DPA — Contrat de sous-traitance des données
Article 28 RGPD · Dernière mise à jour : 25 mai 2026
Préambule
Dans le cadre de l'utilisation du service Opticlic, l'opticien (ci-après le « Responsable de traitement ») confie à Opticlic (ci-après le « Sous-traitant ») le traitement de données à caractère personnel relatives aux patients du Responsable de traitement.
Le présent contrat de sous-traitance (DPA) précise les obligations du Sous-traitant conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD). Il est réputé accepté dès la première utilisation du Service par le Responsable de traitement.
1. Description du traitement
| Nature et finalité | Hébergement et traitement des données patients en vue du calcul de l'Annexe 15 INAMI et de la génération du formulaire récapitulatif. |
|---|---|
| Catégories de données | Identité (nom, prénom, NISS, date de naissance), adresse, mutuelle, données de santé (prescription ophtalmologique, équipement, pathologies), données économiques (prix, remboursement). |
| Catégories de personnes | Patients du Responsable de traitement. |
| Durée | Durée de l'abonnement + 5 ans (durée légale Annexe 15) sauf demande de suppression anticipée par le Responsable de traitement. |
2. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Traiter les données uniquement sur instructions documentées du Responsable de traitement, sauf obligation légale contraire ;
- Garantir la confidentialité par le personnel ayant accès aux données ;
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) : chiffrement TLS, chiffrement applicatif au repos des champs sensibles, Row Level Security PostgreSQL, audit log, sauvegardes chiffrées, hébergement EU ;
- Notifier toute violation de données au Responsable de traitement dans les 24 heures de sa constatation ;
- Aider le Responsable de traitement à répondre aux demandes des personnes concernées (droits d'accès, rectification, effacement, portabilité) ;
- Coopérer aux analyses d'impact (DPIA) et aux consultations préalables requises par le Responsable de traitement ;
- À la fin du contrat : restituer ou supprimer toutes les données et leurs copies, sauf obligation légale de conservation.
3. Sous-sous-traitants autorisés
Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-sous-traitants suivants, qui ont signé des engagements RGPD équivalents :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase Inc. | Hébergement BDD + auth | Frankfurt (DE) |
| Vercel Inc. | Hébergement application | EU (fra1) |
| Stripe Payments Europe | Paiement | Dublin (IE) |
| Resend | E-mails transactionnels | EU |
Tout changement de sous-traitant sera notifié au Responsable de traitement au moins 30 jours avant. Le Responsable de traitement peut s'y opposer pour motif sérieux ; à défaut d'accord, le contrat peut être résilié.
4. Transferts hors UE
Aucun transfert de données hors Union européenne n'est effectué dans le cadre du Service.
5. Droits du Responsable de traitement
Le Responsable de traitement dispose d'un droit d'audit (sur pièces ou sur site, après préavis raisonnable) pour vérifier la conformité du Sous-traitant. Les frais d'audit sont à la charge du Responsable de traitement.
6. Responsabilité
La responsabilité de chacune des parties est régie par l'article 82 RGPD. Le Sous-traitant n'est responsable que des dommages causés par l'inexécution de ses obligations spécifiques.
7. Durée et résiliation
Le présent DPA est conclu pour la durée de l'abonnement au Service. Il peut être résilié de plein droit en cas de manquement grave et persistant aux obligations RGPD.
⚠ Document modèle, à faire valider par un juriste / DPO avant usage avec des clients réels. Une version PDF signable sera mise à disposition après la mise en production.