DPA — Accord de traitement des données (Art. 28 RGPD)
Dernière mise à jour : 20 avril 2026
Version 1.0 — À adapter : Ce document est un modèle structuré. Peter dispose d’une version DPA Art. 28 (Motika) à adapter pour Pratekio corporate.
Préambule
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu en application de l’article 28 du Règlement (UE) 2016/679 relatif à la protection des données (RGPD).
Il complète les Conditions Générales de Vente et encadre les obligations respectives du Responsable de traitement (le Client) et du Sous-traitant (Pratekio) concernant les données à caractère personnel traitées dans le cadre des services.
1. Parties
Sous-traitant (Pratekio) : Pratekio — [forme juridique, SIREN, adresse à compléter] DPO : dpo@pratekio.fr
Responsable de traitement : Le professionnel de santé ou la structure (cabinet, société d’exercice) souscripteur d’un service Pratekio.
2. Objet et nature du traitement
Dans le cadre de la fourniture des services SaaS Pratekio (ex : Motika), Pratekio traite les données personnelles suivantes pour le compte du Client :
| Catégorie | Exemples | Personnes concernées |
|---|---|---|
| Données d’identité patient | Nom, prénom, date de naissance, NIR (INS) | Patients des professionnels de santé |
| Données de contact | Email, téléphone, adresse | Patients |
| Données de santé (Art. 9 RGPD) | Diagnostics, actes, ordonnances, séances | Patients |
| Données de facturation | Mutuelle, numéro de SS, actes cotés | Patients |
| Données utilisateurs | Nom, email, logs de connexion | Praticiens, secrétaires |
Finalités : gestion de cabinet (agenda, dossier patient, facturation, rétrocession), portail patient.
3. Durée
Ce DPA est conclu pour la durée de l’abonnement au service. À résiliation, les données sont conservées 30 jours puis supprimées/anonymisées, sauf obligation légale contraire (ex : factures conservées 10 ans — art. L. 123-22 C. com.).
4. Obligations de Pratekio (sous-traitant)
Pratekio s’engage à :
- Ne traiter les données que sur instruction du Responsable de traitement (le Client)
- Garantir la confidentialité : les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Mesures de sécurité : mettre en œuvre les mesures techniques et organisationnelles appropriées (voir Art. 5)
- Sous-traitance ultérieure : ne faire appel à un autre sous-traitant qu’avec l’autorisation préalable du Client (liste en Art. 6)
- Assistance : aider le Client à honorer les demandes d’exercice de droits (accès, rectification, suppression) et à réaliser les AIPD si nécessaire
- Notification : signaler toute violation de données dans les 72h (Art. 33 RGPD) à dpo@pratekio.fr
- Suppression / restitution : en fin de contrat, restituer ou détruire toutes les données personnelles
- Audit : permettre des audits de conformité à la demande raisonnable du Client
5. Mesures de sécurité
| Mesure | Implémentation |
|---|---|
| Chiffrement en transit | TLS 1.3 sur toutes les communications |
| Chiffrement au repos | AES-256 (base de données Supabase) |
| Authentification | MFA obligatoire pour les accès praticiens |
| Contrôle d’accès | Row-Level Security (RLS) Supabase, rôles RBAC |
| Logs d’audit | Journal horodaté de toutes les actions critiques |
| Sauvegardes | Quotidiennes, chiffrées, rétention 30 jours |
| Hébergement | HDS certifié, infrastructure France (AWS eu-west-3) |
| Tests de sécurité | Revues de code, scans de vulnérabilités périodiques |
6. Sous-traitants ultérieurs autorisés
| Sous-traitant | Pays | Finalité | Garanties |
|---|---|---|---|
| Supabase (AWS eu-west-3) | France (UE) | Base de données, authentification | RGPD natif, HDS en cours |
| Vercel | USA | Hébergement CDN applicatif | CCT UE |
| Resend | USA | Emails transactionnels | CCT UE |
Le Client accepte ces sous-traitants en souscrivant au service. Toute modification de la liste fait l’objet d’une notification préalable de 30 jours.
7. Transferts hors UE
Pour les sous-traitants établis hors UE (Vercel, Resend), les transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la décision de la Commission européenne du 4 juin 2021.
8. Données de santé — Hébergement HDS
Les données de santé à caractère personnel sont hébergées sur infrastructure certifiée Hébergeur de Données de Santé (HDS) ou en cours de certification. Toute sous-traitance de ces données se fait exclusivement auprès d’hébergeurs HDS certifiés.
9. Contact DPO
Pour toute question relative à ce DPA ou à l’exercice de vos droits :
Pratekio — [adresse siège à compléter]