Accord de sous-traitance (DPA)

Version 1.0 — en vigueur au 17 avril 2026. Conforme à l'article 28 RGPD.

Contexte. Le présent Accord de Traitement des Données (Data Processing Agreement — DPA) complète les CGU et formalise la relation sous‑traitance entre le kinésithérapeute utilisateur (Responsable de traitement) et Soleus (Sous‑traitant), conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD). Il est réputé accepté par le kinésithérapeute dès l'acceptation des CGU et la première saisie de données patient dans l'application.

1. Parties

Responsable de traitement : le masseur‑kinésithérapeute utilisateur de Soleus, ci‑après « le Kiné ».
Sous‑traitant : Alexandre Vandenabeele, éditeur de Soleus (voir mentions légales), ci‑après « Soleus ».

2. Objet et durée

Soleus traite pour le compte du Kiné les données à caractère personnel nécessaires à la tenue du dossier patient, à la construction de programmes, à la messagerie et aux fonctionnalités d'aide à la réflexion. Le présent DPA s'applique pour toute la durée pendant laquelle Soleus héberge des données pour le compte du Kiné, et survit au contrat pour les obligations de restitution, de suppression et de confidentialité.

3. Nature et finalités du traitement

Élément	Détail
Nature	Collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication (Kiné / patient), effacement.
Finalités	Tenue du dossier patient, bilans, programmes d'exercices, messagerie, aide à la réflexion non‑diagnostique, traçabilité.
Catégories de personnes	Kinés, patients (y compris mineurs sous responsabilité parentale), tiers mentionnés par les patients dans le cadre de la prise en charge.
Catégories de données	Identité, coordonnées, données de santé (bilans, examens, douleur, compliance, programmes, observations), contenu de messagerie, données techniques (logs).

4. Obligations de Soleus

Traitement documenté et limité : Soleus traite les données uniquement sur instructions documentées du Kiné (usage du Service conforme aux CGU). Tout autre traitement nécessite une instruction écrite séparée.
Confidentialité : Soleus garantit que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité contractuelle ou statutaire.
Sécurité (art. 32 RGPD) : Soleus met en œuvre les mesures techniques et organisationnelles décrites à l'annexe « Sécurité » ci‑dessous.
Sous‑traitants ultérieurs (art. 28.2 et 28.4) : liste publique à /sous-traitants.html. Toute nouvelle sous‑traitance est notifiée 30 jours avant entrée en vigueur ; le Kiné peut s'y opposer motivément, auquel cas le contrat peut être résilié sans pénalité.
Assistance : Soleus assiste le Kiné dans la réponse aux demandes d'exercice de droits, les notifications de violation, les AIPD et les contrôles, à concurrence des moyens techniques d'une solution SaaS, via l'adresse dpo@soleus.app.
Notification de violation : sous 48 heures ouvrées à compter de la prise de connaissance, Soleus informe le Kiné de toute violation susceptible d'impacter les données patient, lui fournit les éléments nécessaires à sa propre notification CNIL (art. 33) et à l'information des personnes (art. 34).
Restitution et suppression : à l'issue du contrat, Soleus restitue les données dans un format structuré (JSON/CSV) puis les supprime sous 90 jours, sauf obligation légale de conservation (dossier patient — 20 ans, art. R.1112‑7 CSP) qui sera assurée dans des conditions de sécurité équivalentes, en accès restreint.
Mise à disposition : Soleus met à disposition du Kiné, sur demande, les informations nécessaires pour démontrer le respect des obligations du présent article et permettre des audits, sous réserve d'un préavis raisonnable et de la confidentialité des informations commerciales.

5. Transferts hors UE

Les données de santé identifiantes ne font l'objet d'aucun transfert hors UE. Les appels API aux modèles d'IA impliquent un transit technique vers Anthropic et OpenAI (USA), encadré par les Clauses Contractuelles Types (décision 2021/914) et le EU‑US Data Privacy Framework. La pseudonymisation, la politique Zero Data Retention et le chiffrement en transit constituent des mesures supplémentaires au sens des recommandations EDPB 01/2020.

6. Obligations du Kiné

Respecter ses propres obligations RGPD en tant que Responsable de traitement : information du patient, base légale appropriée, minimisation.
Remettre au patient la mention d'information ou afficher l'affichette disponible.
Ne saisir que les données strictement nécessaires à la prise en charge.
Préserver la confidentialité de ses identifiants et signaler sans délai tout accès suspecté.
Activer l'IA en toute connaissance de cause, la désactiver en cas de doute (art. 14 AI Act).

7. Mesures de sécurité (annexe)

Hébergement HDS certifié (Scalingo, Strasbourg) — ISO 27001.
Chiffrement TLS 1.3 en transit, chiffrement au repos des bases PostgreSQL.
Authentification JWT, hash bcrypt, rotation automatique des tokens.
Journalisation et conservation des logs d'accès (10 ans).
Sauvegardes chiffrées quotidiennes, tests de restauration.
Pseudonymisation systématique des prompts IA.
Principes privacy by design et security by default.
Revue annuelle des accès et des droits d'administration.

8. Responsabilité

La responsabilité de chaque partie est engagée conformément aux CGU et aux articles 82 et 83 RGPD. Les pénalités éventuelles prononcées par une autorité de contrôle sont supportées par la partie à qui le manquement est imputable.

9. Droit applicable

Le présent DPA est soumis au droit français et aux juridictions compétentes désignées dans les CGU.

Pour Soleus (Sous‑traitant)
Alexandre Vandenabeele, éditeur
Acceptation matérialisée par la publication du présent document et par l'édition du Service.

Pour le Kiné (Responsable de traitement)
Acceptation matérialisée par l'acceptation des CGU et la première saisie de données patient dans l'application.