Thérapéo
Sous-traitant infrastructure

Accord de Sous-traitance du Traitement de Données à Caractère Personnel

Version du 1er juin 2024 — Document Scaleway S.A.S.

Dernière consultation : 31/05/2026

Pourquoi ce document ?

Thérapéo (THÉRAPÉO) utilise l'infrastructure cloud de Scaleway pour héberger ses services et stocker les données de santé de ses utilisateurs. À ce titre, Scaleway agit en tant que sous-traitant au sens du RGPD, et Thérapéo en tant que responsable de traitement. Le présent accord définit les engagements contractuels de Scaleway en matière de protection des données personnelles confiées par Thérapéo.

Responsable de traitement :
THÉRAPÉO
34 place du Général de Gaulle Bureau 3, 59800 Lille, France
Sous-traitant :
Scaleway S.A.S.
8 rue de la Ville l'Évêque, 75008 Paris
R.C.S. Paris 433 115 904

Le présent Accord de Sous-traitance (ci-après « l'Accord de sous-traitance » ou « DPA » en référence au terme anglais « Data Processing Agreement ») fait partie intégrante du contrat portant sur les prestations de Services de Scaleway conclu entre Scaleway et le Client (ci-après « le Contrat »).

Le présent Accord de sous-traitance a pour objet de définir les conditions dans lesquelles Scaleway s'engage à effectuer, aux seules fins de la stricte exécution du Contrat, pour le compte du Client, les opérations de Traitement des Données à Caractère Personnel. Les Parties s'engagent dès à présent à respecter la Réglementation relative à la Protection des Données.

Le présent Accord est applicable aux prestations objets du Contrat pour lesquelles le Client agit en qualité de responsable du traitement ou de sous-traitant au sens du RGPD, en ce qui concerne les Données à Caractère Personnel et Scaleway agit en qualité de sous-traitant ou sous-traitant ultérieur au sens du RGPD.

Article 1. Définitions

En sus des termes et expressions définis dans le présent Accord de Sous-traitance, les termes et expressions suivants ont la même signification que celle qui leur est attribuée dans le RGPD :

  • « Données à Caractère Personnel »
  • « Traitement »
  • « Responsable de traitement »
  • « Sous-traitant »
  • « Organisation Internationale »
  • « Délégué à la Protection des Données »
  • « Autorité de contrôle »
  • « Personne concernée »
  • « Violation des Données à Caractère Personnel »

En outre, les termes suivants ont la signification indiquée ci-après :

« Analyse d'Impact » : L'analyse qui doit être menée lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
« Clauses contractuelles types » : Les modèles de clauses contractuelles adoptés par la Commission Européenne permettant d'encadrer les transferts de Données à Caractère Personnel effectués par un Responsable de traitement ou par un Sous-traitant vers des destinataires situés hors de l'Union Européenne (Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021).
« Mesures de Sécurité » : Les mesures de sécurité prévues par la Réglementation relative à la Protection des Données ainsi que toute autre obligation prévue par ladite Réglementation afin de garantir la sécurité et la confidentialité des Données à caractère personnel.
« Pays tiers » : Tout pays en dehors de l'Espace Économique Européen (EEE) et non reconnu comme garantissant un niveau de protection des Données à Caractère Personnel adéquat à celui de l'Union Européenne par la Commission Européenne.
« Préposé » : Les salariés, personnes mandatées ou toute autre personne physique habilitée à exécuter des opérations de Traitement des Données à Caractère Personnel communiquées ou mises à disposition par Scaleway et/ou ses éventuels Sous-traitants Ultérieurs.
« Réglementation relative à la Protection des Données » : Le RGPD, la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002, ainsi que l'ensemble des dispositions législatives et réglementaires applicables.
« RGPD » : Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
« Sous-traitant Ultérieur » : Scaleway ou tout sous-traitant engagé par Scaleway ou par tout autre sous-traitant ultérieur de celui-ci, et traitant les données du Client dans le cadre des services prévus au Contrat.

Article 2. Traitement(s) faisant l'objet de la sous-traitance

2.1. Les Traitements effectués par Scaleway aux fins du présent Accord de Sous-traitance portent uniquement sur les types de Données à Caractère Personnel et les catégories de Personnes Concernées définies par le Client et sous sa responsabilité.

2.2. Le Client est également responsable du choix des Services utilisés et en particulier de leur compatibilité avec les traitements de données qu'il met en œuvre.

2.3. Le Client s'engage à fournir à Scaleway les données visées au présent Accord pour les besoins de l'exécution du Contrat et, si le Client est Responsable de traitement, à documenter par écrit toute instruction concernant le Traitement des Données.

2.4. Scaleway s'engage à (i) garantir la confidentialité des Données à Caractère Personnel et (ii) garantir à ce que tous Préposés et Sous-traitants Ultérieurs autorisés à traiter les Données respectent cette confidentialité. L'obligation de confidentialité reste en vigueur cinq (5) ans à compter de l'expiration du Contrat.

2.5. Description des traitements de données

Objet :Données du Client
Durée du traitement :Durée de conservation définie par le Client, sauf demande légitime d'une autorité judiciaire ou administrative
Nature et finalité :Le Service fourni peut comprendre des opérations de stockage, de calcul de données ou tout autre service défini au sein du Contrat
Type de données :Ensemble des données téléversées par le Client grâce à son compte et dans le cadre de l'utilisation d'un Service fourni par Scaleway
Catégories de personnes concernées :Client, utilisateurs finaux, employés ou Sous-traitants Ultérieurs de Scaleway, selon le cas

Article 3. Obligations du Sous-traitant

Scaleway, en qualité de Sous-traitant ou de Sous-traitant Ultérieur du Traitement, s'engage à :

  1. 3.1.1.Traiter les Données à Caractère Personnel dans le but d'exécuter le Contrat dans les limites et selon les modalités stipulées dans celui-ci, le présent Accord et la Réglementation.
  2. 3.1.2.Traiter les Données à Caractère Personnel exclusivement selon les instructions documentées du Client et l'informer si une instruction est susceptible d'enfreindre la Réglementation.
  3. 3.1.3.Traiter les Données à Caractère Personnel qui sont strictement nécessaires à l'exécution du Contrat ou au respect des obligations légales.
  4. 3.1.4.Ne pas traiter les Données à Caractère Personnel à d'autres fins que celles nécessaires à l'exécution des Services.
  5. 3.1.5.Assister le Client dans le cadre de l'élaboration d'une Analyse d'Impact sur la protection des données, si l'un des Services proposés par Scaleway entre dans le périmètre de l'analyse.
  6. 3.1.6.Assister le Client et collaborer avec lui en cas de demande formulée par les autorités compétentes ou des Personnes Concernées.
  7. 3.1.7.En cas de demande d'une autorité provenant d'un Pays tiers à l'UE concernant les Données du Client, ne divulguer aucune information sauf si les données sont situées hors UE, si la demande est conforme à un accord international ou relève des exceptions de l'article 49 du RGPD.
  8. 3.1.8.Maintenir les mesures techniques et organisationnelles afin de sécuriser les Traitements de données effectuées dans le cadre des Services (voir Article 8).
  9. 3.1.9.Mettre à la disposition du Client toutes les informations en sa possession, nécessaires afin de démontrer le respect des obligations visées par la Réglementation.

Article 4. Registre des activités relatives au traitement

Scaleway s'engage à tenir un registre générique (Registre du Sous-traitant) concernant toutes les catégories d'activités relatives au Traitement des Données à Caractère Personnel effectuées pour le compte du Client. Celui-ci comportera :

  • Le nom et les coordonnées de Scaleway, ses Sous-traitants Ultérieurs, ainsi que les coordonnées du Délégué à la Protection des Données de Scaleway ;
  • Les catégories des Traitements effectués pour le compte du Client ;
  • Le cas échéant, les transferts de Données à Caractère Personnel vers un pays tiers ou une organisation internationale, avec les garanties appropriées ;
  • Une description générale des mesures de sécurité techniques et organisationnelles.

Scaleway s'engage à fournir dans les meilleurs délais au Client une copie de ce registre à la demande de celui-ci et/ou des autorités compétentes.

Article 5. Obligations du Client

5.1. Le Client est seul responsable des Données à Caractère Personnel et de leur contenu qui transitent par les Services de Scaleway.

5.2. Toute collecte, traitement, transmission, diffusion ou représentation d'informations ou données via les Services par le Client, en qualité de Responsable du Traitement, sont effectués sous sa seule et entière responsabilité.

5.3. Le Client s'engage notamment à :

  • Fournir l'information aux Personnes Concernées au moment de la collecte et leur permettre d'exercer leurs droits ;
  • Fournir à Scaleway les instructions de Traitement des Données à Caractère Personnel ;
  • Tenir un registre des activités de Traitement mentionnant Scaleway comme Sous-traitant ;
  • Procéder aux Analyses d'Impact le cas échéant ;
  • Fixer la durée de conservation, les modalités d'archivages et d'effacement des Données ;
  • Mettre en place les mesures techniques et organisationnelles relatives à la protection des Données qui ne relèvent pas du périmètre des Services de Scaleway ;
  • Mettre en place une procédure interne afin d'identifier et traiter les violations nécessitant une notification à l'Autorité de contrôle.

Article 6. Obligations relatives aux Préposés

6.1. Scaleway s'engage à faire en sorte que les Préposés aient exclusivement accès aux Données à Caractère Personnel strictement nécessaires à l'exécution du Contrat.

6.2. Scaleway s'engage à n'autoriser le Traitement des Données qu'aux Préposés qui sont aptes à garantir le respect de la Réglementation et qui sont soumis à des obligations de confidentialité strictes.

6.3. Scaleway s'engage à établir des mesures techniques et organisationnelles destinées à garantir que chaque Préposé n'accède qu'aux Données dont il est autorisé, que les manquements soient promptement identifiés et signalés, et qu'à l'extinction du Contrat, le Préposé cesse immédiatement le Traitement.

Article 7. Sous-traitants Ultérieurs

7.1. Le Client accorde au Sous-traitant une autorisation générale de sous-traitance d'une partie de ses obligations à un autre sous-traitant (« Sous-traitant Ultérieur »).

7.2. Dans l'hypothèse où Scaleway a recours à un Sous-traitant Ultérieur, Scaleway veillera à imposer contractuellement à chaque Sous-traitant Ultérieur le même niveau de garanties que dans le présent Accord. Si un Sous-traitant Ultérieur ne remplit pas ses obligations, Scaleway demeure pleinement responsable devant le Client.

7.3. La liste des Sous-traitants Ultérieurs utilisés par Scaleway est disponible sur la page dédiée du site internet de Scaleway.

7.4. En cas de changement de cette liste, Scaleway s'engage à le notifier au Client préalablement. Le Client dispose d'un droit d'objection durant trente (30) jours à compter de la date de notification.

Article 8. Mesures de Sécurité

Scaleway s'engage à mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des Données à Caractère Personnel, notamment pour les protéger d'une violation de la sécurité, notamment :

  • 8.1.1.Stockage des données critiques des comptes de manière sécurisée
  • 8.1.2.Mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience constante des systèmes et des services de traitements
  • 8.1.3.Procédure de tests, d'analyse et d'évaluation régulière de l'efficacité des mesures techniques et organisationnelles
  • 8.1.4.Mesures visant à garantir la sécurité physique des lieux où les Données à Caractère Personnel sont traitées
  • 8.1.5.Mesures visant à garantir la journalisation des événements
  • 8.1.6.Mesures pour la gouvernance et la gestion de l'informatique interne ainsi que la sécurité du SI
  • 8.1.7.Mesures de certifications
  • 8.1.8.Mesures d'identification et d'autorisation des utilisateurs
  • 8.1.9.Mesures permettant la mise à jour des données par le Client
  • 8.1.10.Mesures garantissant la minimisation des données
  • 8.1.11.Mesures permettant de garantir le respect du principe de la protection des données dès la conception et par défaut
  • 8.1.12.Mesures garantissant une conservation limitée des données
  • 8.1.13.Mesures de sensibilisation du personnel à la sécurité et à la protection des données
  • 8.1.14.Mesures permettant au Client d'exercer ses droits (accès, rectification, suppression, portabilité)

8.3. Le Client assume seul les risques inhérents aux Services et devra s'assurer que les mesures de sécurité qu'il aura mises en place sont adéquates (mesures de sauvegarde, de durée de conservation, de contrôle d'accès, de chiffrement).

Article 9. Violation des Données à Caractère Personnel

9.1. En cas de Violation des Données à Caractère Personnel, Scaleway :

  • Informera dans les meilleurs délais le Client après en avoir pris connaissance, au moyen d'une notification écrite, afin de lui permettre de notifier cette violation à l'Autorité de contrôle compétente conformément aux articles 33 et 34 du RGPD ;
  • En collaboration avec le Client, adoptera immédiatement toute mesure nécessaire afin de minimiser les risques pesant sur les Données et d'en atténuer les effets néfastes.

9.2. Scaleway fournira, si nécessaire, une notification initiale puis des notifications complémentaires dès lors que des informations supplémentaires sont disponibles.

9.3. Scaleway s'engage à tenir un registre énumérant les Violations de Données, les circonstances associées, leurs conséquences et les mesures adoptées.

Article 10. Droits des Personnes Concernées

10.1. Scaleway s'engage à collaborer avec le Client dans une mesure raisonnable afin de garantir la satisfaction des demandes d'exercice de droits des Personnes Concernées dans les délais fixés par la Réglementation.

10.2. Les demandes de droits du Client sont traitées via le service dédié de sa Console de Gestion de Compte. Toute demande d'une personne tierce peut être envoyée via privacy@scaleway.com.

Article 11. Communication et transfert de données

11.1. Les Services de Scaleway sont localisés par défaut au sein de l'Union Européenne. Le choix de la région est effectué par le Client lors de la commande.

11.2. Scaleway s'engage à s'abstenir de diffuser les Données à Caractère Personnel à des tiers sans autorisation du Client ou impératif légal, et à ne pas transmettre des Données dans un Pays tiers sans en avoir informé expressément le Client.

11.2.3. En cas de transfert hors UE vers un pays sans décision d'adéquation : application des Clauses Contractuelles Types conformément au RGPD, et mise en place de toutes les mesures techniques et organisationnelles nécessaires à la garantie de la protection et de la confidentialité des informations transmises.

11.3. Si le Client est Responsable de traitement, les clauses contractuelles types « transfert de responsable du traitement à sous-traitant » s'appliquent. Si le Client est sous-traitant, les clauses contractuelles types « transfert de sous-traitant à sous-traitant » s'appliquent.

Article 12. Contrôle et audits

12.1. Scaleway s'engage à fournir au Client, sur demande, tout document raisonnablement nécessaire afin d'attester de sa conformité aux obligations du présent Accord.

12.2. Sous réserve d'en notifier préalablement Scaleway par écrit dans un délai minimum de trente (30) jours, le Client pourra faire évaluer à ses frais, au maximum une fois par an, les mesures organisationnelles, techniques et de sécurité adoptées par Scaleway. Cette évaluation pourra être effectuée par le Client lui-même ou par un tiers de confiance reconnu en tant qu'auditeur indépendant.

12.3. Les informations et les résultats de l'audit seront considérés comme confidentiels et devront faire l'objet d'un accord préalable de confidentialité.

Article 13. Fin du Contrat

13.1. Au terme du Contrat pour quelque motif que ce soit, Scaleway veillera à cesser immédiatement tout Traitement des Données à Caractère Personnel et à supprimer les Données ainsi que les éventuelles copies de celles-ci, sauf si la conservation est imposée par la législation applicable.

13.2. Il incombe au Client, dans le périmètre des Services, de s'assurer de la conservation de ses Données à Caractère Personnel préalablement au terme du Contrat.

Article 14. Stipulations diverses

14.1. Le présent Accord de Sous-traitance est régi par le droit français. Les juridictions du ressort de la Cour d'Appel de Paris ont compétence exclusive pour connaître de tout litige découlant du présent Accord ou s'y rattachant.

14.2. Ledit Accord remplace tous les accords écrits et oraux antérieurs se rapportant aux données personnelles. Toute modification ne sera valable que si elle est établie par écrit et signée par les représentants habilités du Client et de Scaleway.

14.3. En cas de contradiction entre le présent Accord et les autres dispositions du Contrat, le présent Accord prévaudra en ce qui concerne les questions relatives au Traitement des Données à Caractère Personnel.

Article 15. Contacts Scaleway

DPO de Scaleway

dpo@iliad.fr

Équipe Privacy de Scaleway

privacy@scaleway.com

Notification de violation de données

security@scaleway.com

Politique de confidentialité Scaleway

scaleway.com/fr/politique-confidentialite/

Document source : Scaleway S.A.S. — Version du 1er juin 2024

Scaleway S.A.S., capital de 214 410,50 euros — Siège social : 8 rue de la Ville l'Évêque, 75008 Paris — R.C.S. Paris 433 115 904

Intégré à la politique de confidentialité de THÉRAPÉO (34 place du Général de Gaulle Bureau 3, 59800 Lille, France).