DPA – Contrat de Sous-traitance RGPD Naturooo / Praticien

1. Parties

• Naturooo (le "Sous-traitant")
• Le praticien utilisateur (le "Responsable de traitement")

2. Objet

Ce contrat définit les obligations de Naturooo en tant que sous-traitant pour le traitement des données personnelles confiées par le praticien.

3. Nature des données

Données d'identification, consultations, anamnèses, informations sensibles relatives au bien-être (dont bilans iridologiques), photographies d'iris et résultats d'analyse assistée par IA lorsque le praticien active cette fonctionnalité, documents, informations de facturation, logs, communications.

4. Finalités du traitement

• Hébergement
• Sauvegarde
• Mise à disposition du logiciel
• Support technique
• Conservation légale (facturation)
• Exécution technique du module iridologie et de l'analyse IA (pré-remplissage), dans la limite du quota contractuel

4.1. Analyse IA (iridologie)

Sur instruction documentée du praticien, Naturooo peut transmettre temporairement des photographies d'iris à Anthropic (sous-traitant ultérieur) uniquement pour générer des suggestions de saisie. Aucune décision automatisée à effet juridique n'est prise à l'encontre des personnes concernées. Le praticien demeure responsable de la validation des contenus.

5. Obligations du Sous-traitant

Naturooo s'engage à :

• Ne traiter les données que sur instruction documentée du praticien.
• Ne pas sous-traiter sans autorisation.
• Garantir la confidentialité (article 28.3.b du RGPD).
• Mettre en œuvre des mesures de sécurité appropriées (article 32).
• Aider le praticien à répondre aux demandes RGPD (accès, rectification, effacement…).
• Notifier le praticien en cas de violation de données dans un délai raisonnable.
• Supprimer ou renvoyer les données au terme du contrat, selon les instructions du praticien.

6. Sous-sous-traitants

Sous-traitants ultérieurs notamment : hébergement HDS (Scalingo, MongoDB Atlas), stockage des photos d'iris (Cloudflare R2), analyse vision (Anthropic), paiements (Stripe), emails et analytics. La liste détaillée est accessible dans la Politique de Confidentialité.

Naturooo garantit qu'un DPA conforme est signé avec chacun d'eux.

7. Localisation des données

• Les données sensibles métier sont hébergées en France sur des serveurs HDS certifiés.
• Les documents et photographies d'iris sont hébergés sur Cloudflare R2 (stockage sécurisé non certifié HDS).
• L'analyse IA des iris peut impliquer un traitement par Anthropic (États-Unis ou autre localisation du prestataire), encadré par les garanties décrites dans la Politique de Confidentialité.

8. Audit

Le praticien peut demander une vérification des garanties fournies par Naturooo (dans des limites raisonnables).

9. Fin de contrat

À la résiliation :

• désactivation immédiate du compte
• conservation des données soumises à obligation légale (factures 10 ans)
• suppression ou anonymisation du reste dans les délais prévus