Contrat de traitement des données (DPA)

Applicable au 14 mai 2026.

5.1 Objet de ce document

Le présent contrat (le « DPA ») établit le cadre contractuel dans lequel Moofl traite des données à caractère personnel pour le compte de ses Clients professionnels logopèdes. Il fait partie intégrante du Contrat (tel que défini dans les CGU professionnelles, section 2 du présent recueil).

Pour contacter Moofl à propos du traitement de données à caractère personnel ou exercer vos droits prévus au présent DPA, écrivez à gdpr@moofl.com.

Chaque partie s'engage à respecter l'ensemble des lois et règlements applicables en matière de protection de la vie privée et des données à caractère personnel, en ce compris le RGPD et la loi belge du 30 juillet 2018.

5.2 Traitements de données couverts par le DPA

Le présent DPA couvre les traitements effectués par Moofl pour le compte du Client, dans le cadre de l'utilisation des Services. Les catégories de données, les catégories de personnes concernées et les finalités sont décrites dans la Politique de protection des données (section 3.6.3 et suivantes), à laquelle le présent DPA renvoie.

Les traitements pour lesquels Moofl agit en qualité de responsable du traitement (par exemple gestion des comptes Clients, prospection, sécurité de la Plateforme) ne relèvent pas du présent DPA et sont régis par la Politique de protection des données.

5.3 Votre rôle en qualité de responsable du traitement

Vous êtes le responsable du traitement pour les traitements visés par le présent DPA car (i) ces traitements sont entrepris dans le cadre de votre exercice professionnel, (ii) vous prenez la décision de les mettre en œuvre (en activant les fonctionnalités correspondantes ou en saisissant des données patient), (iii) vous déterminez les finalités et les moyens du traitement, et (iv) vous supervisez les informations collectées et enregistrées.

À ce titre, vous êtes responsable, sans limitation, de la régularité juridique des traitements (en ce compris l'existence d'une base légale valable au sens des articles 6 et 9 RGPD), de l'information de vos patients et utilisateurs, et de la mise en œuvre, dans la sphère de votre organisation, des mesures appropriées exigées par le RGPD.

Vous vous engagez à fournir à Moofl les instructions et la documentation nécessaires pour permettre à Moofl de remplir ses obligations en tant que sous-traitant.

5.4 Obligations générales de Moofl en qualité de sous-traitant

En qualité de sous-traitant, Moofl traite les données à caractère personnel couvertes par le présent DPA pour votre compte, dans la mesure nécessaire à l'exécution du Contrat et conformément à vos instructions documentées (les présentes CGU et la Politique de protection des données valant instructions documentées initiales).

Moofl ne traite pas les données à d'autres fins. Si Moofl considère qu'une instruction constitue une violation du RGPD ou d'une autre disposition applicable, elle vous en informe immédiatement.

À votre demande, Moofl vous assistera, dans la mesure du possible et compte tenu de la nature du traitement, pour respecter vos obligations relatives aux articles 32 à 36 du RGPD (sécurité, notification d'incident, analyses d'impact, consultations préalables) ainsi qu'aux droits des personnes concernées (articles 12 à 23 du RGPD). Dans la mesure permise par la loi, Moofl peut facturer les frais raisonnables découlant de cette assistance.

Moofl peut, à la demande motivée d'une autorité administrative ou judiciaire compétente, communiquer les données qu'elle traite pour votre compte, dans le strict respect du droit applicable. Sauf interdiction légale, Moofl vous informe alors de cette communication.

5.5 Obligation de confidentialité

Moofl s'engage à traiter les données à caractère personnel visées par le présent DPA de manière confidentielle. Moofl ne peut divulguer ces données à des tiers que si la divulgation est expressément prévue par la Politique de protection des données ou par le présent DPA, requise par la loi, ou autorisée par vous.

Moofl s'assure que les membres de son personnel et de ses sous-traitants ayant accès aux données sont liés par des engagements de confidentialité appropriés.

5.6 Obligation de sécurité

Moofl met en œuvre les mesures techniques et organisationnelles décrites en Annexe B, afin de garantir un niveau de sécurité adapté aux risques. Ces mesures sont régulièrement évaluées et mises à jour pour tenir compte de l'évolution des risques, des technologies et du coût raisonnable de leur mise en œuvre.

Le Client reconnaît que la sécurité des données dépend également des mesures qu'il met en œuvre dans sa propre organisation (gestion des accès, postes de travail, hygiène numérique, vigilance face au phishing).

5.7 Recours à des sous-traitants ultérieurs

Vous autorisez Moofl à utiliser les services de sous-traitants pour exécuter les traitements visés par le présent DPA. Moofl sélectionne des sous-traitants présentant des garanties suffisantes, et signe avec chacun un contrat conforme à l'article 28 du RGPD.

La liste des sous-traitants en vigueur figure en Annexe A. Toute évolution substantielle (ajout, remplacement, suppression) est notifiée au Client par courrier électronique ou par publication dans la Plateforme.

Le Client dispose d’un délai de quinze (15) jours calendaires à compter de la notification pour contester, par écrit motivé, un nouveau sous-traitant. À défaut de contestation dans ce délai, les changements seront réputés définitivement acceptés. À défaut d’accord entre les parties dans un délai supplémentaire raisonnable, le Client peut résilier le Contrat à la date d’entrée en vigueur du changement contesté.

Sous réserve des limitations de responsabilité prévues au Contrat, Moofl demeure pleinement responsable envers le Client de l'exécution par ses sous-traitants des obligations qui leur incombent en vertu du RGPD.

5.8 Transfert de données en dehors de l’EEE

Moofl ne transfère des données à caractère personnel hors de l'EEE que sur la base d'un mécanisme conforme au RGPD : (i) décision d'adéquation, (ii) garanties appropriées (clauses contractuelles types, règles d'entreprise contraignantes), (iii) dérogations spécifiques autorisées par l'article 49 du RGPD, après votre consentement écrit préalable lorsque celui-ci est requis. Les Services sont par défaut hébergés dans l'EEE.

5.9 Demandes des personnes concernées

Si Moofl reçoit une demande ou une plainte d'une personne concernée relative à un traitement couvert par le présent DPA, Moofl vous en informe sans retard injustifié. Sauf accord contraire, vous êtes responsable du traitement de la demande et de la réponse à apporter. Moofl vous fournit, à votre demande, l'assistance et les informations raisonnables nécessaires. Dans la mesure permise par la loi, Moofl peut facturer les frais raisonnables découlant de cette assistance.

5.10 Procédure en cas de violation de données

Toute partie qui constate ou suspecte une violation de données à caractère personnel ou un incident de sécurité affectant un traitement couvert par le présent DPA en informe l'autre partie sans retard injustifié. Les parties coopèrent de bonne foi pour enquêter et atténuer les risques. Moofl assiste le Client dans le respect des articles 33 et, le cas échéant, 34 du RGPD.

Dans la mesure du possible, Moofl tient le Client informé des éléments suivants : la nature et l'étendue de la violation, les catégories et le nombre estimé de personnes concernées, un point de contact, la cause présumée et la date de survenance (ou la période concernée), les conséquences probables, les mesures prises ou recommandées, et toute décision relative à la notification aux autorités et aux personnes concernées. Lorsque toutes ces informations ne peuvent être fournies simultanément, des informations complémentaires sont transmises ultérieurement à mesure qu'elles deviennent disponibles.

Sauf accord contraire, le Client demeure responsable de la notification de la violation aux autorités de contrôle et, le cas échéant, aux personnes concernées.

5.11 Droits d’audit

Moofl met à disposition du Client, en confidentialité, les informations raisonnablement nécessaires pour démontrer le respect des obligations du présent DPA. Moofl permet et contribue à des audits, y compris des inspections, conduits par le Client ou un auditeur indépendant mandaté par lui, sous réserve que (i) l'auditeur ne soit pas un concurrent de Moofl et soit lié par une obligation de confidentialité, (ii) l'audit ait lieu pendant les heures normales de travail à une date convenue à l'avance avec préavis écrit d'au moins trente (30) jours, (iii) l'audit n'interfère pas de manière déraisonnable avec l'activité de Moofl, et (iv) qu'il n'ait pas lieu plus d'une fois par année contractuelle, sauf en réponse à une demande d'une autorité de contrôle.

Les conclusions de l'audit sont évaluées en consultation mutuelle et, si nécessaire, conduisent à des ajustements raisonnables. Les frais raisonnables sont en principe à la charge du Client, sauf constatation d'un manquement substantiel imputable à Moofl.

5.12 Responsabilité

La responsabilité de Moofl envers le Client au titre du présent DPA est soumise aux limitations et exclusions prévues au Contrat. Moofl ne peut être tenue responsable au titre du présent DPA qu'en cas de manquement à ses obligations spécifiques en vertu du RGPD, ou si elle a agi en dehors ou en violation de vos instructions licites.

5.13 Durée des traitements

Le présent DPA reste en vigueur tant que le Contrat est en vigueur ou tant que Moofl conserve des données à caractère personnel liées au Contrat. Pendant toute la durée du Contrat, le Client dispose d'une fonctionnalité d'extraction de ses données et de celles de ses patients (formats lisibles : XLSX, PDF, JSON, CSV), accessible en autonomie depuis son compte. Le Client peut par ailleurs demander, en cours de Contrat, la suppression de données qui ne sont plus nécessaires aux finalités envisagées ; Moofl y donne suite sans retard injustifié, et au plus tard dans le mois suivant la réception de la demande, conformément aux articles 12, paragraphe 3, et 17 du RGPD. Ce délai peut être prolongé de deux (2) mois supplémentaires lorsque la demande est complexe ou multiple, le Client étant alors informé de la prolongation et de ses raisons.

À la résiliation du Contrat, le Client peut soit extraire ses données via la fonctionnalité d'export mise à sa disposition, soit solliciter par écrit auprès de Moofl (privacy@moofl.com) la suppression de tout ou partie des données traitées par Moofl pour son compte. Moofl procède à toute demande de suppression sans retard injustifié, sous réserve d'obligations légales belges ou de l'Union européenne de conservation plus longue — notamment : la durée minimale de conservation des dossiers de soins en Belgique (à titre indicatif, trente (30) ans à compter du dernier contact thérapeutique), les obligations comptables et fiscales (sept (7) ans), et les contentieux en cours pour lesquels les données concernées sont nécessaires à la défense en justice de l'une des parties. Dans ces hypothèses, les données concernées sont isolées, leur accès strictement restreint aux personnes habilitées et leur traitement limité à la finalité légale ou contentieuse qui justifie leur conservation, jusqu'à expiration de l'obligation ou clôture du contentieux, à l'issue de quoi elles sont supprimées ou anonymisées de manière irréversible.

5.14 Communications

Le Client reconnaît que les courriels adressés à l'adresse de contact principale renseignée dans son compte constituent un mode valable de communication. Le Client maintient cette adresse à jour.

5.15 Modification du présent DPA

Moofl peut modifier le présent DPA. Toute modification substantielle est annoncée à l'avance avec sa date d'entrée en vigueur. Le Contrat est modifié en conséquence à compter de cette date. Les modifications non substantielles entrent en vigueur à la date de leur publication sur le site de Moofl.

À défaut de contestation écrite et motivée du Client dans un délai de quinze (15) jours calendaires suivant la notification d’une modification substantielle, les nouvelles stipulations seront réputées définitivement acceptées.

5.16 Droit applicable et litiges

Le présent DPA est régi par le droit belge.

Tout litige relatif au présent DPA relève de la compétence exclusive des tribunaux francophones du ressort du siège social de Moofl SRL.

5.17 Divers

En cas de conflit ou d'ambiguïté entre une stipulation du présent DPA et une stipulation du Contrat, les stipulations du présent DPA prévalent sur les questions de protection des données.

Toute disposition qui, par sa nature, est destinée à survivre à la cessation du Contrat (notamment les obligations de confidentialité et de coopération en cas d'enquête) demeure pleinement applicable.

Les termes non définis dans le présent DPA mais définis dans le RGPD ont la signification que leur donne ce règlement. Si une stipulation est jugée invalide ou inapplicable, les autres stipulations demeurent pleinement en vigueur, et la stipulation invalide est remplacée par une stipulation produisant un effet aussi proche que possible de l'original.