Contrat de Sous-Traitance (DPA)

Dernière mise à jour : 31/10/2025

1. Objet

Le présent Contrat de Sous-Traitance (« DPA ») encadre les traitements de données à caractère personnel réalisés par l’Association AIBC (« le Sous-Traitant ») pour le compte du professionnel inscrit au Service Prejudices.fr (« le Responsable du traitement »), conformément à l’article 28 du Règlement (UE) 2016/679 (« RGPD »).

2. Instructions

Le Sous-Traitant ne traite les données personnelles que sur instructions documentées du Responsable du traitement.

Ces instructions résultent :

  • du présent DPA,
  • des actions effectuées dans le Service,
  • des demandes écrites du Responsable du traitement.

En cas d’instruction manifestement contraire au RGPD, le Sous-Traitant en informe sans délai le Responsable du traitement.

3. Nature des opérations – Données concernées – Personnes visées

Le Sous-Traitant réalise pour le compte du Responsable du traitement :

  • la réception et l’hébergement sécurisé des dossiers ;
  • l’organisation documentaire (tri, renommage, structuration) ;
  • la génération de documents préparatoires à partir des éléments transmis ;
  • la mise à disposition des documents générés dans un espace sécurisé ;
  • la suppression ou restitution en fin de mission.

Les données concernées peuvent inclure :

  • données d’identification, administratives, financières ou juridiques,
  • données relatives à un accident, un dommage corporel ou à une procédure,
  • données de santé au sens de l’article 9 RGPD.

Les personnes concernées sont les clients ou patients du Responsable du traitement.

4. Obligations du Sous-Traitant

Le Sous-Traitant s’engage à :

4.1. Conformité

Traiter les données exclusivement pour les finalités définies au présent DPA et dans les limites des instructions du Responsable du traitement.

4.2. Confidentialité

Limiter l’accès aux données aux seules personnes habilitées et tenues à une obligation de confidentialité.

4.3. Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées, conformes au niveau d’exigence applicable aux données sensibles, comprenant notamment :

  • hébergement sur infrastructures certifiées HDS et SecNumCloud ;
  • contrôle strict des accès ;
  • chiffrement des données ;
  • journalisation des opérations ;
  • gestion des incidents.

4.4. Assistance

Assister le Responsable du traitement, dans la mesure de ce qui est raisonnable, pour :

  • répondre aux demandes d’exercice des droits ;
  • réaliser une analyse d’impact (AIPD) lorsque requise ;
  • gérer tout incident de sécurité impliquant des données.

4.5. Sort des données

Supprimer ou restituer les données au terme de la relation contractuelle conformément à l’article 9 du présent DPA.

5. Sous-traitants ultérieurs

Le Sous-Traitant peut recourir à des sous-traitants ultérieurs pour l’exécution du Service.

Les sous-traitants intervenant sur les dossiers médicaux et juridiques sont limités à :

  • OVH SAS (France) – Hébergement certifié HDS / SecNumCloud.

Les sous-traitants intervenant sur des données techniques ou administratives, n’ayant jamais accès aux dossiers, sont notamment :

  • Mailgun (emails transactionnels),
  • SendGrid (emailing professionnel),
  • SuiteDash (CRM),
  • Stripe Payments Europe (paiement).

Lorsque ces prestataires opèrent hors de l’Union européenne, les transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne.

Le Responsable du traitement est réputé accepter le recours à ces sous-traitants du simple fait de l’utilisation du Service.

6. Localisation des traitements – Transferts

6.1. Données des dossiers médicaux / juridiques

Ces données sont intégralement traitées et hébergées sur des infrastructures situées en France.

Aucun transfert hors de l’Union européenne n’est effectué.

6.2. Métadonnées techniques

Certains flux techniques (ex. emails, données de connexion ou CRM) peuvent faire l’objet de transferts en dehors de l’Union européenne, dûment encadrés par les garanties prévues par le RGPD.

Aucun de ces flux ne concerne les données des dossiers.

7. Notification des violations

Le Sous-Traitant notifie au Responsable du traitement toute violation de données dans les meilleurs délais après en avoir eu connaissance et communique les informations nécessaires à l’accomplissement des obligations légales du Responsable du traitement.

8. Audit

Le Responsable du traitement peut réaliser un audit limité visant à vérifier le respect du présent DPA, dans les conditions suivantes :

  • un audit par période de douze mois, sauf incident avéré ;
  • préavis raisonnable ;
  • audit réalisé principalement par examen documentaire ;
  • absence d’interruption excessive du Service.

9. Fin du traitement – Sort des données

À l’issue de la relation contractuelle ou à première demande du Responsable du traitement :

  • les données sont restituées ou supprimées selon les instructions reçues ;
  • les opérations de suppression sont réalisées selon des procédés garantissant l’impossibilité de récupération ;
  • le Sous-Traitant peut conserver les données strictement nécessaires au respect de ses obligations légales (ex. journalisation).

10. Responsabilités

Chaque partie demeure responsable des obligations qui lui incombent au titre du RGPD.

Le Sous-Traitant ne peut être tenu responsable :

  • du contenu des données fournies ;
  • de l’absence de base légale du Responsable du traitement ;
  • de l’usage fait par ce dernier des documents générés ;
  • des dommages indirects.

11. Durée

Le présent DPA demeure en vigueur pendant toute la durée d’utilisation du Service par le Responsable du traitement et cesse automatiquement à la suppression ou résiliation du compte.

12. Loi applicable – Juridiction

Le DPA est soumis au droit français.

Tout différend relatif à son exécution relève de la compétence exclusive des juridictions du ressort de Paris.