Contrat de sous-traitance (DPA)

[NOM DU CENTRE DE SANTÉ], [forme juridique], [adresse], immatriculé(e) sous le n° [SIRET] (ci-après « le Responsable de traitement » ou « le Client »),

Kurtiss, Société par Actions Simplifiée Unipersonnelle au capital de 500 €, immatriculée au RCS de Paris sous le n° 980631329, SIRET 98063132900029, dont le siège est situé 99 rue Jouffroy d'Abbans, 75017 Paris, France (ci-après « le Sous-traitant »).

Le Responsable de traitement et le Sous-traitant sont désignés ensemble les « Parties ».

Le présent contrat encadre les conditions dans lesquelles le Sous-traitant traite des données à caractère personnel pour le compte du Responsable de traitement, dans le cadre de la prestation Kurtiss : confirmation automatique de rendez-vous par agent vocal IA et repli SMS.

Le Sous-traitant agit exclusivement sur instruction documentée du Responsable de traitement.

Catégories de données traitées : identité et coordonnées du patient (civilité, prénom, nom, téléphone, e-mail le cas échéant), données de rendez-vous (date, heure, motif, statut), journaux techniques de confirmation (appels, SMS, réponses).

Finalités : confirmation ou annulation de rendez-vous, réduction des absences non excusées, traçabilité des échanges avec le patient.

Durée de conservation des données patients : suppression automatique des PII 90 jours après la date du rendez-vous, sauf obligation légale contraire ou demande d'effacement anticipée conforme au plancher légal (0 jours minimum).

• Personnes concernées : patients du Responsable de traitement.
• Pas d'enregistrement audio des appels par défaut.
• Chiffrement AES-256-GCM des PII au repos.

Le Sous-traitant s'engage à :

• Traiter les données uniquement pour les finalités définies et selon les instructions du Responsable de traitement.
• Garantir la confidentialité des personnes autorisées à traiter les données.
• Mettre en œuvre des mesures techniques et organisationnelles appropriées (chiffrement, cloisonnement multi-tenant, journalisation sans PII en clair).
• Notifier le Responsable de traitement, dans les meilleurs délais, de toute violation de données.
• Assister le Responsable de traitement pour répondre aux demandes d'exercice des droits (accès, effacement, etc.).
• Supprimer ou restituer les données à l'issue de la prestation, sous réserve des obligations légales de conservation.
• Mettre à disposition les informations nécessaires pour démontrer le respect du RGPD et permettre des audits.

Le Responsable de traitement autorise le recours aux sous-traitants ultérieurs suivants, hébergés dans l'Union européenne ou disposant de garanties appropriées :

• MongoDB Atlas (UE) — hébergement base de données.
• Vercel — hébergement applicatif.
• Vapi — orchestration d'appels vocaux sortants.
• Brevo — envoi de SMS et e-mails transactionnels.
• Upstash — files de messages et cache (région EU).
• Stripe — facturation B2B (données de facturation du Client, pas de patients).

Les données patients sont hébergées en priorité dans l'Union européenne. Tout transfert hors UE fait l'objet de clauses contractuelles types ou d'un mécanisme reconnu par la Commission européenne.

Mesures notamment : chiffrement au repos, blind index pour la recherche téléphonique sans déchiffrement, authentification forte, isolation par organisation, signatures HMAC sur les webhooks, liens SMS signés à usage limité, rate-limiting.

En cas de violation, notification au Responsable de traitement sans retard indu et, si possible, dans les 48 heures, à l'adresse contact@kurtiss.fr.

Le présent DPA prend effet à la date de souscription au service Kurtiss et demeure en vigueur pendant toute la durée de la prestation.

À la résiliation, le Sous-traitant supprime les données personnelles dans les délais contractuels, sauf obligation légale de conservation.

Délégué à la protection des données du Sous-traitant : contact@kurtiss.fr

Contact général : contact@kurtiss.fr