Contrat de sous-traitance des données personnelles

Version 1.2 — Juin 2026

Le présent contrat est conclu entre :

conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD).

1. Objet

Rosocat traite des données personnelles pour le compte du Cabinet dans le cadre de la fourniture de la plateforme de gestion de cabinet d'avocats. Le présent contrat définit les obligations de chaque partie en matière de protection des données.

2. Données traitées

Catégorie Données Protection
Identité des clients Nom, prénom, raison sociale, nationalité Isolation par cabinet (RLS), accès restreint
Coordonnées des clients Email, téléphone, adresse Isolation par cabinet (RLS), accès restreint
Données de dossier Notes internes, stratégie juridique, notes de clôture Cryptage AES-256-GCM
Documents Fichiers téléversés et créés Cryptage AES-256-GCM
Données d'accueil Motif de consultation, notes d'accueil, fiches d'accueil Cryptage AES-256-GCM
Métadonnées de dossier Référence, domaine, statut, délais, montants Isolation par cabinet (RLS), accès restreint
Facturation Conventions, paiements, frais, consultations Isolation par cabinet (RLS), accès restreint
Registre d'activité Actions effectuées par les utilisateurs Isolation par cabinet, conservation 10 ans

3. Données opérationnelles de la plateforme

En tant qu'éditeur de la plateforme, Rosocat accède aux données suivantes dans le cadre de la gestion de la relation commerciale et de l'exploitation du service. Ces données ne relèvent pas du secret professionnel :

Catégorie Données Finalité
Identification du Cabinet Raison sociale, SIRET, barreau, adresse, téléphone, email Exécution du contrat, facturation, assistance
Utilisateurs du Cabinet Nom, prénom, email, rôle, date de dernière connexion Gestion du service, sécurité, assistance technique
Métriques d'utilisation Nombre de dossiers, clients, documents, échéances (compteurs agrégés uniquement — aucun contenu) Surveillance de la qualité du service, dimensionnement, facturation par palier
Acceptation du DPA Date et version acceptée Preuve de conformité contractuelle
Erreurs techniques Messages d'erreur du navigateur, URL, agent utilisateur Maintenance et correction de bugs

Important : Rosocat n'accède à aucun moment au contenu des dossiers, notes, documents, informations personnelles des clients du Cabinet, ni aux données couvertes par le secret professionnel. Ces données sont protégées par le cryptage AES-256-GCM et l'isolation au niveau de la base de données (RLS). Seul le Cabinet dispose des clés d'accès via son authentification.

4. Finalité du traitement des données clients

Rosocat traite les données personnelles des clients du Cabinet uniquement pour :

Rosocat ne traite jamais les données du Cabinet à des fins d'analyse, de profilage, de publicité ou toute autre finalité non prévue par le présent contrat.

5. Obligations de Rosocat

6. Obligations du Cabinet

7. Mesures de sécurité

Rosocat met en place les mesures suivantes :

8. Sous-traitants ultérieurs

Rosocat fait appel aux sous-traitants suivants :

Sous-traitant Rôle Localisation
OVH Hébergement du serveur applicatif France
Supabase Base de données PostgreSQL Europe (Francfort)
Cloudflare Stockage de fichiers (R2) Europe
Stripe Traitement des paiements Europe

En cas d'ajout ou de changement de sous-traitant, Rosocat en informera le Cabinet avec un préavis suffisant pour permettre au Cabinet de s'y opposer.

9. Durées de conservation

Catégorie Durée Base légale
Dossiers clients actifs Durée du mandat + 5 ans Responsabilité professionnelle
Dossiers clôturés 10 ans Code civil art. 2224
Registre d'activité 10 ans RGPD art. 17(3)(b)
Données de facturation 10 ans Code de commerce L.123-22
Logs de connexion 1 an Recommandation CNIL

10. Notification de violation de données

En cas de violation de données personnelles, Rosocat notifiera le Cabinet dans un délai de 24 heures suivant la découverte de l'incident. Cette notification comprendra :

Cette notification permettra au Cabinet de respecter son obligation de déclaration à la CNIL dans un délai de 72 heures (RGPD art. 33).

11. Droit d'effacement et portabilité

Rosocat fournit les fonctionnalités suivantes :

12. Durée et résiliation

Le présent contrat entre en vigueur à la création du compte sur Rosocat et reste en vigueur tant que le Cabinet utilise la plateforme. En cas de résiliation, Rosocat supprimera ou restituera l'ensemble des données dans un délai de 30 jours, au choix du Cabinet.

13. Droit applicable

Le présent contrat est régi par le droit français. Tout litige sera soumis aux tribunaux compétents de Paris.

14. Contact

Pour toute question relative au présent contrat : hello@rosocat.fr