BAYE

Accord de Traitement de Données (DPA)

Conforme à l'article 28 du RGPD (UE) 2016/679 · Dernière mise à jour : 19 juin 2026

Cet accord s'applique automatiquement entre AXENS GROUP (sous-traitant) et tout client (responsable de traitement) utilisant la plateforme BAYE. Il complète les Conditions Générales d'Utilisation (CGU).

1. Définitions

Au sens du présent accord :

  • Responsable de traitement : le client, organisme de formation ou CFA, qui détermine les finalités et les moyens du traitement des données personnelles.
  • Sous-traitant : AXENS GROUP, qui traite les données pour le compte du responsable de traitement dans le cadre de la fourniture du service BAYE.
  • Données personnelles : toute information permettant d'identifier directement ou indirectement une personne physique (apprenants, tuteurs, formateurs, contacts entreprises, etc.).
  • Traitement : toute opération effectuée sur des données personnelles (collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication, etc.).

2. Objet et durée du traitement

AXENS GROUP s'engage à traiter les données personnelles uniquement pour les finalités suivantes :

  • Gestion administrative des apprenants et des formations
  • Émargement électronique et présence aux formations
  • Signature électronique de documents contractuels
  • Génération et transmission de documents réglementaires (CERFA, DECA, LEA, Factur-X)
  • Communication entre les parties prenantes (SMS, email, notifications)
  • Production de statistiques et tableaux de bord (anonymisés pour AXENS GROUP)
  • Intégration avec des systèmes tiers autorisés par le responsable de traitement

Le traitement est effectué pour la durée de l'abonnement, augmentée d'une période de 30 jours permettant l'export des données après résiliation.

3. Nature et catégories des données traitées

Catégories de personnes concernées : Apprenants, tuteurs d'entreprise, formateurs, responsables administratifs, contacts entreprises partenaires.

Catégories de données :

  • État civil (nom, prénom, date de naissance, nationalité)
  • Coordonnées (adresse email, numéro de téléphone, adresse postale)
  • Données de formation (sessions, présences, évaluations, compétences, livrets d'apprentissage)
  • Données financières (montants de formation, informations de facturation — hors données bancaires)
  • Données d'authentification (email, hash de mot de passe — gérés par Supabase Auth)
  • Données de signature (horodatage, adresse IP, identité du signataire — gérés par YouSign)

AXENS GROUP ne collecte pas de données sensibles au sens de l'article 9 du RGPD (origines raciales ou ethniques, opinions politiques, données biométriques, données de santé, etc.), sauf mention contraire explicite et consentement préalable.

4. Obligations d'AXENS GROUP (sous-traitant)

AXENS GROUP s'engage à :

  • Ne traiter les données qu'aux fins définies à l'article 2 et sur instructions documentées du responsable de traitement
  • Garantir la confidentialité des données (accès restreint aux personnels autorisés, soumis à obligation de confidentialité)
  • Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (chiffrement TLS 1.3, chiffrement AES-256 au repos, Row Level Security Supabase, journalisation des accès)
  • Informer le responsable de traitement de toute violation de données dans un délai de 72 heures après en avoir pris connaissance
  • Ne pas sous-traiter sans l'accord préalable du responsable de traitement
  • Mettre à disposition du responsable de traitement toutes les informations nécessaires à la démonstration du respect des obligations du présent accord
  • Assister le responsable de traitement dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité)
  • Supprimer ou restituer toutes les données à l'issue du contrat

5. Sous-traitants ultérieurs

Le responsable de traitement autorise AXENS GROUP à recourir aux sous-traitants ultérieurs suivants :

Sous-traitantFinalitéLocalisationGaranties
Supabase (AWS eu-west-3)Base de données, stockage, authentificationFrance (Paris)SOC 2 Type II, ISO 27001
YouSignSignature électronique eIDAS niveau avancéFranceQualifié eIDAS, ISO 27001
StripeTraitement des paiementsUEPCI-DSS Level 1
Brevo / VonageEnvoi de SMS et emails transactionnelsUERGPD, SCCs
Anthropic (Claude API)IA générative (programmes, quiz, analyses)USASCCs, Data Processing Addendum

En cas de changement de sous-traitant ultérieur, AXENS GROUP notifie le responsable de traitement 30 jours à l'avance, permettant à ce dernier de s'y opposer.

6. Transferts hors UE

Certains sous-traitants (notamment Anthropic pour l'API Claude) impliquent des transferts de données hors de l'Union Européenne. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne (décision 2021/914), conformément à l'article 46 du RGPD.

Aucune donnée d'identification nominative n'est transmise à l'API Claude — seules des données de contenu pédagogique non directement identifiantes sont traitées par ce sous-traitant.

7. Sécurité des données

AXENS GROUP met en œuvre les mesures de sécurité suivantes :

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • Isolation multi-tenant par Row Level Security (Supabase)
  • Authentification multi-facteurs disponible pour tous les utilisateurs
  • Journalisation des accès et des modifications
  • Sauvegardes quotidiennes automatiques (RPO < 24h)
  • Tests de sécurité réguliers (OWASP Top 10)
  • Hébergement exclusif en Union Européenne (AWS eu-west-3, Paris)

8. Droits des personnes concernées

Le responsable de traitement reste l'interlocuteur principal des personnes concernées pour l'exercice de leurs droits (accès, rectification, effacement, opposition, portabilité, limitation). AXENS GROUP s'engage à assister le responsable de traitement dans un délai de 5 jours ouvrables suivant toute demande.

Les données des apprenants sont exportables nativement depuis la plateforme BAYE (format JSON ou CSV). Les données de signature sont disponibles auprès de YouSign conformément à leurs CGU.

9. Violations de données personnelles

En cas de violation de données (accès non autorisé, perte, destruction, divulgation), AXENS GROUP s'engage à :

  • Notifier le responsable de traitement dans un délai de 72 heures après prise de connaissance
  • Fournir une description de la nature de la violation, des données concernées, et des mesures prises
  • Assister le responsable de traitement dans sa notification éventuelle à la CNIL (article 33 RGPD)

10. Durée de conservation

Les données sont conservées pendant la durée de l'abonnement. À l'issue du contrat :

  • Le client dispose de 30 jours pour exporter ses données
  • Au-delà, AXENS GROUP procède à l'anonymisation irréversible ou à la suppression des données
  • Exception : les données nécessaires à l'exécution des obligations légales d'AXENS GROUP sont conservées conformément aux durées légales applicables (ex. : 10 ans pour les pièces comptables)

11. Audit et conformité

Le responsable de traitement peut, à sa demande, obtenir des informations sur les mesures de sécurité mises en œuvre par AXENS GROUP. Les audits sur site sont possibles avec un préavis de 30 jours et aux frais du responsable de traitement, dans la limite d'un audit annuel. Les rapports de sécurité disponibles (SOC 2, ISO 27001 de Supabase) peuvent être fournis sur demande à dpo@axens-group.fr.

12. Contact DPO

Pour toute question relative au présent DPA ou à la protection des données personnelles :

Délégué à la Protection des Données (DPO)
AXENS GROUP
Email : dpo@axens-group.fr
Autorité de contrôle compétente : CNIL

CGUMentions légalesSécurité & Conformité