a
M
Préjudices

Accueil

Médecin

Avocat

Tarifs

Demande de devis

Contactez-nous

Appelez-nous

Échange confidentiel, sans engagement

01 84 24 05 06

Contrat de Sous-Traitance (DPA)

Dernière mise à jour : 15/11/2025

Article 1 – Objet

Le présent Contrat de Sous-Traitance (« DPA ») encadre les traitements de données à caractère personnel réalisés par l’Association AIBC (« le Sous-Traitant ») pour le compte du professionnel inscrit au Service Prejudices.fr (« le Responsable du traitement »), conformément à l’article 28 du Règlement (UE) 2016/679 (« RGPD »).

Article 2 – Instructions

Le Sous-Traitant ne traite les données personnelles que sur instructions documentées du Responsable du traitement.

Ces instructions résultent :

  • du présent DPA ;
  • des actions effectuées dans le Service ;
  • des demandes écrites du Responsable du traitement.

En cas d’instruction manifestement contraire au RGPD, le Sous-Traitant en informe sans délai le Responsable du traitement.

Le Responsable du traitement déclare avoir déterminé la base légale applicable à chacun des traitements confiés au Sous-Traitant, conformément aux articles 6 et 9 du RGPD. Il en assume l’entière responsabilité.

Article 3 – Nature des opérations – Données concernées – Personnes visées

Le Sous-Traitant réalise pour le compte du Responsable du traitement :

  • la réception et l’hébergement sécurisé des dossiers ;
  • le traitement documentaire : tri, renommage, structuration et classement des pièces ;
  • la rédaction de documents préparatoires, notamment les pré-rapports d’expertise médicale et les pré-rapports de liquidation ;
  • la supervision humaine et le contrôle de cohérence ;
  • la mise à disposition des documents finalisés dans l’Espace Sécurisé de l’Utilisateur ;
  • la gestion du sort des données en fin de mission, selon les modalités définies à l’article 9 du présent contrat.

Les données concernées peuvent inclure :

  • données d’identification, administratives, financières ou juridiques,
  • données relatives à un accident, un dommage corporel ou à une procédure,
  • données de santé au sens de l’article 9 RGPD.

Les personnes concernées sont les clients ou patients du Responsable du traitement.

Article 4 – Obligations du Sous-Traitant

Le Sous-Traitant s’engage à :

4.1. Conformité

Traiter les données exclusivement pour les finalités définies au présent DPA et dans les limites des instructions du Responsable du traitement.

4.2. Confidentialité

Limiter l’accès aux données aux seules personnes habilitées et tenues à une obligation de confidentialité.

4.3. Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées, conformes au niveau d’exigence applicable aux données sensibles, comprenant notamment :

  • hébergement sur infrastructures certifiées HDS ;
  • contrôle strict des accès ;
  • chiffrement des données ;
  • journalisation des opérations ;
  • gestion des incidents.

4.4. Assistance

Le Sous-Traitant assiste le Responsable du traitement, dans la mesure de ce qui est raisonnablement nécessaire,
afin de lui permettre de respecter ses obligations au titre du RGPD, notamment pour :

  • répondre aux demandes d’exercice des droits des personnes concernées ;
  • fournir les informations nécessaires à la réalisation d’une analyse d’impact relative à la protection des données (AIPD), lorsque celle-ci est requise par la réglementation ;
  • gérer et notifier tout incident de sécurité impliquant des données personnelles.

4.5. Sort des données

Supprimer ou restituer les données au terme de la relation contractuelle conformément à l’article 9 du présent DPA.

Article 5 – Sous-traitants ultérieurs

Le Sous-Traitant peut recourir à des sous-traitants ultérieurs pour l’exécution du Service, dans le respect des exigences du RGPD.

Les sous-traitants intervenant sur l’hébergement et la conservation des dossiers médicaux et juridiques sont strictement limités à :

  • OVH SAS (France) – Hébergement sur des infrastructures certifiées HDS.

Les sous-traitants intervenant sur des données techniques, administratives ou sur la rédaction des rapports, sans assurer l’hébergement principal ni la conservation des dossiers médicaux ou juridiques, sont notamment :

  • Microsoft (outils bureautiques et collaboratifs, notamment pour la rédaction des rapports),
  • Odoo (CRM et gestion de la relation client),
  • Mailgun (emails transactionnels),
  • SendGrid (emailing professionnel),
  • Stripe Payments Europe (paiement et facturation).

L’utilisation de ces outils n’emporte aucun transfert de l’hébergement des dossiers médicaux ou juridiques hors de France.

Le Responsable du traitement est réputé accepter le recours à ces sous-traitants ultérieurs du seul fait de l’utilisation du Service, conformément à l’article 28 du RGPD.

Les outils de communication suivants peuvent être utilisés exclusivement pour la gestion des rendez-vous, des demandes administratives, du support ou du service après-vente :

  • WhatsApp Ireland Limited (communications téléphoniques et messagerie),
  • Cal.com, Inc. (gestion de rendez-vous).

Ces outils sont utilisés uniquement pour le traitement de données de contact ou d’organisation (identité, coordonnées professionnelles, créneaux de rendez-vous).

Ils ne sont en aucun cas destinés à la transmission ou au traitement de données issues des dossiers médicaux ou juridiques.

Le Responsable du traitement s’engage à ne transmettre aucune donnée médicale ou information sensible par l’intermédiaire de ces canaux.

Article 6 – Localisation des traitements – Transferts

6.1. Données des dossiers médicaux et juridiques

Les données issues des dossiers médicaux et juridiques sont intégralement traitées et hébergées sur des infrastructures situées en France.

Aucun transfert hors de l’Union européenne n’est effectué pour ces données.

Ces données ne sont accessibles qu’au travers de la plateforme sécurisée dédiée au Service.

6.2. Données de gestion, de relation client et de communication

Les données relatives à la gestion administrative, à la relation client, à la facturation, aux outils collaboratifs et aux communications électroniques (notamment données CRM, données de facturation, données d’emailing et documents de travail non médicaux) sont traitées principalement au sein de l’Union européenne par des sous-traitants sélectionnés.

Lorsque cela est possible, les services sont configurés afin de privilégier des infrastructures situées dans l’Union européenne.

Certains outils de communication ou de planification (notamment WhatsApp Ireland Limited et Cal.com, Inc.) peuvent impliquer des transferts de données vers des pays tiers, y compris les États-Unis, pour des données strictement limitées à l’organisation des rendez-vous, aux demandes administratives ou au support.

Ces transferts sont encadrés par les garanties appropriées prévues par le RGPD, notamment les Clauses Contractuelles Types adoptées par la Commission européenne ou tout autre mécanisme reconnu comme adéquat.

Aucune donnée issue des dossiers médicaux ou juridiques n’est transmise via ces outils.

6.3. Métadonnées techniques

Certaines métadonnées techniques strictement nécessaires au fonctionnement, à la sécurité ou à l’assistance des services (journaux de connexion, identifiants techniques, données de diagnostic) peuvent faire l’objet de transferts en dehors de l’Union européenne.

Ces transferts sont dûment encadrés par les garanties prévues par le RGPD.

Aucun de ces flux ne concerne les données des dossiers médicaux ou juridiques.

Article 7 – Notification des violations

Le Sous-Traitant notifie au Responsable du traitement toute violation de données dans les meilleurs délais après en avoir eu connaissance et communique les informations nécessaires à l’accomplissement des obligations légales du Responsable du traitement.

Article 8 – Audit

Le Responsable du traitement peut réaliser un audit limité visant à vérifier le respect du présent DPA, dans les conditions suivantes :

  • un audit par période de douze mois, sauf incident avéré ;
  • préavis raisonnable ;
  • audit réalisé principalement par examen documentaire ;
  • absence d’interruption excessive du Service.

Article 9 – Fin du traitement – Sort des données

Les données sont conservées pendant la durée nécessaire à l’exécution de la mission.

À l’issue de la prestation, et en l’absence d’instruction contraire du Responsable du traitement, les données peuvent être conservées pour une durée maximale de douze (12) mois à compter de la dernière connexion à la plateforme.

Trente (30) jours avant l’échéance de cette période, un courrier électronique d’information est adressé au Responsable du traitement.

À défaut d’instruction contraire ou de souscription à une prestation d’hébergement sécurisé, les données sont supprimées de manière définitive selon des procédés garantissant leur impossibilité de récupération.

Le Sous-Traitant peut conserver les données strictement nécessaires au respect de ses obligations légales, notamment en matière de journalisation et de traçabilité.

Article 10 – Responsabilités

Chaque partie demeure responsable des obligations qui lui incombent au titre du RGPD.

Le Sous-Traitant ne peut être tenu responsable :
a) du contenu des données fournies par le Responsable du traitement ;
b) de l’absence ou de l’inadéquation de la base légale invoquée par le Responsable du traitement ;
c) de l’usage fait par le Responsable du traitement des documents préparatoires ;
d) des dommages indirects, immatériels ou consécutifs, notamment la perte de chance, la perte de revenus, la perte de clientèle, la perte financière, le préjudice moral ou l’atteinte à la réputation.

Le Responsable du traitement s’engage à informer le Sous-Traitant de toute modification affectant la base légale des traitements confiés.

Article 11 – Durée

Le présent DPA demeure en vigueur pendant toute la durée d’utilisation du Service par le Responsable du traitement et cesse automatiquement à la suppression ou résiliation du compte, quelle qu’en soit la cause.

Les obligations du Sous-Traitant relatives au sort des données, définies à l’article 9 du présent DPA, survivent à la cessation du contrat.

Article 12 – Modification du DPA

Le Sous-Traitant peut modifier le présent DPA dans les conditions définies à l’article 13 des Conditions Générales d’Utilisation, auquel le Responsable du traitement est invité à se référer pour les modalités de notification, la définition des modifications substantielles et les voies de recours.

En cas de désaccord avec une modification substantielle, le Responsable du traitement peut en outre demander la restitution ou la suppression de ses données conformément à l’article 9 du présent DPA.

Article 13 – Loi applicable – Juridiction

Le DPA est soumis au droit français.

Tout différend relatif à son exécution relève de la compétence exclusive des juridictions du ressort de Paris.