← Retour
Contrat de sous-traitance — Article 28 RGPD
Accord de Traitement des Données (DPA)
Data Processing Agreement — Réactis / IFClubs SAS
Le Responsable du traitement
___________________________
Établissement : ___________________________
Adresse : ___________________________
Représenté par : ___________________________
En qualité de : ___________________________
Le Sous-traitant
IFClubs SAS
SIREN : [à compléter — en cours de création]
Adresse : [à compléter]
Email : contact@ifclubs.fr
En qualité de : Éditeur du logiciel Réactis
Le présent contrat est conclu conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD — UE 2016/679). Il encadre le traitement de données à caractère personnel effectué par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de l'utilisation du logiciel Réactis.
Objet et durée
Le Sous-traitant est autorisé à traiter, pour le compte du Responsable du traitement, les données à caractère personnel nécessaires au fonctionnement du logiciel Réactis, système de gestion de crise.
Le présent contrat prend effet à la date de signature et reste en vigueur pendant toute la durée de l'abonnement au logiciel Réactis. Il prend fin automatiquement à la résiliation de l'abonnement.
Nature des données traitées
| Catégorie | Données | Finalité | Durée de conservation |
|---|
| Membres de la cellule de crise | Nom d'affichage, adresse email | Coordination et notification | Durée d'activité du membre |
| Historique des crises | Horodatage, type, journal des décisions et actions | Traçabilité opérationnelle | 5 ans (configurable) |
| Logs d'envoi email | Adresses des destinataires, date, objet | Traçabilité des notifications | 5 ans |
| Session WhatsApp | Identifiant d'appareil lié au numéro de l'opérateur | Envoi d'alertes mobiles | Jusqu'à déconnexion |
| Connexions | Email, horodatage de première/dernière connexion | Suivi de présence lors des crises | Durée de la crise + 5 ans |
Données exclues : Aucune donnée nominative de patient, aucune donnée de santé au sens de l'article 9 RGPD ne doit être saisie dans Réactis. La responsabilité du Responsable du traitement est engagée si des données de santé sont insérées dans le journal de crise.
Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Traiter les données uniquement sur instruction documentée du Responsable du traitement et dans les seules finalités définies ci-dessus
- Garantir la confidentialité des données traitées — les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Mettre en œuvre des mesures de sécurité appropriées : chiffrement des communications (HTTPS/TLS), hashage des mots de passe (bcrypt), sauvegardes chiffrées quotidiennes (AES-256), hébergement sur serveur dédié en France (IONOS), accès restreint par authentification
- Ne pas recruter de sous-traitants ultérieurs sans en informer préalablement le Responsable du traitement (voir Article 5)
- Assister le Responsable du traitement dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité)
- Notifier toute violation de données dans les meilleurs délais au Responsable du traitement, qui se chargera de la notification à la CNIL dans le délai de 72h
- Supprimer ou restituer toutes les données à la fin du contrat selon les instructions du Responsable du traitement
- Mettre à disposition toutes les informations nécessaires pour démontrer le respect des présentes obligations et permettre la réalisation d'audits
Sous-traitants ultérieurs
Le Sous-traitant fait appel aux sous-traitants ultérieurs suivants pour l'exécution du service :
| Sous-traitant | Pays | Traitement effectué | Garanties |
|---|
| IONOS SE | France / UE | Hébergement serveur dédié | Hébergeur certifié ISO 27001, données en France |
| Groq, Inc. | États-Unis | IA — synthèse de crise (optionnel) | Politique de confidentialité Groq — désactivable |
| Anthropic, PBC | États-Unis | IA — rapport de crise (optionnel) | Politique de confidentialité Anthropic — désactivable |
| Meta (WhatsApp) | États-Unis | Alertes mobiles (optionnel) | CGU WhatsApp Business — désactivable |
Le Responsable du traitement est informé que les fonctionnalités IA (Groq, Anthropic) peuvent être désactivées intégralement depuis le panneau d'administration, auquel cas aucune donnée n'est transmise à ces sous-traitants. De même, WhatsApp peut être désactivé.
Droits d'audit
Le Responsable du traitement dispose d'un droit d'audit sur les traitements effectués par le Sous-traitant. Toute demande d'audit doit être formulée par email à contact@ifclubs.fr avec un préavis de 15 jours ouvrés. Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect de ses obligations.
Sort des données en fin de contrat
À la résiliation de l'abonnement :
- Les données sont conservées 90 jours calendaires après la date d'effet de la résiliation
- Le Responsable du traitement peut demander un export complet de ses données (format JSON) pendant ce délai via email
- Passé ce délai, toutes les données sont supprimées définitivement et de manière irréversible
- Le Sous-traitant confirme par email la suppression effective des données
Loi applicable
Le présent contrat est soumis au droit français. En cas de litige, les parties s'engagent à rechercher une solution amiable avant toute action judiciaire. À défaut, les tribunaux français seront seuls compétents.
Le Responsable du traitement
___________________________
Nom et qualité du signataire
Signature :
Date : _____ / _____ / _______
Cachet de l'établissement :
Le Sous-traitant
IFClubs SAS
Éditeur — IFClubs SAS / Réactis
Signature :
Date : _____ / _____ / _______