RGPD & Accord de Traitement des Données (DPA)

En tant que sous-traitant de données au sens du RGPD, Vetai s'engage à traiter les données personnelles uniquement selon les instructions documentées du responsable de traitement (la clinique). Vetai ne traite jamais les données à des fins propres sans autorisation explicite, et garantit la confidentialité des données traitées.

• Chiffrement en transit : TLS 1.3 sur toutes les communications
• Chiffrement au repos : AES-256 sur toutes les données stockées
• Contrôle d'accès : authentification multi-facteur, principe du moindre privilège
• Journalisation : logs d'accès et d'audit conservés 12 mois
• Sauvegardes quotidiennes : rétention 30 jours, chiffrées
• Tests de sécurité : revues régulières, gestion des vulnérabilités
• Séparation des environnements : production isolée du staging et développement

Vetai fait appel aux sous-traitants suivants, tous liés par des clauses contractuelles types (SCCs) conformes au RGPD :

En cas de violation de données personnelles (au sens de l'article 33 du RGPD), Vetai s'engage à notifier le responsable de traitement dans les 72 heuressuivant la détection de l'incident, avec toutes les informations disponibles sur la nature, l'étendue et les mesures prises.

Le client (responsable de traitement) peut demander un audit de conformité RGPD sur demande écrite, avec un préavis raisonnable de 30 jours. Vetai fournira la documentation nécessaire et coopérera de bonne foi à toute vérification.

Un DPA signé est fourni à chaque clinique lors de la souscription à Vetai. Pour l'obtenir ou pour toute question relative à la conformité RGPD, contactez-nous :