Accord de protection des données
1. Introduction
L’Accord de protection des données (ci-après "Accord") vise à régir l’utilisation des données à caractère personnel des clients (ci-après le “Client”) d’Ummon HealthTech SAS (ci-après le "Sous-traitant") utilisant ses services (ci-après le "Service").
2. Définitions
Tous les termes relatifs à la réglementation applicable en matière de protection des données à caractère personnel utilisés dans l'Accord sont définis à l'article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après "RGPD").
3. Rôle des Parties
Dans le cadre de l'Accord, le Client agit en tant que responsable du traitement de données à caractère personnel et le Sous-traitant agit en tant que sous-traitant au sens de l'article 28 du RGPD (ci-après, ensemble, les "Parties").
4. Documents contractuels et durée
L'Accord, qui est une annexe indivisible au contrat signé entre le Client et le Sous-traitant pour l'utilisation du Service (ci-après le "Contrat"), est applicable pendant toute la durée de la relation contractuelle existante entre les Parties.
En cas de contradiction entre le Contrat conclu pour l'utilisation du Service et l'Accord, les obligations prévues dans l'Accord prévalent sur le Contrat en ce qui concerne les règles applicables en matière de protection des données.
5. Déclarations et engagements
Le Sous-traitant déclare respecter l’intégralité des règles applicables en matière de protection des données à caractère personnel et présenter toutes les garanties suffisantes pour répondre aux exigences du RGPD dans le cadre de la fourniture du Service.
Le Sous-traitant déclare que l’intégralité du personnel interne ou externe amené à traiter les données à caractère personnel du Client est engagé par une clause de confidentialité, une charte des systèmes d'information ou par tout autre acte juridique contraignant et fait l'objet régulièrement de formations et de sensibilisations.
Le Sous-traitant déclare que le Service a été réalisé dans le respect des règles de "Privacy by design" et de "Privacy by default" et donc que le Service est accompagné des fonctionnalités permettant au Client de respecter ses obligations en tant que responsable du traitement.
6. Instructions documentées
Le Sous-traitant s’engage à n’utiliser les données à caractère personnel du Client dans le cadre de l'utilisation du Service que sur instructions documentées de ce dernier.
La liste des traitements réalisés est détaillée en annexe ou fournie sur demande du Client.
7. Sécurité
Le Sous-traitant s’engage à garantir la sécurité des données à caractère personnel du Client et à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour son Service.
L'intégralité de mesures de sécurité techniques et organisationnelles sont détaillées en annexe des présentes ou sont fournies sur demande du Client.
8. Violation de données à caractère personnel
Le Sous-traitant s’engage à notifier au Client, conformément aux obligations prévues par l'article 33 du RGPD, dans les meilleurs délais après en avoir pris connaissance, toute violation de données à caractère personnel qui serait susceptible de concerner les données à caractère personnel du Client.
Le Sous-traitant s'engage à communiquer, dans les meilleurs délais après en avoir pris connaissance, toutes les informations nécessaires et requises en sa possession pour réduire les effets de la violation de données à caractère personnel subie et pour permettre au Client de prendre les mesures de sauvegarde et de protection adéquates.
Sauf accord entre les Parties, le Sous-traitant n’est pas autorisé à prendre en charge les notifications de violation de données à caractère personnel auprès de l'autorité de contrôle concernée et à informer, pour le compte du Client, les personnes concernées par les traitements réalisés dans le cadre du Contrat.
9. Aide et assistance
Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises sur les mesures de sécurité techniques et organisationnelles à mettre en œuvre pour garantir la sécurité de ses données à caractère personnel.
Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises pour assurer la réalisation d’une analyse d’impact (“AIPD”).
Le Sous-traitant s’engage à notifier au Client, dans les meilleurs délais après en avoir pris connaissance, toute demande de droit à destination du Client.
Le Sous-traitant communique au Client, sur demande écrite, toutes les informations nécessaires et requises visant à ce que le Client puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.
Le Sous-traitant exécute, sur demande écrite du Client, les actions à entreprendre pour que le Client puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.
10. Responsabilité
Le Sous-traitant n’est jamais responsable de l’utilisation non-conforme aux règles applicables en matière de protection des données à caractère personnel réalisée par le Client à l'aide du Service.
Le Sous-traitant n’est pas tenu de gérer les demandes de droits des personnes à la place et pour le compte du Client. Toute demande complémentaire visant à assurer une telle gestion peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.
Le Sous-traitant n’est pas tenu d’assurer ou d’auditer la sécurité du Client ou encore de réaliser les AIPD à la place et pour le compte du Client. Toute demande complémentaire à la communication d’informations peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.
11. Sous-traitants ultérieurs
Le Client accepte que le Sous-traitant recrute des sous-traitants ultérieurs (ci-après "STU") dans le cadre de l’exécution de l'Accord à condition d’informer, par tout moyen, le Client de tout changement concernant ces STU intervenant durant l'exécution du Contrat et demeure responsable des actes du Sous-traitant ultérieur dans le cadre de l'Accord.
Le Sous-traitant s’engage à ne recruter que des STU qui présentent les garanties nécessaires et suffisantes pour assurer la sécurité et la confidentialité des données à caractère personnel du Client.
Le Sous-traitant s'engage à contrôler ses STU et à ce que le contrat conclu avec le STU utilisé dans le cadre du service contienne des obligations similaires à celles prévues dans l'Accord.
Le Client peut émettre des objections par lettre recommandée avec accusé de réception i) si le STU est un de ses concurrents, ii) si le client et le STU sont dans une situation de précontentieux ou de contentieux, et iii) si le STU a fait l’objet d’une condamnation par une autorité de contrôle en matière de protection des données dans l’année de son recrutement.
Le Sous-traitant dispose d'un délai de 6 mois à compter de la réception de l'objection pour modifier le STU.
12. Sort des données à caractère personnel
Le Sous-traitant supprime les données à caractère personnel du Client à la fin de la durée d'exécution du Contrat conclu dans le cadre de l'utilisation du Service et accepte que le Sous-traitant anonymise, lorsque cela est techniquement possible, ses données à caractère personnel à des fins de statistiques.
Le Sous-traitant atteste au Client, sur demande écrite, de la suppression effective de ses données à caractère personnel et de toutes les copies existantes.
Le Client doit récupérer ses données à caractère personnel avant la fin de l'Accord. A défaut, le Client ne peut plus récupérer ses données à caractère personnel, la suppression des données à caractère personnel étant irréversible.
Le Client demeure le seul responsable de la perte de ses données à caractère personnel à la suite de la suppression des données intervenant à la fin de l'Accord.
13. Audits
Le Client dispose du droit de réaliser un audit sous forme de questionnaire écrit une fois par an pour vérifier le respect du présent Accord. Le questionnaire a la force d’un engagement sur l’honneur qui engage le Sous-traitant.
Le questionnaire peut être communiqué sous n’importe quelle forme au Sous-traitant qui s’engage à y répondre dans un délai maximum de deux mois à compter de sa réception.
Le Client dispose également du droit de réaliser un audit dans les locaux du Sous-traitant, à ses frais, une fois par an uniquement en cas de violation de données ou de manquement avéré et démontré aux règles applicables en matière de protection des données et au présent Accord.
Un audit dans les locaux du Sous-traitant peut être mené soit par le Client soit par un tiers indépendant désigné par le Client et doit être notifié par écrit au Sous-traitant au minimum trente (30) jours avant la réalisation de l’audit.
Le Sous-traitant dispose du droit de refuser le choix du tiers indépendant si ce dernier est i) un concurrent ou ii) en précontentieux ou contentieux avec lui. Dans ce cas, le Client s’engage à choisir un nouveau tiers indépendant pour réaliser l’audit.
Le Sous-traitant peut refuser l’accès à certaines zones pour des raisons de confidentialité ou de sécurité. Dans ce cas, le Sous-traitant effectue l’audit dans ces zones et communique les résultats au Client.
En cas d’écart constaté dans le cadre de l’audit, le Sous-traitant s’engage à mettre en œuvre, sans délai, les mesures nécessaires pour être en conformité avec le présent Accord.
14. Transferts de données hors de l'Union européenne
Le Sous-traitant s’engage à faire son nécessaire pour ne pas transférer de données à caractère personnel du Client en dehors de l’Union européenne ou ne pas recruter de STU situé en dehors de l’Union européenne.
Néanmoins, dans le cas où de tels transferts s’avéreraient nécessaires dans le cadre du Service, le Sous-traitant s'engage à mettre en œuvre tous les mécanismes requis pour encadrer ces transferts comme, en particulier, conclure des clauses types de protection des données ("CCT") adoptées par la Commission européenne.
15. Coopération avec les autorités de contrôle
Lorsque cela concerne les traitements mis en œuvre dans le cadre de l'Accord, le Sous-traitant s’engage à fournir, sur demande, l’intégralité des informations nécessaires au Client pour qu’il puisse coopérer avec l’autorité de contrôle compétente.
16. Contact
Le Client et le Sous-traitant désignent chacun un interlocuteur chargé du présent Accord qui sera le destinataire des différentes notifications et communications devant intervenir dans le cadre de l’Accord.
Le Sous-traitant informe le Client qu'il a nommé la société Dipeeo SAS comme Délégué à la protection des données qui peut être contactée aux coordonnées suivantes :
- Adresse email : dpo@ummon.health
- Adresse postale : Société Dipeeo SAS, 95 avenue du Président Wilson, 93100 Montreuil, France
- Numéro de téléphone : 01 59 06 81 85
17. Révision
Le Sous-traitant se réserve la possibilité de modifier le présent Accord en cas d’évolution des règles applicables en matière de protection des données à caractère personnel qui auraient pour effet de modifier l’une de ses dispositions.
18. Loi et juridiction applicables
Le présent Accord est soumis au droit français. Tout litige relatif à l’exécution du présent Accord est de la compétence exclusive des tribunaux du ressort de la Cour d’appel du lieu de domiciliation du Sous-traitant.
Certifié conforme par Dipeeo ®.