nætur

Documents légaux · KAWLET EURL

Accord de sous-traitance RGPD (DPA)

Dernière mise à jour : 1er mai 2026

Le présent accord est conclu entre KAWLET EURL (le « Sous-traitant ») et tout praticien souscrivant à un service Naetur impliquant le traitement de données personnelles dont il est responsable (le « Responsable de traitement »). Il s'inscrit dans le cadre de l'article 28 du RGPD et est intégré par référence aux CGV.

1. Objet et champ d'application

Le présent accord encadre les conditions dans lesquelles KAWLET EURL traite, en qualité de sous-traitant, les données personnelles que le Responsable de traitement (le praticien) lui confie via la plateforme Naetur, notamment dans le cadre de l'abonnement praticien et des outils associés (formulaire de contact, prise de rendez-vous, etc.).

2. Description du traitement

Nature du traitementHébergement, stockage, mise à disposition, transmission, suppression.
FinalitésPublication de la fiche praticien, gestion des prises de contact, statistiques anonymisées.
Catégories de personnes concernéesVisiteurs du site, prospects, patients du praticien.
Catégories de donnéesIdentification (nom, prénom, e-mail, téléphone), contenu du message, données de navigation anonymisées.
Durée du traitementDurée du contrat, suppression sous 90 jours après résiliation.

KAWLET EURL ne traite aucune donnée sensibleau sens de l'article 9 du RGPD. Le Responsable s'engage à ne pas transmettre via la plateforme de données de santé, d'opinions politiques, religieuses ou syndicales, ni de données de mineurs sans consentement parental.

3. Obligations de KAWLET EURL (sous-traitant)

  • traiter les données uniquement sur instruction documentée du Responsable ;
  • garantir la confidentialité des données et l'engagement de confidentialité de son personnel ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) ;
  • assister le Responsable dans le respect de ses propres obligations (réponses aux droits, analyses d'impact, notifications de violation) ;
  • notifier toute violation de données dans un délai maximum de 24 heures après en avoir pris connaissance ;
  • au terme du contrat, supprimer ou restituer les données et détruire les copies, sauf obligation de conservation imposée par le droit applicable.

4. Obligations du Responsable de traitement

  • déterminer les finalités et les bases légales du traitement ;
  • informer les personnes concernées et recueillir leur consentement lorsque requis ;
  • répondre aux demandes d'exercice de droits adressées par les personnes concernées ;
  • garantir l'exactitude et la licéité des données fournies ;
  • respecter les dispositions des présentes ainsi que des CGU et CGV.

5. Sécurité

Les mesures appliquées comprennent : chiffrement TLS 1.3 en transit, AES-256 au repos, contrôle d'accès par rôles, MFA sur les comptes administrateurs, journalisation horodatée, sauvegardes chiffrées, environnements de test isolés, revues de code et tests d'intrusion réguliers, surveillance continue.

6. Sous-sous-traitance

KAWLET EURL recourt aux sous-traitants ultérieurs suivants :

  • Supabase (UE) — base de données et stockage.
  • Vercel Inc. (USA, EU-US Data Privacy Framework) — hébergement applicatif et CDN.
  • AWS (Irlande) — stockage objet pour les médias.
  • Postmark (USA, DPA standard) — e-mails transactionnels.
  • Stripe Payments Europe Ltd. (Irlande) — paiements et facturation.
  • OVH (France) — gestion DNS.

Tout ajout ou remplacement d'un sous-traitant ultérieur sera notifié au moins 15 joursavant sa mise en œuvre. Le Responsable peut formuler des objections raisonnables ; à défaut d'accord, il peut résilier le contrat.

7. Transferts hors UE

Tout transfert hors UE/EEE est encadré par les clauses contractuelles types adoptées par la Commission européenne, complétées le cas échéant par des mesures supplémentaires (chiffrement, pseudonymisation), ou par un mécanisme reconnu (DPF, BCR).

8. Sort des données

À l'expiration du contrat, KAWLET EURL met les données à disposition pour export pendant 30 jours, puis procède à leur suppression définitive sous 90 jours (purge des sauvegardes incluse), sauf obligation légale de conservation. Un certificat de destruction est remis sur demande.

9. Audit

Le Responsable peut, sous préavis raisonnable et au plus une fois par an, demander communication de la documentation prouvant le respect des obligations RGPD et, en cas d'incident avéré, faire réaliser un audit par un tiers indépendant soumis à un accord de confidentialité.

10. Responsabilité

La responsabilité de KAWLET EURL au titre du présent accord est plafonnée dans les mêmes limites que celles fixées par les CGV. Cette limitation ne s'applique pas en cas de faute lourde, de dol ou de manquement à une obligation essentielle de protection des données.

11. Durée et entrée en vigueur

Le présent accord prend effet à la date d'acceptation des CGV et reste applicable pour toute la durée du contrat principal. Les obligations qui par leur nature ont vocation à survivre (confidentialité, restitution, sort des données) demeurent applicables après son terme.

12. Contact

Référent protection des données : privacy@naetur.co.