GDPR · Art. 28

Accord de Traitement des Données

Article 28 RGPD — pour les abonnés institutionnels

En vigueur depuis le 24 juin 2026

Données hébergées en UERGPD Art. 28 conformeRéponse sous 48h

Demander un exemplaire signé

Pour obtenir un exemplaire contresigné de cet accord (nécessaire pour les dossiers d'achat institutionnel), contactez-nous. Nous répondons sous 2 jours ouvrés avec un PDF contresigné.

Demander le DPA signé →

1. Parties

Responsable du traitement : L'organisation souscrivant aux services HealthWatch Global (ci-après « Responsable »).

Sous-traitant : HealthWatch Global, exploité par David Deheunynck, entrepreneur individuel (France) (ci-après « Sous-traitant »). Cet accord fait partie intégrante des CGU et régit tout traitement de données personnelles effectué par le Sous-traitant pour le compte du Responsable.

2. Objet et finalité

Le Sous-traitant fournit aux utilisateurs autorisés du Responsable l'accès à HealthWatch Global, un tableau de bord de surveillance épidémique en temps réel. Dans ce cadre, le Sous-traitant traite des données personnelles pour le compte du Responsable selon les modalités définies dans le présent accord.

3. Catégories de données personnelles

Catégorie	Détail	Personnes concernées
Identifiants de compte	Adresse e-mail, mot de passe haché	Utilisateurs autorisés du Responsable
Données de profil	Nom, organisation, rôle (si renseigné)	Utilisateurs autorisés du Responsable
Préférences d'alertes	Régions, maladies surveillées, langue	Utilisateurs autorisés du Responsable
Données d'utilisation	Horodatages de connexion, fonctionnalités consultées	Utilisateurs autorisés du Responsable
Données de facturation	E-mail de facturation, nom d'organisation (les données de carte bancaire sont traitées directement par Stripe)	Contact facturation

4. Obligations du Sous-traitant (Art. 28 RGPD)

a) Traiter les données personnelles uniquement sur instruction documentée du Responsable, y compris en ce qui concerne les transferts vers des pays tiers ;
b) Garantir la confidentialité des personnes autorisées à traiter les données ;
c) Mettre en œuvre les mesures techniques et organisationnelles prévues à l'article 32 RGPD ;
d) Respecter les conditions d'engagement des sous-traitants ultérieurs (Art. 28(2)-(4) RGPD) ;
e) Aider le Responsable à donner suite aux demandes d'exercice des droits des personnes concernées ;
f) Aider le Responsable à garantir le respect des articles 32 à 36 RGPD (sécurité, notification de violations, AIPD, consultation préalable) ;
g) Supprimer ou restituer toutes les données personnelles au Responsable à l'issue des services, et supprimer les copies existantes sauf obligation légale contraire ;
h) Mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations et permettre les audits.

5. Sous-traitants ultérieurs

Le Responsable autorise de manière générale le recours aux sous-traitants ultérieurs suivants. Le Sous-traitant informera le Responsable de tout ajout ou remplacement planifié, lui laissant la possibilité de s'y opposer.

Sous-traitant	Finalité	Localisation	Garanties
Supabase Inc.	Base de données & authentification	UE — Frankfurt (Allemagne)	AWS eu-central-1 · DPA Supabase
Sendinblue SAS (Brevo)	Emails transactionnels & alertes	UE — Paris (France)	Entreprise française · RGPD natif
Vercel Inc.	Hébergement & CDN	CDN mondial (edge UE dispo)	SCCs · EU region configurable
Stripe Inc.	Traitement des paiements	UE / États-Unis	DPA Stripe · SCCs transferts US

6. Mesures de sécurité (Art. 32 RGPD)

Chiffrement en transit : HTTPS/TLS 1.2+ sur toutes les communications
Chiffrement au repos : AES-256 (Supabase managed encryption)
Contrôle d'accès : accès basé sur les rôles, principe de moindre privilège
Authentification : Supabase Auth avec gestion sécurisée des sessions
Surveillance : monitoring de disponibilité, journalisation des erreurs (Sentry)
Sauvegardes : sauvegardes quotidiennes automatisées (Supabase)
Disponibilité : objectif de 99,9 % de disponibilité (infrastructure Vercel + Supabase)

7. Notification de violation de données

En cas de violation de données personnelles, le Sous-traitant en informera le Responsable sans délai injustifié et, dans la mesure du possible, dans un délai de 24 heures après en avoir pris connaissance. La notification comprendra toutes les informations requises par l'article 33(3) RGPD.

8. Durée et suppression

Le présent accord est valable pour la durée de l'abonnement aux services HealthWatch Global. À la résiliation, le Sous-traitant supprimera ou restituera toutes les données personnelles dans un délai de 30 jours, fournira un export CSV à la demande du Responsable avant suppression, et supprimera toutes les copies existantes sauf obligation légale.

9. Droit applicable

Le présent accord est régi par le droit français et le Règlement (UE) 2016/679 (RGPD). Tout litige sera soumis à la compétence exclusive des tribunaux de Paris, France.

Demander un exemplaire signé

Pour obtenir un exemplaire contresigné de cet accord (nécessaire pour les dossiers d'achat institutionnel), contactez-nous. Nous répondons sous 2 jours ouvrés avec un PDF contresigné.

Demander le DPA signé →

1. Parties

Responsable du traitement : L'organisation souscrivant aux services HealthWatch Global (ci-après « Responsable »).

2. Objet et finalité

3. Catégories de données personnelles

Catégorie	Détail	Personnes concernées
Identifiants de compte	Adresse e-mail, mot de passe haché	Utilisateurs autorisés du Responsable
Données de profil	Nom, organisation, rôle (si renseigné)	Utilisateurs autorisés du Responsable
Préférences d'alertes	Régions, maladies surveillées, langue	Utilisateurs autorisés du Responsable
Données d'utilisation	Horodatages de connexion, fonctionnalités consultées	Utilisateurs autorisés du Responsable
Données de facturation	E-mail de facturation, nom d'organisation (les données de carte bancaire sont traitées directement par Stripe)	Contact facturation

4. Obligations du Sous-traitant (Art. 28 RGPD)

a) Traiter les données personnelles uniquement sur instruction documentée du Responsable, y compris en ce qui concerne les transferts vers des pays tiers ;

b) Garantir la confidentialité des personnes autorisées à traiter les données ;

c) Mettre en œuvre les mesures techniques et organisationnelles prévues à l'article 32 RGPD ;

d) Respecter les conditions d'engagement des sous-traitants ultérieurs (Art. 28(2)-(4) RGPD) ;

e) Aider le Responsable à donner suite aux demandes d'exercice des droits des personnes concernées ;

f) Aider le Responsable à garantir le respect des articles 32 à 36 RGPD (sécurité, notification de violations, AIPD, consultation préalable) ;

g) Supprimer ou restituer toutes les données personnelles au Responsable à l'issue des services, et supprimer les copies existantes sauf obligation légale contraire ;

h) Mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations et permettre les audits.

5. Sous-traitants ultérieurs

Sous-traitant	Finalité	Localisation	Garanties
Supabase Inc.	Base de données & authentification	UE — Frankfurt (Allemagne)	AWS eu-central-1 · DPA Supabase
Sendinblue SAS (Brevo)	Emails transactionnels & alertes	UE — Paris (France)	Entreprise française · RGPD natif
Vercel Inc.	Hébergement & CDN	CDN mondial (edge UE dispo)	SCCs · EU region configurable
Stripe Inc.	Traitement des paiements	UE / États-Unis	DPA Stripe · SCCs transferts US

6. Mesures de sécurité (Art. 32 RGPD)

Chiffrement en transit : HTTPS/TLS 1.2+ sur toutes les communications

Chiffrement au repos : AES-256 (Supabase managed encryption)

Contrôle d'accès : accès basé sur les rôles, principe de moindre privilège

Authentification : Supabase Auth avec gestion sécurisée des sessions

Surveillance : monitoring de disponibilité, journalisation des erreurs (Sentry)

Sauvegardes : sauvegardes quotidiennes automatisées (Supabase)

Disponibilité : objectif de 99,9 % de disponibilité (infrastructure Vercel + Supabase)

8. Durée et suppression