Accord de sous-traitance (DPA)
Annexe contractuelle aux CGV — version 19/05/2026
1. Préambule
Le présent accord (« DPA ») a pour objet d’encadrer le traitement de données personnelles, et en particulier de données de santé au sens de l’article 9 du RGPD, effectué par RM Technologies (ci-après le « Sous-traitant » ou « MedForm ») pour le compte du Client (ci-après le « Responsable de traitement »), dans le cadre de la fourniture du service MedForm.
Il est conclu en application de l’article 28 du Règlement (UE) 2016/679 (« RGPD ») et constitue un accord juridiquement contraignant entre les Parties.
2. Description du traitement
- Nature et finalité : collecte, transmission et restitution de réponses à des formulaires de pré-consultation médicale.
- Catégories de personnes concernées : patients du Client.
- Catégories de données : identité (nom, prénom, contact), données de santé telles que définies par le Client dans son formulaire (antécédents, symptômes, traitements en cours, etc.).
- Durée : pendant toute la durée du contrat principal, et au-delà uniquement pour les obligations de restitution / suppression.
3. Obligations du Sous-traitant
MedForm s’engage à :
- Traiter les données uniquement sur instruction documentée du Responsable de traitement.
- Garantir que les personnes autorisées à traiter les données sont soumises à la confidentialité.
- Mettre en œuvre les mesures techniques et organisationnelles décrites en section 6.
- Notifier au Responsable de traitement, sans délai injustifié et au plus tard sous 48h, toute violation de données dont il aurait connaissance.
- Assister le Responsable de traitement dans l’exercice des droits des personnes (accès, rectification, effacement, portabilité).
- Au choix du Responsable de traitement à la fin du contrat, restituer ou supprimer toutes les données et certifier la suppression.
- Mettre à la disposition du Responsable de traitement toutes informations nécessaires pour démontrer le respect du présent DPA, et permettre la réalisation d’audits raisonnables.
4. Sous-traitance ultérieure (sous-traitants de rang 2)
Le Responsable de traitement autorise MedForm à recourir aux sous-traitants suivants pour la fourniture du service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données + auth | UE (Paris, eu-west-3) |
| Cloudflare | Compute + stockage objet + cache | Mondial (PoP UE prioritaire) |
| Resend | Envoi d’emails transactionnels | UE (via Amazon SES) |
| Stripe | Paiement | UE (Irlande) |
| Anthropic | Génération IA de structures de formulaire | États-Unis (sous SCC et DPF) |
| Twilio (optionnel) | Envoi SMS patient | UE |
MedForm informera le Responsable de traitement de toute modification de la liste avec un préavis de 30 jours, permettant à ce dernier de s’y opposer pour motif légitime ; à défaut de solution alternative, le Responsable de traitement pourra résilier le contrat sans pénalité.
5. Transferts hors UE
Les données patients sont stockées en Union européenne. Les transferts vers les États-Unis (Anthropic) sont encadrés par les clauses contractuelles types (SCC)adoptées par la Commission européenne et, le cas échéant, par le Data Privacy Framework UE-USA.
6. Mesures techniques et organisationnelles
- Chiffrement TLS 1.2+ en transit, AES-256 au repos (base de données, stockage objet).
- Authentification renforcée des praticiens (magic link sans mot de passe, MFA optionnel).
- Cloisonnement strict par cabinet (Row-Level Security PostgreSQL appuyée sur l’id du cabinet, complétée d’un contrôle applicatif systématique).
- Chiffrement applicatif AES-256-GCM des informations d’authentification tierces (notamment identifiants Doctolib) avec clé maître non accessible aux opérateurs.
- Journalisation horodatée des accès et opérations sensibles, conservée 12 mois.
- Gestion stricte des secrets via le coffre-fort Cloudflare Workers Secrets, principe du moindre privilège, rotation périodique.
- Plan de réponse aux incidents documenté, exercices réguliers.
- Sauvegardes chiffrées quotidiennes, restauration testée.
7. Hébergement HDS (Hébergement de Données de Santé)
L’infrastructure actuelle de MedForm n’est pas certifiée HDS. À ce stade, le service est proposé en mode pilote ; il appartient au Responsable de traitement de s’assurer que l’usage est compatible avec sa propre conformité légale. Une migration vers un hébergeur certifié HDS est planifiée. Une fois cette migration effective, le présent DPA sera mis à jour.
8. Audits
Le Responsable de traitement peut, à ses frais et avec un préavis raisonnable de 30 jours, diligenter un audit annuel des mesures mises en œuvre par MedForm, par lui-même ou via un auditeur tiers indépendant. Les rapports d’audit standard (SOC, ISO) des sous-traitants de rang 2 sont mis à disposition sur demande.
9. Responsabilités et garanties
Chaque Partie est responsable du respect de ses propres obligations au titre du RGPD. La responsabilité du Sous-traitant ne peut être engagée que pour les manquements qui lui sont directement imputables. La limitation de responsabilité prévue aux CGV s’applique au présent DPA.
10. Durée et fin du DPA
Le présent DPA prend effet à la date d’acceptation des CGV et reste en vigueur pour toute la durée du traitement de données par MedForm pour le compte du Client. À la fin du contrat, MedForm restituera ou supprimera l’ensemble des données dans les conditions prévues à la section 3, et fournira une attestation de suppression sur demande.
11. Contact
Toute notification, exercice de droit ou demande d’information au titre du présent DPA doit être adressée à :
RM Technologies — MedForm
75 boulevard Charles de Gaulle, 95110 Sannois, France
privacy@promedform.com (DPO : dpo@promedform.com dès désignation)