Soloprax

Accord de sous-traitance

Le présent accord (« DPA » ou « accord de sous-traitance ») régit les conditions dans lesquelles Activate SàrlSoloprax », « le sous-traitant ») traite les données personnelles des patients que vous (« le praticien », « le responsable de traitement ») saisissez dans le logiciel Soloprax.

Cet accord fait partie intégrante des conditions générales et complète la politique de confidentialité. Il s'applique automatiquement dès la création de votre cabinet Soloprax.

1. Rôle des parties

Pour les données patients que vous saisissez dans votre cabinet Soloprax :

  • Vous êtes le responsable du traitement au sens du RGPD (art. 4) et de la LPD. Vous déterminez les finalités et les moyens du traitement, et vous assumez les obligations vis-à-vis de vos patients.
  • Soloprax est le sous-traitant qui traite ces données pour votre compte, sur vos instructions, et exclusivement aux fins de fournir le service décrit dans les CGV.

Pour les autres données (votre compte, paiements, logs techniques), Soloprax agit en qualité de responsable de traitement, comme décrit dans la politique de confidentialité.

2. Objet et étendue du traitement

Soloprax traite les données personnelles des patients du praticien dans le but exclusif de fournir le service de gestion de cabinet, conformément aux CGV et à toute instruction écrite supplémentaire du praticien. Soloprax n'utilise pas ces données pour ses propres fins, ne les vend pas, ne les agrège pas avec celles d'autres cabinets, et ne s'en sert pas pour entraîner des modèles d'intelligence artificielle.

Soloprax peut toutefois traiter ces données pour ses besoins légitimes liés à la fourniture du service : sécurité de l'infrastructure, sauvegarde, supervision technique, conformité légale. Pour ces traitements, Soloprax agit également en qualité de sous-traitant et reste lié par les présentes obligations.

3. Catégories de données et de personnes concernées

Personnes concernées

  • Les patients du praticien.
  • Les collaborateurs du praticien (secrétaire, etc.) si applicable.

Catégories de données

  • Identité du patient : nom, prénom, sexe, date de naissance.
  • Coordonnées : adresse, téléphone, email.
  • Données de prise en charge : motif de consultation, dates et heures de rendez-vous, statut.
  • Données cliniques sensibles : anamnèse, observations de séance, bilan, diagnostics, antécédents, traitement médical, notes.
  • Données financières : honoraires, mode et statut de paiement.
  • Documents joints au dossier patient.

Les données cliniques sensibles ci-dessus sont chiffrées au repos en AES-256 avec une clé propre à chaque cabinet. Soloprax n'a pas la capacité technique de les lire en clair sans cette clé.

4. Obligations de Soloprax

Soloprax s'engage à :

  • traiter les données patients uniquement sur instruction documentée du praticien (les CGV, la politique de confidentialité et le présent accord constituent ces instructions ; toute instruction supplémentaire devra faire l'objet d'un échange écrit) ;
  • garantir la confidentialité des données traitées, en s'assurant que les personnes habilitées à les consulter (employés et sous-traitants ultérieurs) sont soumises à une obligation de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées pour la sécurité du traitement (voir article 6 ci-dessous) ;
  • n'engager un sous-traitant ultérieur que selon les conditions prévues à l'article 7 ;
  • assister le praticien dans le respect de ses obligations vis-à-vis de ses patients (réponse aux demandes d'accès, rectification, suppression, portabilité, etc.) ;
  • notifier sans délai indu (et dans tous les cas dans les 72 heures) toute violation de données affectant les données patients du praticien ;
  • à la fin du contrat, supprimer ou restituer les données patients selon le choix du praticien.

5. Obligations du praticien

Le praticien s'engage à :

  • n'introduire dans Soloprax que des données qu'il est en droit de traiter, conformément à la loi applicable et à ses obligations déontologiques ;
  • fournir aux patients l'information requise sur le traitement de leurs données et obtenir, le cas échéant, leur consentement valide ;
  • respecter le secret professionnel et toutes ses obligations déontologiques ;
  • répondre aux demandes des patients (droits d'accès, rectification, etc.). Soloprax redirigera vers le praticien tout patient qui s'adresserait directement à elle ;
  • configurer correctement les rôles et droits d'accès de ses collaborateurs (notamment : ne donner accès aux notes cliniques qu'aux personnes habilitées) ;
  • conserver la confidentialité de ses identifiants et signaler immédiatement toute compromission.

Soloprax ne procède à aucune analyse du contenu des données patients pour identifier leur nature précise. Le praticien est seul responsable de la qualification juridique des données qu'il traite et des obligations qui en découlent (par exemple, en matière de notification d'incident à ses patients ou aux autorités de contrôle).

6. Mesures de sécurité

Soloprax met en œuvre les mesures techniques et organisationnelles suivantes (art. 8 LPD ; art. 32 RGPD) :

  • Chiffrement au repos en AES-256 des champs cliniques sensibles (anamnèse, observations, bilan, antécédents, traitement médical, notes).
  • Chiffrement en transit en TLS 1.2 minimum sur toutes les communications.
  • Cloisonnement multi-tenant strict : chaque cabinet est isolé des autres au niveau de la base de données et de l'application.
  • Cloisonnement par rôle : un compte secrétaire ne peut techniquement pas accéder aux notes cliniques.
  • Sauvegardes chiffrées quotidiennes, avec procédure de restauration testée périodiquement.
  • Authentification : mots de passe stockés en bcrypt non réversible, jeton de session signé.
  • Journalisation des accès sensibles, conservée 90 jours.
  • Hébergement dans un datacenter européen certifié (Hetzner, Helsinki, Finlande).
  • Mises à jour de sécurité appliquées sans délai significatif.

Le praticien reconnaît que ces mesures sont appropriées au regard du risque, et s'engage à exploiter le service dans des conditions cohérentes avec leur efficacité (notamment : ne pas partager ses identifiants, configurer les droits d'accès avec discernement).

7. Sous-traitants ultérieurs

Le praticien autorise Soloprax à recourir aux sous-traitants ultérieurs listés dans la politique de confidentialité (Hetzner, Cloudflare, Stripe, Resend, Twilio).

Avant d'ajouter ou de remplacer un sous-traitant ultérieur, Soloprax informera le praticien par email avec un préavis de 30 jours. Le praticien dispose d'un délai de 30 jours à compter de cette notification pour s'opposer au changement, motif à l'appui. Si l'objection est fondée et qu'aucune solution alternative ne peut être trouvée, le praticien pourra résilier son abonnement avec effet immédiat, sans pénalité.

Soloprax impose contractuellement à chacun de ses sous-traitants ultérieurs des obligations équivalentes à celles du présent accord.

8. Transferts hors de l'EEE / hors de Suisse

Les données patients sont hébergées en Finlande (UE). Pour les sous-traitants ultérieurs établis hors de l'EEE ou de la Suisse (notamment Resend aux États-Unis), Soloprax s'appuie sur les clauses contractuelles types adoptées par la Commission européenne et reconnues par le Préposé fédéral suisse, ou sur tout autre mécanisme valide assurant un niveau de protection adéquat.

9. Notification de violation

En cas de violation de données affectant les données patients du praticien, Soloprax notifiera celui-ci dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, en précisant :

  • la nature de la violation ;
  • les catégories de données concernées (dans la mesure du possible) ;
  • les conséquences probables ;
  • les mesures prises ou à prendre pour atténuer les effets ;
  • les recommandations à l'intention du praticien.

Il revient ensuite au praticien, en sa qualité de responsable de traitement, d'évaluer s'il doit notifier la violation à ses patients et à l'autorité de contrôle compétente. Soloprax assistera le praticien dans cette évaluation.

10. Audit et droit d'information

Le praticien dispose d'un droit d'information sur les modalités de traitement mises en œuvre par Soloprax. Sur demande raisonnable, Soloprax fournira les éléments documentaires permettant de vérifier le respect du présent accord (politique de sécurité, certifications, rapports d'audit éventuels).

Un droit d'audit sur place est ouvert au praticien, à ses frais et après concertation préalable, dans les limites raisonnables nécessaires à ne pas perturber les opérations de Soloprax et à préserver la confidentialité due aux autres clients.

11. Fin du contrat

À la fin de votre abonnement, vous disposez de 30 jours pour exporter vos données depuis l'interface du logiciel. À l'issue de ce délai, Soloprax supprimera définitivement vos données patients de ses systèmes de production. Les sauvegardes chiffrées sont purgées dans un délai supplémentaire de 60 jours, sauf demande de suppression immédiate de votre part.

Soloprax certifiera par écrit la suppression effective sur demande.

12. Hiérarchie et droit applicable

En cas de contradiction entre le présent accord et les CGV, le présent accord prévaut pour les questions de protection des données.

Le présent accord est régi par le droit suisse. Tout litige relève de la compétence exclusive des tribunaux de Genève.

Dernière mise à jour : 6 mai 2026.

Essai 14 jours · 25 €/mois