Contrat de sous-traitance (DPA)
Dernière mise à jour : Version 2026-05
Le présent accord de traitement des données (« DPA», Data Processing Agreement) encadre, conformément à l'article 28 du RGPD(Règlement UE 2016/679), le traitement des données personnelles effectué par VetiA pour le compte du cabinet vétérinaire utilisateur. Il complète les Conditions Générales d'Utilisation et la Politique de confidentialité.
1. Parties
- Le Responsable de traitement : le cabinet vétérinaire utilisateur du Service (ci-après « le Cabinet »), identifié par son compte (dénomination, SIREN, représentant).
- Le Sous-traitant : VetiA SAS [forme sociale, capital, RCS, siège à compléter], éditeur du Service VetiA (ci-après « VetiA »).
2. Objet, nature et finalité du traitement
VetiA traite les données personnelles uniquement pour fournir le Service d'assistance clinique vétérinaire : saisie et conservation des dossiers, génération assistée par IA (diagnostic, traitement, posologie, comptes-rendus, fiches client), partage sécurisé avec les propriétaires via le portail Family. Le détail figure en Annexe 1.
3. Durée
Le présent DPA s'applique pendant toute la durée d'utilisation du Service par le Cabinet. Les obligations relatives à la confidentialité et au sort des données survivent à la fin du contrat.
4. Obligations de VetiA (sous-traitant)
Conformément à l'article 28.3 du RGPD, VetiA s'engage à :
- (a) Instructions documentées: ne traiter les données que sur instruction documentée du Cabinet (le présent DPA et l'usage du Service valant instructions), y compris pour les transferts hors UE encadrés en Annexe 3.
- (b) Confidentialité : garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- (c) Sécurité (art. 32) : mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 2.
- (d) Sous-traitance ultérieure: ne recourir qu'aux sous-traitants listés en Annexe 3, en leur imposant par contrat les mêmes obligations de protection, et informer le Cabinet de tout ajout ou remplacement (droit d'opposition).
- (e) Droits des personnes: aider le Cabinet à répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition) via les fonctions d'export et d'effacement intégrées au Service.
- (f) Concours sécurité: assister le Cabinet pour le respect des articles 32 à 36 (sécurité, notification de violation, analyses d'impact).
- (g) Sort des données: au terme de la prestation, supprimer ou restituer les données au choix du Cabinet (sauf conservation imposée par la loi), via les fonctions d'export et d'effacement.
- (h) Audit : mettre à disposition les informations nécessaires pour démontrer la conformité et permettre des audits raisonnables.
5. Violation de données
VetiA notifie le Cabinet dans les meilleurs délais, et au plus tard 48 heures après en avoir pris connaissance, de toute violation de données affectant les données du Cabinet, avec les éléments permettant au Cabinet de notifier la CNIL dans les 72 heures (art. 33 RGPD).
6. Obligations du Cabinet (responsable)
- Disposer d'une base légale pour les traitements qu'il confie.
- Informer ses clients (propriétaires) du traitement de leurs données.
- Ne saisir que des données pertinentes et exactes (minimisation).
- Définir les durées de conservation applicables à ses dossiers.
Annexe 1 — Description du traitement
- Catégories de personnes : propriétaires d'animaux (clients du Cabinet), vétérinaires utilisateurs.
- Catégories de données : identité et coordonnées des propriétaires (nom, adresse, téléphone, email) ; données des animaux (identité, espèce, race, antécédents, consultations, examens, prescriptions) ; données de compte et de connexion des vétérinaires.
- Données sensibles (art. 9) : aucune en principe (la santé animale n'est pas une donnée de santé au sens du RGPD).
- Opérations : collecte, enregistrement, organisation, conservation, consultation, génération assistée par IA, partage avec le propriétaire, export, effacement.
Annexe 2 — Mesures techniques et organisationnelles de sécurité
- Chiffrement en transit (TLS) et au repos (base de données et stockage).
- Cloisonnement multi-cabinet par Row Level Security (RLS) PostgreSQL : chaque cabinet n'accède qu'à ses propres données.
- Authentification par mot de passe + double authentification (2FA/TOTP) activable.
- Journalisation des évènements de sécurité et de partage.
- Politique zero-data-retention auprès du fournisseur d'IA (aucune réutilisation des données pour l'entraînement).
- Sauvegardes régulières et gestion des habilitations au moindre privilège.
- Supervision technique et détection d'incident (avec suppression des données personnelles avant transmission au superviseur).
Annexe 3 — Sous-traitants ultérieurs autorisés
Le Cabinet autorise VetiA à recourir aux sous-traitants ultérieurs suivants. VetiA informera le Cabinet de tout ajout ou remplacement.
| Sous-traitant | Rôle | Localisation / transfert |
|---|---|---|
| Supabase Inc. | Base de données + stockage de fichiers | UE (Frankfurt). Chiffrement repos + transit. |
| Vercel Inc. | Hébergement de l'application web | Régions UE. CCT pour tout flux hors UE. |
| Anthropic PBC | Modèle d'IA (Claude) | USA. Clauses Contractuelles Types (CCT 2021) + zero-data-retention. |
| Resend | Emails transactionnels | Adresses email uniquement. CCT pour flux hors UE. |
| Sentry | Supervision technique / erreurs | Données personnelles supprimées avant envoi (cookies, IP, email, en-têtes). |
Acceptation: l'administrateur du Cabinet accepte le présent DPA depuis Réglages → « Contrat de sous-traitance (DPA) ». L'acceptation est horodatée et conservée comme preuve. Une version signée manuscrite reste disponible sur demande à sebastien.maira@gmail.com.