Contrat de sous-traitance
Dernière mise à jour : Le 1er mars 2024
Le présent contrat régit le traitement de données à caractère personnel fournies ou mises à disposition d’AE par le Client, et traitées par AE en tant que sous-traitant, pour le compte du Client en tant que responsable du traitement, tel que décrit ci-dessous.
Les termes en majuscule non définis dans le présent contrat ont le sens qui leur est attribué dans les Conditions Générales pour les Professionnels de la Santé disponibles sur www.anestheasy.com/cg-pro. Les termes "analyse d’impact relative à la protection des données", "données à caractère personnel", "personne concernée", "responsable du traitement", "sous-traitant", "traitement", "transfert" et "violation de données à caractère personnel" ont le sens qui leur est attribué par le RGPD.
1. Traitement
1.1. En l’absence d’une autre instruction documentée, explicite, écrite et préalable de la part du Client, les parties reconnaissent que les finalités et les types de données à caractère personnel et personnes concernées couverts par le traitement sont ceux décrits dans la Politique de Protection des Données à Caractère Personnel d’AE sous le titre "finalités < pour les patients – sous-traitant des professionnels de la santé" disponible sur www.anestheasy.com/vie-privee ("Données à Caractère Personnel"). Il s’agit en particulier de données de patients.
1.2. La nature des opérations de traitement comprend les opérations nécessaires à la réalisation de ces finalités et des instructions du Client, en ce compris, la facilitation de la collecte, la compilation, la structuration, la récupération et la gestion de Données à Caractère Personnel.
1.3. La durée du traitement correspond à la durée durant laquelle le Client peut bénéficier d’Anestheasy, telle que définie dans les Conditions Générales pour les Professionnels de la Santé ou tout autre contrat conclu entre les parties et relatif à Anestheasy.
2. Instructions
2.1. AE s’engage à traiter les Données à Caractère Personnel conformément aux instructions documentées du Client, telles que détaillées dans le présent contrat ou d’autres communications du Client à l’égard du traitement et acceptées par AE, à moins qu’AE ne soit tenu d'y procéder en vertu du droit de l'Union européenne ou du droit d’un État membre auquel AE est soumis. Dans ce dernier cas, ou en cas de difficultés ou d’impossibilité à exécuter une instruction documentée du Client, AE s’efforcera d’informer le Client à cet égard, pour autant que le droit applicable à AE le permette. Le Client s’efforcera de retirer son instruction ou de la modifier afin de permettre à AE de l’exécuter.
2.2. Le Client donne aussi instruction à AE d’anonymiser les Données à Caractère Personnel dans la mesure où elles concernent les connexions et l’utilisation d’Anestheasy par les patients en vue de générer des données statistiques sur ces connexions et utilisation.
3. Sécurité
3.1. AE s’efforcera de mettre en place des mesures techniques et organisationnelles afin de prévoir un cadre pour protéger les Données à Caractère Personnel contre la destruction, la perte, l'altération, la divulgation ou l’accès accidentel ou illégal de telles données.
3.2. Dans la mesure requise par la loi applicable à AE, les Données à Caractère Personnel sont hébergées auprès d’un hébergeur de santé certifié et soumis à des mesures de sécurité particulières. Un aperçu de ces mesures peut être sollicité auprès du fournisseur. La liste des principaux fournisseurs d’AE est disponible sur www.anestheasy.com/fournisseurs.
3.3. Les obligations d’AE ci-dessus ne déchargent aucunement le Client de mettre en place l’ensemble des moyens de sécurité nécessaires et adéquats à la confidentialité et à la protection de ses données, y compris telle que définies à l’article 5 (Sécurité) des Conditions Générales pour les Professionnels de la Santé. Dans la mesure où les Données à Caractère Personnel concernent des patients du Client, elles sont traitées sous la responsabilité et le contrôle principal du Client.
3.4. En cas de découverte par AE d’une violation de données à caractère personnel, AE s’efforcera d’en informer le Client dans les meilleurs délais. Le Client autorise AE, si AE le décide à sa discrétion, à notifier directement les personnes concernées et les tiers pertinents.
4. Confidentialité
AE exigera des membres de son personnel autorisés à traiter les Données à Caractère Personnel qu’ils prennent connaissance et s’engagent à respecter la nature confidentielle de ces données.
5. Sous-Traitants
5.1. Le Client autorise AE à engager des sous-traitants ultérieurs dans le cadre du traitement couvert par le présent contrat. La liste des fournisseurs d’AE publiée sur www.anestheasy.com/fournisseurs détaille les fournisseurs principaux engagés par AE. Le Client reconnait et accepte cette liste.
5.2. AE veillera à ce que le sous-traitant ultérieur soit tenu, par un contrat ou un autre acte juridique, à des obligations non moins contraignantes en substance que celles du présent contrat.
5.3. En cas d’ajout de sous-traitants ultérieurs, AE notifiera préalablement le Client. Le Client disposera d’un délai de 30 (trente) jours pour s’opposer à l’ajout de ce sous-traitant ultérieur eu égard au manque de garanties de ce sous-traitant quant à la protection des droits des personnes concernées. Si l’opposition est fondée, les parties collaboreront de bonne foi afin de revoir les exigences imposées sur le sous-traitant afin de pallier ce manque.
6. Transferts
AE s’assurera qu’un mécanisme adéquat de transfert soit en place dans la mesure où le traitement par AE impliquerait un transfert de Données à Caractère Personnel de l’Espace Economique Européen vers AE ou ses sous-traitants ultérieurs en dehors de l’Espace Economique Européen dans un pays qui n’est pas reconnu par la Commission européenne comme offrant une protection adéquate à l’égard des Données à Caractère Personnel au regard des règles européennes en la matière.
7. Coopération
7.1. À la demande du Client, AE fournira une aide commercialement raisonnable, aux frais du Client, pour permettre au Client de réaliser une analyse d’impact relative à la protection des données lorsqu’elle est requise en vertu de la loi applicable au Client. Cette assistance ne constituera pas un conseil ou avis juridique.
7.2. AE mettra à la disposition du Client la documentation nécessaire, aux frais du Client, moyennant un préavis écrit raisonnable d’au moins 30 (trente) jours à EA pour (i) démontrer le respect de ses obligations, et (ii) permettre la réalisation d'audits par le Client, sous la forme d’un bref questionnaire que le Client soumettra pour la révision et l’approbation d’AE, et auquel AE s’efforcera de répondre.
8. Droits des Patients
8.1. La relation et les données des patients relèvent de la responsabilité du Client.
8.2. Le Client demeure responsable des données des patients et du respect de leurs droits, y compris en tant que personnes concernées.
8.3. Au cas où AE recevrait une demande de patient quant à ses Données à Caractère Personnel, AE transmettra cette demande au Client dans les meilleurs délais, à moins que le Client n’en soit déjà informé.
8.4. Sans préjudice de ce qui précède, AE pourra offrir des moyens d’aider le Client à s’acquitter de ses obligations dans la mesure du possible, lesquelles peuvent être expliqués plus en détail dans la documentation d’Anestheasy, telles que des options d’auto-assistance pour la récupération, correction ou modification de données. De même, AE peut expliquer dans sa Politique de Protection des Données à Caractère Personnel les traitements qu’AE effectue pour le compte du Client. Ces démarches sont volontaires. Elles n’engagent pas la responsabilité d’AE ou de ses administrateurs ni ne déchargent le Client de ses obligations de transparence, y compris la fourniture de sa propre politique de protection des données à caractère personnel, et le traitement des demandes des personnes concernées.
8.5. Le Client autorise AE à répondre directement aux demandes techniques ou auxiliaires émanant de patients, telles que le renvoi d’un lien pour se connecter à Anestheasy.
9. Retour des Données
9.1. Le Client est responsable de l’exactitude et de la conservation des données de patients. Anestheasy n’a pas vocation à, et ne doit pas être utilisé comme, solution de sauvegarde ou d’archivage de dossiers de patients ou de données de santé.
9.2. La suppression et le retour des Données à Caractère Personnel sont organisés conformément à l’article 16.2 (Retour des Données) des Conditions Générales pour les Professionnels de la Santé.