Contrat de Sous-traitance (DPA) - Mon Assistant Kiné

Préambule

Le présent Contrat de Sous-traitance (ci-après le « DPA ») est conclu entre :

Le Responsable de Traitement (ci-après « le RT ») :
Le kinésithérapeute titulaire d'un compte sur la plateforme Mon Assistant Kiné, agissant dans le cadre de son activité professionnelle libérale ou en tant que représentant de sa structure d'exercice.

Le Sous-traitant (ci-après « le ST ») :
Mon Assistant Kiné (SAS)
SIRET : 38936059900017
Siège social : 7 Rue des Filatures, 50300 Saint-Senier-sous-Avranches
Représentée par Sylvain BAUX, Directeur Général
DPO désigné auprès de la CNIL : Valentin JEAN — monassistantkine@gmail.com

Cadre juridique : Le présent DPA est établi conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD) et complète les Conditions Générales d'Utilisation. En cas de contradiction entre les CGU et le présent DPA, les dispositions du DPA prévalent pour ce qui concerne le traitement des données patients.

Article 1 — Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles le ST s'engage à effectuer, pour le compte du RT, les opérations de traitement de données à caractère personnel nécessaires au fonctionnement de la plateforme Mon Assistant Kiné.

Le ST agit exclusivement sur instruction documentée du RT et ne traite les données patients que dans le cadre strictement nécessaire à la fourniture du service.

Article 2 — Qualification des parties

2.1 Statut mixte

Les parties reconnaissent que :

Pour les données patients (identification, données de santé, données de communication) : le kinésithérapeute est Responsable de Traitement et Mon Assistant Kiné est Sous-traitant au sens de l'article 28 du RGPD.
Pour les données propres du kinésithérapeute (compte, facturation, données techniques, logs de connexion) : Mon Assistant Kiné est Responsable de Traitement, conformément à la Politique de Confidentialité.

2.2 Responsabilités du RT

En sa qualité de Responsable de Traitement des données patients, le kinésithérapeute est tenu de :

Disposer d'une base légale pour le traitement des données de ses patients (contrat de soins, consentement éclairé)
Informer ses patients de l'utilisation de la plateforme Mon Assistant Kiné comme sous-traitant
Répondre aux demandes d'exercice de droits RGPD de ses patients, avec l'assistance du ST
S'assurer de la licéité et de la pertinence des données saisies sur la plateforme

Article 3 — Durée

Le présent DPA prend effet à la date d'acceptation par le kinésithérapeute lors de son inscription ou de la mise à jour des documents légaux. Il reste en vigueur pendant toute la durée d'utilisation de la plateforme, y compris les périodes d'abonnement gratuit.

Les obligations du ST relatives à la confidentialité et à la restitution ou suppression des données survivent à la fin du contrat, conformément à l'article 10 du présent DPA.

Article 4 — Nature et finalité du traitement

4.1 Finalités

Le ST traite les données patients exclusivement pour les finalités suivantes :

Hébergement et stockage sécurisé des données patients sur infrastructure certifiée HDS
Mise à disposition des données au kinésithérapeute via l'interface de la plateforme
Création et gestion de programmes de rééducation personnalisés
Aide à la rédaction de programmes et bilans via intelligence artificielle (données pseudonymisées)
Communication avec les patients via le chatbot intégré
Suivi de l'adhérence et validation des séances par les patients

4.2 Types de données traitées

Catégorie	Données concernées	Sensibilité
Identification patient	Prénom, nom, date de naissance, téléphone, email	Données personnelles
Données de santé	Pathologies, objectifs thérapeutiques, programmes d'exercices, bilans kinésithérapiques	Données sensibles (art. 9 RGPD)
Données de suivi	Validations de séances, niveaux de douleur, niveaux de difficulté	Données sensibles (art. 9 RGPD)
Données de communication	Messages échangés via le chatbot patient	Données personnelles

4.3 Catégories de personnes concernées

Les patients du kinésithérapeute utilisant la plateforme Mon Assistant Kiné.

Article 5 — Obligations du Sous-traitant

5.1 Instructions documentées

Le ST s'engage à traiter les données patients uniquement sur instruction documentée du RT, y compris en ce qui concerne les transferts de données vers un pays tiers. Si le ST estime qu'une instruction constitue une violation du RGPD, il en informe immédiatement le RT.

5.2 Confidentialité

Le ST s'assure que les personnes autorisées à traiter les données patients se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité. L'accès aux données patients est strictement limité au personnel technique nécessaire à la maintenance et au bon fonctionnement de la plateforme.

5.3 Mesures de sécurité (article 32 RGPD)

Le ST met en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement :

Chiffrement en transit : TLS 1.2+ sur toutes les communications
Chiffrement au repos : chiffrement des bases de données (géré par Clever Cloud)

Contrôle d'accès :

Authentification Firebase avec vérification d'email obligatoire
Tokens JWT avec expiration automatique
Vérification systématique de l'ownership (un kinésithérapeute n'accède qu'à ses propres patients)
Rate limiting à 7 niveaux pour prévenir les abus

Journalisation :

Logs d'accès et d'opérations avec sanitization des données personnelles
Traçabilité des acceptations légales (horodatage, IP, version du document)

Sauvegardes :

Sauvegardes automatiques quotidiennes de la base de données
Rétention des sauvegardes selon la politique de Clever Cloud

Pseudonymisation pour l'IA :

Les données transmises aux modèles d'intelligence artificielle font l'objet d'une pseudonymisation rigoureuse préalable
Aucun nom, prénom, adresse ou identifiant direct n'est transmis aux fournisseurs d'IA
Seules les informations strictement nécessaires à l'assistance rédactionnelle sont communiquées (âge, pathologie, objectifs)

Précision importante : La pseudonymisation n'est pas une anonymisation au sens du RGPD. Les données pseudonymisées restent des données personnelles et sont traitées comme telles. Le kinésithérapeute conserve les éléments permettant la ré-identification de ses patients.

5.4 Assistance au Responsable de Traitement

Le ST assiste le RT, dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, pour :

Répondre aux demandes d'exercice des droits des patients (articles 12 à 22 du RGPD) : accès, rectification, effacement, portabilité, limitation, opposition
Réaliser les analyses d'impact relatives à la protection des données (DPIA) lorsque nécessaire
Assurer la consultation préalable de la CNIL si une DPIA révèle un risque résiduel élevé

Le RT peut exercer les droits RGPD de ses patients directement depuis la plateforme (export de données, suppression de compte patient) ou en contactant le DPO du ST.

5.5 Notification des violations de données

En cas de violation de données à caractère personnel concernant les données patients, le ST s'engage à :

Notifier le RT dans un délai de 24 heures après en avoir pris connaissance, par email à l'adresse du kinésithérapeute enregistrée sur la plateforme
Fournir les informations suivantes : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises ou proposées
Assister le RT dans sa notification à la CNIL (dans les 72 heures) et, le cas échéant, aux personnes concernées
Documenter toute violation dans un registre interne conformément à l'article 33.5 du RGPD

Article 6 — Sous-traitance ultérieure

6.1 Liste des sous-traitants ultérieurs

Le RT autorise le ST à recourir aux sous-traitants ultérieurs suivants, nécessaires au fonctionnement de la plateforme :

Sous-traitant	Rôle	Localisation	Garanties
Clever Cloud	Hébergement infrastructure, base de données PostgreSQL, stockage fichiers	France (Union Européenne)	Certifié HDS (Hébergeur de Données de Santé), ISO 27001
OpenAI	Génération IA (programmes, chatbot, bilans) — données pseudonymisées uniquement	États-Unis	DPA signé, EU-US Data Privacy Framework, données non utilisées pour l'entraînement des modèles
Stripe	Traitement des paiements par carte bancaire	Irlande (Union Européenne)	PCI DSS Level 1, certifié SOC 2
Firebase Authentication (Google)	Authentification des kinésithérapeutes	Union Européenne	ISO 27001, SOC 2, Google DPA
Vercel	Hébergement du frontend statique (interface web)	États-Unis	Aucun accès aux données patients — hébergement de fichiers statiques uniquement

    Transferts hors UE : Les données pseudonymisées transmises à OpenAI (États-Unis) sont protégées par le EU-US Data Privacy Framework et les Clauses Contractuelles Types (CCT). Les données ne sont pas utilisées pour l'entraînement des modèles et ne sont pas stockées au-delà du traitement de la requête. Vercel n'a accès à aucune donnée patient (hébergement statique uniquement).

6.2 Obligations relatives aux sous-traitants ultérieurs

Le ST s'engage à :

Imposer à chaque sous-traitant ultérieur, par voie contractuelle, les mêmes obligations de protection des données que celles prévues au présent DPA
Rester pleinement responsable devant le RT de l'exécution des obligations par ses sous-traitants ultérieurs
Vérifier régulièrement que les garanties de ses sous-traitants ultérieurs sont maintenues

6.3 Modification de la liste des sous-traitants

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur :

Le ST informe le RT par email avec un préavis de 30 jours
Le RT dispose d'un délai de 15 jours pour émettre des objections motivées
En cas d'objection légitime non résolue, le RT peut résilier le contrat sans pénalité

Article 7 — Localisation et transferts de données

7.1 Localisation principale

Les données patients sont stockées en France, sur l'infrastructure Clever Cloud, certifiée Hébergeur de Données de Santé (HDS).

7.2 Transferts vers les États-Unis

Des transferts de données pseudonymisées sont effectués vers les États-Unis uniquement pour la génération par intelligence artificielle (OpenAI). Ces transferts sont encadrés par :

Le EU-US Data Privacy Framework (décision d'adéquation de la Commission Européenne du 10 juillet 2023)
Les Clauses Contractuelles Types (CCT) de la Commission Européenne
La pseudonymisation préalable des données (aucune donnée directement identifiante n'est transmise)
La non-utilisation des données pour l'entraînement des modèles et l'absence de stockage au-delà du traitement

Article 8 — Audits

8.1 Droit d'audit

Le ST met à la disposition du RT toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA et pour permettre la réalisation d'audits.

8.2 Modalités pratiques

L'audit peut prendre la forme de :

Mise à disposition des certifications et attestations des sous-traitants ultérieurs (HDS Clever Cloud, ISO 27001, PCI DSS Stripe, DPA OpenAI)
Réponse à un questionnaire écrit de conformité, dans un délai de 30 jours
Audit sur site ou à distance, sur demande motivée du RT, avec un préavis de 30 jours et à la charge du RT

Le ST informera immédiatement le RT s'il estime qu'une instruction d'audit viole le RGPD ou d'autres dispositions applicables.

Article 9 — Responsabilité

9.1 Responsabilité du ST

Le ST est responsable des dommages causés par un traitement qu'il a effectué en violation du présent DPA ou du RGPD, ou lorsqu'il a agi en dehors des instructions licites du RT.

9.2 Limitation de responsabilité

La responsabilité financière du ST au titre du présent DPA est limitée conformément aux dispositions des Conditions Générales de Vente. Cette limitation ne s'applique pas en cas de faute intentionnelle ou de négligence grave du ST.

Article 10 — Sort des données en fin de contrat

10.1 Restitution

À la fin du contrat (résiliation, suppression de compte), le RT peut demander la restitution de l'ensemble des données patients dans un format structuré, couramment utilisé et lisible par machine (export JSON), via la fonctionnalité d'export RGPD intégrée à la plateforme ou sur demande au DPO.

10.2 Suppression

À défaut de demande de restitution, le ST procède à la suppression certifiée de toutes les données patients dans un délai de 30 jours suivant la fin du contrat, sauf obligation légale de conservation.

10.3 Attestation

Le ST fournit au RT, sur demande, une attestation de suppression des données.

Article 11 — Dispositions générales

11.1 Droit applicable

Le présent DPA est soumis au droit français et au Règlement (UE) 2016/679 (RGPD).

11.2 Juridiction compétente

En cas de litige relatif à l'interprétation ou à l'exécution du présent DPA, les tribunaux de Coutances (50200) seront seuls compétents.

11.3 Modification du DPA

Toute modification du présent DPA fera l'objet d'une nouvelle version, notifiée au RT via la plateforme. L'acceptation de la nouvelle version sera requise pour la poursuite de l'utilisation du service.

11.4 Nullité partielle

Si une clause du présent DPA était déclarée nulle ou inapplicable, les autres clauses resteraient pleinement en vigueur.

11.5 Documents contractuels

Le présent DPA complète les documents suivants, qui forment ensemble le cadre contractuel :

Contact DPO

Pour toute question relative au présent Contrat de Sous-traitance :

Valentin JEAN — Délégué à la Protection des Données
📧 monassistantkine@gmail.com
📍 7 Rue des Filatures, 50300 Saint-Senier-sous-Avranches

Ce Contrat de Sous-traitance est effectif depuis le 29 avril 2026
Mon Assistant Kiné (SAS) - SIRET : 38936059900017