Accord de sous-traitance (DPA)
Dernière mise à jour : 30 juin 2026
Le présent accord encadre, conformément à l'article 28 du Règlement général sur la protection des données (RGPD), le traitement des données personnelles effectué par SAS C Médical Protect (« le Sous-traitant ») pour le compte du cabinet client (« le Responsable de traitement ») dans le cadre de l'utilisation du service Vigila. Il fait partie intégrante des conditions générales ; en cas de contradiction sur la protection des données, le présent accord prévaut.
1. Rôles des parties
Le cabinet client est responsable de traitement des données qu'il saisit dans Vigila. SAS C Médical Protect agit en qualité de sous-traitant et ne traite ces données que sur instruction documentée du Responsable, sans les utiliser à ses propres fins.
2. Objet, durée, nature et finalité du traitement
Le traitement a pour objet la fourniture du service Vigila (carnet de maintenance et de conformité des équipements de cabinet dentaire) et dure le temps de l'abonnement. Nature des opérations : collecte, enregistrement, organisation, conservation, consultation, mise à disposition et suppression.
3. Catégories de données et de personnes concernées
- Utilisateurs du cabinet (praticiens, assistant(e)s, gestionnaires) : nom, e-mail professionnel, téléphone, rôle, identifiants de connexion.
- Contacts fournisseurs / techniciens : nom, coordonnées professionnelles.
- Données d'activité : équipements, interventions, rapports, pièces jointes saisis par le cabinet.
Vigila n'a pas vocation à traiter de données de santé de patients ni de données sensibles ; le Responsable s'engage à ne pas en saisir.
4. Obligations du sous-traitant
- traiter les données uniquement sur instruction documentée du Responsable ;
- garantir la confidentialité par les personnes autorisées à traiter les données ;
- mettre en œuvre les mesures de sécurité appropriées (article 32 RGPD), détaillées en annexe ;
- respecter les conditions de recours à un sous-traitant ultérieur (article 5) ;
- aider le Responsable à répondre aux demandes d'exercice des droits des personnes ;
- l'assister pour la sécurité, les notifications de violation et les analyses d'impact ;
- au choix du Responsable, supprimer ou restituer les données en fin de contrat (article 6) ;
- mettre à disposition les informations nécessaires pour démontrer le respect de l'article 28 et permettre des audits (article 7).
5. Sous-traitants ultérieurs
Le Responsable autorise le recours aux sous-traitants ultérieurs suivants, tenus aux mêmes obligations par contrat. SAS C Médical Protect informe le Responsable de tout projet d'ajout ou de remplacement d'un sous-traitant au moins 30 jours à l'avance ; le Responsable peut s'y opposer pour un motif légitime lié à la protection des données.
- Supabase — Hébergement de la base de données (prospects, abonnements) (Union européenne).
- Resend — Envoi des e-mails transactionnels (Union européenne (eu-west-1)).
- Stripe — Traitement des paiements par carte (UE / USA (clauses contractuelles types)).
- Anthropic (Claude) — Assistant conversationnel (chatbot) (USA (clauses contractuelles types)).
- Plausible (auto-hébergé) — Mesure d'audience sans cookie (Union européenne (vos serveurs)).
Transferts hors UE concernés : Stripe et Anthropic (États-Unis), encadrés par les clauses contractuelles types de la Commission européenne.
6. Sort des données en fin de contrat
Au terme de la prestation, et au choix du Responsable, SAS C Médical Protect restitue les données dans un format exploitable (export) puis les supprime de ses systèmes actifs sous 30 jours, sauf obligation légale de conservation. Les sauvegardes sont purgées selon leur cycle de rotation.
7. Audits
Le Responsable peut, sur préavis raisonnable et au maximum une fois par an (sauf incident de sécurité), demander les éléments démontrant la conformité du traitement, ou faire réaliser un audit par un tiers indépendant tenu à la confidentialité, aux frais du Responsable et sans perturber l'exploitation.
8. Localisation et transferts
Les données applicatives sont hébergées dans l'Union européenne. Les transferts hors UE éventuels (prestataires) sont encadrés par des clauses contractuelles types de la Commission européenne. Détails des prestataires : voir la politique de confidentialité.
9. Sécurité et violation de données
SAS C Médical Protect met en œuvre les mesures techniques et organisationnelles décrites en annexe. En cas de violation de données affectant le Responsable, SAS C Médical Protect le notifie dans les meilleurs délais après en avoir pris connaissance, avec les éléments utiles à sa propre obligation de notification (article 33 RGPD).
Annexe — Mesures techniques et organisationnelles (art. 32)
- Chiffrement : trafic chiffré en transit (TLS/HTTPS).
- Cloisonnement par cabinet : isolation stricte des données de chaque cabinet (Row-Level Security en base, vérification du périmètre sur les fichiers).
- Contrôle d'accès : authentification par mot de passe (haché), rôles et permissions, sessions signées.
- Hébergement UE : base de données et fichiers hébergés dans l'Union européenne.
- Sauvegardes : sauvegardes régulières avec rotation.
- Journalisation et accès restreints au personnel autorisé.
10. Contact
Pour toute demande relative au présent accord : bonjour@vigila.fr. Une version signée du DPA peut être fournie sur demande.