Accueil

DPA - Accord Responsable-Sous-traitant

Art. 28 RGPD · Version 1.0 · en vigueur depuis le 2026-05-13. Document contraignant au moment de l'activation du compte Pédiatre. Revue par conseil externe spécialisé santé programmée d'ici Q3 2026.

Avis : traduction française non officielle. La version italienne originale est la référence juridique contraignante.

Préambule

Le présent accord régit la relation entre le pédiatre de libre choix (ci-après "Responsable du traitement", selon l'Art. 24 RGPD relatif aux données de ses propres patients) et neonatae. (ci-après "Sous-traitant", ex Art. 28 RGPD) aux fins du traitement des données personnelles des patients via la plateforme neonatae.

1. Objet et durée

Le Sous-traitant fournit au Responsable les services de communication asynchrone structurée avec les familles de son panel. Le présent accord entre en vigueur dès l'acceptation et dure pour toute la durée du contrat de service.

2. Types de données et catégories de personnes concernées

  • Données communes : prénom enfant, date de naissance, sexe, prénom parent, contacts.
  • Données de catégorie particulière (Art. 9 RGPD) : données de santé du mineur - tout contenu de conversations concernant symptômes, thérapies, diagnostics, images cliniques, etc.
  • Personnes concernées : enfants 0-36 mois du panel du Responsable ; parents exerçant la responsabilité parentale.

3. Finalités du traitement

Le Sous-traitant traite les données exclusivement pour : (a) exécuter le service commandé par le Responsable (chat structuré, stockage des pièces jointes, planification, journal d'audit) ; (b) garantir la sécurité de la plateforme ; (c) fournir le support technique. Il n'utilise pas les données cliniques à des fins autonomes (par ex. marketing, profilage, entraînement IA sans consentement explicite).

4. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • Traiter les données uniquement sur instruction documentée du Responsable (y compris ce qui est prévu par le présent DPA).
  • Garantir que le personnel autorisé a signé un engagement de confidentialité.
  • Adopter des mesures techniques et organisationnelles adéquates (Art. 32 RGPD) : chiffrement at-rest + en transit, RLS, journal d'audit, sauvegardes, authentification forte.
  • Notifier au Responsable toute violation de données sans retard injustifié (sous 72h, ex Art. 33 RGPD).
  • Assister le Responsable dans le traitement des demandes des personnes concernées (Art. 15-22 RGPD).
  • Assister le Responsable dans la conduite des DPIA (Art. 35 RGPD) si demandé.
  • Restituer ou supprimer les données à la fin de la relation, sauf obligations légales de conservation.
  • Mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations.

5. Sous-traitants autorisés

La liste complète et toujours mise à jour des sous-traitants autorisés est publiée à l'adresse /legal/subprocessors et fait partie intégrante du présent DPA.

Tout nouveau sous-traitant sera communiqué avec un préavis de 30 jours ; le Responsable peut s'y opposer dans ce délai pour motif légitime.

6. Audit et inspections

Le Responsable peut, une fois par an et avec un préavis de 30 jours, demander une copie des politiques de sécurité, des certifications de conformité (le cas échéant ISO 27001/SOC 2) et des logs d'accès aux données de son panel.

7. Responsabilité et indemnisation

Conformément à l'Art. 82 RGPD, chaque partie est responsable du dommage causé par un traitement non conforme qui lui est imputable. Le Sous-traitant n'est responsable que s'il a agi de manière non conforme aux instructions du Responsable ou a omis les mesures de sécurité adéquates.

8. Droit applicable et juridiction

Le droit italien s'applique. Juridiction compétente : Milan.

Version 1.0 en vigueur depuis le 2026-05-13. Contraignant au moment de l'activation du compte Pédiatre (signature électronique avancée selon le Règlement eIDAS UE 910/2014). Revue par conseil externe spécialisé santé programmée d'ici Q3 2026 ; les modifications seront communiquées avec préavis de 30 jours selon Art. 13.2.f RGPD. Sur demande écrite à privacy@neonatae.it, une copie contresignée en PDF est fournie.