Accord de Traitement des Données (DPA)
Data Processing Agreement - Article 28 RGPD
Dernière mise à jour : 29 janvier 2026
Document contractuel
Le présent Accord de Traitement des Données (« DPA ») fait partie intégrante des Conditions Générales de Vente et s'applique à tout traitement de données personnelles effectué par Mammouth Veterinary Software pour le compte du Client dans le cadre de l'utilisation du logiciel Mammouth.
Article 1 - Définitions
- « Responsable du traitement » : Le Client (cabinet vétérinaire, clinique) qui détermine les finalités et les moyens du traitement des données de ses propres clients (propriétaires d'animaux).
- « Sous-traitant » : Mammouth Veterinary Software (Sébastien Rogister), qui traite les données personnelles pour le compte du Responsable du traitement.
- « Données personnelles » : Toute information se rapportant à une personne physique identifiée ou identifiable.
- « Traitement » : Toute opération effectuée sur des données personnelles (collecte, enregistrement, stockage, modification, consultation, etc.).
- « Sous-traitant ultérieur » : Tout sous-traitant engagé par le Sous-traitant pour effectuer des activités de traitement spécifiques.
Article 2 - Objet et durée du traitement
2.1 Objet
Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable du traitement, les opérations de traitement de données personnelles nécessaires à la fourniture du service Mammouth.
2.2 Durée
Le présent DPA prend effet à la date de souscription au service Mammouth et reste en vigueur pendant toute la durée de l'abonnement, ainsi que pendant la période de conservation des données après résiliation (90 jours).
Article 3 - Nature et finalité du traitement
Finalité exclusive
Les données personnelles sont traitées uniquement pour permettre au Client d'utiliser le logiciel Mammouth dans le cadre de son activité vétérinaire.
Les opérations de traitement comprennent :
- Hébergement et stockage sécurisé des données
- Sauvegarde et restauration des données
- Mise à disposition via interface web sécurisée
- Maintenance technique et mises à jour
- Support technique (accès limité aux données sur demande explicite)
Article 4 - Catégories de données traitées
| Catégorie |
Types de données |
Personnes concernées |
| Données d'identification |
Nom, prénom, adresse, téléphone, email |
Propriétaires d'animaux (clients du vétérinaire) |
| Données de facturation |
Historique des factures, modes de paiement |
Propriétaires d'animaux |
| Données des animaux |
Nom, espèce, race, âge, historique médical |
Animaux (liés aux propriétaires) |
| Données médicales vétérinaires |
Consultations, diagnostics, traitements, vaccins |
Animaux |
| Données d'utilisation |
Logs de connexion, actions dans le logiciel |
Utilisateurs du logiciel (vétérinaires, assistants) |
Article 5 - Obligations du Sous-traitant
Mammouth Veterinary Software s'engage à :
5.1 Instructions documentées
- Ne traiter les données personnelles que sur instruction documentée du Responsable du traitement
- Informer immédiatement le Responsable si une instruction constitue une violation du RGPD
5.2 Confidentialité
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Limiter l'accès aux données aux seules personnes qui en ont besoin
5.3 Mesures de sécurité
Mesures techniques et organisationnelles
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Sauvegardes quotidiennes chiffrées avec rétention de 30 jours
- Hébergement dans des datacenters certifiés (OVH, France/UE)
- Authentification forte et gestion des accès
- Pare-feu et systèmes de détection d'intrusion
- Mises à jour de sécurité régulières
- Journalisation des accès et actions
5.4 Sous-traitance ultérieure
- Ne pas recruter de sous-traitant ultérieur sans autorisation écrite préalable du Responsable
- Imposer aux sous-traitants ultérieurs les mêmes obligations de protection des données
- Informer le Responsable de tout changement de sous-traitant ultérieur avec un préavis de 30 jours
5.5 Assistance au Responsable
- Aider le Responsable à répondre aux demandes d'exercice des droits des personnes concernées
- Assister le Responsable pour garantir le respect des obligations relatives à la sécurité, aux notifications de violation et aux analyses d'impact
5.6 Fin du traitement
- À la fin de l'abonnement, permettre l'export des données pendant 90 jours
- Supprimer définitivement les données après ce délai, sauf obligation légale de conservation
- Fournir une attestation de suppression sur demande
5.7 Audits
- Mettre à disposition du Responsable les informations nécessaires pour démontrer le respect des obligations RGPD
- Permettre la réalisation d'audits (avec préavis raisonnable et dans le respect de la confidentialité des autres clients)
Article 6 - Notification des violations de données
Délai de notification : 48 heures
En cas de violation de données personnelles, le Sous-traitant s'engage à notifier le Responsable du traitement dans les meilleurs délais, et au plus tard dans les 48 heures suivant la prise de connaissance de la violation.
La notification comprendra :
- La nature de la violation (catégories et nombre de personnes/enregistrements concernés)
- Le nom et les coordonnées du point de contact
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation
Article 7 - Sous-traitants ultérieurs
Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants :
| Sous-traitant |
Service |
Localisation |
Données concernées |
| OVH SAS |
Hébergement infrastructure |
France (UE) |
Toutes les données |
| À compléter |
Envoi d'emails transactionnels |
À préciser |
Emails des propriétaires |
| À compléter |
Envoi de SMS (rappels) |
À préciser |
Numéros de téléphone |
| Scrada |
Transmission factures Peppol |
Belgique (UE) |
Données de facturation |
Le Responsable sera informé de tout changement concernant l'ajout ou le remplacement de sous-traitants ultérieurs, avec un préavis de 30 jours lui permettant d'émettre des objections.
Article 8 - Transferts de données hors UE
Le Sous-traitant s'engage à :
- Privilégier des sous-traitants ultérieurs établis dans l'Union Européenne
- En cas de transfert hors UE, s'assurer que des garanties appropriées sont en place (décision d'adéquation, clauses contractuelles types de la Commission européenne)
- Informer le Responsable de tout transfert hors UE et des garanties mises en place
Article 9 - Obligations du Responsable du traitement
Le Responsable du traitement (Client) s'engage à :
- Respecter la législation applicable en matière de protection des données
- Fournir des instructions licites au Sous-traitant
- Informer ses propres clients (propriétaires d'animaux) du traitement de leurs données
- Obtenir les consentements nécessaires le cas échéant (ex : envoi de SMS marketing)
- Répondre aux demandes d'exercice des droits des personnes concernées
Article 10 - Responsabilité
Chaque partie est responsable des dommages causés par un traitement qui ne respecte pas le RGPD ou les instructions de l'autre partie.
La responsabilité du Sous-traitant est limitée conformément aux dispositions des Conditions Générales de Vente.
Article 11 - Contact
Point de contact protection des données
Email : privacy@mammouthvet.be
Courrier : Mammouth Veterinary Software - Protection des données
Voie des Ardennais 24, 4877 Olne, Belgique
Article 12 - Droit applicable
Le présent DPA est soumis au droit belge et au Règlement (UE) 2016/679 (RGPD).
En cas de litige, les tribunaux de l'arrondissement de Liège seront seuls compétents.
Ce DPA est accepté automatiquement lors de la souscription au service Mammouth.
Pour toute question, contactez privacy@mammouthvet.be.