Data Processing Agreement (DPA)

Medirel s'engage à traiter les données personnelles communiquées par le Client uniquement pour les finalités prévues au contrat de souscription, conformément à ses instructions documentées et dans le respect du RGPD.

Catégories de données : identité (nom, email), contenu professionnel (emails, contacts, événements calendrier, pièces jointes), données techniques (logs, IP).

Personnes concernées : membres du compte client, contacts professionnels présents dans les emails traités.

Medirel met en œuvre les mesures techniques et organisationnelles appropriées : chiffrement TLS 1.3 + AES-256-GCM, contrôle d'accès par rôle (RBAC), authentification 2FA, isolation multi-tenant stricte, journalisation d'audit, gestion des incidents documentée, formation continue de l'équipe technique.

Le Client autorise Medirel à recourir aux sous-traitants ultérieurs listés dans la Politique de confidentialité. Toute modification (ajout/remplacement) sera notifiée 30 jours à l'avance, le Client disposant d'un droit d'opposition motivé dans ce délai.

Medirel met à disposition du Client les outils nécessaires pour répondre aux demandes d'exercice de droits : export JSON ( GET /api/users/me/export), rectification depuis l'interface, suppression sur demande administrateur.

En cas de violation de données personnelles affectant le Client, Medirel s'engage à notifier ce dernier dans un délai maximal de 24 heures suivant la prise de connaissance, par email à l'adresse de contact administrative déclarée.

Le Client peut demander un audit de conformité une fois par an, moyennant un préavis de 60 jours, sur la base d'un questionnaire standardisé fourni par Medirel. Les audits sur site nécessitent un accord préalable écrit.

À l'expiration du contrat, Medirel restitue ou supprime les données personnelles selon le choix du Client, dans un délai maximum de 30 jours. Les sauvegardes sont anonymisées dans les 12 mois suivants.