Accord de Traitement des Données (DPA)

Contrat de sous-traitance au sens de l'article 28 du RGPD

Dernière mise à jour : 27 mai 2026

1. Objet et acceptation

Le présent Accord de Traitement des Données (ci-après « DPA ») encadre les conditions dans lesquelles Lactéo, en sa qualité de sous-traitant, traite les données à caractère personnel pour le compte de la professionnelle utilisatrice du service Lactéo, agissant en qualité de responsable de traitement (ci-après « la Cliente »).

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation et de Vente et s'applique automatiquement dès la souscription au service Lactéo. Il complète la Politique de Confidentialité.

2. Parties

Sous-traitant :
Lactéo, représenté par Mickael Delolme
Micro entreprise, SIRET 82320161100014
28 rue Clément Forissier, 42100 Saint-Étienne
Contact RGPD : rgpd@lacteo.app

Responsable de traitement :
La Cliente, professionnelle de santé ou de la périnatalité (sage-femme, IBCLC, conseillère en lactation, puéricultrice, kiné pédiatrique, etc.), titulaire d'un compte Lactéo actif.

3. Description du traitement

Nature du traitement : hébergement, stockage, mise à disposition et traitement de données personnelles via le logiciel SaaS Lactéo.

Finalité : permettre à la Cliente de gérer son activité professionnelle (suivi des patientes, agenda, consultations, facturation, communications, espace patient, suivi d'activité).

Durée : pendant toute la durée de l'abonnement de la Cliente, prolongée de la période de récupération des données prévue dans les CGV (30 jours après résiliation).

Catégories de données :

  • Données d'identification des patientes (nom, prénom, date de naissance, coordonnées)
  • Données de santé relatives à l'allaitement et à la périnatalité (article 9 RGPD)
  • Données relatives aux enfants suivis
  • Historique des consultations, notes cliniques, documents joints
  • Données de facturation des patientes
  • Communications (emails, calendriers synchronisés)

Catégories de personnes concernées : patientes de la Cliente, enfants suivis, contacts professionnels.

4. Obligations de Lactéo (sous-traitant)

Conformément à l'article 28.3 du RGPD, Lactéo s'engage à :

  • Traiter les données uniquement sur instructions documentées de la Cliente, telles que matérialisées par l'utilisation des fonctionnalités du service
  • Garantir que toute personne ayant accès aux données est soumise à une obligation de confidentialité
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD), détaillées en section 7
  • Ne pas recourir à un autre sous-traitant sans autorisation préalable (cf. section 5)
  • Aider la Cliente à répondre aux demandes d'exercice des droits des personnes concernées (cf. section 9)
  • Aider la Cliente à respecter ses obligations de sécurité, de notification de violation et d'analyse d'impact
  • Supprimer ou restituer les données en fin de prestation, selon le choix de la Cliente (cf. section 10)
  • Mettre à disposition toute information nécessaire pour démontrer le respect de ces obligations

5. Sous-traitants ultérieurs

La Cliente autorise Lactéo à faire appel aux sous-traitants ultérieurs listés ci-dessous pour la fourniture du service. Lactéo s'engage à conclure avec chacun un contrat imposant les mêmes obligations de protection des données.

Sous-traitantFinalitéLocalisation
Supabase Inc.Base de données, stockage de fichiers, authentificationUE (Francfort, Allemagne)
Hostinger International LtdHébergement du site webUE
Stripe Payments Europe LtdTraitement des paiements (abonnement et paiement patientes)UE (Irlande), certifié PCI-DSS niveau 1
Brevo (Sendinblue SAS)Envoi d'emails transactionnels et de communications professionnellesUE (France)
Nylas Inc.Synchronisation emails et calendriers Microsoft / iCloudUE (option région européenne)
Unipile SASSynchronisation emails et calendriers GoogleUE (France)

En cas d'ajout, de remplacement ou de suppression d'un sous-traitant ultérieur, Lactéo en informera la Cliente par email ou via la mise à jour de la présente liste, dans un délai raisonnable. La Cliente disposera alors d'un délai de 30 jours pour s'opposer, ce qui pourra entraîner la résiliation du service.

6. Transferts hors Union Européenne

L'ensemble des données traitées par Lactéo et ses sous-traitants ultérieurs sont hébergées au sein de l'Union Européenne. Aucun transfert vers un pays tiers n'est effectué dans le cadre du service. Si une telle situation devait évoluer, Lactéo encadrerait le transfert par les Clauses Contractuelles Types adoptées par la Commission Européenne et en informerait la Cliente.

7. Sécurité (article 32 RGPD)

Lactéo met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des données en transit (HTTPS / TLS 1.2 minimum)
  • Chiffrement des données au repos (chiffrement disque et base de données)
  • Authentification renforcée (mot de passe robuste, OAuth Google / Microsoft)
  • Cloisonnement strict des données par compte via Row Level Security PostgreSQL
  • Protection anti-bot à l'inscription (Cloudflare Turnstile)
  • Journalisation des connexions et des opérations sensibles
  • Sauvegardes quotidiennes (rétention 7 jours sur l'infrastructure Supabase)
  • Mises à jour de sécurité régulières des dépendances logicielles
  • Accès aux données strictement limité aux personnes habilitées

8. Notification de violation de données

En cas de violation de données à caractère personnel, Lactéo s'engage à notifier la Cliente sans retard injustifié, et au plus tard dans un délai de 72 heures après en avoir pris connaissance, par email à l'adresse associée au compte. La notification contiendra a minima : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises ou envisagées pour y remédier. Il appartient à la Cliente, en tant que responsable de traitement, de notifier la CNIL et, le cas échéant, les personnes concernées.

9. Droits des personnes concernées

Lactéo apporte son aide à la Cliente pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, opposition, limitation, portabilité) émanant des patientes ou de toute autre personne concernée.

La Cliente dispose dans son interface des outils nécessaires pour exercer la majorité de ces droits de manière autonome (modification, suppression, export des données patientes). Pour toute demande nécessitant une intervention technique de Lactéo, la Cliente peut écrire à rgpd@lacteo.app.

10. Sort des données en fin de contrat

À l'issue de l'abonnement, la Cliente dispose d'un délai de 30 jours pour exporter l'intégralité de ses données via la fonctionnalité « Mes données » de son profil (export structuré CSV + ZIP des documents).

Passé ce délai, l'ensemble des données personnelles est supprimé de l'infrastructure de production de Lactéo. Les sauvegardes contenant des données effacées sont écrasées selon le cycle de rétention des sauvegardes (7 jours maximum). Les obligations légales de conservation (notamment comptables, 10 ans) demeurent applicables aux seules données concernées.

11. Responsabilité

La responsabilité de Lactéo au titre du présent DPA est encadrée par les limitations de responsabilité prévues aux CGU/CGV. Chaque partie reste responsable des dommages causés par le manquement à ses propres obligations RGPD.

12. Droit applicable

Le présent DPA est soumis au droit français et au Règlement (UE) 2016/679 (RGPD). Tout litige relève des juridictions compétentes désignées dans les CGU/CGV.

13. Contact

Pour toute question relative au présent DPA ou pour obtenir une version signée par Lactéo, contactez : rgpd@lacteo.app