1. Définitions et rôles
- Responsable de traitement : le Praticien, qui détermine les finalités et moyens du traitement des données de ses personnes suivies.
- Sous-traitant : Bastien Schulz EI (« MOVA »), qui traite ces données pour le compte et sur instruction du Praticien.
- Personne concernée : la personne suivie (patient/client) par le Praticien.
2. Objet, durée, nature et finalité
Objet : l'hébergement et le traitement des données nécessaires au suivi nutrition et coaching via le Service MOVA. Durée : la durée de l'abonnement du Praticien. Nature : collecte, enregistrement, organisation, conservation, consultation, mise à disposition et suppression. Finalité : fournir au Praticien les fonctionnalités de suivi, d'échange et d'analyse du Service.
3. Catégories de données et de personnes
Personnes : les personnes suivies par le Praticien. Données : identité et contact ; mesures et anthropométrie ; données de santé (douleur, sommeil, symptômes, bilans, ressenti) ; alimentation et photos de repas ; activité physique ; messages ; objectifs. Ces données incluent des catégories particulières (art. 9 RGPD).
4. Obligations du sous-traitant (MOVA)
- Traiter les données uniquement sur instruction documentée du Praticien et pour les finalités ci-dessus ;
- Garantir la confidentialité et n'autoriser l'accès qu'aux personnes habilitées et tenues au secret ;
- Mettre en œuvre des mesures de sécurité appropriées (art. 32) : chiffrement des communications, contrôle d'accès, cloisonnement par praticien, journalisation, sauvegardes ;
- Assister le Praticien pour répondre aux demandes d'exercice des droits des personnes (accès, rectification, effacement, portabilité…) et pour ses obligations de sécurité, de notification de violation et d'analyse d'impact (art. 32 à 36) ;
- Notifier au Praticien toute violation de données dans les meilleurs délais après en avoir pris connaissance ;
- Au terme du contrat, restituer ou supprimer les données selon le choix du Praticien, et détruire les copies existantes (sauf obligation légale de conservation).
5. Sous-traitants ultérieurs
Le Praticien autorise MOVA à recourir aux sous-traitants ultérieurs listés ci-dessous, MOVA leur imposant les mêmes obligations de protection. Toute modification fait l'objet d'une information préalable, permettant au Praticien d'émettre des objections.
| Sous-traitant ultérieur | Service | Localisation |
|---|---|---|
| Hetzner Online GmbH | Hébergement | Allemagne (UE) |
| Stripe Payments Europe / Stripe, Inc. | Paiement | Irlande (UE) / USA |
| OpenAI, L.L.C. | Transcription & analyse (IA) | USA |
| Anthropic, PBC | Assistant & résumés (IA) | USA |
6. Obligations du responsable (Praticien)
- Disposer d'une base légale pour traiter les données de ses personnes suivies (mission de soins / consentement) ;
- Informer ses personnes suivies du recours à MOVA et de ses sous-traitants, et recueillir leur consentement lorsque requis ;
- Ne donner que des instructions licites et n'enregistrer que des données pertinentes et limitées.
7. Sécurité et localisation
Les données sont hébergées dans l'Union européenne (Hetzner, Allemagne). Les communications sont chiffrées (HTTPS/TLS). MOVA applique la minimisation des données transmises aux services d'IA et le cloisonnement strict des données entre praticiens.
8. Audit
MOVA met à disposition du Praticien les informations nécessaires pour démontrer le respect de l'article 28 et permet la réalisation d'audits, dans des conditions raisonnables et un préavis approprié.
9. Acceptation
Le présent DPA est accepté par le Praticien lors de la souscription/activation de son compte, ou peut être signé séparément sur demande à bastienschulz@gmail.com.