Accord relatif au traitement des données (DPA)
Contrat de sous-traitance au sens de l'article 28 du RGPD. Document modèle conclu avec chaque centre client avec son Bon de commande ; les éléments [à compléter] sont renseignés par client.
Entre :
Le Client — centre d'imagerie médicale identifié au Bon de commande, agissant en qualité de Responsable de traitement (le « Responsable ») ;
et
AMADIAG — SAS, RCS de Paris n° 101 486 827, siège 50 avenue des Champs-Élysées, 75008 Paris, éditeur de la plateforme Kreizia, agissant en qualité de Sous-traitant (le « Sous-traitant »).
Ci-après ensemble les « Parties ».
Date : [à compléter : date de signature] — Version : 1.0
1. Objet et cadre
Le présent accord (« DPA ») a pour objet d'encadrer les traitements de données à caractère personnel que le Sous-traitant réalise pour le compte du Responsable dans le cadre de la fourniture des Services Kreizia, conformément à l'article 28 du RGPD.
Il fait partie intégrante du contrat conclu entre les Parties (CGV, CGU, Bon de commande). En cas de contradiction relative à la protection des données, le présent DPA prévaut.
Les traitements que le Sous-traitant réalise pour son propre compte (gestion des prospects, des comptes, de la facturation) relèvent de sa Politique de confidentialité et ne sont pas régis par le présent DPA.
2. Définitions
Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « violation de données » et « données concernant la santé » ont le sens que leur donne l'article 4 du RGPD. Les caractéristiques du traitement (finalités, catégories de données et de personnes, durée) sont précisées en Annexe 1.
3. Description du traitement
La nature, la finalité, les catégories de données et de personnes concernées, ainsi que la durée des traitements, sont décrites en Annexe 1, par Module souscrit. Le Responsable détermine les finalités et les moyens du traitement ; le Sous-traitant n'agit que sur ses instructions documentées.
4. Obligations du Sous-traitant
Conformément à l'article 28.3 du RGPD, le Sous-traitant s'engage à :
4.1 Traiter sur instruction documentée
Ne traiter les données que sur instruction documentée du Responsable, y compris en matière de transfert hors UE, sauf obligation légale de l'Union ou d'un État membre (auquel cas il en informe le Responsable, sauf interdiction légale). Le contrat, le Bon de commande et le présent DPA constituent les instructions initiales du Responsable. Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD, il en informe immédiatement le Responsable.
4.2 Confidentialité
Veiller à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité ou soient soumises à une obligation légale de confidentialité, et soient sensibilisées à la protection des données.
4.3 Sécurité
Mettre en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD, détaillées en Annexe 2, pour garantir un niveau de sécurité adapté au risque, compte tenu de la nature des données traitées (incluant, le cas échéant, des données concernant la santé).
4.4 Sous-traitance ultérieure
Ne pas recruter de sous-traitant ultérieur sans autorisation écrite préalable du Responsable. Le Responsable donne, par la signature du présent DPA, une autorisation générale au recours aux sous-traitants ultérieurs listés en Annexe 3.
Le Sous-traitant informe le Responsable de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur au moins 30 jours à l'avance, par tout moyen écrit. Le Responsable dispose d'un droit d'opposition motivé pendant ce délai ; en cas d'opposition non levée, chaque Partie peut résilier le contrat pour le Module concerné, sans pénalité.
Le Sous-traitant impose à tout sous-traitant ultérieur, par contrat, les mêmes obligations de protection des données que celles prévues au présent DPA. Le Sous-traitant demeure pleinement responsable envers le Responsable de l'exécution par le sous-traitant ultérieur de ses obligations.
4.5 Assistance aux droits des personnes
Aider le Responsable, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). Si une personne adresse directement sa demande au Sous-traitant, celui-ci la transmet sans délai au Responsable et n'y répond pas de sa propre initiative.
4.6 Assistance à la conformité
Aider le Responsable à garantir le respect de ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification des violations, communication aux personnes, analyse d'impact relative à la protection des données — AIPD/DPIA, consultation préalable), compte tenu de la nature du traitement et des informations à disposition du Sous-traitant.
4.7 Sort des données en fin de traitement
Au choix du Responsable exprimé par écrit, supprimer ou renvoyer l'ensemble des données à caractère personnel au terme de la prestation, et détruire les copies existantes, sauf obligation légale de conservation. À défaut d'instruction, le Sous-traitant procède à la suppression dans un délai de 30 jours suivant la fin du contrat, les sauvegardes étant purgées selon leur cycle normal. Les modalités de réversibilité figurent à l'article 9 des CGV.
4.8 Mise à disposition et audits
Mettre à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28, et permettre la réalisation d'audits, y compris des inspections, par le Responsable ou un tiers mandaté qu'il habilite. Les modalités (préavis raisonnable, fréquence, confidentialité, prise en charge des coûts d'audits additionnels) sont convenues entre les Parties ; le Sous-traitant peut produire des rapports d'audit ou certifications existants.
5. Notification des violations de données
Le Sous-traitant notifie au Responsable toute violation de données le concernant dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, afin de permettre au Responsable de respecter son obligation de notification à la CNIL dans les 72 heures (article 33 du RGPD).
La notification précise, dans la mesure des informations disponibles : la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables, et les mesures prises ou proposées. Le Sous-traitant apporte au Responsable une assistance raisonnable pour la qualification, la documentation et, le cas échéant, l'information des personnes concernées.
6. Registre et délégué à la protection des données
Le Sous-traitant tient un registre des catégories d'activités de traitement effectuées pour le compte du Responsable (article 30.2 du RGPD). Le Sous-traitant communique le point de contact en matière de protection des données : [email protected].
7. Transferts hors Union européenne
Tout transfert de données vers un pays tiers n'est réalisé que sur instruction du Responsable et dans le respect du chapitre V du RGPD (décision d'adéquation, Data Privacy Framework, et/ou Clauses Contractuelles Types assorties de mesures appropriées). Les sous-traitants ultérieurs susceptibles de traiter des données hors UE et les mécanismes applicables sont identifiés en Annexe 3.
8. Données concernant la santé
Les Parties reconnaissent que certains traitements peuvent porter sur des données concernant la santé (article 9 du RGPD). Le Responsable garantit disposer d'une base licite au titre de l'article 9.2, qu'il indique en Annexe 1 (notamment l'article 9.2.h — finalités de médecine, de diagnostic, de prise en charge ou de gestion des systèmes et services de soins de santé, sous la responsabilité d'un professionnel soumis au secret — et/ou l'article 9.2.a — consentement explicite, pour les questionnaires patients).
Le Sous-traitant met en œuvre les mesures renforcées de l'Annexe 2 adaptées à ces données.
[à compléter : HDS — Hetzner non certifié HDS (art. L.1111-8 CSP) ; pour les Modules à données de santé : anonymisation irréversible documentée OU hébergement HDS certifié (cf. Note de position HDS)]
9. Responsabilité
Chaque Partie assume la responsabilité des dommages causés par un traitement réalisé en violation du RGPD, dans les conditions de l'article 82 du RGPD. La répartition financière entre les Parties s'articule avec les stipulations de responsabilité des CGV.
10. Durée
Le présent DPA prend effet à la date de signature du contrat et demeure en vigueur pendant toute la durée des traitements réalisés pour le compte du Responsable. Les obligations relatives au sort des données et à la confidentialité survivent à son terme.
11. Droit applicable
Le présent DPA est régi par le droit français et le RGPD.
Annexe 1 — Description des traitements
| Responsable de traitement | Le centre d'imagerie client identifié au Bon de commande |
| Sous-traitant | AMADIAG (plateforme Kreizia) |
| Nature du traitement | Collecte par import/saisie, structuration, calcul d'indicateurs, stockage, restitution sous forme de tableaux de bord |
| Finalité générale | Pilotage opérationnel, médico-économique et qualité du centre |
| Durée | Durée du contrat ; suppression dans les 30 jours suivant son terme |
| Base art. 9 (si données de santé) | À préciser par le Responsable : art. 9.2.h / art. 9.2.a / autre — [à compléter : base art. 9 par Bon de commande] |
Détail par Module (à adapter selon les Modules réellement souscrits) :
| Module | Catégories de données | Personnes concernées | Sensibilité |
|---|---|---|---|
| Flux | Données territoriales agrégées de provenance | — (agrégats) | Faible |
| Pilot | Agrégats médico-économiques ; le cas échéant éléments issus de comptes rendus | Patients (indirectement) | À qualifier |
| No-Show / Delay | Données d'agenda agrégées | Patients (indirectement) | Faible à modéré |
| Recover | Données de facturation et de payeurs | Patients / payeurs | Modéré |
| Protect / Prescribers | Identité de médecins prescripteurs (données professionnelles) | Médecins prescripteurs | Modéré |
| Team | Effectifs agrégés / données RH | Personnel du centre | Modéré |
| Guide | Questionnaires patients | Patients | Élevé (santé) |
| MSK-Follow | Douleur, récupération, satisfaction | Patients | Élevé (santé) |
Les Modules signalés « Élevé (santé) » sont subordonnés à la conformité HDS / à l'anonymisation irréversible (voir DPA art. 8 et Note de position HDS).
Annexe 2 — Mesures techniques et organisationnelles (art. 32)
Le Sous-traitant met en œuvre, a minima, les mesures suivantes (à aligner sur l'état réel du système et la Politique de sécurité — points marqués [à compléter : à confirmer par l'audit de sécurité] ci-dessous) :
Chiffrement et flux
- Chiffrement des communications en transit (TLS, certificats Let's Encrypt via reverse-proxy Caddy).
- Chiffrement au repos des bases de données — [à compléter : à confirmer]
Hébergement et localisation
- Hébergement des serveurs et bases de données au sein de l'Union européenne (Hetzner, Allemagne).
- Cloisonnement multi-tenant : isolation logique des données entre clients (Atlas comme couche de configuration ; bases dédiées par produit et par client).
Contrôle d'accès
- Authentification des utilisateurs via prestataire dédié (Clerk), gestion des rôles et des habilitations.
- Principe du moindre privilège pour les accès d'administration.
- Authentification renforcée (MFA) pour les accès sensibles — [à compléter : à confirmer]
Journalisation et supervision
- Journalisation des accès et des événements de sécurité.
- Supervision des erreurs applicatives (Sentry, activation conditionnelle ; configuration limitant la capture de données personnelles).
Sauvegarde et continuité
- Politique de sauvegarde régulière et procédure de restauration — [à compléter : à formaliser (offsite chiffré + test de restore)]
Gestion des vulnérabilités et des incidents
- Mises à jour de sécurité ; procédure de gestion des violations (notification au Responsable sous 48 h — voir DPA art. 5).
- Revue de sécurité du code avant mise en production, notamment pour les Modules à données de santé — [à compléter : à confirmer]
Mesures organisationnelles
- Engagement de confidentialité du personnel ; sensibilisation à la protection des données.
- Encadrement contractuel des sous-traitants ultérieurs (Annexe 3).
Annexe 3 — Sous-traitants ultérieurs autorisés
| Sous-traitant ultérieur | Rôle | Localisation | Transfert hors UE | Mécanisme |
|---|---|---|---|---|
| Hetzner Online GmbH | Hébergement serveurs et bases de données | Allemagne (UE) | Non | — |
| Clerk (Clerk Inc.) | Authentification, gestion des comptes | États-Unis | Oui | DPF et/ou CCT |
| Resend (Resend Inc.) | Courriels transactionnels | États-Unis | Oui | DPF et/ou CCT |
| Cloudflare, Inc. | Résolution DNS (mode DNS-only) | États-Unis / mondial | Oui | DPF et/ou CCT |
| Sentry (Functional Software Inc.) | Supervision des erreurs | UE ou États-Unis selon région | Selon région | DPF / CCT le cas échéant |
| GitHub (GitHub Inc.) | Registre d'images applicatives | États-Unis | Non applicable (pas de données personnelles d'utilisateurs finaux) | — |
Le statut DPF de chaque prestataire concerné doit être vérifié et les CCT prévues en complément. Toute modification de cette liste suit la procédure du DPA art. 4.4.