TOC, EULA & DPA

Accord sur le traitement des données

Aux fins de l’article 28, paragraphe 3, du règlement 2016/679 (le GDPR)

Entre :
Les Clients
Pour le service de Cortrium tel que spécifié dans les conditions d’abonnement applicables
Ci-après dénommé « le Responsable du traitement »

Et :
Cortrium ApS
N° CVR 36 44 53 35
Erik Husfeldts Vej 7
2630 Taastrup
Danemark
Ci-après « le Sous-traitant »

Chacune des parties est une « partie » ; collectivement les « parties ».

Les parties sont convenues des clauses contractuelles suivantes (les « Clauses ») afin de satisfaire aux exigences du GDPR et de garantir la protection des droits de la personne concernée.

2. Préambule

  1. Les présentes clauses contractuelles (les « Clauses ») définissent les droits et obligations du Responsable du traitement et du Sous-traitant lorsqu’ils traitent des données à caractère personnel pour le compte du Responsable du traitement.
  2. Les Clauses ont été conçues pour assurer le respect par les parties de l’article 28(3) du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
  3. Dans le cadre de la fourniture d’enregistreurs ECG (moniteur Volter) et/ou de rapports d’analyse du rythme cardiaque ainsi que de l’accès au système d’administration Apex, le Sous-traitant traitera les données à caractère personnel pour le compte du Responsable du traitement conformément aux Clauses.
  4. Les Clauses ont priorité sur toute disposition similaire contenue dans d’autres accords entre les parties.
  5. Quatre annexes sont jointes aux Clauses et en font partie intégrante.
  6. L’annexe A contient des détails sur le traitement des données à caractère personnel, y compris la finalité et la nature du traitement, le type de données à caractère personnel, les catégories de personnes concernées et la durée du traitement.
  7. L’annexe B contient les conditions du Responsable du traitement pour l’utilisation de sous-traitants par le Sous-traitant, ainsi qu’une liste des sous-traitants autorisés par le Responsable du traitement.
  8. L’annexe C contient les instructions du Responsable du traitement concernant le traitement des données à caractère personnel, les mesures de sécurité minimales à mettre en œuvre par le Sous-traitant et la manière dont les audits du Sous-traitant et de tout sous-traitant ultérieur doivent être effectués.
  9. L’annexe D contient des dispositions relatives à d’autres activités qui ne sont pas couvertes par les Clauses.
  10. Les Clauses et leurs annexes sont conservées par écrit, y compris sous forme électronique, par les deux parties.
  11. Les Clauses ne dispensent pas le Sous-traitant des obligations auxquelles il est soumis en vertu du règlement général sur la protection des données (le RGPD) ou d’autres législations.

3. Les droits et obligations du Responsable du traitement des données

  1. Le Responsable du traitement des données est chargé de veiller à ce que le traitement des données à caractère personnel soit conforme au GDPR (voir l’article 24 GDPR), aux dispositions applicables de l’UE ou de l’État membre en matière de protection des données et aux Clauses.
  2. Le Responsable du traitement a le droit et l’obligation de prendre des décisions sur les finalités et les moyens du traitement des données à caractère personnel.
  3. Le Responsable du traitement est notamment chargé de veiller à ce que le traitement des données à caractère personnel que le Sous-traitant est chargé d’effectuer repose sur une base juridique.

4. Le Sous-traitant agit selon des instructions

  1. Le Sous-traitant traite les données à caractère personnel uniquement sur instruction documentée du Responsable du traitement, à moins que le droit de l’Union ou de l’État membre auquel le Sous-traitant est soumis ne l’y oblige. Ces instructions sont précisées dans les annexes A et C. Des instructions ultérieures peuvent également être données par le Responsable du traitement pendant toute la durée du traitement des données à caractère personnel, mais ces instructions doivent toujours être documentées et conservées par écrit, y compris sous forme électronique, en relation avec les Clauses.
  2. Le Sous-traitant informe immédiatement le Responsable du traitement des données si les instructions données par le Responsable du traitement des données, de l’avis du Sous-traitant, contreviennent au GDPR ou aux dispositions applicables de l’UE ou de l’État membre en matière de protection des données.

5. Confidentialité

  1. Le Sous-traitant n’accorde l’accès aux données à caractère personnel traitées pour le compte du Responsable du traitement qu’aux personnes placées sous l’autorité du Sous-traitant qui se sont engagées à respecter la confidentialité ou qui sont soumises à une obligation légale appropriée de confidentialité, et uniquement sur la base du besoin d’en connaître. La liste des personnes auxquelles l’accès a été accordé fait l’objet d’un réexamen périodique. Sur la base de cet examen, ledit accès aux données à caractère personnel peut être retiré si l’accès n’est plus nécessaire, et les données à caractère personnel ne seront donc plus accessibles à ces personnes.
  2. À la demande du Responsable du traitement, le Sous-traitant démontrera que les personnes concernées placées sous son autorité sont soumises à la confidentialité susmentionnée.

6. Sécurité du traitement

  1. L’article 32 du GDPR stipule que, compte tenu de l’état actuel des techniques, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le Responsable du traitement et le Sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.

    Le Responsable du traitement évalue les risques pour les droits et libertés des personnes physiques inhérents au traitement et met en œuvre des mesures pour atténuer ces risques. En fonction de leur pertinence, les mesures peuvent comprendre les éléments suivants :

    1. Pseudonymisation / anonymisation et cryptage des données à caractère personnel ;
    2. Capacité à assurer en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
    3. Capacité de rétablir la disponibilité et l’accès aux données à caractère personnel en temps utile en cas d’incident physique ou technique ;
    4. Processus permettant de tester, d’apprécier et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement.
  2. Conformément à l’article 32 du RGPD, le Sous-traitant doit également (indépendamment du Responsable du traitement) évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement et mettre en œuvre des mesures pour atténuer ces risques. À cet effet, le Responsable du traitement fournit au Sous-traitant toutes les informations nécessaires à l’identification et à l’évaluation de ces risques.
  3. En outre, le Sous-traitant aide le Responsable du traitement à s’acquitter des obligations qui lui incombent en vertu de l’article 32 du RGPD, notamment en lui fournissant des informations sur les mesures techniques et organisationnelles déjà mises en œuvre par le Sous-traitant en vertu de l’article 32 du RGPD, ainsi que toutes les autres informations nécessaires pour que le Responsable du traitement puisse s’acquitter de l’obligation qui lui incombe en vertu de l’article 32 du RGPD.

    Si, par la suite, selon l’évaluation du Responsable du traitement, l’atténuation des risques identifiés nécessite la mise en œuvre par le Sous-traitant de mesures supplémentaires par rapport à celles déjà mises en œuvre par le Sous-traitant en vertu de l’article 32 du RGPD, le Responsable du traitement précise ces mesures supplémentaires à mettre en œuvre dans l’annexe C.


7. Utilisation de sous-traitants

  1. Le Sous-traitant doit satisfaire aux exigences énoncées à l’article 28, paragraphes 2 et 4, du GDPR pour faire appel à un autre sous-traitant.
  2. Le Sous-traitant ne peut donc pas faire appel à un autre sous-traitant pour l’exécution des Clauses sans l’autorisation écrite générale préalable du Responsable du traitement.
  3. Le Sous-traitant dispose de l’autorisation générale du Responsable du traitement pour l’engagement de sous-traitants ultérieurs. Le Sous-traitant informe par écrit le Responsable du traitement de toute modification envisagée concernant l’ajout ou le remplacement de sous-traitants ultérieurs au moins 30 jours à l’avance, donnant ainsi au Responsable du traitement la possibilité de s’opposer à ces modifications avant l’engagement du ou des sous-traitants ultérieurs concernés. Des délais de préavis plus longs pour des services de sous-traitance spécifiques peuvent être prévus à l’annexe B. La liste des sous-traitants déjà autorisés par le Responsable du traitement figure à l’annexe B.
  4. Lorsque le Sous-traitant fait appel à un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques pour le compte du Responsable du traitement, les mêmes obligations en matière de protection des données que celles énoncées dans les Clauses sont imposées à ce sous-traitant ultérieur au moyen d’un contrat ou d’un autre acte juridique en vertu du droit de l’UE ou de l’État membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des Clauses et du GDPR.

    Il incombe donc au Sous-traitant d’exiger que le sous-traitant ultérieur respecte au moins les obligations auxquelles le Sous-traitant est soumis en vertu des Clauses et du GDPR.


  5. À la demande du Responsable du traitement, une copie de cet accord de sous-traitance et de ses modifications ultérieures est soumise au Responsable du traitement, ce qui donne à ce dernier la possibilité de s’assurer que les mêmes obligations en matière de protection des données que celles énoncées dans les présentes Clauses sont imposées au sous-traitant ultérieur. Les clauses relatives à des questions d’ordre commercial qui n’affectent pas le contenu légal de l’accord de sous-traitance en matière de protection des données ne doivent pas être soumises au Responsable du traitement des données.
  6. Le Sous-traitant convient avec le sous-traitant ultérieur d’une clause de tiers bénéficiaire en vertu de laquelle, en cas de faillite du sous-traitant ultérieur, le Responsable du traitement est un tiers bénéficiaire de l’accord de sous-traitance ultérieur et a le droit de faire appliquer l’accord au sous-traitant ultérieur engagé par le sous-traitant ultérieur, ce qui permet par exemple au Responsable du traitement ultérieur d’ordonner au sous-traitant ultérieur de supprimer ou de restituer les données à caractère personnel.
  7. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant ultérieur reste pleinement responsable vis-à-vis du Responsable du traitement des données en ce qui concerne l’exécution des obligations du sous-traitant ultérieur. Cela n’affecte pas les droits des personnes concernées en vertu du GDPR (en particulier ceux prévus aux articles 79 et 82 du GDPR) à l’encontre du Responsable du traitement des données et du Sous-traitant, y compris le sous-traitant ultérieur.

8. Transfert de données vers des pays tiers ou des organisations internationales

  1. Tout transfert de données à caractère personnel vers des pays tiers ou des organisations internationales par le Sous-traitant n’a lieu que sur la base d’instructions documentées du Responsable du traitement et se fait toujours dans le respect du chapitre V du RGPD.
  2. Si les transferts vers des pays tiers ou des organisations internationales, que le Sous-traitant n’a pas été chargé d’effectuer par le Responsable du traitement, sont requis par le droit de l’UE ou de l’État membre auquel le Sous-traitant est soumis, le Sous-traitant informe le Responsable du traitement de cette exigence légale avant le traitement, à moins que le droit en question n’interdise cette information pour des raisons importantes d’intérêt public.
  3. Sans instructions documentées de la part du Responsable du traitement, le Sous-traitant ne peut donc pas, dans le cadre des Clauses :
    1. transférer des données à caractère personnel à un contrôleur de données ou à un Sous-traitant de données dans un pays tiers ou dans une organisation internationale ;
    2. transférer le traitement des données à caractère personnel à un sous-traitant dans un pays tiers ;
    3. faire traiter les données à caractère personnel par le Sous-traitant dans un pays tiers.
  4. Les instructions du Responsable du traitement concernant le transfert de données à caractère personnel vers un pays tiers, y compris, le cas échéant, l’outil de transfert prévu au chapitre V du GDPR sur lequel elles se fondent, sont décrites dans l’annexe C.6.
  5. Les Clauses ne doivent pas être confondues avec les clauses types de protection des données au sens de l’article 46, paragraphe 2, points c) et d), du GDPR, et les Clauses ne peuvent pas être considérées par les parties comme un outil de transfert au titre du chapitre V du GDPR.

9. Assistance au Responsable du traitement des données

  1. Compte tenu de la nature du traitement, le Sous-traitant assiste le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, dans l’exécution des obligations du Responsable du traitement de répondre aux demandes d’exercice des droits de la personne concernée prévues au chapitre III du GDPR.

    Cela signifie que le Sous-traitant doit, dans la mesure du possible, aider le Responsable du traitement à se conformer aux points suivants :

    1. le droit d’être informé lors de la collecte de données personnelles auprès de la personne concernée ;
    2. le droit d’être informé lorsque les données à caractère personnel n’ont pas été obtenues auprès de la personne concernée ;
    3. le droit d’accès de la personne concernée ;
    4. le droit de rectification ;
    5. le droit à l’effacement (« droit à l’oubli ») ;
    6. le droit à la limitation du traitement ;
    7. l’obligation de notification concernant la rectification ou l’effacement des données à caractère personnel ou la limitation du traitement ;
    8. le droit à la portabilité des données ;
    9. le droit d’opposition ;
    10. le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.
  2. Outre l’obligation du Sous-traitant d’aider le Responsable du traitement en vertu de la clause 6.3, le Sous-traitant doit en outre, compte tenu de la nature du traitement et des informations dont il dispose, aider le Responsable du traitement à assurer le respect des points suivants :
    1. l’obligation pour le Responsable du traitement de notifier la violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ;
    2. l’obligation pour le Responsable du traitement de communiquer sans délai excessif la violation de données à caractère personnel à la personne concernée, lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ;
    3. l’obligation pour le Responsable du traitement de procéder à une évaluation de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (analyse d’impact) ;
    4. l’obligation pour le Responsable du traitement de consulter l’autorité de contrôle compétente avant le traitement lorsqu’une analyse d’impact indique que le traitement entraînerait un risque élevé en l’absence de mesures prises pour atténuer le risque.
  3. Les parties définissent dans l’annexe C les mesures techniques et organisationnelles appropriées par lesquelles le Sous-traitant est tenu d’assister le Responsable du traitement, ainsi que la portée et l’étendue de l’assistance requise. Ceci s’applique aux obligations prévues aux clauses 9.1 et 9.2.

10. Notification d’une violation de données à caractère personnel

  1. En cas de violation de données à caractère personnel, le Sous-traitant notifie cette violation au Responsable du traitement dans les meilleurs délais après en avoir pris connaissance.
  2. La notification du Sous-traitant au Responsable du traitement a lieu, si possible, dans les 48 heures suivant le moment où le Sous-traitant a pris connaissance de la violation, afin de permettre au Responsable du traitement de se conformer à l’obligation qui lui incombe de notifier la violation à l’autorité de contrôle compétente, conformément à l’article 33 du RGPD.
  3. Conformément à la clause 9(2)(a), le Sous-traitant aide le Responsable du traitement à notifier la violation à l’autorité de contrôle compétente, ce qui signifie que le Sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à l’article 33(3) du RGPD, doivent être mentionnées dans la notification :
    1. la nature des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements concernés ;
    2. les conséquences probables de la violation ;
    3. les mesures prises ou proposées par le Responsable du traitement pour remédier à la violation, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets négatifs.
  4. Les parties définissent dans l’annexe C tous les éléments que le Sous-traitant doit fournir lorsqu’il aide le Responsable du traitement à notifier une violation de données à caractère personnel à l’autorité de contrôle compétente.

11. Effacement et restitution des données

  1. À la fin de la prestation de services de traitement, le Sous-traitant est tenu de supprimer toutes les données à caractère personnel traitées pour le compte du Responsable du traitement et de certifier au Responsable du traitement qu’il l’a fait, à moins que le droit de l’Union européenne ou des États membres n’exige la conservation des données. La suppression des données est gratuite pour le propriétaire des données, à condition qu’elle s’inscrive dans le cadre du processus de suppression standard de Cortrium. Toute demande spéciale peut donner lieu à des frais de suppression.
  2. Avant la cessation de la prestation de services de traitement, le Responsable du traitement a la possibilité de télécharger les enregistrements ECG au format EDF ainsi que les rapports au format PDF. Si l’ensemble des données est requis, un paquet complet peut être mis à disposition, moyennant des frais.

12. Audit et inspection

  1. Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’article 28 et dans les Clauses, et permet les audits, y compris les inspections, effectués par le Responsable du traitement ou par un autre auditeur mandaté par le Responsable du traitement, et y contribue.
  2. Les procédures applicables aux audits (y compris les inspections) du Responsable du traitement des données et des sous-traitants sont précisées à l’annexe C.7.
  3. Le Sous-traitant est tenu de donner aux autorités de contrôle qui, en vertu de la législation applicable, ont accès aux installations du Responsable du traitement et du Sous-traitant, ou aux représentants agissant au nom de ces autorités de contrôle, l’accès aux installations physiques du Sous-traitant sur présentation d’une pièce d’identité appropriée.

13. Accord des parties sur d’autres conditions

  1. Les parties peuvent convenir d’autres clauses concernant la fourniture du service de traitement des données à caractère personnel, notamment en matière de responsabilité, pour autant qu’elles ne contredisent pas directement ou indirectement les présentes Clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux de la personne concernée et à la protection offerte par le GDPR.

14. Dates de début et de fin

  1. Les Clauses entrent en vigueur à la date de la signature des deux parties.
  2. Les deux parties ont le droit de demander une modification des Clauses si des changements de la législation ou l’inopportunité des Clauses devaient donner lieu à une telle modification.
  3. Les Clauses s’appliquent pendant toute la durée de la prestation des services de traitement des données à caractère personnel. Pendant la durée de la prestation, les Clauses ne peuvent être résiliées, à moins que d’autres clauses régissant la prestation de ces services n’aient été convenues entre les parties.
  4. S’il est mis fin à la prestation de services de traitement des données à caractère personnel et si les données à caractère personnel sont supprimées ou renvoyées au Responsable du traitement conformément à la clause 11.1 et à l’annexe C.4, les Clauses peuvent être résiliées par notification écrite de l’une ou l’autre des parties.

15. Contacts / Points de contact du Responsable du traitement des données

  1. Les parties peuvent se contacter en utilisant les contacts / points de contact suivants :
  2. Les parties sont tenues de s’informer mutuellement et en permanence des modifications apportées via les contacts / points de contact.

Pour le Responsable du traitement des données :
Pour les coordonnées du Responsable du traitement des données, il convient de se référer au contrat principal.

Pour le Sous-traitant :
Nom : Département de la conformité
E-mail : [email protected]

Annexe I — Informations sur le traitement

A.1. Finalité du traitement

L’activité du Responsable du traitement des données consiste à fournir à ses clients des enregistreurs ECG (via les moniteurs Volter) et/ou des rapports d’analyse du rythme cardiaque ainsi qu’un accès au système d’administration Apex. Dans le cadre de ses obligations, le Sous-traitant traite des données à caractère personnel pour le compte du Responsable du traitement.

A.2. Nature du traitement

Le traitement effectué par le Sous-traitant pour le compte du Responsable du traitement porte principalement sur : collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, retrait, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, restriction, effacement ou destruction des données.

Par « diffusion » ou « mise à disposition », on entend ici le fait de rendre les données accessibles à l’organisation ayant commandé le rapport dans le système Cortrium Apex, ainsi qu’aux organisations associées, telles que définies par l’organisation commanditaire.

A.3. Types de données à caractère personnel

  • e-mail, nom d’utilisateur, mot de passe ;
  • diverses données personnelles que le client ou les clients des clients émettent ou enregistrent sans que l’entreprise les traite activement et les identifie ;
  • nom, adresse IP, informations sur l’appareil électronique de l’utilisateur, adresse, numéro de téléphone ;
  • annexe de la facture et documents justificatifs ;
  • coordonnées bancaires (détails de la carte ou informations sur le compte).

Téléchargement de l’ID du patient dans l’application logicielle pour le téléchargement des données à des fins d’analyse (rapport Holter) :

  1. Patient (Titre + Nom + Prénom + Date de naissance + Sexe + Informations sur le stimulateur cardiaque).
  2. Enregistrement de l’ECG du patient (y compris l’heure de début de l’enregistrement et la durée de l’enregistrement).
  3. Rapport Volter du patient comprenant une liste des arythmies cardiaques du patient et un diagnostic suggéré en tant qu’outil d’aide à la décision (DST).

A.4. Catégories de personnes concernées

  • Employés du client (utilisateurs).
  • Patients soumis à une surveillance ECG à long terme au moyen des moniteurs Holter Cortrium.

A.5. Durée du traitement

  1. Pour la durée pendant laquelle le Responsable du traitement est un client du Sous-traitant.
  2. Pendant une période de trois ans après que le Responsable du traitement cesse d’être client du Sous-traitant, les données à caractère personnel identifiables sont conservées afin de permettre à Cortrium de disposer des informations nécessaires pour justifier les factures, uniquement dans le but d’assurer la conformité avec la législation danoise, notamment la loi sur la comptabilité et la loi sur la prescription.
  3. Les fichiers EDF sont supprimés 30 jours après leur création.

Données conservées à des fins de R&D (anonymisées)

Cortrium se réserve le droit d’utiliser les enregistrements ECG anonymes, y compris les points de données suivants :

  • Âge, année de naissance ;
  • Sexe ;
  • Données de l’accéléromètre ;

ainsi que les rapports d’analyse, qui peuvent être conservés à des fins de recherche et de développement jusqu’à ce que la direction de Cortrium décide d’effacer les données.

Annexe B — Sous-traitants autorisés

B.1. Sous-traitants agréés

Dès l’entrée en vigueur des présentes Clauses, le Responsable du traitement des données autorise l’engagement des sous-traitants suivants :

NOMCVRADRESSEDESCRIPTION DU TRAITEMENT
Auth0 Inc.10287824100 New Bridge Street, Londres, Royaume-Uni, EC4V 6JAAuth0 est utilisé comme « fournisseur d’identité », c’est-à-dire pour l’authentification des utilisateurs du système. Le Sous-traitant traite les données des employés du client, telles que le nom, l’e-mail et l’adresse IP, pour permettre au client d’accéder à l’Apex. Pour éviter toute ambiguïté, le Sous-traitant ne traite pas de données permettant d’identifier les patients. Toutes les données traitées sont cryptées.
Hetzner Online GmbHDE812871812Industriestr. 25, 91710 Gunzenhausen, AllemagneLe sous-traitant traite exclusivement les données brutes (qui ne sont pas personnellement identifiables) pour l’analyse du logiciel ECG par le système d’analyse Cortrium.
Microsoft Ireland Operations LimitedIE256796One Microsoft Place, South County Industrial Park, Dublin, D18 P521, IrlandeHébergement des systèmes Cortrium.

Dès l’entrée en vigueur des présentes Clauses, le Responsable du traitement autorise le recours aux sous-traitants susmentionnés pour le traitement décrit pour cette partie. Le Sous-traitant n’a pas le droit (sans l’autorisation écrite explicite du Responsable du traitement) de faire appel à un sous-traitant ultérieur pour un traitement différent de celui qui a été convenu ou de demander à un autre sous-traitant ultérieur d’effectuer le traitement décrit.

Annexe C — Instructions relatives à l’utilisation des données à caractère personnel

C.1. Objet du traitement / instruction pour le traitement

Pour traiter les données à caractère personnel pour le compte du Responsable du traitement, le Sous-traitant effectue les opérations suivantes :

Cortrium Apex

Cortrium Apex est une application logicielle développée en interne par Cortrium, conçue pour le traitement et le stockage dans le cloud des données issues des moniteurs Holter de Cortrium. Cortrium Apex gère l’accès des utilisateurs au système de traitement et de stockage cloud via un client Cortrium Apex installé localement sur le bureau.

Cortrium Apex permet au contrôleur de données (utilisateur) de configurer les moniteurs Holter Cortrium en vue de leur utilisation sur un patient. Lorsque le patient revient avec un enregistrement ECG d’une durée maximale de 14 jours, l’enregistrement ECG ainsi que le dossier du patient peuvent être téléchargés vers les services en nuage Cortrium Apex pour y être stockés et convertis au format EDF. L’enregistrement ECG peut être transféré vers un logiciel d’analyse Cortrium basé sur le cloud, qui génère un rapport Volter suggéré basé sur les données ECG transférées avec un aperçu des arythmies cardiaques détectées et un diagnostic suggéré. Le rapport Volter est ensuite validé par l’humain, de sorte qu’il peut être utilisé comme DST. La décision finale d’accepter ou de rejeter le diagnostic proposé revient au médecin autorisé.

Les EDF peuvent également être téléchargés et analysés sur le matériel informatique local du professionnel de la santé.

Les données de l’utilisateur, les données de l’ECG, les données du patient et toutes les données connexes sont transmises et stockées de manière cryptée.

C.2. Sécurité du traitement

Le niveau de sécurité tient compte des éléments suivants :

Le traitement porte sur des données à caractère personnel qui relèvent de l’article 9 du RGPD relatif aux « catégories particulières de données à caractère personnel », raison pour laquelle un niveau de sécurité élevé doit être mis en place.

Le Sous-traitant a désormais le droit et l’obligation de prendre des décisions concernant les mesures de sécurité techniques et organisationnelles à appliquer pour créer le niveau nécessaire (et convenu) de sécurité des données.

Toutefois, le Sous-traitant met en œuvre, en tout état de cause et au minimum, les mesures suivantes qui ont été convenues avec le Responsable du traitement des données :

  • Maintien d’un niveau élevé de sécurité informatique assuré par un fournisseur réputé.
  • L’Organisation dispose d’un contrôle d’accès logique par l’utilisation de nom(s) d’utilisateur et de mot(s) de passe ou d’autres autorisations.
  • L’Organisation dispose d’une politique en matière de mots de passe, qui comprend des exigences minimales pour la composition des mots de passe.
  • L’Organisation a mis en place des procédures pour révoquer les autorisations lorsqu’un employé change de service ou cesse de travailler pour l’Organisation.
  • L’Organisation a mis en place des procédures d’attribution d’autorisations aux systèmes informatiques lors de l’entrée en fonction d’un nouvel employé.
  • L’Organisation demande à ses employés d’utiliser des mots de passe individuels.
  • L’Organisation enregistre et contrôle les tentatives non autorisées ou répétées de connexion aux systèmes de l’Organisation.
  • Les PC de l’Organisation sont automatiquement verrouillés en cas d’inactivité.
  • L’Organisation utilise un pare-feu pour empêcher l’accès et protéger les ressources du réseau.
  • L’Organisation utilise un logiciel antivirus qui est régulièrement mis à jour.
  • L’Entreprise utilise Auth0 en tant que fournisseur d’identité pour l’accès des employés et des clients à Cortrium Apex.
  • Les mesures de sécurité technique mises en œuvre sont régulièrement examinées via un cycle de travail annuel automatisé chez ComplyCloud, le fournisseur de services GDPR de Cortrium.
  • L’Organisation attribue à des individus ou à des groupes d’utilisateurs des autorisations d’accès, de modification et de suppression des données à caractère personnel.
  • L’Organisation dispose de procédures de récupération et de restauration des données à partir des sauvegardes.
  • Les tentatives non autorisées ou répétées d’effacement et d’accès sont enregistrées et surveillées sur certains systèmes.
  • L’Organisation dispose d’une traçabilité de l’accès, de la modification et de l’effacement des données par des utilisateurs individuels sur certains systèmes.
  • L’Organisation utilise le protocole HTTPS.
  • Le réseau est crypté.
  • Les mots de passe stockés sur les ordinateurs de l’Organisation sont cryptés.
  • Les ordinateurs de l’Organisation ont des disques durs cryptés.
  • Les données personnelles sont cryptées dans les systèmes pertinents et/ou sur les supports de stockage.
  • Les catégories spéciales de données à caractère personnel sont cryptées dans les systèmes et/ou sur les supports de stockage.
  • La disponibilité et la résilience des systèmes et des serveurs de l’Organisation sont assurées par des tiers avec lesquels l’Organisation a conclu un accord.
  • L’Organisation dispose de lignes directrices et de règles concernant les sauvegardes.
  • Seuls les employés autorisés ont accès aux serveurs de l’Organisation.
  • L’Organisation a mis en place des procédures en cas de violation de données à caractère personnel, qui sont revues au moins une fois par an.
  • Des sauvegardes sont régulièrement effectuées.
  • L’Organisation dispose de lignes directrices et de règles concernant la récupération des données à partir des sauvegardes.
  • Les salles de serveurs sont équipées d’un système de climatisation.
  • Les salles de serveurs sont équipées de détecteurs de fumée et d’extincteurs.
  • Une alimentation sans interruption (UPS) est utilisée.
  • La température et l’humidité des salles de serveurs sont contrôlées.
  • La sauvegarde de l’ensemble du système Cortrium Apex, y compris, mais sans s’y limiter, les données d’enregistrement, les données du patient et les informations du système, est effectuée au sein de l’infrastructure en nuage gérée.
  • Veiller à ce que le niveau des normes respectées soit maintenu dans la boîte à outils du NHS sur la sécurité et la protection des données.
  • Une protection a été mise en place pour les appareils portables. Les ordinateurs portables des employés sont protégés, entre autres, par un cryptage et des mots de passe au niveau du disque dur.
  • Une connexion VPN et une authentification à deux facteurs sont utilisées pour l’accès à distance.

C.3. Assistance au Responsable du traitement des données

Dans la mesure du possible (dans le cadre et l’étendue de l’assistance précisée ci-dessous) le Sous-traitant assiste le Responsable du traitement conformément aux clauses 9.1 et 9.2 en mettant en œuvre les mesures techniques et organisationnelles suivantes :

Le Sous-traitant fournira toute assistance raisonnable au Responsable du traitement des données pour assurer le respect des points a. à j. de la clause 9.1.

C.4. Période de stockage / procédures d’effacement

Les données à caractère personnel sont conservées par le Sous-traitant conformément à la clause A.5.

C.5. Lieu de traitement

Le traitement des données à caractère personnel en vertu des Clauses ne peut être effectué dans d’autres lieux que les suivants sans l’autorisation écrite préalable du Responsable du traitement :

Cortrium ApS
N° CVR 36 44 53 35
Erik Husfeldts Vej 7
2630 Taastrup
Danemark

Ainsi qu’aux emplacements des sous-traitants respectifs.

C.6. Instructions relatives au transfert de données à caractère personnel vers des pays tiers

Lorsque le Sous-traitant traite des données à caractère personnel pour le compte du Responsable du traitement et que ce dernier est établi ou situé en dehors de l’UE/EEE, le Sous-traitant est autorisé et mandaté à transférer les données à caractère personnel du Responsable du traitement à ce dernier, et est par conséquent autorisé et mandaté à transférer ces données personnelles vers le pays tiers où se trouve le Responsable du traitement.

Le transfert sera basé sur les clauses contractuelles types de la Commission européenne pour le transfert de données à caractère personnel vers des pays tiers du 4 juin 2021. Le module 4 sera utilisé, conformément aux Clauses Contractuelles Types (CCT).

C.7. Procédures d’audit (y compris inspection)

Le Responsable du traitement des données procède chaque année à une auto-évaluation fondée sur la norme ISO 27701 concernant le respect par le Responsable du traitement des données du GDPR et des dispositions applicables de l’UE ou des États membres en matière de protection des données.

Le Sous-traitant fournit au Responsable du traitement, sur demande, le dernier rapport d’auto-évaluation.

Annexe D — Conditions d’accord des parties sur d’autres sujets

N/A.