Contrat de Sous-traitance des Données
Data Processing Agreement (DPA) — nLPD art. 9 / RGPD art. 28 — Entre le Praticien (Responsable du Traitement) et Mynuvia SNC (Sous-traitant)
Parties Contractantes
| Rôle | Identification |
|---|---|
| Responsable du traitement | Le Praticien abonné à la plateforme Mynuvia (nom, prénom, numéro RCC renseignés lors de l'inscription) |
| Sous-traitant | Mynuvia SNC — Route des Cigognes 1, 1135 Denens — hello@mynuvia.ch — mynuvia.ch |
| Objet | Traitement de données personnelles et de données de santé dans le cadre de l'utilisation de la plateforme Mynuvia |
| Date d'effet | Date d'acceptation des CGU par le praticien lors de son inscription |
| Base légale | nLPD art. 9 (Suisse) — RGPD art. 28 (UE) |
Le Praticien (Responsable du traitement) confie à Mynuvia SNC (Sous-traitant) le traitement de données personnelles concernant ses patients, dans les conditions définies ci-après.
1. Définitions
- Responsable du traitement : le praticien abonné qui détermine les finalités et les moyens du traitement des données de ses patients
- Sous-traitant : Mynuvia SNC, qui traite les données pour le compte du praticien
- Données de santé : toutes données relatives à la santé physique ou mentale des patients (catégorie spéciale — art. 5 let. c nLPD)
- Violation de données : toute atteinte accidentelle ou illicite entraînant la destruction, la perte, la modification ou la divulgation non autorisée de données personnelles
- Opt-in IA : consentement explicite et facultatif du praticien pour l'utilisation anonymisée de ses comptes-rendus validés pour l'amélioration du modèle IA de Mynuvia
2. Nature et Objet du Traitement
| Traitement | Finalité | Catégories de données | Durée |
|---|---|---|---|
| Stockage des dossiers patients | Conservation et accès aux dossiers médicaux | Identité, santé, administratif | Durée du contrat + 5 ans |
| Transcription audio | Conversion parole → texte | Données de santé (audio éphémère) | Détruite immédiatement |
| Génération CR par IA | Structuration des notes cliniques | Données de santé | Durée du contrat + 5 ans |
| Envoi des rappels | Rappels de RDV par SMS et email | Contact, agenda | 3 ans |
| Génération de factures PDF | Facturation Tarif 590 | Santé, facturation, numéro AVS | 10 ans |
| Espace patient | Accès du patient à ses informations | Identité, santé, documents | Durée du contrat + 5 ans |
3. Obligations de Mynuvia SNC (Sous-traitant)
3.1 Traitement sur instruction documentée
Mynuvia SNC traite les données personnelles uniquement sur instruction documentée du praticien (via la plateforme) et conformément au présent DPA. Mynuvia SNC informe le praticien si une instruction semble contraire à la nLPD ou au RGPD, sans pour autant y donner suite.
3.2 Confidentialité
Mynuvia SNC garantit que les personnes autorisées à traiter les données sont soumises à une obligation contractuelle de confidentialité, ont reçu une formation adéquate sur la protection des données sensibles, et font l'objet de vérifications appropriées.
3.3 Sécurité technique et organisationnelle
- Chiffrement AES-256 au repos et TLS 1.3 en transit sur toutes les communications
- Isolation des données par Row Level Security (RLS) — un praticien ne peut pas accéder aux données d'un autre
- Aucun employé de Mynuvia SNC n'a accès au contenu médical des dossiers patients
- Sauvegardes chiffrées quotidiennes avec rétention 30 jours
- Journalisation des accès aux données sensibles conservée 12 mois
- Tests de pénétration planifiés avant le lancement commercial officiel
3.4 Sous-sous-traitants
Mynuvia SNC informe le praticien de tout changement de sous-traitant avec un préavis de 30 jours. Le praticien peut s'y opposer par écrit dans ce délai. À défaut d'accord, le praticien peut résilier le contrat sans frais.
3.5 Assistance au praticien
- Réponse aux demandes d'exercice des droits des patients dans les 30 jours
- Notification des violations de données dans les 72 heures avec tous les détails disponibles
- Assistance pour les analyses d'impact sur la protection des données (AIPD) si nécessaire
- Fourniture de toutes les informations nécessaires pour démontrer la conformité au présent DPA
3.6 Fin du contrat
À la résiliation, Mynuvia SNC met à disposition de l'Abonné un export complet de ses données en format standard (CSV/JSON) pendant 90 jours, puis procède à la suppression sécurisée et définitive, confirmée par écrit.
4. Obligations du Praticien (Responsable du Traitement)
- Informer ses patients du recours à Mynuvia SNC via la politique de confidentialité de son cabinet
- Obtenir le consentement explicite et documenté des patients avant toute transcription audio (art. 6 nLPD)
- S'assurer de la base légale pour le traitement des données de chaque patient
- Ne transmettre que les données strictement nécessaires à la fourniture du service
- Signaler immédiatement tout incident de sécurité dont il aurait connaissance à hello@mynuvia.ch
- Tenir un registre des activités de traitement pour les dossiers de ses patients
- Garantir les droits des patients : accès, rectification, effacement, portabilité dans les délais légaux
5. Transferts Internationaux de Données
Certains sous-traitants de Mynuvia SNC traitent des données hors de Suisse. Ces transferts sont encadrés par :
- Clauses contractuelles types (CCT/SCCs) approuvées par le Conseil fédéral suisse et la Commission européenne
- Décisions d'adéquation de la Suisse pour les pays de l'UE/EEE
- Cadre Swiss-US Data Privacy Framework pour les transferts vers les États-Unis
6. Violations de Données
En cas de violation de données personnelles, Mynuvia SNC s'engage à :
- Notifier le praticien dans les 72 heures suivant la découverte : nature de la violation, catégories et nombre de personnes concernées, mesures prises ou envisagées
- Prendre immédiatement les mesures correctives et préventives nécessaires
- Documenter la violation dans un registre interne
- Fournir au praticien toutes les informations pour évaluer la nécessité de notifier le PFPDT et les patients concernés
Le praticien reste responsable de la notification au PFPDT dans les 72 heures si le risque est élevé, et aux patients concernés sans délai si le risque est très élevé.
7. Audit et Conformité
Mynuvia SNC met à disposition du praticien, sur demande écrite, toutes les informations nécessaires pour démontrer le respect du présent DPA. Mynuvia SNC autorise et contribue aux audits et inspections diligentés par le praticien ou un mandataire indépendant, avec un préavis raisonnable de 30 jours.
8. Dispositions Finales
- Le présent DPA fait partie intégrante des CGU et en suit le sort juridique
- En cas de contradiction, le DPA prévaut sur les CGU pour tout ce qui concerne la protection des données
- Droit applicable : droit suisse exclusivement
- Juridiction : tribunaux du canton de Vaud (Lausanne)
Pour le Praticien (Responsable du traitement)
Nom et prénom
Numéro RCC
Date
Signature
Pour Mynuvia SNC (Sous-traitant)
Nom
Étienne Robbe
Titre
Co-fondateur, Mynuvia SNC
Date
Signature
Annexe 1 — Liste des Sous-sous-traitants
| Sous-traitant | Rôle | Pays | Données traitées | Garantie légale | DPA |
|---|---|---|---|---|---|
| Supabase Inc. | Base de données, auth | USA / UE (Francfort) | Toutes données | SCCs + DPA | ✓ Signé |
| Vercel Inc. | Hébergement app | USA / UE | Données en transit | SCCs + DPA | ✓ Signé |
| Mistral AI (Voxtral) | Transcription audio | France (UE) | Audio éphémère | DPA RGPD auto | ✓ Actif |
| Mistral AI (Small 3.2) | IA comptes-rendus | France (UE) | Notes cliniques | DPA RGPD auto | ✓ Actif |
| SMSPartner.ch | SMS rappels | France (UE) | Téléphone, agenda | DPA RGPD | ✓ Signé avant utilisation |
| Resend Inc. | Emails transac. | USA | Email, contenu | SCCs | ✓ Actif automatiquement |
| Infomaniak SA | Domaine DNS, email | Suisse | Aucune donnée patient | Droit suisse | N/A |