P
Pharmaia

Contrat de sous-traitance RGPD (DPA)

Modèle officiel CNIL adapté Pharmaia · Version 17 mai 2026

📄 Téléchargement immédiat : le DPA est fourni en 3 formats équivalents (le PDF fait foi pour la signature). Pré-rempli avec les informations légales de PharmaLift Solutions, à compléter avec les vôtres avant signature.

Qu'est-ce qu'un DPA et pourquoi en signer un ?

Lorsque vous achetez une prestation Pharmaia qui implique le traitement de données à caractère personnel pour votre compte (notamment Jules-as-a-Product — JAAP), l'article 28 du RGPD (Règlement UE 2016/679) impose la signature d'un contrat écrit de sous-traitance entre vous (Responsable de traitement) et PharmaLift Solutions (Sous-traitant).

Ce contrat, communément appelé DPA (Data Processing Agreement), définit notamment :

  • la nature et la finalité du traitement ;
  • les catégories de données et de personnes concernées ;
  • la durée du traitement ;
  • les mesures de sécurité techniques et organisationnelles ;
  • les obligations et droits du Responsable de traitement ;
  • les modalités de sous-traitance ultérieure, de transferts hors UE, de notification de violation, et de retour/suppression des données en fin de contrat.

Notre approche : protection par défaut

Le DPA Pharmaia s'appuie sur le modèle officiel CNIL (Guide du sous-traitant, édition septembre 2017) et reflète les choix d'architecture suivants :

  • Local-first : JAAP s'exécute par défaut sur la machine du client. Les données métier (SQLite, fichiers Markdown, journaux) ne quittent jamais le poste sauf demande expresse du client (mode hybride avec API LLM).
  • Cloisonnement strict : en mode hybride ou cloud, chaque client dispose d'un namespace et d'un GraphRAG isolé — aucun croisement entre clients.
  • Pas de revente, pas d'entraînement : les données client ne sont jamais utilisées pour entraîner des modèles tiers, ni revendues, ni cédées à des fins commerciales.
  • Transparence sur les sous-traitants ultérieurs : liste explicite (Anthropic, Mailjet, Stripe, Vercel) avec base juridique des transferts.
  • Pharmacie / santé : activation systématique du module pii-redactor et politique de pseudonymisation pour toute donnée patient potentielle.

Télécharger le DPA

📄
PDF
Format de référence pour signature
~ 165 Ko
📝
Word (.docx)
Pour édition / annotation par votre conseil
~ 22 Ko
📃
Markdown
Format ouvert lisible en clair
~ 25 Ko

Procédure de signature

  1. Téléchargez le format de votre choix (PDF de préférence).
  2. Complétez vos informations dans les zones marquées [À COMPLÉTER] en page 1 (raison sociale, capital, RCS, SIREN, adresse, représentant légal).
  3. Cochez les catégories de données et de personnes concernées qui s'appliquent à votre contexte (page 2-3).
  4. Renvoyez-nous le DPA signé électroniquement (Yousign / DocuSign / signature manuscrite scannée) à contact@pharmaliftsolutions.com.
  5. Nous contre-signons sous 48 h ouvrées et vous renvoyons l'exemplaire complet — qui fait foi pour toute la durée de la relation contractuelle.

Quelles prestations sont concernées ?

Le DPA est recommandé ou obligatoire selon les cas :

  • JAAP Découverte / Pilote / Sur-mesure : obligatoire dès lors que Jules traite des données personnelles pour votre compte (contacts pro, agenda, emails métier, base patient pseudonymisée, etc.).
  • Audit IA Officine 199 € : non requis (aucun traitement de données client par PharmaLift au-delà du dossier de cadrage).
  • Skills à l'unité / Abonnement annuel : non requis (les skills s'exécutent sur votre infrastructure ; PharmaLift ne traite aucune donnée).
  • Prestations de conseil et formation : au cas par cas (un DPA est joint au devis si pertinent).

Questions fréquentes

Le DPA est-il négociable ?

Le DPA Pharmaia est strictement aligné sur le modèle CNIL — les clauses essentielles (sécurité, sous-traitance, durée, fin de contrat) ne sont pas négociables. Les sections variables (catégories de données, durées de conservation spécifiques) sont à adapter en fonction de votre contexte. Pour les clients grands comptes, une annexe de sécurité renforcée peut être ajoutée sur devis.

Que se passe-t-il en cas de violation de données ?

PharmaLift s'engage à vous notifier toute violation de données dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, conformément à l'article 33.2 du RGPD. La procédure détaillée est décrite à l'article correspondant du DPA.

Et en fin de contrat ?

À l'issue de la prestation, PharmaLift restitue ou supprime (au choix du Client) toutes les données traitées pour son compte, ainsi que toute copie. Une attestation de suppression est délivrée sur demande.

Hébergement et transferts hors UE ?

Pour JAAP en mode local-first, aucun transfert hors UE. En mode hybride ou cloud, les transferts vers les sous-traitants ultérieurs (notamment Anthropic) sont encadrés par les Clauses Contractuelles Types de la Commission européenne et/ou le EU-US Data Privacy Framework. Détails à l'article correspondant du DPA.

Besoin d'aide ?

Pour toute question sur le DPA, contactez notre support à contact@pharmaliftsolutions.com ou consultez notre politique de confidentialité pour la gestion de vos propres données par PharmaLift.

PharmaLift Solutions — RCS Toulon 988 584 124 — Document mis à jour le 17 mai 2026

On regarde votre officine ensemble ?

50+ pharmacies ont déjà libéré 2h par jour avec un agent IA sur la veille, les emails et le reporting. On vous montre comment en 30 minutes.

Voir nos offres Réserver un diagnostic 30 min