Accord de Traitement des Données (Data Processing Agreement) — Kliniko
Version 1.0 — En vigueur à compter du 22 avril 2026
Le présent Accord de Traitement des Données (ci-après « DPA ») constitue une annexe indissociable des Conditions Générales d'Utilisation et de Service conclues entre Kliniko et le Client. Il encadre le traitement des données à caractère personnel effectué par Kliniko, en qualité de sous-traitant, pour le compte du Client, en qualité de responsable de traitement, conformément à la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
1. Parties
1.1 Le Responsable de traitement (« le Client »)
Le cabinet vétérinaire, clinique ou structure professionnelle vétérinaire, identifié aux Conditions Générales, qui détermine les finalités et les moyens du traitement des données de ses propres clients (propriétaires d'animaux), patients (animaux) et collaborateurs via la plateforme Kliniko.
1.2 Le Sous-traitant (« Kliniko »)
HOUSNI Ahmed — Auto-Entrepreneur
ICE / N° AE : 003824052000015
IF : 68701605
Siège : Andalous Prestige 2, GH1, IMM 26, 27182 Bouskoura, Maroc
Contact DPO (de fait, en l'absence de DPO désigné) : [email protected]
2. Objet et portée du DPA
Le présent DPA a pour objet de préciser :
- les catégories de données traitées ;
- les finalités du traitement ;
- les obligations respectives des parties ;
- les garanties de sécurité et de confidentialité ;
- les modalités de recours aux sous-traitants ultérieurs ;
- les conditions de transfert hors du Maroc ;
- la gestion des incidents de sécurité.
Il s'applique à toute donnée à caractère personnel traitée par Kliniko pour le compte du Client dans le cadre de l'exécution du Service.
3. Description du traitement
3.1 Nature et finalités du traitement
Kliniko traite les données pour le compte du Client aux fins exclusives de :
- tenue et gestion du dossier patient vétérinaire ;
- gestion de l'agenda, des rendez-vous et des consultations ;
- émission d'ordonnances et de factures ;
- envoi de communications (rappels vaccins, confirmations RDV, campagnes) par WhatsApp, SMS et email ;
- génération assistée de comptes rendus SOAP (IA Scribe) ;
- déclarations ONSSA et tenue du carnet médicament vétérinaire ;
- connexion avec la plateforme e-commerce Petzy.ma (Petzy Bridge), le cas échéant ;
- support technique et maintenance du Service.
3.2 Catégories de personnes concernées
- Clients du cabinet (propriétaires d'animaux)
- Collaborateurs du cabinet (vétérinaires, assistants, réceptionnistes)
- Prospects et contacts commerciaux du cabinet, le cas échéant
3.3 Catégories de données traitées
| Catégorie | Exemples |
|---|---|
| Identification | Nom, prénom, date de naissance, civilité |
| Contact | Email, téléphone mobile, adresse postale |
| Identification animale | Nom, espèce, race, date de naissance, sexe, numéro d'identification (puce, tatouage) |
| Médicales animales | Antécédents, consultations, prescriptions, résultats d'analyses, vaccinations, hospitalisations |
| Financières | Historique de facturation, moyens de paiement (via YouCan Pay uniquement — Kliniko ne stocke aucun numéro de carte) |
| Communication | Contenu et métadonnées des échanges WhatsApp, SMS et emails envoyés via le Service |
| Techniques | Logs d'accès, adresse IP, user-agent (pour sécurité) |
3.4 Données sensibles
Les données médicales animales ne constituent pas des données de santé humaine au sens strict de la loi 09-08. Toutefois, Kliniko leur applique un niveau de protection renforcé équivalent à celui appliqué aux données sensibles, compte tenu de leur valeur pour le cabinet et de la relation de confiance avec les propriétaires.
3.5 Durée du traitement
Le traitement est effectué pendant toute la durée du contrat et selon les durées de conservation précisées à l'article 9.
4. Sous-traitants ultérieurs
4.1 Autorisation générale
Le Client autorise Kliniko à recourir à des sous-traitants ultérieurs pour l'exécution du Service, sous réserve des garanties prévues au présent article.
4.2 Liste des sous-traitants ultérieurs autorisés
Au 22 avril 2026 :
| Sous-traitant | Finalité | Siège | Localisation des données |
|---|---|---|---|
| Cloudflare, Inc. | CDN, DNS, WAF, protection anti-DDoS | États-Unis | Réseau global (POP Europe / Maroc prioritaires) |
| Hostinger International Ltd. | VPS — hébergement applicatif | Chypre / France | France — datacenter Paris (transfert UE déclaré CNDP, Convention 108 + RGPD) |
| Meta Platforms Ireland Ltd. | API WhatsApp Business Cloud | Irlande | Irlande / États-Unis |
| YouCan Pay | Passerelle de paiement | Maroc | Maroc |
| Resend, Inc. | Emails transactionnels | États-Unis | États-Unis / Europe |
| Anthropic PBC | API Claude (IA Scribe) | États-Unis | États-Unis |
4.3 Modification de la liste
Toute modification (ajout, remplacement) d'un sous-traitant ultérieur est notifiée au Client par email au moins trente (30) jours avant sa mise en œuvre effective. Le Client peut s'opposer à cette modification pour motifs légitimes dans un délai de quinze (15) jours. En cas d'opposition qui ne peut être résolue, chaque partie dispose d'un droit de résiliation du contrat sans frais.
4.4 Garanties équivalentes
Kliniko s'engage à imposer contractuellement à chacun de ses sous-traitants ultérieurs des obligations de protection des données équivalentes à celles du présent DPA, notamment en matière de sécurité, de confidentialité, de notification d'incidents et de restrictions aux transferts internationaux.
5. Transferts hors du Maroc
Certains sous-traitants ultérieurs traitent des données en dehors du territoire marocain. Conformément aux articles 43 et 44 de la loi 09-08 :
- Kliniko déclare ces transferts à la CNDP dans le cadre de la déclaration du traitement « Gestion de cabinet vétérinaire Kliniko ».
- Les transferts sont encadrés par des engagements contractuels équivalents aux Standard Contractual Clauses internationales.
- La liste à jour des pays de destination est communiquée sur demande à
[email protected].
Localisation des données — hébergement applicatif principal : Les données du Service sont hébergées chez Hostinger International Ltd., datacenter situé à Paris (France, Union Européenne). Ce transfert des données du Maroc vers l'UE fait l'objet d'une déclaration auprès de la CNDP via le Formulaire D (transfert transfrontalier), conformément aux articles 43 et 44 de la loi 09-08. Le cadre légal applicable au transfert combine la Convention 108 du Conseil de l'Europe (à laquelle le Maroc est partie) et le niveau de protection adéquat reconnu pour les pays de l'Union Européenne (RGPD). Toute modification ultérieure de la localisation principale fera l'objet d'une notification client préalable d'au moins trente (30) jours et d'une mise à jour des documents contractuels.
6. Obligations de Kliniko en qualité de sous-traitant
Kliniko s'engage, conformément à la loi 09-08 et aux meilleures pratiques :
6.1 Limitation du traitement
Ne traiter les données que sur instructions documentées du Client, à l'exclusion de tout traitement à des fins propres autres que l'exécution du Service (hors analytics anonymisés, benchmarking sectoriel agrégé et non ré-identifiable prévus aux CGU §11.3).
6.2 Confidentialité
Faire signer à toute personne autorisée à traiter les données un engagement de confidentialité ou soumettre cette personne à une obligation légale équivalente.
6.3 Sécurité du traitement
Mettre en œuvre les mesures techniques et organisationnelles appropriées :
- Chiffrement en transit (TLS 1.2+)
- Chiffrement au repos (AES-256) pour les sauvegardes et les données sensibles
- Séparation logique des données entre cabinets (multi-tenant, isolation par
tenant_id, Row-Level Security) - Contrôle d'accès par rôles (RBAC) et authentification forte
- Authentification à deux facteurs (2FA) imposée aux administrateurs
- Sauvegardes chiffrées quotidiennes avec rétention 30 jours
- Journalisation des accès sensibles
- Mises à jour régulières des composants et dépendances
- Tests de sécurité périodiques
6.4 Assistance au responsable de traitement
Assister le Client, dans la mesure du possible et par des mesures techniques et organisationnelles appropriées, dans :
- le respect de son obligation de répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, opposition, suppression) ;
- la réalisation d'études d'impact sur la protection des données si celles-ci sont requises ;
- la notification de violation de données aux autorités et aux personnes concernées.
Les demandes de droit adressées directement à Kliniko par une personne concernée du cabinet client sont transférées au Client dans un délai de 48 heures ouvrées sans réponse préalable, afin que le Client, responsable de traitement, puisse traiter la demande.
6.5 Notification des violations de données
En cas de violation de données :
- Kliniko notifie le Client sans retard injustifié et au plus tard 48 heures après en avoir pris connaissance.
- La notification précise la nature de la violation, les catégories et volumes de données et personnes concernées, les conséquences probables, les mesures prises et recommandées.
- Kliniko assiste le Client dans ses propres obligations de notification à la CNDP et aux personnes concernées.
6.6 Registre des traitements
Kliniko tient un registre des catégories d'activités de traitement effectuées pour le compte de ses clients, conformément à l'article 27 de la loi 09-08.
6.7 Audit
Kliniko met à disposition du Client toute information nécessaire pour démontrer le respect de ses obligations. Le Client peut, moyennant un préavis raisonnable de trente (30) jours et à ses frais (sauf non-conformité avérée), réaliser un audit annuel documentaire ou mandater un auditeur tiers indépendant, sous obligation de confidentialité. L'audit ne peut pas porter sur l'infrastructure partagée d'autres clients ni sur les données d'autres clients.
7. Obligations du Client en qualité de responsable de traitement
Le Client s'engage à :
- déclarer son propre traitement à la CNDP conformément à la loi 09-08, en mentionnant Kliniko comme sous-traitant ;
- fournir l'information prévue aux articles 5 et 6 de la loi 09-08 aux personnes concernées (clients du cabinet, patients, collaborateurs) ;
- recueillir les consentements requis, notamment pour les communications WhatsApp à finalité marketing ;
- n'envoyer via Kliniko que des données strictement nécessaires aux finalités définies ;
- tenir à jour les droits d'accès attribués à ses collaborateurs dans le Service et révoquer immédiatement les accès des personnes ayant quitté la structure ;
- respecter les conditions commerciales de WhatsApp Business imposées par Meta (contenus autorisés, opt-in, gestion du STOP).
8. Droits des personnes concernées
Kliniko met à disposition du Client, via l'interface du Service, les fonctionnalités nécessaires pour répondre aux demandes d'exercice des droits prévus par la loi 09-08 :
- Accès : export des données d'un client / patient au format structuré (PDF + JSON)
- Rectification : édition directe des données dans l'interface
- Opposition : désinscription des communications commerciales ; désactivation des rappels automatisés
- Suppression : suppression logique avec purge effective après 30 jours de période de grâce (rétractation)
Pour les besoins spécifiques (demande portant sur plusieurs comptes, demande complexe), Kliniko assiste le Client sur demande adressée à [email protected].
9. Durées de conservation et restitution des données
9.1 Durées
| Donnée | Durée |
|---|---|
| Dossier patient actif | Durée du contrat client / Kliniko |
| Dossier patient après décès de l'animal | 3 ans (durée usuelle vétérinaire) |
| Factures et données comptables | 10 ans (article 211 du Code général des impôts) |
| Communications WhatsApp / email envoyées | 3 ans |
| Logs de sécurité | 12 mois |
9.2 Fin de contrat
À la fin du contrat entre le Client et Kliniko :
- Le Client dispose de trente (30) jours pour exporter l'intégralité de ses données via les fonctions d'export intégrées au Service.
- Sur demande écrite du Client adressée à
[email protected], Kliniko peut prolonger ce délai une fois pour une durée maximale de trente (30) jours supplémentaires. - Passé ce délai, Kliniko procède à la suppression des données du Client (purge active sous 30 jours + suppression des sauvegardes dans leur cycle de rotation normal, au maximum 90 jours au total).
- Kliniko conserve uniquement ce qui est nécessaire au respect d'une obligation légale (notamment la comptabilité).
10. Responsabilité
Chacune des parties est responsable des préjudices causés à l'autre ou à des tiers en conséquence directe de la violation par elle de ses obligations au titre du présent DPA.
La responsabilité de Kliniko au titre du présent DPA est soumise aux limitations prévues à l'article 13 des CGU, à l'exception des cas de faute lourde, de dol ou de violation intentionnelle des obligations légales en matière de protection des données.
11. Durée
Le DPA prend effet à la date d'acceptation des CGU par le Client et demeure en vigueur pendant toute la durée du contrat, ainsi que pendant la période de restitution des données prévue à l'article 9.2.
Les obligations de confidentialité et de sécurité survivent à la résiliation jusqu'à l'effacement effectif des données.
12. Modifications
Kliniko peut faire évoluer le présent DPA pour refléter :
- des évolutions légales ou réglementaires (notamment évolutions CNDP / Loi 09-08) ;
- des changements dans la liste des sous-traitants ultérieurs (article 4.3) ;
- des améliorations des mesures de sécurité et de transparence.
Les modifications sont notifiées au Client par email trente (30) jours avant leur entrée en vigueur. En cas de désaccord portant sur une modification substantielle, le Client peut résilier le contrat sans frais dans ce délai.
13. Droit applicable et juridiction
Le présent DPA est régi par le droit marocain. Tout litige relatif à son interprétation ou son exécution relève de la compétence du Tribunal de Commerce de Casablanca, après une tentative de résolution amiable d'une durée minimale de trente (30) jours.
14. Contact
Pour toute question relative au présent DPA, demande d'audit ou signalement d'incident :
HOUSNI Ahmed — Kliniko
Andalous Prestige 2, GH1, IMM 26, 27182 Bouskoura, Maroc
Email : [email protected]
WhatsApp : +212 708 29 36 55
Fin de l'Accord de Traitement des Données (DPA) — Version 1.0 du 22 avril 2026.