← Retour
Contrat de sous-traitance — Article 28 RGPD
Accord de Traitement des Données (DPA)
Data Processing Agreement — Réactis / IFClubs SAS
Le Responsable du traitement
___________________________
Établissement : ___________________________
Adresse : ___________________________
Représenté par : ___________________________
En qualité de : ___________________________
Le Sous-traitant
IFClubs SAS
SIREN :
Adresse :
Email : contact@ifclubs.fr
En qualité de : Éditeur du logiciel Réactis
Le présent contrat est conclu conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD — UE 2016/679). Il encadre le traitement de données à caractère personnel effectué par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de l'utilisation du logiciel Réactis.
Objet et durée
Le Sous-traitant est autorisé à traiter, pour le compte du Responsable du traitement, les données à caractère personnel nécessaires au fonctionnement du logiciel Réactis, système de gestion de crise.
Le présent contrat prend effet à la date de signature et reste en vigueur pendant toute la durée de l'abonnement au logiciel Réactis. Il prend fin automatiquement à la résiliation de l'abonnement.
Nature des données traitées
| Catégorie | Données | Finalité | Durée de conservation |
|---|
| Membres de la cellule de crise | Nom d'affichage, adresse email | Coordination et notification | Durée d'activité du membre |
| Historique des crises | Horodatage, type, journal des décisions et actions | Traçabilité opérationnelle | 5 ans (configurable) |
| Logs d'envoi email | Adresses des destinataires, date, objet | Traçabilité des notifications | 5 ans |
| Session WhatsApp | Identifiant d'appareil lié au numéro de l'opérateur | Envoi d'alertes mobiles | Jusqu'à déconnexion |
| Connexions | Email, horodatage de première/dernière connexion | Suivi de présence lors des crises | Durée de la crise + 5 ans |
Données exclues : Aucune donnée nominative de patient, aucune donnée de santé au sens de l'article 9 RGPD ne doit être saisie dans Réactis. La responsabilité du Responsable du traitement est engagée si des données de santé sont insérées dans le journal de crise.
Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Traiter les données uniquement sur instruction documentée du Responsable du traitement et dans les seules finalités définies ci-dessus
- Garantir la confidentialité des données traitées — les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Mettre en œuvre des mesures de sécurité appropriées : chiffrement des communications (HTTPS/TLS), hashage des mots de passe (bcrypt), sauvegardes chiffrées quotidiennes (AES-256), hébergement sur serveur dédié certifié HDS en France (OVH), accès restreint par authentification
- Ne pas recruter de sous-traitants ultérieurs sans en informer préalablement le Responsable du traitement (voir Article 5)
- Assister le Responsable du traitement dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité)
- Notifier toute violation de données dans les meilleurs délais au Responsable du traitement, qui se chargera de la notification à la CNIL dans le délai de 72h
- Supprimer ou restituer toutes les données à la fin du contrat selon les instructions du Responsable du traitement
- Mettre à disposition toutes les informations nécessaires pour démontrer le respect des présentes obligations et permettre la réalisation d'audits
Sous-traitants ultérieurs
Le Sous-traitant fait appel aux sous-traitants ultérieurs suivants pour l'exécution du service :
| Sous-traitant | Pays | Traitement effectué | Garanties |
|---|
| OVH SAS (production) | France / UE | Hébergement serveur dédié — environnement client | Certifié HDS (Hébergeur de Données de Santé), ISO 27001, données en France |
| IONOS SE (démonstration) | France / UE | Hébergement environnement de démonstration uniquement — aucune donnée client réelle | Certifié ISO 27001, données en France |
| Groq, Inc. | États-Unis | IA — synthèse temps réel (optionnel) | DPA disponible · CCT UE · données non utilisées pour entraînement · rétention 0 jour · désactivable |
| Anthropic, PBC | États-Unis | IA — rapport, RETEX, synthèse avancée (optionnel) | DPA disponible · CCT UE · données non utilisées pour entraînement sans consentement · rétention 30j logs · désactivable |
| Meta (WhatsApp) | États-Unis | Alertes mobiles (optionnel) | CGU WhatsApp Business — désactivable |
Fonctionnalités IA — principe de minimisation : Les fonctionnalités IA (Groq, Anthropic) peuvent être désactivées intégralement depuis le panneau d'administration, auquel cas aucune donnée n'est transmise à ces sous-traitants. Lorsqu'elles sont actives, seules les données strictement nécessaires à la génération de la réponse sont transmises — aucune donnée médicale nominative (numéro de dossier, nom de patient) ne doit figurer dans le journal de crise. Les deux fournisseurs s'engagent contractuellement à ne pas utiliser les données pour entraîner leurs modèles.
Droits d'audit
Le Responsable du traitement dispose d'un droit d'audit sur les traitements effectués par le Sous-traitant. Toute demande d'audit doit être formulée par email à contact@ifclubs.fr avec un préavis de 15 jours ouvrés. Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect de ses obligations.
Sort des données en fin de contrat
À la résiliation de l'abonnement :
- Les données sont conservées 90 jours calendaires après la date d'effet de la résiliation
- Le Responsable du traitement peut demander un export complet de ses données (format JSON) pendant ce délai via email à contact@ifclubs.fr
- La suppression définitive est effectuée manuellement par le Sous-traitant à l'issue de ce délai ou sur demande explicite du Responsable du traitement
- Le Sous-traitant confirme par email la suppression effective des données dans un délai de 15 jours ouvrés suivant la demande
Loi applicable
Le présent contrat est soumis au droit français. En cas de litige, les parties s'engagent à rechercher une solution amiable avant toute action judiciaire. À défaut, les tribunaux français seront seuls compétents.
Le Responsable du traitement
___________________________
Nom et qualité du signataire
Signature :
Date : _____ / _____ / _______
Cachet de l'établissement :
Le Sous-traitant
IFClubs SAS
Éditeur — IFClubs SAS / Réactis
Signature :
Date : _____ / _____ / _______