1. Parties

Le présent Accord de Traitement des Données (« DPA ») est conclu entre :

• Le Responsable de Traitement : le professionnel de santé / cabinet dentaire utilisateur du Service Dentra (ci-après « le Cabinet »).
• Le Sous-traitant : Dentra SAS, éditeur de la plateforme SaaS Dentra (ci-après « Dentra »).

2. Objet et durée

Dentra traite des données à caractère personnel pour le compte du Cabinet dans le cadre de l'exécution du contrat d'abonnement au Service. Le présent DPA est conclu pour la durée de l'abonnement et survit à sa résiliation pour les obligations de restitution et destruction.

3. Nature et finalités du traitement

• Hébergement des dossiers patients et données cliniques (HDS).
• Gestion de l'agenda, facturation, télétransmission SESAM-Vitale.
• Communication avec les patients (rappels SMS/email, portail patient).
• Sauvegardes, support technique et amélioration du Service.

4. Catégories de données et personnes concernées

Personnes concernées : patients, praticiens, assistant·e·s, prothésistes, correspondants.

Catégories de données : identité, coordonnées, NIR, données de santé (catégorie particulière, art. 9 RGPD), imagerie médicale, données de paiement (tokenisées via Stripe).

5. Obligations de Dentra (sous-traitant)

• Traiter les données uniquement sur instruction documentée du Cabinet.
• Garantir la confidentialité (engagement de confidentialité de tout personnel autorisé).
• Mettre en œuvre les mesures techniques et organisationnelles adéquates (chiffrement AES-256 au repos, TLS 1.3 en transit, MFA, journal d'audit, sauvegardes chiffrées, RLS multi-tenant).
• Hébergement sur infrastructure certifiée HDS et ISO 27001 en Union Européenne (France/Allemagne).
• Notifier toute violation de données dans un délai de 72 heures.
• Assister le Cabinet pour répondre aux demandes des personnes concernées (droit d'accès, rectification, effacement, portabilité, opposition).
• À la fin du contrat : restituer les données dans un format réutilisable (export complet) puis les supprimer dans un délai de 30 jours, sauf obligation légale de conservation.

6. Sous-traitants ultérieurs

Le Cabinet autorise Dentra à recourir aux sous-traitants ultérieurs suivants :

• Hébergement HDS : OVHcloud / Scaleway (France).
• Base de données et auth : Supabase (UE) — chiffrement AES-256.
• Paiement : Stripe Payments Europe Ltd (Irlande) — PCI-DSS Level 1.
• Email transactionnel : Resend / Sweego (UE).
• SMS : Twilio Ireland Ltd / OVHcloud SMS.

Tout changement substantiel sera notifié au Cabinet avec un préavis de 30 jours, lui permettant de s'opposer.

7. Transferts hors UE

Aucun transfert de données de santé hors Union Européenne n'est effectué. Les données restent hébergées exclusivement en UE sur infrastructure HDS.

8. Audit et contrôle

Le Cabinet peut, à ses frais et après préavis raisonnable de 30 jours, faire procéder à un audit du respect du présent DPA, dans la limite d'un audit par an. Dentra met également à disposition les rapports d'audit externes (HDS, ISO 27001, SOC 2).

9. Responsabilité et garanties

Chaque partie est responsable des dommages causés par le non-respect du RGPD. La responsabilité de Dentra est plafonnée conformément aux Conditions Générales de Vente.

10. DPO et contact

Délégué à la Protection des Données de Dentra : dpo@dentra.fr
Toute demande relative au présent DPA peut être adressée à contact@dentra.fr.

11. Acceptation

L'acceptation du présent DPA est matérialisée par la souscription au Service Dentra. Une preuve d'acceptation horodatée (date, IP, navigateur, empreinte cryptographique du document) est conservée dans un journal immuable et peut être fournie sur demande à dpo@dentra.fr.

12. Documents associés

• Conditions Générales d'Utilisation
• Conditions Générales de Vente
• Politique de Confidentialité
• Mentions Légales