ALIMENTÉ PAR
ALIMENTÉ PAR
Dernière mise à jour : 03.03.2026
Le présent Addendum relatif à la protection des données (“ Addendum ” ou “ DPA ”) fait partie intégrante de l'accord/contrat principal régissant la fourniture des services Syllex (le “ Contrat ”) entre Convivo S.r.l. – Startup Innovativa conformément au D.L. 179/2012, dont le siège social est sis Piazzale Sant’Antonio 8/A, 67100 L’Aquila (AQ), Italie, TVA 02206750669, REA AQ-217165 (“ Convivo ” ou le “ Sous-traitant ”), et le client professionnel (école/organisation/entreprise) qui utilise Syllex (“ Client ” ou le “ Responsable du traitement ”). Le présent DPA s'applique aux Données personnelles traitées par Convivo pour le compte du Client dans le cadre de la fourniture des services Syllex (“ Services ”).
Sauf indication contraire, les termes commençant par une majuscule ont la signification attribuée par le règlement (UE) 2016/679 (“ RGPD ”). En outre : “ Lois sur la protection de la vie privée ” désigne le RGPD et toute loi nationale applicable en matière de protection des données personnelles. “ Données personnelles du client ” désigne les données personnelles traitées par Convivo pour le compte du client. “ Sous-traitant ” désigne les tiers nommés pour traiter des données personnelles. “ Transfert restreint ” désigne les transferts vers des pays tiers non couverts par une décision d'adéquation. “ SCC ” désigne les clauses contractuelles types approuvées par la Commission européenne.
“ Inclure ” signifie “ inclure sans limitation ”, les références réglementaires incluent les modifications ultérieures et les règlements d'application. En cas de conflit entre le Contrat et le DPA sur la question de la confidentialité, le DPA prévaut.
Le Client est le Titulaire des Données Personnelles, Convivo est le responsable du traitement limitativement aux Données Personnelles traitées pour fournir les Services. Les données de contact/gestion du personnel peuvent être traitées par Convivo également en tant que Titulaire à des fins administratives/contractuelles.
Le Client garantit de traiter les données et d'utiliser les Services conformément aux lois sur la protection de la vie privée, de fournir les informations aux personnes concernées, de donner à Convivo des instructions écrites et légitimes, de ne pas télécharger de données inutiles ou illicites, et d'être responsable des contenus téléchargés et des profils attribués aux utilisateurs.
Convivo traite les Données Personnelles du Client exclusivement pour la fourniture des Services et conformément aux instructions documentées du Client, sauf obligation légale, auquel cas Convivo informe le Client dans la mesure du possible.
Convivo veille à ce que le personnel autorisé soit lié par des obligations de confidentialité et n'accède aux données qu'en vertu du principe de nécessité (“ besoin de savoir ”).
Convivo met en œuvre des mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD pour garantir un niveau de sécurité adapté au risque, incluant, à titre d'exemple, le chiffrement des données en transit (TLS/HTTPS), les contrôles d'accès et la gestion des identifiants, la journalisation et la surveillance, les sauvegardes et les procédures de récupération, les mesures de sécurité infrastructurelle et la ségrégation des environnements.
Le Client autorise Convivo à nommer des Sous-traitants pour la fourniture des Services, en garantissant que chaque Sous-traitant sera lié par des obligations contractuelles conformes au RGPD et soumis à des mesures de sécurité adéquates. Convivo peut mettre à jour la liste des Sous-traitants et en fournir un préavis si nécessaire.
À la date de la dernière mise à jour, Convivo peut utiliser, entre autres : Amazon Web Services (AWS) pour l'hébergement/l'infrastructure cloud, MongoDB pour les services de base de données, Google (Gemini) pour les services d'IA.
Si un transfert vers des pays tiers non couverts par une décision d'adéquation s'avère nécessaire, les transferts ne seront effectués que sur la base de fondements juridiques valables, au moyen de clauses contractuelles types (SCC) et, le cas échéant, en prenant les mesures supplémentaires nécessaires ; Convivo fournira les informations utiles aux évaluations requises.
Convivo assiste il Cliente, in base alle proprie capacità tecniche e operative, per consentire l’esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) secondo le istruzioni del Cliente. Se Convivo riceve direttamente una richiesta di interessato, la inoltra al Cliente senza indebito ritardo.
Convivo notifiera au Client, sans retard injustifié, une violation de données à caractère personnel concernant les Données à Caractère Personnel du Client, en fournissant des informations raisonnablement suffisantes pour permettre au Client de s'acquitter de ses obligations de notification aux Autorités et/ou aux personnes concernées.
Convivo assistera le Clientèle dans la réalisation d'Évaluations d'Impact relatives à la Protection des Données (EIPD) et pour d'éventuelles consultations préalables, limitées aux traitements effectués en tant que Sous-traitant et avec les informations disponibles.
En cas de cessation des Services, à la demande du Client, Convivo restituira les Données personnelles du Client dans un format raisonnable, dans la mesure du possible, ou les supprimera, sous réserve des obligations légales imposant leur conservation. Des copies résiduelles issues des sauvegardes pourront subsister pendant des périodes techniques limitées, avec un accès restreint.
Convivo fournit au Client les informations nécessaires pour démontrer la conformité au présent ATD. Le Client peut demander des audits ou des inspections dans la mesure du raisonnable pendant les heures de travail, en veillant à minimiser l'impact sur les systèmes et la sécurité. La conformité peut également être démontrée au moyen de la documentation, des attestations ou des rapports disponibles.
L’assistance requise en vertu des articles 9 à 13 est incluse dans les services standard lorsque cela est compatible. Les demandes extraordinaires en raison de leur complexité ou de leur urgence peuvent entraîner des coûts supplémentaires convenus entre les Parties.
Les responsabilités des Parties au titre du présent DPA sont régies par le Contrat principal, sous réserve des dispositions légales impératives.
En cas de contradiction entre le présent accord sur le traitement des données (DPA) et tout autre document conclu entre les parties concernant la protection des données, le présent DPA prévaut en matière de confidentialité.
Liste des parties : Propriétaire (Client) et Responsable (Cohabitant).
Objet et durée du traitement : fourniture des Services Syllex pendant la durée du Contrat.
Objectifs : gestion des accès et des profils, hébergement et conservation des contenus, fonctionnalités pédagogiques, traitements IA sur les contenus, sécurité, journalisation, prévention des abus, support technique.
Types de données personnelles : informations d'enregistrement des utilisateurs, adresses e-mail institutionnelles, identificateurs techniques (journaux), contenu pédagogique téléchargé, métadonnées d'utilisation.
Catégories de personnes concernées : enseignants, personnel de l'organisme, étudiants autorisés, collaborateurs.
Mesures techniques et organisationnelles (MTO) TLS/HTTPS, gestion des accès, journalisation/audit, sauvegarde, reprise après sinistre, ségrégation des environnements, contrats avec des sous-traitants.