Accord de Traitement des Données (Data Processing Agreement ou DPA)
0. Désignations
Le sous traitant désigne l’entreprise GoodSesame, SAS. Le responsable de traitement désigne le partenaire de GoodSesame, confiant les données de ses patients / clients à GoodSesame.
1. Objet du contrat
Le présent accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à traiter, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires à la fourniture de ses services de gestion de patients (CRM, création de programmes nutritionnels, suivi, etc.).
2. Durée
Cet accord prend effet à compter de l’acceptation par le Responsable de traitement et restera en vigueur tant que le Sous-traitant traite des données pour le compte du Responsable de traitement.
3. Nature et finalité du traitement
-
Finalité : gestion des patients, suivi nutritionnel, prise de rendez-vous, communication patient, génération de programmes personnalisés.
-
Données traitées : nom, prénom, adresse e-mail, téléphone et adresse physique, données de santé (poids et autres données biométriques, objectifs, allergies, etc.), rendez-vous, échanges avec le patient.
-
Catégories de personnes concernées : patients du Responsable de traitement.
4. Obligations du Sous-traitant
Le Sous-traitant s’engage à :
-
Ne traiter les données personnelles que sur instruction documentée du Responsable de traitement ;
-
Garantir la confidentialité des données ;
-
Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées ;
-
Aider le Responsable à respecter ses obligations (demandes d’accès, effacement, etc.) ;
-
Supprimer ou restituer toutes les données à la fin de la prestation, sauf obligation légale de conservation ;
-
Tenir un registre des traitements effectués pour le compte du Responsable.
5. Sous-traitance ultérieure
Le Sous-traitant est autorisé à faire appel aux sous-traitants suivants :
-
Stripe (paiement)
-
OVH (hébergement)
-
Brevo (emails transactionnels)
Le Sous-traitant s’assure que ses sous-traitants respectent les exigences du RGPD.
6. Obligations du Responsable de traitement
Le Responsable de traitement s’engage à :
-
Collecter les données de manière licite, loyale et transparente ;
-
Fournir aux personnes concernées l’information requise par le RGPD ;
-
Déterminer la base légale du traitement (par exemple, consentement ou intérêt légitime) ;
-
Documenter ses instructions données au Sous-traitant.
7. Sécurité des données
Le Sous-traitant s’engage à :
-
Chiffrer les données sensibles en transit et au repos ;
-
Limiter l’accès aux données au personnel habilité ;
-
Mettre en œuvre des procédures de détection d’intrusion et de gestion des incidents.
8. Notification des violations
Le Sous-traitant informera le Responsable de traitement dans les meilleurs délais (maximum 72h) après avoir eu connaissance d’une violation de données à caractère personnel.
9. Audit
Le Responsable de traitement peut, à ses frais, auditer les mesures prises par le Sous-traitant, sous réserve d’un préavis raisonnable.
10. Droit applicable
Le présent accord est régi par le droit français. Tout litige sera soumis aux tribunaux compétents du ressort du siège social du Sous-traitant.