Accord de Sous-traitance des Donnees Personnelles (DPA)
Version 1.0 — Derniere mise a jour : 25 fevrier 2026
Accord de sous-traitance au sens de l'article 28 du Reglement (UE) 2016/679 (RGPD)
Preambule
Le present accord est conclu entre :
- Le Coach, personne physique ou morale inscrite sur la plateforme FitLog en qualite de coach, agissant en tant que Responsable de Traitement (ci-apres « le Responsable ») ;
- FitLog SAS, societe par actions simplifiee, siege social sis 1 rue du Prout, 16000 Angouleme, immatriculee sous le SIRET 4444, representee par Sebastien Espagnol, agissant en tant que Sous-traitant (ci-apres « le Sous-traitant »).
Le present DPA fait partie integrante des Conditions Generales d'Utilisation Coach et s'applique des l'acceptation desdites CGU.
Article 1 — Objet du traitement
Le Sous-traitant traite des donnees personnelles pour le compte du Responsable dans le cadre de la fourniture des Services de la plateforme FitLog. Le traitement consiste en :
| Element | Description |
|---|---|
| Finalite | Fourniture d'un outil SaaS de gestion de coaching sportif et nutritionnel permettant le suivi des clients du Responsable |
| Nature du traitement | Collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication par transmission, effacement |
| Duree | Duree de la relation contractuelle entre le Responsable et le Sous-traitant, telle que definie dans les CGU |
| Personnes concernees | Les Clients du Coach (personnes physiques suivies dans le cadre du coaching) |
Article 2 — Categories de donnees traitees
2.1 Donnees d'identification
- Nom, prenom, adresse email
- Photo de profil (optionnelle)
- Date de naissance, sexe
2.2 Donnees de sante (Article 9 RGPD — categorie speciale)
Ces donnees sont soumises a des protections renforcees et ne sont traitees que sur la base du consentement explicite recueilli par le Responsable.
- Poids, taille, mensurations corporelles, taux de masse grasse, IMC
- Check-ins de sante : humeur, niveau d'energie, qualite du sommeil, digestion (echelle de Bristol), hydratation
- Donnees medicales optionnelles : frequence cardiaque au repos, tension arterielle, glycemie
- Cycle menstruel : phase, flux, symptomes (si configure par le Coach)
- Photos corporelles (postures, progression)
- Alertes sante : troubles du comportement alimentaire (TCA), syndrome de l'intestin irritable (SII)
- Plans nutritionnels : macronutriments, repas, calories
- Bilans periodiques : analyses, feedback, notes vocales
2.3 Donnees d'activite
- Seances d'entrainement : exercices, series, repetitions, charges
- Activites sportives libres
- Messages echanges entre le Coach et le Client
Article 3 — Obligations du Sous-traitant
Conformement a l'article 28 du RGPD, le Sous-traitant s'engage a :
3.1 Instructions documentees
Ne traiter les donnees personnelles que sur instruction documentee du Responsable, y compris en ce qui concerne les transferts de donnees vers un pays tiers. Les presentes CGU et le present DPA constituent les instructions du Responsable. Toute instruction supplementaire doit etre formulee par ecrit.
3.2 Confidentialite
Veiller a ce que les personnes autorisees a traiter les donnees personnelles s'engagent a respecter la confidentialite ou soient soumises a une obligation legale appropriee de confidentialite.
3.3 Securite du traitement (Article 32 RGPD)
Mettre en oeuvre les mesures techniques et organisationnelles appropriees afin de garantir un niveau de securite adapte au risque, incluant notamment :
- Hebergement HDS : infrastructure certifiee Hebergeur de Donnees de Sante (Scalingo SAS, France, region osc-fr1)
- Chiffrement en transit : TLS 1.2+ (HTTPS force, HSTS)
- Chiffrement au repos : chiffrement des volumes de donnees par l'hebergeur
- Controle d'acces : authentification multi-facteurs disponible (Clerk), separation stricte des donnees par coach (multi-tenant), protection IDOR
- Audit trail : journalisation complete des acces aux donnees de sante (acteur, action, date, adresse IP), conservation 5 ans
- Protection applicative : rate limiting, validation des entrees (Zod), Content Security Policy (CSP), cookies securises
- Sauvegardes : sauvegardes regulieres gerees par l'hebergeur
3.4 Sous-traitance ulterieure
Le Sous-traitant est autorise a recourir aux sous-traitants ulterieurs listes en Annexe A du present DPA. Le Sous-traitant impose a chaque sous-traitant ulterieur, par voie contractuelle, les memes obligations de protection des donnees que celles prevues au present DPA.
En cas d'ajout ou de remplacement d'un sous-traitant ulterieur, le Sous-traitant en informe le Responsable au moins trente (30) jours avant le changement. Le Responsable dispose de ce delai pour emettre des objections motivees. En cas d'objection non resolue, le Responsable peut resilier les CGU sans frais.
3.5 Droits des personnes concernees
Aider le Responsable, dans la mesure du possible et par des mesures techniques et organisationnelles appropriees, a s'acquitter de son obligation de donner suite aux demandes d'exercice de droits des personnes concernees (acces, rectification, effacement, portabilite, limitation, opposition).
La Plateforme met a disposition des fonctionnalites permettant :
- L'export de donnees au format JSON (droit a la portabilite) ;
- La suppression de compte avec delai de grace de 30 jours (droit a l'effacement) ;
- La modification des informations personnelles (droit de rectification).
3.6 Notification de violation
En cas de violation de donnees personnelles (article 33 RGPD), le Sous-traitant notifie le Responsable dans les meilleurs delais et au plus tard quarante-huit (48) heures apres en avoir pris connaissance. Cette notification comprend :
- La nature de la violation ;
- Les categories et le nombre approximatif de personnes concernees ;
- Les consequences probables de la violation ;
- Les mesures prises ou proposees pour y remedier.
Le Sous-traitant coopere avec le Responsable pour la notification a l'autorite de controle (CNIL) et, le cas echeant, aux personnes concernees.
3.7 Analyse d'impact (DPIA)
Le Sous-traitant aide le Responsable a realiser, lorsqu'elle est requise, une analyse d'impact relative a la protection des donnees (article 35 RGPD), en fournissant les informations necessaires sur les mesures de securite mises en oeuvre.
3.8 Sort des donnees en fin de contrat
A l'expiration ou la resiliation des CGU, le Sous-traitant :
- Met a disposition du Responsable la fonctionnalite d'export de donnees pendant la duree du delai de grace (30 jours) ;
- A l'issue du delai de grace, supprime l'ensemble des donnees personnelles traitees pour le compte du Responsable, sauf obligation legale de conservation (audit trail HDS : 5 ans) ;
- Confirme par ecrit la suppression effective des donnees si le Responsable en fait la demande.
A la fin de la relation contractuelle, les donnees personnelles traitees pour le compte du Coach sont supprimees, a l'exception exclusive :
- des journaux de tracabilite requis par la reglementation HDS, conserves pour une duree maximale de cinq (5) ans ;
- des donnees conservees a la demande directe et independante des Clients dans leur propre espace utilisateur.
Les photos de progression des Clients sont supprimees de maniere definitive des la suppression du Compte du Coach ou apres vingt-quatre (24) mois d'inactivite du Client sur la Plateforme.
Article 4 — Obligations du Responsable (Coach)
Le Responsable s'engage a :
- Recueillir le consentement explicite de ses Clients pour le traitement de leurs Donnees de Sante, prealablement a toute saisie sur la Plateforme ;
- Informer ses Clients de l'existence du present DPA et de la Politique de Confidentialite de la Plateforme ;
- Ne collecter que les donnees strictement necessaires aux finalites de coaching (principe de minimisation) ;
- Repondre aux demandes d'exercice de droits de ses Clients dans les delais legaux (un mois, article 12.3 du RGPD) ;
- Notifier le Sous-traitant de toute instruction particuliere relative au traitement des donnees ;
- Documenter la conformite de ses traitements (registre des activites de traitement, article 30 du RGPD).
Article 5 — Transferts internationaux de donnees
Les donnees personnelles sont principalement hebergees en France (Scalingo, region osc-fr1). Certains sous-traitants ulterieurs sont situes aux Etats-Unis (cf. Annexe A).
Pour les transferts vers les Etats-Unis, les garanties suivantes sont mises en place :
- Clauses Contractuelles Types (CCT) adoptees par la Commission europeenne (decision d'execution 2021/914) ;
- EU-US Data Privacy Framework lorsque le sous-traitant est certifie ;
- Evaluation d'impact des transferts (TIA) realisee pour chaque sous-traitant americain.
Note : les Donnees de Sante (article 9 RGPD) sont hebergees exclusivement sur l'infrastructure HDS en France (Scalingo). Seules les donnees d'authentification (Clerk) et de paiement (Stripe) transitent vers les Etats-Unis.
Article 6 — Droit d'audit
Le Sous-traitant s'engage a repondre a toute demande d'information ecrite du Responsable concernant le respect du RGPD. Le droit d'audit s'exerce exclusivement par l'envoi de documents (certifications HDS, rapports de securite). Tout audit « sur site » est exclu.
Si le Responsable exige un audit par un tiers independant, cet audit sera a la charge exclusive du Responsable. Si l'audit ne revele aucun manquement majeur du Sous-traitant, le Responsable s'engage a dedommager le Sous-traitant pour le temps humain passe a la realisation de cet audit sur la base d'un tarif de 100 EUR HT / heure.
Le droit d'audit ne peut en aucun cas etre exerce de maniere repetee, abusive ou de nature a perturber l'activite normale du Sous-traitant.
Article 7 — Duree
Le present DPA entre en vigueur a la date d'acceptation des CGU par le Responsable et reste en vigueur pendant toute la duree de la relation contractuelle. Les obligations de confidentialite et de securite survivent a la resiliation du present DPA.
Annexe A — Liste des sous-traitants ulterieurs
Liste des sous-traitants autorises au 25 fevrier 2026 :
| Sous-traitant | Finalite | Localisation | Garanties |
|---|---|---|---|
| Scalingo SAS | Hebergement application, base de donnees PostgreSQL, sauvegardes | France (osc-fr1) | Certification HDS |
| Clerk Inc. | Authentification utilisateur, gestion des sessions | USA | CCT + DPF |
| Stripe Inc. | Traitement des paiements, facturation | USA | CCT + DPF + PCI DSS |
| Cloudflare Inc. (R2) | Stockage de fichiers (photos, videos, audio) | UE | Donnees stockees en UE |
| Pusher Ltd. | Messagerie en temps reel (transit uniquement, pas de stockage) | UE (cluster eu) | Donnees en transit uniquement |
| Resend Inc. | Envoi d'emails transactionnels | USA | CCT |
Annexe B — Mesures de securite techniques et organisationnelles
B.1 Mesures de chiffrement
| Mesure | Detail |
|---|---|
| Chiffrement en transit | TLS 1.2+ obligatoire, HTTPS force, HSTS |
| Chiffrement au repos | Volumes chiffres par l'hebergeur (Scalingo) |
B.2 Controle d'acces
| Mesure | Detail |
|---|---|
| Authentification | Clerk (MFA disponible), sessions JWT securisees |
| Separation multi-tenant | Chaque Coach n'accede qu'a ses propres Clients (protection IDOR systematique) |
| Roles utilisateur | Coach, Client, Admin — acces differencies |
B.3 Integrite et disponibilite
| Mesure | Detail |
|---|---|
| Sauvegardes | Automatiques par Scalingo (quotidiennes) |
| Validation des entrees | Schemas Zod sur toutes les mutations |
| Rate limiting | Sur toutes les operations d'ecriture |
| CSP | Content Security Policy avec nonces |
B.4 Tracabilite
| Mesure | Detail |
|---|---|
| Audit trail sante | Journalisation de chaque acces aux donnees de sante : acteur, action, date, IP. Conservation 5 ans (obligation HDS). |
| Logs applicatifs | Sanitisation des logs (pas de donnees personnelles dans les logs d'erreur) |
Contact
Pour toute question relative au present DPA : dpo@fitlogsas.com