Data Processing Agreement · Version 1.0 · 2026-05-08

Accord de traitement des données (DPA)

Ce document est un modèle indicatif. Pour le signer formellement, contactez contact@iq-certification.ai — nous fournissons un DPA personnalisé sur papier en-tête.

1. Parties

Le présent accord est conclu entre le Client(organisme certificateur, école, université ou entreprise utilisant IQ App pour passer des examens à ses candidats), agissant en qualité de responsable du traitement, et IQ Certification(société exploitant IQ App), agissant en qualité de sous-traitant au sens de l'article 28 du RGPD.

2. Objet du traitement

Le sous-traitant traite les données pour le compte du responsable du traitement aux fins suivantes :

  • Hébergement et exécution d'examens en ligne.
  • Vérification d'identité des candidats.
  • Surveillance audiovisuelle pendant l'examen.
  • Stockage des copies, scores et événements.

3. Catégories de données

  • Données d'identification (email, nom, identifiant interne).
  • Données biométriques (photo d'identité + selfie pour KYC).
  • Données comportementales (frappes, déplacements souris, regard, présence).
  • Enregistrements audiovisuels.
  • Données techniques (IP, user-agent, empreinte device).

4. Catégories de personnes concernées

Candidats inscrits par le Client.

5. Mesures de sécurité

  • Chiffrement TLS 1.3 en transit.
  • Chiffrement AES-256 au repos (Supabase + R2).
  • Authentification multi-facteurs disponible.
  • Row-Level Security sur toutes les tables sensibles.
  • Logs d'accès journalisés et conservés 365 jours.
  • Politique de rétention automatique (90 jours pour les médias).

6. Sous-traitants ultérieurs

Le sous-traitant a recours aux entités listées dans la politique de confidentialité. Toute modification de cette liste est notifiée au responsable du traitement au moins 30 jours avant sa mise en œuvre.

7. Localisation

L'ensemble des données sont stockées dans l'Union européenne (région eu-west-3, Paris). Aucun transfert hors UE n'est effectué sans accord explicite et sans clauses contractuelles types.

8. Notification de violation

En cas de violation de données, le sous-traitant en informe le responsable du traitement sans délai injustifié et au plus tard dans les 72 heures.

9. Durée et fin du traitement

À la fin du contrat, le sous-traitant supprime ou restitue les données au choix du responsable, dans un délai de 30 jours.

10. Audit

Le responsable du traitement peut auditer le sous-traitant une fois par an, sur préavis raisonnable.