Accord de Traitement des Donnees
Data Processing Agreement (Art. 28 RGPD) — Version 1.0 — 23 mars 2026
Le present accord (ci-apres « DPA ») est conclu entre le cabinet utilisateur de la Plateforme (ci-apres « le Responsable de traitement ») et la societe editrice de Synapse Care (ci-apres « le Sous-traitant »).
Article 1 — Objet et duree
Le Sous-traitant traite des donnees personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture de la plateforme SaaS Synapse Care, pour la duree du contrat d'abonnement.
Article 2 — Nature et finalite du traitement
| Element | Detail |
|---|---|
| Categories de personnes concernees | Patients, praticiens, secretaires, direction |
| Categories de donnees | Donnees de sante (Art. 9), identification, financieres, connexion |
| Finalites | Gestion de cabinet : rendez-vous, notes cliniques, facturation, messagerie, teleconsultation, assistance IA |
| Duree du traitement | Duree du contrat d'abonnement + 30 jours (suppression) |
Article 3 — Obligations du Sous-traitant (Art. 28.3 RGPD)
3.1 Instructions documentees (Art. 28.3.a)
Le Sous-traitant ne traite les donnees que sur instruction documentee du Responsable de traitement. La configuration de la Plateforme constitue l'ensemble des instructions. Toute instruction supplementaire doit etre formulee par ecrit.
3.2 Confidentialite (Art. 28.3.b)
Le personnel du Sous-traitant ayant acces aux donnees personnelles est soumis a une obligation de confidentialite. L'acces est restreint par un controle d'acces base sur les roles (RBAC) avec 6 niveaux hierarchiques et 33 permissions.
3.3 Mesures de securite (Art. 28.3.c / Art. 32)
| Mesure | Implementation |
|---|---|
| Chiffrement au repos | AES-256-GCM avec cle derivee par cabinet (HKDF-SHA256) |
| Chiffrement en transit | TLS 1.2+ obligatoire |
| Authentification | 2FA obligatoire (TOTP), mots de passe 14+ caracteres (NIST SP 800-63B) |
| Isolation multi-tenant | Row-Level Security PostgreSQL sur 30+ tables |
| Journalisation | 62 types d'actions auditees, conservation 3 ans |
| Sauvegardes | Quotidiennes chiffrees (AES-256-CBC), retention 90 jours |
| Gestion des incidents | Detection automatique, confinement < 1h, notification < 72h |
| Protection API | Rate limiting, CSRF, SSRF prevention, validation stricte des entrees |
3.4 Sous-traitance ulterieure (Art. 28.3.d)
Le Sous-traitant s'engage a n'engager aucun autre sous-traitant sans l'autorisation prealable ecrite du Responsable de traitement. Les sous-traitants ulterieurs autorises sont les suivants :
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de donnees, authentification, stockage | UE (Francfort) | SOC2, HDS |
| Stripe Inc. | Paiements (aucune donnee de sante) | USA | SCCs, PCI-DSS Level 1 |
| Brevo (Sendinblue) | E-mail/SMS transactionnels (contenu generique) | France | RGPD natif |
| Resend Inc. | E-mail transactionnel (optionnel) | USA | SOC2, SCCs |
| Twilio Inc. | SMS (optionnel, contenu generique) | USA | SOC2, HIPAA, SCCs |
| OpenAI Inc. | IA generative (donnees anonymisees uniquement) | USA | SOC2, SCCs + anonymisation |
| Anthropic PBC | IA generative (donnees anonymisees uniquement) | USA | SOC2, SCCs + anonymisation |
| Sentry (Functional Software) | Monitoring erreurs (donnees sanitisees) | USA | SOC2, SCCs |
3.5 Assistance aux droits des personnes (Art. 28.3.e)
Le Sous-traitant met a disposition les fonctionnalites techniques suivantes pour aider le Responsable a repondre aux demandes d'exercice des droits :
- Acces (Art. 15) : export JSON des donnees du patient
- Rectification (Art. 16) : modification en base avec audit
- Effacement (Art. 17) : suppression des notes/documents + anonymisation
- Portabilite (Art. 20) : export au format structure
- Opposition (Art. 21) : flags de preference (IA, marketing, analytique)
3.6 Assistance DPIA (Art. 28.3.f)
Le Sous-traitant fournit un registre des traitements, une Analyse d'Impact (DPIA) et toute information necessaire pour demontrer la conformite.
3.7 Suppression ou restitution (Art. 28.3.g)
A la fin du contrat, le Sous-traitant :
- Met a disposition un export complet des donnees.
- Supprime toutes les donnees sous 30 jours, sauf obligation legale de conservation (factures 10 ans, journaux de securite 3 ans).
- Fournit une attestation de suppression.
3.8 Audits (Art. 28.3.h)
Le Sous-traitant met a disposition les journaux d'audit, les rapports PRA (Plan de Reprise d'Activite) et toute information necessaire pour demontrer le respect du present accord. Le Responsable de traitement peut, moyennant un preavis de 30 jours, realiser ou faire realiser un audit.
Article 4 — Notification des violations (Art. 33)
Le Sous-traitant notifie le Responsable de traitement dans les meilleurs delais et au plus tard 24 heuresapres la decouverte d'une violation de donnees personnelles. La notification comprend :
- La nature de la violation
- Les categories et le nombre approximatif de personnes concernees
- Les consequences probables
- Les mesures prises ou envisagees
Le Responsable de traitement dispose ensuite de 48 heures supplementaires pour notifier la CNIL (total < 72 heures).
Article 5 — Transferts hors UE
Les transferts de donnees personnelles vers des pays tiers (Etats-Unis) sont encadres par :
- Les Clauses Contractuelles Types (Decision de la Commission 2021/914)
- Le chiffrement bout-en-bout des donnees
- L'anonymisation prealable des donnees de sante avant transfert IA
- L'absence de stockage de donnees de sante chez les fournisseurs d'IA
Article 6 — Droit applicable
Le present accord est soumis au droit francais et au RGPD. En cas de litige, les parties s'engagent a rechercher une solution amiable avant toute action judiciaire.
Signature electronique
L'acceptation du present DPA s'effectue electroniquement lors de l'onboarding du cabinet sur la Plateforme. L'horodatage et l'identite du signataire sont enregistres dans le journal d'audit.