Document légal officiel

Accord de Traitement des Données

Contrat de sous-traitance RGPD (art. 28) entre Synkro et le kinésithérapeute responsable de traitement.

Version 1.0·En vigueur depuis le 3 mai 2026·Télécharger le PDF

Parties

Responsable du traitementLe kinésithérapeute utilisateur de l'application Synkro, identifié par les informations renseignées lors de l'inscription au service, dans le cadre de son activité professionnelle et du suivi de ses patients.
Sous-traitantThomas Theben Leutenez, exerçant sous la dénomination commerciale Synkro, indépendant de droit belge, 11 Clos Joseph Otten, 1090 Jette (Belgique) — BCE 1037.237.034 — contact@synkrohealth.com — +32 497 32 27 80.

1. Objet et durée

Le DPA s'applique à toutes les opérations de traitement réalisées par Synkro pour le compte du Kinésithérapeute dans le cadre de l'utilisation de l'application Synkro. Il prend effet à la création du compte et demeure en vigueur pendant toute la durée de la relation contractuelle. À la cessation de la relation, les dispositions relatives à la restitution, à la suppression et à la confidentialité continuent de s'appliquer.

2. Nature, finalités et description du traitement

Nature du traitementHébergement, stockage, consultation, analyse par intelligence artificielle, restitution et suppression des données nécessaires au suivi thérapeutique.
FinalitésTenue du dossier patient ; prescription et suivi d'exercices ; analyse biomécanique vidéo de support à l'évaluation clinique ; suivi de l'adhérence ; sécurité du service et traçabilité.
Catégories de donnéesDonnées d'identification du patient ; données de santé (bilans, notes, prescriptions, questionnaires, scores fonctionnels) ; données biométriques issues des vidéos et de l'analyse IA (angles articulaires, symétrie) ; données techniques (logs).
Personnes concernéesPatients suivis par le Kinésithérapeute.
Durée de conservationDurée du suivi actif ; purge automatique 90 jours après suppression du compte.

3. Obligations du Kinésithérapeute

Le Kinésithérapeute s'engage à :

  • Disposer d'une base légale valable pour chaque traitement (art. 9.2.h RGPD combiné à son statut de professionnel de santé soumis au secret professionnel, art. 9.3 RGPD).
  • Informer ses patients du traitement de leurs données via la Politique de confidentialité Synkro.
  • Recueillir les consentements requis : (i) consentement explicite au traitement des données de santé incluant l'analyse biomécanique (art. 9.2.a RGPD — obligatoire) ; (ii) consentement distinct et facultatif à l'utilisation de données pseudonymisées pour l'amélioration des algorithmes (finalité R&D, flux B).
  • Pour les patients mineurs : vérifier l'âge et recueillir le consentement du représentant légal (Belgique : <13 ans ; France : <15 ans). Il est recommandé d'obtenir le consentement conjoint jusqu'à la majorité (18 ans) compte tenu de la sensibilité des données de santé.
  • N'ajouter que des patients dont il assure effectivement le suivi clinique.
  • Documenter son propre registre des traitements et ses mesures internes de sécurité.

4. Obligations de Synkro (sous-traitant)

4.1. Traitement uniquement sur instruction documentée

Synkro traite les données exclusivement selon les instructions du Kinésithérapeute (souscription au service, CGU, présent DPA, paramètres de l'application). Synkro informera le Kinésithérapeute si une instruction constitue une violation du RGPD.

4.2. Confidentialité

Les personnes autorisées à traiter les données sont soumises à une obligation contractuelle de confidentialité et sont sensibilisées aux exigences RGPD et aux spécificités des données de santé.

4.3. Mesures de sécurité (art. 32 RGPD)

  • Hébergement AWS région Paris (eu-west-3), certifié HDS, ISO 27001, SOC 2.
  • Chiffrement au repos : AES-256 via AWS KMS (base PostgreSQL RDS) ; SSE-S3 AES-256 (vidéos S3).
  • Chiffrement en transit : HTTPS/TLS 1.2 minimum.
  • Mots de passe hashés (bcrypt), tokens JWT à durée limitée.
  • Isolation stricte des accès : chaque kinésithérapeute n'accède qu'aux données de ses propres patients.
  • Sanitisation à la source des logs (aucune donnée de santé journalisée).
  • Moindre privilège IAM, revue périodique des accès, sauvegardes RDS automatiques (30 jours), surveillance CloudWatch.

4.4. Sous-traitants ultérieurs

Le Kinésithérapeute autorise Synkro à recourir aux sous-traitants suivants :

Amazon Web Services EMEA SARLHébergement de l'infrastructure (Lambda, RDS, S3, CloudFront, KMS), région eu-west-3 (Paris). Certifié HDS, ISO 27001, SOC 2. DPA RGPD intégré aux AWS Service Terms.
Stripe Payments Europe LtdTraitement des paiements de l'abonnement du Kinésithérapeute uniquement (aucune donnée de santé transmise à Stripe). DPA Stripe actif, CCT en place pour transferts techniques vers les États-Unis.

Toute modification de cette liste fera l'objet d'une information préalable avec 30 jours de préavis.

4.5. Assistance au responsable

Synkro assiste le Kinésithérapeute pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition), pour la sécurité du traitement (art. 32), la notification de violations (art. 33 & 34) et, le cas échéant, l'analyse d'impact (art. 35).

4.6. Notification des violations

En cas de violation de données, Synkro informe le Kinésithérapeute dans les meilleurs délais, et au plus tard dans les 48 heures, afin de lui permettre de respecter ses obligations de notification (art. 33 & 34 RGPD).

4.7. Restitution ou suppression

À l'issue de la relation contractuelle, selon le choix du Kinésithérapeute :

  • Restitution : exportation des données depuis l'application (JSON ou CSV) avant résiliation.
  • Suppression automatique : 90 jours après résiliation, toutes les données sont purgées des bases et sauvegardes Synkro.

4.8. Démonstration de la conformité

Sur demande raisonnable et justifiée, Synkro met à disposition : registre des traitements, liste des sous-traitants, politique de sécurité, procédure de gestion des violations, certificats HDS d'AWS. Un audit contradictoire peut être organisé aux frais du demandeur dans des conditions préservant la confidentialité des autres utilisateurs.

5. Transferts hors Union européenne

L'ensemble des données de santé des patients est hébergé en France (AWS région Paris, eu-west-3). Aucun transfert de données de santé hors UE n'est effectué.

Les transferts liés aux opérations techniques de Stripe (supervision, détection de fraude) concernent exclusivement les données de facturation du Kinésithérapeute et sont encadrés par les Clauses Contractuelles Types (décision 2021/914) intégrées au DPA Stripe.

6. Responsabilité

Chaque Partie est responsable des dommages causés par un traitement non conforme au RGPD (art. 82 RGPD). La responsabilité financière de Synkro est plafonnée conformément aux CGV, sauf faute lourde ou intentionnelle.

7. Dispositions diverses

  • Articulation : le DPA prévaut sur les CGU et CGV en cas de contradiction sur des points relatifs à la protection des données.
  • Modifications : toute modification substantielle fait l'objet d'une notification avec 30 jours de préavis.
  • Droit applicable : droit belge ; juridiction : tribunaux de l'arrondissement judiciaire de Bruxelles. Dernière mise à jour : Mai 2026.
Télécharger le document officiel (PDF)

Synkro — Thomas Theben Leutenez — BCE 1037.237.034