Serenia Vita

Espace juridique

Accord de sous-traitance RGPD

Cadre contractuel RGPD décrivant les engagements de Serenia Vita en qualité de sous-traitant.

Accord de sous-traitance RGPD (DPA)

1. Objet

Le présent accord de sous-traitance a pour objet de définir les conditions dans lesquelles Serenia Vita traite des données à caractère personnel pour le compte du Client, en qualité de sous-traitant, conformément à l’article 28 du RGPD.

2. Parties

Entre :

Le Client L’établissement souscripteur du service Serenia-Vita, agissant en qualité de responsable du traitement,

et

Serenia Vita SASU, société en cours de constitution, agissant en qualité de sous-traitant.

3. Description des traitements

Serenia Vita est autorisée à traiter, pour le compte du Client, les données nécessaires à la fourniture du service Serenia-Vita, notamment pour :

  • la création et la gestion des comptes ;
  • l’hébergement des contenus ;
  • la gestion de la messagerie ;
  • le stockage des photos et albums ;
  • la publication du journal et des activités ;
  • la maintenance, le support et la sécurité du service.

4. Nature et finalité des traitements

Les traitements portent sur des opérations d’hébergement, stockage, consultation, organisation, transmission, sécurisation, sauvegarde, suppression et restitution de données nécessaires à l’exécution du contrat SaaS.

5. Catégories de données

Les données traitées peuvent inclure :

  • données d’identification des utilisateurs ;
  • données relatives aux résidents ;
  • messages et échanges ;
  • photos, médias et contenus éditoriaux ;
  • données d’agenda et d’activités ;
  • données techniques et logs.

6. Catégories de personnes concernées

Les personnes concernées peuvent être :

  • les résidents ;
  • les familles et proches ;
  • les personnels des établissements ;
  • les administrateurs du service.

7. Instructions documentées

Serenia Vita ne traite les données personnelles que sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers, sauf obligation légale contraire.

8. Confidentialité

Serenia Vita veille à ce que les personnes autorisées à traiter les données s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

9. Sécurité

Serenia Vita met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, comprenant notamment, selon les besoins :

  • contrôle d’accès logique ;
  • gestion des habilitations ;
  • authentification ;
  • journalisation ;
  • sauvegardes ;
  • cloisonnement des environnements ;
  • protection des accès aux bases et fichiers ;
  • processus de gestion des incidents.

10. Assistance au responsable du traitement

Dans la mesure du possible et compte tenu de la nature du traitement, Serenia Vita assiste le Client pour lui permettre de satisfaire à ses obligations relatives :

  • aux demandes d’exercice des droits ;
  • à la sécurité des traitements ;
  • aux violations de données ;
  • aux analyses d’impact si nécessaire ;
  • aux consultations de l’autorité de contrôle, le cas échéant.

11. Notification des violations

Serenia Vita notifie au Client toute violation de données à caractère personnel concernant les traitements réalisés pour son compte dans les meilleurs délais après en avoir pris connaissance.

Cette notification comprend, dans la mesure du possible :

  • la nature de la violation ;
  • les catégories de données concernées ;
  • les conséquences probables ;
  • les mesures prises ou proposées pour y remédier.

12. Sous-traitants ultérieurs

Le Client autorise Serenia Vita à recourir aux sous-traitants ultérieurs suivants :

  • Vercel Inc.

Service : hébergement de l’application Localisation : Union européenne

  • Supabase Inc.

Service : base de données PostgreSQL, authentification, stockage de fichiers Localisation : Union européenne

Serenia Vita informe le Client de tout ajout ou remplacement significatif de sous-traitant ultérieur, dans un délai raisonnable, afin de permettre au Client d’émettre des observations légitimes.

Serenia Vita s’assure que tout sous-traitant ultérieur est lié par des obligations de protection des données au moins équivalentes à celles prévues au présent accord.

13. Sort des données en fin de contrat

Au terme du contrat, Serenia Vita, selon le choix du Client et sauf obligation légale contraire :

  • restitue les données au Client dans un format usuel raisonnablement exploitable ; et/ou
  • supprime les données à caractère personnel.

Les sauvegardes sont purgées à l’issue de leur cycle de rotation, dans un délai maximal de 30 jours.

14. Droit d’audit

Sous réserve d’un préavis raisonnable, d’une fréquence raisonnable, d’une confidentialité appropriée et de l’absence d’atteinte à la sécurité des autres clients de Serenia Vita, le Client peut demander les informations nécessaires pour vérifier le respect des obligations de protection des données.

Les audits sur site ou intrusifs ne peuvent intervenir qu’en cas de nécessité justifiée et selon des modalités préalablement convenues entre les parties.

15. Responsabilité du Client

Le Client garantit :

  • qu’il agit en qualité de responsable du traitement ;
  • qu’il détermine une base légale appropriée pour les traitements opérés ;
  • qu’il informe les personnes concernées ;
  • qu’il collecte et diffuse les données de manière licite ;
  • qu’il obtient les autorisations nécessaires, notamment pour les images des résidents.

16. Données sensibles

Le Client s’engage à ne confier à Serenia Vita que les données strictement nécessaires à la finalité poursuivie et à encadrer de manière appropriée tout traitement susceptible de concerner des catégories particulières de données au sens du RGPD.

17. Droit applicable

Le présent DPA est régi par le droit français, sans préjudice de l’application directe du RGPD.

Annexe 1. Mesures techniques et organisationnelles

Serenia Vita met en œuvre, à date, les mesures suivantes, sous réserve d’évolution :

  • hébergement sur infrastructures cloud opérées en Union européenne ;
  • gestion des accès authentifiés ;
  • séparation logique des environnements ;
  • sauvegardes régulières ;
  • surveillance technique et journalisation ;
  • limitation des accès internes aux personnes habilitées ;
  • procédures de gestion des incidents ;
  • suppression des données selon instructions et politiques de rétention applicables.