Contrat de sous-traitance — Art. 28 RGPD

Préambule — Identification des parties

Le présent contrat de sous-traitance (ci-après « DPA ») est conclu entre :

• Le Responsable de Traitement : l'ostéopathe libéral, professionnel de santé inscrit au registre ADELI ou RPPS, titulaire du compte Sidekick — identifié par les informations renseignées dans son compte et sa fiche d'abonnement Stripe (raison sociale, SIRET, adresse professionnelle).
• Le Sous-Traitant : la société éditrice de Sidekick (ci-après « Sidekick »).

Le présent DPA encadre, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »), le traitement par Sidekick des données à caractère personnel (incluant des données de santé au sens de l'article 9) pour le compte de l'ostéopathe.

Article 1 — Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles Sidekick traite, pour le compte du Responsable de Traitement, les données à caractère personnel des patients de ce dernier, dans le cadre de la fourniture du service Sidekick (transcription assistée par IA, structuration en sections cliniques, archivage du dossier patient, export PDF, partage sécurisé).

Article 2 — Durée

Le présent DPA prend effet à la date d'acceptation des Conditions Générales d'Utilisation de Sidekick et reste en vigueur pendant toute la durée du contrat principal. Il prend fin automatiquement à la résiliation ou à la suppression du compte du Responsable de Traitement, sous réserve des obligations post-contractuelles visées à l'article 6.

Article 3 — Nature, finalité et catégories

Nature du traitement : collecte, stockage, transcription assistée par intelligence artificielle, structuration en sections cliniques standard, archivage, mise à disposition (lecture, export PDF), partage sécurisé sur demande expresse, suppression sur demande.

Finalité : assister l'ostéopathe dans la tenue informatisée du dossier patient prévue par les obligations déontologiques et l'article R.4127-45 du code de la santé publique (conservation 20 ans).

Catégories de données : données d'identification (nom et prénom du patient renseignés dans la fiche patient, contexte de suivi facultatif), données de santé (motif de consultation, anamnèse, examen, traitement, conseils), métadonnées techniques (horodatage des consultations).

Catégories de personnes concernées : patients de l'ostéopathe utilisateur de Sidekick.

Article 4 — Obligations du Sous-Traitant

Sidekick s'engage à :

• Confidentialité : ne traiter les données que sur instruction documentée du Responsable de Traitement, conformément aux finalités ci-dessus, et s'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
• Sécurité technique et organisationnelle : chiffrement TLS en transit, chiffrement au repos sur Supabase, séparation des environnements, authentification par lien magique (jeton à usage unique, expiration 1h), journalisation des accès, contrôle d'accès par rôles (RLS Postgres).
• Pseudonymisation IA : pour la phase de structuration, le contenu de chaque note est pseudonymisé (remplacement du prénom/nom du patient par un token générique) avant tout envoi au sous-traitant d'inférence IA (Mistral AI), et restitué uniquement côté serveur Sidekick après réception.
• Notification de violation de données : informer le Responsable de Traitement dans les 48 heures suivant la prise de connaissance d'une violation ayant un impact potentiel sur les données patient, en fournissant les éléments prévus à l'article 33 RGPD.
• Assistance : assister le Responsable de Traitement pour l'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité), pour la réalisation d'analyses d'impact et pour la consultation préalable de l'autorité de contrôle si nécessaire.
• Sous-traitance ultérieure : ne recourir qu'aux sous-traitants expressément listés à l'article 7. Toute modification de cette liste fait l'objet d'une information préalable au Responsable de Traitement (par e-mail ou via l'application), qui dispose d'un droit d'objection motivé.
• Tenue d'un registre : tenir le registre des catégories d'activités de traitement effectuées pour le compte du Responsable de Traitement (article 30.2 RGPD).

Article 5 — Obligations du Responsable de Traitement

L'ostéopathe Responsable de Traitement s'engage à :

• Recueillir le consentement éclairé de ses patients à la tenue informatisée de leur dossier, ou s'appuyer sur la base légale appropriée prévue par le code de la santé publique et le RGPD.
• S'assurer de l'exactitude et de la mise à jour des données saisies dans les fiches patients et les notes de consultation.
• S'abstenir d'inscrire dans le corps des notes des données identifiantes au-delà du prénom du patient (en particulier : NIR, adresse postale, numéro de téléphone, e-mail, date de naissance complète, nom de famille en clair).
• Documenter en interne ses traitements de données et tenir son propre registre des activités (article 30.1 RGPD).
• Exercer les droits de ses patients à leur demande (le service Sidekick permet la rectification, l'export et la suppression).

Article 6 — Sort des données en fin de contrat

En cas de résiliation du contrat ou de suppression du compte, le Responsable de Traitement peut, avant la suppression définitive, exporter en PDF chacun des dossiers patients via la fonctionnalité dédiée (incluse dans tous les plans, y compris Free, pour la fermeture de compte).

En cas de cessation d'activité de Sidekick, un préavis de 6 mois est garanti pendant lequel l'export PDF de l'intégralité des dossiers reste accessible gratuitement, et Sidekick fournit une assistance raisonnable à la migration vers une solution alternative.

À l'issue, toutes les données du Responsable de Traitement sont supprimées des bases de données de Sidekick et de ses sous-traitants, à l'exception des sauvegardes techniques cycliques qui sont purgées dans un délai maximal de 30 jours.

Article 7 — Sous-traitants ultérieurs autorisés

Sidekick recourt aux sous-traitants ultérieurs suivants pour l'exécution du service :

• Supabase (Supabase Inc., infrastructure Postgres + Auth + Storage) — hébergement région UE (eu-west-3 / Paris). Données patient stockées de manière persistante. Hébergeur de données de santé certifié HDS en cours d'évaluation par Sidekick (objectif : certification d'ici 2027).
• Mistral AI (Mistral AI SAS, transcription Voxtral + structuration Mistral Small) — France, Union européenne. Traitement éphémère du contenu (audio brut pour la transcription, texte pseudonymisé pour la structuration), le temps de l'inférence. Conformément aux CGU API entreprise de Mistral AI, les données soumises ne sont pas utilisées pour entraîner les modèles et ne sont pas conservées au-delà du traitement.
• Vercel (Vercel Inc., hébergement applicatif) — région UE (cdg1 / Paris) pour l'edge. Aucune donnée patient stockée durablement.
• Stripe (Stripe Payments Europe Ltd., facturation et paiement) — Irlande, encadré par les clauses contractuelles types pour les transferts hors UE. Données de facturation uniquement (jamais de données patient).
• PostHog (analytics produit anonymisé) — région UE (EU Cloud). Données d'usage du produit uniquement (clicks, parcours), jamais de données patient.
• Resend / Supabase Auth (envoi d'e-mails transactionnels : magic link, factures Stripe) — Union européenne. Adresse e-mail professionnelle de l'ostéopathe uniquement.

Toute évolution de cette liste fera l'objet d'une notification préalable au Responsable de Traitement par e-mail.

Article 8 — Droit applicable et juridiction

Le présent DPA est régi par le droit français et soumis, en cas de litige, aux juridictions compétentes du ressort du siège social de la société éditrice de Sidekick.