Accord de Traitement des Données

2.1 VitaFlow Care en tant que Responsable du traitement

VitaFlow Care agit en tant que Responsable du traitement pour : Les comptes utilisateurs de la plateforme, les données d'utilisation et analyses de la plateforme, les communications via nos systèmes, la facturation et gestion des abonnements, les communications marketing (avec consentement).

Nos responsabilités : Déterminer les finalités et moyens du traitement, assurer la base légale, mettre en œuvre des mesures appropriées, répondre aux demandes des Personnes concernées, notifier l'APD belge des violations dans les 72 heures, maintenir des registres de traitement.

2.2 Praticiens en tant que Responsables du traitement

Les Praticiens agissent en tant que Responsables du traitement pour : Les données de santé des clients collectées lors des rendez-vous, les réponses aux questionnaires, les notes cliniques et dossiers de traitement, les données collectées en dehors de la plateforme.

Responsabilités des Praticiens : Se conformer au RGPD et aux lois belges sur les soins de santé, obtenir le consentement explicite pour les données de santé, maintenir la confidentialité professionnelle, avoir une base légale pour le traitement, respecter les droits des Personnes concernées, maintenir l'assurance et la conformité.

2.3 VitaFlow Care en tant que Sous-traitant

VitaFlow Care agit en tant que Sous-traitant pour le compte des Praticiens pour : Le stockage des données de rendez-vous des clients, la livraison des messages, le stockage des réponses aux questionnaires, la gestion des dossiers clients.

Nos responsabilités : Traiter uniquement selon les instructions documentées du Praticien, assurer la confidentialité du personnel, mettre en œuvre des mesures de sécurité, assister les demandes des Personnes concernées, assister les notifications de violations, supprimer ou retourner les données sur demande.

2.4 Responsables conjoints du traitement

VitaFlow Care et les Praticiens peuvent être Responsables conjoints du traitement pour : Les réservations et gestion des rendez-vous, les rappels automatiques de rendez-vous, la gestion des listes d'attente.

Responsabilités conjointes : Nous déterminons conjointement les finalités et moyens, informons les Personnes concernées de manière transparente de nos rôles respectifs, avons un arrangement définissant nos responsabilités respectives.

3.1 Traitement autorisé

En utilisant la plateforme, les Praticiens instruisent VitaFlow Care de : Stocker les profils clients et l'historique des rendez-vous, faciliter les réservations de rendez-vous, livrer les messages, stocker les réponses aux questionnaires, envoyer des rappels et notifications, gérer les listes d'attente, fournir des analyses de cabinet.

Traitement interdit

VitaFlow Care ne doit PAS : Traiter les données des clients pour des finalités non autorisées, partager les données des clients sauf avec les Sous-traitants ultérieurs, utiliser les données des clients pour le marketing sans consentement, traiter des données en dehors de l'UE/EEE sans garanties appropriées.

3.2 Modifications des instructions

Les Praticiens peuvent modifier les instructions via les paramètres du tableau de bord ou en envoyant un e-mail à [email protected]. Nous confirmerons la faisabilité dans les 10 jours ouvrables.

4.1 Sous-traitants ultérieurs autorisés

VitaFlow Care engage les Sous-traitants ultérieurs suivants :

• Supabase : Base de données, Auth, Stockage - UE (Francfort, Allemagne)
• Hetzner : Hébergement Backend - Infrastructure UE
• Vercel : Hébergement Frontend - Edge UE
• Cloudflare : CDN, Stockage & DNS - Mondial (résidence UE)
• Resend : Livraison d'e-mails - Conforme UE
• Polar : Traitement des paiements - UE
• Google/Microsoft : API Calendrier - Mondial (conforme RGPD)

4.2 Exigences pour les Sous-traitants ultérieurs

Nous nous assurons que tous les Sous-traitants ultérieurs : Traitent les données uniquement selon nos instructions, maintiennent la confidentialité, mettent en œuvre une sécurité appropriée, assistent les demandes des Personnes concernées, nous informent immédiatement des violations, permettent des audits.

4.3 Modifications des Sous-traitants ultérieurs

Nous informerons les Praticiens au moins 30 jours avant d'engager de nouveaux Sous-traitants ultérieurs. Les Praticiens peuvent s'opposer dans les 15 jours ; si nous ne pouvons pas accommoder, ils peuvent résilier sans pénalité.

5.1 Mesures techniques

Chiffrement : TLS 1.3 pour les données en transit, AES-256 pour les données au repos, chiffrement au niveau de la base de données, sauvegardes chiffrées de bout en bout.

Contrôle d'accès : Contrôle d'accès basé sur les rôles (RBAC), MFA pour les comptes administrateurs, identifiants utilisateurs uniques, expiration automatique des sessions, revues d'accès régulières.

Sécurité réseau : Protection par pare-feu, détection et prévention des intrusions, atténuation DDoS (Cloudflare), isolation VPC, analyse régulière des vulnérabilités.

Sécurité des applications : Validation des entrées, prévention des injections SQL, protection XSS, protection CSRF, en-têtes de sécurité, revues de code régulières.

5.2 Mesures organisationnelles

Sécurité du personnel : Vérifications des antécédents, accords de confidentialité, formation régulière à la sécurité, politiques documentées, principe du moindre privilège.

Sécurité physique : Centres de données certifiés ISO 27001, sécurité et surveillance 24/7, accès biométrique, contrôles environnementaux.

Sécurité opérationnelle : Gestion des changements, plan de réponse aux incidents, continuité des activités et reprise après sinistre, audits réguliers et tests de pénétration.

5.3 Tests et audits

Tests réguliers : Tests de pénétration annuels, évaluations trimestrielles des vulnérabilités, surveillance continue, tests semestriels de reprise après sinistre. Audits de conformité : SOC 2 Type 2 annuel, évaluations RGPD, audits internes trimestriels.

6.1 Assistance aux demandes des Personnes concernées

Droit d'accès (Article 15) : Fonctionnalité d'export de données, format lisible par machine (JSON, CSV) dans les 30 jours.

Droit de rectification (Article 16) : Permettre les mises à jour, corriger les inexactitudes dans les 5 jours ouvrables.

Droit à l'effacement (Article 17) : Suppression sur instruction dans les 30 jours, suppression des sauvegardes dans les 90 jours (sauf registres requis légalement).

Droit à la portabilité (Article 20) : Format structuré et lisible par machine, permettre le transfert vers un autre responsable.

Droit d'opposition (Article 21) : Cesser le traitement sur opposition lorsque légalement autorisé.

Droit à la limitation (Article 18) : Suspendre temporairement le traitement, marquer les données comme restreintes.

6.2 Délais de réponse

Réponse initiale : Accuser réception de la demande dans les 5 jours ouvrables.

Réponse complète : Dans les 30 jours (peut être prolongé à 60 jours pour les demandes complexes).

Demandes urgentes : Priorité pour les situations présentant un préjudice potentiel.

7.1 Obligations de notification

À l'APD belge : Signalement dans les 72 heures avec description de la violation, catégories et portée affectées, conséquences probables, mesures d'atténuation, point de contact.

Aux Praticiens affectés : Notification sans délai injustifié (généralement dans les 24 heures), fourniture des détails de la violation et des mesures d'atténuation.

Aux Personnes concernées affectées (si requis) : Notification directe en cas de risque élevé, description claire, étapes pour se protéger.

7.2 Processus de réponse aux violations

Détection & Confinement (0-2 heures) : Identifier et isoler les systèmes affectés, prévenir tout accès ultérieur, préserver les preuves.

Évaluation (2-24 heures) : Déterminer la portée et la gravité, identifier les données et individus affectés, évaluer le risque.

Notification (24-72 heures) : Notifier l'APD belge (si requis), les Praticiens et Personnes concernées (si risque élevé).

Enquête & Remédiation (72 heures - 30 jours) : Analyse des causes profondes, mise en œuvre des actions correctives, mise à jour de la sécurité.

7.3 Obligations des Praticiens

Si les Praticiens ont connaissance d'une violation, ils doivent : Nous informer immédiatement via [email protected], fournir les détails de l'incident, coopérer à l'enquête, respecter les exigences de notification de violation à leurs Clients si applicable.

8.1 Localisation des données

Toutes les données personnelles stockées sur des serveurs UE (Allemagne : Supabase). Sauvegardes stockées dans l'UE. Pas de transferts réguliers hors UE/EEE.

8.2 Transferts vers des pays tiers

Si un transfert hors UE/EEE est nécessaire, nous transférons uniquement vers des pays offrant une protection adéquate via : Décision d'adéquation de la Commission européenne (Article 45), Clauses Contractuelles Types (Article 46), Règles d'entreprise contraignantes, EU-US Data Privacy Framework.

9.1 Périodes de conservation

Données de compte : Conservées tant qu'actives ; supprimées dans les 90 jours suivant la fermeture.

Données de rendez-vous : Rendez-vous passés conservés pendant 7 ans (exigence belge pour les dossiers médicaux).

Données de santé (questionnaires) : Conservées pendant 7 ans après le dernier rendez-vous ou selon les obligations professionnelles.

Messages : Conservés pendant 5 ans pour la conformité légale.

Registres financiers : Conservés pendant 7 ans (loi fiscale belge).

Données analytiques : Données individuelles anonymisées après 2 ans ; données agrégées conservées indéfiniment.

Sauvegardes : Conservées pendant 90 jours.

9.2 Procédures de suppression

Lors de la suppression du compte : Désactiver l'accès immédiatement, supprimer les données personnelles dans les 30 jours, supprimer des sauvegardes dans les 90 jours, conserver uniquement les registres requis légalement. Méthodes de suppression sécurisées incluant l'effacement cryptographique.

9.3 Retour ou suppression à la résiliation

À la résiliation, les Praticiens peuvent demander : Le retour de toutes les données clients (fourni dans les 30 jours), ou la suppression de toutes les données clients (complétée dans les 90 jours). Confirmation écrite de suppression fournie.

10.1 Responsabilité de VitaFlow Care

Nous sommes responsables des violations causées par notre négligence ou faute intentionnelle. La responsabilité totale ne dépassera pas le plus élevé de 100 000 € par incident ou le montant payé dans les 12 mois précédents. Cela ne s'applique pas à la négligence grave, la faute intentionnelle, ou la responsabilité non limitable par la loi belge.

10.2 Responsabilité des Praticiens

Les Praticiens sont responsables de la fourniture d'instructions de traitement illégales, du non-obtention des consentements nécessaires, et du non-respect des obligations de Responsable du traitement selon le RGPD.

10.3 Indemnisation mutuelle

Chaque partie indemnisera l'autre pour les amendes réglementaires, réclamations de tiers, et coûts de remédiation des violations découlant des violations de protection des données de l'autre partie.

12.1 Droits d'audit des Praticiens

Les Praticiens peuvent demander des informations, rapports d'audit (SOC 2) et réaliser des audits pour vérifier la conformité au RGPD. Exigences : 30 jours de préavis écrit, limité à une fois par an sauf suspicion de violation, le Praticien supporte les coûts. Nous fournissons des rapports SOC 2 Type 2 annuels sans frais.

12.2 Audits réglementaires

Nous coopérons pleinement avec les audits de l'APD belge et autres autorités de contrôle compétentes.

13.1 Processus d'escalade

Pour les litiges : D'abord tenter une résolution informelle, puis escalade managériale et médiation. Si non résolu dans les 60 jours, action en justice devant les tribunaux belges.

13.2 Autorité de contrôle

Les deux parties peuvent déposer une plainte auprès de l'Autorité de Protection des Données belge.