mob-menu
search
    Demandez une démo
    search
    faqs-bg-vector
     

    CONTRAT DE SOUS-TRAITANCE DE DONNÉES

    Dernière mise à jour en septembre 2025

    Aux fins de l’article 28(3) du Règlement 2016/679 (le RGPD)

    entre

    [Nom du prestataire de garde d’enfants]

    (le responsable du traitement)

    Et

    Parent ApS

    CVR-nr. 37407747

    Ballerupvej 62

    3500 Værløse

    (le sous-traitant)

    chacun étant une « partie » ; ensemble « les parties »

    ONT CONVENU des clauses contractuelles suivantes (les « Clauses ») afin de répondre aux exigences du RGPD et d’assurer la protection des droits de la personne concernée.


    Table des matières

    1. Préambule

    2. Les droits et obligations du responsable du traitement

    3. Le sous-traitant agit conformément aux instructions

    4. Confidentialité

    5. Sécurité du traitement

    6. Utilisation de sous-traitants

    7. Transfert de données vers des pays tiers ou des organisations internationales 

    8. Assistance au responsable du traitement

    9. Notification d’une violation de données à caractère personnel

    10. Effacement et restitution des données

    11. Audit et inspection

    12. Accord des parties sur d’autres conditions

    13. Entrée en vigueur et résiliation

    14.  Contacts/points de contact du responsable du traitement et du sous-traitant

    Annexe A
    • Informations concernant le traitement des données personnelles des utilisateurs (enfants)
    • Informations concernant le traitement des données personnelles des utilisateurs (parents)
    • Informations concernant le traitement des données personnelles des employés du responsable du traitement

    Annexe B
     • Sous-traitants autorisés

    Annexe C
    • Instructions relatives à l’utilisation des données personnelles

    Annexe D
    • Aperçu de l’hébergement et de la sécurité du stockage (Azure & AWS)

    1. Microsoft Azure – Hébergement (Irlande)
    2. Amazon Web Services (AWS) – Stockage (Francfort)
    3. Responsabilités du sous-traitant

    1. Préambule

    1. Les présentes clauses contractuelles (les « Clauses ») définissent les droits et obligations du responsable du traitement et du sous-traitant lors du traitement de données personnelles pour le compte du responsable du traitement.

    2. Les Clauses ont été conçues afin de garantir la conformité des parties avec l’article 28(3) du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données – RGPD).

    3.  Dans le cadre de la prestation de gestion de la plateforme de garde d’enfants appelée « Parent », le sous-traitant traitera des données personnelles pour le compte du responsable du traitement conformément aux Clauses.

    4. Les Clauses prévalent sur toute disposition similaire contenue dans d’autres accords entre les parties.

    5. Quatre annexes sont jointes aux Clauses et en font partie intégrante.

    6. L’Annexe A contient des informations détaillées sur le traitement des données personnelles, y compris l’objectif et la nature du traitement, le type de données personnelles, les catégories de personnes concernées et la durée du traitement.

    7. L’Annexe B contient les conditions du responsable du traitement concernant l’utilisation de sous-traitants par le sous-traitant ainsi qu’une liste des sous-traitants autorisés par le responsable du traitement.

    8. L’Annexe C contient les instructions du responsable du traitement relatives au traitement des données personnelles, les mesures de sécurité minimales à mettre en œuvre par le sous-traitant et la manière dont les audits du sous-traitant et de tout sous-traitant ultérieur doivent être réalisés.

    9. L’Annexe D contient un aperçu d’« Amazon Web Services, Overview 9. L’Annexe D contient un aperçu « Amazon Web Services, Overview of Security Processes ».

    10. Les Clauses ainsi que les annexes doivent être conservées par écrit, y compris sous forme électronique, par les deux parties.

    11. Les Clauses n’exemptent pas le sous-traitant des obligations auxquelles il est soumis en vertu du Règlement général sur la protection des données (RGPD) ou d’autres législations.

    2. Les droits et obligations du responsable du traitement

    1. Le responsable du traitement est chargé de veiller à ce que le traitement des données personnelles soit conforme au RGPD (voir article 24 RGPD), aux dispositions applicables de l’Union européenne ou des États membres en matière de protection des données ainsi qu’aux Clauses.

    2. Le responsable du traitement a le droit et l’obligation de prendre les décisions relatives aux finalités et aux moyens du traitement des données personnelles.

    3. Le responsable du traitement est notamment responsable de s’assurer que le traitement des données personnelles, que le sous-traitant est chargé d’exécuter, repose sur une base légale.

    3. Le sous-traitant agit conformément aux instructions

    1. Le sous-traitant ne traite les données personnelles que sur instructions documentées du responsable du traitement, sauf s’il y est tenu par le droit de l’Union ou d’un État membre auquel le sous-traitant est soumis. Ces instructions sont précisées dans les annexes A et C. Le responsable du traitement peut également donner des instructions ultérieures pendant toute la durée du traitement des données personnelles, mais ces instructions doivent toujours être documentées et conservées par écrit, y compris sous forme électronique, dans le cadre des Clauses.

    2. Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, les instructions données par le responsable du traitement enfreignent le RGPD ou les dispositions applicables de l’Union européenne ou des États membres en matière de protection des données.

    4. Confidentialité

    1. Le sous-traitant ne donne accès aux données personnelles traitées pour le compte du responsable du traitement qu’aux personnes placées sous son autorité qui se sont engagées à respecter la confidentialité ou qui sont soumises à une obligation légale appropriée de confidentialité, et uniquement lorsque cet accès est nécessaire. La liste des personnes auxquelles l’accès a été accordé doit être régulièrement réexaminée. Sur la base de ce réexamen, un tel accès peut être retiré si celui-ci n’est plus nécessaire, et les données personnelles ne doivent dès lors plus être accessibles à ces personnes.

    2. Le sous-traitant doit, à la demande du responsable du traitement, démontrer que les personnes concernées placées sous son autorité sont bien soumises à l’obligation de confidentialité mentionnée ci-dessus.

    5. Sécurité du traitement

    1. L’article 32 du RGPD stipule qu’en tenant compte de l’état des connaissances, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement, de même que du risque, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement… … et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

    Le responsable du traitement doit évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement et mettre en œuvre des mesures visant à atténuer ces risques. Selon leur pertinence, ces mesures peuvent inclure :

    a. La pseudonymisation et le chiffrement des données personnelles ;
    b. La capacité à garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
    c. La capacité à rétablir la disponibilité et l’accès aux données personnelles en temps utile en cas d’incident physique ou technique ;
    d. Un processus de test, d’évaluation et d’appréciation réguliers de l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

    En plus des mesures déjà définies, le sous-traitant doit maintenir :

    a. Un chiffrement TLS 1.3 pour les données en transit ;
    b. Un contrôle d’accès basé sur les rôles (RBAC) pour le personnel interne ;
    c. Une authentification sécurisée et des sauvegardes régulières chiffrées ;
    d. Des tests d’intrusion et des audits de sécurité réguliers réalisés par des tiers.

    2. Conformément à l’article 32 du RGPD, le sous-traitant doit également – indépendamment du responsable du traitement – évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement et mettre en œuvre des mesures visant à atténuer ces risques. À cet effet, le responsable du traitement doit fournir au sous-traitant toutes les informations nécessaires pour identifier et évaluer ces risques.

    3. De plus, le sous-traitant doit aider le responsable du traitement à garantir le respect des obligations de ce dernier en vertu de l’article 32 du RGPD, notamment en fournissant au responsable du traitement des informations concernant les mesures techniques et organisationnelles déjà mises en œuvre par le sous-traitant conformément à l’article 32 du RGPD, ainsi que toute autre information nécessaire pour permettre au responsable du traitement de se conformer à ses obligations en vertu de l’article 32 du RGPD.

    Si par la suite – dans l’évaluation du responsable du traitement – l’atténuation des risques identifiés exige la mise en œuvre de mesures supplémentaires par le sous-traitant, au-delà de celles déjà appliquées par ce dernier conformément à l’article 32 du RGPD, le responsable du traitement précisera ces mesures supplémentaires à mettre en œuvre dans l’Annexe C.

    6. Utilisation de sous-traitants

    1. Le sous-traitant doit satisfaire aux exigences énoncées aux articles 28(2) et 28(4) du RGPD pour pouvoir faire appel à un autre sous-traitant.

    2. Le sous-traitant ne peut donc pas engager un autre sous-traitant pour l’exécution des présentes Clauses sans l’autorisation écrite préalable, générale, du responsable du traitement.

    Le sous-traitant dispose de l’autorisation générale du responsable du traitement pour le recours à des sous-traitants. Le sous-traitant doit informer par écrit le responsable du traitement de toute modification envisagée concernant l’ajout ou le remplacement de sous-traitants au moins 14 jours à l’avance, afin de donner au responsable du traitement la possibilité de s’opposer à ces modifications avant l’engagement du ou des sous-traitants concernés. Un délai plus long…

    … peuvent être prévus dans l’Annexe B. La liste des sous-traitants déjà autorisés par le responsable du traitement figure dans l’Annexe B.

    3. Lorsqu’un sous-traitant est engagé par le sous-traitant pour exécuter des activités spécifiques de traitement pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles énoncées dans les présentes Clauses doivent être imposées à ce sous-traitant par le biais d’un contrat ou d’un autre acte juridique en vertu du droit de l’Union ou du droit d’un État membre, garantissant notamment des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement respecte les exigences des Clauses et du RGPD.

    Le sous-traitant est donc responsable de veiller à ce que le sous-traitant ultérieur respecte au minimum les obligations auxquelles le sous-traitant est lui-même soumis en vertu des Clauses et du RGPD.

    4. Une copie de tout accord avec un sous-traitant ainsi que de ses modifications ultérieures doit – à la demande du responsable du traitement – être transmise à ce dernier, lui donnant ainsi la possibilité de s’assurer que les mêmes obligations en matière de protection des données que celles énoncées dans les Clauses sont imposées au sous-traitant. Les clauses relatives à des questions commerciales qui n’affectent pas le contenu juridique de protection des données de l’accord avec le sous-traitant ne nécessitent pas d’être communiquées au responsable du traitement. 

    5. Le sous-traitant doit convenir d’une clause de bénéficiaire tiers avec le sous-traitant ultérieur, selon laquelle – en cas de faillite du sous-traitant – le responsable du traitement sera bénéficiaire tiers de l’accord conclu avec le sous-traitant ultérieur et aura le droit de faire exécuter l’accord contre ce sous-traitant, par exemple en donnant au responsable du traitement la possibilité d’instruire le sous-traitant de supprimer ou de restituer les données personnelles.

    6. Si le sous-traitant ultérieur ne respecte pas ses obligations en matière de protection des données, le sous-traitant reste pleinement responsable envers le responsable du traitement quant au respect des obligations du sous-traitant ultérieur. Cela n’affecte pas les droits des personnes concernées en vertu du RGPD – en particulier ceux prévus aux articles 79 et 82 du RGPD – à l’égard du responsable du traitement et du sous-traitant, y compris le sous-traitant ultérieur.

    7. Le sous-traitant est autorisé à engager les sous-traitants suivants pour des activités de traitement spécifiques :

     

    Sous-traitant

    Lieu

    Finalité

    Mécanisme de transfert

    Amazon Web Services (AWS)

    Francfort, Allemagne

    Infrastructure d’hébergement

    Basé dans l’UE

    Microsoft Azure

    Irlande (UE)

    Infrastructure d’hébergement

    Basé dans l’UE

    Intercom R&D Unlimited Company

    Irlande (UE)

    Support et chat intégrés à l’application

    Hébergé dans l’UE

    HubSpot Ireland Ltd.

    Irlande (UE)

    CRM et communication marketing

    Basé dans l’UE

    OpenAI

    États-Unis

    Contenu généré par IA (ParentPilot)

    Certifié EU–US DPF

    Instabug

    États-Unis

    Rapports de bogues et de plantages

    Clauses contractuelles types (SCCs)

    Firebase (Google LLC)

    Global

    Notifications push

    Clauses contractuelles types (SCCs)

    Twilio

    États-Unis

    Envoi de SMS (inscription, réinitialisation de mot de passe)

    Certifié EU–US DPF

    WhatsApp (Meta Platforms)

    Global (configuré par le responsable du traitement)

    Messagerie optionnelle personnel-parents

    DPF/SCCs

    Gmail / Outlook (Google/Microsoft)

    Global (configuré par le responsable du traitement)

    Canal e-mail optionnel

    DPF/SCCs

    WebinarGeek

    UE

    Webinaires et événements marketing

    Basé dans l’UE

    Zoho Books / QuickBooks (Intuit)

    Global (optionnel, configuré par le responsable du traitement)

    Intégrations comptables optionnelles

    DPF/SCCs

    Stripe, Inc.

    États-Unis

    Traitement des paiements et facturation des abonnements

    Certifié EU–US DPF / Clauses contractuelles types (CCT)



    Tout sous-traitant supplémentaire ou de remplacement doit suivre les procédures de notification et d’approbation définies à la Clause 7.

     

    7. Transfert de données vers des pays tiers ou des organisations internationales

    1. Tout transfert de données personnelles vers des pays tiers ou des organisations internationales par le sous-traitant ne peut avoir lieu que sur la base d’instructions documentées du responsable du traitement et doit toujours se faire en conformité avec le Chapitre V du RGPD.

    2. Dans le cas où un transfert vers des pays tiers ou des organisations internationales, non prévu par le responsable du traitement, est requis par le droit de l’Union ou d’un État membre auquel le sous-traitant est soumis, le sous-traitant doit informer le responsable du traitement de cette obligation légale avant le traitement, sauf si ce droit interdit une telle information pour des motifs importants d’intérêt public.

    3. Sans instructions documentées du responsable du traitement, le sous-traitant ne peut donc pas, dans le cadre des présentes Clauses :

    a. transférer des données personnelles à un responsable du traitement ou à un sous-traitant établi dans un pays tiers ou une organisation internationale ;
    b. confier le traitement de données personnelles à un sous-traitant situé dans un pays tiers ;
    c. faire traiter les données personnelles par le sous-traitant dans un pays tiers.

    4. Les instructions du responsable du traitement concernant le transfert de données personnelles vers un pays tiers, y compris, le cas échéant, l’outil de transfert prévu par le Chapitre V du RGPD sur lequel elles reposent, doivent être définies dans l’Annexe C.6.

    5. Les présentes Clauses ne doivent pas être confondues avec les clauses types de protection des données au sens de l’article 46(2)(c) et (d) du RGPD et ne peuvent pas être utilisées par les parties comme un outil de transfert en vertu du Chapitre V du RGPD.

    6. Lorsque le traitement exige des transferts en dehors de l’EEE, le sous-traitant doit s’appuyer sur :

    a. les Clauses contractuelles types (SCCs)
    b. les décisions d’adéquation
    c. le Cadre de protection des données UE–États-Unis (DPF) pour les fournisseurs certifiés


    8. Assistance au responsable du traitement

    1. Compte tenu de la nature du traitement, le sous-traitant doit aider le responsable du traitement, au moyen de mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir les obligations du responsable du traitement de répondre aux demandes d’exercice des droits des personnes concernées prévus au Chapitre III du RGPD.


    Cela implique que le sous-traitant doit, dans la mesure du possible, assister le responsable du traitement dans le respect des obligations suivantes :

    a. le droit d’être informé lors de la collecte de données personnelles auprès de la personne concernée ;
    b. le droit d’être informé lorsque les données personnelles n’ont pas été obtenues auprès de la personne concernée ;
    c. le droit d’accès de la personne concernée ;
    d. le droit de rectification ;
    e. le droit à l’effacement (« droit à l’oubli ») ;
    f. le droit à la limitation du traitement ;
    g. l’obligation de notification concernant la rectification ou l’effacement de données personnelles ou la limitation du traitement ;
    h. le droit à la portabilité des données ;
    i. le droit d’opposition ;
    j. le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris…
    j. le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.

    2. En plus de l’obligation du sous-traitant d’assister le responsable du traitement conformément à la Clause 6.3., le sous-traitant doit en outre, compte tenu de la nature du traitement et des informations dont il dispose, aider le responsable du traitement à assurer le respect des obligations suivantes :

    a. L’obligation du responsable du traitement de notifier sans retard injustifié et, si possible, au plus tard 72 heures après en avoir pris connaissance, toute violation de données personnelles à l’autorité de contrôle compétente (Datatilsynet), sauf si la violation de données personnelles n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ;

    b. L’obligation du responsable du traitement de communiquer sans retard injustifié la violation de données personnelles à la personne concernée, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ;

    c. L’obligation du responsable du traitement de réaliser une analyse d’impact relative à la protection des données pour les opérations de traitement envisagées (analyse d’impact relative à la protection des données – AIPD) ;

    d. L’obligation du responsable du traitement de consulter l’autorité de contrôle compétente (Datatilsynet) avant le traitement lorsque l’analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé en l’absence de mesures prises par le responsable du traitement pour atténuer ce risque.

    3. Les parties définissent dans l’Annexe C les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu d’assister le responsable du traitement, ainsi que l’étendue et la portée de l’assistance requise. Cela s’applique aux obligations prévues aux Clauses 9.1. et 9.2.


    9. Notification d’une violation de données personnelles

    1. En cas de violation de données personnelles, le sous-traitant doit, sans retard injustifié après en avoir pris connaissance, en informer le responsable du traitement.

    2. La notification du sous-traitant au responsable du traitement doit, si possible, avoir lieu dans un délai de 24 heures après que le sous-traitant a eu connaissance de la violation de données personnelles afin de permettre au responsable du traitement de respecter son obligation de notifier la violation de données personnelles à l’autorité de contrôle compétente, cf. article 33 du RGPD.

    3. Conformément à la Clause 9(2)(a), le sous-traitant doit aider le responsable du traitement à notifier la violation de données personnelles à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à l’article 33(3) du RGPD, doivent figurer dans la notification du responsable du traitement à l’autorité de contrôle compétente : 

    a. La nature des données personnelles concernées, y compris, lorsque cela est possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;
    b. Les conséquences probables de la violation de données personnelles ;
    c. Les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures destinées à en atténuer les éventuels effets négatifs.

    4. Les parties définissent dans l’Annexe C tous les éléments devant être fournis par le sous-traitant lorsqu’il assiste le responsable du traitement dans la notification d’une violation de données personnelles à l’autorité de contrôle compétente.


    10. Effacement et restitution des données

    Le sous-traitant doit soutenir le responsable du traitement dans l’application des règles de conservation spécifiques à chaque module, telles que configurées via les paramètres de conservation et de conformité des données de la plateforme.

    • La durée de conservation ne peut pas dépasser les périodes maximales définies par la plateforme.
    • À l’expiration, les données seront supprimées ou anonymisées selon le module.
    • Les données des enfants désinscrits seront automatiquement anonymisées après la période de conservation configurée.
    • Les « rapports Ouch » (rapports de blessures/incidents) sont exclus de la suppression automatique et peuvent être conservés plus longtemps afin de se conformer aux exigences médicales, d’agrément ou réglementaires.
    • À la cessation des services, les données seront conservées pendant six (6) mois sauf disposition légale contraire, après quoi elles devront être supprimées ou anonymisées.

    11. Audit et inspection

    1. Le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 et dans les présentes Clauses, et permettre et contribuer aux audits, y compris aux inspections, réalisés par le responsable du traitement ou par un autre auditeur mandaté par le responsable du traitement.

    2. Les procédures applicables aux audits, y compris aux inspections, réalisés par le responsable du traitement sur le sous-traitant et les sous-traitants sont spécifiées dans les annexes C.7.

    3. Le sous-traitant doit fournir aux autorités de contrôle, qui en vertu de la législation applicable ont accès aux installations du responsable du traitement et du sous-traitant, ou aux représentants agissant pour le compte de ces autorités de contrôle, l’accès aux installations physiques du sous-traitant sur présentation d’une identification appropriée.


    12. Accord des parties sur d’autres conditions

    1. Les parties peuvent convenir d’autres clauses concernant la fourniture du service de traitement de données personnelles précisant, par exemple, la responsabilité, tant qu’elles ne contredisent pas directement ou indirectement les présentes Clauses et ne portent pas atteinte aux droits ou libertés fondamentaux de la personne concernée ni à la protection offerte par le RGPD.


    13. Entrée en vigueur et résiliation

    1. Les Clauses entrent en vigueur à la date de signature par les deux parties.

    2. Les deux parties ont le droit d’exiger une renégociation des Clauses si des modifications législatives ou l’inopportunité des Clauses justifient une telle renégociation.

    3. Les Clauses s’appliquent pendant la durée du… 3. Les Clauses s’appliquent pendant la durée de la prestation des services de traitement de données personnelles. Pendant cette période, les Clauses ne peuvent pas être résiliées sauf si d’autres Clauses régissant la prestation des services de traitement de données personnelles ont été convenues entre les parties.

    4. Si la prestation des services de traitement de données personnelles prend fin, et que les données personnelles sont supprimées ou restituées au responsable du traitement conformément à la Clause 11.1. et à l’Annexe C.4., les Clauses peuvent être résiliées par notification écrite de l’une ou l’autre des parties.

    5. Signature

    Pour le compte du responsable du traitement

    Nom                

    Fonction        

    Date                

    Signature        

    Pour le compte du sous-traitant

    Nom                Firas El Bizri

    Fonction        Fondateur et associé gérant

    Date                

    Signature        

    14. Contacts/points de contact du responsable du traitement et du sous-traitant

    1. Les parties peuvent communiquer entre elles en utilisant les contacts/points de contact suivants :

    2. Les parties ont l’obligation de s’informer en permanence des modifications apportées aux contacts/points de contact.

    Nom                

    Fonction        

    Téléphone        

    E-mail        

    Nom            Firas El Bizri

    Fonction         Fondateur et associé

    Téléphone     +45 28282808

    E-mail        firas@parent.app

     

    Annexe A        

    Informations concernant le traitement des données personnelles des utilisateurs (enfants)

    A.1. L’objectif du traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement est :

    D’aider le responsable du traitement, via l’application Parent, à :

    • Enfants : Nom, date de naissance, allergies, dossiers médicaux, dossiers d’apprentissage, rapports d’incidents/« Ouch ».
    • Parents : Coordonnées, facturation, consentements.
    • Personnel : Nom, emploi du temps, qualifications, présence.
    • Appareil & utilisation : Adresse IP, navigateur, journaux de plantage.
    • Données issues des cookies et de l’analytique.
    • Contenu généré par IA (résumés optionnels utilisant le prénom de l’enfant).
    • Le consentement est requis pour le traitement des données des enfants en vertu du RGPD et de la COPPA (moins de 13 ans, États-Unis).
    • Suivi des ratios personnel-enfants
    • Dépôt de rapports d’incidents
    • Création de listes personnalisables (p. ex. enfants ayant des allergies)
    • Rapports en temps réel (création d’enregistrements sur les heures de sommeil, repas, visites aux toilettes, etc.)
    • Planification des activités
    • Ajout de séances ou de produits à l’enfant individuel
    • Rapports de journées d’absence
    • Messagerie instantanée entre administrateurs/enseignants et parents
    • Création de galeries multimédia
    • Flux quotidien d’activités
    • Création de listes de santé
    • Enregistrement de la présence
    • Création de listes de contacts

    A.2. Le traitement comprend les types de données personnelles suivants concernant les personnes concernées :

    • Photo de profil
    • Dates de naissance
    • Photos de situations
    • Vidéos
    • Numéros de sécurité sociale
    • Coordonnées (le cas échéant)
    • Informations de santé

    A.3. Le traitement comprend les catégories suivantes de personnes concernées :

    • Enfants faisant partie de la structure de garde du responsable du traitement

    A.4. Le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement peut être effectué dès l’entrée en vigueur des Clauses. Le traitement a la durée suivante :

    Le traitement se poursuit jusqu’à

    • Ce que l’utilisateur (les parents) demande la suppression de son profil
     • Ce que le responsable du traitement ferme son compte
     • Ce que le responsable du traitement demande la suppression d’un profil



    Informations concernant le traitement des données personnelles des utilisateurs (parents)

    A.1. L’objectif du traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement est :

    D’aider le responsable du traitement, via l’application Parent, à :

    • Gérer les autorisations parentales
    • Gestion des documents
    • Messagerie instantanée
    • Facturation et établissement de factures
    • Accès multi-niveaux
    • Aimer et commenter
    • Rapports de journées d’absence
    • Vue d’ensemble des paiements
    • Rappels de paiement
    • Permissions & consentements
    • Listes de contacts

    A.2. Le traitement comprend les types de données personnelles suivants concernant les personnes concernées :

    • Nom
    • Nom d’utilisateur
    • Adresse
    • E-mail
    • Numéro de téléphone

    A.3. Le traitement comprend les catégories suivantes de personnes concernées :

    • Parents (ou tuteurs légaux) des enfants faisant partie de la structure de garde du responsable du traitement

    A.4. Le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement peut être effectué dès l’entrée en vigueur des Clauses. Le traitement a la durée suivante :

    Le traitement se poursuit jusqu’à

    • Ce que l’utilisateur (les parents) demande la suppression de son profil
    • Ce que le responsable du traitement ferme son compte
    • Ce que le responsable du traitement demande la suppression d’un profil

    Informations concernant le traitement des données personnelles des utilisateurs (employés du responsable du traitement)

    A.1. L’objectif du traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement est :

    D’aider le responsable du traitement, via l’application Parent, à :

    • Suivre la présence du personnel
    • Surveiller les ratios personnel-enfants
    • Gestion des documents
    • Planification des activités
    • Messagerie instantanée
    • Création de galeries multimédia
    • Flux quotidien d’activités
    • Listes de contacts

    A.2. Le traitement comprend les types de données personnelles suivants concernant les personnes concernées :

    • Nom
    • Nom d’utilisateur
    • E-mail
    • Photo de profil
    • Photos de situations

    A.3. Le traitement comprend les catégories suivantes de personnes concernées :

    • Employés du responsable du traitement

    A.4. Le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement peut être effectué dès l’entrée en vigueur des Clauses. Le traitement a la durée suivante :

    Le traitement se poursuit jusqu’à
    • Ce que le responsable du traitement ferme son compte
    • Ce que le responsable du traitement demande la suppression du profil d’un membre du personnel


    Annexe B  Sous-traitants autorisés

    B.1. Sous-traitants approuvés

    Dès l’entrée en vigueur des Clauses, le responsable du traitement autorise le recours aux sous-traitants suivants :

    Sous-traitant

    Lieu

    Finalité

    Mécanisme de transfert

    Amazon Web Services (AWS)

    Francfort, Allemagne

    Infrastructure d’hébergement

    Basé dans l’UE

    Microsoft Azure

    Irlande (UE)

    Infrastructure d’hébergement

    Basé dans l’UE

    Intercom R&D Unlimited Company

    Irlande (UE)

    Support et chat intégrés à l’application

    Hébergé dans l’UE

    HubSpot Ireland Ltd.

    Irlande (UE)

    CRM et marketing

    Hébergé dans l’UE

    OpenAI

    États-Unis

    Contenu généré par IA (ParentPilot)

    Certifié DPF UE–US

    Instabug

    États-Unis

    Rapports de bugs/incidents

    SCCs

    Firebase (Google LLC)

    Global

    Notifications push

    SCCs

    Twilio

    États-Unis

    Livraison SMS (inscription, réinitialisation de mot de passe)

    Certifié DPF UE–US

    WhatsApp (Meta Platforms)

    Global (configuré par le responsable du traitement)

    Messagerie facultative entre personnel et parents

    DPF/SCCs

    Gmail / Outlook (Google/Microsoft)

    Global (configuré par le responsable du traitement)

    Canal e-mail facultatif

    DPF/SCCs

    WebinarGeek

    UE

    Webinaires & événements marketing

    Basé dans l’UE

    Zoho Books / QuickBooks (Intuit)

    Global (optionnel, configuration par le responsable du traitement)

    Intégrations comptables facultatives

    DPF/SCCs

    Le responsable du traitement doit, dès l’entrée en vigueur des Clauses, autoriser l’utilisation des sous-traitants mentionnés ci-dessus pour le traitement décrit pour cette partie. Le sous-traitant n’a pas le droit – sans l’autorisation écrite explicite du responsable du traitement – de faire appel à un sous-traitant pour un traitement « différent » de celui qui a été convenu ou de confier à un autre sous-traitant l’exécution du traitement décrit.

    Annexe C        

    Instructions relatives à l’utilisation des données personnelles

    C.1. Objet/instruction du traitement

    Le traitement de données personnelles par le sous-traitant pour le compte du responsable du traitement doit être effectué par le sous-traitant en réalisant les opérations suivantes :

    • Fournir au responsable du traitement une plateforme de gestion de garde d’enfants

    C.2. Sécurité du traitement

    Le niveau de sécurité doit prendre en compte :

    Que le traitement implique un volume important de données personnelles concernant des enfants. Que le traitement implique un volume réduit de données personnelles d’enfants relevant de l’article 9 du RGPD sur les « catégories particulières de données personnelles », ce qui justifie la mise en place d’un niveau de sécurité « élevé ».

    Le sous-traitant est dès lors habilité et tenu de prendre des décisions concernant les mesures de sécurité techniques et organisationnelles à appliquer afin de garantir le niveau de sécurité des données nécessaire (et convenu).    

    Le sous-traitant doit cependant – en toute circonstance et au minimum – mettre en œuvre les mesures suivantes qui ont été convenues avec le responsable du traitement : 

    • Les employés du sous-traitant disposent d’un accès très restreint aux données personnelles de telle sorte que toutes les données personnelles du système sont anonymisées et que les employés ne peuvent identifier aucun sujet.
    • L’équipe de support
    • Les employés du sous-traitant sont soumis à une stricte clause de confidentialité.  
    • Tous les employés utilisent l’authentification à deux facteurs sur leurs téléphones et ordinateurs.
    • Maintenir un haut niveau de sécurité pour les données des enfants et les catégories particulières de l’article 9 du RGPD.
    • Comprend TLS 1.3, RBAC, sauvegardes, tests de pénétration, anonymisation et confidentialité du personnel.
    • Le responsable du traitement évalue en continu les mesures techniques de sécurité et chaque année le responsable du traitement évalue le niveau de sécurité général avec un conseiller externe.  
    • Toutes les données sont stockées sur Amazon Web Services à Francfort. Pour une description du processus de sécurité d’AWS, voir le document joint « Amazon Web Services, Overview of Security Processes » à l’Annexe D.
    • Les rapports d’incidents/« Ouch », allergies et données médicales relèvent des catégories particulières de l’article 9 du RGPD ; de telles données nécessitent en permanence un niveau de sécurité « élevé ».
    • Le sous-traitant n’autorise pas le télétravail/domicile.
    • Toute activité dans le système est journalisée.

    C.3. Assistance au responsable du traitement

    Le sous-traitant doit, dans la mesure du possible – dans le cadre et la portée de l’assistance spécifiée ci-dessous – aider le responsable du traitement conformément aux Clauses 9.1. et 9.2. en mettant en œuvre les mesures techniques et organisationnelles suivantes :

    • Le responsable du traitement peut facilement et rapidement générer une liste de toutes les données traitées dans le système concernant une seule personne concernée.
    • Le système Parent dispose d’une fonctionnalité appelée « Activer les fonctionnalités RGPD ». Le responsable du traitement peut ajouter une période après le départ d’un enfant de l’institution, après laquelle toutes les données personnelles sont automatiquement supprimées. Les parents reçoivent une notification lorsque les données sont supprimées.
    • Les centres peuvent configurer la conservation spécifique aux modules via les paramètres de conservation et de conformité des données.
    • Le responsable du traitement peut contacter le support du sous-traitant pour toute assistance supplémentaire à tout moment. Le support répond immédiatement à toutes les demandes durant les heures d’ouverture hebdomadaires (8h00 – 16h15).
    • Les équipes de support n’ont pas accès aux données personnelles des personnes concernées. Toutes les données sont anonymisées et l’équipe de support ne peut pas identifier les personnes concernées.

    C.4. Durée de conservation / procédures d’effacement

    Les données personnelles sont conservées pendant la période choisie par le responsable du traitement, après quoi les données personnelles sont automatiquement effacées par le sous-traitant cf. C.3.

    À la cessation de la prestation des services de traitement de données personnelles, le sous-traitant doit soit supprimer, soit restituer les données personnelles conformément à...

    Clause 11.1., sauf si le responsable du traitement – après la signature du contrat – a modifié son choix initial. Une telle modification doit être documentée et conservée par écrit, y compris sous forme électronique, en lien avec les présentes Clauses.

    • Reflète les périodes de conservation spécifiques aux modules.
    • Les « rapports Ouch » sont exclus de la suppression automatique.

    C.5. Lieu du traitement

    Le traitement des données personnelles dans le cadre des présentes Clauses ne peut pas être effectué à d’autres emplacements que ceux indiqués ci-dessous sans l’autorisation écrite préalable du responsable du traitement :

    • Francfort  

    C.6. Instruction relative au transfert de données personnelles vers des pays tiers

    Le responsable du traitement accepte que le sous-traitant transfère des données personnelles à Intercom R&D Unlimited Company, enregistrée en Irlande à l’adresse 2ème étage, Stephen Court, 18-21 Saint Stephen’s Green, Dublin, et que R&D Unlimited Company transfère les données en dehors de l’EEE à Intercom Inc. sous mandat du sous-traitant. Intercom Inc. est située à San Francisco, CA 94105, États-Unis.

    Intercom R&D Unlimited Company et Intercom Inc. ont conclu des Clauses Contractuelles Types (SCC) pour les transferts de données entre pays de l’UE et pays tiers.

    Le sous-traitant a réalisé une Évaluation d’Impact sur le Transfert (TIA) concernant Intercom Inc. et a conclu que l’article 46 du Règlement 2016/679 (RGPD) est respecté.

    Les transferts reposent sur les SCC, les décisions d’adéquation et le cadre de protection des données UE–US (DPF), le cas échéant.

    C.7. Procédures relatives aux audits du responsable du traitement, y compris inspections, du traitement des données personnelles effectué par le sous-traitant

    Le responsable du traitement ou son représentant peut, une fois par an, effectuer une inspection physique des lieux où le traitement des données personnelles est réalisé par le sous-traitant, y compris des installations physiques ainsi que des systèmes utilisés pour et liés au traitement, afin de vérifier la conformité du sous-traitant au RGPD, aux dispositions applicables de l’UE ou de l’État membre en matière de protection des données et aux présentes Clauses. Une telle inspection doit être notifiée dans un délai de 60 jours.

    En plus de l’inspection planifiée, le responsable du traitement peut effectuer une inspection du sous-traitant lorsqu’il l’estime nécessaire.

    Les frais éventuels du responsable du traitement liés à l’inspection physique sont à sa charge. Le sous-traitant est toutefois tenu de réserver les ressources (principalement du temps) nécessaires pour permettre au responsable du traitement de réaliser l’inspection.

    Annexe D – Aperçus de la sécurité de l’hébergement et du stockage (Azure & AWS)  

    Le Sous-traitant utilise Microsoft Azure (Irlande) comme principal fournisseur d’hébergement et Amazon Web Services (AWS, Francfort) pour les services de stockage. Les deux fournisseurs disposent de certifications et de garanties conformes aux normes industrielles, conçues pour assurer la conformité avec le RGPD et les cadres de sécurité internationaux.

    1. Microsoft Azure – Hébergement (Irlande)

    • Fournisseur d’hébergement principal de la plateforme Parent.
    • Centre de données européen situé en Irlande.
    Certifications de sécurité et conformité :
    ○ ISO/IEC 27001, 27017, 27018 (sécurité de l’information, sécurité du cloud et protection des données personnelles dans le cloud).
    ○ SOC 1, SOC 2, SOC 3.
    ○ Conformité RGPD et protection des données de l’UE.
    ○ Certification CSA STAR.

    Mesures techniques :
    ○ Chiffrement des données au repos et en transit (TLS 1.2+ / TLS 1.3).
    ○ Contrôle d’accès basé sur les rôles (RBAC).
    ○ Détection intégrée des menaces, journalisation et surveillance.
    ○ Sauvegardes géo-redondantes et mesures de reprise après sinistre.

    2. Amazon Web Services (AWS) – Stockage (Francfort)

    • Utilisé uniquement pour le stockage sécurisé des données (pas pour l’hébergement).
    • Centre de données européen situé à Francfort, Allemagne.
    Certifications de sécurité et conformité :
    ○ ISO/IEC 27001, 27017, 27018.
    ○ SOC 1, SOC 2, SOC 3.
    ○ Conformité RGPD et protection des données de l’UE.

    Mesures techniques :
    ○ Chiffrement des données au repos via AES-256.
    ○ Chiffrement TLS 1.2+ pour les données en transit.
    ○ Contrôle d’accès granulaire via les politiques AWS IAM.
    ○ Surveillance, journalisation et audit continus.
    ○ Haute disponibilité et redondance.

    3. Responsabilités du Sous-traitant

    • Le Sous-traitant s’assure que Microsoft Azure et AWS sont configurés conformément au RGPD et aux mesures techniques et organisationnelles décrites dans l’Annexe C.
    • Le Sous-traitant révise et audite régulièrement les certifications de sécurité de Microsoft Azure et AWS.
    • Tout changement de fournisseur d’hébergement ou de stockage sera communiqué au Responsable du traitement à l’avance, conformément à la Clause 7 du présent Accord.