Accord de traitement des données personnelles (DPA)
En vigueur au 15 mars 2026 — Addendum relatif à la protection des données au titre de l'article 28 du RGPD
Article 1 — Parties
Responsable de traitement (« Client ») : l'établissement de santé signataire des CGV du Service DeGarde.
Sous-traitant (« Prestataire ») : Clément Tardy, entrepreneur individuel, 16 rue de Soissons, 17000 La Rochelle, SIRET 913 213 682 00028, contact@degarde.co.
Le présent DPA fait partie intégrante des CGV et prévaut en cas de contradiction sur les sujets de protection des données.
Article 2 — Objet
Le présent DPA définit les conditions dans lesquelles le Prestataire traite des données personnelles pour le compte du Client, dans le cadre du Service DeGarde (planification de gardes médicales en mode SaaS), conformément au RGPD et à la loi Informatique et Libertés.
Article 3 — Description du traitement
| Élément | Description |
|---|---|
| Nature | Collecte, stockage, organisation, consultation, génération de plannings, notifications, export |
| Finalité | Organiser le planning de gardes et postes du service médical du Client |
| Durée | Durée de l'Abonnement + 30 jours (réversibilité) |
| Personnes concernées | Médecins, internes, praticiens hospitaliers du service du Client |
Article 4 — Catégories de données traitées
| Catégorie | Données |
|---|---|
| Identité professionnelle | Nom, prénom, initiales |
| Contact professionnel | Adresse email professionnelle |
| Organisation du travail | Quotité, disponibilités, spécialités |
| Désidérata | Disponibilités et préférences par période |
| Plannings | Affectations à des postes et gardes |
| Authentification | Code PIN (hashé uniquement) |
| Données techniques | Journaux de connexion, adresses IP |
Aucune donnée de santé de patient (article 9 du RGPD) n'est traitée.
Article 5 — Obligations du Prestataire
5.1 Instructions du Client
Traiter les données uniquement sur instruction documentée du Client. Les CGV et le présent DPA constituent les instructions initiales. Si une instruction constitue une violation du RGPD, le Prestataire en informe immédiatement le Client.
5.2 Confidentialité
Les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité. À ce jour, seul Clément Tardy a accès aux données de production.
5.3 Sécurité
Mesures techniques et organisationnelles conformes à l'article 32 du RGPD (détaillées à l'Article 8 ci-dessous).
5.4 Assistance au Client
- Réponse aux demandes d'exercice de droits : 10 jours ouvrés
- Assistance pour les obligations articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact)
5.5 Restitution et suppression
À la fin de la prestation, selon le choix du Client :
- Restitution des données (CSV, JSON, Excel) — délai : 15 jours
- Suppression des données et copies — délai : 30 jours
- Attestation de suppression sur demande
5.6 Audit
Le Prestataire met à disposition les informations nécessaires pour démontrer le respect du DPA et autorise les audits du Client :
- Préavis de 15 jours ouvrés
- Pendant les heures ouvrées, sans perturber le Service
- Aux frais du Client (sauf si l'audit révèle un manquement)
- Maximum une fois par an, sauf incident de sécurité
Article 6 — Obligations du Client
Le Client, responsable de traitement, s'engage à :
- S'assurer de la licéité du traitement et du respect du RGPD
- Informer les Utilisateurs du traitement de leurs données (articles 13 et 14 du RGPD)
- Ne fournir que des instructions conformes au RGPD
- Ne pas saisir de données de santé de patients
Article 7 — Sous-traitants ultérieurs
7.1 Liste
| Sous-traitant | Fonction | Localisation | DPA |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification | UE (Irlande) | supabase.com/legal/dpa |
| Vercel Inc. | Hébergement frontend | États-Unis (Edge EU) | vercel.com/legal/dpa |
| Railway Corp. | API de calcul | UE | railway.com/legal/dpa |
| Resend Inc. | Emails transactionnels | États-Unis | resend.com/legal/dpa |
| Stripe Inc. | Paiement en ligne | États-Unis / UE | stripe.com/fr/legal/dpa |
7.2 Garanties
Chaque sous-traitant ultérieur est lié par un contrat imposant les mêmes obligations. Le Prestataire reste pleinement responsable de l'exécution de leurs obligations.
7.3 Changement
Préavis de 30 jours par email. Le Client dispose d'un droit d'opposition motivée (15 jours). À défaut d'accord, résiliation possible sans pénalité.
Article 8 — Mesures de sécurité
Chiffrement
| Type | Mesure |
|---|---|
| En transit | TLS 1.2 ou supérieur (HTTPS) |
| Au repos | AES-256 (via Supabase / AWS) |
Contrôle d'accès
- Row Level Security (RLS) PostgreSQL : isolation des données par Client
- PIN hashés avec salage
- Accès de production restreint au Prestataire uniquement
- Principe du moindre privilège
Sauvegardes
- Quotidiennes, rétention de 7 jours (Supabase)
- Restauration ponctuelle possible (point-in-time recovery)
Sécurité applicative
- Mises à jour de sécurité régulières
- Protection contre injections SQL et XSS
- Secrets en variables d'environnement (jamais en clair)
- Code source privé, déploiements automatisés via CI/CD
Article 9 — Notification des violations
En cas de violation de données, le Prestataire notifie le Client dans les 72 heures avec :
- La nature de la violation
- Les catégories et le nombre de personnes et d'enregistrements concernés
- Les conséquences probables
- Les mesures prises ou à prendre
Le Prestataire coopère pour la documentation, la notification à la CNIL (article 33) et la communication aux personnes concernées (article 34).
Article 10 — Transferts internationaux
Données hébergées en UE (Irlande). Transferts vers les États-Unis encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne et des mesures complémentaires (TLS 1.2+, AES-256).
En cas d'invalidation des garanties, le Prestataire informe le Client et recherche une solution alternative (migration EU, mesures supplémentaires).
Article 11 — Analyse d'impact (AIPD)
Si le Client considère qu'une AIPD est nécessaire (article 35 du RGPD), le Prestataire fournit les informations raisonnablement nécessaires. Le traitement via DeGarde (données organisationnelles, pas de données sensibles) ne figure pas dans la liste CNIL des traitements nécessitant une AIPD.
Article 12 — Durée
Le DPA est en vigueur pendant toute la durée de l'Abonnement et la période de réversibilité (30 jours). Les obligations de confidentialité survivent 3 ans après la fin du DPA.
Article 13 — Droit applicable
Droit français. Tribunal de commerce de La Rochelle.
Annexe — Registre des traitements (sous-traitant)
Conformément à l'article 30.2 du RGPD
| Champ | Détail |
|---|---|
| Sous-traitant | Clément Tardy (DeGarde) |
| Coordonnées | 16 rue de Soissons, 17000 La Rochelle — contact@degarde.co |
| Traitements | Planification de gardes (désidérata, génération, notifications, statistiques, export) |
| Données | Identité pro, contact, organisation, désidérata, plannings, PIN hashé, logs |
| Personnes | Médecins, internes, praticiens hospitaliers |
| Transferts hors UE | Vercel (US, SCC), Resend (US, SCC), Stripe (US/EU, SCC) |
| Sécurité | TLS 1.2+, AES-256, RLS, PIN hashés, sauvegardes quotidiennes |
| Sous-traitants ultérieurs | Supabase (UE), Vercel (US), Railway (UE), Resend (US), Stripe (US/EU) |