Accord de Sous-Traitance des Données

(Data Processing Agreement — Article 28 RGPD)

Dernière mise à jour : 6 mai 2026 · Version 1.0

🛡️ Engagement clé. Labosync est conçu selon le principe de privacy by design : aucune donnée nominative de patient (nom, prénom, date de naissance, adresse, n° de sécurité sociale) n'est collectée, stockée, transmise ou traitée par la plateforme. Les patients sont exclusivement identifiés par un code anonyme (pseudonyme) que seul le client peut rapprocher d'une personne identifiable.

Table des matières

Parties
Objet et champ d'application
Définitions
Qualification des parties — responsable et sous-traitant
Catégories de données traitées
Exclusion expresse des données nominatives patients
Obligations de Labosync (sous-traitant)
Obligations du Client (responsable de traitement)
Sous-traitants ultérieurs
Mesures techniques et organisationnelles
Notification de violation de données
Assistance pour les droits des personnes concernées
Durée, restitution et suppression
Droit d'audit
Statut HDS — Hébergement de Données de Santé
Responsabilité
Droit applicable et juridiction

1. Parties

Le présent Accord de Sous-Traitance des Données (ci-après « l'Accord » ou « DPA ») est conclu entre :

Labosync, éditeur du Service Labosync, identifié dans les mentions légales (ci-après « Labosync » ou « le Sous-traitant ») ;
Le Client, laboratoire de prothèse dentaire ou cabinet dentaire utilisateur du Service, dûment identifié lors de la souscription de son compte (ci-après « le Client » ou « le Responsable de Traitement »).

L'acceptation des Conditions Générales d'Utilisation (CGU) du Service vaut acceptation pleine et entière du présent DPA, qui en constitue une annexe indissociable.

2. Objet et champ d'application

Le présent DPA encadre les conditions dans lesquelles Labosync, en sa qualité de sous-traitant au sens de l'article 28 du RGPD, traite des données à caractère personnel pour le compte du Client, dans le cadre de l'exécution du contrat de souscription au Service.

Il s'applique à l'ensemble des traitements effectués par Labosync sur des données fournies, saisies ou générées par le Client via le Service.

3. Définitions

Les termes utilisés dans le présent DPA ont le sens qui leur est donné par le RGPD (Règlement UE 2016/679). En particulier :

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
Pseudonymisation : traitement de données rendu de telle façon qu'elles ne puissent plus être attribuées à une personne sans informations supplémentaires conservées séparément.
Code patient : pseudonyme défini librement par le Client (initiales + numéro, code interne, etc.) servant à identifier un patient sans révéler son identité.
Donnée de santé : au sens de l'article 4-15 RGPD, toute donnée relative à la santé physique ou mentale d'une personne identifiée ou identifiable.

4. Qualification des parties

Le Client est seul Responsable du Traitement au sens de l'article 4-7 du RGPD. À ce titre, il décide des finalités et des moyens du traitement et exerce un contrôle exclusif sur :

La liste des cabinets dentaires avec lesquels il interagit ;
Les codes patients qu'il saisit dans le Service ;
La table de correspondance entre ces codes et les patients identifiables, qui reste exclusivement dans ses systèmes (logiciel de gestion cabinet, registre interne, etc.) et n'est jamais transmise à Labosync.

Labosync agit en qualité de Sous-traitant au sens de l'article 28 du RGPD, agissant sur instruction documentée du Client (à savoir : l'utilisation du Service conformément à sa documentation).

5. Catégories de données traitées

Catégorie	Personnes concernées	Finalité
Données de compte (email, mot de passe haché, nom du laboratoire)	Utilisateur du laboratoire/cabinet	Authentification, facturation de l'abonnement
Données métier (cabinets clients, travaux dentaires, types de prothèses, prix, factures, bons de livraison)	Le laboratoire et ses cabinets clients	Fonctionnement du Service de gestion
Codes patients (pseudonymes)	Aucune personne directement identifiable par Labosync	Suivi anonyme des prothèses
Adresse IP, logs de connexion	Utilisateur	Sécurité et prévention de la fraude

6. Exclusion expresse des données nominatives patients

Engagement contractuel central. Le Service Labosync ne propose aucun champ destiné à recevoir le nom, le prénom, la date de naissance, l'adresse, le numéro de sécurité sociale ou tout autre identifiant direct d'un patient. Tous les champs liés au patient sont libellés « Code patient » et accompagnés d'un avertissement invitant à utiliser un identifiant anonyme.

Labosync s'engage à :

Ne jamais introduire dans son interface un champ collectant un identifiant direct de patient ;
Mettre à disposition un générateur de code anonyme intégré, qui transforme un nom (saisi localement, jamais transmis ni enregistré) en pseudonyme avant toute saisie dans le Service ;
Détecter les saisies suspectes (chaîne ressemblant à un nom usuel) et alerter l'utilisateur avant validation ;
Ne pas tenter, par quelque moyen que ce soit, de réidentifier un patient à partir des codes traités.

Responsabilité du Client. En cas de saisie volontaire ou involontaire d'un nom patient à la place d'un code, la responsabilité incombe exclusivement au Client. Labosync décline toute responsabilité pour les données saisies en contradiction avec les présentes stipulations et la documentation du Service.

7. Obligations de Labosync

Labosync s'engage, conformément à l'article 28 du RGPD, à :

Ne traiter les données personnelles que sur instruction documentée du Client (le contrat et la documentation du Service constituant ces instructions) ;
Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
Mettre en œuvre les mesures techniques et organisationnelles appropriées (cf. article 10) ;
Ne pas recourir à un sous-traitant ultérieur sans information préalable du Client ;
Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées ;
Aider le Client à se conformer à ses propres obligations RGPD (sécurité, notification de violations, AIPD le cas échéant) ;
Supprimer ou restituer les données à la fin du contrat (cf. article 13) ;
Mettre à disposition du Client les informations nécessaires à la démonstration du respect des présentes obligations.

8. Obligations du Client

Le Client s'engage à :

Saisir uniquement des codes patients anonymes, conformément à l'engagement de l'article 6 ;
Maintenir, dans ses propres systèmes et sous son seul contrôle, la table de correspondance entre codes et patients identifiables ;
Informer ses propres patients du recours à Labosync comme outil interne du laboratoire, dans le cadre de sa propre politique de confidentialité ;
Recueillir, le cas échéant, les consentements nécessaires auprès de ses propres patients ;
S'assurer que les cabinets dentaires partenaires utilisant le portail respectent également les présentes stipulations ;
Notifier Labosync sans délai en cas de soupçon de violation de données affectant les données traitées.

9. Sous-traitants ultérieurs

Le Client autorise Labosync à recourir aux sous-traitants ultérieurs suivants :

Sous-traitant	Service fourni	Localisation des serveurs
Supabase Inc.	Hébergement de la base de données et de l'authentification	Union européenne (Francfort, Allemagne)
Netlify Inc.	Hébergement du frontend (HTML/CSS/JS)	États-Unis (clauses contractuelles types)
Stripe Payments Europe	Traitement des paiements d'abonnement	Irlande, traitement aux États-Unis (clauses contractuelles types)
Anthropic PBC (optionnel)	Assistant IA intégré, uniquement si activé par le Client	États-Unis (clauses contractuelles types)

Tout changement substantiel de sous-traitant fera l'objet d'une notification au Client par email avec préavis raisonnable, pendant lequel le Client peut s'opposer au changement et résilier le contrat sans pénalité.

10. Mesures techniques et organisationnelles

Labosync met en œuvre les mesures suivantes :

Chiffrement : HTTPS/TLS 1.2+ pour toutes les communications ; chiffrement des données au repos par Supabase ;
Authentification : mot de passe haché (bcrypt), gestion par Supabase Auth, jetons JWT à durée limitée ;
Cloisonnement : Row Level Security (RLS) côté Supabase — chaque utilisateur ne voit que ses propres données ;
Sauvegardes : sauvegardes automatiques journalières par Supabase ;
Protection contre l'écrasement : système de détection des sauvegardes destructives empêchant la perte accidentelle de données ;
Journalisation : logs d'accès et de modification conservés 12 mois ;
Mises à jour : application régulière des correctifs de sécurité ;
Personnel : accès aux serveurs limité au strict nécessaire, soumis à confidentialité.

11. Notification de violation de données

En cas de violation de données à caractère personnel, Labosync notifie le Client sans délai injustifié et au plus tard dans les 48 heures suivant la prise de connaissance de l'incident. La notification précisera la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées.

12. Assistance pour les droits des personnes concernées

Compte tenu de la nature du traitement (pseudonymisation), les demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition) doivent être adressées en priorité au Client, qui dispose seul de la table de correspondance. Labosync apporte au Client une assistance raisonnable pour répondre à ces demandes (extraction des données pseudonymisées du Client, par exemple).

13. Durée, restitution et suppression

Le présent DPA prend effet à la date d'acceptation des CGU et reste en vigueur tant que le contrat de souscription est actif.

À la fin du contrat (résiliation, non-renouvellement) :

Le Client dispose de 60 jours pour exporter ses données via la fonction d'export prévue dans le Service ;
À l'issue de ce délai, Labosync procède à la suppression définitive des données métier du Client de ses systèmes de production ;
Les sauvegardes contenant ces données sont purgées dans un délai maximum de 90 jours supplémentaires ;
Les données strictement nécessaires au respect d'obligations légales (factures de Labosync envers le Client, logs de sécurité) peuvent être conservées selon les durées légales applicables.

14. Droit d'audit

Le Client peut, sous réserve d'un préavis raisonnable (au moins 30 jours), demander à Labosync de fournir toute information nécessaire à la démonstration du respect des obligations du présent DPA. Un audit sur site peut être effectué une fois par an, à la charge du Client, par un tiers indépendant accepté par les deux parties, dans des conditions préservant la confidentialité et la continuité du Service.

15. Statut HDS — Hébergement de Données de Santé

Compte tenu de l'absence totale de données nominatives de patients dans le Service (cf. articles 6 et 8) :

Labosync n'est pas tenu de souscrire à un hébergement HDS au sens de l'article L.1111-8 du Code de la Santé Publique ;
Les données pseudonymisées traitées par Labosync ne constituent pas des « données de santé à caractère personnel » au sens dudit article ;
Le Client demeure cependant tenu, pour ses propres traitements internes (table de correspondance, dossiers patients), au respect des obligations applicables à sa propre activité (HDS, secret médical, etc.).

16. Responsabilité

Chaque partie est responsable, dans la limite de ses propres obligations, des dommages causés par un manquement au RGPD ou au présent DPA. La responsabilité de Labosync est plafonnée conformément aux conditions prévues dans les CGU/CGV. Aucune limitation ne s'applique en cas de faute lourde, dol ou manquement aux obligations légales d'ordre public.

17. Droit applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou son exécution sera porté, à défaut de résolution amiable, devant les tribunaux français compétents conformément aux CGU.

Acceptation

L'acceptation des Conditions Générales d'Utilisation du Service emporte acceptation du présent DPA. Pour les Clients souhaitant une signature formelle de l'Accord (par exemple pour leur propre conformité interne ou en réponse à un audit), une version PDF signée peut être obtenue sur demande à contact@labosync.app.

Pour Labosync

Nom, qualité, date

Pour le Client

Nom, qualité, date, cachet

Document version 1.0 — 6 mai 2026. Pour toute question : contact@labosync.app.