Se connecter Commencer
Lexa IA Gamification Fonctionnalités Recrutement Tarifs Contact
Se connecter Commencer
Article 28 RGPD

Accord de traitement des données (DPA)

Dernière mise à jour : 27 avril 2026

Cet Accord de Traitement des Données (Data Processing Agreement, ci-après « DPA ») régit les conditions dans lesquelles Learnexa SAS, en sa qualité de sous-traitant au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD), traite les données personnelles des utilisateurs finaux du Client (apprenants, formateurs, contacts) pour le compte de ce dernier, dans le cadre de la fourniture de la plateforme Learnexa.

Ce document complète et fait partie intégrante des Conditions Générales. Il est mis à disposition de tous les clients professionnels sur cette page. Une version signée et nominative peut être obtenue sur demande à [email protected].

1. Parties

Le Responsable de traitement : le Client de Learnexa, personne morale ayant souscrit à un abonnement à la plateforme.

Le Sous-traitant : Learnexa SAS, société par actions simplifiée au capital de 1 000 €, RCS Béziers 951542489, dont le siège social est situé GIGAMED, Parc d'activité Héliopole, Mail de la Méditerranée, 34550 Bessan, France.

2. Objet et durée

Le présent DPA définit les conditions de traitement des données personnelles confiées par le Responsable de traitement à Learnexa dans le cadre de l'exécution du contrat de service. Il s'applique pendant toute la durée de l'abonnement et jusqu'à la suppression complète des données conformément à l'article 9 ci-après.

3. Nature et finalités du traitement

Learnexa traite les données personnelles aux seules fins de fournir au Client les services suivants :

  • Hébergement et mise à disposition de la plateforme LMS (formations, modules, médias, évaluations).
  • Gestion des utilisateurs (création de comptes, authentification, profils, rôles).
  • Suivi pédagogique (inscriptions, progression, résultats, certificats, émargements).
  • Génération de contenus assistée par intelligence artificielle (à la demande du Client).
  • Communication transactionnelle liée au service (emails de confirmation, notifications).
  • Support technique et maintenance.

4. Catégories de personnes concernées

  • Apprenants inscrits sur la plateforme du Client.
  • Formateurs intervenants.
  • Administrateurs et utilisateurs internes du Client.
  • Candidats (module de recrutement, le cas échéant).
  • Apporteurs d'affaires et partenaires (le cas échéant).

5. Catégories de données traitées

  • Données d'identification : nom, prénom, email, téléphone, photo de profil.
  • Données professionnelles : entreprise, fonction, service.
  • Données de connexion : identifiants, mot de passe haché, historique de connexion, adresse IP.
  • Données pédagogiques : formations suivies, progression, résultats d'évaluation, certificats, émargements.
  • Données de candidature : CV, lettre de motivation, entretiens (si module recrutement).
  • Données techniques : journaux d'activité, traces d'audit.

Aucune donnée sensible (santé, opinion politique, religion, orientation sexuelle, données biométriques) n'est traitée par défaut. Si le Client envisage d'en traiter via la plateforme, il doit en informer Learnexa au préalable.

6. Obligations du sous-traitant

Conformément à l'article 28.3 du RGPD, Learnexa s'engage à :

  • Traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts hors Union européenne.
  • Garantir la confidentialité en s'assurant que toute personne autorisée à traiter les données est tenue à une obligation de confidentialité contractuelle ou légale.
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées détaillées à l'annexe Sécurité (article 11 ci-après).
  • Assister le Responsable de traitement dans l'exécution de ses obligations (réponses aux demandes des personnes concernées, notification de violation, analyses d'impact).
  • Notifier toute violation de données au Responsable dans les 72 heures suivant sa prise de connaissance, en fournissant tous les éléments permettant à celui-ci de respecter son obligation de notification à la CNIL.
  • Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 RGPD et permettre la réalisation d'audits.
  • Supprimer ou retourner les données au terme du contrat selon le choix du Responsable, sauf obligation légale de conservation.

7. Sous-traitance ultérieure

Le Responsable de traitement autorise Learnexa à recourir aux sous-traitants ultérieurs listés ci-dessous, lesquels présentent des garanties suffisantes au sens de l'article 28 RGPD :

  • Hetzner Online GmbH (Allemagne, UE) — hébergement, stockage, sauvegardes.
  • Cloudflare, Inc. (USA, Clauses Contractuelles Types) — CDN, protection DDoS, certificats SSL, stockage objet R2 (sauvegardes et médias) hébergé en région EU.
  • Stripe Payments Europe Ltd. (Irlande, UE) — paiements et facturation.
  • Anthropic, PBC (USA, Clauses Contractuelles Types) — modèles d'IA Lexa (Claude). Les données ne sont jamais utilisées pour entraîner les modèles (conditions API entreprise).
  • OpenAI, LLC (USA, Clauses Contractuelles Types) — génération d'images IA (DALL·E). Les données ne sont jamais utilisées pour entraîner les modèles.
  • Resend Inc. (USA, Clauses Contractuelles Types) — envoi d'emails transactionnels.
  • HeyGen, Inc. (USA, Clauses Contractuelles Types) — génération d'avatars vidéo IA, utilisé sur opt-in du Client.
  • Microsoft Corporation (USA, EU-US Data Privacy Framework) — analytics produit (Clarity), uniquement sur consentement.

Tout ajout ou remplacement de sous-traitant ultérieur sera notifié au Responsable de traitement par email avec un préavis raisonnable. Le Responsable peut s'y opposer, auquel cas Learnexa proposera une solution alternative ou, à défaut, le contrat pourra être résilié sans frais.

8. Transferts hors Union européenne

Certains sous-traitants ultérieurs sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021) et, le cas échéant, par la certification EU-US Data Privacy Framework du fournisseur.

Learnexa met en œuvre des mesures supplémentaires lorsque nécessaires (chiffrement en transit et au repos, pseudonymisation, contrôle d'accès strict).

9. Sort des données en fin de contrat

À la résiliation du contrat ou sur demande du Responsable :

  • Pendant 30 jours, le Client conserve un accès en lecture pour exporter ses données (export CSV, ZIP des médias, export complet sur demande).
  • Au terme de ce délai, les données sont supprimées des serveurs de production sous 30 jours.
  • Les sauvegardes contenant ces données sont effacées dans les 90 jours suivant la suppression de production (cycle de rotation).
  • Les données soumises à une obligation légale de conservation (facturation, comptabilité) sont conservées sur le système isolé de comptabilité pendant la durée légale (10 ans).

Une attestation de suppression peut être fournie sur demande.

10. Droits des personnes concernées

Learnexa met à disposition du Responsable de traitement les outils nécessaires pour répondre aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).

Si une demande est adressée directement à Learnexa, celui-ci la transmet sans délai au Responsable de traitement et n'y répond pas directement, sauf instruction expresse du Responsable.

11. Mesures de sécurité

Learnexa met en œuvre les mesures techniques et organisationnelles suivantes (article 32 RGPD) :

  • Chiffrement en transit : TLS 1.3 sur l'ensemble des communications.
  • Chiffrement au repos : chiffrement des sauvegardes et du stockage objet.
  • Hachage des mots de passe : bcrypt avec salt par utilisateur.
  • Hébergement : datacenters certifiés ISO 27001 (Hetzner, Allemagne).
  • Cloisonnement multi-tenant strict : isolation logique par espace souscripteur.
  • Contrôle d'accès : rôles, permissions granulaires, principe du moindre privilège.
  • Journalisation : audit log sur les actions sensibles, conservation 12 mois.
  • Sauvegardes : quotidiennes, chiffrées, conservées en Europe, restauration testée régulièrement.
  • Mises à jour de sécurité : appliquées en continu.
  • Sensibilisation des équipes : formation aux enjeux RGPD et sécurité.

12. Audits

Le Responsable de traitement peut, à ses frais, demander la réalisation d'un audit de conformité une fois par an, avec un préavis raisonnable (minimum 30 jours), réalisé par un tiers indépendant tenu à la confidentialité. Learnexa peut s'opposer à un auditeur en conflit d'intérêt et proposera alors un auditeur alternatif.

Sur demande, Learnexa peut également fournir des rapports d'audit ou certifications préexistants en lieu et place de l'audit (rapport SOC, certifications fournisseurs, etc.).

13. Responsabilité

Chaque partie est responsable du respect de ses propres obligations au titre du RGPD. La responsabilité de Learnexa au titre du présent DPA est plafonnée dans les conditions prévues par les Conditions Générales.

14. Demande de DPA signé

Pour obtenir une version nominative et signée de ce DPA, écrivez à [email protected] en précisant la dénomination sociale et l'adresse de votre société. Nous vous répondrons sous 5 jours ouvrés.

15. Contact

  • Email : [email protected]
  • Courrier : Learnexa SAS, GIGAMED, Parc d'activité Héliopole, Mail de la Méditerranée, 34550 Bessan, France