← Retour au site

📄 Accord de Traitement de Données (DPA)

Modèle conforme RGPD Art. 28 — entre Studiophel (sous-traitant) et un établissement scolaire (responsable de traitement).

Application concernée : Calcul Mental Challenge v0.4.6+
Édition : Studiophel — dpo@studiophel.fr
Date du modèle : 4 mai 2026
Version : 1.0

⚠️ Modèle indicatif — ce document fournit un cadre de DPA conforme à l'Art. 28 RGPD. Il doit être complété avec les informations spécifiques à votre établissement avant signature. Pour toute question juridique spécifique, consultez votre DPD académique ou un juriste.

1. Identification des parties

1.1 Le Responsable de traitement

Établissement	______________________________________
Adresse	______________________________________
RNE / UAI	______________________________________
Représenté par (chef d'établissement)	______________________________________
DPD désigné (académie)	______________________________________

1.2 Le Sous-traitant

Raison sociale	Studiophel — Laurent BOST (Auto-Entrepreneur)
SIREN	(à compléter dans la version finale)
Adresse	(à compléter dans la version finale)
DPO	Laurent BOST — dpo@studiophel.fr

2. Objet et durée du traitement

Objet : mise à disposition de l'application Calcul Mental Challenge à l'établissement, pour utilisation par les élèves dans le cadre des cours de mathématiques (calcul mental, du CE1 à la Terminale).

Durée : tant que l'établissement souhaite utiliser l'application. Le présent accord est résilié de plein droit en cas de désinstallation, sur demande écrite à dpo@studiophel.fr.

3. Nature et finalité du traitement

Finalité principale	Entraînement individuel et collectif au calcul mental dans le cadre scolaire
Finalités secondaires	Suivi de progression élève (LSU compatible), bilans périodiques, mode classe en réseau local (LAN), Bataille de Classes inter-écoles (optionnel et désactivable)
Base légale	Art. 6.1.e RGPD — mission d'intérêt public (éducation) ; OU Art. 6.1.a — consentement (mode en ligne, optionnel)

4. Catégories de personnes concernées

Élèves (CE1 à Terminale, soit potentiellement <15 ans)
Enseignants
Parents (mode famille, optionnel)

5. Catégories de données traitées

Catégorie	Détail	Cloud sync
Identifiant technique	playerId généré aléatoirement	Oui
Pseudonyme	Prénom ou pseudo (pas d'identité réelle imposée)	Oui
Niveau scolaire	CE1, CE2 … Terminale	Oui (catégorie seule)
Établissement (optionnel)	Nom déclaré pour Guerre des Écoles	Oui
Scores et progression	Réponses justes/fausses, temps, badges	Oui (200 dernières parties)
Compétences LSU	Acquis / En cours / À travailler par opération	Oui (calcul local)
Noms réels (mode enseignant)	Pour export Pronote/LSU/École Directe	Non (localStorage enseignant uniquement)
Adresse IP	Hachée (SHA-256 + sel journalier) pour rate limiting	Non (mémoire serveur, jamais sur disque)

Aucune donnée sensible au sens de l'Art. 9 RGPD (santé, religion, opinions, etc.) n'est collectée.

6. Obligations du sous-traitant (Studiophel)

Confidentialité : ne traiter les données que sur instruction documentée du responsable et n'autoriser l'accès qu'aux personnes habilitées soumises à une obligation de confidentialité.
Sécurité (Art. 32) : mesures techniques et organisationnelles : HTTPS Let's Encrypt, CSP stricte, hashage IP (SHA-256 + sel journalier), accountToken hashé HMAC v2, PIN parental PBKDF2 200k itérations, accountToken transmis en header Authorization (jamais en query string).
Sous-sous-traitance : recours possible aux services suivants, avec garanties équivalentes :
- Hébergement : IONOS SE (Allemagne, UE) — DPA disponible sur ionos.fr
- CDN : aucun
- Polices d'écriture : auto-hébergées
Assistance au responsable : aide à répondre aux demandes d'exercice des droits (accès Art. 15, suppression Art. 17, portabilité Art. 20) sous 30 jours.
Notification de violation : dans les 72 heures à compter de la prise de connaissance, par email à dpo@studiophel.fr, avec description de la nature de la violation, des données concernées, et des mesures prises.
Suppression ou restitution : à la fin du contrat, suppression de toutes les données dans un délai de 30 jours, ou restitution sur demande au format JSON portable.
Audit : mise à disposition de toute information utile pour démontrer la conformité Art. 28, et possibilité d'audit annuel sur préavis de 30 jours.

7. Obligations du responsable de traitement (Établissement)

Documenter les instructions données au sous-traitant.
Veiller au respect des obligations RGPD côté élèves et leurs représentants légaux : information préalable, recueil du consentement parental pour les <15 ans (Art. 8 RGPD).
Informer ses utilisateurs (élèves, parents) de l'existence du présent accord et de la politique de confidentialité de Studiophel (/confidentialite.html).
Notifier Studiophel de toute demande RGPD émanant de ses utilisateurs.

8. Transferts hors UE

Studiophel s'engage à ne pas transférer les données hors de l'Union Européenne sans l'accord écrit préalable du responsable. Hébergement actuel : IONOS Allemagne (UE). Aucun service tiers en pays tiers (Google Analytics, Facebook, AWS US, etc.) n'est utilisé.

9. Durées de conservation

Donnée	Durée
Compte joueur actif	Tant que l'utilisateur joue (suppression à la demande sous 30j)
Compte inactif	Purge automatique après 3 ans sans connexion
Salles classroom temporaires	8 heures après dernière activité
Lobbies Battle Royale	2 heures après fin de partie
Codes d'échange de cartes	24 heures (purge automatique)
Logs de connexion (IP hachée)	30 jours puis suppression
Token consentement parental	7 jours si non confirmé, 1 an si confirmé

10. Contact et signature

Fait en deux exemplaires, le ____________________ à ______________________________

Pour l'établissement
(Signature + cachet)

Pour Studiophel
Laurent BOST
(Signature + cachet)

Pour toute question : dpo@studiophel.fr · DPO Studiophel — délai de réponse 30 jours maximum (Art. 12.3 RGPD).