluations sont de nature consultative et basées sur les informations disponibles et la communication avec le fournisseur du service tiers ainsi qu'avec le Client. Elles ne se substituent pas au propre jugement indépendant du Client, à son obligation de diligence raisonnable, à sa prise de décision ou à sa conformité aux exigences légales.

Edudata.io ne sera pas responsable des dommages, erreurs ou omissions découlant de : (a) une contribution incorrecte ou incomplète fournie par le Client, (b) des décisions prises par le Client sur la base des évaluations ou recommandations fournies par le Service, ou (c) l'utilisation d'évaluations ou de recommandations autres que celles expressément fournies par le Service.

12. Indemnisation

Votre organisation accepte de défendre, d'indemniser et de dégager de toute responsabilité Edudata.io, ses sociétés affiliées, administrateurs, dirigeants, employés et agents face à toute réclamation, dommage, obligation, perte, responsabilité, coût ou dette, et dépense (y compris, mais sans s'y limiter, les honoraires d'avocat) découlant de :

• (a) l'utilisation et l'accès au Service par votre organisation, y compris toutes données ou contenus transmis ou reçus par votre organisation ;
• (b) le non-respect par votre organisation de l'un quelconque des termes des présentes CGU, y compris, sans s'y limiter, toute violation des déclarations et garanties ci-dessus ;
• (c) la violation par votre organisation de tout droit de tiers, y compris, sans s'y limiter, tout droit à la vie privée ou de propriété intellectuelle ;
• (d) la violation par votre organisation de toute loi, règle ou réglementation applicable ;
• (e) toute réclamation ou tout dommage résultant d'un contenu de votre organisation ou de tout contenu soumis via le compte de votre organisation ; ou
• (f) l'accès et l'utilisation du Service par une autre partie utilisant le nom d'utilisateur, le mot de passe ou tout autre code de sécurité approprié unique de votre organisation.

13. Durée et résiliation

Les présentes CGU resteront en vigueur jusqu'à l'expiration du contrat de Service ou jusqu'à ce que le Service soit résilié conformément aux termes spécifiques applicables à votre version de Service (par exemple, le contrat d'abonnement pour les versions payantes).

À l'expiration, la résiliation ou l'annulation du Service, l'Entreprise peut immédiatement désactiver le compte du Client.

Les données à caractère personnel sont supprimées ou restituées conformément à l'Accord de traitement des données conclu entre Edudata.io et le Client.

14. Dispositions diverses

• a. Cession des droits et obligations : Nous pouvons transférer nos droits et obligations en vertu des présentes CGU et de cet Accord à une autre organisation. Dans ce cas, nous contacterons les Clients bien à l'avance avant d'entamer de telles démarches. Si le Client n'accepte pas ce transfert, il peut nous contacter et résilier le contrat avec un préavis de 30 jours.
• b. Transfert des droits d'utilisation du Client : Le consentement écrit de l'Entreprise est requis pour transférer les droits d'utilisation à une autre personne. Cela signifie que les droits et/ou obligations ne peuvent être transférés qu'avec un consentement écrit. Toutefois, l'Entreprise a le droit de rejeter la demande de transfert si une violation des CGU ou une autre illégalité apparaît lors de l'évaluation du transfert.
• c. Droits des tiers : Les droits découlant des présentes CGU ne peuvent être exercés que par l'utilisateur d'origine ou par une personne à qui le droit a été correctement et légalement transféré. D'autres personnes n'ont pas le droit d'exiger l'application des présentes CGU.
• d. Divisibilité : Si un tribunal juge une partie de ce contrat illégale, les autres parties du contrat resteront en vigueur. Par conséquent, chaque point de ces CGU doit être évalué séparément. Si une disposition de ces CGU est jugée invalide, illégale ou inapplicable, cette disposition sera réputée modifiée dans la mesure minimale nécessaire pour la rendre valide, légale et applicable, tout en préservant au maximum l'intention initiale et l'effet économique de cette disposition. Si une telle modification n'est pas possible, la disposition sera séparée des présentes CGU, et les dispositions restantes resteront pleinement en vigueur. Les parties conviennent de négocier de bonne foi pour remplacer toute disposition invalide, illégale ou inapplicable par une disposition valide, légale et applicable qui réalise, dans toute la mesure possible, les objectifs de la disposition d'origine.
• e. Absence de renonciation : Si nous n'invoquons pas immédiatement l'Accord ou les CGU lorsqu'un manquement à ces dernières est porté à notre attention, nous conservons le droit de le faire ultérieurement. Nous pouvons engager des poursuites judiciaires si le Client enfreint intentionnellement les CGU ou agit de toute autre manière illégale. Nous nous réservons le droit de le faire malgré le fait que le manquement du Client puisse mener à la résiliation immédiate du contrat.
• f. Loi applicable et résolution des litiges : Tous les litiges et réclamations liés aux présentes CGU, ou à leur interprétation, validité ou résiliation, seront résolus devant le tribunal de grande instance d'Helsinki. Le droit finlandais et le Règlement Général sur la Protection des Données (RGPD) s'appliquent à ces CGU.
• g. Stockage des données et infrastructure technique (Spécifique au composant EDUDATA Security) : Pour les Clients utilisant le composant EDUDATA Security, les données d'Edudata sont stockées dans un projet Google Cloud détenu et géré par l'organisation du Client. Les données sont stockées dans une base de données Firestore distincte. Le Client est tenu de payer les dépenses (coûts Cloud) résultant de l'utilisation du Cloud.

15. Modifications des présentes CGU

Nous nous réservons le droit de modifier ces CGU si nécessaire, afin qu'elles correspondent à : (a) des changements dans la législation applicable ; (b) de nouvelles réglementations et directives ; et (c) des améliorations et ajouts à notre Service.

Nous vous informerons à l'avance lorsque des modifications seront apportées aux présentes CGU. Si les modifications sont significatives, nous fournirons un avis plus visible au sein du Service. Le Client peut nous contacter s'il n'est pas satisfait des modifications apportées aux CGU.

Dernière mise à jour : 28 mai 2026 | Statut : Actif

Cette Politique relative aux cookies explique comment Cloudpoint Oy (« nous », « notre » et « nos ») utilise les cookies et les technologies similaires pour vous reconnaître lorsque vous visitez nos sites web et applications. Elle explique ce que sont ces technologies, pourquoi nous les utilisons, ainsi que vos droits à contrôler notre utilisation de celles-ci, conformément au Règlement Général sur la Protection des Données (RGPD) et aux directives applicables concernant la protection de la vie privée dans le secteur des communications électroniques (ePrivacy).

1. Portée de cette politique

Cette politique s'applique aux domaines EDUDATA.IO suivants et à leurs sous-domaines respectifs :

• www.edudata.io : Notre site web institutionnel et marketing destiné au public.
• compliance.edudata.io : Notre application B2B de gestion de la conformité destinée aux administrateurs scolaires et aux délégués à la protection des données.
• transparency.edudata.io (et privacy.edudata.io) : Nos outils de transparence destinés aux élèves, leur permettant de visualiser leur empreinte numérique.

2. Qu'est-ce qu'un cookie ?

Les cookies sont de petits fichiers de données placés sur votre ordinateur ou votre appareil mobile lorsque vous visitez un site web. Les propriétaires de sites web utilisent largement les cookies pour faire fonctionner leurs sites de manière sécurisée et efficace, ainsi que pour fournir des informations de rapport et des expériences personnalisées.

3. Pourquoi utilisons-nous des cookies ?

Nous utilisons des cookies propriétaires et tiers pour plusieurs raisons. Certains cookies sont requis pour des raisons techniques afin que nos sites web et applications fonctionnent de manière sécurisée (cookies « strictement nécessaires »). D'autres cookies nous permettent de suivre et de cibler les intérêts de nos utilisateurs B2B afin d'améliorer l'expérience sur notre site web public (cookies « analytiques » et de « ciblage »).

4. Types de cookies que nous utilisons

Sur la base d'audits réguliers de nos domaines, nous utilisons les catégories de cookies suivantes :

A. Cookies strictement nécessaires (essentiels)

Ces cookies sont strictement nécessaires pour vous fournir les services disponibles sur nos sites web et applications, pour assurer la sécurité (protection contre les bots) et pour authentifier vos sessions de connexion. Vous ne pouvez pas refuser ces cookies sans affecter le fonctionnement de nos services.

B. Cookies analytiques et de performance

Ces cookies collectent des informations agrégées pour nous aider à comprendre comment notre site web public et nos portails B2B sont utilisés. Cela nous aide à améliorer l'expérience utilisateur et à résoudre les problèmes techniques. Ils sont désactivés par défaut jusqu'à ce que le consentement soit accordé.

C. Cookies de ciblage et de publicité

Ces cookies sont utilisés pour rendre les messages publicitaires plus pertinents pour vous.

5. Comment puis-je contrôler les cookies ?

Vous avez le droit de décider d'accepter ou de rejeter les cookies non essentiels :

• Bannière de consentement relative aux cookies : Vous pouvez exercer vos droits en matière de cookies en définissant vos préférences dans la bannière de consentement relative aux cookies qui apparaît lors de votre première visite sur www.edudata.io.
• Contrôles du navigateur : Vous pouvez configurer ou modifier les contrôles de votre navigateur pour accepter ou refuser complètement les cookies.
• Impact du refus : Si vous choisissez de rejeter les cookies strictement nécessaires via les paramètres de votre navigateur, votre accès aux fonctionnalités principales — comme la connexion au portail compliance.edudata.io ou la visualisation de vos données sur transparency.edudata.io — sera fortement limité ou interrompu.

6. Mises à jour de cette politique

Nous pouvons mettre à jour cette Politique relative aux cookies de temps à autre afin de refléter, par exemple, des changements apportés aux cookies que nous utilisons ou pour d'autres raisons opérationnelles, légales ou réglementaires. Veuillez consulter régulièrement cette Politique relative aux cookies pour rester informé de notre utilisation des cookies et des technologies similaires.

7. Nous contacter

Pour plus d'informations sur la manière dont nous protégeons vos données, veuillez consulter notre Politique de confidentialité et notre Accord de traitement des données (ATD).

Si vous avez des questions concernant notre utilisation des cookies ou d'autres technologies, veuillez contacter notre équipe chargée de la protection des données à l'adresse : privacy@cloudpoint.fi.

Dernière mise à jour : 15.12.2025

Il s'agit de la Politique de confidentialité d'Edudata.io conformément au Règlement Général sur la Protection des Données (RGPD) de l'UE, décrivant les principes en vertu desquels Edudata.io (ci-après également « Edudata » ou « Responsable du traitement ») traite les données à caractère personnel lorsqu'il agit en tant que Responsable du traitement dans le cadre du service Edudata.io (« Service »). Edudata respecte le droit finlandais et le Règlement Général sur la Protection des Données de l'UE dans l'ensemble de ses activités.

1. Responsable du traitement et coordonnées

Responsable du traitement : Edudata.io
Business ID : 3460068-8
Adresse : Malminkaari 17-19B, 00700 Helsinki, Finlande
Téléphone : +358 9 4257 9280
Site web : www.edudata.io
Délégué à la protection des données (DPD) : Lauri Kaski, e-mail : lauri.kaski@edudata.io

2. Nom du registre

Registre des clients, des contrats et du marketing d'Edudata.

3. Rôles d'Edudata et finalités du traitement

Le rôle d'Edudata dans le traitement des données à caractère personnel au sein du Service Edudata.io est double :

A. Edudata en tant que Sous-traitant

Dans le cadre du fonctionnement principal du Service (Edudata.io), le Client (fournisseur d'enseignement) est le Responsable du traitement et Edudata est le Sous-traitant. Dans ce cas, le Client détermine les finalités et les moyens du traitement. Ce traitement s'effectue conformément à un Accord de traitement des données (ATD) distinct.

B. Edudata en tant que Responsable du traitement

Edudata traite les données à caractère personnel en tant que son propre Responsable du traitement pour les finalités suivantes :

• Gestion de la relation client : Nous traitons les données pour gérer la relation client et remplir nos obligations contractuelles. Cela peut inclure la mise en place de la relation client, le support, la facturation et le reporting.
  Base juridique : Intérêt légitime et exécution d'un contrat.
• Ventes et marketing : Nous traitons les données pour la vente et la promotion de nos services, le marketing direct et l'envoi de lettres d'information (newsletters).
  Base juridique : Intérêt légitime et consentement.
• Communication avec les clients : Nous traitons les données à caractère personnel pour gérer les commentaires des clients et les demandes de support, ainsi que pour envoyer des notifications concernant les services.
  Base juridique : Intérêt légitime et exécution d'un contrat.
• Respect des obligations légales et conformité aux lois : Nous pouvons traiter les données à caractère personnel pour remplir nos obligations légales, notamment en matière de comptabilité et de fiscalité.
  Base juridique : Obligation légale.
• Développement des services : L'entreprise a le droit d'utiliser les données ajoutées au Service par le Client, qui ne sont pas qualifiées de données à caractère personnel, pour le développement et l'amélioration du Service.

Nous n'effectuons pas de prise de décision automatisée ou de profilage sur la base de données à caractère personnel qui produiraient des effets juridiques sur la personne concernée.

4. Quelles données à caractère personnel traitons-nous et collectons-nous en tant que Responsable du traitement ?

Nous collectons des données à caractère personnel relatives à nos clients principalement auprès des personnes elles-mêmes ou de sources publiques. Les données que nous traitons peuvent inclure :

• Coordonnées : Prénom, nom, adresse e-mail, numéro de téléphone, autres coordonnées (adresse).
• Informations sur l'organisation : Intitulé du poste, nom de l'organisation.
• Informations sur la relation client : Informations sur les services commandés et leurs modifications, informations de facturation, autres informations liées à la relation client et aux services commandés.
• Informations marketing : Consentements/refus de marketing.
• Données sur le site web et la prise de contact : Données techniques (données d'utilisation, données de l'appareil), cookies, contenu de la prise de contact.

5. Sources des données à caractère personnel

Nous traitons et collectons les données à caractère personnel que l'utilisateur nous a fournies ou soumises (par exemple, contacts, contrats). De plus, nous collectons des données à partir de sources publiques telles que les registres et documents publics, les sites web et les services de médias sociaux.

6. Partage et divulgation des données à caractère personnel

Nous faisons appel à des prestataires de services externes et à des sous-traitants qui traitent des données à caractère personnel pour le compte d'Edudata. Ceux-ci incluent, par exemple :

• Google Ireland
• Hubspot Ireland
• Visma AB
• Cloudpoint Oy
• Online Partner AB

Les sous-traitants traitent les données à caractère personnel pour notre compte et ne peuvent pas les utiliser à leurs propres fins. Tous nos prestataires de services s'engagent à respecter le Règlement Général sur la Protection des Données de l'UE.

7. Transfert de données à caractère personnel en dehors de l'UE et de l'EEE

Les données à caractère personnel peuvent être transférées en dehors de l'UE ou de l'EEE, car certains des prestataires de services auxquels nous faisons appel sont situés en dehors de cette zone (par exemple, les services cloud).

Si les données à caractère personnel sont transférées vers un pays pour lequel la Commission européenne n'a pas rendu de décision d'adéquation concernant la protection des données (et si le destinataire n'est pas certifié en vertu du cadre de protection des données UE-États-Unis), le transfert s'effectuera conformément aux clauses contractuelles types approuvées par la Commission européenne et à d'autres garanties nécessaires.

8. Conservation et suppression des données à caractère personnel

Vos données à caractère personnel ne seront pas conservées plus longtemps que nécessaire pour atteindre la finalité de leur utilisation, gérer la relation client ou exécuter le contrat. Les données seront également supprimées si vous retirez votre consentement ou demandez la suppression de vos données, sous réserve qu'il n'existe aucune autre base légale pour le traitement. Les documents de facturation et de comptabilité sont conservés pendant la période requise par la loi sur la comptabilité.

9. Comment protégeons-nous vos données à caractère personnel ?

Nous mettons en œuvre des mesures physiques, techniques et organisationnelles appropriées pour protéger vos données à caractère personnel contre tout accès non autorisé ou dommage.

• Les employés ayant accès aux données à caractère personnel disposent d'un accord de non-divulgation distinct et sont soumis à une obligation légale de confidentialité.
• L'accès est restreint aux seuls employés qui ont besoin et ont des motifs de traiter les données à caractère personnel dans le cadre de leurs fonctions.
• Les employés utilisent une authentification à deux facteurs.
• Le contrôle d'accès à nos bureaux est surveillé électroniquement, et le site bénéficie d'une surveillance par caméra et d'un gardiennage 24h/24 et 7j/7.

10. Quels sont vos droits ?

Vous disposez des droits suivants en vertu du RGPD concernant vos données à caractère personnel :

• Droit d'accès : Le droit de savoir quelles données à caractère personnel nous traitons à votre sujet et d'en obtenir une copie.
• Droit de rectification : Le droit de demander la correction ou le complément de données à caractère personnel incorrectes, obsolètes ou incomplètes.
• Droit à l'effacement : Le droit de demander la suppression de vos données à caractère personnel s'il n'existe plus de motif pour leur traitement.
• Droit à la limitation du traitement : Le droit de demander la limitation du traitement de vos données à caractère personnel dans certaines situations.
• Droit d'opposition : Le droit de vous opposer au traitement s'il est basé sur un intérêt légitime, sauf s'il existe des motifs impérieux et légitimes de poursuivre le traitement.
• Droit à la portabilité des données : Le droit de recevoir les données vous concernant qui nous ont été fournies sur la base d'un contrat ou de votre consentement.
• Droit de retirer votre consentement : Le droit de retirer votre consentement à tout moment si le traitement est basé sur celui-ci.
• Droit d'opposition au marketing direct : Le droit de vous opposer à tout moment au traitement de vos données à caractère personnel à des fins de marketing direct.

Vous pouvez exercer vos droits en nous contactant à l'adresse : info@edudata.io.

11. Droit de déposer une plainte auprès d'une autorité de contrôle

Vous avez le droit de déposer une plainte auprès d'une autorité de contrôle (en Finlande, le Bureau de l'ombudsmann de la protection des données ; en France, la CNIL).

12. Procédure en cas de violation de données

En cas de violation potentielle de données, nous suivons les mesures et les délais définis par le Règlement Général sur la Protection des Données. Si nécessaire, nous notifierons sans délai la violation de données à l'autorité de contrôle ainsi qu'aux personnes concernées.

13. Cookies

Nous utilisons des cookies sur notre site web pour offrir la meilleure expérience utilisateur possible. Les cookies sont de petits fichiers texte stockés sur votre appareil. L'utilisateur peut donner son consentement ou refuser les cookies via un bandeau de consentement aux cookies distinct.

14. Modifications

Nous nous réservons le droit d'apporter des modifications à cette politique de confidentialité. Si nous apportons des modifications importantes, nous vous en informerons à l'avance.

Entrée en vigueur : 23.07.2025

Le présent Accord de traitement des données (« ATD ») concerne EDUDATA (« Service »), qui est géré et fourni par Cloudpoint Oy. Il complète et fait partie intégrante de l'accord principal, y compris les Conditions générales d'utilisation (« CGU »), et entre en vigueur dès son acceptation. En cas de conflit ou d'incohérence avec les termes de l'ensemble des Accords, cet ATD prévaudra dans la mesure de ce conflit ou de cette incohérence.

1. Définitions

• Responsable du traitement : Désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou d'un État membre, le responsable du traitement ou les critères spécifiques de sa désignation peuvent être prévus par le droit de l'Union ou d'un État membre (« Responsable du traitement »).
• Sous-traitant : Désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (« Sous-traitant »).
• RGPD : Règlement Général sur la Protection des Données (UE) 2016/679.
• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable (personne concernée) ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• Traitement : Désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'association, la limitation, l'effacement ou la destruction.

Tous les autres termes non définis dans le présent ATD ont la même signification que dans le RGPD.

2. Contexte et objet

Le Responsable du traitement a sélectionné le prestataire de services (Cloudpoint Oy) pour agir en tant que Sous-traitant conformément à l'Article 28(3) du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données, « RGPD »).

Le présent ATD fait partie intégrante de l'Accord principal conclu entre les Parties, en vertu duquel le Sous-traitant fournit au Responsable du traitement le service Edudata, composé des modules Edudata Compliance, Edudata Compliance Service, Edudata Privacy et Edudata Security, sauf convention contraire dans l'Accord principal.

Le Sous-traitant traitera des informations relatives à une personne physique identifiée ou identifiable pour le compte du Responsable du traitement. Les détails des pratiques de traitement des données sont décrits dans l'Annexe 1 du présent ATD.

L'objet de cet ATD est de convenir des droits et obligations des Parties impliquées dans les activités de traitement comme l'exige le RGPD, et de sauvegarder les libertés et les droits de la personne concernée au cours du traitement.

3. Rôles et responsabilités

Le Sous-traitant traitera les données à caractère personnel conformément au présent ATD et aux instructions documentées du Responsable du traitement. Le Sous-traitant n'utilisera pas les données à caractère personnel à d'autres fins que celles convenues dans le présent ATD et dans les instructions du Responsable du traitement. Les instructions du Responsable du traitement doivent être conformes aux lois applicables sur la protection des données et cohérentes avec cet ATD.

Si le Sous-traitant constate qu'une instruction donnée par le Responsable du traitement n'est pas conforme aux lois applicables ou s'avère insuffisante, le Sous-traitant informera le Responsable du traitement de cette non-conformité.

Le Responsable du traitement est responsable de l'existence d'une base juridique pour le traitement des données à caractère personnel, de l'information des personnes concernées concernant le traitement de leurs données et de l'exécution des autres obligations incombant au responsable du traitement en vertu du RGPD.

Le Responsable du traitement est tenu d'informer le Sous-traitant des coordonnées de son Délégué à la protection des données (DPD) et de s'assurer que ces coordonnées sont tenues à jour. Ces coordonnées sont indispensables pour permettre au Sous-traitant de respecter ses obligations de notification en cas de violation de données.

4. Mesures techniques et organisationnelles

Le Sous-traitant maintiendra des mesures techniques et organisationnelles de sécurité appropriées pour se prémunir contre tout traitement ou accès non autorisé ou illicite, ainsi que contre toute perte, destruction ou altération accidentelle. Lors du choix des mesures de sécurité, le Sous-traitant doit tenir compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques.

Une description détaillée des mesures appliquées est stipulée dans l'Annexe 2 du présent ATD.

5. Obligation d'assistance

Le Sous-traitant traite les données à caractère personnel conformément au présent ATD, aux instructions du Responsable du traitement et à la législation sur la protection des données. Le Sous-traitant doit prendre les mesures nécessaires pour protéger les données à caractère personnel contre des pratiques de traitement non conformes aux termes de cet ATD, aux instructions ou à la législation applicable.

Le Sous-traitant s'engage à veiller à ce que les personnes travaillant pour son compte respectent les termes du présent ATD et soient informées de la législation pertinente. Le Sous-traitant soutient le Responsable du traitement pour garantir le respect des obligations énoncées aux Articles 32 à 36 du RGPD, à la demande de ce dernier.

Le Sous-traitant s'engage à informer le Responsable du traitement, sans délai injustifié, de toutes les demandes des personnes concernées concernant l'exercice de leurs droits en vertu du RGPD. Le Sous-traitant s'engage à soutenir le Responsable du traitement par des mesures techniques et organisationnelles appropriées afin que ce dernier soit en mesure de répondre aux demandes d'exercice des droits des personnes concernées.

Si l'assistance demandée au Sous-traitant requiert des mesures susceptibles d'engendrer des coûts supplémentaires pour celui-ci, le Responsable du traitement versera au Sous-traitant une compensation raisonnable pour la fourniture de ce support.

6. Transferts internationaux

Nous traitons les données à caractère personnel sur des serveurs situés dans l'Espace Économique Européen (EEE). En règle générale, il n'y a pas de transferts réguliers de données en dehors de l'EEE.

Le Responsable du traitement accepte que, pour les besoins de la fourniture du Service, le Sous-traitant puisse faire traiter les Données à caractère personnel par ses sous-traitants ultérieurs situés en dehors du pays de domicile du Responsable du traitement, et leur en donner l'accès.

Dans le cas où des Données à caractère personnel sont transférées vers un sous-traitant ultérieur situé dans un pays tiers en dehors de l'EEE, ou autrement transférées vers un pays en dehors de l'EEE non reconnu par la Commission européenne comme offrant un niveau de protection adéquat, le Sous-traitant prévoit des garanties appropriées (Chapitre V du RGPD), par exemple par le biais de clauses contractuelles types adoptées et approuvées par la Commission européenne et applicables au traitement effectué par le sous-traitant hors EEE, ou par toute autre garantie appropriée prévue par le Règlement.

Le lieu de stockage et les transferts internationaux en dehors de l'EEE sont spécifiés dans l'Annexe 1.

7. Obligation de confidentialité

Le Sous-traitant et toutes les personnes physiques travaillant pour lui doivent respecter la confidentialité et le secret professionnel au cours du traitement. Le Sous-traitant garantit que toutes les personnes physiques travaillant pour lui sont liées par un accord de confidentialité.

Le Sous-traitant s'assure de l'existence d'un accord de non-divulgation avec ses sous-traitants ultérieurs et d'accords de confidentialité entre chaque sous-traitant ultérieur et toutes les personnes physiques travaillant pour lui participant au traitement.

8. Droit d'audit

Le Responsable du traitement a le droit d'effectuer des audits raisonnables des installations et des activités de traitement du Sous-traitant afin d'examiner le niveau de protection et de sécurité prévu par le présent ATD, et d'évaluer la conformité du Sous-traitant avec ses dispositions.

Le Responsable du traitement supportera l'intégralité des coûts liés à la réalisation de l'audit. Le Responsable du traitement en informera le Sous-traitant au moins 30 jours ouvrés avant la tenue de l'audit.

Le droit d'audit du Responsable du traitement s'exerce au maximum une fois tous les douze (12) mois, sauf si une violation spécifique de données ou une préoccupation étayée nécessite un audit anticipé.

Lorsqu'un audit est susceptible d'entraîner la divulgation de secrets commerciaux ou d'affaires du Sous-traitant, ou de menacer les droits de propriété intellectuelle du Sous-traitant, un expert indépendant doit être mandaté pour mener l'audit, et cet expert devra s'engager par un accord de confidentialité.

9. Sous-traitants ultérieurs

Le Sous-traitant a le droit de faire appel à des sous-traitants ultérieurs pour traiter les données à caractère personnel dans le cadre de la fourniture du Service, sous réserve que cette désignation n'entraîne pas de manquement aux obligations du Sous-traitant en vertu du présent ATD.

Le Sous-traitant s'assure que les sous-traitants ultérieurs impliqués agissent en vertu d'un contrat de sous-traitance avec le Sous-traitant et respectent des obligations de traitement des données substantiellement similaires à celles contenues dans le présent document.

Le Sous-traitant a le droit de changer de sous-traitants ultérieurs. Le Sous-traitant fournira au Responsable du traitement un préavis concernant tout changement de sous-traitant ultérieur. Si le Responsable du traitement s'oppose au changement ou à l'ajout de sous-traitants ultérieurs, il aura le droit de résilier le Service.

10. Violations de données

Le Sous-traitant informera le Responsable du traitement par écrit, sans délai injustifié après en avoir pris connaissance, de toute violation de données à caractère personnel ainsi que de tout autre événement compromettant la sécurité des données traitées pour le compte du Responsable du traitement. La notification de la violation par le Sous-traitant au Responsable du traitement comprendra au moins les éléments suivants :

• Une description de la nature de la violation ;
• Le nom et les coordonnées du point de contact du Sous-traitant ;
• Une description des mesures prises par le Sous-traitant pour remédier à la violation, y compris, le cas échéant, les mesures visant à en atténuer les effets négatifs potentiels.

11. Suppression des données à caractère personnel

Dans un délai raisonnable, n'excédant pas 180 jours après la résiliation ou l'expiration du présent ATD et après la cessation définitive de l'utilisation du Service par le Responsable du traitement, le Sous-traitant restituera ou supprimera définitivement toutes les données à caractère personnel de ses espaces de stockage, sauf instructions contraires spécifiques, ou sauf si la loi impose au Sous-traitant de conserver ces données.

Les données d'utilisateur sont automatiquement supprimées de la base de données lorsque 366 jours se sont écoulés depuis le dernier traitement des données de connexion par le système.

12. Limitation de responsabilité

Le Sous-traitant ne sera pas responsable des dommages indirects ou consécutifs en vertu du présent ATD.

La responsabilité cumulée maximale du Sous-traitant envers le Responsable du traitement en vertu du présent ATD sera limitée à une somme correspondant à 100 % des paiements effectués par le Responsable du traitement au Sous-traitant pour le Service au cours des 12 mois précédents.

Le Sous-traitant ne limite pas sa responsabilité lorsque cette limitation serait illégale.

13. Durée

Le présent ATD entre en vigueur à la date indiquée ci-dessous et reste applicable jusqu'à ce que le Sous-traitant ait cessé de traiter les données à caractère personnel du Responsable du traitement, ou jusqu'à son remplacement par un autre accord entre les Parties concernant le traitement des données.

14. Règlement des litiges et compétence juridictionnelle

Le présent ATD est soumis aux dispositions relatives au règlement des litiges et à la juridiction compétente définies dans l'Accord principal.

15. Modifications

Nous nous réservons le droit d'apporter des modifications au présent ATD. La version modifiée n'entrera en vigueur qu'après acceptation par les deux parties.

---

ANNEXE 1 : Description du traitement des données

1. Finalité du traitement des données à caractère personnel

Le Sous-traitant traitera les données à caractère personnel pour le compte du Responsable du traitement aux fins de la fourniture du Service, dans la mesure où cette fourniture nécessite le traitement de données par le Sous-traitant. Le traitement s'effectuera conformément à l'Accord principal, au présent ATD et aux instructions fournies par le Responsable du traitement.

2. Catégories de personnes concernées

Le traitement des données à caractère personnel concerne les catégories de personnes concernées suivantes :

• Élèves / Apprenants
• Enseignants et autres membres du personnel du Client qui utilisent le Service

3. Types de données à caractère personnel

Le Sous-traitant peut traiter les types de données à caractère personnel suivants en vertu du présent ATD (traités dans Edudata Compliance, Edudata Compliance Service, Edudata Privacy et Edudata Security pour les rôles : Élève, Enseignant, Enseignant+, Rédacteur, Décideur, Administrateur Client) :

• Prénom
• Nom
• Adresse e-mail
• Adresse IP
• Données de connexion
• Détails du navigateur
• Données de l'appareil
• Informations de connexion aux services tiers
• Identifiant Edudata (Edudata ID)
• Langue
• Date de création de l'utilisateur
• Dernière connexion de l'utilisateur
• Photo de profil
• Rôle de l'utilisateur
• Nom et domaine de l'organisation (nom du Client)

4. Durée du traitement des données à caractère personnel

Les données à caractère personnel seront traitées en vertu du présent ATD pour toute la durée de l'Accord principal, jusqu'à ce que celui-ci prenne fin ou expire, que le Sous-traitant ait cessé de fournir le Service et qu'il ait mené à bien toutes les actions prévues par cet Accord concernant le processus de restitution et de suppression des données. Par la suite, pour une période maximale de 180 jours, the Processor shall no longer process or store any Customer personal data, except to the extent the Processor is under a statutory obligation to retain the personal data after the termination of the Main Agreement.

Le Responsable du traitement détermine la durée des activités de traitement et a la responsabilité de veiller à ce que les données à caractère personnel soient supprimées en conséquence.

Les données d'Edudata sont stockées dans un projet Google Cloud détenu et géré par l'organisation du Client. Dans ce projet, les données sont stockées dans une base de données Firestore distincte. Seules les données de journalisation (logs) système issues du traitement sont stockées dans le système Edudata.io, et elles sont automatiquement supprimées sous 30 jours.

Dans le cas où le Client met fin à l'utilisation du Service Edudata, les bases de données restent sous le contrôle et la responsabilité du Client. Le Sous-traitant ne traitera les données que conformément à cet Accord et uniquement pour sa durée.

• Données de journalisation (logs) Edudata conservées : 30 jours
• Suppression des données d'utilisateur : Supprimées automatiquement de la base de données après un délai de 366 jours sans mise à jour des informations de connexion.
• Données de logs des services tiers : 18 mois
• Évaluations, décisions et requêtes : Conservées pendant 3 ans
• Délai des demandes de rôle : Les demandes rejetées ou restées sans réponse sous 30 jours sont automatiquement supprimées. Les demandes approuvées passent sous la règle standard des 366 jours.
• Logs système après suppression : Supprimés 180 jours après le début du processus de suppression.

5. Sous-traitants ultérieurs

Le Sous-traitant a le droit de faire appel à des sous-traitants ultérieurs pour traiter les données à caractère personnel dans le cadre de la fourniture du Service :

6. Transferts internationaux

Les données à caractère personnel sont stockées sur des serveurs situés dans l'Espace Économique Européen. En règle générale, il n'y a pas de transferts réguliers de données en dehors de l'EEE.

Dans le cas où des données à caractère personnel seraient transférées en dehors de l'EEE par des sous-traitants ultérieurs vers un pays tiers non reconnu par la Commission européenne comme offrant un niveau de protection adéquat, la base du transfert sera conforme au Chapitre V du RGPD, notamment sous la forme de clauses contractuelles types approuvées par la Commission européenne.

---

ANNEXE 2 : Mesures de sécurité

Le Sous-traitant mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées, conçues pour protéger et préserver la sécurité des données à caractère personnel.

Le Sous-traitant veillera à ce que toute personne autorisée par lui à traiter les données à caractère personnel (y compris son personnel, ses agents, ses sous-traitants) soit soumise à des obligations de confidentialité appropriées.

Nos mesures de sécurité sont documentées et révisées deux fois par an. Notre personnel participe régulièrement à des formations sur la protection de la vie privée et la sécurité des données.

• Nos bureaux font l'objet d'un contrôle d'accès, sont gardés et bénéficient d'une surveillance par caméra 24h/24 et 7j/7.
• Tous les accès aux environnements de données sont contrôlés par un système IAM et enregistrés.
• Toutes les connexions des utilisateurs font l'objet d'une double authentification (2FA) obligatoire et utilisent des clés de sécurité fortes (Yubico).

Contrôles de sécurité lors du développement de logiciels :

• Les aspects de sécurité sont mis en avant lors de l'intégration des nouveaux employés.
• Une formation relative à la sécurité est fournie aux développeurs via des certifications Google Cloud.
• L'accès aux dépôts de code requiert obligatoirement l'approbation d'un développeur senior.
• Le développement local s'effectue exclusivement sur des ordinateurs portables dotés de disques chiffrés.
• Toute modification du code source fait l'objet d'une revue par les pairs (peer review).
• Vérification régulière des vulnérabilités et mise à jour des bibliothèques logicielles.
• Surveillance régulière des canaux d'information concernant les cybermenaces et les vulnérabilités.

Responsabilité du Client :

La propriété et la gestion des entrepôts de données mis en œuvre dans les services cloud de Google relèvent de la responsabilité du Client. Le Client, en sa qualité de responsable du traitement, est chargé de prendre les mesures de sécurité appropriées.

Le service est hébergé sur les services cloud de Google. Google applique diverses mesures de sécurité à ses services cloud. De plus amples informations sont disponibles dans les Livres blancs sur la sécurité de Google Cloud.

Version 1.0 | Entrée en vigueur : 10.07.2025

Cette Politique d'IA énonce l'engagement d'Edudata.io en faveur d'une utilisation responsable et éthique de l'Intelligence Artificielle (IA) dans le cadre de sa mission visant à préserver la confidentialité des données des élèves et à garantir la conformité au RGPD pour les établissements scolaires de l'Union européenne. Edudata.io s'appuie sur l'IA pour améliorer l'efficacité, l'exactitude et l'exhaustivité de ses processus d'évaluation des risques pour les services numériques tiers utilisés dans le milieu éducatif. Il est crucial de comprendre que ces évaluations assistées par l'IA fournissent des recommandations et ne constituent pas des décisions contraignantes. Edudata.io s'engage à surveiller et améliorer continuellement les performances et la précision de l'IA en fonction des retours d'expérience et de l'évolution des données. Néanmoins, la responsabilité d'adopter ou de rejeter ces recommandations, ainsi que de garantir la conformité avec l'ensemble des lois applicables, incombe uniquement au Client et à ses décideurs désignés. Edudata.io décline toute responsabilité quant aux décisions prises sur la base de ces recommandations ou aux éventuelles erreurs ou omissions figurant dans l'évaluation assistée par l'IA.

1. Notre engagement pour une IA responsable

Chez Edudata.io, nous nous consacrons au développement et au déploiement de technologies d'IA alignées sur nos valeurs fondamentales de confidentialité, de sécurité, de transparence et de responsabilité. Nous mesurons l'impact profond des services numériques et de l'IA sur la vie privée des enfants. Nous nous efforçons de veiller à ce que l'IA soit utilisée comme un outil pour promouvoir, et non compromettre, les droits fondamentaux des élèves dans un environnement numérique en constante évolution. Notre approche est guidée par les réglementations en vigueur, notamment le RGPD, le Règlement européen sur l'IA (EU AI Act) et les meilleures pratiques en matière de développement éthique de l'IA.

2. Finalités de l'IA chez Edudata.io

L'IA fait partie intégrante du processus d'Edudata.io pour élaborer des évaluations complètes des risques liés aux services numériques tiers. Plus précisément, nos systèmes d'IA sont conçus pour :

• Analyser la documentation : Traiter et extraire des informations pertinentes à partir des divers documents des services, notamment les Politiques de confidentialité, les Conditions générales d'utilisation (CGU), les Accords de traitement des données (ATD), les Politiques d'IA et les Politiques de sécurité.
• Intégrer l'expertise humaine : S'appuyer sur les enseignements des évaluations de risques antérieures réalisées par des humains (conseillers juridiques) pour le même service afin d'éclairer et d'enrichir l'analyse de l'IA, offrant ainsi une boucle de rétroaction pour une amélioration continue et une compréhension contextuelle.
• Soutenir l'évaluation des risques pour la vie privée (conformité au RGPD) : Les capacités d'analyse de l'IA sont adaptées pour identifier et évaluer les aspects critiques du traitement des données à caractère personnel conformément au Règlement Général sur la Protection des Données (RGPD).
• Soutenir l'évaluation des risques pour la sécurité : L'IA aide à identifier et à évaluer la posture de sécurité du service tiers en extrayant et en analysant les informations concernant :
  • Les mesures techniques et organisationnelles (MTO) mises en œuvre.
  • Les contrôles spécifiques contre l'utilisation frauduleuse de données à caractère personnel par le personnel ou des personnes non autorisées.
• Évaluer l'adéquation pour l'enseignement et le marketing : L'IA contribue à évaluer la pertinence pédagogique et l'impact commercial en analysant :
  • Si le service soutient l'organisation de l'enseignement à différents niveaux scolaires (maternelle, primaire, secondaire).
  • Le groupe cible du service et l'adéquation de son contenu pour les utilisateurs, en particulier les mineurs.
  • Toute présence de marketing ou de publicité orientée vers l'utilisateur au sein du service, en particulier à l'attention des élèves.
• Soutenir l'évaluation de l'utilisation de l'IA au sein du service tiers : Conscient de l'importance cruciale de l'IA dans les services tiers, l'IA d'Edudata.io analyse la documentation pour évaluer l'usage de l'IA par le fournisseur du service :
  • Déterminer si l'IA est utilisée dans la fourniture ou le fonctionnement du service, son rôle spécifique et son type (réactive, prédictive ou générative).
  • Déterminer si l'IA intervient dans le traitement de données à caractère personnel et les mesures de transparence et d'explicabilité, y compris l'indication claire des fonctionnalités d'IA.
  • Évaluer si l'utilisation de l'IA entre dans des catégories à haut risque ou interdites selon le Règlement européen sur l'IA (EU AI Act) (par exemple, pour déterminer l'accès ou l'admission aux établissements d'enseignement, évaluer les résultats d'apprentissage ou surveiller le comportement des élèves).
  • Examiner les mesures documentées prises pour minimiser les risques et les impacts négatifs du système d'IA, y compris les garanties spécifiques pour les groupes vulnérables et les mécanismes de contrôle humain et de responsabilité.

Note : Nous n'utilisons pas l'IA pour traiter les données à caractère personnel de nos clients.

3. Principes d'utilisation de l'IA

Nos opérations d'IA sont régies par les principes clés suivants :

• Protection de la vie privée dès la conception (Privacy by Design) : Les systèmes d'IA sont développés en intégrant les considérations de protection des données et de la vie privée dès le départ.
• Sécurité : Des mesures de sécurité robustes sont mises en œuvre pour protéger toutes les données traitées par les modèles d'IA.
• Transparence : Bien que la complexité des modèles d'IA puisse être élevée, nous visons la transparence concernant le rôle de l'IA dans notre méthodologie d'évaluation des risques et les critères qu'elle évalue.
• Contrôle humain (Human-in-the-Loop) : L'IA est un outil puissant, mais le Client, ses utilisateurs, ainsi que les experts et conseillers juridiques conservent le contrôle. Le Client dispose du pouvoir décisionnel sur toutes les évaluations de risques.
• Équité et non-discrimination : Nos systèmes d'IA sont conçus pour évaluer les services de manière objective et sans parti pris, afin de garantir des évaluations équitables.
• Conformité : Toutes les activités liées à l'IA respectent strictement le RGPD, les lois nationales sur la protection des données et les autres cadres juridiques applicables.

4. Gestion des données et confidentialité

Edudata.io traite les données utilisées par ses systèmes d'IA avec le plus grand soin, conformément à notre engagement en matière de confidentialité :

• Données d'entrée : L'IA traite la documentation publique disponible et les évaluations de risques internes antérieures réalisées par des humains. Nous ne fournissons sciemment aucune donnée à caractère personnel d'élèves ni aucune autre information utilisateur sensible comme donnée d'entrée directe aux modèles d'IA pour générer les évaluations.
• Traitement des données : Les données soumises aux fonctionnalités d'IA pour traitement (par exemple, le texte des politiques de confidentialité) sont gérées de manière sécurisée. Nous travaillons en partenariat avec des fournisseurs de services d'IA réputés et sécurisés qui offrent des garanties robustes de protection des données et n'utilisent pas nos données pour entraîner leurs modèles.
• Confidentialité : Il est conseillé aux Clients (écoles, établissements d'enseignement) de ne pas inclure d'informations confidentielles ou sensibles dans la documentation fournie si cela n'est pas nécessaire à l'évaluation des risques.
• Minimisation des données : Nous adhérons au principe de minimisation des données, en veillant à ce que seules les données nécessaires et pertinentes soient traitées par l'IA pour l'usage auquel elle est destinée.

5. Contrôle humain et responsabilité

L'IA chez Edudata.io fonctionne comme une technologie d'assistance, renforçant les capacités de nos experts humains :

• Validation par des experts : Chaque évaluation de risques ou recommandation générée par l'IA fait l'objet d'un examen approfondi et d'une validation par le Client et/ou l'équipe d'Edudata.io.
• Prise de décision : La décision finale concernant l'adéquation d'un service numérique et ses risques associés incombe au Client et à ses décideurs.
• Responsabilité : Bien qu'Edudata.io s'efforce de fournir des évaluations de risques assistées par l'IA extrêmement précises et conformes à la loi, la nature même des modèles d'IA implique qu'ils peuvent contenir des erreurs ou nécessiter une interprétation contextuelle. Par conséquent, la responsabilité de la décision d'implémenter ou de continuer à utiliser un service numérique, et de garantir sa parfaite conformité avec toutes les lois et réglementations applicables (y compris le RGPD), repose entièrement sur le Client. Nous insistons sur le fait que les clients doivent faire preuve de diligence raisonnable dans l'examen des recommandations d'Edudata.io et dans la prise de leurs décisions finales éclairées.

6. Exactitude et fiabilité

Nous nous engageons à assurer l'exactitude et la fiabilité des évaluations de risques assistées par l'IA :

• Évaluation continue : Nos modèles d'IA et leurs résultats sont régulièrement évalués en termes d'exactitude, de pertinence et de cohérence. Cela comprend des tests périodiques face à des ensembles de données nouveaux et complexes afin d'identifier d'éventuels biais ou inexactitudes.
• Assurance qualité : Nous mettons en œuvre des processus d'assurance qualité rigoureux pour identifier et corriger les inexactitudes ou les biais susceptibles de découler de l'analyse de l'IA.
• Examen par l'utilisateur : Nous insistons auprès de nos Clients sur l'importance d'examiner et de comprendre les composants générés par l'IA dans les évaluations de risques, et nous les encourageons à échanger avec nos experts pour toute clarification ou personnalisation supplémentaire.

7. Conformité et considérations éthiques

Edudata.io veille à ce que sa politique et ses pratiques en matière d'IA soient pleinement conformes à toutes les réglementations applicables :

• RGPD : Notre utilisation de l'IA soutient pleinement la conformité au RGPD, en particulier pour ce qui concerne les évaluations de risques des services numériques tiers.
• Législation de l'éducation : Nous veillons à ce que l'IA aide à évaluer la conformité avec les réglementations spécifiques applicables aux services numériques dans l'enseignement, y compris des aspects tels que les environnements sans publicité.
• IA éthique : Nous adhérons à des lignes directrices éthiques pour le développement de l'IA, axées sur une utilisation bénéfique, la prévention des préjudices et le renforcement de la confiance dans les systèmes d'IA.

8. Amélioration continue et surveillance

Le domaine de l'IA, les cybermenaces et la législation évoluent constamment. Edudata.io s'engage à :

• Mises à jour : Actualiser nos modèles d'IA, nos méthodologies et nos politiques pour refléter les dernières avancées de la technologie de l'IA, les évolutions législatives et les nouveaux risques.
• Surveillance des performances : Suivre les performances de nos systèmes d'IA pour s'assurer qu'ils fournissent systématiquement des évaluations de risques fiables et de haute qualité.
• Intégration des retours : Intégrer les commentaires de notre équipe juridique, de nos clients et de la communauté de protection de la vie privée au sens large pour perfectionner nos applications d'IA et nos politiques.

9. Responsabilités de l'utilisateur (pour les Clients d'Edudata.io)

Bien qu'Edudata.io s'efforce de fournir des évaluations de risques robustes basées sur l'IA, le Client a également des responsabilités :

• Examen et vérification : Les Clients doivent examiner et vérifier attentivement le contenu des évaluations de risques fournies, en particulier les sections élaborées avec l'aide de l'IA, afin de s'assurer qu'elles correspondent à leur contexte et exigences spécifiques.
• Données d'entrée exactes : Fournir une documentation exacte et complète concernant les services numériques tiers pour permettre à l'IA de réaliser l'évaluation la plus efficace possible.
• Respect des politiques : Veiller à ce que les politiques et pratiques internes soient conformes aux recommandations et aux conclusions des évaluations de risques.

10. Informations de contact

Pour toute question ou préoccupation concernant la politique ou les pratiques d'IA d'Edudata.io, veuillez nous contacter à l'adresse : info@edudata.io

Application : edudata.io | Version : 1.0 | Statut : Actif

1. Résumé analytique

Chez edudata.io, we recognize that our platform handles highly sensitive educational, administrative, and student data. Securing this information is not just a regulatory obligation; it is our foundational commitment to the schools, districts, and municipalities we serve.

Le présent Livre blanc sur la sécurité et l'architecture offre un aperçu complet de la manière dont edudata.io protège les données de ses clients. En intégrant la « protection de la vie privée dès la conception » (Privacy by Design) dans notre cycle de développement et en appliquant une surveillance rigoureuse et continue, nous garantissons la confidentialité, l'intégrité et la disponibilité absolues de nos systèmes d'information.

2. Alignement avec le cadre ISO 27001:2022

Notre système de gestion de la sécurité de l'information (SGSI) est conçu pour s'aligner sur les normes rigoureuses et mondialement reconnues ISO/CEI 27001:2022. Nous progressons activement vers une certification formelle.

Pour atteindre et maintenir cette posture, notre SGSI s'appuie sur les piliers suivants :

• Cadre politique complet : Notre posture de sécurité est régie par une hiérarchie stricte de politiques internes, notamment notre Politique de sécurité de l'information, notre Politique de contrôle d'accès, notre Politique de gestion des données, notre Politique de développement sécurisé et notre Politique de gestion des tiers.
• Surveillance continue de la conformité : Nous utilisons Vanta comme plateforme automatisée de surveillance continue pour suivre activement et en temps réel la conformité par rapport aux cadres de contrôle ISO 27001:2013 et ISO 27001:2022.
• Gestion du cycle de vie des actifs : Nous tenons un inventaire strict de tous les actifs informationnels et physiques. Tous les actifs de l'organisation font l'objet d'un suivi obligatoire, de leur mise en service jusqu'à leur élimination et leur restitution (Contrôles AST-4 à AST-9).
• Responsabilité partagée : La sécurité de l'information est un effort collaboratif. Tous les employés et sous-traitants suivent une formation sur la sécurité et sont liés par des accords stricts d'utilisation acceptable et de confidentialité.

3. Sécurité de l'infrastructure et des réseaux

Nous nous appuyons sur une architecture cloud de classe entreprise pour garantir une haute disponibilité, la résilience et la protection des données.

• Hébergement cloud et sécurité physique : La plateforme edudata.io est hébergée sur Google Cloud Platform au sein de l'Espace Économique Européen (EEE). Nous nous appuyons sur les centres de données certifiés ISO 27001 de notre fournisseur cloud pour assurer une sécurité physique de premier ordre, y compris des contrôles d'accès biométriques, une surveillance 24h/24 et 7j/7, ainsi que des protections contre les menaces environnementales.
• Sécurité et durcissement des réseaux : Notre infrastructure de support fait l'objet de correctifs et d'un durcissement réguliers face aux menaces de sécurité dans le cadre de nos protocoles de maintenance planifiés (Contrôle VPM-38). Nous utilisons des réseaux virtuels isolés, des groupes de sécurité et des pare-feu configurés de manière stricte pour minimiser notre surface d'attaque externe.
• Chiffrement des données :
  • En transit : Toutes les données transmises entre les appareils des clients et nos serveurs, ainsi qu'en interne entre les microservices, sont chiffrées à l'aide de TLS 1.2 ou supérieur.
  • Au repos : Tous les espaces de stockage persistants, les bases de données et les sauvegardes sont chiffrés au repos à l'aide d'AES-256. De plus, tous les appareils fournis par l'entreprise et utilisés par notre personnel sont sécurisés par un chiffrement intégral du disque (Full Disk Encryption) afin d'éliminer tout risque de récupération des données en cas de perte ou de vol.
• Stockage éphémère : Les fichiers temporaires (par exemple, le stockage IaaS /tmp) sont détruits automatiquement dès la fin du processus informatique associé.

4. Contrôle d'accès et gestion des identités

La protection de l'accès à nos systèmes repose sur une approche stricte de type « Zero Trust », garantissant que les utilisateurs et le personnel interne n'accèdent qu'aux seules données nécessaires à leurs fonctions.

• Contrôle d'accès basé sur les rôles (RBAC) : Nous appliquons le principe du moindre privilège à l'ensemble de notre organisation. Par défaut, tout accès au système est interdit. Les droits d'accès sont accordés exclusivement sur la base de besoins professionnels légitimes et sont révisés en permanence.
• Vérification d'identité et MFA : L'accès administratif aux environnements de production et aux comptes racine requiert des mots de passe hautement complexes et renouvelés périodiquement, associés à une authentification multifacteur (MFA) obligatoire.
• Code source et propriété intellectuelle : L'accès au code source des programmes, aux conceptions et aux plans de validation est strictement contrôlé, journalisé et audité. Cela évite toute modification fonctionnelle non autorisée et protège l'intégrité de notre cycle de développement logiciel.
• Intégration et départ du personnel : L'attribution des accès est étroitement contrôlée par les ressources humaines et notre délégué à la sécurité. En cas de fin d'emploi ou de contrat, tous les actifs physiques doivent être restitués et tous les accès au système sont immédiatement révoqués.

5. Confidentialité et gouvernance des données

Afin de protéger efficacement les données de nos clients, nous appliquons une Politique de gestion des données stricte qui dicte la manière dont les informations sont classifiées, traitées et éliminées de façon sécurisée.

• Classification des données : Nous catégorisons les informations en trois niveaux, les Données clients et les Données d'identification personnelle (PII) étant désignées comme Confidentielles. Les données confidentielles requièrent le plus haut niveau de protection, des restrictions d'accès strictes et l'approbation de la direction ou du propriétaire des données avant tout partage externe.
• Multi-location (Multi-Tenancy) et séparation logique : Les environnements et bases de données des clients sont strictement séparés afin de prévenir toute fuite de données entre les différents districts scolaires. Les bases de données Firestore sont logiquement séparées par des configurations de projets Google Cloud, garantissant des frontières de sécurité isolées.
• Conservation et élimination des données : Nous respectons les calendriers de conservation suivants pour nous conformer aux principes de minimisation des données du RGPD :
  • Données clients : Supprimées de manière sécurisée sous 90 jours après la fin du contrat.
  • Logs de sécurité et d'événements : Les logs d'instance Cloud/Hôte sont conservés pendant 1 an pour faciliter les audits forensiques, tandis que les logs de sécurité locaux sont conservés indéfiniment.
  • Fichiers temporaires : Les données éphémères sont purgées automatiquement dès la fin du traitement.

6. Gestion des vulnérabilités et des incidents

Nous travaillons en partant du principe que le paysage des menaces évolue constamment. À ce titre, nous avons mis en place une surveillance proactive et des mécanismes de réponse rapide.

• Gestion des vulnérabilités et correctifs : Nous collectons et évaluons en continu des informations sur les vulnérabilités techniques (Contrôle VPM-3). Notre infrastructure fait l'objet de correctifs réguliers et nos outils de gestion des vulnérabilités analysent activement nos environnements. Les données de vulnérabilité des hôtes sont conservées jusqu'à ce que l'actif sous-jacent soit supprimé et purgé.
• Tests d'intrusion : Nous réalisons chaque année des évaluations de sécurité et des tests d'intrusion rigoureux et indépendants en collaboration avec des cabinets de cybersécurité tiers de confiance et certifiés.
• Plan de réponse aux incidents : Nous maintenons un plan de réponse aux incidents formalisé, géré par notre délégué à la sécurité.
  • Signalement et triage : Les événements de sécurité sont immédiatement escaladés et catégorisés selon leur gravité.
  • Confinement et remédiation : En cas d'Indicateur de Compromission (IOC) – tel qu'une activité anormale du compte ou la désactivation de la journalisation – notre équipe de réponse suit des procédures (runbooks) strictes. Les étapes incluent la prise de contact immédiate avec le support cloud, le renouvellement des mots de passe/clés racine et la révocation des accès de modification afin d'arrêter la menace (« stopper l'hémorragie »).
  • Post-Mortem : Chaque incident de sécurité se conclut par une analyse approfondie des causes profondes (Root-Cause Analysis). Nous documentons les conclusions, corrigeons les problèmes structurels sous-jacents et mettons à jour nos procédures pour éviter toute récurrence future.

Cette déclaration d'accessibilité couvre exclusivement le service privacy.edudata.io (Edudata Privacy Application (PWA)) | Mis à jour le : 19/05/2026 | Objectif de conformité : WCAG 2.1 Niveau AA / EN 301 549

1. Statut de conformité

Cette déclaration s'applique exclusivement au service public privacy.edudata.io, qui est la seule interface de la plateforme orientée vers les utilisateurs finaux. Sur la base de l'évaluation initiale réalisée le 23/12/2025, cette application est Partiellement conforme avec les normes WCAG 2.1 Niveau AA.

2. Contenu non accessible (Problèmes connus)

Les fonctionnalités suivantes sont actuellement non accessibles, mais leur correction est planifiée dans notre feuille de route (ou a été récemment effectuée) :

• A. Perceptibilité (Visuel) - Problème de contraste (WCAG 1.4.3) : Le texte de substitution dans les champs de formulaire (Connexion, Profil) était auparavant inférieur au rapport de contraste de 4.5:1 par rapport à l'arrière-plan. Résolu
• B. Utilisabilité (Navigation) - Gestion du focus (WCAG 2.4.3) : Les boîtes de dialogue de confirmation (fenêtres modales) ne bloquent pas actuellement le focus du clavier (focus trap). Cela permet aux utilisateurs de clavier de naviguer accidentellement derrière la fenêtre modale ouverte. En cours
• C. Compréhensibilité (Code & Étiquettes) - Commutateurs personnalisés (WCAG 4.1.2) : Les commutateurs des paramètres de confidentialité n'ont pas les attributs role="switch" and aria-checked. Les lecteurs d'écran ne peuvent pas annoncer si un paramètre est « Activé » ou « Désactivé ». Planifié

3. Feuille de route de mise en conformité 2026

Pour répondre aux exigences de « conception universelle » de l'Acte d'accessibilité européen (EAA), nous nous sommes engagés à respecter le calendrier de développement suivant :

4. Stratégie de vérification et de certification

• État actuel : Auto-évaluation (revue technique et d'experts).
• Validation future : Afin de s'aligner sur les exigences municipales de vérification indépendante ([ACC-00]), nous avons planifié un audit d'accessibilité par un tiers (VPAT/ACR) qui sera réalisé dès la finalisation des mesures correctives ci-dessus.
• Date cible de l'audit : T4 2026 (Novembre).

5. Commentaires et coordonnées

Si vous rencontrez des obstacles à l'accessibilité ou avez besoin d'informations dans un format alternatif pour exercer vos droits RGPD (tels que les demandes de portabilité des données), veuillez nous contacter :

E-mail : info@edudata.io
Délai de réponse : Nous nous efforçons de répondre dans un délai de 7 jours ouvrables.

6. Procédure d'application

Si vous n'êtes pas satisfait de la réponse reçue concernant votre demande d'accessibilité, vous pouvez contacter l'autorité de contrôle compétente dans votre juridiction :

• Finlande : ESAVI
• Suède : DIGG
• Norvège : Uu-tilsynet