1. Préambule
Le présent Data Processing Agreement (« DPA ») régit les modalités selon lesquelles Labora, Société par Actions Simplifiée (SAS), opérant sous la marque commerciale « Mercipodium » (ci-après « Mercipodium »), agissant en qualité de Sous-traitant, traite des données à caractère personnel pour le compte de l'Utilisateur, agissant en qualité de Responsable de traitement, dans le cadre de l'utilisation du Service Mercipodium.
Le présent DPA fait partie intégrante des Conditions Générales de Vente acceptées par l'Utilisateur lors de la souscription. Il est conclu en application des articles 28 et suivants du Règlement Général sur la Protection des Données (RGPD).
2. Objet et durée du traitement
Mercipodium traite les données personnelles transmises par l'Utilisateur à des fins de sollicitation, recueil et gestion des avis clients/patients, conformément aux instructions documentées de l'Utilisateur exprimées via le paramétrage de son compte.
Le traitement est effectué pour la durée d'utilisation du Service par l'Utilisateur. À la résiliation du contrat, Mercipodium procède à la restitution puis à la suppression des données conformément à l'article 9 ci-dessous.
3. Nature et catégories de données traitées
Les catégories de données suivantes sont traitées :
- •Données d'identification : nom, prénom, email, téléphone des clients/patients de l'Utilisateur.
- •Données de visite : date du rendez-vous, identifiant du praticien rencontré, canal de sollicitation préféré.
- •Contenu généré : note, commentaire, réponse publiée sur la fiche Google Business Profile.
Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée dans le cadre nominal du Service. L'Utilisateur s'interdit de transmettre à Mercipodium des données de santé, des données relatives à des opinions politiques ou religieuses, ou toute autre catégorie particulière de données.
4. Personnes concernées
Les personnes concernées par le traitement sont les clients ou patients de l'Utilisateur, dont les données sont chargées dans le Service par l'Utilisateur lui-même.
5. Obligations de Mercipodium en tant que Sous-traitant
- •Traiter les données uniquement sur instruction documentée du Responsable de traitement.
- •Garantir la confidentialité des données par toute personne ayant accès aux données.
- •Mettre en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD.
- •Aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées.
- •Aider le Responsable de traitement à respecter ses obligations relatives aux études d'impact (DPIA) et aux notifications de violation.
- •Mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations sous-traitant.
6. Mesures techniques et organisationnelles de sécurité
- •Chiffrement TLS 1.3 pour toutes les communications réseau entrantes et sortantes.
- •Chiffrement AES-256 au repos pour les données stockées en base.
- •Cloisonnement strict par cabinet (Row Level Security PostgreSQL).
- •Authentification 2FA disponible pour tous les comptes administrateurs.
- •Audit logs immutables des actions sensibles, conservés 12 mois.
- •Politique de moindre privilège pour les accès employés Mercipodium.
- •Tests d'intrusion externes annuels et revues de code de sécurité régulières.
- •Sauvegarde quotidienne chiffrée, restauration testée trimestriellement.
7. Sous-traitants ultérieurs
Mercipodium fait appel aux sous-traitants ultérieurs suivants pour fournir le Service. Le Responsable de traitement les autorise expressément :
- •Supabase, Inc. — base de données PostgreSQL et authentification — région Paris (eu-west-3).
- •Vercel Inc. — hébergement applicatif edge — point de présence Paris (CDG1).
- •Brevo (Sendinblue) — envoi d'emails et SMS de sollicitation — Paris, France.
- •Stripe Payments France SAS — paiement et facturation — Paris, France. Aucune donnée patient/client identifiable n'est transmise à Stripe.
- •Anthropic, PBC — modèle Claude pour Mercibot — USA. Seul le texte public d'un avis publié sur Google Maps est transmis ; aucune donnée nominative du patient/client. Encadré par les Standard Contractual Clauses de la Commission européenne.
Mercipodium informe le Responsable de traitement par email au moins 30 jours avant l'ajout ou le remplacement de tout sous-traitant ultérieur. Le Responsable de traitement peut s'opposer à tout nouveau sous-traitant pour motif légitime et lié à la protection des données.
8. Notification de violation de données
En cas de violation de données à caractère personnel, Mercipodium s'engage à notifier le Responsable de traitement par email dans un délai maximum de 48 heures à compter de la découverte de la violation, en fournissant l'ensemble des éléments mentionnés à l'article 33.3 du RGPD.
9. Restitution et suppression des données
À la résiliation du contrat, Mercipodium met à disposition du Responsable de traitement, pendant 30 jours, l'ensemble de ses données dans un format structuré et couramment utilisé (CSV / JSON). Au-delà de ce délai, Mercipodium procède à la suppression définitive des données dans les 30 jours, sauf obligation légale de conservation contraire (notamment pour les données comptables conservées 10 ans).
10. Audit
Le Responsable de traitement peut demander, une fois par an et avec un préavis de 30 jours, à auditer la conformité de Mercipodium aux obligations du présent DPA. Cet audit peut être réalisé par le Responsable lui-même ou par un tiers indépendant choisi d'un commun accord. Mercipodium met à disposition les éléments justifiant sa conformité (rapports de tests d'intrusion, attestations de certification, etc.).
11. Droit applicable
Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou son exécution sera soumis à la juridiction des tribunaux français compétents, sous réserve des dispositions impératives du RGPD.