Accord de Traitement des Données (DPA)
Article 28 du Règlement (UE) 2016/679 – RGPD
Dernière mise à jour : 20 Avril 2026
1Objet
Le présent accord de traitement des données (ci-après le « DPA ») a pour objet de définir les conditions dans lesquelles Planor, en sa qualité de sous-traitant, s'engage à traiter, pour le compte de ses clients utilisateurs de la plateforme (ci-après le « Responsable de traitement »), les données à caractère personnel nécessaires à la fourniture du service SaaS Planor, conformément à l'article 28 du RGPD.
Le présent DPA constitue une annexe indissociable des Conditions Générales d'Utilisation (CGU) et des Conditions Générales de Vente (CGV) et est réputé accepté par le Responsable de traitement lors de l'acceptation des CGU par case à cocher.
2Identification du sous-traitant
- Dénomination sociale : PLANOR
- Forme juridique : Société par actions simplifiée (SASU)
- Capital social : 10 000 euros
- Président : Esteban ANTONIO-MOTA
- Adresse :
2 B rue Roger Salengro, 77164 Ferrières-en-Brie, France - SIRET : 100 903 780 00011
- RCS : Meaux
- Email de contact RGPD : esteban.antonio-mota@planor.fr
Aucun délégué à la protection des données (DPO) n'a été désigné. Le point de contact RGPD unique est l'adresse indiquée ci-dessus.
3Description des traitements confiés
3.1 Nature et finalités des traitements
Les traitements confiés au Sous-traitant ont pour finalité exclusive la fourniture des services Planor, incluant notamment la gestion administrative, pédagogique et réglementaire des formations professionnelles (Qualiopi), la facturation via Stripe, et le cas échéant la génération de contenu assistée par intelligence artificielle.
3.2 Catégories de données traitées
Dans le cadre du service, Planor peut traiter les catégories de données suivantes :
- Données d'identification et de contact (nom, prénom, email, téléphone),
- Données d'authentification (mot de passe hashé),
- Données professionnelles (société, rôle),
- Données de connexion (journaux, adresses IP),
- Données pédagogiques (présence, émargement, évaluations, résultats),
- Documents importés ou générés par le Responsable de traitement,
- Données financières relatives au client (identifiants Stripe ; les données de carte bancaire ne sont jamais stockées par Planor).
Données sensibles :
Seules sont autorisées les données relatives au handicap, strictement nécessaires à des fins pédagogiques et réglementaires.
Toute autre donnée de santé ou donnée sensible au sens de l'article 9 du RGPD est expressément exclue du périmètre autorisé.
3.3 Personnes concernées
Les traitements peuvent porter sur les données des :
- apprenants,
- formateurs,
- administrateurs et personnels du Responsable de traitement.
4Rôle des parties
Le Responsable de traitement détermine seul les finalités et moyens du traitement.
Planor agit exclusivement en qualité de sous-traitant pour les traitements couverts par le présent DPA.
5Instructions du Responsable de traitement
Le Sous-traitant s'engage à ne traiter les données personnelles que sur instruction documentée du Responsable de traitement.
En cas d'instruction manifestement illégale ou non conforme au RGPD, le Sous-traitant :
- suspend immédiatement le traitement concerné,
- informe sans délai le Responsable de traitement.
6Sous-traitants ultérieurs (sous-processeurs)
Le Responsable de traitement autorise le recours aux sous-traitants techniques suivants :
| Sous-processeur | Rôle | Localisation des données |
|---|---|---|
| OVH | Base de données principale (MongoDB), hébergement applicatif | France |
| Redis (hébergé OVH) | Cache et gestion des sessions | France |
| OVH Object Storage | Stockage de fichiers | France |
| AWS SES | Envoi d'emails transactionnels | France |
| Stripe | Paiement et facturation | UE / US (certifié EU-US DPF) |
| Mistral | Génération de contenu IA (fonctionnalité optionnelle) | France |
| Saasy Analytics | Analyse d'audience (dashboard applicatif) | France |
| Google Analytics | Analyse d'audience (site vitrine planor.fr) | US (données anonymisées) |
Le Sous-traitant s'engage à imposer à ses sous-processeurs des obligations de protection des données au moins équivalentes à celles prévues dans le présent DPA.
Le Responsable de traitement est informé de tout changement significatif de sous-processeur par email, avec un préavis raisonnable d'au moins trente (30) jours.
La liste à jour des sous-processeurs est disponible sur la présente page et peut être fournie sur demande.
7Localisation des données et transferts hors UE
7.1 Hébergement principal
Les données personnelles sont hébergées principalement dans l'Union européenne (OVH France).
7.2 Transferts hors Union européenne
Certains traitements impliquent un transfert de données vers des pays tiers (États-Unis), encadrés par les garanties appropriées suivantes :
- Stripe : certifié au titre du EU-US Data Privacy Framework (DPF). Les données de paiement (identifiants Stripe) peuvent être traitées aux États-Unis.
- Mistral : les données sont traitées en France. L'utilisation de la fonctionnalité IA est optionnelle et les données transmises sont limitées au strict nécessaire.
- Saasy Analytics : les données sont collectées et traitées en France (dashboard applicatif). L'activation est soumise au consentement de l'utilisateur.
- Google Analytics : utilisé uniquement sur le site vitrine planor.fr. Les données collectées sont anonymisées avant tout transfert. L'activation est soumise au consentement de l'utilisateur.
8Sécurité des données
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, décrites de manière générique et non exhaustive, afin de garantir un niveau de sécurité adapté au risque, incluant notamment :
- communications sécurisées (HTTPS / TLS),
- authentification par tokens JWT (accès et rafraîchissement),
- hashage des mots de passe (bcrypt),
- chiffrement des données sensibles (clés de chiffrement pour les mots de passe SMTP),
- accès réglementé aux fichiers stockés sur OVH Object Storage,
- gestion des rôles et permissions,
- cloisonnement strict des environnements clients (architecture multi-tenant avec isolation par entreprise),
- sauvegardes régulières,
- journalisation et traçabilité des accès.
9Violations de données
En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable de traitement dans les meilleurs délais et, dans la mesure du possible, dans un délai de soixante-douze (72) heures après en avoir pris connaissance.
La notification inclut, dans la mesure du possible :
- la nature de la violation (catégories de données et nombre de personnes concernées),
- les conséquences probables de la violation,
- les mesures prises ou proposées pour y remédier,
- les coordonnées du point de contact.
La notification peut être progressive, les informations complémentaires étant transmises dès qu'elles sont disponibles.
10Assistance au Responsable de traitement
Le Sous-traitant assiste le Responsable de traitement, dans une limite raisonnable, pour :
- répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition),
- assurer la sécurité et la conformité des traitements,
- réaliser, le cas échéant, des analyses d'impact relatives à la protection des données (AIPD),
- notifier les violations de données à l'autorité de contrôle compétente (CNIL).
Toute assistance dépassant ce cadre raisonnable pourra faire l'objet d'une facturation spécifique.
11Sort des données en fin de contrat
Les données personnelles sont conservées pendant toute la durée de la relation contractuelle.
À l'issue du contrat :
- le Responsable de traitement peut procéder à un export gratuit de ses données via les fonctionnalités standard de la plateforme,
- les données sont conservées pendant quatre-vingt-dix (90) jours après résiliation pour permettre l'export,
- passé ce délai, les données sont supprimées, sauf obligation légale contraire (les données de facturation sont conservées 10 ans conformément aux obligations légales).
Les données de compte (identification) sont conservées trois (3) ans après la suppression du compte, conformément aux délais de prescription applicables.
12Audit et contrôle
Le Responsable de traitement peut solliciter des audits documentaires relatifs au respect du présent DPA, sous réserve :
- d'un préavis raisonnable (au moins trente jours),
- d'une fréquence limitée (une fois par an maximum),
- du caractère proportionné et non abusif de la demande.
Les audits sur site sont exclus.
Le Sous-traitant se réserve le droit de refuser toute demande d'audit manifestement excessive ou disproportionnée.
13Responsabilité
La responsabilité du Sous-traitant au titre du présent DPA est strictement alignée sur celle prévue par les CGU et les CGV.
En tout état de cause, la responsabilité globale du Sous-traitant est limitée au montant total payé par le Responsable de traitement au cours des douze (12) derniers mois, sans instauration d'un régime de responsabilité spécifique ou aggravé au titre du RGPD.
14Acceptation et dispositions finales
Le présent DPA est accepté automatiquement lors de l'acceptation des CGU par case à cocher.
Il est soumis au droit français.
Tout litige relatif à son interprétation ou son exécution relève de la compétence exclusive du Tribunal de commerce de Meaux.