ACCORD DE TRAITEMENT DES DONNÉES (DPA)

Entre les soussignés :

TAIKENZU – SAS  

55 avenue Églé, 78600 Maisons‑Laffitte

RCS Versailles : 995 019 403

TVA intracommunautaire : FR09995019403

Délégué à la protection des données (DPO) : dpo@taikenzu.com

(ci‑après « le Sous‑traitant »)

et

Le Client, tel qu’identifié dans le Bon de Commande

(ci‑après « le Responsable de traitement »)

1. Objet du DPA

Le présent Accord de Traitement des Données (ci‑après « DPA ») encadre les traitements de données personnelles réalisés par TAIKENZU pour le compte du Client dans le cadre de l’utilisation de la plateforme TAIKENZU.

2. Rôle des Parties

Le Client agit en Responsable de traitement.

TAIKENZU agit en Sous‑traitant au sens de l’article 28 du RGPD.

Le Client garantit disposer d’une base légale valable pour l’ensemble des traitements de données personnelles réalisés via la plateforme TAIKENZU, conformément aux articles 6 et, le cas échéant, 9 du RGPD. Il lui appartient d’informer les personnes concernées et de respecter l’ensemble de ses obligations en qualité de Responsable de traitement.

3. Description des traitements

3.1. Données traitées

Données apprenants :

• nom, prénom, email,
• données d’usage (connexions, sessions, interactions),
• données de performance (scores, réponses, progression),
• données de suivi pédagogique (temps passé, tentatives, résultats).

Données administratives :

• informations relatives aux utilisateurs internes du Client (administrateurs, concepteurs, managers),
• nom, prénom, email professionnel,
• rôle (admin, concepteur, manager),
• activité liée à la gestion ou à la création de contenus sur la plateforme.

3.2. Finalités

• Fourniture de la plateforme
• Entraînement et évaluation des apprenants
• Tableaux de bord et reporting
• Support, maintenance et amélioration du service

3.3. Durée

Les données personnelles visées à l’article 3.1 sont traitées pendant la durée du contrat, puis supprimées ou restituées conformément à l’article 10.

3.4 Durée de conservation

Les journaux techniques (logs) sont conservés pendant une durée maximale de quatorze (14) jours, exclusivement à des fins de sécurité, de diagnostic et de supervision du service.

Les autres données traitées pour le compte du Client sont conservées pendant toute la durée du contrat. À la cessation du contrat, leur suppression ou restitution intervient conformément aux dispositions de l’article 10 du présent DPA.

4. Obligations du Sous‑traitant

TAIKENZU s’engage à :

• ne traiter les données que sur instruction du Client (TAIKENZU peut refuser toute instruction du Client qui constituerait une violation du RGPD ou des lois applicables et en informe le Client sans délai).
• garantir la confidentialité,
• mettre en œuvre des mesures de sécurité adaptées,
• notifier les violations selon l’article 9,
• assister le Client dans ses obligations RGPD,
• fournir les informations nécessaires à la conformité.

Les fonctionnalités activées par le Client dans la plateforme constituent des instructions documentées au sens de l’article 28 du RGPD.

5. Sous‑traitance ultérieure

5.1 Sous‑traitants actuels

• Microsoft Azure (France et Suède) — Services cloud utilisés pour l’exécution de la plateforme et le traitement applicatif. Les données sont hébergées exclusivement dans l’Union européenne.
• Brevo (France) — Envoi d’emails transactionnels et notifications.
• Grafana (Royaume‑Uni) — Visualisation et supervision technique. Les données sont hébergées à Londres, dans un pays bénéficiant d’une décision d’adéquation de la Commission européenne.
• Langfuse (Irlande) — Outil d’observabilité des fonctionnalités IA, hébergé dans l’Union européenne.

Aucun autre sous‑traitant n’intervient dans le traitement des données personnelles.

5.2 Modèles d’IA générative (non considérés comme sous‑traitants)

TAIKENZU utilise des modèles d’IA générative pour certaines fonctionnalités de reformulation ou d’aide à la rédaction.

Les fonctionnalités sont conçues pour fonctionner sur des contenus anonymisés ou non identifiants. TAIKENZU ne transmet pas intentionnellement de données personnelles aux modèles d’IA générative.

Il appartient au Client de ne pas insérer de données personnelles identifiantes dans les contenus soumis à ces fonctionnalités.

En conséquence, aucun transfert volontaire de données personnelles hors de l’Union européenne n’est réalisé dans le cadre de ces traitements.

5.3 Export SCORM

L’export SCORM fourni par TAIKENZU agit comme un connecteur permettant au LMS du Client d’ouvrir une capsule hébergée sur la plateforme TAIKENZU.

Le moteur de la plateforme, les modèles pédagogiques, les structures interactives et les éléments techniques restent exclusivement hébergés sur la plateforme TAIKENZU et ne sont en aucun cas transférés au Client.

Selon la configuration retenue par le Client, certaines données limitées liées au statut de complétion ou aux résultats peuvent être transmises au LMS du Client. Les données principales d’usage et d’interaction demeurent hébergées sur la plateforme TAIKENZU.

5.4 Notification des nouveaux sous‑traitants

TAIKENZU informera le Client de tout ajout ou remplacement d’un sous‑traitant ultérieur. Le Client dispose d’un délai de quinze (15) jours pour formuler une objection motivée. En l’absence d’objection, le sous‑traitant est réputé accepté.

6. Localisation des données

Les données sont hébergées en France ou dans l’Union européenne. Certaines données techniques liées à la supervision peuvent être hébergées au Royaume‑Uni, pays bénéficiant d’une décision d’adéquation de la Commission européenne. Ces données techniques n’incluent pas les données apprenants, qui restent hébergées exclusivement en France ou dans l’Union européenne.

7. Sécurité

Mesures mises en œuvre :

• chiffrement en transit,
• contrôle d’accès,
• journalisation,
• sauvegardes,
• supervision et détection d’incidents.

8. Droits des personnes

TAIKENZU assiste le Client pour répondre aux demandes RGPD.

TAIKENZU ne contacte jamais directement les personnes concernées sans instruction.

9. Notification des violations de données

En cas de violation affectant les données traitées pour le Client, TAIKENZU l’informe sans délai injustifié après en avoir pris connaissance.

La notification inclut :

• nature de l’incident,
• catégories de données concernées,
• conséquences potentielles,
• mesures correctives mises en œuvre.

Le Client est seul responsable des notifications CNIL et des communications aux personnes concernées.

10. Fin du contrat – Sort des données

À la cessation du contrat, TAIKENZU supprime les données personnelles visées à l’article 3.1 dans un délai maximum de quatre-vingt-dix (90) jours, sauf instruction écrite contraire du Client demandant leur restitution préalable.

Le Client peut demander la suppression anticipée des données avant l’expiration du délai de quatre-vingt-dix (90) jours. Dans ce cas, TAIKENZU procédera à la suppression dans un délai maximum de trente (30) jours à compter de la réception de la demande écrite.

Les sauvegardes sont purgées selon les cycles techniques habituels et ne sont pas utilisées à d’autres fins que la sécurité et l’intégrité des systèmes.

11. Audit

Le Client peut solliciter un audit limité à la conformité RGPD.

L’audit :

• nécessite un préavis de 30 jours,
• se déroule pendant les heures ouvrées,
• ne doit pas perturber la plateforme,
• se limite aux documents fournis par TAIKENZU,
• exclut tout accès aux infrastructures, environnements techniques, code source ou données d’autres clients.

TAIKENZU peut fournir des attestations ou rapports tiers en alternative.

Les frais d’audit sont à la charge du Client.

Ces limitations sont nécessaires pour garantir la sécurité, la confidentialité et l’intégrité de la plateforme, ainsi que la protection des données et des environnements techniques des autres clients de TAIKENZU.

12. Responsabilité

Chaque Partie est responsable du respect des obligations qui lui incombent en vertu du Règlement (UE) 2016/679 (RGPD) et des lois applicables en matière de protection des données.

TAIKENZU est responsable des manquements aux obligations qui lui incombent en sa qualité de sous-traitant au titre du RGPD, notamment en matière de sécurité, de confidentialité et de respect des instructions documentées du Client.

La responsabilité de TAIKENZU au titre du présent DPA est soumise aux limitations de responsabilité prévues aux Conditions Générales de Vente applicables.

TAIKENZU assiste le Client, dans la limite de ses moyens et de son périmètre d’intervention, en cas de contrôle ou de demande d’information d’une autorité de protection des données portant sur les traitements réalisés dans le cadre du présent DPA. Cette assistance n’implique aucun accès aux infrastructures, environnements techniques ou données d’autres clients.

13. Loi applicable – Juridiction

Le présent DPA est soumis au droit français.

Tout litige sera porté devant les tribunaux du ressort de Versailles.

14. Dispositions finales

Le présent DPA fait partie intégrante du contrat conclu entre les Parties.

En cas de contradiction relative aux traitements de données personnelles, les stipulations du présent DPA prévalent sur toute autre disposition contractuelle.

Si l’une quelconque des dispositions du présent DPA est déclarée nulle ou inapplicable, elle sera réputée non écrite sans affecter la validité des autres dispositions.

Toute modification du présent DPA doit être convenue par écrit entre les Parties.

Le fait pour l’une des Parties de ne pas se prévaloir d’un droit ou d’une disposition du présent DPA ne saurait être interprété comme une renonciation à s’en prévaloir ultérieurement.