PappAI
Essai gratuit

Accord de traitement des donnees — Modele

Apercu de la structure du DPA de PappAI, des principales mesures techniques et de la liste des sous-traitants.

Version 1.0 · Modele (necessite une revue juridique avant utilisation contractuelle) · 21 fevrier 2026

Il s'agit d'un modele technique et operationnel. Il necessite une revue juridique et une personnalisation avant toute utilisation dans un contexte contractuel.

Structure du DPA

  1. Parties (Responsable du traitement et Sous-traitant).
  2. Objet et finalites du traitement.
  3. Duree, categories de donnees et personnes concernees.
  4. Instructions documentees du Responsable du traitement.
  5. Obligations du Sous-traitant.
  6. Sous-traitants ulterieurs et transferts hors UE/EEE/Royaume-Uni.
  7. Mesures de securite et procedures en cas de violation de donnees.
  8. Droits des personnes concernees, droits d'audit et resiliation.

Principales mesures techniques

  1. Controle d'acces base sur les roles et principe du moindre privilege.
  2. Chiffrement en transit (TLS) et au repos le cas echeant.
  3. Segregation des environnements : developpement / pre-production / production.
  4. Journaux d'audit operationnels et IA.
  5. Sauvegarde, recuperation et surveillance continue.
  6. Gestion des secrets via un gestionnaire de secrets dedie.

Sous-traitants ultérieurs actuels

PappAI s'appuie sur les sous-traitants ultérieurs suivants pour fournir le Service. Chaque entrée indique la finalité principale, le pays de traitement et la base juridique de tout transfert de données hors UE/EEE. La liste est tenue à jour et toute modification substantielle sera notifiée à l'avance aux responsables du traitement.

FournisseurFinalitéPays de traitementCatégories de donnéesTransfert / garanties
Google Cloud Platform (Google LLC)Hébergement cloud (Cloud Run, Cloud SQL), stockage objet (GCS), journalisation et surveillance.EU regions (europe-west1) — corporate USAToutes les données du Service : cliniques, compte, facturation, journaux opérationnels.EU SCC + DPA
Google Vertex AI (Google LLC)Inférence d'IA générative pour la rédaction de plans alimentaires et l'aide à l'analyse clinique.EU multi-region — corporate USADonnées d'entrée pseudonymisées transmises au modèle ; aucune donnée à caractère personnel ; aucune participation à l'entraînement.EU SCC + DPA · no training opt-in
Firebase (Google LLC)Authentification (jetons d'identité) et envoi des notifications push (FCM/APNs).USA — multi-regionIdentité de l'utilisateur (e-mail, téléphone), jetons push de l'appareil.EU SCC + DPA
Stripe Payments Europe LtdFacturation des abonnements, émission de factures, traitement des paiements.Ireland (EU)Données de compte et de facturation, historique des transactions. Aucune donnée clinique.Intra-EU
Brevo (Sendinblue SAS)Envoi d'e-mails transactionnels (compte, notifications de facturation, modèles professionnels).France (EU)E-mail du destinataire, contenu du message, statut de livraison.Intra-EU
Twilio Ireland LtdEnvoi de SMS / WhatsApp (canal historique).Ireland (EU) — corporate USANuméro de téléphone du destinataire, contenu du message, métadonnées de livraison.EU SCC + DPA
Meta Platforms Ireland LtdAPI WhatsApp Business Cloud pour les communications patients basées sur des modèles.Ireland (EU) — corporate USANuméro de téléphone du destinataire, variables de modèle, métadonnées de livraison.EU SCC + DPA
Google Analytics 4 (Google LLC)Statistiques d'usage agrégées sur le site public et l'application authentifiée.USA — corporateIdentifiants pseudonymes, pages vues, événements d'interaction. Aucune donnée clinique.EU SCC + DPA · consent-gated
Microsoft Clarity (Microsoft Corporation)Analyse UX anonymisée (cartes de chaleur, rejeux de session).USA — corporateIdentifiants pseudonymes, événements d'interaction. Aucune donnée clinique ; champs sensibles masqués.EU SCC + DPA · consent-gated

Tous les sous-traitants ultérieurs listés traitent les données dans le cadre d'accords écrits comportant des garanties conformes au RGPD (DPA, CCT de l'UE le cas échéant). Les données cliniques des patients ne sont jamais utilisées pour entraîner, affiner ou évaluer des modèles d'IA par quelque sous-traitant ultérieur que ce soit.

Annexes prevues

  1. Annexe A : detail du traitement (Art. 28(3) GDPR).
  2. Annexe B : liste actuelle des sous-traitants ulterieurs.
  3. Annexe C : mesures techniques et organisationnelles (MTO).

Nous respectons votre vie privée

Nous utilisons des cookies pour améliorer votre expérience, analyser le trafic du site et activer des fonctionnalités personnalisées. Vous pouvez accepter tous les cookies, refuser les non-essentiels ou gérer vos préférences. Politique des cookies