Le présent accord (l'« Accord ») encadre, conformément à l'article 28 du RGPD, le traitement par Rappli (le « Sous-traitant ») des données personnelles des clients finaux (les « Appelants ») pour le compte du professionnel utilisateur du service (le « Responsable de traitement »). Il complète les conditions générales et est accepté lors de la souscription.
Le Sous-traitant traite les données des Appelants à seule fin de fournir le service Rappli (réception des appels manqués, envoi de SMS, collecte des demandes via formulaire, mise à disposition dans le tableau de bord du Responsable, alertes). Le traitement dure aussi longtemps que le contrat de service.
Personnes : les clients et prospects du Responsable qui le contactent. Données : coordonnées de rappel, catégorie de demande, informations de planification, niveau de priorité, adresse ou commune, description courte du besoin, photographies éventuelles et coordonnées d'entreprise. Pour une activité de santé, les données sont strictement limitées à l'organisation administrative du rappel ; le Responsable s'interdit de demander ou de faire transmettre via Rappli des symptômes, diagnostics, traitements, ordonnances ou documents médicaux. Pour un incident cyber, le Responsable s'interdit de demander ou de faire transmettre des mots de passe, codes, clés, jetons d'accès, secrets ou informations bancaires.
Le Sous-traitant ne traite les données que sur instructions documentées du Responsable, telles que matérialisées par l'utilisation du service et le présent Accord, y compris pour les transferts. Il informe le Responsable si une instruction lui paraît contraire au RGPD.
Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité.
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des données en transit (HTTPS/TLS) et au repos, contrôle et restriction des accès, journalisation, sauvegardes, cloisonnement des données par compte.
Le Responsable autorise le recours aux sous-traitants ultérieurs suivants : Supabase (hébergement des données et stockage), Twilio (SMS et téléphonie), Railway (hébergement applicatif), Resend (e-mails) et, pour la part de données concernée, Stripe. Le Sous-traitant impose à ces tiers des obligations de protection équivalentes et informe le Responsable de tout changement, lequel peut s'y opposer pour motif légitime.
Le Sous-traitant aide le Responsable, par des mesures appropriées, à répondre aux demandes d'exercice des droits des Appelants (accès, rectification, effacement, opposition, limitation, portabilité).
Le Sous-traitant notifie au Responsable toute violation de données le concernant dans les meilleurs délais après en avoir pris connaissance, et l'assiste, le cas échéant, dans la réalisation d'analyses d'impact et la consultation de l'autorité de contrôle.
Au terme du contrat, le Sous-traitant supprime les données des Appelants ou les restitue au Responsable, au choix de ce dernier, et détruit les copies existantes, sauf obligation légale de conservation.
Le Sous-traitant met à disposition du Responsable les informations nécessaires pour démontrer le respect de l'article 28 et permet la réalisation d'audits, dans des conditions raisonnables (préavis, fréquence limitée, confidentialité, prise en charge des coûts).
Les transferts éventuels hors UE sont encadrés comme indiqué dans la politique de confidentialité (décision d'adéquation EU-US Data Privacy Framework et/ou clauses contractuelles types).
Dernière mise à jour : 14 juin 2026.