Data Processing Agreement (DPA) & Business Associate Agreement (BAA)
Dernière mise à jour : Mai 2026
1. Introduction
Ce Data Processing Agreement (« DPA ») est conclu entre GALIMED (« Processeur de données ») opéré par Groupe Business Thérapie, et le Client (« Responsable de traitement »), ci-après dénommés collectivement les « Parties ».
2. Objet du traitement
Le Processeur traite les données personnelles de santé pour le compte du Responsable de traitement dans le cadre de la fourniture des services GALIMED (analyse de symptômes par IA, gestion de prescriptions, téléconsultation).
3. Catégories de données traitées
- Données d'identification (email, nom)
- Données de santé (symptômes, diagnostics IA, prescriptions)
- Données de connexion (logs, adresses IP)
- Données de facturation (traitées par Stripe/PayPal)
4. Sous-traitants
| Sous-traitant | Finalité | Localisation |
|---|
| Microsoft Azure | Hébergement, Cosmos DB, App Service | France / USA |
| OpenAI | Analyse IA de symptômes | USA |
| Stripe | Paiements | USA / UE |
| PayPal | Paiements | USA / UE |
5. Mesures de sécurité
- Chiffrement en transit (TLS 1.2+) et au repos (Azure Storage Encryption)
- Authentification JWT avec secrets en Azure Key Vault
- Rate limiting et protection contre les attaques par force brute
- Journalisation structurée avec corrélation des requêtes
- Sauvegardes automatiques Cosmos DB (continu, 30 jours)
- Monitoring via Azure Application Insights
6. HIPAA Business Associate Agreement (BAA)
Pour les clients opérant aux États-Unis et traitant des Protected Health Information (PHI) au sens du Health Insurance Portability and Accountability Act (HIPAA) :
- GALIMED s'engage à protéger les PHI conformément aux exigences HIPAA Security Rule et Privacy Rule.
- Les données sont hébergées sur Azure (couvert par le BAA Microsoft).
- En cas de violation de données (breach), notification sous 72h (RGPD) / 60 jours (HIPAA).
- Accès restreint aux données de santé selon le principe du moindre privilège.
7. Durée et résiliation
Ce DPA est en vigueur tant que le Processeur traite des données personnelles pour le compte du Responsable. À la résiliation, les données sont supprimées sous 30 jours sauf obligation légale de conservation.
8. RTO / RPO
- RTO (Recovery Time Objective) : 4 heures (Azure App Service avec déploiement multi-zone)
- RPO (Recovery Point Objective) : 5 minutes (sauvegarde continue Cosmos DB)
9. Contact
DPO / Support : contact@groupe-businesstherapie.net