Accord de Traitement des Donnees
Data Processing Agreement (Art. 28 RGPD) — Version 1.0 — 23 mars 2026
Le present accord (ci-apres « DPA ») est conclu entre le cabinet utilisateur de la Plateforme (ci-apres « le Responsable de traitement ») et Kymélis, societe editrice de Synapse Care(ci-apres « le Sous-traitant »).
Article 1 — Objet et duree
Le Sous-traitant traite des donnees personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture de la plateforme SaaS Synapse Care, pour la duree du contrat d'abonnement.
Article 2 — Nature et finalite du traitement
| Element | Detail |
|---|---|
| Categories de personnes concernees | Patients, praticiens, secretaires, direction |
| Categories de donnees | Donnees de sante (Art. 9), identification, financieres, connexion |
| Finalites | Gestion de cabinet : rendez-vous, notes cliniques, facturation, messagerie, teleconsultation, assistance IA |
| Duree du traitement | Duree du contrat d'abonnement + 30 jours (suppression) |
Article 3 — Obligations du Sous-traitant (Art. 28.3 RGPD)
3.1 Instructions documentees (Art. 28.3.a)
Le Sous-traitant ne traite les donnees que sur instruction documentee du Responsable de traitement. La configuration de la Plateforme constitue l'ensemble des instructions. Toute instruction supplementaire doit etre formulee par ecrit.
3.2 Confidentialite (Art. 28.3.b)
Le personnel du Sous-traitant ayant acces aux donnees personnelles est soumis a une obligation de confidentialite. L'acces est restreint par un controle d'acces base sur les roles (RBAC) avec 6 niveaux hierarchiques et 33 permissions.
3.3 Mesures de securite (Art. 28.3.c / Art. 32)
| Mesure | Implementation |
|---|---|
| Chiffrement au repos | AES-256-GCM avec cle derivee par cabinet (HKDF-SHA256) |
| Chiffrement en transit | TLS 1.2+ obligatoire |
| Authentification | 2FA obligatoire (TOTP), mots de passe 14+ caracteres (NIST SP 800-63B) |
| Isolation multi-tenant | Row-Level Security PostgreSQL sur 30+ tables |
| Journalisation | 62 types d'actions auditees, conservation 3 ans |
| Sauvegardes | Quotidiennes chiffrees (AES-256-CBC), retention 90 jours |
| Gestion des incidents | Detection automatique, confinement < 1h, notification < 72h |
| Protection API | Rate limiting, CSRF, SSRF prevention, validation stricte des entrees |
3.4 Sous-traitance ulterieure (Art. 28.3.d)
Le Sous-traitant s'engage a n'engager aucun autre sous-traitant sans l'autorisation prealable ecrite du Responsable de traitement. La liste des sous-traitants ulterieurs autorises, mise a jour au 2026-04-21, est la suivante :
Sous-traitants en charge de donnees de sante (PHI)
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Scalingo SAS | Hebergement PaaS, PostgreSQL (donnees applicatives + PHI chiffrees), Redis (sessions) | France (Paris) | Certification HDS, ISO 27001, SecNumCloud — RGPD natif |
| OVHcloud SAS | Object Storage S3 HDS (archives PHI chiffrees, retention 7 ans), KMS (gestion des cles de chiffrement), VPS Jitsi (teleconsultation), DNS | France (Roubaix, Gravelines, Strasbourg) | Certification HDS, ISO 27001/27017/27018/27701, SOC 2 Type II — RGPD natif |
| Mistral AI SAS | IA cliniques (notes patients, analyses) — donnees doublement anonymisees avant transmission | France (Paris) | RGPD natif, donnees non reutilisees pour entrainement, anonymisation prealable cote Synapse Care |
Sous-traitants techniques (aucune donnee de sante)
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Scaleway SAS | Pare-feu applicatif (WAF Edge) — inspection des requetes HTTP, aucune donnee stockee | France (Paris) | ISO 27001, SOC 2 Type II, RGPD natif |
| Proton AG | E-mails transactionnels (confirmations, reinitialisation mot de passe — contenu generique) | Suisse (Geneve) | Decision d'adequation UE-Suisse, ISO 27001, chiffrement bout-en-bout |
| Stripe, Inc. | Paiements et abonnements (nom, email, moyens de paiement — aucune donnee de sante) | USA (Delaware) — stockage donnees europeennes en Irlande | PCI-DSS Level 1, SOC 1+2, Clauses Contractuelles Types UE (Decision 2021/914) |
| Anthropic PBC | IA generative pour le blog et le copilote cabinet (aucune donnee patient, aucune donnee de sante transmise) | USA (San Francisco) | SOC 2 Type II, Clauses Contractuelles Types UE, usage limite au non-PHI |
| OpenAI, Inc. | IA generative pour le blog et le copilote cabinet (aucune donnee patient transmise) | USA (San Francisco) | SOC 2 Type II, Clauses Contractuelles Types UE, usage limite au non-PHI |
Separation stricte PHI / non-PHI
Les donnees de sante (Art. 9 RGPD) ne transitent jamais par les sous-traitants hors UE. L'architecture IA est segmentee en deux circuits etanches :
- Circuit clinique (PHI) : Mistral AI uniquement, avec double anonymisation prealable cote Synapse Care (pseudonymisation + masquage semantique).
- Circuit non-clinique (non-PHI): Anthropic et OpenAI pour le blog SEO, le chatbot commercial et l'aide administrative cabinet, sans aucune donnee patient.
Cette segmentation est verifiee par des tests automatises et un pare-feu de fuite (« AI Gateway ») qui bloque toute transmission PHI vers un provider non-FR.
3.5 Assistance aux droits des personnes (Art. 28.3.e)
Le Sous-traitant met a disposition les fonctionnalites techniques suivantes pour aider le Responsable a repondre aux demandes d'exercice des droits :
- Acces (Art. 15) : export JSON des donnees du patient
- Rectification (Art. 16) : modification en base avec audit
- Effacement (Art. 17) : suppression des notes/documents + anonymisation
- Portabilite (Art. 20) : export au format structure
- Opposition (Art. 21) : flags de preference (IA, marketing, analytique)
3.6 Assistance DPIA (Art. 28.3.f)
Le Sous-traitant fournit un registre des traitements, une Analyse d'Impact (DPIA) et toute information necessaire pour demontrer la conformite.
3.7 Suppression ou restitution (Art. 28.3.g)
A la fin du contrat, le Sous-traitant :
- Met a disposition un export complet des donnees.
- Supprime toutes les donnees sous 30 jours, sauf obligation legale de conservation (factures 10 ans, journaux de securite 3 ans).
- Fournit une attestation de suppression.
3.8 Audits (Art. 28.3.h)
Le Sous-traitant met a disposition les journaux d'audit, les rapports PRA (Plan de Reprise d'Activite) et toute information necessaire pour demontrer le respect du present accord. Le Responsable de traitement peut, moyennant un preavis de 30 jours, realiser ou faire realiser un audit.
Article 4 — Notification des violations (Art. 33)
Le Sous-traitant notifie le Responsable de traitement dans les meilleurs delais et au plus tard 24 heuresapres la decouverte d'une violation de donnees personnelles. La notification comprend :
- La nature de la violation
- Les categories et le nombre approximatif de personnes concernees
- Les consequences probables
- Les mesures prises ou envisagees
Le Responsable de traitement dispose ensuite de 48 heures supplementaires pour notifier la CNIL (total < 72 heures).
Article 5 — Transferts hors UE
Les transferts de donnees personnelles vers des pays tiers (Etats-Unis) sont encadres par :
- Les Clauses Contractuelles Types (Decision de la Commission 2021/914)
- Le chiffrement bout-en-bout des donnees
- L'anonymisation prealable des donnees de sante avant transfert IA
- L'absence de stockage de donnees de sante chez les fournisseurs d'IA
Article 6 — Droit applicable
Le present accord est soumis au droit francais et au RGPD. En cas de litige, les parties s'engagent a rechercher une solution amiable avant toute action judiciaire.
Signature electronique
L'acceptation du present DPA s'effectue electroniquement lors de l'onboarding du cabinet sur la Plateforme. L'horodatage et l'identite du signataire sont enregistres dans le journal d'audit.