Accord de traitement des données (DPA)

1. Parties et définitions

Le présent Accord (« DPA ») est conclu entre [Raison sociale], éditeur du service Vitalou (le « Sous-traitant »), et la clinique cliente identifiée dans le contrat de service (le « Responsable de traitement » ou « Clinique »). Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant » et « personne concernée » ont le sens que leur donne le Règlement (UE) 2016/679 (« RGPD »).

Le présent DPA fait partie intégrante des Conditions générales d'utilisation et prévaut, pour ce qui concerne la protection des données, en cas de contradiction.

2. Objet, durée et nature du traitement

• Objet : fourniture d'un assistant d'accueil (réponses aux questions, orientation non-diagnostique, prise de rendez-vous, rappels) pour le compte de la Clinique.
• Durée : pendant toute la durée du contrat de service, et jusqu'à restitution ou suppression des données (article 9).
• Nature et finalité : hébergement, enregistrement, organisation, consultation, communication et suppression des données nécessaires au service.

Catégories de personnes concernées

• Propriétaires d'animaux qui interagissent avec l'assistant ou prennent rendez-vous.
• Personnel de la Clinique disposant d'un accès au tableau de bord.

Catégories de données traitées

• Identité / contact : nom, e-mail, téléphone.
• Animal : nom, espèce, et informations communiquées par le propriétaire.
• Échanges : contenu des conversations avec l'assistant, rendez-vous, rappels.
• Données techniques : journaux de connexion et de sécurité.

Le service ne demande pas de catégories particulières de données au sens de l'article 9 du RGPD. La Clinique s'engage à ne pas téléverser de telles données via la base de connaissance.

3. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• traiter les données uniquement sur instruction documentée de la Clinique (le présent DPA et le contrat valant instructions), sauf obligation légale ;
• garantir la confidentialité et veiller à ce que les personnes autorisées à traiter les données s'y soient engagées ;
• mettre en œuvre les mesures de sécurité appropriées (article 32 — voir Annexe 2) ;
• respecter les conditions de recours à des sous-traitants ultérieurs (article 4) ;
• aider la Clinique à répondre aux demandes d'exercice des droits des personnes (accès, rectification, effacement, opposition, portabilité, limitation) ;
• assister la Clinique pour la sécurité, la notification des violations et, le cas échéant, les analyses d'impact (AIPD) ;
• mettre à disposition les informations nécessaires pour démontrer le respect de l'article 28 et permettre des audits raisonnables (article 8).

4. Sous-traitants ultérieurs

La Clinique autorise le recours aux sous-traitants ultérieurs listés ci-dessous, nécessaires au fonctionnement du service. Le Sous-traitant impose à chacun des obligations de protection équivalentes et informe la Clinique de tout changement, lui laissant la possibilité de s'y opposer pour un motif légitime.

Liste à tenir à jour selon les services réellement activés (par exemple, le SMS n'est utilisé que si la Clinique l'active). Les coordonnées des animaux ne sont transmises à un sous-traitant que pour la fonction concernée (ex. e-mail au propriétaire pour un rappel).

5. Transferts hors Union européenne

L'hébergement et la base de données sont situés en France. Certains sous-traitants techniques (modèle d'IA, e-mail, SMS) sont établis aux États-Unis : les transferts correspondants sont encadrés par des clauses contractuelles types de la Commission européenne et/ou l'adhésion au Data Privacy Framework, complétées des mesures techniques appropriées. Aucun autre transfert hors UE n'est réalisé sans garanties appropriées.

6. Sécurité du traitement

Le Sous-traitant met en œuvre les mesures décrites en Annexe 2 (chiffrement des communications, hébergement UE, contrôle des accès, journalisation, sauvegardes). Ces mesures sont adaptées au risque et révisées régulièrement.

7. Violation de données

En cas de violation de données à caractère personnel, le Sous-traitant notifie la Clinique sans retard injustifié après en avoir pris connaissance, et lui fournit les informations utiles pour permettre, le cas échéant, sa notification à l'autorité de contrôle (CNIL) et aux personnes concernées.

8. Assistance et droits des personnes

Le Sous-traitant met à disposition de la Clinique les fonctionnalités et l'assistance raisonnable pour répondre, dans les délais légaux, aux demandes d'exercice des droits des personnes concernées (notamment accès, rectification, effacement et opposition).

9. Sort des données en fin de contrat

Au terme du contrat, selon le choix de la Clinique, le Sous-traitant restitue les données (export) puis les supprime, ainsi que les copies existantes, dans un délai de [30] jours, sauf obligation légale de conservation. Les sauvegardes sont purgées selon leur cycle de rotation.

10. Responsabilité et droit applicable

Le présent DPA est régi par le droit français. Les responsabilités respectives sont celles prévues par le RGPD et le contrat de service. Tout litige relève des juridictions compétentes désignées au contrat.

Annexe 1 — Récapitulatif du traitement

Annexe 2 — Mesures de sécurité

• Chiffrement des communications (HTTPS/TLS) sur l'ensemble du service.
• Hébergement en France (UE), base de données accessible uniquement en local.
• Authentification des accès au tableau de bord ; cloisonnement des données par clinique.
• Journalisation des accès et des événements de sécurité.
• Sauvegardes régulières et chiffrées au repos par l'hébergeur.
• Mises à jour de sécurité du système et des dépendances.

Pour toute question relative au présent accord : contact@vitalou.fr. Voir aussi notre Politique de confidentialité.