Data ProcessingAgreement.

Préambule

Le présent Data Processing Agreement (DPA) est conclu entre :

• Le Responsable de Traitement : le Client, dont l'identité est précisée dans le contrat principal (commande de production de fiches WestMark Group) ;
• Le Sous-traitant : Legal Highlight, agissant sous la marque WestMark Group, 6 Rue Jean Cocteau, 13200 Arles, SIREN 888 133 766, représentée par Akhatar Andy.

Conformément à l'Art. 28 du Règlement UE 2016/679 (RGPD). Le présent DPA complète et fait partie intégrante des CGV et/ou du contrat de prestation signé entre les parties. En cas de contradiction, les dispositions du présent DPA prévalent sur celles des CGV s'agissant du traitement des données personnelles.

Article 1 — Objet et durée

Le Sous-traitant produit pour le Responsable des bases de coordonnées professionnelles dentaires, à des fins de prospection commerciale B2B, telle que définie dans les CGV et le devis signé.

La durée du traitement correspond à la durée du contrat principal + 30 jours pour suppression complète chez le Sous-traitant. Aucune autre finalité n'est autorisée sans avenant.

Article 2 — Nature et finalité du traitement

• Nature : production sur mesure, qualification, livraison de fiches de prospection
• Finalité unique : prospection commerciale B2B du Responsable auprès de professionnels libéraux dentaires français
• Aucune autre finalité autorisée sans avenant écrit

Article 3 — Catégories de données traitées

Les données traitées dans le cadre du présent DPA sont exclusivement des coordonnées professionnelles et comprennent : nom, prénom, civilité, profession, spécialité, portable professionnel, email professionnel, adresse cabinet, code postal, ville, conventionnement, nature d'exercice.

Exclusion stricte: données patient, données de santé, données financières, identifiants Sécurité sociale. Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée dans le cadre du présent accord.

Article 4 — Catégories de personnes concernées

Professionnels de santé libéraux français, principalement chirurgiens-dentistes et professions associées. Les données traitées concernent exclusivement l'activité professionnelle des praticiens, non leur vie privée.

Article 5 — Obligations du Sous-traitant

Le Sous-traitant s'engage à :

1. Traiter les données uniquement sur instruction documentée du Responsable (devis et brief acceptés) et informer immédiatement le Responsable si une instruction lui semble contraire au RGPD ;
2. Garantir la confidentialité par engagement contractuel de tout son personnel autorisé à accéder aux données ;
3. Mettre en œuvre les mesures techniques et organisationnelles de l'Art. 32 RGPD détaillées à l'Article 7 du présent DPA ;
4. Ne pas recourir à un sous-traitant ultérieur sans autorisation écrite préalable du Responsable, et imposer à tout sous-traitant ultérieur autorisé les mêmes obligations que celles du présent DPA ;
5. Assister le Responsable dans la mise en œuvre des droits des personnes concernées (Art. 12-23 RGPD) et transmettre sans délai toute demande reçue directement ;
6. Notifier toute violation de données sous 72 heures après en avoir pris connaissance (Art. 33-34 RGPD), par email et courrier recommandé ;
7. Restituer ou supprimer toutes les données à la fin du contrat dans les 30 jours, et fournir un certificat de destruction sur demande ;
8. Mettre à disposition tous les éléments nécessaires à la démonstration du respect du présent DPA et permettre la réalisation d'audits sur préavis raisonnable.

Article 6 — Sous-traitants ultérieurs

À la date du présent DPA, le Sous-traitant utilise les sous-traitants ultérieurs suivants :

• Cloudflare Inc. (hébergement Pages + datacenter Frankfurt, UE) — finalité : hébergement web et stockage temporaire des fiches en transit

Toute modification de cette liste sera notifiée au Responsable avec un préavis de 15 jours, qui pourra s'y opposer dans ce délai.

Article 7 — Mesures techniques et organisationnelles (Art. 32 RGPD)

• Chiffrement TLS 1.3 obligatoire pour toute connexion
• Watermarking unique de chaque livraison (traçabilité de toute fuite)
• Hébergement exclusivement UE — Cloudflare datacenter Frankfurt (Allemagne)
• Contrôle des accès par habilitation nominative
• Transmission des bases via liens de téléchargement sécurisés à durée limitée
• Pas de copie de fichiers sur supports physiques non chiffrés
• Audit interne annuel des pratiques de sécurité
• Engagement de confidentialité écrit du personnel

Article 8 — Localisation et transferts hors UE

Toutes les données sont hébergées dans l'Union européenne (Cloudflare datacenter Frankfurt, Allemagne). Aucun transfert hors UE n'est effectué dans le cadre standard du contrat.

En cas de nécessité exceptionnelle (ex : maintenance d'urgence), application des Clauses Contractuelles Types (CCT) de la Commission européenne. Cloudflare est lié au Sous-traitant par un accord de traitement conforme aux CCT.

Article 9 — Notification d'incident

En cas de violation de données, le Sous-traitant notifie le Responsable sous 72 heures (Art. 33 RGPD), via email + courrier recommandé, en fournissant :

• Description de la nature de la violation
• Catégories et nombre approximatif de personnes concernées et de données impliquées
• Conséquences probables et mesures prises ou envisagées pour remédier à la violation

Article 10 — Audit

Le Responsable peut auditer le Sous-traitant une fois par an maximum, sur préavis de 30 jours, dans le respect des règles de confidentialité applicables. Les coûts d'audit sont à la charge du Responsable.

Article 11 — Restitution / suppression à fin de contrat

À la fin du contrat principal, le Sous-traitant restitue ou supprime toutes les données dans un délai de 30 jours, sauf si le droit de l'Union ou le droit national impose leur conservation. Le Sous-traitant fournit un certificat de destruction sur demande.

Article 12 — Droit applicable

Le présent DPA est soumis au droit français. Si l'une des clauses venait à être déclarée nulle ou inapplicable, les autres clauses demeurent pleinement en vigueur. Tout litige relèvera du Tribunal de commerce de Tarascon.