Contrat de Sous-Traitance RGPD

Le présent DPA est conclu entre Serenos et chaque Client. Il est accepté par le Client lors de l'activation de son compte (étape d'onboarding). Il fait partie intégrante des CGU.

Le présent DPA définit les conditions dans lesquelles Serenos, en qualité de sous-traitant, traite des données personnelles pour le compte du Client, en qualité de responsable de traitement, dans le cadre de la fourniture du Service.

Le DPA entre en vigueur à la date d'activation du compte et prend fin à la date de résiliation ou d'expiration de l'abonnement du Client, sauf clause spécifique de conservation post-contrat (article 10).

Nature : collecte, enregistrement, organisation, structuration, conservation, extraction, consultation, utilisation, communication, effacement et destruction de données à caractère personnel.

Finalités :

• Gestion opérationnelle des dossiers funéraires (création, suivi, clôture)
• Émission de devis et documents de facturation conformes (CGCT, arrêté 2025)
• Communication avec les familles endeuillées via l'espace famille
• Publication des avis de décès numériques
• Gestion de la succession (si module activé)
• Assistance administrative aux familles (démarches post-décès)

Contexte réglementaire spécifique : le traitement s'inscrit dans le cadre de l'activité funéraire réglementée par le Code Général des Collectivités Territoriales (CGCT, articles L.2223-11 et suivants). Certaines données (données de santé, données religieuses) sont des catégories spéciales au sens de l'article 9 du RGPD.

Conformément à l'article 28.3 du RGPD, Serenos s'engage à :

• a.Traitement sur instruction uniquement : ne traiter les données personnelles que sur instruction documentée du Client, sauf obligation légale contraire.
• b.Confidentialité : veiller à ce que les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité.
• c.Sécurité : mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données (chiffrement TLS + AES-256, RLS, authentification, sauvegardes, journaux d'audit).
• d.Sous-traitants ultérieurs : ne pas engager de sous-traitants ultérieurs sans en informer le Client (article 6).
• e.Assistance aux droits des personnes : assister le Client pour répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité) dans un délai permettant au Client de répondre sous 30 jours.
• f.DPIA : assister le Client dans la réalisation d'analyses d'impact (DPIA) si requis, en fournissant les informations nécessaires sur les traitements effectués.
• g.Notification des violations : notifier le Client dans les meilleurs délais (et au plus tard 72h) en cas de violation de données le concernant (article 9).
• h.Retour des données : restituer ou supprimer les données à la fin du contrat selon les modalités de l'article 10.
• i.Registre des activités : tenir et maintenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client.

Le Client autorise Serenos à faire appel aux sous-traitants ultérieurs listés ci-dessous. En cas d'ajout ou de remplacement, Serenos informera le Client avec un préavis de 30 jours.

Serenos impose à ses sous-traitants ultérieurs des obligations de protection des données au moins équivalentes à celles prévues par le présent DPA.

CCT = Clauses Contractuelles Types adoptées par la Commission Européenne (décision 2021/914).

Les données personnelles sont hébergées principalement dans l'Union Européenne (Supabase Frankfurt). Certains sous-traitants (Vercel, Resend) peuvent occasionnellement traiter des données aux États-Unis dans le cadre de leurs services.

Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission Européenne (décision d'exécution 2021/914 du 4 juin 2021), qui constituent des garanties appropriées au sens de l'article 46 du RGPD.

Serenos s'engage à ne pas transférer les données vers des pays ne bénéficiant pas d'un niveau de protection adéquat sans les garanties appropriées.

Serenos met à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent DPA, et contribue aux audits, y compris les inspections, réalisés par le Client ou un auditeur mandaté.

Le Client notifie sa demande d'audit par email à dpa@serenos.fr avec un préavis de 30 jours. Les audits ont lieu aux heures ouvrables, sans perturber les opérations de Serenos, et sont limités à un audit annuel.

Les frais d'audit sont à la charge du Client, sauf si l'audit révèle une non-conformité de Serenos.

En cas de violation de données à caractère personnel (au sens de l'article 4(12) du RGPD) susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Serenos :

• Notifie le Client sans délai injustifié et dans les 72 heures après en avoir pris connaissance
• Fournit une description de la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés
• Décrit les mesures prises ou envisagées pour remédier à la violation

Il appartient au Client d'évaluer si la violation doit être notifiée à la CNIL (dans les 72h) et/ou aux personnes concernées.

Contact : security@serenos.fr

À la cessation des services (résiliation ou expiration de l'abonnement) :

• Le Client dispose de 90 jours pour exporter ses Données (export CSV et PDF disponibles dans le tableau de bord)
• Passé ce délai, Serenos procède à la suppression définitive de toutes les données du Client, à l'exception des données soumises à une obligation légale de conservation (données de facturation conservées 10 ans, données de facturation funéraire 6 ans)
• Serenos fournit une attestation de suppression sur demande écrite

Les données des sous-traitants ultérieurs (Supabase, Vercel) sont supprimées conformément aux procédures de chaque fournisseur, dans un délai maximum de 30 jours après la suppression par Serenos.

En tant que responsable de traitement, le Client s'engage à :

• Disposer d'une base légale valide pour chaque traitement de données effectué via Serenos
• Informer les personnes concernées (familles) de l'utilisation de Serenos, conformément aux articles 13 et 14 du RGPD
• Recueillir le consentement explicite des familles pour le traitement des données de catégories spéciales (santé, religion) avant de les saisir dans Serenos
• Maintenir son propre registre des activités de traitement
• N'instruire Serenos que pour des traitements conformes au RGPD
• Informer Serenos de toute modification des finalités de traitement

Droit applicable : Le présent DPA est régi par le droit français et par le Règlement (UE) 2016/679 (RGPD).

Autorité de contrôle : Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr

Litiges : En cas de litige relatif au présent DPA, les tribunaux de [VILLE_JURIDICTION] sont compétents.

Modifications : Serenos peut modifier le présent DPA pour tenir compte de l'évolution de la réglementation. Le Client sera informé par email avec un préavis de 30 jours. La poursuite de l'utilisation du Service vaut acceptation.

Hiérarchie des normes : En cas de contradiction entre les CGU et le présent DPA sur les questions relatives à la protection des données, le DPA prévaut.

Contact : Pour toute question relative au présent DPA : dpa@serenos.fr