Contrat de traitement de données (DPA)

Article 28 du Règlement (UE) 2016/679 — Version 1.0 du 31 mai 2026

Le présent Contrat de traitement de données (ci-après « DPA ») est conclu entre :

• SPFPL AEDDB, exploitant le Service MemoVet, 7550 Route du Puy Sainte-Reparade, 13100 Aix-en-Provence, SIRET 910 896 133 00014 (ci-après « MemoVet » ou « le Sous-traitant »),
• et l'Utilisateur tel qu'identifié dans son compte MemoVet (vétérinaire, structure vétérinaire ou société d'exercice), ci-après « le Responsable de traitement ».

Le DPA fait partie intégrante des Conditions Générales d'Utilisation et est accepté par le Responsable de traitement lors de la création de son compte. Il prévaut sur toute stipulation contraire des CGU pour les questions relevant du RGPD.

Article 1 - Objet et portée

Le présent DPA a pour objet de définir les conditions dans lesquelles MemoVet s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel décrites ci-après, dans le respect du RGPD et de la loi Informatique et Libertés.

Article 2 - Description du traitement (Annexe 1)

2.1 Nature et finalité du traitement

MemoVet traite les données personnelles pour le compte du Responsable de traitement aux fins suivantes :

• Transcription automatique d'enregistrements audio de consultations vétérinaires.
• Génération de comptes-rendus structurés de consultation à partir des transcriptions.
• Stockage des enregistrements, transcriptions et comptes-rendus dans l'espace personnel du Responsable de traitement.
• Envoi par email du compte-rendu au propriétaire de l'animal, à la demande explicite du Responsable de traitement.
• Apprentissage personnalisé non-collectif : adaptation du style de génération aux préférences propres du Responsable de traitement, sans mutualisation avec d'autres utilisateurs.

2.2 Catégories de données traitées

• Données du propriétaire de l'animal : nom, prénom, adresse email (si saisis pour envoi du CR), éventuellement mentionnés à l'oral pendant la consultation.
• Données de l'animal : nom, espèce, race, sexe, âge, poids, antécédents médicaux, symptômes, diagnostic, traitement prescrit.
• Enregistrement audio de la consultation (susceptible de contenir incidemment des mentions personnelles du propriétaire ou de tiers présents).
• Transcription textuelle de l'audio.
• Compte-rendu généré et version éditée par le vétérinaire.

2.3 Personnes concernées

• Propriétaires d'animaux clients du Responsable de traitement.
• Le cas échéant, toute personne mentionnée ou intervenant dans la consultation (membre de la famille, autre vétérinaire référent).

2.4 Durée du traitement

Le traitement est effectué pour toute la durée de l'abonnement du Responsable de traitement au Service. Les enregistrements audio sont supprimés automatiquement après transcription, sauf conservation explicitement demandée par le Responsable de traitement. Les transcriptions et comptes-rendus sont conservés pendant la durée de l'abonnement majorée de 30 jours après résiliation, puis effacés ou restitués au choix du Responsable de traitement.

Article 3 - Obligations de MemoVet (Sous-traitant)

MemoVet s'engage à :

3.1 Conformité aux instructions documentées

Traiter les données personnelles uniquement pour les finalités décrites à l'article 2 et conformément aux instructions documentées du Responsable de traitement (les CGU et le présent DPA constituent l'instruction initiale ; toute instruction additionnelle doit être adressée par email à contact@memovet.fr). Si MemoVet considère qu'une instruction est contraire au RGPD, il en informe immédiatement le Responsable de traitement.

3.2 Confidentialité

Garantir la confidentialité des données traitées et veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.

3.3 Sécurité du traitement (article 32 RGPD)

Mettre en œuvre les mesures techniques et organisationnelles appropriées détaillées en Annexe 2 du présent DPA, notamment :

• Chiffrement des données en transit (TLS 1.3) et au repos (AES-256).
• Cloisonnement strict des données par utilisateur via Row Level Security (RLS) PostgreSQL.
• Authentification à deux facteurs disponible pour le Responsable de traitement.
• Sauvegardes quotidiennes chiffrées par le sous-traitant ultérieur Supabase.
• Tests réguliers de sécurité (audit OWASP).
• Journalisation des accès administrateurs.

3.4 Sous-traitants ultérieurs (article 28.2 RGPD)

Le Responsable de traitement autorise MemoVet à faire appel à des sous-traitants ultérieurs (« sub-processors ») pour la fourniture du Service. La liste à jour est publiée et maintenue sur /sous-traitants.html.

Tout ajout ou remplacement de sous-traitant ultérieur fait l'objet d'une notification préalable par email avec un préavis de 30 jours. Le Responsable de traitement peut s'opposer à ce changement par retour d'email à contact@memovet.fr dans le délai imparti ; en cas d'opposition motivée par un risque concret sur les données et sans solution alternative acceptable, le Responsable de traitement peut résilier le contrat sans pénalité.

MemoVet impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles prévues au présent DPA, par contrat écrit (DPA secondaire).

3.5 Droits des personnes concernées (article 28.3.e RGPD)

MemoVet aide le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation), notamment via :

• Une interface utilisateur permettant l'export des données personnelles d'un propriétaire (au format texte ou JSON) sur demande du Responsable de traitement.
• Une fonctionnalité de suppression d'une consultation et de toutes ses données associées (enregistrement, transcription, CR) en un clic.
• Une fonctionnalité de suppression complète du compte du Responsable de traitement, qui déclenche en cascade la suppression de toutes les données de traitement associées (voir article 6 du présent DPA).

3.6 Notification des violations de données (article 33 RGPD)

MemoVet notifie au Responsable de traitement, par email, toute violation de données à caractère personnel le concernant dans un délai maximal de 48 heures après en avoir pris connaissance, afin de permettre au Responsable de traitement de notifier à son tour la CNIL dans les 72 heures réglementaires.

La notification inclut : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, et les mesures prises ou proposées pour remédier à la violation.

3.7 Analyse d'impact et consultation préalable

MemoVet fournit au Responsable de traitement les informations techniques nécessaires pour mener à bien, le cas échéant, une analyse d'impact sur la protection des données (DPIA / PIA) ou une consultation préalable de la CNIL.

3.8 Coopération avec l'autorité de contrôle

MemoVet coopère avec la CNIL ou toute autre autorité de contrôle compétente, sur demande motivée transmise par le Responsable de traitement.

3.9 Délégué à la protection des données (DPO)

MemoVet n'a pas désigné de DPO formel (non obligatoire au regard de l'article 37 du RGPD compte tenu de l'absence de traitement à grande échelle de données de santé humaine ou de profilage à risque). Toute demande relative à la protection des données est néanmoins adressée à contact@memovet.fr et traitée dans les 30 jours.

Article 4 - Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

• Obtenir le consentement explicite et éclairé des propriétaires d'animaux avant tout enregistrement audio en consultation.
• Fournir aux personnes concernées (propriétaires) une information conforme aux articles 13 et 14 du RGPD sur le traitement de leurs données (finalité, base légale, sous-traitants, durée de conservation, droits — modèle disponible sur demande).
• Ne pas enregistrer ou faire transiter par le Service des données médicales relatives à des personnes physiques (le Service est conçu pour la médecine vétérinaire uniquement).
• Garder confidentiels ses identifiants de connexion et activer l'authentification à deux facteurs.
• Notifier sans délai MemoVet de tout accès non autorisé suspecté à son compte.

Article 5 - Localisation des données et transferts hors UE

Les données primaires (base de données, fichiers audio) sont hébergées en Allemagne (région Frankfurt) par le sous-traitant ultérieur Supabase. Le transit applicatif s'effectue depuis l'Union européenne (Paris) via Vercel.

Certains traitements impliquent des transferts vers les États-Unis (Anthropic pour la génération de texte par IA, Vercel pour la couche serverless, Resend pour les emails, Stripe pour les paiements). Ces transferts sont systématiquement encadrés par :

• Les clauses contractuelles types (SCC) approuvées par la Commission européenne (Décision 2021/914).
• Le Data Privacy Framework (DPF) UE-USA pour les sous-traitants y ayant adhéré.
• Des engagements contractuels spécifiques avec chaque sous-traitant ultérieur (DPA secondaires).

La transcription par Mistral AI (Voxtral) est effectuée intégralement en France, sans transfert hors UE.

Article 6 - Sort des données en fin de contrat

À la résiliation du Service, MemoVet :

1. Restitue au Responsable de traitement, à sa demande explicite formulée par email avant la fin de la période de conservation, l'ensemble de ses données dans un format structuré et lisible par machine (JSON ou CSV).
2. Supprime définitivement toutes les données personnelles dans un délai de 30 jours après résiliation, sauf obligation légale de conservation (facturation : 10 ans), incluant les sauvegardes (purge progressive sous 30 jours supplémentaires selon le cycle de rétention Supabase).

MemoVet fournit sur demande une attestation de suppression écrite.

Article 7 - Audit

Le Responsable de traitement peut demander à MemoVet, une fois par an et avec un préavis raisonnable (minimum 30 jours), tout élément documentaire prouvant le respect des obligations du présent DPA (rapports d'audit SOC 2 des sous-traitants ultérieurs, certifications, politique de sécurité interne, etc.).

Pour des audits sur site, le Responsable de traitement peut mandater un auditeur tiers indépendant et soumis à une obligation de confidentialité ; les frais d'audit sont à sa charge sauf en cas de non-conformité avérée.

Article 8 - Responsabilité

Chaque partie est responsable de tout manquement à ses obligations respectives au titre du présent DPA, dans la limite des dispositions du RGPD (articles 82 et suivants) et conformément à l'article 8 des CGU pour le plafonnement de la responsabilité de MemoVet.

Article 9 - Durée et résiliation

Le présent DPA prend effet à la date d'acceptation par le Responsable de traitement (inscription au Service) et reste en vigueur pendant toute la durée de l'abonnement, ainsi que pendant la période de conservation post-résiliation visée à l'article 6.

La résiliation du DPA suit la résiliation des CGU.

Article 10 - Modifications du DPA

Toute modification substantielle du présent DPA est notifiée au Responsable de traitement par email avec un préavis de 30 jours. À défaut d'opposition dans ce délai, la nouvelle version est réputée acceptée. En cas d'opposition motivée, le Responsable de traitement peut résilier le contrat sans pénalité.

Annexe 1 — Récapitulatif du traitement

Voir article 2 ci-dessus pour les détails.

Annexe 2 — Mesures techniques et organisationnelles de sécurité

Sécurité physique

MemoVet ne dispose d'aucune infrastructure physique propre. L'ensemble des données est hébergé chez des sous-traitants ultérieurs certifiés (Supabase / AWS Frankfurt, Vercel Paris), bénéficiant des certifications ISO 27001 et SOC 2 Type II et de la sécurité physique des data centers Tier III/IV.

Contrôle d'accès logique

• Authentification utilisateur par email + mot de passe (haché bcrypt) ou OAuth (Supabase Auth).
• Authentification à deux facteurs (2FA) disponible.
• Sessions sécurisées par JWT à expiration courte.
• Row Level Security (RLS) PostgreSQL : chaque utilisateur n'accède qu'à ses propres lignes en base, isolation au niveau du SGBD.
• Accès administrateur restreint à 1 personne et journalisé (admin_logs).

Chiffrement

• En transit : TLS 1.3 obligatoire, HSTS activé, certificats Let's Encrypt renouvelés automatiquement.
• Au repos : AES-256 (Supabase, S3 Frankfurt).
• Tokens API stockés chiffrés côté serveur, jamais exposés au client.

Cloisonnement et minimisation

• Aucune mutualisation des données entre vétérinaires : chaque compte est isolé en base.
• Les apprentissages (corrections phonétiques, règles validées) sont strictement individuels.
• Le pipeline IA ne mémorise aucune donnée entre deux requêtes (modèle stateless).

Sauvegarde et continuité

• Sauvegardes quotidiennes de la base de données par Supabase, rétention 7 jours sur le plan Pro.
• RPO (Recovery Point Objective) : 24h. RTO (Recovery Time Objective) : 24h sous incident majeur Supabase.

Journalisation et détection

• Logs serveur Vercel (rétention 7 jours), logs PostgreSQL Supabase (rétention 7 jours).
• Monitoring d'erreurs JavaScript via Sentry (sans PII).
• Alertes par email en cas de pic anormal d'erreurs ou de tentatives d'authentification.

Gestion des incidents

• Procédure interne de notification de violation documentée.
• Notification au Responsable de traitement dans les 48h (cf. article 3.6).
• Coopération avec les sous-traitants ultérieurs pour investigation rapide.

Revue régulière

• Audit OWASP Top 10 effectué à chaque release majeure.
• Dependencies scan automatisé via GitHub Dependabot.
• Revue annuelle de la liste des sous-traitants et de leurs DPA.

Annexe 3 — Liste des sous-traitants ultérieurs

Voir page dédiée et toujours à jour : /sous-traitants.html

Acceptation

Le présent DPA est accepté lors de la création du compte sur memovet.fr par la coche explicite « J'accepte les CGU et le Contrat de traitement de données (DPA) ». Cette acceptation est horodatée et tracée en base.

Pour toute question : contact@memovet.fr