RGPD & Data Processing Agreement
Dernière mise à jour : À compléter (date après signature DPO/avocat)
Cette page synthétise l'architecture RGPD de VetiA pour permettre aux cabinets vétérinaires utilisateurs de documenter leur conformité sans friction. Si vous êtes vétérinaire et que vous avez besoin d'une version signée du Data Processing Agreement (DPA), vous trouverez la marche à suivre en bas de page.
1. Qui est responsable de quoi ?
| Acteur | Rôle RGPD | Sur quelles données |
|---|---|---|
| Cabinet vétérinaire | Responsable de traitement | Données clients (propriétaires) + données patients (animaux) |
| VetiA SAS | Sous-traitant (article 28 RGPD) | Mêmes données, traitées pour le compte du cabinet |
| Supabase Inc. | Sous-traitant ultérieur | Hébergement BD + stockage fichiers (région Frankfurt, UE) |
| Vercel Inc. | Sous-traitant ultérieur | Hébergement de l'application web (régions UE) |
| Anthropic PBC | Sous-traitant ultérieur | Inférence IA (Claude). Zero-data-retention activée. |
2. Mesures de sécurité techniques
- Chiffrement TLS 1.3 pour tout transit réseau
- Chiffrement AES-256 au repos (Supabase Storage + Postgres)
- Row Level Security PostgreSQL : cloisonnement strict par cabinet
- Authentification Supabase Auth + 2FA disponible
- Logs d'accès et de modification (audit trail)
- Backups automatiques quotidiens, rétention 7 jours minimum
- Audits réguliers des dépendances (Dependabot)
- Headers de sécurité HTTP (HSTS, X-Frame-Options, CSP)
3. Localisation des données
Toutes les données structurées (dossiers patients, ordonnances, comptes-rendus) sont stockées dans l'Union européenne (Frankfurt, Allemagne) chez Supabase.
Les requêtes d'inférence vers Claude (Anthropic) peuvent transiter par les États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT / SCC 2021)de la Commission européenne, intégrées au Data Processing Agreement d'Anthropic. La politique zero-data-retention d'Anthropic garantit que vos données ne servent pas à entraîner les modèles ni ne sont conservées au-delà du traitement de la requête.
4. Durées de conservation
Les durées indicatives appliquées (à confirmer par chaque cabinet selon ses obligations propres) :
- Dossiers médicaux et comptes-rendus : durée de la relation de soin, puis archivage 5 ans après la dernière consultation.
- Ordonnances / traçabilité du médicament : 5 ans.
- Compte vétérinaire : durée de l'abonnement, supprimé sous 30 jours après résiliation (hors données à conservation légale).
- Logs techniques et de sécurité : 12 mois maximum.
- Données de facturation : 10 ans (obligation comptable).
Le détail complet figure dans la Politique de confidentialité.
5. Droits des personnes concernées
Les propriétaires d'animaux disposent des droits RGPD habituels (accès, rectification, effacement, portabilité, opposition). Ces droits s'exercent auprès du cabinet vétérinaire en première intention, qui pourra solliciter VetiA pour leur mise en œuvre technique.
6. Notification de violation de données
En cas de violation de données personnelles (data breach), VetiA s'engage à notifier le cabinet client dans les 24 heures suivant la découverte de l'incident, et à fournir toutes les informations nécessaires à la notification CNIL (72 heures, art. 33 RGPD).
7. Lire et accepter le DPA
Le contrat de sous-traitance complet (article 28 RGPD), avec ses annexes (description du traitement, mesures de sécurité, liste des sous-traitants ultérieurs), est consultable directement :
L'acceptation se fait en ligne : l'administrateur du cabinet l'accepte en un clic depuis Réglages → Contrat de sous-traitance (DPA). L'acceptation est horodatée et conservée comme preuve (identité du signataire + version du document). Une version signée manuscrite reste disponible sur demande à sebastien.maira@gmail.com.
8. Registre des activités de traitement
Votre cabinet doit tenir un registre de ses traitements (art. 30.1 RGPD). Pour vous aider, un modèle pré-rempli pour l'activité « Gestion des dossiers via VetiA », ainsi que le registre de VetiA en tant que sous-traitant (art. 30.2), sont disponibles ici :
9. Délégué à la Protection des Données (DPO)
VetiA n'a pas désigné de DPO : la désignation n'est pas obligatoire au regard de l'article 37 du RGPD pour son activité. Le point de contact pour toute question RGPD est sebastien.maira@gmail.com. Chaque cabinet apprécie de son côté si sa propre activité requiert la désignation d'un DPO.
10. Autorité de contrôle
Toute personne concernée par un traitement de données dans le cadre de VetiA peut introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
www.cnil.fr