Les cookies!

Acceptez-vous que nous utilisions des cookies lors de votre visite ?

En savoir plus sur les cookies utilisés

Facebook Analyse de données,
Suivi publicitaire

Snapchat Analyse de données,
Suivi publicitaire

Data Processing Agreement (DPA)

Version 1.1
Dernière mise à jour : 02 décembre 2025

Ce DPA fait partie intégrante des CGV de Peachie.

Table des matières

1. Parties et objet du DPA

Le présent Data Processing Agreement (« DPA ») est conclu entre :

1.1. Peachie – Thibault Lamour EI
Dénomination commerciale : Peachie
Forme juridique : Entreprise Individuelle
Adresse : 19 route des Aulnays, 50330 Gonneville-Le Theil, France
N° SIREN / SIRET : 883011280
N° TVA intracommunautaire : FR33883011280
Taux de TVA applicable : 20 %
Email de contact : support[@]peachie.io
Ci-après désignée « Peachie » ou le « Sous-traitant ».

1.2. Le Client
Toute entité professionnelle qui utilise la plateforme Peachie pour créer, héberger, vendre ou administrer des contenus de formation en ligne, ci-après désignée « le Client » ou le « Responsable de traitement ».

Le présent DPA a pour objet de définir les conditions dans lesquelles Peachie traite des données à caractère personnel pour le compte du Client, en conformité avec le Règlement (UE) 2016/679 (RGPD) et la législation française applicable, notamment la Loi Informatique et Libertés.

2. Définitions

Les termes suivants ont la signification qui leur est donnée ci-dessous :

  • « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l’article 4.1 du RGPD.
  • « Traitement » : toute opération ou ensemble d’opérations appliquées à des données à caractère personnel, au sens de l’article 4.2 du RGPD.
  • « Responsable de traitement » : la personne physique ou morale qui détermine les finalités et les moyens du traitement.
  • « Sous-traitant » : la personne physique ou morale qui traite des données personnelles pour le compte du Responsable de traitement.
  • « Sous-traitant ultérieur » ou « Sub-processor » : tout prestataire tiers engagé par le Sous-traitant pour traiter des données pour le compte du Responsable de traitement.
  • « Personne concernée » : toute personne physique dont les données personnelles sont traitées.
  • « Violation de données à caractère personnel » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès non autorisé à de telles données.

3. Rôle des Parties

3.1 Peachie en tant que Responsable de traitement

Peachie agit comme Responsable de traitement pour les traitements relatifs à :

  • la gestion des comptes Clients (formateurs, administrateurs) ;
  • la facturation des abonnements à la plateforme ;
  • la vérification et la conservation des documents légaux (URSSAF, pièces d’identité, mandat de facturation) ;
  • les journaux d’audit, de sécurité et les journaux d’accès ;
  • les statistiques internes d’utilisation éventuellement anonymisées ou agrégées ;
  • l’amélioration du service, le support et la prévention de la fraude ;
  • les opérations de prospection B2B réalisées auprès de ses propres clients.

3.2 Peachie en tant que Sous-traitant

Peachie agit en qualité de Sous-traitant lorsque le Client utilise la plateforme pour traiter les données de ses propres utilisateurs, notamment :

  • données des élèves (identité, coordonnées, progression, résultats) ;
  • contenus des formations, cours, ressources pédagogiques ;
  • données de participation (quizz, certificats, activités) ;
  • traitements nécessaires à l’utilisation d’outils d’assistance ou de génération de contenus reposant sur une technologie d’intelligence artificielle (OpenAI, xAI), selon les instructions du Client ;
  • fichiers partagés via la plateforme (documents, vidéos, supports pédagogiques).

4. Description des traitements confiés à Peachie

4.1 Catégories de données personnelles

Dans le cadre de l’utilisation de Peachie, le Sous-traitant peut traiter, pour le compte du Client :

  • Données d’identification : nom, prénom, adresse e-mail, photo de profil ou avatar ;
  • Données de facturation : dénomination sociale, adresse postale, numéro de SIRET/SIREN, numéro de TVA, taux de TVA, justificatifs administratifs (attestation URSSAF, pièces d’identité) ;
  • Données de compte : identifiants, mot de passe (stocké de manière sécurisée), paramètres de profil ;
  • Données pédagogiques : contenu des formations, ressources pédagogiques, fichiers mis en ligne (documents, vidéos, images), progression des élèves, résultats de quiz, certificats ;
  • Données techniques : données de connexion et d’utilisation (adresse IP pseudonymisée ou anonymisée, informations de navigateur et d’appareil, journaux d’activité et d’audit) ;
  • Données de paiement : informations relatives aux transactions et aux moyens de paiement, traitées via des prestataires spécialisés (tels que Stripe ou PayPal). Peachie ne stocke pas les numéros complets de carte bancaire ;
  • Données de connexion : informations nécessaires à la gestion des connexions et des sessions utilisateurs.

4.2 Catégories de personnes concernées

  • Clients (formateurs, administrateurs, collaborateurs) ;
  • Élèves / apprenants du Client ;
  • Utilisateurs invités ou associés par le Client.

4.3 Finalités du traitement

Les traitements ont notamment pour finalités :

  • fournir la plateforme Peachie au Client et à ses élèves ;
  • héberger et délivrer les formations et contenus pédagogiques ;
  • gérer les inscriptions, les accès, les droits et les rôles utilisateurs ;
  • suivre la progression des apprenants et leur activité sur la plateforme ;
  • assurer la traçabilité et la sécurité (journaux d’audit et de connexion) ;
  • générer des documents comptables et fiscaux (factures, documents liés au mandat de facturation) ;
  • permettre l’utilisation de fonctionnalités d’assistance ou de génération de contenu par intelligence artificielle, sur instruction du Client et par l’intermédiaire de prestataires spécialisés tels qu’OpenAI ou xAI ;
  • améliorer, maintenir et sécuriser la plateforme.

4.4 Traitements réalisés via les services d’intelligence artificielle

Peachie propose des fonctionnalités d’aide à la rédaction et de génération de contenus utilisant des services d’intelligence artificielle fournis par des tiers (OpenAI et xAI). Peachie n’envoie à ces services que les contenus textuels fournis volontairement par le Client ou saisis dans les outils dédiés.

Le Client s’engage à ne pas inclure de données personnelles sensibles (article 9 du RGPD) dans les contenus envoyés à ces services. Aucune conservation des données n'est effectuée par Peachie au-delà de l'exécution immédiate de la requête.

5. Obligations de Peachie en tant que Sous-traitant

5.1 Traitement sur instruction du Client

Peachie s’engage à ne traiter les données personnelles que sur la base des instructions documentées du Client, conformément à l’article 28 du RGPD. Peachie s’interdit d’utiliser les données personnelles à d’autres fins que la fourniture des services définis dans le contrat principal et le présent DPA.

5.2 Confidentialité

Peachie veille à ce que les personnes autorisées à traiter les données personnelles (fondateurs, employés, prestataires techniques) soient soumises à une obligation de confidentialité appropriée, contractuelle et/ou légale, et à ce qu’elles reçoivent une formation adaptée à la protection des données.

5.3 Sécurité

Peachie met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD. Ces mesures sont décrites à l’Annexe B et portent notamment sur la protection des données contre la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé.

5.4 Sous-traitance ultérieure

Peachie ne fait appel qu’aux sous-traitants listés à l’Annexe A. Toute modification substantielle de cette liste sera notifiée au Client, qui pourra s’y opposer dans les conditions prévues par le contrat principal lorsqu’une telle opposition est prévue. Peachie s’engage à imposer à ses propres sous-traitants des obligations de protection des données au moins équivalentes à celles prévues par le présent DPA.

5.5 Assistance au Client

Peachie assiste le Client, dans la mesure du raisonnable, pour lui permettre de :

  • répondre aux demandes d’exercice des droits des personnes concernées ;
  • se conformer à ses obligations en matière de sécurité, de notification de violation, d’analyse d’impact (le cas échéant) et de consultation préalable de l’autorité de contrôle ;
  • documenter et démontrer la conformité des traitements mis en œuvre via la plateforme.

6. Obligations du Client (Responsable de traitement)

Le Client, en tant que Responsable de traitement, s’engage à :

  • respecter l’ensemble des obligations qui lui incombent en vertu du RGPD et de la législation nationale applicable ;
  • déterminer les finalités et les moyens des traitements réalisés via Peachie ;
  • informer les personnes concernées de l’utilisation de Peachie comme sous-traitant et de la manière dont leurs données sont traitées ;
  • obtenir tous les consentements nécessaires, notamment pour les traitements marketing, l’utilisation de cookies et de traceurs ou l’utilisation de pixels publicitaires ;
  • ne pas utiliser Peachie pour traiter des données dites « sensibles » au sens de l’article 9 du RGPD, sauf fondement juridique approprié et mise en place de mesures de protection renforcées ;
  • configurer son utilisation de Peachie (durées de conservation, catégories de données, accès) de manière conforme à la réglementation ;
  • ne pas transmettre à Peachie des données excessives ou étrangères à l’objet du contrat.

7. Mesures de sécurité techniques et organisationnelles

Les mesures de sécurité mises en place par Peachie incluent notamment, sans s’y limiter :

7.1 Infrastructure

  • Hébergement des données et des services sur des serveurs sécurisés situés en France et opérés par OVHcloud ;
  • Organisation interne visant à séparer les environnements de travail et à limiter les risques d’accès non autorisés ;
  • Sauvegardes régulières des données, avec une durée de conservation limitée, afin de permettre la reprise de l’activité en cas d’incident.

7.2 Sécurité applicative

  • Protection des communications entre les utilisateurs et la plateforme par des mécanismes de chiffrement adaptés ;
  • Stockage des mots de passe et des informations de connexion selon des pratiques reconnues en matière de sécurité ;
  • Mise en œuvre de mécanismes visant à limiter les accès non autorisés et les usages abusifs de la plateforme ;
  • Journalisation des actions sensibles (création, modification, suppression d’éléments importants, connexions administrateur, etc.).

7.3 Données techniques (connexions, journaux)

  • Enregistrement de données de connexion et d’utilisation sous une forme permettant la sécurité et l’audit, avec une adresse IP pouvant être pseudonymisée ou anonymisée avant conservation ;
  • Utilisation des journaux techniques et d’audit à des fins de sécurité, de diagnostic et d’amélioration du service ;
  • Conservation de ces journaux pour une durée limitée, conformément à la politique de rétention figurant à l’Annexe C.

7.4 Accès et permissions

  • Accès aux systèmes et aux données restreints aux seules personnes dont les fonctions le nécessitent ;
  • Application du principe du moindre privilège pour les droits d’administration ;
  • Utilisation de mesures appropriées pour vérifier l’identité des personnes accédant aux interfaces d’administration et aux données sensibles.

8. Sous-traitance ultérieure (Sub-processors)

Peachie peut faire appel à des prestataires pour accomplir certaines activités nécessaires à la fourniture du service. Ces prestataires peuvent avoir accès, de manière limitée, à certaines données personnelles lorsque cela est strictement nécessaire à l’exécution de leur mission.

Peachie s’engage à :

  • ne recourir qu’à des prestataires présentant des garanties suffisantes en matière de protection des données ;
  • imposer contractuellement à ces prestataires des obligations au moins équivalentes à celles prévues par le présent DPA ;
  • informer le Client de toute modification essentielle de la liste des sous-traitants lorsqu’une telle information est requise par la législation applicable ;
  • rester responsable, envers le Client, du respect des obligations qui incombent à ces prestataires concernant la protection des données.

La liste complète et tenue à jour des sous-traitants figure à l’Annexe A.

9. Localisation des données et transferts hors UE

9.1 Localisation principale

Les données confiées à Peachie sont hébergées en France, sur des infrastructures opérées par OVHcloud.

9.2 Transferts en dehors de l’Espace Économique Européen

Certains sous-traitants utilisés par Peachie (tels que OpenAI, xAI, Stripe ou PayPal) peuvent impliquer des transferts de données en dehors de l’Union européenne.

Lorsque de tels transferts ont lieu, Peachie s’engage à ce qu’ils soient encadrés par des mécanismes reconnus par le RGPD, notamment :

  • les Clauses Contractuelles Types adoptées par la Commission européenne ;
  • des garanties complémentaires appropriées lorsqu’elles sont nécessaires ;
  • une évaluation préalable des risques liés au transfert.

Ces garanties visent à assurer un niveau de protection des données personnelles équivalent à celui exigé au sein de l’Union européenne.

10. Droits des personnes concernées

Le Client, en tant que Responsable de traitement, est seul responsable de la gestion des demandes formulées par les personnes concernées (droit d’accès, rectification, effacement, opposition, limitation, portabilité).

Peachie :

  • met à la disposition du Client des outils lui permettant de rechercher, modifier, exporter ou supprimer les données de ses utilisateurs ;
  • fournit son assistance, lorsque cela est raisonnablement nécessaire, pour permettre au Client de traiter les demandes ;
  • n’interagit pas directement avec les personnes concernées, sauf obligation légale ou demande explicite du Client.

11. Durée de conservation et suppression des données

Les durées de conservation appliquées par Peachie sont définies dans l’Annexe C, conformément au principe de minimisation des données.

À titre indicatif :

  • Données des comptes Clients : 3 ans après la dernière activité ou la résiliation ;
  • Données des élèves : durée du contrat + suppression à la demande du Client ;
  • Journaux d’audit et de sécurité : 12 mois ;
  • Documents légaux transmis par les formateurs (URSSAF, pièces d’identité) : 5 ans ;
  • Sauvegardes de données : durée de rétention standard limitée.

À la résiliation du contrat ou à la demande du Client, Peachie procède à la suppression ou à la restitution des données, sauf lorsque leur conservation est requise par une obligation légale ou nécessaire à la défense d’un droit.

12. Gestion des violations de données

En cas de violation de données personnelles, Peachie :

  • met immédiatement en œuvre les mesures nécessaires pour contenir et corriger l’incident ;
  • notifie le Client dans les meilleurs délais, et au plus tard dans un délai de 48 heures après la découverte de la violation ;
  • transmet au Client toutes les informations disponibles permettant, si nécessaire, d’effectuer la notification à la CNIL et aux personnes concernées ;
  • tient un registre interne documentant les incidents et les mesures prises.

13. Audit, documentation et conformité

Peachie maintient une documentation interne relative à la protection des données et un registre des traitements conformément à l’article 30 du RGPD.

Peachie peut, dans des conditions raisonnables :

  • fournir au Client les informations nécessaires pour démontrer sa conformité ;
  • permettre la réalisation d’audits portant sur la protection des données, menés par le Client ou par un expert mandaté, sous réserve de :
    • la définition préalable du périmètre de l’audit ;
    • le respect de la confidentialité des informations techniques sensibles ;
    • la planification dans un délai raisonnable ;
    • la prise en charge des coûts correspondants par le Client.

Peachie se réserve le droit de refuser un audit si celui-ci compromet la sécurité du service ou l’intégrité de ses infrastructures, ou s’il n’est pas proportionné.

14. Responsabilité

Chaque Partie demeure responsable du respect de ses propres obligations au titre du RGPD et de la législation applicable en matière de protection des données.

Peachie ne saurait être tenue responsable :

  • des choix du Client concernant les données qu’il collecte auprès de ses utilisateurs ;
  • de l'utilisation faite de la plateforme par le Client ou ses utilisateurs ;
  • de la conformité des traitements décidés par le Client ;
  • des conséquences liées à une mauvaise configuration des paramètres du compte ou des durées de conservation ;
  • des dommages résultant d’une exportation, reproduction ou diffusion de données effectuée par le Client.

La responsabilité globale de Peachie au titre du présent DPA est limitée conformément aux dispositions du contrat principal applicable entre les Parties.

15. Durée, résiliation et sort des données

Le présent DPA prend effet à compter de la première utilisation de Peachie par le Client et demeure applicable pendant toute la durée du contrat principal, ainsi que pendant les périodes de conservation légales.

En cas de résiliation du contrat :

  • Peachie supprime ou restitue au Client les données personnelles traitées pour son compte, à sa demande ;
  • les données conservées pour des obligations légales ou comptables sont supprimées à l’expiration de ces obligations ;
  • les sauvegardes contenant ces données sont automatiquement supprimées à l'issue de leur période de rétention ;
  • Peachie peut conserver des données strictement nécessaires à la défense de ses droits en cas de contentieux.

16. Loi applicable et juridiction compétente

Le présent DPA est soumis au droit français.

À défaut d’accord amiable, tout litige relatif à son interprétation ou à son exécution sera soumis aux tribunaux compétents de Cherbourg-en-Cotentin.

Annexe A – Sous-traitants (Sub-processors)

Sous-traitant Pays Type de données concernées Finalité du traitement Documentation
OVHcloud (hébergement) France Données du service, base de données, fichiers, logs Hébergement des données et de la plateforme OVHcloud – Politique de confidentialité
OpenAI États-Unis / UE Contenus fournis par le Client dans le cadre d'outils IA Génération ou transformation de contenus à la demande du Client et assistance OpenAI – Policies
xAI États-Unis / UE Contenus fournis par le Client dans le cadre d’outils IA Génération ou transformation de contenus à la demande du Client et assistance Politique de confidentialité xAI
Stripe UE / États-Unis Données de paiement, informations de transaction Traitement des paiements et facturation Stripe – Confidentialité
PayPal UE / États-Unis Données de paiement, informations de transaction Traitement des paiements PayPal – Vie Privée

Certains scripts utilisés côté navigateur ( Google Fonts, Unsplash API, Meta Pixel, Snapchat Pixel, LinkedIn Insight Tag ) peuvent collecter des données directement auprès des utilisateurs conformément à leurs politiques de confidentialité respectives. Le Client est responsable de l’information et du recueil des consentements requis.

Annexe B – Mesures de sécurité

B.1 Organisation interne

  • Processus internes de gestion des accès et des incidents ;
  • Responsabilisation des équipes et bonnes pratiques en matière de sécurité ;
  • Séparation des environnements (production, test, développement).

B.2 Sécurité des accès

  • Accès strictement limité aux personnes habilitées ;
  • Gestion contrôlée des permissions ;
  • Authentification renforcée pour les accès administratifs ;
  • Mesures de filtrage et de contrôle des accès réseau.

B.3 Sécurité des données

  • Chiffrement des communications via HTTPS ;
  • Hashage des mots de passe avec des standards reconnus ;
  • Anonymisation des adresses IP par un procédé de hash unidirectionnel ;
  • Sauvegardes régulières stockées dans un environnement sécurisé.

B.4 Journalisation

  • Enregistrement des actions sensibles (connexion, modification, suppression) ;
  • Suivi des accès et des erreurs ;
  • Rétention limitée des journaux conformément à l’Annexe C.

Annexe C – Politique de rétention des données

Type de données Durée de conservation Justification
Compte Client (formateur / admin) 3 ans après la dernière activité Recommandations CNIL – Gestion de la relation commerciale
Données des élèves Durée du contrat + suppression à la demande du Client Exécution du contrat
Logs d’audit 12 mois Sécurité et traçabilité
Logs techniques 12 mois Sécurité, optimisation du service
Documents légaux (URSSAF / identité) 5 ans Obligations légales et fiscales
Sauvegardes système Durée technique limitée Continuité de service et reprise après incident

Liens utiles

Pour toute question relative au présent DPA ou à la protection des données, contactez : support[@]peachie.io.