Digitsole Pro (B2B)
Data Processing Agreement
Semelles intelligentes (B2C)
Mesures techniques et organisationnelles
ACCORD SUR LE TRAITEMENT ET L’HÉBERGEMENT CERTIFIE DE DONNÉES POUR LE SERVICE DIGITSOLE PRO
Cet Accord, s’applique uniquement dans le contexte de l’offre de produits et services de solution Digitsole Pro
Chaque signataire de l’Accord est invité à conserver le présent contrat dans sa documentation permettant d’établir sa conformité à toute règlementation et lois encadrant les traitements de données à caractère personnel et aux données de santé, dont notamment le (RGPD), HIPPA, CCPA.
Accord
L’accord sur le traitement des données (repris ci-après sous la terminologie" Accord " ou “Annexe ”) a la valeur d’un Contrat entre les Parties. Il est approuvé à la date de son acceptation par voie électronique, afin de former une partie intégrante des Conditions d’utilisation du service de l’offre de produits et services de solution Digitsole Pro dans leur dernière version (Ci-après le « Contrat principal ») .
Entre:
“le Client”
Ci-après le " Responsable de traitement", signataire du Contrat principal
ET
DIGITSOLE SAS , immatriculée au RCS de Nancy (France) sous le numéro B 512 341 801, dont le siège social se situe 13, rue Héré - Place Stanislas, 54000 NANCY, FRANCE (définie ci-après en tant que “Sous-traitant”, fournisseur de l’offre de produits et services de solution Digitsole Pro,
Ci-après “ Le Sous-traitant”.
Les deux étant ci-après dénommés : Les parties
Article 1 – Objet
L’objet du présent Accord est de définir les conditions dans lesquelles le Sous-traitant s’engage à réaliser pour le compte du Responsable de traitement les opérations de traitement de données précisées ci-après dans le cadre de l’offre de produits et services de la solution Digitsole Pro
En application de leurs relations contractuelles, les Parties s’engagent à se conformer aux règlementations et législations applicables en matière de protection des données à caractère personnel qui s’appliquent tant au regard du lieu d’exercice du client qu’à celles qui s’appliquent à DIGITSOLE (ci-après « la réglementation en matière de protection des données à caractère personnel » ou « RGDP ») et en particulier le Règlement (EU) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(ci-après le « RGPD »).
Le présent Accord apporte également au Responsable de traitement, au Professionnel de santé et aux personnes concernées par le traitement des données, les garanties de l’application de toute réglementation ou loi relative à sur l’hébergement certifié des données de santé et notamment à la règlementation française sur l’hébergement certifié des données de santé (HDS ; Loi n°2002-303 du 4 mars 2002, Articles L1111-8 et R. 1111-11 du Code de la santé publique)
Article 2 - Définitions
Dans le présent Accord, les termes suivants auront la signification précisée ci-après et toutes formulations de l’Accord en intégrera le sens.
Les termes suivants ont le sens des définitions du RGPD
"Traitement ", "Responsable de traitement", "Sous-traitant", "Personne concernée", "Données à caractère personnel", “Données concernant la santé” “Activités de traitement”, “ Violation de données”, “ Destinataire”, “Tiers”, “ Consentement”, “DPO ou Délégué à la protection des données”,
Les termes suivants ont le sens spécifique de leur application dans le présent Accord :
"Anonymisation" signifie rendue anonyme
“Contrat principal” désigne l'accord de service pour l'utilisation de la solution et des services Digitsole Pro.
“Tierce partie” signifie tout intervenant autre que le Sous-traitant, le Responsable de traitement et le Professionnel de santé, la Personne physique concernée ou le Distributeur.
"Patients" signifie les Personnes physiques concernées utilisatrices de l’offre de produits et services de solution Digitsole Pro qui sont en relation avec un Professionnel de santé.
"Professionnel de santé" signifie un professionnel de santé ayant également la qualité de Responsable de traitement à l’égard de son patient et ayant la compétence et étant autorisé à utiliser l’offre de produits et services de la solution Digitsole Pro.
“Distributeur” signifie tout intervenant autre qu’une Tierce partie autorisé par Digitsole à commercialiser les Produits, sollicité directement par le Responsable de traitement ou le Professionnel de santé afin de souscrire une offre d’utilisation des Services et bénéficier d’un accompagnement personnalisé du Distributeur lors de son utilisation.
"EU" signifie l’Union Européenne.
"EEA" signifie Espace économique européen
"HDS" signifie le service d’hébergement certifié de Données de Santé (Législation française sur l’hébergement de données de santé sur support numérique ; Loi n°2002-303 du 4 mars 2002, Articles L1111-8 et R. 1111-11 du Code de la santé publique) fourni par le Sous-traitant au Responsable de traitement et au Professionnel de santé pour le stockage et le traitement de données recueillies ou produites à l’occasion d’activités de prévention, de diagnostic et de soin en vue de leur dépôt dans les systèmes du Sous-traitant à l’occasion de l’usage de l’offre de produits et services de solution Digitsole Pro. L’hébergeur HDS ne peut utiliser les données à d'autres fins et ne peut les transmettre à d'autres personnes que les destinataires désignés dans le présent Accord.
"Produits": semelles et/ou accessoires Digitsole Pro.
"Services": ensemble des services liés au produit Digitsole Pro.
"Compte": Un compte d'utilisateur se compose d'un nom d'utilisateur, d'un mot de passe et de toutes informations relatives à l'utilisateur permettant de bénéficier des Services
"Pays tiers" tout pays situé en dehors de l’EU/EEA comme ne disposant pas d’une règlementation équivalente au RGPD, à l’exception des pays faisant l’objet d’une décision d’adéquation de la Commission européenne pour le transfert de données à caractère personnel vers des pays tiers.
"PGSSI-S" Politique générale de sécurité des systèmes d’information en santé défini par les autorités française.
Article 3 – Entrée en vigueur et durée de l’accord
Le présent accord entre en application à compter de son approbation dématérialisée et de sa signature (ci-après « Date effective de l’Accord ») aussi longtemps que le Produit sera utilisé dans le cadre d’un Contrat principal en cours de validité pour une offre de produits et services de la solution Digitsole Pro.
Article 4 – Traitements résultant de l’Accord
Les traitements de données à caractère personnel réalisés par le Sous-traitant sont mis en oeuvre afin de fournir au Professionnel de santé des informations biomédicales liées à l’utilisation des Produits et Services par les Personnes concernées, notamment leur profile de marche.
Article 5 – Description des traitements
Le Responsable de traitement a chargé le Sous-traitant de lui fournir un traitement des données permettant d’atteindre les finalités suivantes et de procéder uniquement aux traitements nécessaires dans ce cadre :
i. Gestion des données produites dans le cadre de l’usage de l’offre de produits et services de solution Digitsole Pro, faisant intervenir le Responsable de traitement, un Professionnel de santé et un Patient ;
ii. Gestion des paramètres biomédicaux en lien avec la mobilité du Patient ;
iii. Gestion des données médicales de santé (pathologie) déclarées par le Patient en lien avec sa mobilité.
iv. L’analyse des données et paramètre biomédicaux en lien avec la mobilité du Patient
Nature des actions réalisées à partir des données en vue de l’accomplissement des finalités (i), (ii), (iii) et (iv):
- Collecte, enregistrement, modification, mise à jour et suppression de l’ensemble des informations liées à l’utilisation des Services et la gestion de la relation client ;
- Collecte, enregistrement, modification, mise à jour et suppression des informations par le Professionnel de santé lors de l’utilisation des Services ;
- Mise à disposition d’une interface de consultation du profil du Patient par les personnes autorisées par le Responsable de traitement ;
- Mise à disposition d’un dispositif d’importation au sein des Services de données structurées fournies par le Professionnel de santé ou le Responsable de traitement ;
- Exploitation anonyme de données biomédicales en vue d'un usage statistique et d'amélioration de l’offre de produits et services de solution Digitsole Pro;
- Mise à disposition du Distributeur de données minimisées afin de faire bénéficier le Responsable de traitement ou le Professionnel de santé d’un accompagnement personnalisé lors de l’utilisation des Produits.
- Protection de la confidentialité et de l'intégrité des données, de la disponibilité du service et des comptes, ainsi que des informations associées en application de la règlementation RGPD et celle liées à l’hébergement HDS.
Les catégories de personnes concernées par le traitement sont les suivantes : Patients, Professionnels de santé, Responsable de traitement.
Afin de fournir les Services mentionnés ci-dessus aux points (i), (ii), (iii) et (iv): pour le compte du Responsable de traitement, le Sous-traitant est autorisé à procéder au traitement, des informations nécessaires suivantes qui lui sont fournies par le Responsable de traitement, le Professionnel de santé et/ou la Personne concernée par le traitement :
Données identifiantes du patient :nom patronymique, prénom, date de naissance, le sexe, le poids, la taille, le titre, l’email, l’adresse du domicile, les coordonnées téléphoniques (mobiles, résidentielles, professionnelles), l’identifiant assigné par le Responsable de traitement ou Professionnel de santé, les données d’identification issues de services officiels (par exemple, un numéro national d'identification).
Données de soin : la pathologie, les mesures biomédicales et paramètres collectés comme résultats de l'utilisation des Produits et Services ;
Données d’identification du praticien : nom, prénom, nature de l’activité, titre professionnel, adresse, numéro de téléphone professionnel, email professionnel ;
Données électroniques : adresses IP, et données de connexion, témoins de connexion (cookies …), signature électronique ;
Article 6 - Obligations du Responsable de traitement
Dans le cadre du présent Accord, le Responsable du traitement dispose d’un contrôle contractuel des traitements réalisés par le Sous-traitant résultant des dispositions de l’article 28.3 du RGP et doit tout d’abord à ce titre :
- Fournir au Sous-traitant les données mentionnées dans le présent document ainsi que toutes celles qui seraient nécessaires à la mise en oeuvre des Services, les données devant avoir été obtenues en conformité avec toute législation applicable ;
- Fournir au Sous-traitant toutes instructions documentées relatives aux traitements devant être réalisés par le Sous-traitant ;
- Fournir au Sous-traitant les données requises pour permettre la mise en oeuvre de l’Accord ;
- Tenir le registre des activités des traitements requis par le RGPD;
- Mettre en oeuvre dans son activité l'ensemble des mesures organisationnelles et techniques, notamment en matière de sécurité, afin d'assurer le niveau de protection requis par le RGPD à l'occasion de l'utilisation des Services fournis par le Sous-traitant.;
- Assurer préalablement et tout au long de l'utilisation des services, sa conformité avec les exigences du RGPD ;
- Respecter les droits des personnes faisant l'objet d'un traitement ;
- Désigner un professionnel de santé pour garantir le respect du secret des données de santé, la protection de la vie privée des Personnes concernées et la mise en oeuvre de leurs droits ;
- Notifier tout incident de sécurité ou violation de données au Sous-traitant ;
- Assurer une supervision des traitements incluant le cas échéant la conduite d'audit et d'inspection avec le Sous-traitant ;
- Maintenir à jour les coordonnées de contact du Compte ;
- Prendre toutes mesures appropriées de protection afin de prévenir les accès non autorisés au compte, aux données et aux services ;
- Se conformer aux obligations de la « RPDP » en matière d'information et de recueil du consentement des personnes.
Le Responsable de traitement est supposé vérifier la conformité de son activité avec l'ensemble des réglementations liées à la protection des données personnelles, ainsi qu'au regard des dispositions contractuelles le liant au Sous-traitant ou à toute Partie tierce.
Article 7 - Obligations du Sous-traitant
Dans le cadre du présent Accord, le Sous-traitant s’engage vis-à-vis du Responsable de traitement au respect de la règlementation applicable au traitement des données, notamment au regard de l'article 28 du RGPD, et de la règlementation sur l’hébergement certifié de données de santé :
7.1 Adaptation à la réglementation applicable
Le Sous-traitant s'engage à se conformer à l'ensemble des dispositions du RGPD applicables à son activité, ainsi qu'à toute autre réglementation applicable en matière de protection des données.
Notamment le sous-traitant s'engage à :
· Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
· Traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement.
· Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
· Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
o s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
o reçoivent la formation nécessaire en matière de protection des données à caractère personnel
· Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
7.2 Obtention des autorisations règlementaires et certifications
Le Sous-traitant s'engage à obtenir les autorisations réglementaires et les certifications qui seraient nécessaires à l’exercice de son activité dans les pays de fournitures des Produits et Services. Le Sous-traitant a accompli auprès de l’Etat Français une démarche de certification permettant à des Professionnels de santé ou aux établissements de santé ou à la Personne concernée de déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes agréées à cet effet.
Le Sous-traitant a obtenu une certification permettant d’exercer l’activité d’hébergeur certifié de données de santé au titre du Code de la santé publique (Loi n°2002-303 du 4 mars 2002, Articles L1111-8 et R. 1111-11 du Code de la santé publique français dans le cadre du périmètre de certification pour une prestation d’hébergement et traitement de données de santé à caractère personnel, collectées au moyen des services appelé Digitsole Pro pour les activités suivantes :
1. mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
2. la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
3. l’administration et l’exploitation du système d’information contenant les données de santé;
4. la sauvegarde de données de santé.
Le Sous-traitant s’interdit dans ce cadre en tant qu’hébergeur certifié HDS d’utiliser les données de santé hébergées à d'autres fins que l'exécution de l'activité d'hébergement de données de santé.
Le certificat de conformité obtenu par le Sous-traitant, ainsi que ses dates de délivrance et de renouvellement, sont accessibles au sein du Centre de conformité :
https://compliance.digitsole.com/certifications
Les Sous-traitant communiquerait à sa première demande les rapports d’audit HDS réalisé par le certificateur par notre formulaire en ligne :
https://compliance.digitsole.com/data-subject-requests
7.3 Localisation de l’activité, et des lieux d’hébergement
Le Sous-traitant s’engage à informer de manière transparente le Responsable de traitement de la localisation de son activité et des lieux d’hébergement des traitements et des données.
La localisation de l’établissement du Sous-traitant se situe en France. Les traitements de données sont situés en sein de l’EU. En cas d’évolution, le Sous-traitant s’engage à en assurer la conformité. En cas de recours à des Sous-traitants ultérieurs dans le cadre de son activité, le Sous-traitant s’assurera du respect des engagements de conformité résultant du présent Accord. Le Responsable des traitements sera informé dans les meilleurs délais de tout éventuel changement dans ce domaine.
7.4 Instructions documentées
Le Sous-traitant s'engage à traiter uniquement les données entrant dans le cadre des instructions documentées du Responsable de traitement.
Le Sous-traitant informera le Responsable de traitement dans les meilleurs délais s'il apparaît qu'une instruction qui lui est communiquée par le Responsable de traitement constitue une violation du Règlement européen sur la protection des données (RGPD) ou d'une législation applicable au traitement.
7.5 Registre des activités de traitement
Le Sous-traitant s'engage à implémenter le traitement des données d'une manière documentée conformément aux exigences du RGPD et toute réglementation applicable notamment à l’activité d’hébergement certifié de données de santé.
En vertu de l’article 30 du RGPD, le Sous-traitant maintiendra un registre de l’ensemble des catégories de traitement, comprenant :
- Les coordonnées du Responsable de traitement, ainsi que celle de tout éventuel Sous-traitant le cas échéant, et celles du délégué à la protection des données ou Data protection officer (DPO);
- Le descriptif des activités de traitement, incluant en particulier la description des prestations réalisées dans le cadre de toute autorisation règlementaire ou certification obtenue en matière d’hébergement de données de santé ;
- En cas de transfert de données en dehors de l’UE, vers un pays tiers ou une organisation internationale, le Sous-traitant assure l'identification du destinataire en précisant les garanties appropriées adoptées pour répondre aux exigences du RGPD ;
Le registre comportera une description générale des mesures organisationnelles et techniques et de sécurité, incluant notamment, en fonction de la réalité opérationnelle et de toute autorisation règlementaire ou certification obtenue par le Sous-traitant :
- Les conditions de mise en oeuvre des mesures de protection des données, notamment en cas de recours à un procédé de pseudonymisation ou de chiffrement des données;
- Les mesures visant à assurer le maintien de la confidentialité des données, de leur intégrité et de leur disponibilité, ainsi qu’au niveau de la résilience des Services ;
- Les mesures liées à la capacité de reprise d’activité et de restauration de l’accès aux données en cas de survenance d’un incident ;
- Les processus de test régulier et d’évaluation de l’effectivité des mesures adoptées, prenant tout particulièrement en compte les exigences d’auditabilité des données hébergées au regard de la certification d’hébergeur de données de santé.
7.6 Coopération, audits
Le Sous-traitant assistera le Responsable de traitement dans l’accomplissement des obligations résultant des articles 32 to 36 du RGPD applicables à la sécurité (adoption de mesures, notification des violations de données,). Le Sous-traitant fournira au Responsable de traitement les informations en sa possession permettant de faciliter la réalisation d’une analyse d’impact sur la protection des données, ainsi que s’agissant de la consultation préalable de l’autorité de protection des données compétente.
Le Sous-traitant fournira au Responsable de traitement l'ensemble des informations nécessaires pour lui permettre de démontrer sa conformité avec les obligations résultant du présent Accord et faciliter tout audit en lien notamment avec la réglementation applicable à l’activité d’hébergeur certifié de données de santé.
7.7 Mesures techniques et organisationnelles, qualité et de performance du Service
Le Sous-traitant s’engage à prendre en compte, au niveau des outils, des Produits, et des Services, les principes de protection des données dès la conception et par défaut en adoptant des mesures techniques et organisationnelles.
Le Sous-traitant mettra en oeuvre les mesures d'ordre organisationnel et technique destinées à assurer un niveau de sécurité des données et des traitements appropriées aux risques identifiés, ainsi que pour garantir le niveau de service annoncé.
Les mesures de sécurité s’appuient notamment sur la mise en oeuvre des actions suivantes en fonction de l’analyse des risques et des besoins d’adoption de mesures de protection :
- Mesures de pseudonymisation ou de chiffrement des données ;
- Mesures visant à assurer l’existence et le maintien de la confidentialité des données, leur intégrité et leur disponibilité, ainsi que la résilience des systèmes d’information et services ;
- Mesures liées à la capacité de reprise d’activité et de restauration de l’accès aux données dans les meilleurs délais en cas de survenance d’un incident pouvant engendrer de tels enjeux ;
- Processus de test régulier, d’évaluation et d’audit de l’effectivité des mesures adoptées ;
- Mesures visant à protéger les données contre le risque de perte, de destruction ou d'accès accidentel ou illicite, d'altération ou de divulgation ou d’accès non autorisés.
Les mesures d’organisation de la sécurité adoptées par le Sous-traitant s’appuient notamment sur les exigences s'appliquant au Responsable de traitement visant à assurer le respect de l’organisation de la sécurité et des bonnes pratiques liées à sa Politique générale de sécurité des systèmes d’information en santé.
En approuvant cet Accord, le Responsable de traitement établis en France, est informé qu'il est tenu de mettre en oeuvre un Système d’information de santé respectant la PGSSI-S et s’engage à respecter les référentiels opposables de cette politique adoptée par les autorités françaises dans le domaine du traitement de données de santé en France.
Le Sous-traitant s’engage à adopter un niveau de service permettant notamment de répondre aux exigences de la certification obtenue pour l’hébergement de données.
Le niveau de service garanti est le suivant : 99 %
Des indicateurs de qualité et de performance sont adoptés par le Sous-traitant afin de permettre la vérification du niveau de service annoncé, le niveau garanti, ainsi que la périodicité de leur mesure.
Le lien ci-après, au sein du Centre de conformité, fournit une documentation actualisée des mesures organisationnelles et techniques envisagées par le Sous-traitant :
https://compliance.digitsole.com/technical-and-organisational-security-measures
7.8 Délégué à la protection des données (DPO), référents contractuels
Le Sous-traitant s’engage à permettre la prise en compte dans les meilleurs délais de l’ensemble des questions d’ordre organisationnel, technique et juridique liées à la mise en oeuvre de l’accord, en s’appuyant sur la désignation d’un référent contractuel et d’un délégué à la protection des données.
L’intervention de ces deux fonctions internes au Responsable de traitement d’une part et au Sous-traitant d’autre part, doivent permettre de garantir l’application des exigences du RGPD et celles qui résultent de la certification obtenue en matière d’hébergement de données de santé.
Le référent contractuel du Responsable de traitement peut être contacté pour l’ensemble des questions liées à l’exécution de l’accord et en premier lieu pour le traitement des incidents ayant un impact sur les données de santé hébergées.
Le Responsable de traitement, client de l’hébergeur, s’engage à designer un Professionnel de santé à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées. Dans le cadre du présent Accord, le Responsable de traitement signataire de l’Accord s’engage à prendre le rôle de référent contractuel. En cas d’impossibilité d’exercer ce rôle, le Responsable de traitement s’engage à se faire substituer par une personne ayant la même autorité.
Le Délégué à la protection des données (DPO) peut être contacté pour toute question liée à l'application de la réglementation européenne sur la protection des données ainsi que s'agissant des autres législations concernées. Le DPO dispose de prérogatives étendues au regard des dispositions de l'article 37 à 39 du RGPD. Le DPO, dans le cadre de sa fonction et de ses missions, accompagnera Responsable de traitement afin de faciliter la fourniture d'information émanant du Sous-traitant permettant aux responsables de traitement de réaliser des audits ou de répondre à toutes questions liées à l'application des dispositions sur la protection des données à caractère personnel ou en lien avec les référentiels applicables aux traitements de données dans le domaine de la santé.
Coordonnées:
- Référent contractuel
Email: legal@digitsole.com
- DPO
Email: dpo@digisole.com
7.9 Recours à des sous-traitants et prestataires techniques ultérieurs
Le Sous-traitant, en tant que sous-traitant principal au titre du RGPD, s’engage à recourir à l’intervention de sous-traitants ultérieurs ou de prestataires techniques uniquement dans le respect des dispositions du RGPD et de celles applicables à la certification de l’activité d’hébergement de données de santé. Cela doit permettre de maintenir en toutes circonstances et en fonction des intervenants un niveau de garanties équivalent à celui qui s’applique au Sous-traitant. Les Sous-traitants ultérieurs ont l'interdiction de transférer des données vers un Pays tiers, sauf s’il est établi que cette transmission est réalisée dans les conditions requises par le RGPD.
Le Responsable de traitement autorise le Sous-traitant à recourir à des sous-traitants ultérieurs dont l’intervention est nécessaire à la mise en oeuvre des Services. Le Responsable de traitement est tenu informé de tout projet de recours à un sous-traitant ultérieur afin de permettre au Responsable de traitement dans un délai de 14 jours de faire part de toutes observations ou objection à compter de la prise de connaissance de cette information. La liste des sous-traitants ultérieurs en activité est accessible au sein du Centre de conformité.
Le lien ci-après, au sein du Centre de conformité, fournit une liste des Sous-traitants ultérieurs, ainsi que les garanties apportées en matière de transfert de données hors UE :
https://compliance.digitsole.com/sub-processors
7.10 Confidentialité, secret professionnel, accès aux données de santé à caractère personnel
Le Sous-traitant s'engage à limiter l'accès aux traitements ainsi qu'aux données à caractère personnel aux seules personnes strictement autorisées, ainsi qu’en application du principe de minimisation du RGPD.
Conformément à la réglementation sur l’hébergement certifié des données de santé à caractère personnel, le Sous-traitant et les personnes placées sous son autorité qui ont accès aux données sont astreintes au secret professionnel. Seuls peuvent avoir accès aux données hébergées les personnes concernées par le traitement et les Professionnels de santé qui les prennent en charge et qui sont de ce fait désignées, dans le respect des dispositions de la réglementation applicable au secret et à la protection de la vie privée.
Les personnes autorisées par le Sous-traitant sont soumises à un engagement de confidentialité spécifique, sauf si elles sont éventuellement exemptées d'une telle obligation.
Le Sous-traitant s'assure que les personnes autorisées ont reçu une sensibilisation appropriée afin de respecter les règles de confidentialité dans le cadre de leurs interventions et au regard de leurs fonctions. Les accès sont limités au contexte de maintenance applicative, d’amélioration de la sécurité ou des mesures de protection des données.
En cas de demande d'accès aux données de santé à caractère personnel hébergées, le Sous-Traitant proposera des modalités de prise en compte de cette demande dans le respect des exigences de secret médical.
7.11 Information des personnes concernées
En cas d’éventuelle collecte de données à caractère personnel par le Sous-traitant directement auprès des Personnes concernées, ces dernières recevront une information appropriée en tenant compte des dispositions applicables du RGPD en matière d’information. Le Sous-traitant déploie par ailleurs une politique de protection des données librement accessible en ligne.
7.12 Droits des Personnes concernées, portabilité des données
Le Sous-traitant met en place des modalités spécifiques d’encadrement des demandes d’accès aux données de santé à caractère personnel hébergées résultant de l’application du RGPD et en conformité avec les exigences de la certification de l’activité d’hébergement de données de santé.
En cas d'exercice par les Personnes concernées directement auprès du Sous-traitant des droits qui leur sont reconnus par le RGPD, le Sous-traitant informera à réception la Personne concernée qu'il convient de s'adresser directement au Responsable de traitement. Le Sous-traitant coopérera autant que possible avec le Responsable de traitement, afin de faciliter la réponse aux demandes des personnes faisant l'objet d'un traitement (questionnement, droit d'accès, rectification et suppression, information, portabilité des données, opposition, Incluant la prise de décision individuelle automatisés en cas d'usage de procédé de profilage).
S’agissant du droit à la portabilité des données, le Sous-traitant veillera à proposer au Responsable de traitement ainsi qu’à la personne dont les données sont traitées la possibilité de récupérer une partie des données concernées dans un format lisible par une machine afin de permettre le stockage par ailleurs de ces données portables ou de les transmettre facilement d’un système à un autre, en vue d’une réutilisation à d’autres fins.
7.13 Notification des violations de données à caractère personnel et signalements
Le Sous-traitant s’engage à prendre toutes mesures applicables à la gestion et au signalement des incidents de sécurité entrant dans le cadre du régime juridique des violations de données, en application du RGPD ainsi que dans le respect du cadre de la certification de l’activité d’hébergement de données de santé. Le Sous-traitant notifiera au Responsable de traitement afin que celui-ci puisse recevoir un signalement conforme en conformité avec les dispositions règlementaires applicables à son activité et notamment celles du Règlement européen sur la protection des données pour lui faire connaître tout incident de sécurité relevant d'une violation de données à caractère personnel.
Les modalités de signalement au Responsable de traitement sont les suivantes :
- Envoi d’un message dans un délai de 48 heures à destination de l'adresse e-mail contractuelle communiqué par le Responsable de traitement lors de la souscription des Services dans le cadre de l’acceptation du présent Accord
La notification sera accompagnée, autant que possible, de toute documentation permettant au Responsable de traitement de remplir l’obligation de notification auprès de l'autorité de protection des données compétente ou des Personnes concernées par le traitement.
7.14 Requête d'une autorité judiciaire ou d'une autorité habilitée
Le Responsable de traitement est informé de l'éventualité pour le Sous-traitant de devoir répondre à une requête d'une autorité judiciaire ou d'une autorité habilitée afin d'obtenir la communication de données à caractère personnel incluant le cas échéant des données de santé. De telles demandes devant reposer sur une décision d'autorisation ayant une valeur légale, le Sous-traitant procédera dans tous les cas à une vérification préalable de légalité des demandes afin de déterminer s'il est légalement contraint d'y répondre. Sauf si le Sous-traitant en est empêché par l'existence d'une obligation légale préalablement vérifiée, il procédera à l'information du Responsable de traitement de l'existence de cette demande ainsi que sur l'étendue des données qui ont été communiquées à l'autorité habilitée.
7.15 Relations avec les distributeurs
Le Sous-traitant s’engage à faciliter au Distributeur, sollicité directement par le Responsable de traitement ou le Professionnel de santé afin de souscrire une offre d’utilisation des Services, l’accès aux seules informations nécessaires à la fourniture d’un accompagnement personnalisé lors de l’utilisation du Produit.
7.16 Transfert de données hors de l’UE
Le Sous-traitant s’engage au respect des exigences du RGPD applicable au transfert de données hors de l’Union Européenne.
Le Responsable de traitement sera informé dans les temps de toutes informations liées à la localisation géographique des traitements de données, ainsi que de leur éventuelle relocalisation (incluant le transfert du lieu d'établissement du Sous-traitant) et l'indication le cas échéant d'un Pays tiers (En dehors de l’UE ou de l’EEA), afin de permettre aux responsables de traitement de disposer du temps suffisant pour faire état de toutes observations. En cas d'obligation pour le Sous-traitant de transférer des données vers un pays tiers ou une organisation internationale, au regard de la législation européenne ou de celle d'un État membre auquel le Sous-traitant serait soumis, le Sous-traitant en informera le Responsable de traitement des bases légales de ce traitement, sauf s'il est légalement contraint de ne pas divulguer cette information.
7.17 Modifications des Services ou évolutions techniques, défaillance des Services
Le Sous-traitant s’engage à prendre toutes mesures permettant d’accompagner le Responsable de traitement en cas d’éventuelle modification des services ou d’évolutions techniques, de même qu’en cas d’éventuelles défaillances. Cet accompagnement vise notamment à anticiper et prendre en compte les exigences propres à la continuité et à la reprise d’activité ainsi que le cadre des différentes mesures organisationnelles et techniques résultant du RGPD et de la certification de l’activité d’hébergement de données de santé.
Article 8 – Fin des Services, terme de l’hébergement certifié
Le Sous-traitant s’engage à accompagner le Responsable de traitement au terme du présent Accord et du Contrat principal d’utilisation des services, ainsi qu’en cas de perte ou de retrait de la certification liée à l’hébergement des données afin de permettre la réversibilité de la prestation d'hébergement de données de santé ainsi que leur restitution et leur destruction. Les modalités des différentes prestations en résultant sont tenues à la disposition du Responsable de traitement.
Le Sous-traitant s’engage en cas de survenance d’une situation entrant dans le cadre du présent article à proposer un plan d’action au Responsable de traitement au plus tard dans un délai de trente (30) jours à compter de la survenance de l’évènement. La mise en oeuvre des dispositions de la présente clause peut être sollicitée à tout moment en cours de validité du Contrat principal, ce qui n'a pas de conséquence sur la validité des clauses financières du Contrat principal.
Le Sous-traitant s’engage à mettre en oeuvre soit (a) la restitution des données sollicitées soit leur (b) destruction. Ces opérations seront réalisées en conformité avec les dispositions de l'article 28 (3) (g) du RGPD.
A l’Issue de la date de mise en oeuvre de la mesure sollicitée, le Sous-traitant procédera à la destruction ou à l'anonymisation des données concernées en conformité avec le processus applicable dans son organisation.
En l'absence d'instruction du Responsable de traitement, le Sous-traitant procédera à la destruction définitive des données ou à leur anonymisation, dans un délai de trente (30) jours à compter de la dernière utilisation du Produit, sous réserve de l’existence d’une autre obligation applicable dans le pays de l’établissement du Sous-traitant ; les données contenues dans le système de sauvegarde seront détruites de manière permanente ou anonymiser au cours d'un cycle de trois mois.
Dernière mise à jour le 24 janvier 2022