Mon suivi libéral
Essai gratuit Acheter →

Contrat de traitement des données

DPA · Annexe aux Conditions Générales de Vente · Dernière mise à jour : avril 2026

Le présent Contrat de traitement des données (ci-après « DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD). Il constitue une annexe aux Conditions Générales de Vente et en forme partie intégrante. Son acceptation est requise lors de la commande.

Le logiciel Mon suivi ostéo™ est un outil de gestion de cabinet qui permet à l'ostéopathe de traiter des données à caractère personnel relatives à ses patients, dont des données de santé au sens de l'article 9 du RGPD. Le présent DPA définit les obligations respectives de SAS NM Software, en qualité de sous-traitant, et du Titulaire de la Licence, en qualité de responsable de traitement.

Sommaire

  1. Parties et définitions
  2. Objet et description du traitement
  3. Architecture technique · traitement local
  4. Obligations du sous-traitant (NM Software)
  5. Obligations du responsable de traitement (Titulaire)
  6. Mesures de sécurité
  7. Violation de données à caractère personnel
  8. Sous-traitants ultérieurs
  9. Durée et sort des données
  10. Droit applicable

Article 1 · Parties et définitions

1.1 Parties

Le Responsable de traitement (RT)
Le Titulaire de la Licence Mon suivi ostéo™, professionnel de santé libéral qui utilise le Logiciel pour traiter des données relatives à ses patients. Le Titulaire détermine les finalités et les moyens du traitement.
Le Sous-traitant (ST)
SAS NM Software, 3554 route des trois villages, 38660 Plateau des petites roches. NM Software agit sur instruction du Responsable de traitement, en sa qualité de fournisseur du Logiciel utilisé pour le traitement.

1.2 Définitions

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « violation de données », « personne concernée » et « autorité de contrôle » ont le sens qui leur est attribué par le RGPD. Les termes « Logiciel », « Licence », « Poste autorisé » ont le sens défini dans les CGV et le CLUF.

Article 2 · Objet et description du traitement

2.1 Objet

Le présent DPA régit le traitement de données à caractère personnel effectué par NM Software, en tant que sous-traitant, dans le cadre de la fourniture du Logiciel au Responsable de traitement.

2.2 Description du traitement

Nature du traitement Mise à disposition d'un logiciel de gestion de cabinet permettant la saisie, le stockage, la consultation, la modification et la suppression de données patients. Chiffrement et stockage local des données sur le Poste autorisé du Titulaire.
Finalités du traitement Gestion du dossier patient (identité, coordonnées, antécédents médicaux, consultations), facturation des actes, gestion de l'agenda, suivi de la patientèle.
Catégories de données traitées
  • Données d'identification : nom, prénom, date de naissance, sexe, coordonnées
  • Données de santé (art. 9 RGPD) : antécédents médicaux, motifs de consultation, actes réalisés, notes cliniques, historique des soins
  • Données administratives : informations de facturation, règlements
Catégories de personnes concernées Patients du Titulaire et, le cas échéant, leurs proches (liens de parenté)
Durée du traitement Durée déterminée par le Responsable de traitement, dans le respect des obligations légales de conservation applicables (notamment art. R. 4127-45 CSP : conservation du dossier patient)

Article 3 · Architecture technique · traitement local

Particularité essentielle de ce traitement : l'intégralité des données à caractère personnel traitées via le Logiciel est stockée exclusivement sur le Poste autorisé du Responsable de traitement. NM Software n'a à aucun moment accès à ces données, ne les reçoit pas et ne les héberge pas.

Cette architecture a les conséquences suivantes sur l'exécution du présent DPA :

  • NM Software exerce son rôle de sous-traitant à travers la conception et la maintenance du Logiciel, et non par un accès direct aux données ;
  • Les obligations du sous-traitant décrites à l'article 4 sont mises en œuvre principalement par des garanties architecturales et techniques intégrées au Logiciel ;
  • La seule donnée transmise au serveur de NM Software est la Clé d'activation et le Code machine, lors de l'unique opération d'activation initiale de la Licence. Cette donnée technique ne constitue pas une donnée patient.

Article 4 · Obligations du sous-traitant (NM Software)

NM Software s'engage à respecter l'ensemble des obligations prévues à l'article 28, paragraphe 3, du RGPD, adaptées à l'architecture de traitement local décrite à l'article 3.

4.1 Traitement sur instruction du Responsable de traitement art. 28.3.a RGPD

NM Software ne traite les données à caractère personnel que pour fournir les fonctionnalités du Logiciel telles que documentées, et conformément aux instructions du Responsable de traitement matérialisées par son utilisation du Logiciel. NM Software ne traite pas ces données à des fins propres.

En vertu de l'architecture locale, le Responsable de traitement exerce un contrôle total sur ses données : il peut à tout moment consulter, modifier, exporter ou supprimer l'ensemble de ses données via les fonctionnalités du Logiciel, sans intervention de NM Software.

4.2 Confidentialité du personnel art. 28.3.b RGPD

NM Software veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Compte tenu de l'architecture locale, le personnel de NM Software n'a pas accès aux données patients du Titulaire dans le cadre de l'utilisation normale du Logiciel. Toute intervention de maintenance ou de support technique sur le poste du Titulaire est soumise à l'accord explicite préalable de celui-ci.

4.3 Sécurité du traitement art. 28.3.c / art. 32 RGPD

NM Software met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, détaillées à l'article 6 du présent DPA.

4.4 Sous-traitants ultérieurs art. 28.3.d RGPD

NM Software ne fait appel à aucun sous-traitant ultérieur ayant accès aux données patients du Titulaire. Voir article 8 pour le détail.

4.5 Assistance pour les droits des personnes concernées art. 28.3.e RGPD

NM Software conçoit le Logiciel de façon à permettre au Responsable de traitement de s'acquitter de ses obligations vis-à-vis des personnes concernées, notamment :

  • Droit d'accès : le Logiciel permet au Titulaire d'accéder à l'ensemble des données d'un patient et de les lui communiquer sur demande.
  • Droit de rectification : le Logiciel permet la modification de toute donnée patient à tout moment.
  • Droit à l'effacement : le Logiciel permet la suppression d'un dossier patient. Le Titulaire veille au respect des durées légales de conservation.
  • Droit à la portabilité : le Logiciel propose une fonctionnalité d'export des données dans un format structuré (CSV), dans la mesure des fonctionnalités disponibles à la version utilisée.

Lorsqu'une demande d'exercice de droits dépasse les capacités du Logiciel, le Titulaire peut contacter NM Software à contact@monsuiviliberal.com pour obtenir assistance.

4.6 Assistance à la conformité art. 28.3.f / arts. 32–36 RGPD

NM Software met à disposition du Responsable de traitement la documentation technique nécessaire pour lui permettre de démontrer sa conformité au RGPD, notamment :

  • Documentation des mesures de sécurité du Logiciel (chiffrement, architecture locale, absence de transmission de données patients) · disponible sur demande.
  • Assistance à l'Analyse d'impact relative à la protection des données (AIPD) si le Responsable de traitement est tenu d'en réaliser une (voir article 5.4).
  • Notification au Responsable de traitement de toute faille de sécurité identifiée dans le Logiciel susceptible d'affecter la protection des données (voir article 7).

4.7 Sort des données en fin de contrat art. 28.3.g RGPD

En raison de l'architecture locale du Logiciel, NM Software ne détient aucune donnée patient du Titulaire. À l'expiration ou à la résiliation de la Licence, il appartient au Responsable de traitement de gérer le sort de ses propres données (conservation, archivage ou suppression), conformément aux réglementations applicables.

À la demande du Titulaire, NM Software peut fournir la documentation technique décrivant le format de la base de données locale afin de faciliter toute migration.

4.8 Coopération et audits art. 28.3.h RGPD

NM Software met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD. NM Software autorise la réalisation d'audits par le Responsable de traitement ou tout auditeur mandaté par lui, sur notification écrite préalable de trente (30) jours. La portée de l'audit est limitée aux pratiques de sécurité et de développement du Logiciel, à l'exclusion de toute donnée commerciale ou technique sans rapport avec le traitement objet du présent DPA.

NM Software se réserve le droit de facturer les audits excédant un (1) audit par an, à un tarif journalier raisonnable dont le montant sera communiqué et accepté par le Responsable de traitement avant le début de l'audit.

Article 5 · Obligations du Responsable de traitement (Titulaire)

5.1 Licéité du traitement

Le Responsable de traitement est seul responsable de la licéité du traitement des données patients au regard du RGPD et du droit applicable, notamment :

  • de l'identification d'une base légale valable pour le traitement (art. 6 RGPD) ;
  • du respect des conditions particulières applicables aux données de santé (art. 9 RGPD) ;
  • de l'information des personnes concernées sur le traitement de leurs données (arts. 13-14 RGPD).

5.2 Sécurité du Poste autorisé

Le Responsable de traitement est responsable de la sécurité physique et logicielle du Poste autorisé sur lequel les données sont stockées. Il veille notamment à :

  • protéger l'accès au Poste autorisé par un mot de passe ou tout autre mécanisme d'authentification ;
  • maintenir le système d'exploitation et les logiciels tiers à jour ;
  • utiliser un logiciel antivirus et un pare-feu actifs ;
  • réaliser des sauvegardes régulières de la base de données du Logiciel sur un support distinct du Poste autorisé.

5.3 Personnes habilitées

Le Responsable de traitement limite l'accès au Logiciel aux seules personnes habilitées dans le cadre de son activité professionnelle et veille à ce qu'elles respectent les obligations de confidentialité applicables.

5.4 Analyse d'impact (AIPD)

Le traitement de données de santé à grande échelle est susceptible de nécessiter la réalisation d'une Analyse d'impact relative à la protection des données (AIPD) en application de l'article 35 du RGPD. Un ostéopathe exerçant à titre individuel ne traite généralement pas de données "à grande échelle" au sens des lignes directrices du CEPD et n'est donc habituellement pas soumis à cette obligation. Une SCM ou SCP regroupant plusieurs praticiens devra apprécier cette question au cas par cas. En cas de doute, le Responsable de traitement est invité à consulter la CNIL (www.cnil.fr). NM Software tient à sa disposition la documentation technique nécessaire à la réalisation d'une AIPD le cas échéant.

5.5 Instructions documentées

Le Responsable de traitement s'engage à utiliser le Logiciel conformément à sa destination et à ne pas demander à NM Software d'effectuer des traitements illicites ou contraires au RGPD. Si le Responsable de traitement a des raisons de croire qu'une instruction de sa part est contraire au droit applicable, il en informe NM Software sans délai.

Article 6 · Mesures de sécurité

Conformément à l'article 32 du RGPD, NM Software met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité du Logiciel :

6.1 Mesures techniques

  • Chiffrement de la base de données : les données stockées par le Logiciel sont chiffrées par SQLCipher (AES-256-CBC), une bibliothèque de chiffrement reconnue par la communauté de la sécurité informatique.
  • Isolation des données : aucune donnée patient n'est transmise à des serveurs distants, y compris aux serveurs de NM Software.
  • Authentification : l'accès au Logiciel est protégé par un mot de passe défini par le Titulaire.
  • Transport chiffré : les communications entre le Logiciel et le serveur de licences de NM Software (lors de l'activation initiale uniquement) sont chiffrées par TLS 1.2 minimum.

6.2 Mesures organisationnelles

  • Développement sécurisé : NM Software applique des pratiques de développement sécurisé (revues de code, gestion des dépendances, mises à jour des bibliothèques).
  • Contrôle des accès internes : l'accès au code source et aux systèmes de NM Software est limité aux personnes autorisées, soumises à une obligation de confidentialité.
  • Gestion des vulnérabilités : NM Software publie des correctifs de sécurité dès qu'une vulnérabilité affectant la protection des données est identifiée dans le Logiciel.
Limite de la responsabilité de NM Software : les mesures de sécurité listées ci-dessus s'appliquent au Logiciel lui-même. La sécurité du Poste autorisé (système d'exploitation, réseau, accès physique) relève de la seule responsabilité du Responsable de traitement (voir article 5.2).

Article 7 · Violation de données à caractère personnel

7.1 Failles du Logiciel

Si NM Software identifie une vulnérabilité de sécurité dans le Logiciel susceptible d'affecter la confidentialité, l'intégrité ou la disponibilité des données traitées par le Responsable de traitement, NM Software en informe ce dernier dans les meilleurs délais par email à l'adresse fournie lors de la commande, en indiquant :

  • la nature de la vulnérabilité et les données potentiellement affectées ;
  • les mesures techniques correctives mises en œuvre ou envisagées ;
  • les recommandations pour limiter les risques dans l'attente du correctif.

7.2 Violations sur le Poste autorisé

En cas de violation de données survenant sur le Poste autorisé du Responsable de traitement (vol, perte, intrusion, panne matérielle, etc.), le Responsable de traitement est seul tenu des obligations de notification prévues aux articles 33 et 34 du RGPD (notification à la CNIL dans les 72 heures et, le cas échéant, aux personnes concernées). NM Software apporte son assistance technique sur demande pour évaluer l'impact d'une telle violation.

7.3 Notification à la CNIL

Le Responsable de traitement est informé que toute violation de données de santé est susceptible d'être soumise à notification obligatoire auprès de la Commission nationale de l'informatique et des libertés (CNIL) dans un délai de soixante-douze (72) heures à compter de sa découverte (art. 33 RGPD). NM Software met à disposition du Responsable de traitement les informations techniques nécessaires à l'établissement de cette notification sur simple demande.

Article 8 · Sous-traitants ultérieurs

NM Software ne fait appel à aucun sous-traitant ultérieur ayant accès aux données patients du Responsable de traitement.

À titre d'information, NM Software utilise les prestataires suivants dans le cadre de ses propres activités, lesquels n'ont aucun accès aux données patients :

Prestataire Rôle Données concernées Localisation
Stripe, Inc. Paiement en ligne Données de paiement du Titulaire uniquement (hors données patients) États-Unis · CCT

Toute modification de cette liste (ajout d'un sous-traitant ultérieur ayant accès à des données patients) serait soumise à information préalable du Responsable de traitement, qui pourrait s'y opposer conformément à l'article 28.2 du RGPD.

Article 9 · Durée et sort des données

9.1 Durée

Le présent DPA entre en vigueur à la date d'acceptation des CGV et demeure en vigueur pendant toute la durée d'utilisation du Logiciel par le Titulaire, y compris pendant la période d'essai gratuit.

9.2 Sort des données en fin d'utilisation

Les données traitées via le Logiciel étant stockées exclusivement sur le Poste autorisé du Responsable de traitement, leur sort à la fin de l'utilisation du Logiciel (désinstallation, fin d'activité professionnelle, etc.) relève de la seule responsabilité du Responsable de traitement. NM Software ne détient aucune donnée patient à restituer ou détruire.

Le Responsable de traitement veille à supprimer ou archiver ses données conformément aux obligations légales de conservation applicables à son activité professionnelle. À titre indicatif, la durée de conservation recommandée pour un ostéopathe libéral est de dix (10) ans à compter de la dernière consultation, correspondant au délai de prescription de l'action en responsabilité pour dommages corporels applicable aux professionnels de santé libéraux (art. L. 1142-28 CSP). Pour les patients mineurs, cette durée court à compter de leur majorité. Le Responsable de traitement est invité à consulter son assureur en responsabilité professionnelle et la CNIL pour toute question spécifique à sa situation.

Article 10 · Droit applicable

Le présent DPA est soumis au droit français et au Règlement (UE) 2016/679 (RGPD). La version française du présent DPA fait foi.

Tout litige relatif à son interprétation ou à son exécution sera soumis aux juridictions compétentes du ressort du siège social de NM Software, après tentative de résolution amiable dans les conditions prévues aux CGV.

Les parties reconnaissent que la CNIL (Commission nationale de l'informatique et des libertés) est l'autorité de contrôle compétente pour les traitements effectués par le Responsable de traitement en France. Contact CNIL : www.cnil.fr.