Contrat de sous-traitance des données personnelles
Version 1.0 — Juin 2026
Le présent contrat est conclu entre :
- Le responsable de traitement : le cabinet d'avocats inscrit sur la plateforme Rosocat (ci-après "le Cabinet")
- Le sous-traitant : Rosocat, édité par Emmanuel Adeniyi, entrepreneur individuel (ci-après "Rosocat")
conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD).
1. Objet
Rosocat traite des données personnelles pour le compte du Cabinet dans le cadre de la fourniture de la plateforme de gestion de cabinet d'avocats. Le présent contrat définit les obligations de chaque partie en matière de protection des données.
2. Données traitées
| Catégorie | Données | Protection |
|---|---|---|
| Identité des clients | Nom, prénom, raison sociale, nationalité | Isolation par cabinet (RLS), accès restreint |
| Coordonnées des clients | Email, téléphone, adresse | Isolation par cabinet (RLS), accès restreint |
| Données de dossier | Notes internes, stratégie juridique, notes de clôture | Cryptage AES-256-GCM |
| Documents | Fichiers téléversés et créés | Cryptage AES-256-GCM |
| Données d'accueil | Motif de consultation, notes d'accueil, fiches d'accueil | Cryptage AES-256-GCM |
| Métadonnées de dossier | Référence, domaine, statut, délais, montants | Isolation par cabinet (RLS), accès restreint |
| Facturation | Conventions, paiements, frais, consultations | Isolation par cabinet (RLS), accès restreint |
| Registre d'activité | Actions effectuées par les utilisateurs | Isolation par cabinet, conservation 10 ans |
3. Finalité du traitement
Rosocat traite les données uniquement pour :
- Fournir et maintenir la plateforme de gestion de cabinet
- Assurer la sécurité et la disponibilité du service
- Répondre aux demandes d'assistance technique du Cabinet
Rosocat ne traite jamais les données du Cabinet à des fins d'analyse, de profilage, de publicité ou toute autre finalité non prévue par le présent contrat.
4. Obligations de Rosocat
- Traiter les données uniquement sur instruction du Cabinet
- Garantir la confidentialité des données traitées
- Mettre en place les mesures techniques et organisationnelles appropriées (voir section 6)
- Assister le Cabinet pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité)
- Notifier le Cabinet dans un délai de 24 heures en cas de violation de données
- Supprimer ou restituer les données à la fin du contrat, au choix du Cabinet
- Ne pas sous-traiter le traitement sans l'accord préalable du Cabinet (voir section 7)
5. Obligations du Cabinet
- S'assurer que le traitement des données via Rosocat est conforme au RGPD
- Informer ses clients de l'utilisation de Rosocat comme sous-traitant
- Fournir à Rosocat les instructions nécessaires au traitement
6. Mesures de sécurité
Rosocat met en place les mesures suivantes :
- Cryptage : AES-256-GCM pour les notes de dossier, documents et données d'accueil
- Isolation des données : chaque cabinet dispose de données isolées au niveau applicatif et au niveau de la base de données (Row-Level Security)
- Contrôle d'accès : authentification par JWT, rôles et permissions configurables
- Hébergement européen : serveur applicatif en France (OVH), base de données en Europe (Supabase), stockage en Europe (Cloudflare R2)
- Registre d'activité : chaque action est enregistrée et consultable par le Cabinet
- Sauvegardes : sauvegardes quotidiennes cryptées
7. Sous-traitants ultérieurs
Rosocat fait appel aux sous-traitants suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVH | Hébergement du serveur applicatif | France |
| Supabase | Base de données PostgreSQL | Europe (Francfort) |
| Cloudflare | Stockage de fichiers (R2) | Europe |
| Stripe | Traitement des paiements | Europe |
En cas d'ajout ou de changement de sous-traitant, Rosocat en informera le Cabinet avec un préavis suffisant pour permettre au Cabinet de s'y opposer.
8. Durées de conservation
| Catégorie | Durée | Base légale |
|---|---|---|
| Dossiers clients actifs | Durée du mandat + 5 ans | Responsabilité professionnelle |
| Dossiers clôturés | 10 ans | Code civil art. 2224 |
| Registre d'activité | 10 ans | RGPD art. 17(3)(b) |
| Données de facturation | 10 ans | Code de commerce L.123-22 |
| Logs de connexion | 1 an | Recommandation CNIL |
9. Notification de violation de données
En cas de violation de données personnelles, Rosocat notifiera le Cabinet dans un délai de 24 heures suivant la découverte de l'incident. Cette notification comprendra :
- La nature de la violation
- Les catégories de données concernées
- Les mesures prises ou proposées pour remédier à la violation
Cette notification permettra au Cabinet de respecter son obligation de déclaration à la CNIL dans un délai de 72 heures (RGPD art. 33).
10. Droit d'effacement et portabilité
Rosocat fournit les fonctionnalités suivantes :
- Export de données : export complet des données du Cabinet à tout moment (format JSON + documents)
- Effacement client : suppression définitive de toutes les données d'un client et de ses documents
- Effacement cabinet : suppression complète de toutes les données du Cabinet en fin de contrat
11. Durée et résiliation
Le présent contrat entre en vigueur à la création du compte sur Rosocat et reste en vigueur tant que le Cabinet utilise la plateforme. En cas de résiliation, Rosocat supprimera ou restituera l'ensemble des données dans un délai de 30 jours, au choix du Cabinet.
12. Droit applicable
Le présent contrat est régi par le droit français. Tout litige sera soumis aux tribunaux compétents de Paris.
13. Contact
Pour toute question relative au présent contrat : hello@rosocat.fr