Contrat de Sous-Traitance (DPA)

Conforme à l'Art. 9 de la Loi fédérale sur la protection des données (nLPD) — Dernière mise à jour : 17 mars 2026

Parties

Responsable du traitement (« le Mandant ») : Le thérapeute titulaire du compte Therago, agissant en qualité de responsable du traitement des données de ses patients.

Sous-traitant (« le Prestataire ») : Artt Services Sàrl, Chemin Moïse-Duboule 3, 1209 Genève, Suisse, exploitant de la plateforme Therago.

1. Objet et durée

Le Prestataire traite les données personnelles des patients du Mandant dans le cadre de la fourniture du service Therago (gestion de cabinet, facturation, notes de séance, agenda). Le présent contrat prend effet à l'inscription et reste en vigueur pendant toute la durée d'utilisation du Service.

2. Nature et finalité du traitement

• Stockage chiffré de dossiers patients
• Transcription et structuration de notes de séance par IA
• Génération et envoi de factures
• Gestion d'agenda et rappels automatiques
• Sauvegardes chiffrées

3. Catégories de données traitées

• Données de santé (Art. 5 let. c nLPD) : notes de séance, anamnèses, diagnostics, prescriptions, historique de traitement
• Données d'identification : nom, prénom, date de naissance, coordonnées des patients
• Données d'assurance : nom de l'assureur, numéro de police, type de couverture
• Données de facturation : montants, codes tarifaires, dates de séance

4. Obligations du Prestataire

4.1 Instructions

Le Prestataire traite les données uniquement sur instruction documentée du Mandant, sauf obligation légale contraire. L'utilisation du Service par le Mandant constitue ses instructions.

4.2 Confidentialité et secret professionnel

Le Prestataire et l'ensemble de son personnel autorisé à traiter les données sont soumis à une obligation de confidentialité équivalente au secret professionnel au sens de l'Art. 321 du Code pénal suisse. Cette obligation survit à la fin du présent contrat et à la fin de tout rapport de travail.

Tout collaborateur ayant un accès potentiel aux systèmes hébergeant les données patients signe un engagement écrit de confidentialité avant sa prise de fonction.

4.3 Sécurité (Art. 8 nLPD)

Le Prestataire met en œuvre les mesures suivantes :

• Chiffrement AES-256-GCM de chaque champ de données patient individuellement
• Clé de chiffrement unique par thérapeute (architecture zéro-accès)
• TLS 1.3 pour toutes les communications
• Hébergement exclusif en Suisse (Genève), certifié ISO 27001
• Contrôle d'accès basé sur les rôles (RBAC) avec séparation stricte entre thérapeutes
• Journal d'audit de chaque accès aux données patients (qui, quoi, quand, IP)
• Sauvegardes chiffrées quotidiennes avec rétention de 30 jours
• Authentification à deux facteurs disponible
• Transcription vocale sur serveurs suisses — audio supprimé après traitement
• Anonymisation des données avant tout traitement IA externe

4.4 Sous-traitants ultérieurs

Le Prestataire ne fait pas appel à des sous-traitants ultérieurs pour le traitement de données patients en clair. La liste complète des sous-traitants est maintenue dans la Politique de confidentialité.

Tout nouveau sous-traitant est notifié au Mandant au moins 30 jours avant sa mise en service. Le Mandant peut s'y opposer.

4.5 Assistance

Le Prestataire assiste le Mandant pour :

• Répondre aux demandes d'accès, de rectification ou d'effacement des patients
• Les obligations de notification en cas de violation de données
• Les analyses d'impact relatives à la protection des données si requises

4.6 Notification de violation

En cas de violation de la sécurité des données, le Prestataire notifie le Mandant dans un délai de 24 heures suivant la découverte de l'incident, en communiquant : la nature de la violation, les données concernées, les conséquences probables et les mesures prises.

4.7 Audit

Le Mandant dispose d'un droit d'audit sur les mesures de sécurité du Prestataire, exerçable une fois par an avec un préavis de 30 jours. L'audit peut être confié à un tiers indépendant soumis à une obligation de confidentialité.

5. Fin du contrat

À la fin du contrat, le Prestataire :

• Met à disposition du Mandant l'export complet de ses données au format CSV/JSON
• Supprime toutes les données du Mandant et de ses patients dans un délai de 90 jours, sauf obligation légale de conservation
• Confirme par écrit la suppression effective des données

6. Responsabilité

Le Prestataire est responsable des dommages causés par un traitement non conforme aux instructions du Mandant ou au présent contrat. La responsabilité est limitée conformément aux Conditions générales.

7. Droit applicable

Le présent contrat est soumis au droit suisse. Le for juridique est Genève, Suisse.

Ce contrat de sous-traitance est automatiquement conclu lors de l'inscription au Service et fait partie intégrante des Conditions générales d'utilisation. En créant un compte Therago, le Mandant accepte les termes du présent contrat.