Accord de sous-traitance (DPA)

Entre les parties

Le Responsable de traitement (ci-après « le Client ») : le professionnel ayant souscrit au Service Alma, identifié par les informations fournies lors de la création de son compte (raison sociale, adresse, numéro SIRET, identité du représentant légal). Ces informations sont consultables à tout moment dans l'espace « Paramètres de l'agence » du Service.

Le Sous-traitant :
TWISTUP SAS
Société par Actions Simplifiée au capital de 200 €
Siège social : 1233 Route de Bragot, 31470 Fonsorbes
SIRET : 904 094 117 00010
RCS Toulouse 904 094 117
Email : contact@alma-sap.fr

Préambule

Le présent accord (ci-après « le DPA ») constitue l'annexe relative à la protection des données personnelles prévue à l'article 28 du RGPD. Il complète les Conditions Générales de Vente du logiciel Alma acceptées par le Client (ci-après « le Contrat principal »).

Le Client, en sa qualité d'agence d'aide à domicile, détermine les finalités et les moyens du traitement des données personnelles de ses bénéficiaires, aidants, intervenants et collaborateurs. Il confie au Sous-traitant l'hébergement et le traitement de ces données dans le cadre de l'utilisation de la plateforme Alma.

Le Sous-traitant s'engage à traiter les données personnelles uniquement pour le compte du Client, conformément aux instructions documentées de celui-ci et dans le respect du RGPD.

Article 1 — Objet

Le présent DPA définit les obligations du Sous-traitant en matière de protection des données personnelles traitées pour le compte du Client dans le cadre de l'exécution du Contrat principal.

Article 2 — Description des traitements

2.1 Nature et finalité des traitements

Le Sous-traitant traite les données personnelles pour les finalités suivantes, sur instruction du Client. Le traitement est limité aux données strictement nécessaires à chaque finalité (principe de minimisation, Art. 5.1.c RGPD) :

2.2 Types de données personnelles traitées

Données d'identification : nom, prénom, date de naissance, adresse, téléphone, email, numéro de sécurité sociale (chiffré), photo.

Données de santé (Art. 9 RGPD) :

• Grille AGGIR et niveau GIR (état de dépendance)
• Plans d'aide APA/PCH (révélateurs d'une situation de handicap ou de perte d'autonomie)
• Évaluations initiales et réévaluations
• Cahier de liaison (observations sur l'état du bénéficiaire)
• Comptes-rendus d'intervention (observations santé)
• Incidents signalés (chutes, malaises)

Données professionnelles : qualifications, contrats de travail, disponibilités, compteurs d'heures, soldes de congés.

Données financières : RIB (chiffré), factures, encaissements, prises en charge financeurs, attestations fiscales.

Données de géolocalisation : coordonnées GPS lors du pointage d'intervention (intervenants).

Données techniques : adresses IP, journaux d'audit, tokens d'authentification, identifiants de session.

2.3 Catégories de personnes concernées

• Bénéficiaires (clients de l'agence d'aide à domicile)
• Aidants et membres de la famille des bénéficiaires
• Intervenants (salariés de l'agence)
• Collaborateurs de l'agence (responsables, planificateurs, gestionnaires RH, comptables)

2.4 Durées de conservation

Le Sous-traitant conserve les données pour la durée du Contrat principal. À l'issue du contrat, les dispositions de l'article 11 s'appliquent.

2.5 Base légale des traitements

La base légale des traitements est déterminée par le Client en sa qualité de Responsable de traitement. À titre indicatif :

Article 3 — Obligations du Sous-traitant

3.1 Instructions documentées

a) Traiter les données personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers. Le présent DPA constitue les instructions initiales. Toute instruction supplémentaire doit être formulée par écrit.

b) Informer immédiatement le Client si, selon lui, une instruction constitue une violation du RGPD ou d'autres dispositions de l'Union ou des États membres relatives à la protection des données.

3.2 Confidentialité et formation

a) Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

b) Limiter l'accès aux données personnelles aux seuls membres du personnel dont l'intervention est nécessaire à l'exécution des prestations.

c) S'assurer que les personnes autorisées à traiter les données personnelles reçoivent une formation appropriée en matière de protection des données personnelles et de sécurité des données de santé. Cette formation est renouvelée à intervalles réguliers.

3.3 Sécurité du traitement (Art. 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment :

Chiffrement :

• Chiffrement au repos : AES-256 (base de données, fichiers stockés, sauvegardes)
• Chiffrement en transit : TLS 1.3 pour toutes les communications
• Chiffrement applicatif des champs sensibles (numéro de sécurité sociale, RIB)
• Clés de chiffrement stockées séparément des données chiffrées

Contrôle d'accès :

• Authentification JWT avec expiration courte (15 min access token, 7 jours refresh token)
• Politique de mot de passe différenciée par profil (12 caractères min. pour les collaborateurs)
• Authentification à deux facteurs (TOTP) obligatoire pour les administrateurs
• Modèle RBAC (Role-Based Access Control) : 9 rôles, principe du moindre privilège
• Isolation des données par tenant (Row-Level Security PostgreSQL)

Disponibilité et résilience :

• Hébergement multi-zone de disponibilité (AWS eu-west-3, Paris)
• Sauvegardes quotidiennes chiffrées, rétention 30 jours
• Sauvegardes incrémentales horaires, rétention 7 jours
• RPO (Recovery Point Objective) : 1 heure
• RTO (Recovery Time Objective) : 4 heures

Traçabilité :

• Journal d'audit immutable (connexions, accès aux données sensibles, modifications, exports)
• Journaux conservés 5 ans
• Horodatage de toutes les actions

3.4 Sous-traitance ultérieure

a) Le Client autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à l'Annexe 1 du présent DPA.

b) Le Sous-traitant informe le Client par écrit de tout ajout ou remplacement de sous-traitant ultérieur, en lui laissant la possibilité d'émettre des objections dans un délai de 30 jours. En l'absence d'objection dans ce délai, le changement est réputé accepté.

c) En cas d'objection justifiée du Client, les Parties se concertent pour trouver une solution alternative. À défaut d'accord dans un délai de 30 jours, le Client pourra résilier le Contrat principal.

d) Le Sous-traitant impose à tout sous-traitant ultérieur, par voie contractuelle, les mêmes obligations de protection des données que celles prévues au présent DPA. Le Sous-traitant reste pleinement responsable devant le Client de l'exécution des obligations par le sous-traitant ultérieur.

3.5 Coopération

Le Sous-traitant aide le Client, dans la mesure du possible et compte tenu de la nature du traitement :

a) À s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées. Le Sous-traitant répond aux demandes d'assistance du Client dans un délai de 5 jours ouvrés :

• Droit d'accès (Art. 15) : export complet des données personnelles au format JSON/CSV
• Droit de rectification (Art. 16) : modification des données via l'interface ou sur demande
• Droit à l'effacement (Art. 17) : anonymisation irréversible des données (sauf obligations légales de conservation)
• Droit à la portabilité (Art. 20) : export au format structuré (JSON/CSV)
• Droit d'opposition (Art. 21) : désinscription des communications non essentielles
• Droit à la limitation (Art. 18) : gel du traitement sur demande

b) À assurer le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact).

c) À coopérer avec l'autorité de contrôle (CNIL) en cas de contrôle portant sur les traitements effectués pour le compte du Client, et à en informer le Client dans les meilleurs délais, sauf interdiction légale.

3.6 Notification des violations de données

a) Le Sous-traitant notifie le Client de toute violation de données personnelles dans un délai de 48 heures après en avoir pris connaissance.

b) Cette notification comprend au minimum :

• La nature de la violation (catégorie et nombre approximatif de personnes et d'enregistrements concernés)
• Le nom et les coordonnées du point de contact
• Les conséquences probables de la violation
• Les mesures prises ou proposées pour remédier à la violation et atténuer ses éventuels effets négatifs

c) Le Sous-traitant aide le Client à respecter ses obligations de notification à la CNIL (72 heures, Art. 33 RGPD) et aux personnes concernées (Art. 34 RGPD), le cas échéant.

d) Le Sous-traitant documente toute violation dans un registre des violations.

3.7 Analyse d'impact (AIPD)

a) Le Sous-traitant aide le Client à réaliser une analyse d'impact relative à la protection des données (Art. 35 RGPD) lorsque celle-ci est nécessaire, en fournissant les informations sur les traitements effectués et les mesures de sécurité mises en œuvre.

b) Le Sous-traitant s'engage à réaliser, avant la mise en production du Service, une Analyse d'Impact relative à la Protection des Données (AIPD) au titre de l'article 35 du RGPD, portant sur les traitements de données de santé effectués pour le compte de ses clients. Cette AIPD est tenue à la disposition du Client sur demande.

3.8 Audit

a) Le Sous-traitant met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA.

b) Le Sous-traitant autorise et contribue aux audits, y compris aux inspections, réalisés par le Client ou un auditeur mandaté par le Client. Le Client notifie le Sous-traitant au moins 15 jours ouvrables à l'avance. Les audits sont réalisés pendant les heures ouvrables et ne doivent pas perturber les activités du Sous-traitant.

c) Les coûts de l'audit sont à la charge du Client, sauf si l'audit révèle un manquement du Sous-traitant à ses obligations.

d) Le Sous-traitant peut satisfaire à cette obligation d'audit en fournissant un rapport d'audit indépendant (type SOC 2 ou équivalent) ou les certifications applicables de son hébergeur (HDS, ISO 27001).

Article 4 — Obligations du Client

Le Client s'engage à :

• Documenter par écrit toute instruction relative au traitement des données personnelles.
• Veiller à la licéité des traitements et à la détermination de la base légale applicable.
• Informer les personnes concernées du traitement de leurs données personnelles conformément aux articles 13 et 14 du RGPD.
• Recueillir, le cas échéant, le consentement des personnes concernées (notamment pour les données de santé en cas de service agréé DREETS).
• Répondre aux demandes d'exercice des droits des personnes concernées, avec l'assistance du Sous-traitant.
• Tenir le registre des traitements en sa qualité de Responsable de traitement (Art. 30 RGPD).
• Réaliser, le cas échéant, l'analyse d'impact relative à la protection des données (Art. 35 RGPD).

Article 5 — Localisation et transferts de données

a) Les données personnelles sont hébergées exclusivement au sein de l'Union Européenne, sur l'infrastructure AWS eu-west-3 (Paris, France), certifiée Hébergeur de Données de Santé (HDS).

b) Le Sous-traitant s'engage à ne procéder à aucun transfert de données personnelles vers un pays tiers hors de l'Espace Économique Européen sans l'accord préalable écrit du Client et sans que des garanties appropriées aient été mises en place (clauses contractuelles types, décision d'adéquation, ou autre mécanisme prévu par le RGPD).

c) Par exception, le service CDN (Cloudflare, Inc.) traite des données techniques (adresses IP, en-têtes HTTP) sur des serveurs situés hors de l'EEE. Ce transfert est encadré par le Data Privacy Framework UE-États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023) et par les clauses contractuelles types de Cloudflare. Aucune donnée de santé ni donnée applicative ne transite par ce service.

d) En cas de demande d'accès aux données par une autorité d'un pays tiers, le Sous-traitant en informe immédiatement le Client, sauf interdiction légale.

Article 6 — Hébergement de Données de Santé (HDS)

a) Alma traite des données de santé au sens de l'article L.1111-8 du Code de la santé publique. L'hébergement de ces données est assuré par un prestataire certifié HDS.

b) L'hébergeur sous-traitant ultérieur (Amazon Web Services — AWS) est certifié HDS pour les services utilisés (ECS, RDS, ElastiCache, ALB) sur la région eu-west-3 (Paris). Le Sous-traitant s'engage à vérifier que son hébergeur maintient une certification HDS conforme au référentiel en vigueur, y compris le référentiel HDS v2 applicable à compter du 16 mai 2026. En cas de perte de certification par l'hébergeur, le Sous-traitant en informe le Client sous 15 jours et propose une solution de migration.

c) Le Sous-traitant met en œuvre les mesures de sécurité applicatives décrites à l'article 3.3, en complément des garanties d'infrastructure fournies par l'hébergeur certifié HDS.

d) Le contrat entre le Sous-traitant et l'hébergeur (BAA/Addendum HDS AWS) est disponible sur demande du Client.

Article 7 — Registre des traitements du Sous-traitant

Conformément à l'article 30.2 du RGPD, le Sous-traitant tient un registre des activités de traitement effectuées pour le compte du Client, comprenant :

• Le nom et les coordonnées du Sous-traitant et du Client
• Les catégories de traitements effectués pour le compte du Client
• Les transferts de données vers des pays tiers (le cas échéant)
• Une description générale des mesures de sécurité techniques et organisationnelles

Article 8 — Points de contact et référent données personnelles

8.1 Point de contact opérationnel

Chez le Sous-traitant : Bastien Vialade, Président — bastien@alma-sap.fr

Chez le Client : le représentant légal ou la personne désignée dans l'espace « Paramètres de l'agence » du Service.

8.2 Référent à la protection des données

Le Sous-traitant désigne un référent à la protection des données personnelles : dpo@alma-sap.fr

Le Sous-traitant évaluera, conformément à l'article 37 du RGPD, la nécessité de désigner un Délégué à la Protection des Données (DPO) au regard de l'évolution de son activité. Le Client communique au Sous-traitant les coordonnées de son propre DPO ou référent, le cas échéant.

Article 9 — Responsabilité

a) Chaque Partie est responsable des dommages causés par un traitement non conforme au RGPD.

b) Le Sous-traitant n'est pas responsable des dommages causés par un traitement pour lequel il n'a pas respecté les obligations incombant spécifiquement aux sous-traitants en vertu du RGPD, ou pour lequel il a agi en dehors des instructions licites du Client ou contrairement à celles-ci.

c) La limitation de responsabilité prévue dans le Contrat principal (CGV Art. 11) s'applique au présent DPA, à l'exception des dommages résultant :

• d'une violation du RGPD imputable au Sous-traitant (articles 82 et 83 RGPD) ;
• d'un manquement du Sous-traitant à ses obligations en matière de sécurité des données de santé (article L.1111-8 CSP) ;
• d'un acte de négligence grave ou intentionnel.

Pour ces cas, la responsabilité du Sous-traitant est plafonnée à deux (2) fois le montant annuel de l'abonnement, sans pouvoir être inférieure à 10 000 €.

Article 10 — Durée

Le présent DPA prend effet à la date d'acceptation du Contrat principal par le Client et reste en vigueur aussi longtemps que le Sous-traitant traite des données personnelles pour le compte du Client.

Article 11 — Sort des données en fin de contrat

a) À l'issue du Contrat principal ou à la demande du Client, le Sous-traitant restitue au Client l'ensemble de ses données personnelles dans un format structuré et couramment utilisé (CSV, JSON), dans un délai de 90 jours suivant la fin du contrat, puis supprime toutes les copies des données personnelles, sauf obligation légale de conservation.

b) L'export des données est inclus dans l'abonnement et ne fait l'objet d'aucune facturation supplémentaire.

c) Le Sous-traitant fournit au Client une attestation de suppression des données après l'expiration du délai de restitution.

d) Les données soumises à une obligation légale de conservation (factures : 10 ans ; données de santé : 20 ans) sont conservées dans les conditions de sécurité prévues au présent DPA, pour la durée strictement nécessaire au respect de l'obligation légale, puis supprimées.

Article 12 — Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution est soumis aux dispositions du Contrat principal (CGV Art. 13 et 14).

Article 13 — Dispositions générales

a) En cas de contradiction entre le présent DPA et le Contrat principal, les dispositions du présent DPA prévalent pour tout ce qui concerne la protection des données personnelles.

b) Si une disposition du présent DPA est déclarée nulle, les autres dispositions restent en vigueur.

c) Le Sous-traitant peut modifier le présent DPA pour se conformer à l'évolution de la législation applicable ou pour refléter des modifications du Service. Le Client est informé par email au moins 30 jours avant l'entrée en vigueur des modifications. La poursuite de l'utilisation du Service après cette date vaut acceptation des modifications. Si le Client refuse les modifications, il peut résilier le Contrat principal conformément à l'article 6 des CGV.

Modalités d'acceptation

Le présent DPA est accepté par le Client lors de la souscription au Service Alma, par voie électronique (case à cocher dédiée, distincte de l'acceptation des CGV). Cette acceptation constitue une signature électronique au sens de l'article 1366 du Code civil et de l'article 25 du règlement eIDAS.

La date d'effet du présent DPA est la date d'acceptation des Conditions Générales de Vente par le Client.

Le Sous-traitant conserve la preuve de l'acceptation (horodatage, adresse IP, identifiant utilisateur, version du DPA acceptée) conformément à l'article 1127-2 du Code civil.

Annexe 1 — Liste des sous-traitants ultérieurs

Annexe 2 — Mesures techniques et organisationnelles