NOTASUIVI

Légal — RGPD

Accord de Sous-traitance RGPD

Data Processing Agreement (DPA) — Article 28 RGPD

Dernière mise à jour : 13 mai 2026

À propos de ce document

Le présent Accord de Sous-traitance (ci-après « DPA ») est conclu entre NOTASUIVI (le « Sous-traitant ») et chaque établissement Client (le « Responsable de traitement ») lors de l'inscription au Service. Il est annexé aux Conditions Générales de Vente (CGV) dont il fait partie intégrante, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Ce DPA est accepté par le Client lors de la création de son compte. Il est accessible à tout moment sur cette page et constitue la base contractuelle de la relation de sous-traitance entre votre établissement et NOTASUIVI.

Préambule

Identification des parties et contexte

Le Sous-traitant : MOVIXO, entrepreneur individuel représenté par Morad NATALBA, éditeur du service NOTASUIVI, immatriculé au RCS de Versailles sous le numéro 945 274 041, dont le siège est situé Étage 01, Logement 101, 10 Rue de la Vallée Française, 78270 Bonnières-sur-Seine, ci-après désigné « NOTASUIVI ».

Le Responsable de traitement : L'établissement Client ayant accepté les présentes conditions lors de la création de son compte NOTASUIVI, ci-après désigné « l'Établissement ».

Dans le cadre de l'utilisation du Service NOTASUIVI, l'Établissement est amené à confier à NOTASUIVI le traitement de données à caractère personnel, notamment des données relatives aux bénéficiaires, usagers et résidents qu'il accompagne. NOTASUIVI traite ces données uniquement pour le compte et sur instruction de l'Établissement, en qualité de sous-traitant au sens de l'article 28 du RGPD.

Les parties reconnaissent que le présent DPA reflète leurs engagements mutuels quant au traitement des données personnelles, conformément au RGPD et à la loi Informatique et Libertés.

Article 1

Objet et périmètre du traitement

Dans le cadre de la fourniture du Service NOTASUIVI, NOTASUIVI effectue, pour le compte de l'Établissement, les opérations de traitement suivantes :

  • Hébergement et accès aux dossiers individuels des bénéficiaires/usagers/résidents (DUI) : identité, situation, accompagnements, évaluations, projets de vie.
  • Stockage et gestion des notes de séance, observations, transmissions inter-équipes et bilans professionnels.
  • Gestion des Projets Personnalisés d'Établissement (PPE) et des synthèses ESS.
  • Gestion des signalements et informations préoccupantes (IP).
  • Suivi des mesures judiciaires (tutelle, curatelle, sauvegarde de justice) et des rapports associés.
  • Traitement ponctuel des écrits professionnels via NOTA IA (aide à la rédaction) : les textes sont transmis au service Groq pour traitement immédiat puis retournés à l'utilisateur ; ils ne sont pas conservés au-delà de la requête.
  • Gestion des comptes utilisateurs et des droits d'accès au sein de l'Établissement.
  • Export des données en formats PDF et CSV à la demande de l'Établissement.

Catégories de personnes concernées : bénéficiaires, usagers et résidents de l'Établissement ; professionnels de l'équipe de l'Établissement.

Catégories de données : données d'identité, données de santé (au sens de l'article 9 du RGPD pour certaines données de suivi), données relatives à la vie sociale et familiale, données relatives à des procédures judiciaires.

Durée du traitement : durée de l'abonnement de l'Établissement, plus 30 jours post-résiliation pour permettre l'export des données.

Article 2

Instructions du Responsable de traitement

NOTASUIVI ne traite les données à caractère personnel confiées par l'Établissement que sur instruction documentée de ce dernier, telle qu'elle résulte :

  • des présentes CGV et du présent DPA ;
  • des fonctionnalités du Service utilisées par l'Établissement ;
  • de toute instruction écrite ultérieure transmise par l'Établissement.

Si NOTASUIVI estimait qu'une instruction constitue une violation du RGPD ou de toute disposition applicable relative à la protection des données, il en informerait immédiatement l'Établissement.

L'Établissement est seul responsable de la licéité des données saisies dans le Service, de la légalité des traitements effectués sous sa responsabilité et de la conformité de sa propre organisation avec le RGPD (registre des activités de traitement, désignation d'un DPO si requis, information des personnes concernées).

Article 3

Confidentialité

NOTASUIVI s'engage à :

  • ne traiter les données à caractère personnel que dans le cadre strict de la fourniture du Service et des instructions de l'Établissement ;
  • s'assurer que les personnes habilitées à traiter les données (collaborateurs, prestataires techniques) sont soumises à une obligation de confidentialité appropriée ou sont soumises à une obligation légale de confidentialité ;
  • limiter l'accès aux données au strict nécessaire (principe du moindre privilège), en fonction des rôles et besoins de chaque intervenant ;
  • ne pas exploiter les données à caractère personnel de l'Établissement à des fins propres (commerciales, analytiques, publicitaires).

Article 4

Mesures de sécurité — Article 32 RGPD

Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, NOTASUIVI met en œuvre les mesures techniques et organisationnelles appropriées suivantes :

Mesures techniques

  • Chiffrement en transit : toutes les communications client-serveur sont chiffrées via HTTPS/TLS 1.3.
  • Chiffrement au repos : les données stockées sont chiffrées (AES-256) par l'infrastructure Supabase.
  • Contrôle d'accès par rôle (RBAC) : les droits d'accès sont définis par rôle métier (Directeur, Chef de service, Éducateur, Lecteur externe, etc.) et configurés par l'Établissement. Aucun utilisateur ne peut accéder aux données d'un autre établissement.
  • Isolation des données : séparation stricte des données entre structures — impossible d'accéder aux données d'un autre établissement.
  • Journalisation des accès : les connexions et actions sensibles sont journalisées.
  • Authentification : gérée par Supabase Auth avec expiration de session.
  • Sauvegardes : sauvegardes automatiques quotidiennes assurées par l'infrastructure Supabase.

Mesures organisationnelles

  • Politique interne d'accès aux données restreinte aux seuls besoins opérationnels.
  • Procédure de gestion des incidents de sécurité documentée.
  • Sélection de sous-traitants ultérieurs offrant des garanties suffisantes (cf. article 5).

Ces mesures visent un niveau de sécurité adapté au risque présenté par les traitements. NOTASUIVI s'engage sur une obligation de moyens et non de résultat en matière de sécurité.

Article 5

Sous-traitants ultérieurs

L'Établissement autorise NOTASUIVI à faire appel aux sous-traitants ultérieurs suivants dans le cadre de la fourniture du Service :

Sous-traitantRôleLocalisation
Supabase, Inc.Base de données & authentificationUE (région confirmée dans les paramètres de l'instance)
Vercel, Inc.Hébergement frontend & APICDN mondial avec nœuds UE
Stripe, Inc.Traitement des paiements (données de facturation uniquement)USA (CCT UE + Data Privacy Framework)
Groq, Inc.Inférence IA (NOTA IA — textes professionnels uniquement)USA (CCT UE)
Resend, Inc.Emails transactionnels (notifications de compte)USA (CCT UE)

NOTASUIVI s'engage à :

  • n'ajouter aucun nouveau sous-traitant ultérieur sans en avoir informé l'Établissement avec un préavis raisonnable (30 jours) par email ou via une mise à jour du présent DPA notifiée au Client ;
  • s'assurer que tout sous-traitant ultérieur est soumis à des obligations équivalentes au présent DPA en matière de sécurité et de confidentialité ;
  • demeurer pleinement responsable vis-à-vis de l'Établissement des manquements commis par ses sous-traitants ultérieurs.

En cas d'opposition de l'Établissement à l'ajout d'un nouveau sous-traitant ultérieur, les parties s'efforceront de trouver une solution alternative. En l'absence d'accord, l'Établissement pourra résilier son abonnement sans pénalité.

Article 6

Assistance pour les droits des personnes concernées

Compte tenu de la nature du traitement, NOTASUIVI s'engage à aider l'Établissement, dans la mesure du possible, à répondre aux demandes d'exercice de droits des personnes concernées (droit d'accès, rectification, effacement, portabilité, opposition, limitation).

Lorsque les personnes concernées adressent une demande d'exercice de droits directement à NOTASUIVI, celui-ci en informe l'Établissement dans un délai de 72 heures afin que ce dernier puisse y répondre en sa qualité de Responsable de traitement.

Les outils d'export disponibles dans l'espace client permettent à l'Établissement de répondre directement aux demandes de portabilité et d'accès aux données des personnes concernées.

Article 7

Notification des violations de données

En cas de violation de données à caractère personnel (au sens de l'article 4(12) du RGPD), NOTASUIVI notifie l'Établissement dans un délai de 72 heures suivant la prise de connaissance de la violation.

Cette notification contient au minimum :

  • la nature de la violation et, si possible, les catégories et le nombre approximatif de personnes concernées ;
  • les catégories et le nombre approximatif d'enregistrements de données concernés ;
  • les coordonnées d'un point de contact pour obtenir des informations supplémentaires ;
  • les conséquences probables de la violation ;
  • les mesures prises ou envisagées pour remédier à la violation et, le cas échéant, pour en atténuer les effets négatifs.

NOTASUIVI notifie également la CNIL dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées (art. 33 RGPD).

L'Établissement reste responsable de la notification aux personnes concernées si elle est requise par l'article 34 du RGPD.

Article 8

Assistance à la conformité RGPD

Compte tenu de la nature du traitement et des informations disponibles, NOTASUIVI s'engage à aider l'Établissement à s'acquitter de ses obligations au titre des articles 32 à 36 du RGPD, notamment :

  • en fournissant sur demande les informations nécessaires à la réalisation d'une analyse d'impact relative à la protection des données (AIPD), si applicable ;
  • en permettant l'exercice du droit d'audit prévu à l'article 9 du présent DPA.

Article 9

Audit et preuve de conformité

NOTASUIVI met à disposition de l'Établissement, sur demande écrite adressée à privacy@notasuivi.fr, toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA.

L'Établissement peut réaliser des audits ou des inspections, soit directement soit par l'intermédiaire d'un auditeur mandaté à cet effet. NOTASUIVI s'engage à coopérer à ces audits dans des conditions raisonnables, avec un préavis de 30 (trente) jours ouvrés.

Les audits se déroulent dans des conditions permettant la poursuite normale de l'activité de NOTASUIVI. Les coûts d'un audit physique sont à la charge de l'Établissement.

Article 10

Sort des données en fin de contrat

À l'expiration ou la résiliation du contrat, NOTASUIVI met à disposition de l'Établissement l'ensemble de ses données en vue de leur export pendant une période de 30 (trente) jours calendaires.

L'Établissement peut exporter ses données depuis son espace client en formats PDF et CSV, sans frais.

À l'issue de ce délai de 30 jours, NOTASUIVI procède à la destruction sécurisée et définitive de l'ensemble des données à caractère personnel de l'Établissement hébergées sur ses serveurs (à l'exception des données de facturation conservées pour obligation légale — 10 ans).

Sur demande expresse de l'Établissement, NOTASUIVI peut fournir une attestation de destruction des données dans un délai de 30 jours suivant leur suppression effective.

Article 11

Transferts de données hors UE

Lorsque les opérations de traitement visées au présent DPA impliquent un transfert de données vers des pays tiers (notamment les États-Unis pour les sous-traitants Groq, Stripe et Resend), ces transferts sont encadrés par :

  • des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution (UE) 2021/914) ;
  • et/ou le Data Privacy Framework UE-États-Unis (décision d'adéquation 2023/1795) pour les prestataires certifiés.

Le stockage des données de service (dossiers usagers) sur l'infrastructure Supabase est limité à la région UE sélectionnée lors de la configuration du Service.

Article 12

Droit applicable et résolution des litiges

Le présent DPA est soumis au droit français et au droit de l'Union européenne, notamment au Règlement (UE) 2016/679 (RGPD).

En cas de litige relatif à l'interprétation ou à l'exécution du présent DPA, les parties s'efforceront de trouver une solution amiable dans un délai de 30 (trente) jours. À défaut, les tribunaux compétents du ressort du siège social de NOTASUIVI seront seuls compétents.

Le présent DPA peut être mis à jour pour refléter les évolutions légales ou réglementaires. Toute modification substantielle est notifiée à l'Établissement avec un préavis de 30 jours.

Article 13

Contact RGPD

Pour toute question relative au présent DPA ou à la protection des données dans le cadre du Service NOTASUIVI :

privacy@notasuivi.fr