Accord de sous-traitance des données (DPA)
Dernière mise à jour · juin 2026
RGPD article 28 — Sous-traitance
Préambule
Le présent Accord (« DPA ») encadre le traitement de données personnelles que Guillaume Clain, éditeur de Psy-Eval (psy-eval.fr) (ci-après le « Sous-traitant »), effectue pour le compte de chaque praticien inscrit (ci-après le « Responsable »), conformément à l'article 28 du RGPD.
Il est une annexe indissociable des CGU Praticien, accepté par case à cocher à la création du compte (gabarit unique, non négociable individuellement). En cas de contradiction sur un point relatif aux données personnelles, le présent DPA prévaut.
Article 1 — Parties
- Responsable de traitement : chaque praticien utilisant Psy-Eval pour assigner des questionnaires à ses patients, identifié par son compte. Généralement psychologue exerçant en France, soumis au secret professionnel (art. 226-13 du Code pénal).
- Sous-traitant : Guillaume Clain, éditeur de Psy-Eval — coordonnées : voir Mentions légales ; contact données :
privacy@psy-eval.fr.
Article 2 — Objet, nature et finalité (RGPD art. 28-3 chapeau)
Le Sous-traitant traite les données uniquement pour fournir le service Psy-Eval : hébergement des comptes patients pseudonymisés, recueil et restitution des réponses, calcul automatisé des scores selon le barème de l'instrument, sauvegarde des brouillons, hébergement des questionnaires importés par le Responsable, notification du Responsable lorsqu'un patient complète un questionnaire.
Aucun traitement à d'autres fins (analyse commerciale, statistiques, entraînement d'IA, communication à un tiers). Aucune décision automatisée (art. 22 RGPD), aucun profilage, aucune interprétation clinique par la plateforme.
Article 3 — Durée
Prend effet à l'acceptation des CGU, jusqu'à la clôture du compte du Responsable. Les obligations survivant au contrat (sécurité, restitution/suppression, assistance aux droits, conservation des journaux) demeurent selon l'article 11.
Article 4 — Catégories de données et de personnes (RGPD art. 28-3 chapeau)
Personnes concernées : patients du Responsable (typiquement 10 à 150 actifs).
Catégories de données :
- Comptes patients : code anonyme
PAT-XXXXXX, mot de passe haché (bcrypt coût 12), praticien de rattachement, horodatages. - Réponses & scores — chiffrés au repos (AES-256-GCM) : réponses brutes, scores, brouillons ; score total et niveau de sévérité (issu des seuils publiés de l'instrument) affichés uniquement côté praticien, jamais côté patient ; mode de saisie et type de répondant (patient / proche / clinicien) pour la traçabilité de provenance.
- Variables cliniques non identifiantes : âge en années, sexe, temps de mesure (T0/J7/M3).
- Données techniques : journaux d'accès (IP, horodatage), 12 mois max.
Catégorie particulière : les réponses constituent des données de santé (RGPD art. 9). Base légale portée par le Responsable : art. 9-2-h (soin, secret professionnel) et/ou 9-2-a (consentement explicite).
Données exclues par conception : aucun identifiant direct (nom, prénom, date de naissance complète, adresse, courriel personnel, téléphone, n° de sécurité sociale/NIR, n° de dossier). Un audit PII automatique détecte et bloque ces champs à chaque import ; conservation d'un item identifiant impossible sans validation explicite (voir CGU Praticien). Exceptions cliniques autorisées : âge, sexe, profession, niveau d'études, date de passation.
Article 5 — Obligations du Sous-traitant (RGPD art. 28-3, a à h)
a) Instructions documentées — Ne traiter que sur instruction documentée du Responsable, matérialisée par les CGU, le présent DPA et les actions via l'interface. Informer le Responsable si une instruction paraît violer le RGPD ou la loi Informatique et Libertés.
b) Confidentialité — Le Sous-traitant (Guillaume Clain personnellement, sans salarié) est tenu à une obligation de confidentialité survivant au contrat.
c) Sécurité (art. 32) — Mettre en œuvre les mesures techniques et organisationnelles détaillées en Annexe 1.
d) Sous-traitance ultérieure (art. 28-2 et 28-4) — Ne recourir qu'aux sous-traitants ultérieurs autorisés listés en Annexe 2 (réputés autorisés par l'acceptation du DPA). Toute évolution est notifiée avec préavis de 30 jours (publication sur /legal/sous-traitants + courriel), ouvrant un droit d'opposition et de résiliation sans frais. Les mêmes obligations de protection sont imposées par contrat à chaque sous-traitant ultérieur.
e) Assistance aux droits des personnes (art. 12-23) — Aider le Responsable à répondre aux demandes d'accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement, par des fonctionnalités appropriées (export, suppression) et la transmission sans délai de toute demande reçue directement d'un patient.
f) Assistance sécurité / violations / AIPD (art. 32-36) — Aider le Responsable à garantir la sécurité, à notifier les violations (art. 33-34) et à mener son analyse d'impact (art. 35) ; fournir les éléments techniques nécessaires.
g) Restitution ou suppression — À la fin du contrat, au choix du Responsable : restituer les données (export JSON structuré : réponses, scores, audit) ou les supprimer, sauf conservation imposée par la loi.
h) Mise à disposition et audit — Mettre à disposition les informations démontrant le respect des obligations. Le Sous-traitant étant une entreprise individuelle sans certification ISO 27001, il propose : documentation technique sur demande, rapport de sécurité annuel, droit d'audit documentaire sur préavis de 30 jours, limité à un audit/an sauf violation avérée.
Article 6 — Obligations du Responsable
- Informer ses patients (RGPD art. 13-14 — voir Notice patient) et recueillir le consentement explicite lorsque la base art. 9-2-a est retenue.
- Disposer d'une base légale art. 9 valide pour le traitement de données de santé.
- Mener sa propre AIPD si requise (art. 35).
- Ne communiquer les identifiants patient qu'à la personne concernée, par canal sécurisé.
- Respecter le secret professionnel (art. 226-13 C. pénal) et son code de déontologie.
- Ne déclarer à l'import que des instruments dont il détient les droits d'usage pour la France.
- Transmettre au Sous-traitant toute demande de droits reçue d'un patient.
Article 7 — Violation de données (RGPD art. 33-34)
Le Sous-traitant notifie sans délai au Responsable toute violation (confidentialité, intégrité, disponibilité) concernant ses patients, avec : description, catégories et nombre approximatif de personnes/données, conséquences probables, mesures prises. Il tient un registre des violations. Il appartient au Responsable d'apprécier la notification à la CNIL sous 72 h (art. 33) et aux personnes concernées (art. 34) ; le Sous-traitant fournit l'assistance.
Article 8 — Transferts hors Union européenne (RGPD chapitre V)
Principe : les données de santé sont hébergées exclusivement en France (Scalingo HDS, infrastructure Outscale). Aucun transfert hors UE de données de patients.
Exception encadrée — Anthropic (import IA) : à l'usage explicite de la fonction d'import, le texte d'un questionnaire (jamais de données patient) est transmis à Anthropic PBC (États-Unis). Encadrement :
- Clauses contractuelles types de la Commission européenne (art. 46-2-c RGPD) du DPA Anthropic ;
- conditions Anthropic : rétention opérationnelle 30 jours puis suppression, engagement de non-utilisation pour l'entraînement, SOC 2 Type II, chiffrement TLS + au repos ;
- garantie d'architecture : l'import ne traite que des questionnaires ; aucune donnée de patient n'y transite (audit PII serveur sur les contenus importés) ;
- information explicite du Responsable à chaque usage.
Article 9 — Responsabilité
Chaque partie répond des manquements à ses obligations (RGPD art. 82). La limitation de responsabilité des CGU Praticien (art. 12) s'applique sous réserve des exclusions d'ordre public (faute lourde/intentionnelle, dommage corporel, sanctions CNIL, atteinte aux droits des personnes). Le Sous-traitant confirme la souscription d'une assurance responsabilité civile professionnelle couvrant le traitement de données.
Article 10 — Loi applicable
Droit français ; juridiction selon CGU Praticien.
Annexe 1 — Mesures techniques et organisationnelles (RGPD art. 32)
Confidentialité : mots de passe bcrypt (coût 12) ; chiffrement au repos AES-256-GCM des réponses, scores, brouillons, documents importés (purgés après import), secret 2FA ; TLS 1.2+ / HSTS ; cloisonnement multi-locataire applicatif ; sessions httpOnly/secure/sameSite=Strict (24 h) ; 2FA TOTP optionnelle ; clé maîtresse hors-serveur, non journalisée, distincte de l'instance canadienne.
Intégrité : chiffrement authentifié (AEAD) ; journal d'audit des actions sensibles (connexions, consultations, exports, imports, transmissions IA).
Disponibilité : sauvegardes quotidiennes chiffrées (30 j, contrôle SHA-256) ; hébergement Scalingo HDS (France).
Résilience : conteneurisation Docker non-root ; dépendances épinglées ; limitation de débit + verrouillage anti-brute-force (5 échecs/15 min) ; en-têtes de sécurité (HSTS, CSP, X-Frame-Options DENY, nosniff, Referrer-Policy).
Organisationnel : accès unique production journalisé ; pas d'accès DB depuis un poste de dev ; déploiement reproductible ; revue mensuelle des CVE ; registre des violations conservé 5 ans.
Annexe 2 — Sous-traitants ultérieurs autorisés
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Scalingo SAS | Hébergement applicatif + base de données (données de santé) | France (Outscale) | Certifié HDS ; DPA Scalingo ; données en France/UE |
| Brevo (Sendinblue SAS) | Envoi de courriels transactionnels | France / UE | DPA Brevo, RGPD. Aucune donnée de santé dans les courriels (avis génériques) ; seul le courriel du praticien est traité |
| Anthropic PBC | API IA d'extraction de questionnaires (usage explicite du praticien) | États-Unis | CCT (art. 46 RGPD), rétention 30 j, pas d'entraînement, SOC 2 Type II. Aucune donnée patient transmise. |
| Stripe | Paiement des abonnements | Stripe Payments Europe (Irlande, UE) + flux vers Stripe Inc. (USA) sous CCT | PCI-DSS niveau 1 ; aucune donnée de carte stockée par l'éditeur ; aucune donnée de santé ; données de facturation du praticien uniquement |
Toute modification est notifiée 30 jours à l'avance avec droit d'opposition/résiliation sans frais.
Acceptation
Réputé accepté conjointement avec les CGU Praticien à la création du compte, par case à cocher explicite horodatée. Version 1.0 — horodatage archivé automatiquement.