AURU — Contrat de Sous-traitance des Données (DPA)

Responsable de traitement Le Chirurgien
Professionnel de santé titulaire d'un compte AURU
Ci-après « le Responsable »

Sous-traitant AURU SAS
RCS Cannes 101 753 069
DPO : privacy@auru.ai
Ci-après « AURU »

Version 1.0 · Mars 2026 · Document confidentiel

Ce contrat est conclu pour chaque professionnel de santé utilisant la plateforme AURU. Il constitue le cadre juridique de la sous-traitance des données personnelles de santé.

PRÉAMBULE

Le Responsable est un chirurgien orthopédique exerçant en pratique libérale, titulaire d'un compte sur la plateforme AURU. Dans le cadre de son exercice professionnel, il traite des données à caractère personnel concernant ses patients, notamment des données de santé au sens de l'article 9 du RGPD.

AURU SAS édite et exploite une plateforme SaaS d'assistance à la documentation médicale, comprenant : capture et transcription vocale des consultations, structuration automatisée des données cliniques, génération de comptes rendus, lettres au médecin traitant et documents administratifs, par des systèmes d'intelligence artificielle.

Dans le cadre de la fourniture de ses services, AURU est amenée à traiter des données à caractère personnel de patients pour le compte du Responsable, et agit donc en qualité de sous-traitant au sens de l'article 28 du RGPD.

Le présent Contrat de Sous-traitance des Données (ci-après « DPA ») a pour objet de définir les conditions dans lesquelles AURU traite les données personnelles pour le compte du Responsable, conformément aux obligations légales applicables.

Cadre réglementaire applicable

Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) — en particulier Art. 4, 9, 28, 29, 32, 33, 34
Loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés
Article L.1111-8 du Code de la Santé Publique + Décret n° 2018-137 du 26 février 2018 (HDS)
Règlement (UE) 2024/1689 du 13 juin 2024 (EU AI Act) — Art. 4, 9, 13, 14
Référentiel HDS de l'ANS (Agence du Numérique en Santé)

SECTION 1 — DÉFINITIONS

Terme	Définition
Données Personnelles	Toute information se rapportant à une personne physique identifiée ou identifiable
Données de Santé	Données à caractère personnel relatives à la santé physique ou mentale d'une personne
Traitement	Toute opération ou ensemble d'opérations effectuées sur des données personnelles
Responsable de traitement	Le chirurgien utilisateur qui détermine les finalités et les moyens du traitement
Sous-traitant	AURU SAS, qui traite des données personnelles pour le compte du Responsable
Personne concernée	Le patient du chirurgien dont les données sont traitées par AURU
Violation de données	Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données
HDS	Hébergeur de Données de Santé — certification obligatoire au sens de l'Art. L.1111-8 CSP
Système d'IA	Système basé sur des machines développé par AURU intégrant des modèles de langage
Sous-traitant ultérieur	Tout tiers auquel AURU confie tout ou partie des opérations de traitement
Instructions documentées	Toute instruction donnée par le Responsable à AURU, transmise par écrit

SECTION 2 — DESCRIPTION DU TRAITEMENT

Article 1 — Objet du traitement

Le présent DPA définit les droits et obligations d'AURU en tant que sous-traitant lorsqu'elle traite des données personnelles pour le compte du Responsable dans le cadre de la fourniture des services de la plateforme AURU.

Article 2 — Nature et finalités du traitement

AURU traite les données personnelles des patients du Responsable aux fins exclusives suivantes :

Finalité	Description
Transcription vocale	Conversion en texte des enregistrements audio des consultations
Structuration clinique	Identification et extraction automatisée des éléments cliniques pertinents
Génération documentaire	Production automatisée des comptes rendus, lettres au MT, ordonnances
Personnalisation du service	Adaptation des modèles de génération documentaire aux pratiques du chirurgien
Stockage sécurisé	Conservation des données traitées dans le respect des exigences HDS
Amélioration du service	Utilisation des données anonymisées ou pseudonymisées, avec consentement

AURU ne traite les données des patients qu'aux fins listées ci-dessus, sur instruction documentée du Responsable.

Article 3 — Types de données traitées

Données d'identification du patient : nom, prénom, date de naissance, numéro de sécurité sociale (NIR), adresse postale, coordonnées
Données de santé (Art. 9 RGPD) : diagnostics, antécédents médicaux et chirurgicaux, résultats d'examens, prescriptions, comptes rendus opératoires, lettres médicales, scores cliniques (IKDC, Constant, Harris Hip, etc.)
Données d'enregistrement vocal : fichiers audio des consultations contenant des informations de santé
Données de transcription : texte brut issu de la conversion audio-vers-texte
Données de correspondance médicale : courriers aux médecins traitants et autres professionnels de santé

Note : Le numéro de sécurité sociale constitue un identifiant national — son traitement est soumis à autorisation CNIL (délibération n° 2022-119). AURU ne traite cet identifiant que si le Responsable l'y autorise expressément via les paramètres de son compte.

Article 4 — Catégories de personnes concernées

Les personnes concernées par les traitements effectués par AURU pour le compte du Responsable sont exclusivement les patients du chirurgien ayant fait l'objet d'une consultation enregistrée sur la plateforme AURU.

Article 5 — Durée du traitement

Type de données	Durée de conservation
Données actives (compte ouvert)	Durée du contrat de service entre AURU et le Responsable
Données archivées (compte résilié)	10 ans à compter de la date du dernier acte médical enregistré
Enregistrements audio bruts	30 jours à compter de la génération du document final
Transcriptions et documents générés	Durée du contrat + 10 ans d'archivage légal
Logs techniques et de sécurité	12 mois — conformément aux recommandations CNIL

Au terme de la durée de conservation applicable, AURU procède à la suppression définitive et sécurisée des données ou à leur restitution au Responsable selon les modalités de l'Article 15 du présent DPA.

SECTION 3 — OBLIGATIONS D'AURU EN QUALITÉ DE SOUS-TRAITANT

Article 6 — Traitement sur instructions documentées

AURU s'engage à traiter les données personnelles uniquement sur la base des instructions documentées du Responsable, telles que définies dans le présent DPA et les CGU. AURU informe immédiatement le Responsable si, de son point de vue, une instruction constitue une violation du RGPD ou de toute autre disposition applicable en matière de protection des données (Art. 28.3(h) RGPD).

Article 7 — Confidentialité et habilitation du personnel

AURU s'engage à :

S'assurer que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité
Limiter l'accès aux données personnelles au seul personnel habilité (principe de moindre privilège)
Former régulièrement son personnel aux règles de protection des données et aux obligations RGPD
Tenir à jour un registre des habilitations accordées

Article 8 — Sécurité des données — Mesures techniques et organisationnelles

8.1 Mesures techniques

Chiffrement des données en transit (TLS 1.3 minimum) et au repos (AES-256)
Pseudonymisation des données de santé dans les environnements de développement et de test
Authentification forte (MFA) pour tout accès à la plateforme et aux systèmes de traitement
Journalisation de tous les accès aux données de santé (logs d'audit horodatés)
Ségrégation logique des données entre clients (isolation par tenant)
Gestion des vulnérabilités : veille permanente, correctifs de sécurité appliqués sous 30 jours
Tests de pénétration annuels réalisés par un prestataire tiers qualifié

8.2 Mesures organisationnelles

Politique de sécurité des systèmes d'information (PSSI) documentée et mise à jour annuellement
Plan de continuité d'activité (PCA) et plan de reprise d'activité (PRA) testés semestriellement
Procédure de gestion des incidents de sécurité documentée
Revue d'accès trimestrielle — révocation immédiate des accès au départ d'un collaborateur
Désignation d'un DPO : privacy@auru.ai

Article 9 — Hébergement des Données de Santé (HDS)

AURU garantit que l'ensemble des données de santé traitées dans le cadre du présent DPA sont hébergées exclusivement auprès d'un hébergeur certifié Hébergeur de Données de Santé (HDS) au sens de l'article L.1111-8 du Code de la Santé Publique.

Hébergeur HDS — Informations
Hébergeur : [Nom de l'hébergeur HDS — ex. OVH Healthcare / Microsoft Azure HDS / AWS HDS]
Numéro de certification HDS : [À compléter]
Périmètre de certification : Hébergement d'infrastructure et hébergement applicatif
Localisation des données : France / Union Européenne
Contrat HDS signé entre AURU et l'hébergeur : Oui

AURU s'engage à :

Maintenir en permanence un contrat d'hébergement conforme à l'Art. L.1111-8 CSP avec un hébergeur certifié HDS
Notifier immédiatement le Responsable de tout changement d'hébergeur ou de perte de certification HDS
S'assurer que les données ne quittent pas le territoire de l'Union Européenne sans autorisation préalable (voir Art. 13)

Article 10 — Sous-traitants ultérieurs

AURU est autorisée à faire appel à des sous-traitants ultérieurs pour la fourniture des services, sous réserve du respect des conditions suivantes (Art. 28.2 RGPD) :

AURU informe le Responsable de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de trente (30) jours calendaires
Le Responsable dispose d'un droit d'opposition motivée dans un délai de quinze (15) jours à compter de la notification
AURU impose aux sous-traitants ultérieurs des obligations équivalentes à celles du présent DPA
AURU reste pleinement responsable envers le Responsable du respect par ses sous-traitants ultérieurs de leurs obligations

Sous-traitant	Rôle	Localisation
Hébergeur HDS (à préciser)	Hébergement infrastructure & applicatif — HDS	France / UE
OpenAI / Anthropic (modèle IA)	Traitement NLP — transcription et génération	UE (CCT)
Outil d'emailing sécurisé (à préciser)	Envoi sécurisé de documents médicaux	UE

Article 11 — Assistance aux droits des personnes concernées

AURU s'engage à aider le Responsable à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (Art. 28.3(e) RGPD) :

Droit	Obligation d'AURU
Accès (Art. 15)	Fournir au Responsable les données du patient concerné dans un format structuré sous 48h
Rectification (Art. 16)	Corriger les données identifiées comme inexactes sur instruction documentée du Responsable
Effacement (Art. 17)	Supprimer définitivement les données selon la procédure de l'Art. 15 du présent DPA
Limitation (Art. 18)	Suspendre tout traitement actif des données du patient concerné sur instruction
Portabilité (Art. 20)	Fournir les données dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV)
Opposition (Art. 21)	Cesser immédiatement le traitement sur instruction documentée du Responsable

AURU ne répond pas directement aux demandes des patients — tout contact est redirigé vers le Responsable dans les 48 heures. AURU conserve un registre de toutes les demandes reçues.

Article 12 — Notification des violations de données

En cas de violation de données personnelles au sens de l'Art. 4.12 RGPD, AURU s'engage à :

Notifier le Responsable de la violation dans un délai maximal de vingt-quatre (24) heures après en avoir eu connaissance — via l'adresse email enregistrée sur le compte du Responsable et à l'adresse privacy@auru.ai
Communiquer dans cette notification : (i) la nature de la violation, (ii) les catégories et nombre approximatif de personnes et d'enregistrements concernés, (iii) les conséquences probables, (iv) les mesures prises ou envisagées
Assister le Responsable dans la notification à la CNIL dans le délai de 72 heures prévu par l'Art. 33 RGPD
Documenter toutes les violations de données, y compris celles ne nécessitant pas de notification (Art. 33.5 RGPD)

Article 13 — Transferts hors Union Européenne

AURU s'engage à ne transférer les données personnelles vers des pays situés hors de l'Union Européenne ou de l'Espace Économique Européen que dans les conditions suivantes (Art. 44 à 49 RGPD) :

Décision d'adéquation de la Commission européenne (Art. 45 RGPD) ; ou
Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Art. 46.2 RGPD) ; ou
Règles d'entreprise contraignantes (BCR) approuvées (Art. 47 RGPD)

En cas de recours à un modèle d'IA dont les serveurs sont situés hors UE (ex. OpenAI, Anthropic), AURU s'assure préalablement que le prestataire a signé les CCT applicables et que les données de santé ne sont pas conservées par ces prestataires au-delà du traitement de la requête.

AURU tient un registre des transferts hors UE, consultable par le Responsable sur simple demande adressée à privacy@auru.ai.

Article 14 — Intelligence Artificielle — Supervision humaine et transparence

Conformément au Règlement (UE) 2024/1689 (EU AI Act), et notamment son article 14 relatif à la supervision humaine des systèmes d'IA à haut risque, AURU s'engage à :

Principes de supervision humaine (Art. 14 EU AI Act)

Aucune décision médicale autonome : le système IA d'AURU génère des documents d'aide à la documentation, jamais de recommandations thérapeutiques
Validation humaine obligatoire : tout document généré par l'IA doit être relu, corrigé si nécessaire, et validé par le chirurgien
Droit de correction : le chirurgien peut modifier, rejeter ou ignorer tout contenu généré par l'IA
Droit d'interruption : le chirurgien peut désactiver les fonctionnalités IA à tout moment
Traçabilité : AURU journalise toute génération documentaire avec indication que le document a été produit avec assistance IA

AURU s'engage à mentionner de manière visible dans chaque document généré qu'il a été produit avec l'assistance d'un système d'intelligence artificielle et doit être validé par le professionnel de santé
AURU ne fait pas de recommandations thérapeutiques autonomes — le contenu généré est de nature documentaire et administrative
AURU forme le Responsable à la compréhension des capacités et limites du système IA (Art. 4 EU AI Act — littératie IA)

Article 15 — Sort des données en fin de contrat

À l'expiration ou à la résiliation du contrat de service pour quelque cause que ce soit, AURU s'engage à :

Restituer au Responsable, dans un délai de trente (30) jours, l'intégralité des données personnelles traitées pour son compte, dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV)
Après restitution confirmée par écrit par le Responsable, procéder à la suppression définitive et sécurisée de toutes les données à caractère personnel des patients, à l'exception des données dont la conservation est requise par une obligation légale (Art. L.1110-4 CSP)
Remettre au Responsable, sur demande, une attestation écrite de suppression des données
Informer le Responsable des données conservées au-delà de la résiliation et du fondement légal de cette conservation

Article 16 — Documentation et audit

AURU s'engage à mettre à disposition du Responsable tous les éléments nécessaires pour démontrer le respect des obligations du présent DPA, et à permettre la réalisation d'audits (Art. 28.3(h) RGPD) :

Tenue d'un registre des activités de traitement effectuées pour le compte du Responsable (Art. 30.2 RGPD)
Fourniture, sur demande et dans un délai de quinze (15) jours, d'un rapport de conformité RGPD
Droit d'audit du Responsable ou de son mandataire : AURU accepte un audit annuel avec préavis de trente (30) jours, sur site ou à distance, aux frais du Responsable
Communication des certifications HDS, rapports de tests de pénétration et audits de sécurité sur simple demande

Article 17 — Assistance à l'analyse d'impact (DPIA)

AURU s'engage à assister le Responsable, dans la mesure du possible, dans la réalisation d'une Analyse d'Impact relative à la Protection des Données (AIPD / DPIA) au sens de l'Art. 35 RGPD, notamment en fournissant :

Une documentation détaillée des traitements effectués (nature, finalités, durées, mesures de sécurité)
Des informations sur les sous-traitants ultérieurs et les transferts hors UE
Son évaluation des risques liés aux traitements réalisés pour le compte du Responsable

Note : AURU est soumise à l'obligation de réaliser sa propre DPIA en tant que responsable du traitement pour les données de ses utilisateurs (chirurgiens). Cette DPIA est disponible sur demande à privacy@auru.ai.

SECTION 4 — OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

Article 18 — Légitimité du traitement

Le Responsable déclare et garantit qu'il dispose d'une base légale valide pour le traitement des données de santé de ses patients, notamment :

Le traitement est nécessaire aux fins de médecine préventive, de diagnostic médical, de soins ou de traitements médicaux (Art. 9.2(h) RGPD)
Le traitement est effectué par un professionnel de santé soumis au secret professionnel (Art. 9.3 RGPD et Art. L.1110-4 CSP)
Le Responsable a informé ses patients du traitement de leurs données via sa propre Politique de Confidentialité et, le cas échéant, obtenu leur consentement

Article 19 — Instructions documentées

Le Responsable s'engage à ne donner à AURU que des instructions licites au regard du RGPD et des réglementations applicables. Toute instruction spécifique allant au-delà des traitements prévus dans le présent DPA doit être transmise par écrit à privacy@auru.ai.

Article 20 — Exactitude des données

Le Responsable est responsable de l'exactitude, de la mise à jour et de la pertinence des données personnelles qu'il enregistre ou fait enregistrer sur la plateforme AURU. Il s'engage à informer AURU de toute correction à apporter dans les meilleurs délais.

Article 21 — Confidentialité des accès

Le Responsable est responsable de la sécurité de ses identifiants de connexion à la plateforme AURU. Il s'engage à ne pas partager ses accès avec des tiers non autorisés et à notifier immédiatement AURU (privacy@auru.ai) de tout accès non autorisé constaté ou suspecté.

SECTION 5 — DISPOSITIONS FINALES

Article 22 — Durée et résiliation

Le présent DPA entre en vigueur à la date d'acceptation des CGU par le Responsable et reste en vigueur pour toute la durée du contrat de service conclu entre les parties. Il prend fin automatiquement à l'expiration ou à la résiliation du contrat de service, sous réserve des obligations de conservation légale visées à l'Art. 5.

Article 23 — Modification du DPA

AURU se réserve le droit de modifier le présent DPA pour tenir compte de l'évolution du cadre réglementaire applicable. Toute modification substantielle sera notifiée au Responsable par email avec un préavis de trente (30) jours. En l'absence d'opposition motivée dans ce délai, la modification est réputée acceptée. En cas d'opposition, les parties rechercheront de bonne foi une solution amiable.

Article 24 — Hiérarchie des documents

En cas de contradiction entre les termes du présent DPA et les CGU, les dispositions du présent DPA prévalent s'agissant des obligations relatives à la protection des données à caractère personnel.

Article 25 — Droit applicable et juridiction compétente

Le présent DPA est régi par le droit français. En cas de litige relatif à son interprétation ou à son exécution, les parties s'engagent à rechercher une solution amiable. À défaut d'accord dans un délai de trente (30) jours, le litige sera soumis aux tribunaux compétents du ressort de Cannes (Alpes-Maritimes).

Article 26 — Contact DPO et point de contact RGPD

Contact RGPD — AURU SAS
DPO désigné — contact : privacy@auru.ai
Email : privacy@auru.ai
Adresse : AURU SAS — Cannes, France
RCS Cannes 101 753 069
CNIL : 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 — www.cnil.fr

ANNEXE A — REGISTRE DES TRAITEMENTS (Art. 30.2 RGPD)

Élément	Description
Nom et coordonnées du sous-traitant	AURU SAS — RCS Cannes 101 753 069 — privacy@auru.ai
Nom et coordonnées du DPO	privacy@auru.ai
Catégories de traitements	Transcription vocale, structuration clinique, génération documentaire, stockage sécurisé
Catégories de données traitées	Données d'identification, données de santé (Art. 9 RGPD), enregistrements audio
Destinataires des données	Le Responsable de traitement exclusivement — aucun tiers non autorisé
Transferts vers pays tiers	Possibles vers USA (via prestataires IA) — encadrés par CCT
Délai de conservation	Durée du contrat + 10 ans (L.1110-4 CSP). Audio brut : 30 jours
Mesures de sécurité générales	Chiffrement TLS 1.3 + AES-256, MFA, logs d'audit, HDS, isolation par tenant

ANNEXE B — CHECKLIST DE CONFORMITÉ RGPD

Obligation	Responsable	Statut
Base légale du traitement (Art. 9.2(h))	Chirurgien	À confirmer
Information des patients (Art. 13/14)	Chirurgien	À confirmer
DPA signé (Art. 28)	AURU + Chirurgien	Ce document
Hébergement HDS (L.1111-8 CSP)	AURU	En cours
Registre des traitements (Art. 30)	AURU	Annexe A
DPIA (Art. 35)	AURU + Chirurgien	En cours
Procédure violation de données (Art. 33)	AURU	Art. 12
Encadrement transferts hors UE (Art. 44-49)	AURU	Art. 13
Supervision humaine IA (EU AI Act Art. 14)	AURU + Chirurgien	Art. 14

CONTRAT DE SOUS-TRAITANCE DES DONNÉES