Contrat de sous-traitance — RGPD article 28

Article 1 — Parties au contrat

Le présent contrat est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD) et encadre le traitement des données personnelles confiées par le Thérapeute à KONNEKT dans le cadre de l'utilisation de therâm.

Article 2 — Objet et finalité du traitement

KONNEKT traite les données personnelles uniquement pour les finalités suivantes, sur instruction documentée du Thérapeute :

• Mise à disposition du logiciel therâm (agenda, dossier patient, facturation, bilans, messagerie)
• Prise de rendez-vous en ligne par les patients via le lien de réservation public
• Envoi d'emails de confirmation et de rappel de rendez-vous
• Génération automatique de bilans, transcriptions audio et OCR (Intelligence Artificielle, offre Sérénité uniquement)
• Synchronisation optionnelle avec Google Calendar / Google Agenda
• Support technique et maintenance évolutive / corrective
• Sauvegarde et restauration des données

KONNEKT n'utilise en aucun cas les données des patients à des fins commerciales, publicitaires, de profilage, de revente ou d'entraînement de modèles d'IA.

Article 3 — Nature des données et personnes concernées

3.1 Catégories de personnes concernées

• Le Thérapeute lui-même et ses éventuels collaborateurs (cabinet multi-utilisateurs)
• Ses patients / clients

3.2 Catégories de données traitées

Catégorie	Exemples
Identification	Nom, prénom, email, téléphone, adresse
Rendez-vous	Date, heure, durée, prestation, praticien
Facturation	Montants, modes de paiement, factures, bons cadeaux
Données de santé (catégorie sensible, art. 9 RGPD)	Motif de consultation, antécédents, traitement, bilans, comptes-rendus de séance, transcriptions audio, notes privées, profil neurocognitif
Connexion / techniques	IP de connexion, horodatage, user agent, pays / ville approximatifs

Les données de santé ne sont traitées qu'avec le consentement explicite du patient obtenu par le Thérapeute, et relèvent de la dérogation de l'article 9.2.h du RGPD (finalité de médecine préventive, diagnostic, soins).

Article 4 — Durée du traitement

Le traitement est effectué pour la durée du contrat de service entre KONNEKT et le Thérapeute, c'est-à-dire tant que le compte du Thérapeute est actif sur therâm. Les données sont ensuite traitées selon les modalités de l'article 13 (restitution / suppression).

Article 5 — Obligations du sous-traitant (KONNEKT)

KONNEKT s'engage à :

• Traiter les données uniquement sur instructions documentées du Thérapeute
• Garantir la confidentialité via des engagements écrits ou statutaires de ses collaborateurs
• Mettre en œuvre les mesures de sécurité décrites à l'article 9
• Informer le Thérapeute avant toute modification des sous-traitants ultérieurs (cf. art. 7)
• Aider le Thérapeute à répondre aux demandes d'exercice de droits des personnes concernées (art. 11)
• Notifier toute violation de données dans les meilleurs délais (art. 10)
• Permettre au Thérapeute de vérifier le respect des présentes obligations (art. 12)
• Supprimer ou restituer les données à la fin du contrat selon le choix du Thérapeute (art. 13)
• Mettre à disposition toute information nécessaire pour démontrer la conformité

Article 6 — Obligations du responsable de traitement (le Thérapeute)

Le Thérapeute s'engage à :

• Informer ses patients du traitement de leurs données, de la finalité et de leurs droits (fourniture d'une information loyale et transparente — art. 13/14 RGPD)
• Obtenir le consentement explicite du patient pour le traitement de données de santé lorsque celui-ci est requis
• Ne renseigner dans therâm que les données strictement nécessaires à la finalité médicale / de soin
• Ne pas partager ses identifiants de connexion
• Supprimer les dossiers de ses patients inactifs conformément à sa durée de conservation propre
• Documenter le traitement dans son registre (art. 30 RGPD) en précisant KONNEKT comme sous-traitant

Article 7 — Sous-traitants ultérieurs

Le Thérapeute autorise KONNEKT à recourir aux sous-traitants ultérieurs listés ci-dessous, tous contractuellement engagés sur des obligations équivalentes à celles du présent DPA :

Sous-traitant	Finalité	Localisation
Google Cloud EMEA Limited (Google LLC)	Hébergement infrastructure (Cloud Run, Cloud SQL, Cloud Storage), certifié HDS v2.0	UE — région europe-west1 (Belgique)
Sendinblue SAS (Brevo)	Envoi d'emails transactionnels (confirmations RDV, rappels, notifications)	UE — France
Stripe Payments Europe, Ltd.	Encaissement des abonnements therâm (si applicable)	UE — Irlande
Anthropic PBC (via Cloud Anthropic)	Génération de bilans structurés par IA (offre Sérénité uniquement ; données envoyées uniquement sur action explicite du Thérapeute ; non-utilisation pour entraînement garantie contractuellement)	USA — DPA + Clauses Contractuelles Types UE signées
OpenAI, L.L.C.	Transcription audio Whisper + OCR documents (offre Sérénité uniquement ; mode API zero-data-retention activé — aucune conservation côté OpenAI)	USA — DPA + Clauses Contractuelles Types UE signées
OVH SAS	Nom de domaine, DNS	UE — France

En cas de changement de sous-traitant ultérieur, KONNEKT informe le Thérapeute au moins 30 jours à l'avance par email et via une mise à jour de la présente page. Le Thérapeute dispose d'un droit d'opposition motivé pendant ce délai ; à défaut d'opposition, le nouveau sous-traitant est réputé accepté.

Article 8 — Transferts hors UE

Les données du cabinet et des patients sont hébergées exclusivement dans l'Union Européenne (région Google Cloud europe-west1, Belgique).

Les sous-traitants américains (Anthropic, OpenAI) ne traitent des données que sur action explicite du Thérapeute et dans le cadre :

• D'un DPA signé
• Des Clauses Contractuelles Types (SCC) de la Commission européenne du 4 juin 2021
• D'un engagement de non-conservation / non-entraînement

Article 9 — Mesures techniques et organisationnelles (TOM)

9.1 Sécurité technique

• Chiffrement TLS 1.2+ pour toutes les connexions (HTTPS obligatoire)
• Chiffrement au repos (AES-256) sur Cloud SQL et Cloud Storage
• Mots de passe hachés avec password_hash() bcrypt côté serveur
• Isolation des données par company_id dans toutes les requêtes
• Sauvegardes automatiques quotidiennes (Point-in-time recovery Google Cloud SQL)
• Infrastructure certifiée HDS v2.0, ISO 27001, SOC 2 Type II (Google Cloud)

9.2 Sécurité organisationnelle

• Accès aux données en production restreint au personnel autorisé de KONNEKT
• Engagement de confidentialité contractuel pour toute personne ayant accès aux données
• Logs d'activité horodatés (connexions, IP, actions)
• Processus documenté de gestion des incidents

Article 10 — Violation de données

En cas de violation de données personnelles, KONNEKT notifie le Thérapeute sans délai injustifié et au plus tard dans les 72 heures après en avoir eu connaissance, par email à l'adresse de contact du cabinet, avec a minima :

• La nature de la violation
• Les catégories et le nombre approximatif de personnes concernées
• Les conséquences probables
• Les mesures prises ou envisagées pour y remédier

Il appartient au Thérapeute, en sa qualité de responsable de traitement, de déterminer s'il y a lieu de notifier la CNIL et d'informer les personnes concernées.

Article 11 — Assistance aux droits des personnes concernées

KONNEKT met à disposition du Thérapeute, via l'interface therâm, les outils nécessaires pour répondre aux demandes d'exercice des droits RGPD des patients :

• Droit d'accès (art. 15) : export du dossier patient en PDF
• Droit de rectification (art. 16) : modification directe des champs du dossier
• Droit à l'effacement (art. 17) : suppression du client dans l'interface, purge sous 30 jours
• Droit à la portabilité (art. 20) : export CSV et PDF
• Droit d'opposition (art. 21) : désactivation du client

Pour toute demande technique hors interface (ex. demande complexe d'un patient), le Thérapeute peut contacter KONNEKT à contact@theram.fr. Réponse sous 30 jours maximum.

Article 12 — Audit et documentation

KONNEKT met à disposition du Thérapeute toutes les informations nécessaires pour démontrer la conformité des obligations prévues à l'article 28 RGPD. Le Thérapeute peut, par écrit et avec un préavis raisonnable (30 jours), demander :

• Une copie du certificat HDS de l'hébergeur en cours de validité
• La liste à jour des sous-traitants ultérieurs et des DPA associés
• Un résumé des mesures de sécurité applicables
• Un rapport d'audit indépendant (ISO 27001, SOC 2) si disponible

Les audits sur site par le Thérapeute ne sont pas proposés par défaut ; une convention d'audit spécifique peut être négociée en cas de besoin avéré.

Article 13 — Fin du contrat : restitution / suppression

À la fin du contrat (résiliation, non-renouvellement, clôture de compte), le Thérapeute choisit, dans un délai de 30 jours :

• Soit de télécharger ses données au format CSV / PDF via l'interface (export disponible dans Réglages → Données)
• Soit de demander à KONNEKT la restitution de ses données par email à contact@theram.fr

Passé ce délai, et sauf instruction contraire écrite du Thérapeute, KONNEKT procède à la suppression définitive des données dans un délai maximum de 60 jours (y compris sur les sauvegardes), sauf obligation légale de conservation (comptabilité : 10 ans, facturation : 10 ans).

Article 14 — Acceptation

Le présent DPA est accepté par le Thérapeute lors de la création de son compte sur therâm (étape de validation des CGV). Il peut être téléchargé, imprimé ou demandé signé (version co-signée) en écrivant à contact@theram.fr.

En cas de contradiction entre le présent DPA et les CGV de therâm, les dispositions du DPA prévalent pour les aspects relatifs au traitement des données personnelles.

Dernière mise à jour : 17 avril 2026 — Version 1.0