Contrat de Sous-Traitance (DPA)

Dernière mise à jour : 30/05/2025

Article 1 – Objet

Le présent Contrat de Sous-Traitance (« DPA ») encadre les traitements de données à caractère personnel réalisés par l’Association AIBC (« le Sous-Traitant ») pour le compte du professionnel inscrit au Service Prejudices.fr (« le Responsable du traitement »), conformément à l’article 28 du Règlement (UE) 2016/679 (« RGPD »).

Article 2 – Instructions

Le Sous-Traitant ne traite les données personnelles que sur instructions documentées du Responsable du traitement.

Ces instructions résultent :

  • du présent DPA ;
  • des actions effectuées dans le Service ;
  • des demandes écrites du Responsable du traitement.

En cas d’instruction manifestement contraire au RGPD, le Sous-Traitant en informe sans délai le Responsable du traitement.

Article 3 – Nature des opérations – Données concernées – Personnes visées

Le Sous-Traitant réalise pour le compte du Responsable du traitement :

  • la réception et l’hébergement sécurisé des dossiers ;
  • l’organisation documentaire (tri, renommage, structuration) ;
  • la rédaction de documents préparatoires à partir des éléments transmis ;
  • la mise à disposition des documents rédigés dans un espace sécurisé ;
  • la suppression ou restitution en fin de mission.

Les données concernées peuvent inclure :

  • données d’identification, administratives, financières ou juridiques,
  • données relatives à un accident, un dommage corporel ou à une procédure,
  • données de santé au sens de l’article 9 RGPD.

Les personnes concernées sont les clients ou patients du Responsable du traitement.

Article 4 – Obligations du Sous-Traitant

Le Sous-Traitant s’engage à :

4.1. Conformité

Traiter les données exclusivement pour les finalités définies au présent DPA et dans les limites des instructions du Responsable du traitement.

4.2. Confidentialité

Limiter l’accès aux données aux seules personnes habilitées et tenues à une obligation de confidentialité.

4.3. Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées, conformes au niveau d’exigence applicable aux données sensibles, comprenant notamment :

  • hébergement sur infrastructures certifiées HDS ;
  • contrôle strict des accès ;
  • chiffrement des données ;
  • journalisation des opérations ;
  • gestion des incidents.

4.4. Assistance

Le Sous-Traitant assiste le Responsable du traitement, dans la mesure de ce qui est raisonnablement nécessaire,
afin de lui permettre de respecter ses obligations au titre du RGPD, notamment pour :

  • répondre aux demandes d’exercice des droits des personnes concernées ;
  • fournir les informations nécessaires à la réalisation d’une analyse d’impact relative à la protection des données (AIPD), lorsque celle-ci est requise par la réglementation ;
  • gérer et notifier tout incident de sécurité impliquant des données personnelles.

4.5. Sort des données

Supprimer ou restituer les données au terme de la relation contractuelle conformément à l’article 9 du présent DPA.

Article 5 – Sous-traitants ultérieurs

Le Sous-Traitant peut recourir à des sous-traitants ultérieurs pour l’exécution du Service, dans le respect des exigences du RGPD.

Les sous-traitants intervenant sur l’hébergement et la conservation des dossiers médicaux et juridiques sont strictement limités à :

  • OVH SAS (France) – Hébergement sur des infrastructures certifiées HDS.

Les sous-traitants intervenant sur des données techniques, administratives ou sur la rédaction des rapports, sans assurer l’hébergement principal ni la conservation des dossiers médicaux ou juridiques, sont notamment :

  • Microsoft (outils bureautiques et collaboratifs, notamment pour la rédaction des rapports),
  • Odoo (CRM et gestion de la relation client),
  • Mailgun (emails transactionnels),
  • SendGrid (emailing professionnel),
  • Stripe Payments Europe (paiement et facturation).

L’utilisation de ces outils n’emporte aucun transfert de l’hébergement des dossiers médicaux ou juridiques hors de France.

Le Responsable du traitement est réputé accepter le recours à ces sous-traitants ultérieurs du seul fait de l’utilisation du Service, conformément à l’article 28 du RGPD.

Article 6 – Localisation des traitements – Transferts

6.1. Données des dossiers médicaux et juridiques

Les données issues des dossiers médicaux et juridiques sont intégralement traitées et hébergées sur des infrastructures situées en France.

Aucun transfert hors de l’Union européenne n’est effectué pour ces données.

6.2. Données de gestion, de relation client et de communication

Les données relatives à la gestion administrative, à la relation client, à la facturation, aux outils collaboratifs et aux communications électroniques (notamment données CRM, données de facturation, données d’emailing et documents de travail) sont traitées principalement au sein de l’Union européenne par des sous-traitants sélectionnés.

Lorsque cela est possible, les services sont configurés afin de privilégier des infrastructures situées dans l’Union européenne. Certaines opérations accessoires (support, maintenance, sécurité) peuvent toutefois impliquer un accès ou un traitement ponctuel depuis des pays tiers, dans le respect des garanties prévues par le RGPD.

6.3. Métadonnées techniques

Certaines métadonnées techniques strictement nécessaires au fonctionnement, à la sécurité ou à l’assistance des services peuvent faire l’objet de transferts en dehors de l’Union européenne.

Ces transferts sont dûment encadrés par les garanties prévues par le RGPD, notamment les Clauses Contractuelles Types adoptées par la Commission européenne.

Aucun de ces flux ne concerne les données des dossiers médicaux ou juridiques.

Article 7 – Notification des violations

Le Sous-Traitant notifie au Responsable du traitement toute violation de données dans les meilleurs délais après en avoir eu connaissance et communique les informations nécessaires à l’accomplissement des obligations légales du Responsable du traitement.

Article 8 – Audit

Le Responsable du traitement peut réaliser un audit limité visant à vérifier le respect du présent DPA, dans les conditions suivantes :

  • un audit par période de douze mois, sauf incident avéré ;
  • préavis raisonnable ;
  • audit réalisé principalement par examen documentaire ;
  • absence d’interruption excessive du Service.

Article 9 – Fin du traitement – Sort des données

À l’issue de la relation contractuelle ou à première demande du Responsable du traitement :

  • les données sont restituées ou supprimées selon les instructions reçues ;
  • les opérations de suppression sont réalisées selon des procédés garantissant l’impossibilité de récupération ;
  • le Sous-Traitant peut conserver les données strictement nécessaires au respect de ses obligations légales (ex. journalisation).

Article 10 – Responsabilités

Chaque partie demeure responsable des obligations qui lui incombent au titre du RGPD.

Le Sous-Traitant ne peut être tenu responsable :

  • du contenu des données fournies ;
  • de l’absence de base légale du Responsable du traitement ;
  • de l’usage fait par ce dernier des documents générés ;
  • des dommages indirects.

Article 11 – Durée

Le présent DPA demeure en vigueur pendant toute la durée d’utilisation du Service par le Responsable du traitement et cesse automatiquement à la suppression ou résiliation du compte.

Article 12 – Loi applicable – Juridiction

Le DPA est soumis au droit français.

Tout différend relatif à son exécution relève de la compétence exclusive des juridictions du ressort de Paris.