CONTRAT DE SOUS-TRAITANCE DE DONNÉES
Dernière mise à jour en septembre 2025
Aux fins de l’article 28(3) du Règlement 2016/679 (le RGPD)
entre
[Nom du fournisseur de services de garde d’enfants]
(le responsable du traitement)
et
Parent Childcare Management Solution Corp
(le sous-traitant)
chacun étant une « partie »; ensemble « les parties »
ONT CONVENU des clauses contractuelles suivantes (les « Clauses ») afin de répondre aux exigences du RGPD et d’assurer la protection des droits de la personne concernée.
Table des matières
1. Préambule
2. Les droits et obligations du responsable du traitement
3. Le sous-traitant agit conformément aux instructions
6. Utilisation de sous-traitants
7. Transfert de données vers des pays tiers ou des organisations internationales
8. Assistance au responsable du traitement
9. Notification d’une violation de données personnelles
10. Effacement et restitution des données
12. Accord des parties sur d’autres conditions
13. Entrée en vigueur et résiliation
14. Contacts/points de contact du responsable du traitement et du sous-traitant
Annexe A
• Renseignements sur le traitement des données personnelles des utilisateurs (enfants)
• Renseignements sur le traitement des données personnelles des utilisateurs (parents)
• Renseignements sur le traitement des données personnelles des utilisateurs (employés du responsable du traitement)
Annexe B
• Sous-traitants autorisés
Annexe C
• Instructions relatives à l’utilisation des données personnelles
Annexe D
• Aperçus de la sécurité de l’hébergement et du stockage (Azure & AWS)
1. Microsoft Azure – Hébergement (Irlande)
2. Amazon Web Services (AWS) – Stockage (Francfort)
3. Responsabilités du sous-traitant
1. Préambule
1. Les présentes Clauses contractuelles (les « Clauses ») énoncent les droits et obligations du responsable du traitement et du sous-traitant lors du traitement de données personnelles pour le compte du responsable du traitement.2. Les Clauses ont été conçues pour assurer la conformité des parties à l’article 28(3) du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
3. Dans le cadre de la gestion de la plateforme de services de garde appelée « Parent », le sous-traitant traitera des données personnelles pour le compte du responsable du traitement conformément aux Clauses.
4. Les Clauses prévaudront sur toute disposition similaire contenue dans d’autres ententes entre les parties.
5. Quatre annexes sont jointes aux Clauses et en font partie intégrante.
6. L’Annexe A contient des détails sur le traitement des données personnelles, y compris l’objet et la nature du traitement, le type de données personnelles, les catégories de personnes concernées et la durée du traitement.
7. L’Annexe B contient les conditions du responsable du traitement concernant l’utilisation de sous-traitants par le sous-traitant ainsi qu’une liste des sous-traitants autorisés par le responsable du traitement.
8. L’Annexe C contient les instructions du responsable du traitement relatives au traitement des données personnelles, les mesures de sécurité minimales à mettre en œuvre par le sous-traitant et la manière dont les audits du sous-traitant et de tout sous-traitant ultérieur doivent être effectués.
9. L’Annexe D contient « Amazon Web Services, Aperçu « Aperçu des processus de sécurité ».
10. Les Clauses ainsi que les annexes doivent être conservées par écrit, y compris sous forme électronique, par les deux parties.
11. Les Clauses n’exemptent pas le sous-traitant des obligations auxquelles il est soumis en vertu du Règlement général sur la protection des données (RGPD) ou d’autres législations.
2. Les droits et obligations du responsable du traitement
1. Le responsable du traitement est chargé de s’assurer que le traitement des données personnelles est effectué en conformité avec le RGPD (voir article 24 du RGPD), les dispositions applicables de l’UE ou des États membres en matière de protection des données, ainsi que les présentes Clauses.2. Le responsable du traitement a le droit et l’obligation de prendre des décisions concernant les finalités et les moyens du traitement des données personnelles.
3. Le responsable du traitement est notamment chargé de veiller à ce que le traitement des données personnelles, que le sous-traitant est tenu d’effectuer, repose sur une base légale.
3. Le sous-traitant agit conformément aux instructions
1. Le sous-traitant ne doit traiter les données personnelles que sur la base d’instructions documentées du responsable du traitement, sauf si le droit de l’Union ou d’un État membre auquel le sous-traitant est soumis l’exige. Ces instructions doivent être précisées dans les annexes A et C. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données personnelles, mais elles doivent toujours être documentées et conservées par écrit, y compris sous forme électronique, dans le cadre des Clauses.2. Le sous-traitant doit informer immédiatement le responsable du traitement si, de son avis, les instructions données par le responsable du traitement contreviennent au RGPD ou aux dispositions applicables de l’UE ou des États membres en matière de protection des données.
4. Confidentialité
1. Le sous-traitant ne doit accorder l’accès aux données personnelles traitées pour le compte du responsable du traitement qu’aux personnes placées sous son autorité qui se sont engagées à respecter la confidentialité ou qui sont soumises à une obligation légale appropriée de confidentialité, et uniquement selon le principe du besoin de savoir. La liste des personnes auxquelles un accès a été accordé doit faire l’objet d’un examen périodique. Sur la base de cet examen, cet accès peut être retiré si l’accès n’est plus nécessaire, et les données personnelles ne doivent par conséquent plus être accessibles à ces personnes.2. À la demande du responsable du traitement, le sous-traitant doit démontrer que les personnes concernées placées sous son autorité sont soumises à l’obligation de confidentialité mentionnée ci-dessus.
5. Sécurité du traitement
1. L’article 32 du RGPD stipule qu’en tenant compte de l’état des connaissances, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement, de même que des risques dont la probabilité et la gravité varient pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.Le responsable du traitement doit évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement et mettre en place des mesures pour atténuer ces risques. Selon leur pertinence, les mesures peuvent inclure ce qui suit :
a. La pseudonymisation et le chiffrement des données personnelles ;b. la capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
c. la capacité à rétablir la disponibilité et l’accès aux données personnelles en temps opportun en cas d’incident physique ou technique ;
d. un processus de test, d’évaluation et de révision réguliers de l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.
En plus des mesures déjà définies, le sous-traitant doit maintenir :
a. Un chiffrement TLS 1.3 pour les données en transit.b. Un contrôle d’accès basé sur les rôles (RBAC) pour le personnel interne.
c. Une authentification sécurisée et des sauvegardes chiffrées régulières.
d. Des tests d’intrusion et des audits de sécurité réalisés régulièrement par des tiers.
2. Conformément à l’article 32 du RGPD, le sous-traitant doit également – indépendamment du responsable du traitement – évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement et mettre en œuvre des mesures pour atténuer ces risques. À cet effet, le responsable du traitement doit fournir au sous-traitant tous les renseignements nécessaires pour identifier et évaluer ces risques.
3. En outre, le sous-traitant doit aider le responsable du traitement à assurer le respect de ses obligations conformément à l’article 32 du RGPD, notamment en fournissant au responsable du traitement des renseignements concernant les mesures techniques et organisationnelles déjà mises en œuvre par le sous-traitant en vertu de l’article 32 du RGPD, ainsi que tout autre renseignement nécessaire pour permettre au responsable du traitement de respecter ses obligations en vertu de l’article 32 du RGPD.
Si par la suite – selon l’évaluation du responsable du traitement – l’atténuation des risques identifiés exige la mise en œuvre de mesures supplémentaires par le sous-traitant, au-delà de celles déjà mises en œuvre par le sous-traitant en vertu de l’article 32 du RGPD, le responsable du traitement doit préciser ces mesures supplémentaires à mettre en œuvre dans l’Annexe C.
6. Utilisation de sous-traitants
1. Le sous-traitant doit satisfaire aux exigences précisées à l’article 28(2) et (4) du RGPD afin de recourir à un autre sous-traitant.2. Le sous-traitant ne doit donc pas engager un autre sous-traitant pour l’exécution des présentes Clauses sans l’autorisation écrite préalable et générale du responsable du traitement.
Le sous-traitant dispose de l’autorisation générale du responsable du traitement pour le recours à des sous-traitants. Le sous-traitant doit informer par écrit le responsable du traitement de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants au moins 14 jours à l’avance, donnant ainsi au responsable du traitement la possibilité de s’opposer à ces changements avant l’engagement du ou des sous-traitants concernés. Des délais plus longs
Des délais de préavis plus longs pour certains services de sous-traitance peuvent être prévus dans l’Annexe B. La liste des sous-traitants déjà autorisés par le responsable du traitement se trouve à l’Annexe B.
3. Lorsque le sous-traitant engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles énoncées dans les présentes Clauses doivent être imposées à ce sous-traitant ultérieur au moyen d’un contrat ou d’un autre acte juridique en vertu du droit de l’UE ou d’un État membre, garantissant en particulier des assurances suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement respecte les exigences des Clauses et du RGPD.Le sous-traitant est donc responsable d’exiger que le sous-traitant ultérieur respecte au minimum les obligations auxquelles le sous-traitant est soumis en vertu des Clauses et du RGPD.
4. Une copie de tout contrat de sous-traitance ultérieure et de ses modifications ultérieures doit – à la demande du responsable du traitement – être soumise au responsable du traitement, lui donnant ainsi la possibilité de s’assurer que les mêmes obligations de protection des données que celles prévues dans les Clauses sont imposées au sous-traitant ultérieur. Les clauses portant sur des questions commerciales qui n’affectent pas le contenu juridique en matière de protection des données du contrat de sous-traitance ultérieure ne nécessitent pas d’être soumises au responsable du traitement.5. Le sous-traitant doit convenir d’une clause de tiers bénéficiaire avec le sous-traitant ultérieur selon laquelle – en cas de faillite du sous-traitant – le responsable du traitement sera un tiers bénéficiaire du contrat de sous-traitance ultérieure et aura le droit de faire respecter le contrat à l’encontre du sous-traitant ultérieur engagé par le sous-traitant, par exemple en permettant au responsable du traitement d’ordonner au sous-traitant ultérieur de supprimer ou de restituer les données personnelles.
6. Si le sous-traitant ultérieur ne respecte pas ses obligations en matière de protection des données, le sous-traitant demeure pleinement responsable envers le responsable du traitement quant au respect des obligations du sous-traitant ultérieur. Cela n’affecte pas les droits des personnes concernées en vertu du RGPD – notamment ceux prévus aux articles 79 et 82 du RGPD – à l’encontre du responsable du traitement et du sous-traitant, y compris le sous-traitant ultérieur.
7. Le sous-traitant est autorisé à engager les sous-traitants suivants pour des activités de traitement spécifiques :
Sous-traitant |
Lieu |
Objet |
Mécanisme de transfert |
Amazon Web Services (AWS) |
Francfort, Allemagne |
Infrastructure d’hébergement |
Basé dans l’UE |
Microsoft Azure |
Irlande (UE) |
Infrastructure d’hébergement |
Basé dans l’UE |
Intercom R&D Unlimited Company |
Irlande (UE) |
Assistance et clavardage intégrés |
Hébergé dans l’UE |
HubSpot Ireland Ltd. |
Irlande (UE) |
CRM et marketing |
Hébergé dans l’UE |
OpenAI |
États-Unis |
Contenu généré par l’IA (ParentPilot) |
Certifié DPF UE–É.-U. |
Instabug |
États-Unis |
Rapports de bogues et d’incidents |
Clauses contractuelles types (SCCs) |
Firebase (Google LLC) |
Mondial |
Notifications push |
Clauses contractuelles types (SCCs) |
Twilio |
États-Unis |
Livraison de SMS (inscription, réinitialisation de mot de passe) |
Certifié DPF UE–É.-U. |
WhatsApp (Meta Platforms) |
Mondial (configuré par le responsable du traitement) |
Messagerie facultative personnel-parents |
DPF/SCCs |
Gmail / Outlook (Google/Microsoft) |
Mondial (configuré par le responsable du traitement) |
Canal de courriel facultatif |
DPF/SCCs |
WebinarGeek |
UE |
Événements webinaires et marketing |
Basé dans l’UE |
Zoho Books / QuickBooks (Intuit) |
Mondial (facultatif, configuré par le responsable du traitement) |
Intégrations comptables facultatives |
DPF/SCCs |
Tout sous-traitant supplémentaire ou de remplacement doit suivre les procédures de notification et d’approbation telles que définies à la Clause 7.
7. Transfert de données vers des pays tiers ou des organisations internationales
1. Tout transfert de données personnelles vers des pays tiers ou des organisations internationales par le sous-traitant ne doit avoir lieu que sur la base d’instructions documentées du responsable du traitement et doit toujours s’effectuer en conformité avec le Chapitre V du RGPD.2. Dans le cas où des transferts vers des pays tiers ou des organisations internationales, que le sous-traitant n’a pas été chargé d’effectuer par le responsable du traitement, sont exigés en vertu du droit de l’UE ou d’un État membre auquel le sous-traitant est soumis, le sous-traitant doit informer le responsable du traitement de cette obligation légale avant le traitement, sauf si cette loi interdit une telle information pour des motifs importants d’intérêt public.
3. Sans instructions documentées du responsable du traitement, le sous-traitant ne peut donc pas, dans le cadre des présentes Clauses :
a. transférer des données personnelles à un responsable du traitement ou à un sous-traitant dans un pays tiers ou une organisation internationale
b. transférer le traitement de données personnelles à un sous-traitant dans un pays tiers
c. faire traiter les données personnelles par le sous-traitant dans un pays tiers
4. Les instructions du responsable du traitement concernant le transfert de données personnelles vers un pays tiers, y compris, le cas échéant, l’outil de transfert prévu au Chapitre V du RGPD sur lequel elles sont fondées, doivent être précisées dans l’Annexe C.6.
5. Les Clauses ne doivent pas être confondues avec les clauses types de protection des données au sens de l’article 46(2)(c) et (d) du RGPD, et les Clauses ne peuvent pas être invoquées par les parties comme un outil de transfert en vertu du Chapitre V du RGPD.
6. Lorsque le traitement exige des transferts en dehors de l’EEE, le sous-traitant doit s’appuyer sur :
a. Les Clauses contractuelles types (SCCs)
b. Les décisions d’adéquation
c. Le Cadre de protection des données UE–É.-U. (DPF) pour les fournisseurs certifiés
8. Assistance au responsable du traitement
1. Compte tenu de la nature du traitement, le sous-traitant doit aider le responsable du traitement au moyen de mesures techniques et organisationnelles appropriées, dans la mesure du possible, à l’accomplissement des obligations du responsable du traitement de répondre aux demandes d’exercice des droits de la personne concernée énoncés au Chapitre III du RGPD.
Cela implique que le sous-traitant doit, dans la mesure du possible, aider le responsable du traitement à se conformer à :
b. le droit d’être informé lorsque les données personnelles n’ont pas été obtenues auprès de la personne concernée
c. le droit d’accès de la personne concernée
d. le droit de rectification
e. le droit à l’effacement (« droit à l’oubli »)
f. le droit à la limitation du traitement
g. l’obligation de notification concernant la rectification ou l’effacement de données personnelles ou la limitation du traitement
h. le droit à la portabilité des données
i. le droit d’opposition
j. le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris
profilage
2. En plus de l’obligation du sous-traitant d’assister le responsable du traitement conformément à la Clause 6.3., le sous-traitant doit également, compte tenu de la nature du traitement et des informations dont il dispose, aider le responsable du traitement à assurer le respect des obligations suivantes :
a. L’obligation du responsable du traitement de notifier sans retard indu et, lorsque c’est possible, au plus tard 72 heures après en avoir eu connaissance, la violation de données personnelles à l’autorité de contrôle compétente (Datatilsynet), sauf si la violation de données personnelles est peu susceptible d’entraîner un risque pour les droits et libertés des personnes physiques ;
b. l’obligation du responsable du traitement de communiquer sans retard indu la violation de données personnelles à la personne concernée, lorsque cette violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques ;
c. l’obligation du responsable du traitement de réaliser une analyse d’impact relative à la protection des données concernant les opérations de traitement envisagées (analyse d’impact relative à la protection des données) ;
d. l’obligation du responsable du traitement de consulter l’autorité de contrôle compétente (Datatilsynet) avant le traitement, lorsqu’une analyse d’impact relative à la protection des données indique que le traitement entraînerait un risque élevé en l’absence de mesures prises par le responsable du traitement pour atténuer ce risque.
3. Les parties doivent définir dans l’Annexe C les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu d’assister le responsable du traitement ainsi que l’étendue et la portée de l’assistance requise. Cela s’applique aux obligations prévues aux Clauses 9.1. et 9.2.
9. Notification d’une violation de données personnelles
1. En cas de violation de données personnelles, le sous-traitant doit, sans retard indu après en avoir eu connaissance, notifier le responsable du traitement de cette violation.2. La notification du sous-traitant au responsable du traitement doit, si possible, avoir lieu dans les 24 heures après que le sous-traitant a eu connaissance de la violation de données personnelles, afin de permettre au responsable du traitement de respecter son obligation de notifier la violation de données personnelles à l’autorité de contrôle compétente, cf. article 33 du RGPD.
3. Conformément à la Clause 9(2)(a), le sous-traitant doit aider le responsable du traitement à notifier la violation de données personnelles à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à l’article 33(3) du RGPD, doivent figurer dans la notification du responsable du traitement à l’autorité de contrôle compétente :
a. La nature des données personnelles concernées, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;
b. les conséquences probables de la violation de données personnelles ;
c. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures destinées à en atténuer les éventuels effets négatifs.
4. Les parties doivent définir dans l’Annexe C tous les éléments à fournir par le sous-traitant lorsqu’il aide le responsable du traitement à notifier une violation de données personnelles à l’autorité de contrôle compétente.
10. Effacement et restitution des données
Le sous-traitant doit soutenir le responsable du traitement dans l’application des règles de conservation spécifiques aux modules, telles que configurées via les paramètres de conservation des données et de conformité de la plateforme.
- La conservation ne peut pas dépasser les périodes maximales définies par la plateforme.
- À l’expiration, les données seront supprimées ou anonymisées selon le module.
- Les données des enfants désinscrits seront automatiquement anonymisées après la période de conservation configurée.
- Les « rapports Ouch » (rapports de blessures/incidents) sont exclus de la suppression automatique et peuvent être conservés plus longtemps afin de respecter les exigences médicales, d’octroi de licence ou réglementaires.
- À la résiliation des services, les données seront conservées pendant six (6) mois sauf si la loi en dispose autrement, après quoi elles seront supprimées ou anonymisées.
11. Audit et inspection
1. Le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’article 28 et dans les Clauses, et permettre ainsi la réalisation d’audits, y compris d’inspections, effectués par le responsable du traitement ou un autre auditeur mandaté par ce dernier.2. Les procédures applicables aux audits du responsable du traitement, y compris les inspections, du sous-traitant et des sous-traitants sont précisées aux Annexes C.7.
3. Le sous-traitant doit donner aux autorités de contrôle, qui en vertu de la législation applicable ont accès aux installations du responsable du traitement et du sous-traitant, ou aux représentants agissant pour le compte de telles autorités de contrôle, l’accès aux installations physiques du sous-traitant sur présentation d’une pièce d’identité appropriée.
12. Accord des parties sur d’autres conditions
1. Les parties peuvent convenir d’autres clauses concernant la prestation du service de traitement de données personnelles précisant, par exemple, la responsabilité, à condition qu’elles ne contredisent pas directement ou indirectement les Clauses et ne portent pas atteinte aux droits et libertés fondamentaux de la personne concernée ni à la protection accordée par le RGPD.13. Entrée en vigueur et résiliation
1. Les Clauses entrent en vigueur à la date de signature des deux parties.2. Les deux parties ont le droit d’exiger la renégociation des Clauses si des changements législatifs ou l’inopportunité des Clauses justifient une telle renégociation.
3. Les Clauses s’appliquent pendant la durée du prestation des services de traitement de données personnelles. Pendant la durée de la prestation des services de traitement de données personnelles, les Clauses ne peuvent pas être résiliées, sauf si d’autres Clauses régissant la prestation des services de traitement de données personnelles ont été convenues entre les parties.
4. Si la prestation des services de traitement de données personnelles prend fin et que les données personnelles sont supprimées ou restituées au responsable du traitement conformément à la Clause 11.1. et à l’Annexe C.4., les Clauses peuvent être résiliées par notification écrite de l’une ou l’autre des parties.
5. Signature
Au nom du responsable du traitement
Nom
Poste
Date
Signature
Au nom du sous-traitant
Nom Firas El Bizri
Poste Fondateur et associé directeur
Date
Signature
14. Coordonnées/points de contact du responsable du traitement et du sous-traitant
1. Les parties peuvent communiquer entre elles en utilisant les coordonnées/points de contact suivants :2. Les parties ont l’obligation de s’informer mutuellement et en continu de tout changement relatif aux coordonnées/points de contact.
Nom
Poste
Téléphone
Courriel
Nom Firas El Bizri
Poste Fondateur et associé
Téléphone +45 28282808
Courriel firas@parent.app
Annexe A
Renseignements sur le traitement des données personnelles des utilisateurs (enfants)
A.1. L’objectif du traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement est :
Aider le responsable du traitement, via l’application Parent, à :
• Enfants : Nom, date de naissance, allergies, dossiers de santé, dossiers d’apprentissage, rapports d’incidents/« Ouch ».• Parents : Coordonnées, facturation, consentements.
• Personnel : Nom, horaire, qualifications, présence.
• Appareil et utilisation : Adresse IP, navigateur, journaux de plantages.
• Données de cookies et d’analytique.
• Contenu généré par l’IA (résumés optionnels utilisant le nom de l’enfant).
• Le consentement est requis pour le traitement des données des enfants conformément au RGPD et au COPPA (moins de 13 ans, É.-U.).
• Surveiller les ratios personnel-enfants
• Déposer des rapports d’incidents
• Créer des listes personnalisables (ex. : enfants souffrant d’allergies)
• Rapports en temps réel (créer des enregistrements d’heures de sommeil, de repas, de visites aux toilettes, etc.)
• Planification d’activités
• Ajouter des séances ou des produits à l’enfant individuel
• Rapports de journées d’absence
• Messagerie instantanée entre administrateurs/enseignants et parents
• Créer une galerie multimédia
• Fil d’activités quotidien
• Créer des listes de santé
• Enregistrement des présences
• Créer des listes de contacts