Politique de sécurité et de protection des données à caractère personnel et de santé V1.0

Politique de sécurité et de protection des données à caractère personnel et de santé


Version : 1.0
Date de dernière mise à jour : 24-05-2018



La Politique de Sécurité et de protection des données à caractère personnel et de santé fait partie intégrante des Conditions Générales d’Utilisation.

 

DÉFINITIONS

Au sens des présentes, les expressions ci-dessous auront la définition suivante :

Le Concédant, auteur du Service, WEEZZ (SARL au capital de 8000€ sise 3 impasse Croix de Clary 81000 Albi).

Service désigne indistinctement l'ensemble des Logiciels, des Applications, Sites Internet et Services fournis par le Concédant aux Utilisateurs.

Licencié désigne la personne, physique ou morale qui souscrit au Service fourni par le Concédant.

Parties désigne conjointement le Concédant et l’Utilisateur.

Contrat désigne l’ensemble des présentes, la Licence du Logiciel et les Conditions Générales d’Utilisation.

Utilisateur désigne toute personne qui utilise le Service proposé par le Concédant.

Déposant désigne la personne, physique ou morale, déposant des Données à caractère personnel et de santé par le biais du Service.

Personne concernée désigne la personne à laquelle se rapportent les données et qui est concernée par le traitement des données à caractère personnel ou de santé.

Professionnel désigne toute personne utilisant le Service proposé par le Concédant dans le cadre de son activité professionnelle.

Professionnel de santé désigne toute personne utilisant le Service proposé par le Concédant et relevant de la liste des professions de santé telle qu’établie par le Code de la santé publique dans sa quatrième partie « Professions de santé ».

Responsable de Traitement de données désigne sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne ou l’organisme qui détermine les finalités et les moyens du traitement qu'il/elle exerce sur des données.

Données à Caractère Personnel désigne toute information concernant une personne physique identifiée ou identifiable ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Données de Santé désigne toute Donnée à caractère personnel concernant la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Loi Informatique et Libertés désigne la Loi n° 78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et modifiée par la loi n° 2004-801 du 6 août 2004.

RGPD désigne le Règlement Général sur la Protection des Données n° 2016/679 adopté par le Parlement Européen le 14 Avril 2016.

 

PRÉAMBULE

1/ Le concédant est sous-traitant du Licencié et/ou du Responsable de Traitement en sa qualité de fournisseur d’un Logiciel en mode SAAS.
Le concédant ne peut être considéré comme sous-traitant du Responsable de Traitement pour ce qui est du traitement des données a caractère personnel et données personnelles de santé puisqu’il :

  • ne traite pas les données à caractère personnel et données personnelles de santé enregistrées par les Utilisateurs dans le Logiciel,
  • n'a accès aux données que pour son rôle de maintenance et de SAV du Service,
  • ignore la nature exacte des données enregistrées et traitées par les Utilisateurs du Service.

Si le concédant est amené à intervenir sur les données à caractère personnel et/ou données personnelles de santé hébergées pour le compte d’un Responsable de Traitement, il le fait uniquement à la demande, et sur instruction écrite de ce dernier.
Le Concédant ne pourra être tenu responsable du contenu des informations, du son, du texte, des images, éléments de forme et données enregistrées, transmises ou mises en ligne par le Licencié et ses Déposants sur le Service, et ce à quelque titre que ce soit.

2/ Les données à caractère personnel sont assujetties à une réglementation stricte. Les Parties doivent s'engager à appliquer les différentes dispositions légales et réglementaires en vigueur, dont notamment, mais non exhaustivement, les deux principales :

  • Loi "Informatique et Liberté " n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés;
  • Règlement général sur la protection des données (RGPD) n°2016/679, adopté par le Parlement européen et le Conseil le 27 avril 2016.

3/ Afin de faciliter l'application de la réglementation et la bonne exécution du Contrat, les Parties s’engagent à :

  • respecter, pour les acteurs de la Santé, les principes fondateurs de la PGSSI-S (Politique générale de sécurité des systèmes d'information de santé) et se conformer aux référentiels techniques et aux guides associés ;
  • coopérer avec les autorités de protection des données à caractère personnel ou de santé compétentes ;
  • désigner chacune un interlocuteur unique, en charge de la bonne exécution du Contrat, et notamment des problématiques de sécurité. Chaque Partie s’engage à communiquer à l'autre Partie le nom et les coordonnées de cet interlocuteur et à l'informer de tout changement de coordonnées ou d'interlocuteur.

L'interlocuteur chez le Concédant est Monsieur Julian ADELMAN : julian@wz-agenda.net

 

OBLIGATIONS ET RESPONSABILITÉS INCOMBANT A LA SOCIÉTÉ

Le Concédant s'engage à offrir à ses Licenciés les garanties nécessaires afin que les traitements qui sont mis en œuvre par le biais du Service pour leur compte intègrent les principes de la protection des données, à savoir :

  • le Service intègre dès la conception, de façon effective, les principes relatifs à la protection des données ;
  • par défaut, le Service garantit que seules les données minimales nécessaires peuvent être collectées. Le Responsable de Traitement peut étendre les capacités de collecte selon la finalité de traitement définie par lui.

Le Concédant est tenu, ainsi que l'ensemble de son personnel et ses sous-traitants intervenant sur le Service, au secret professionnel et à l'obligation de discrétion sur la contractualisation du Service. Cette obligation de secret professionnel s’applique en particulier aux Données de santé stockées sur le Service. Le Concédant assure la sensibilisation de son personnel au respect des exigences légales et réglementaires applicables et à la sécurité des Données de santé, en particulier à leur confidentialité et au respect du secret professionnel. Le Concédant s'engage à n'affecter que du personnel qualifié au Service et formé à la sécurité.

Le Concédant atteste héberger son Service sur des infrastructures localisées dans des centres de données établis sur le territoire français et agréées pour l’hébergement de données de santé. L’hébergeur du Service est :

OVH Healthcare : SAS OVH, Service OVH Healthcare, 2 rue Kellermann – 59100 Roubaix – France. SAS au capital de 10 069 020 € - RCS Lille Métropole 424 761 419 00045.

Dans l'hypothèse où l'hébergement ne serait plus agréé, le Concédant s'engage, dans les meilleurs délais, à récupérer les données déposées dans le cadre du Service et de les héberger sur de nouvelles infrastructures agréées et ce afin de respecter la réglementation en vigueur.

En lien avec l’article 37 du Règlement Général pour la Protection des Données, le Concédant a désigné et dispose d’un Délégué à la Protection des Données. Ses coordonnées postale et électronique sont : Société WEEZZ SARL – à l’attention du Délégué à la Protection des Données - 3 Impasse Croix de Clary – 81000 Albi - France ou dpo@wz-conseil.com.

Le Concédant s'engage, sous réserve des données qu’il se doit de conserver conformément à la réglementation en vigueur et des données nécessaires à la défense de ses droits à ne conserver aucune copie des données collectées par les Déposants à la fin des opérations de réversibilité.

Pour son Service de prise de rendez-vous en ligne, le Concédant s’engage, conformément aux dispositions légales et réglementaires en vigueur, à donner l’information préalable aux personnes concernées, sur les données qu’il collecte lors de l’utilisation par ces personnes des services qui leur sont destinés, sur le recueil de leur consentement, sur la finalité de traitement de ces données, sur l’hébergement, et sur leurs droits et l’exercice de leurs droits.

Pour les données collectées par les Déposants, le Concédant s’engage à prendre toutes précautions utiles afin de préserver la sécurité des données déposées sur son Service, dans ce qui relève de son périmètre d’activité :

  • il s’engage à assurer la confidentialité, l’intégrité et la disponibilité du Service et des Données personnelles et de santé déposées ;
  • il s’engage à mettre en place des mesures de protection afin de limiter tout risque de destruction, altération, diffusion ou accès non autorisé, que ces événements aient une origine volontaire ou accidentelle ainsi qu'à mettre en œuvre des mesures techniques et organisationnelles prévues au Contrat ;
  • il s'engage à assurer le maintien au meilleur niveau de la qualité de ses outils conformément à l'état de l'art de la profession.

La responsabilité du Concédant ne pourra être recherchée en cas de :

  • faute, négligence, omission ou défaillance soit de l'Hébergeur, soit du Licencié, soit du Responsable de Traitement, soit d'un tiers sur lequel le Concédant n'a aucun pouvoir de contrôle et de surveillance ;
  • force majeure, événement ou incident indépendant de la volonté du Concédant ;
  • arrêt du Service pour toute cause de résiliation, limitation et suspension du Service ;
  • divulgation ou utilisation illicite du mot de passe remis confidentiellement au Liciencié et aux Utilisateurs, ou créés directement par eux ;
  • détérioration du Service ;
  • mauvaise utilisation des terminaux par le Licencié et ceux agissant pour son compte ;
  • destruction partielle ou totale des informations transmises ou stockées à la suite d'erreurs imputables directement ou indirectement au Licencié ;
  • utilisation du Service par un tiers non autorisé par le Licencié ;
  • non-respect par le Licencié de ses propres obligations légales.

 

OBLIGATIONS ET RESPONSABILITÉS LÉGALES DU LICENCIÉ

Conformément aux dispositions légales et réglementaires, les obligations suivantes relèveront exclusivement de la responsabilité du Licencié sur sa propre activité :

  • Assurer la sécurité des postes de travail et des équipements à partir desquels son personnel, et toute personne autorisée par lui, accèdent au Service et aux Données à caractère personnel et de santé ;
  • Maîtriser les habilitations, l’identification, l’authentification et le contrôle d’accès de son personnel et de ses Utilisateurs au Service et aux Données à caractère personnel et de santé ;
  • Contrôler l’utilisation des moyens d’authentification par les personnes habilitées à accéder aux Données à caractère personnel et de santé ;
  • Gérer les Incidents de sécurité sur son périmètre d’activité ;
  • Sensibiliser et former son personnel à la sécurité des systèmes d’information ;
  • Sensibiliser son personnel à la confidentialité et au respect du secret professionnel, et plus particulièrement concernant les Données à caractère personnel et Données personnelles de Santé déposées dans le cadre du Service ;
  • Communiquer, sauvegarder et archiver les Données à caractère personnel et Données personnelles de Santé conformément à la réglementation en vigueur sur les Données de Santé ;
  • Réserver l’accès aux Données à caractère personnel et de santé aux Utilisateurs placés sous l’autorité du Responsable de Traitement. Le Responsable de Traitement est responsable de la gestion des habilitations d'accès aux Données. S’agissant du personnel technique, le Licencié s’engage à n’accorder un droit d’accès aux Données à caractère personnel et de santé qu’aux personnes, soumises au secret professionnel, le cas échéant au secret médical, et individuellement identifiées, ayant strictement besoin d'y accéder et liées contractuellement au Licencié. Ces personnels techniques accédant aux Données à caractère personnel et données de santé doivent offrir des garanties suffisantes afin de réaliser leur travail.

Le cas échéant, il appartient au Licencié de conseiller, ou de s’assurer du conseil, de ses Déposants et de ses Utilisateurs, sur les conditions d’accès aux Données de santé imposées par les dispositions légales et réglementaires en vigueur, et, plus généralement, sur la sécurité des données.

Le Concédant ne saurait en aucun cas être tenu pour responsable de toute conséquence du défaut de fonctionnement du Service consécutif à une utilisation par les employés du Licencié ou par toute personne à laquelle le Licencié aura fourni un accès.

Dans les deux parties suivantes, sont exposées les responsabilités des Responsables de Traitement et de leurs Déposants. Référez-vous au cas définissant votre position dans le processus de traitement des données, lisez attentivement et comprenez les responsabilités qui vous incombent.

 

CAS N°1 : OBLIGATIONS ET RESPONSABILITÉS DU RESPONSABLE DE TRAITEMENT ET DE SES DÉPOSANTS

Est entendu par "Déposant du Responsable de Traitement", tous les Déposants liés au Responsable de Traitement par une relation de subordination juridique permanente, notamment et non exhaustivement son personnel. Cela exclu, de fait, les Déposants en situation de sous-traitance (se reporter au cas n°2).

Information préalable et consentement

Le Responsable de Traitement doit s’assurer du respect par ses déposants de l’information préalable aux personnes concernées :

  • sur les données qu’il collecte ou fait collecter pour son compte lors de l’utilisation du Service ;
  • sur la finalité de traitement de ces données ;
  • sur l’hébergement ;
  • sur leurs droits et l’exercice de leurs droits.

Cette information préalable doit être complète et claire.

Le Responsable de Traitement doit s’assurer du recueil du consentement des personnes concernées avant la collecte de leurs données, quand cela est nécessaire.

L’information préalable des Personnes concernées relative aux finalités de traitement nécessaires à la réalisation des prestations d’un Professionnel ou Professionnel de santé ne relève en aucun cas de la responsabilité du Concédant.

Conformité des Données à caractère personnel et données personnelles de santé

Le Responsable de Traitement est responsable de la conformité des Données traitées lors de l'utilisation du Service. A ce titre, il est notamment responsable de l’exactitude des Données et de leur mise à jour, de la détermination d’une durée de conservation (si la réglementation n'en impose pas une), de la suppression des données, de l’information préalable des personnes concernées, de la (les) finalité(s) de traitement qu'il exerce sur les données collectées, du recueil des consentements requis en application de la réglementation en vigueur, de la gestion des accès des personnes concernées aux Données de santé et de la sécurité de ces dernières.

Exercice des droits des personnes concernées

Le Responsable de Traitement s’engage à traiter, ou à faire traiter par ses Déposants, les demandes transmises par les Personnes concernées pour la limitation de traitement, retrait de consentement, rectification, transfert, opposition et effacement, pour les données qu’il traite et dans le respect des délais légaux.
Le Responsable de traitement s'engage à communiquer aux Personnes concernées un point de contact, afin d'être dans la possibilité d'exercer leurs droits.
Lorsque les demandes sont adressées au Concédant, pour des traitements incombant au Responsable de Traitement, le Concédant lui en fait part, via son Licencié le cas échéant. Le Responsable de Traitement s’engage à traiter la demande.
Selon les droits concernés, le Concédant peut aider le Responsable de Traitement à traiter la demande sur sollicitation écrite.
Lorsque les demandes sont adressées au Médecin de l’Hébergeur, celui-ci sollicite directement ou par le biais du Concédant le Responsable de Traitement qui doit traiter cette demande.

Accès aux Données à caractère personnel et données personnelles de santé des Personnes concernées

Toute Personne concernée dispose d’un droit d’accès à ses Données à caractère personnel et de santé, ainsi qu’à l’historique des accès et opérations réalisés sur ces données.
Le Concédant traite les demandes de droit d’accès aux Données à caractère personnel, adressées par les Personnes concernées, pour les données que le Concédant collecte pour son compte.
Le Responsable de Traitement, aidé de ses déposants, et ce dans le respect des délais légaux, traite les demandes de droit d’accès aux Données à caractère personnel et de santé adressées par les Personnes concernées, concernant les données collectées par le Responsable de Traitement et ses déposants, pour ses activités de traitement.
La Personne concernée demandeuse de l'accès peut s’adresser au Médecin de l’hébergeur de données de santé pour accéder à ses Données. Le Médecin de l'Hébergeur s'engage à répondre à cette demande conformément aux dispositions légales et réglementaires en vigueur, notamment avec l'accord préalable du Responsable de Traitement et dans le respect des délais légaux.
Le Concédant peut aider le Responsable de Traitement et fournir l'historique des accès sur demande écrite.

Principe général de transparence et de traçabilité

Le Responsable de Traitement s'engage à désigner, lorsqu'il répond aux critères définis par la législation en vigueur ou par sa propre volonté, un délégué à la protection des données et à communiquer son nom et ses coordonnées aux acteurs du Service.

Le Responsable de Traitement s'engage à tenir, lorsqu'il répond aux critères définis par la législation en vigueur ou par sa propre volonté, un registre des activités de traitement des données à caractère personnel.

Le Responsable de Traitement s'engage à documenter ses actions sur la protection des données à caractère personnel, ainsi qu'à mettre à disposition sur demande toutes les informations nécessaires pour démontrer le respect de ses obligations à l'autorité de contrôle compétente.

Le Responsable de Traitement s'engage, lorsqu'il fait appel à des sous-traitants pour tout ou partie du traitement des données, à réaliser un contrat / acte juridique écrit, ainsi que des instructions documentées en direction des sous-traitants du traitement des données, et ce dans le but de garantir le respect des réglementations en vigueur régissant le traitement des données à caractère personnel et de santé.

Déclaration des traitements à la CNIL

Le Responsable de Traitement s'engage à avoir déclaré à la CNIL les finalités de traitements qu'il souhaite effectuer sur les données, préalablement à la collecte des données à caractère personnel et de santé nécessaire pour la réalisation de ces traitements.

Confidentialité et secret professionnel

Le Responsable de Traitement s'engage et engage le cas échéant l'ensemble de ses Déposants et ses sous-traitants intervenant sur le Service, au secret professionnel sur les données à caractère personnel et de santé, et à l'obligation de discrétion sur la contractualisation du Service. Cette obligation de secret professionnel s’applique notamment, mais non exhaustivement, aux Données de santé stockées sur le Service.

Le Responsable de Traitement assure le cas échéant la sensibilisation de ses Déposants au respect des exigences légales et réglementaires applicables sur la protection des Données à caractère personnel et Données de santé, en particulier à leur confidentialité et au respect du secret professionnel et / ou médical. Il s'engage à n'affecter que du personnel qualifié au Service et sensibilisé à la confidentialité des Données.

S’agissant du personnel technique, lorsqu'il en fait usage, le Responsable de Traitement s’engage à n’accorder un droit d’accès aux Données à caractère personnel qu’aux personnes soumises au secret professionnel, le cas échéant au secret médical, et individuellement identifiées, ayant strictement besoin d'y accéder et liées contractuellement au Responsable de Traitement. Ces personnels techniques accédant aux Données à caractère personnel et données de santé doivent offrir des garanties suffisantes afin de réaliser leur travail.

Sécurité

Le Responsable de Traitement s'engage à effectuer une étude d'impact sur la protection des données lorsque les risques pour les droits et libertés des Personnes concernées sont élevés, à moins que le traitement soit déjà autorisé, n'a pas changé, et que les conditions de mises en oeuvre sont respectées.

Le Responsable de Traitement s’engage à prendre toutes précautions utiles, au regard de la nature des Données et des risques présentés par le traitement, pour préserver la sécurité des Données.

Ils s’engagent, sur leurs périmètres respectifs, à mettre en place des mesures de protection afin de limiter tout risque de destruction, altération, diffusion ou accès non autorisé, que ces événements aient une origine volontaire ou accidentelle.

Le Responsable de Traitement s'engage à assurer et à faire assurer la sécurité des postes de travail et des équipements à partir desquels son personnel, et toute personne autorisée par lui, accèdent au Service et aux Données à caractère personnel et de santé.

Le Responsable de Traitement s'engage à réserver l’accès aux Données à caractère personnel aux personnel et personnes placés sous son autorité. Le Responsable de Traitement s'engage à maîtriser les habilitations, l’identification, l’authentification et le contrôle d’accès de son personnel et des autres Utilisateurs au Service et aux Données à caractère personnel et de santé pour lesquelles il a donné accès.

Le Responsable de Traitement s'engage à contrôler l’utilisation des moyens d’authentification et leur niveau de force des personnes habilitées à accéder aux Données à caractère personnel et Données de santé.

Le Responsable de Traitement s'engage à sensibiliser et former, le cas échéant, son personnel à la sécurité des systèmes d’information. Il s'engage à n'utiliser que des sous-traitants sensibilisés et formés à la sécurité des systèmes d'information.

Le Responsable de Traitement s'engage à gérer les Incidents de sécurité sur son périmètre d’activité.

Le Responsable de Traitement s'engage à ne communiquer, sauvegarder et archiver les Données de santé que conformément à la réglementation en vigueur sur les Données de Santé.

Sous-traitance

Lorsque le Responsable de Traitement fait appel à un sous-traitant, sur tout ou partie du traitement, et ce dans le cadre du Service, celui-ci ne doit uniquement faire appel qu'à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences réglementaires.

Tous les sous-traitants sont assujettis aux mêmes obligations de confidentialité et de sécurité des données personnelles que le Responsable de Traitement, et sont liés par un contrat/acte juridique écrit définissant l'objet et les durée, nature et finalité du(des) traitement(s), le type de données à caractère personnel, les catégories de Personnes concernées, ainsi que les obligations et droits du responsable de traitement (cf RGPD).

Donc, dès lors que le Responsable de Traitement fait appel à un sous-traitant, intervenant ou susceptible d’intervenir sur des Données à caractère personnel et des Données de santé, il reporte les obligations qui lui incombent au titre du Contrat et des dispositions légales et réglementaires, à la charge de ce tiers. Il s’assure du respect de ses obligations par ce tiers.

Le Responsable de Traitement conseille tout sous-traitant quant au respect des obligations qu’il reporte contractuellement à sa charge.

Le Licencié demeure responsable, à l’égard du Concédant, de l’exécution des obligations contractuelles résultant des présentes.

Durée de conservation

Le Responsable de Traitement conserve les Données à caractère personnel et de santé pour une durée limitée conformément à la législation en vigueur. Lorsque aucune règle n'est définie, il ne conserve les données que pour la durée minimale nécessaire à la finalité du traitement pour lequel il les a collectées.
Lorsque le Responsable de Traitement n'est pas le Licencié direct du Concédant, il s'engage à informer le Concédant lors de la fin de son contrat avec ledit Licencié, afin de régler les restitution / suppression de données à caractère personnel collectées au cours de l'utilisation du Service.

Violation des données

Sauf disposition contraire du Contrat entre un Responsable de Traitement et son Sous-traitant, lorsqu’il en a connaissance, le Responsable de Traitement doit notifier à l’autorité de contrôle compétente toute violation de Données à caractère personnel et Données personnelles de Santé, ainsi que la communiquer aux personnes concernées, et ce dans les conditions énoncées dans la réglementation.

 

CAS N°2 : OBLIGATIONS ET RESPONSABILITÉS DU SOUS-TRAITANT DU RESPONSABLE DE TRAITEMENT ET DE SES DÉPOSANTS

Le Sous-traitant est une personne physique ou morale chargée d'un travail de traitement des données à caractère personnel et de santé pour le compte du Responsable de Traitement, dans le cadre d'un contrat de sous-traitance.

Le Sous-traitant s'engage, lorsqu'il est fait appel à lui dans le cadre de sous-traitance pour tout ou partie du traitement des données, à établir un contrat / acte juridique écrit avec le Responsable de Traitement, définissant l'objet et la durée du traitement, sa nature et sa finalité, le type de données à caractère personnel et les catégories de personnes concernées, et précisant les obligations de chacune des Parties.

Le Sous-traitant ne s'engage donc à traiter les données à caractère personnel que sur instruction documentée du responsable de traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union Européenne ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable de traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public (cf réglementation RGPD).

Information préalable et consentement

Le Sous-traitant s’assure du respect, le cas échéant et pour le compte du Responsable de Traitement, de l’information préalable aux personnes concernées :

  • sur les données qu’il collecte ou fait collecter pour son compte lors de l’utilisation du Service ;
  • sur la finalité de traitement de ces données ;
  • sur l’hébergement ;
  • sur leurs droits et l’exercice de leurs droits.

Cette information préalable doit être complète et claire.

Le Sous-traitant recueille, le cas échéant et pour le compte du responsable de Traitement, le consentement des personnes concernées avant la collecte de leurs données.

L’information préalable des Personnes concernées relative aux finalités de traitement nécessaires à la réalisation des prestations d’un Professionnel ou Professionnel de santé ne relève en aucun cas de la responsabilité du Concédant.

Conformité des Données à caractère personnel et données personnelles de santé collectées

Selon les dispositions du contrat qui le lie au Responsable de Traitement, le Sous-traitant peut être responsable des données qu’il collecte et qu’il traite pour le compte du Responsable de Traitement, notamment, mais non exhaustivement, concernant l’exactitude des Données et leur mise à jour, la suppression des données, la réalisation de l’information préalable des personnes concernées, le recueil des consentements si nécessaire et la conservation des Données en application de la réglementation en vigueur, la gestion des accès des personnes concernées aux Données à caractère personnel et aux Données de santé, et la sécurité de ces Données.

Exercice des droits des personnes concernées

Le Sous-traitant s’engage à aider le Responsable de traitement à traiter les demandes transmises par les Personnes concernées pour la limitation de traitement, retrait de consentement, rectification, transfert, opposition et effacement, pour les données qu’il traite et dans le respect des délais légaux.
Selon les dispositions du contrat qui lie le Sous-traitant et son Responsable de Traitement, le Déposant peut traiter pour le compte du Responsable de Traitement, les demandes d’exercice des droits.

Accès aux Données à caractère personnel et données personnelles de santé des Personnes concernées

Toute Personne concernée dispose d’un droit d’accès à ses Données à caractère personnel et de santé, ainsi qu’à l’historique des accès et opérations réalisés sur ces données.
Le Responsable de Traitement, aidé de TOUS ses déposants, et ce dans le respect des délais légaux, traite les demandes de droit d’accès aux Données à caractère personnel et de santé adressées par les Personnes concernées.

Aide au Responsable de Traitement

Le Sous-traitant s’engage à aider expressément son client Responsable de Traitement à garantir le respect de ses diverses obligations, notamment pour l’application des droits des personnes, la notification de violations de données, la réalisation d’analyses d’impact sur les droits et libertés des personnes concernées, la consultation préalable de la CNIL, et la sécurité des traitements.
Le Sous-traitant s'engage à mettre à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour permettre la réalisation d'audits, y compris des inspections et contribuer à ces audits.
Le Sous-traitant informe immédiatement le Responsable de traitement si, selon lui, une instruction constitue une violation de la règlementation en vigueur à la protection des données.

Principe général de transparence et de traçabilité

Le Sous-traitant s'engage à désigner, lorsqu'il répond aux critères définis par la législation en vigueur ou par sa propre volonté, un délégué à la protection des données et à communiquer son nom et ses coordonnées aux acteurs du Service.

Le Sous-traitant s'engage à tenir, lorsque cela répond aux critères définis par la législation en vigueur ou par la volonté du Responsable de Traitement, et par ordre dudit Responsable de Traitement, un registre des activités de traitement des données à caractère personnel que le Sous-traitant effectue pour son compte. Par ailleurs, le Sous-traitant, selon la réglementation, peut être amené à tenir un autre registre pour ses propres activités de traitement.

Le Sous-traitant s'engage à documenter ses actions sur la protection des données à caractère personnel, ainsi qu’à mettre à disposition sur demande toutes les informations nécessaires pour démontrer le respect de ses obligations à l'autorité de contrôle compétente.

Le Sous-traitant qui ne dispose pas d’établissement dans l’Union Européenne (UE), et qui procède, pour le compte d’un Responsable de Traitement, à des traitements de données de personnes se trouvant dans l’UE, doit désigner un représentant dans l’UE pour être l’interlocuteur des personnes concernées et des autorités de contrôle pour toute question relative à ces traitements. Il s’engage à communiquer le nom et les coordonnées de cet interlocuteur aux acteurs du Service.

Confidentialité et secret professionnel

Le Sous-traitant veille à ce que les personnes, sous ses ordres, et autorisées à traiter les données à caractère personnel intervenant dans le Service, s'engagent à respecter la confidentialité ou le secret professionnel de ces données. Cette obligation de secret professionnel s’applique notamment, mais non exhaustivement, aux Données de santé stockées sur le Service. Le Sous-traitant assure la sensibilisation de son personnel (et est garant de celle de ses éventuels sous-traitants) au respect des exigences légales et réglementaires applicables sur la sécurité de ces Données à caractère personnel et Données de Santé, en particulier à leur confidentialité et au respect du secret professionnel et / ou médical. Il s'engage à n'affecter que du personnel qualifié au Service et sensibilisé à la confidentialité des Données.
Le Sous-traitant Licencié a, de plus, une obligation de discrétion sur la contractualisation du Service. S’agissant du personnel technique, lorsqu'il en fait usage, le Sous-traitant s’engage à n’accorder un droit d’accès aux Données à caractère personnel et de santé qu’aux personnes, soumises au secret professionnel, le cas échéant au secret médical, et individuellement identifiées, ayant strictement besoin d'y accéder et liées contractuellement au Sous-traitant. Ces personnels techniques accédant aux Données à caractère personnel et données de santé doivent offrir des garanties suffisantes afin de réaliser leur travail.

Sécurité

Le Sous-traitant effectuant tout ou partie de traitement s'engage à présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde à la réglementation et garantisse la protection des droits de la personne concernée.

Le Sous-traitant s'engage à prendre toutes précautions utiles et mesures requises en vertu de la législation sur la sécurité des traitement de données à caractère personnel, et au regard de la nature des Données et des risques présentés par le traitement.

Le Sous-traitant s'engage, sur son périmètre, à mettre en place des mesures de protection afin de limiter tout risque de destruction, altération, diffusion ou accès non autorisé, que ces événements aient une origine volontaire ou accidentelle.

Le Sous-traitant s'engage à assurer et à faire assurer la sécurité des postes de travail et des équipements à partir desquels son personnel, et toute personne autorisée par lui, accèdent au Service et aux Données à caractère personnel et de santé.

Le Sous-traitant s'engage à réserver l’accès aux Données à caractère personnel aux personnel et personnes placés sous son autorité. Il s'engage à maîtriser les habilitations, l’identification, l’authentification et le contrôle d’accès de son personnel et des autres Utilisateurs au Service et aux Données à caractère personnel et de santé pour lesquelles il a donné accès.

Le Sous-traitant s'engage à contrôler l’utilisation des moyens d’authentification et leur niveau de force des personnes habilitées à accéder aux Données à caractère personnel et Données de santé. Le Sous-traitant s'engage à sensibiliser et former, le cas échéant, son personnel à la sécurité des systèmes d’information. Il s’engage à n’utiliser que des sous-traitants sensibilisés et formés à la sécurité des systèmes d’information.

Le Sous-traitant s'engage à gérer les Incidents de sécurité sur son périmètre d’activité.

Le Sous-traitant s'engage à ne communiquer, sauvegarder et archiver les Données de santé que conformément à la réglementation en vigueur sur les Données de Santé.

Sous-traitance

Lorsqu'un Sous-traitant utilise un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du Responsable de traitement, le Sous-traitant ne peut le faire sans l'autorisation écrite préalable, spécifique ou générale, du Responsable de Traitement. Il en est de même lors d'un changement et / ou ajout de cette sous-traitance de second niveau. Dans le cas d'une autorisation écrite générale, le Sous-traitant informe le Responsable de Traitement de tout changement prévu, donnant ainsi au Responsable de Traitement la possibilité d'émettre des objections. Les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le Responsable de Traitement et le sous-traitant initial sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique. Lorsque le sous-traitant de second niveau ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le Responsable de Traitement de l'exécution, par son sous-traitant, de ses obligations.

Le Sous-traitant conseille son sous-traitant quant au respect des obligations qu’il reporte contractuellement à sa charge.

Le Licencié demeure responsable, à l’égard du Concédant, de l’exécution des obligations contractuelles résultant des présentes.

Durée de conservation

Le Sous-traitant conserve les données à caractère personnel et de santé selon les indications du Responsable de Traitement. Le Sous-traitant s'engage à restituer toutes les données à caractère personnel et de santé, au terme de son intervention relative au traitement, et à détruire les copies existantes.

Violation des données

Le Sous-traitant s’engage à notifier toute violation de Données à caractère personnel et Données personnelles de Santé au Responsable de Traitement, sans délai, à moins que la faille ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Selon les dispositions de leur contrat, le Sous-traitant peut être susceptible de notifier à l'autorité de contrôle compétente cette violation des données, ainsi que la communiquer aux personnes concernées, et ce dans les conditions énoncées dans la réglementation.