MON R&C
Réserver une démo
fr_FR FR
fr_FR FR en_US EN ja JP it_IT IT zh_CN ZH de_DE DE es_ES ES

Accord sur le traitement des données

Accord sur le traitement des données - Rods&Cones agissant en tant que processeur

Cet accord sur le traitement des données ("DPA") signifie que le soussigné :

Rods&Cones BV, une société de droit belge, ayant son siège social à Oudebaan 2, 2350 Vosselaar, Belgique et inscrite au registre de commerce de la Chambre de Commerce sous le numéro BE0741.795.919 ou Rods&Cones Sales B.V., une société de droit néerlandais, ayant son siège social à Apollolaan 69-3 ; 1077AH Amsterdam ; Pays-Bas et inscrite au registre de commerce de la Chambre de Commerce sous le numéro 80331947 (ci-après dénommée "Rods&Cones/Processeur"),

ci-après dénommés conjointement les "Parties"et chacun séparément comme un "Fête" ;

Déclarent être d'accord comme suit :

Rods&Cones fournira la solution d'assistance à distance dans la mesure où elle est disponible en vertu de l'accord sous-jacent afin de refléter l'accord des parties en ce qui concerne le traitement des données personnelles.

Dans le cadre de la fourniture des services au client conformément au RGPD, Rods&Cones peut traiter des données personnelles au nom du client et les parties conviennent de se conformer aux dispositions suivantes en ce qui concerne les données personnelles, chacune agissant raisonnablement et de bonne foi.

Avec effet au 25 mai 2018, Rods&Cones traitera les Données personnelles conformément au Règlement général sur la protection des données, ou Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 abrogeant la directive 95/46/CE (ci-après indiqué comme : 'GDPR) directement applicables à Rods&Cones' la fourniture de ses services.

  1. Définitions
"Affilié"désigne toute entité faisant partie du groupe de sociétés Rods&Cones.
"Données personnellesdésigne toute information relative à une personne physique identifiée ou identifiable (personne concernée) ;
"Personne concernée"une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ;
"Violation des données personnellesdésigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des données à caractère personnel transmises, stockées ou traitées d'une autre manière ;
"Processus/Traitement"désigne toute opération ou ensemble d'opérations effectuées sur des Données à caractère personnel ou sur des ensembles de Données à caractère personnel, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction, l'effacement ou la destruction ;
"Solution"désigne l'assistance à distance Rods&Cones, telle que commandée par le client dans le cadre de l'accord sous-jacent, ainsi que la documentation correspondante.
"Catégories spéciales de données"désigne les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale ; les données génétiques, les données biométriques traitées dans le but d'identifier une personne physique de manière unique ; les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ;
"Sous-processeur"désigne tout sous-traitant de données engagé par le Responsable du traitement qui accepte de recevoir du Responsable du traitement des Données à caractère personnel exclusivement destinées aux activités de Traitement à réaliser pour le compte du Responsable du traitement conformément à ses instructions, aux termes du présent DPA et aux termes d'un contrat de sous-traitance écrit ;
"Autorité de surveillance"désigne une autorité publique indépendante établie par un État membre conformément à l'article 51 du GDPR ; et
"Mesures de sécurité techniques et organisationnelles"désigne les mesures visant à protéger les Données à caractère personnel contre la destruction accidentelle ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, notamment lorsque le Traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de Traitement.
"Troisième pays"désigne un pays dans lequel la Commission européenne n'a pas décidé que le pays, un territoire ou un ou plusieurs secteurs déterminés à l'intérieur de ce pays, assure un niveau de protection adéquat.
" Accord sous-jacent "désigne le contrat d'abonnement SaaS par lequel Rods&Cones met la solution à la disposition du client.
  1. Détails du traitement

Les données personnelles traitées dans le cadre du présent DPA concernent les catégories suivantes de personnes concernées :

  • Employés et sous-traitants du client
  • Professionnels de la santé
  • patients

Rods&Cones se compose d'un back-end en ligne basé sur le web pour stocker et gérer les données des clients (y compris les données personnelles) ainsi que des clients frontaux interactifs qui permettent de visionner des fichiers audio et vidéo (y compris des données personnelles identifiables) et de générer des analyses sur l'utilisation ("Services").

Nature et finalité du traitement : Le Responsable du traitement collecte, traite et utilise les Données à caractère personnel des Personnes concernées pour le compte du Contrôleur afin de permettre aux experts à distance de soutenir les professionnels de santé à distance sans nécessiter de présence sur place.

Le casque utilisé dans la salle d'opération visualise les images suivantes relatives à la confidentialité :

  • Personnel OR
  • Images d'un patient non identifié
  • Affiches et écrans dans le bloc opératoire

L'audio et la vidéo sont uniquement transmis à un assistant distant certifié en mode 1 à 1. À titre exceptionnel, la session peut être diffusée à un public plus large (pour les cas d'utilisation liés à la formation et à l'éducation). Par défaut, les vidéos et les images ne sont pas stockées pendant ou après la transmission. A titre exceptionnel, les assistants distants peuvent être autorisés à enregistrer une session sur le disque dur de leur ordinateur personnel.

Les assistants à distance consentent à des instructions strictes en matière de comportement professionnel, comme ils le feraient en salle d'opération (https://rods-cones.com/re_terms/).

Rods&Cones stocke les données personnelles suivantes des assistants à distance : Adresse électronique ; Nom, prénom.

  1. Droits et obligations du contrôleur

Le Contrôleur reste le responsable du traitement des données personnelles conformément aux instructions données au Processeur sur la base du présent DPA et selon d'autres instructions. Le Contrôleur a donné des instructions et, pendant toute la durée du traitement des données commandé, donnera des instructions à Rods&Cones pour traiter les Données à caractère personnel uniquement pour le compte du Contrôleur et conformément à la Loi applicable sur la protection des données, au présent DPA et aux instructions du Contrôleur. Le Contrôleur a le droit et l'obligation de donner des instructions à Rods&Cones dans le cadre du Traitement des Données Personnelles, à la fois de manière générale et dans des situations individuelles. Les instructions peuvent également porter sur la correction, l'effacement ou le blocage des données personnelles. Les instructions sont généralement données par écrit, sauf si l'urgence ou d'autres circonstances spécifiques exigent une autre forme (par exemple, orale, électronique). Les instructions données sous une autre forme que par écrit doivent être confirmées par écrit par le Contrôleur sans délai. Dans la mesure où l'exécution d'une instruction entraîne des coûts pour Rods&Cones, celle-ci en informera d'abord le contrôleur. Ce n'est qu'après la confirmation par le responsable du traitement de la prise en charge de ces coûts pour l'exécution d'une instruction que le responsable du traitement est tenu d'exécuter cette instruction.

  1. Obligations du sous-traitant

Rods&Cones doit :

  1. traiter les Données à caractère personnel uniquement selon les instructions du Contrôleur et pour le compte du Contrôleur ; ces instructions sont fournies dans le présent DPA et, par ailleurs, sous forme documentée comme indiqué dans la clause 3 ci-dessus. Cette obligation de suivre les instructions du contrôleur s'applique également au transfert des données personnelles vers un pays tiers.
  2. informer rapidement le contrôleur si Rods&Cones ne peut pas se conformer aux instructions du contrôleur pour quelque raison que ce soit ;
  3. conserver les données personnelles dans la plus stricte confidentialité et
  4. et ne traitera les Données personnelles que pour exécuter les Services et à aucune autre fin, sauf autorisation préalable écrite du Client.
  5. s'assurer que les personnes autorisées par Rods&Cones à traiter les données personnelles au nom du contrôleur se sont engagées à respecter la confidentialité ou sont soumises à une obligation de confidentialité appropriée et que ces personnes qui ont accès aux données personnelles traitent ces données personnelles conformément aux instructions du contrôleur.
  6. mettre en œuvre les mesures de sécurité techniques et organisationnelles qui répondront aux exigences du GDPR avant le traitement des données personnelles et s'assurer de fournir des garanties suffisantes au contrôleur sur ces mesures de sécurité techniques et organisationnelles.
  7. aider le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Responsable du traitement de répondre aux demandes d'exercice des droits des Personnes concernées en matière d'information, d'accès, de rectification et d'effacement, de limitation du traitement, de notification, de portabilité des données, d'objection et de prise de décision automatisée ; dans la mesure où ces mesures techniques et organisationnelles réalisables nécessitent des changements ou des modifications des Mesures techniques et organisationnelles, le Responsable du traitement informera le Responsable du traitement des coûts de mise en œuvre de ces mesures techniques et organisationnelles supplémentaires ou modifiées. Une fois que le responsable du traitement aura confirmé qu'il supportera ces coûts, le sous-traitant mettra en œuvre ces mesures techniques et organisationnelles supplémentaires ou modifiées pour aider le responsable du traitement à répondre aux demandes de la personne concernée.
  8. mettre à la disposition du Contrôleur toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent APD et par l'art. 28 GDPR et permettre et contribuer aux audits, y compris les inspections menées par le Contrôleur ou un autre auditeur mandaté par le Contrôleur. Le Contrôleur est conscient que tout audit sur place en personne peut perturber de manière significative les opérations commerciales de Rods&Cones et peut entraîner des dépenses élevées en termes de coût et de temps. Par conséquent, le Contrôleur ne peut effectuer un audit sur place en personne que si le Contrôleur rembourse le Processeur pour tous les coûts et dépenses encourus par le Contrôleur en raison de la perturbation des opérations commerciales.
  9. en informer le contrôleur sans retard excessif :
    • sur toute demande juridiquement contraignante de divulgation des Données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal pour préserver la confidentialité d'une enquête policière ;
    • sur les plaintes et demandes reçues directement des Personnes concernées (par exemple, concernant l'accès, la rectification, l'effacement, la restriction du traitement, la portabilité des données, l'objection au traitement des données, la prise de décision automatisée) sans répondre à cette demande, sauf s'il a été autorisé à le faire autrement ;
    • si le Processeur est tenu, en vertu de la législation de l'UE ou d'un État membre à laquelle il est soumis, de traiter les Données à caractère personnel au-delà des instructions du Contrôleur, avant de procéder à ce traitement au-delà des instructions, à moins que la législation de l'UE ou de l'État membre n'interdise cette information pour des raisons importantes d'intérêt public ; cette notification précise l'exigence légale en vertu de cette législation de l'UE ou de l'État membre ;
    • si, de l'avis du sous-traitant, une instruction enfreint le GDPR ; après avoir fourni cette notification, le sous-traitant n'est pas tenu de suivre l'instruction, à moins et jusqu'à ce que le contrôleur l'ait confirmée ou modifiée ; et
    • après que le Responsable du traitement a pris connaissance d'une violation de données personnelles chez Rods&Cones. Dans le cas d'une telle violation de données personnelles, le Processeur, sur demande écrite du Contrôleur, aidera le Contrôleur à s'acquitter de son obligation, en vertu de la loi applicable sur la protection des données, d'informer les personnes concernées et les autorités de contrôle, le cas échéant, et de documenter la violation de données personnelles.
  10. aider le Contrôleur à réaliser toute évaluation d'impact sur la protection des données, conformément à l'art. 35 du GDPR qui se rapporte aux Services fournis par le Processeur au Contrôleur et aux Données personnelles traitées par le Processeur pour le compte du Contrôleur.
  11. traiter toutes les demandes du Contrôleur relatives à son Traitement des Données à caractère personnel faisant l'objet du traitement (par exemple, pour permettre au Contrôleur de répondre aux plaintes ou aux demandes des Personnes concernées en temps utile) et se conformer à l'avis de l'Autorité de contrôle en ce qui concerne le Traitement des données transférées.
  12. que, dans la mesure où il est exigé et demandé au Processeur de corriger, effacer et/ou bloquer les Données Personnelles traitées en vertu du présent DPA, le Processeur le fera sans retard excessif. Si et dans la mesure où les Données à caractère personnel ne peuvent pas être effacées en raison d'exigences légales de conservation, le Processeur est tenu, au lieu d'effacer les Données à caractère personnel concernées, de restreindre le Traitement et/ou l'utilisation ultérieurs des Données à caractère personnel, ou de supprimer l'identité associée aux Données à caractère personnel (ci-après dénommé " blocage "). Si le Processeur est soumis à une telle obligation de blocage, le Processeur efface les Données à caractère personnel concernées avant ou le dernier jour de l'année civile au cours de laquelle la durée de conservation prend fin.
  1. Sous-traitement
  1. Le Responsable du traitement autorise l'utilisation du ou des Sous-traitants engagés par le Responsable du traitement pour la fourniture des Services. Le Contrôleur approuve l'utilisation du ou des Sous-traitants suivants :
    NomAdresseObjectif de l'utilisation
    Microsoft Ireland ltdOne Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, IrlandeHébergement de l'application
    Xirsys LLC25061 Avenue Stanford, Suite 10 ; Santa Clarita, California 91355, USFournisseur de serveurs tournants
    OpenVPN7901 Stoneridge Drive, Suite 240, Pleasanton, California 94588, USClient VPN
  2. Dans le cas où le sous-traitant a l'intention d'engager des sous-traitants secondaires nouveaux ou supplémentaires, le sous-traitant informe le contrôleur de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant secondaire.Avis de sous-traitance"). Si le Contrôleur a une base raisonnable pour s'opposer à l'utilisation d'un tel Sous-traitant nouveau ou supplémentaire, le Contrôleur doit en informer le Responsable du traitement par écrit dans les 14 jours suivant la réception de l'Avis relatif au Sous-traitant. Si le Responsable du traitement s'oppose à un Sous-traitant nouveau ou supplémentaire, et que cette objection n'est pas déraisonnable, le Responsable du traitement fera des efforts raisonnables pour mettre à la disposition du Responsable du traitement une modification des Services ou recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des Services par le Responsable du traitement afin d'éviter le Traitement des Données à caractère personnel par le Sous-traitant nouveau ou supplémentaire auquel il s'est opposé, sans imposer une charge déraisonnable au Responsable du traitement. Si le Responsable du traitement n'est pas en mesure d'apporter cette modification dans un délai raisonnable, qui ne doit pas dépasser soixante (60) jours, le Responsable du traitement peut résilier la partie exécutée de l'APD en ce qui concerne uniquement les Services qui ne peuvent pas être fournis par le Responsable du traitement sans le recours au Sous-traitant nouveau ou supplémentaire auquel il s'oppose, en adressant une notification écrite au Responsable du traitement.
  3. Le Responsable du traitement impose par contrat à tout Sous-traitant la même obligation de protection des données que celle énoncée dans le présent DPA. Le contrat entre le Processeur et le Sous-Traitant doit notamment fournir des garanties suffisantes pour mettre en œuvre les Mesures de Sécurité Techniques et Organisationnelles, dans la mesure où ces Mesures de Sécurité Techniques et Organisationnelles sont pertinentes pour les services fournis par le Sous-Traitant.
  4. Le Responsable du traitement choisit le Sous-traitant avec diligence.
  5. Si l'un de ces Sous-traitants est situé dans un Pays tiers, le Processeur, à la demande écrite du Responsable du traitement, conclura avec le Sous-traitant concerné, pour le compte du Responsable du traitement (au nom du Responsable du traitement), un Contrat type UE (du Responsable du traitement au Sous-traitant), conformément à la Décision 2010/87/EU. Dans ce cas, le responsable du traitement donne des instructions et autorise le sous-traitant à donner des instructions aux sous-traitants secondaires au nom du responsable du traitement et à faire usage de tous les droits du responsable du traitement vis-à-vis des sous-traitants secondaires sur la base du contrat type de l'UE.
  6. Le sous-traitant reste responsable envers le responsable du traitement de l'exécution des obligations du sous-traitant ultérieur, si ce dernier ne remplit pas ses obligations. Toutefois, le sous-traitant n'est pas responsable des dommages et des réclamations qui découlent des instructions du contrôleur aux sous-traitants ultérieurs.
  1. Limitation de la responsabilité

Toute responsabilité découlant du présent DPA ou en rapport avec celui-ci doit suivre et être exclusivement régie par les dispositions relatives à la responsabilité énoncées dans le présent DPA ou autrement applicables, et non ailleurs. Par conséquent, et aux fins du calcul des plafonds de responsabilité et/ou de la détermination de l'application d'autres limitations de la responsabilité, toute responsabilité survenant dans le cadre du présent DPA est réputée survenir en vertu des dispositions du présent DPA.

  1. Durée et fin
  1. La durée de cet APPD est identique à celle de l'accord sous-jacent. Sauf convention contraire dans le présent document, les droits et les exigences en matière de résiliation sont les mêmes que ceux énoncés dans le contrat sous-jacent.
  2. Le Responsable du traitement, au choix du Responsable du traitement, supprime ou renvoie toutes les Données à caractère personnel au Responsable du traitement après la fin de la fourniture des Services, et supprime toute copie existante, sauf si la législation de l'UE ou d'un État membre exige que le Responsable du traitement conserve ces Données à caractère personnel.
  1. Divers
  1. En cas d'incompatibilité entre les dispositions du présent DPA et tout autre accord existant entre les Parties, les dispositions du présent DPA prévalent en ce qui concerne les obligations des Parties en matière de protection des données. En cas de doute sur la question de savoir si les clauses de ces autres accords concernent les obligations des Parties en matière de protection des données, le présent DPA prévaut.
  2. Si l'une des dispositions du présent DPA est invalide ou inapplicable, les autres dispositions du présent DPA restent valides et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée dans la mesure nécessaire pour garantir sa validité et son applicabilité, tout en préservant autant que possible les intentions des parties, soit - si cela n'est pas possible - (ii) interprétée comme si la partie invalide ou inapplicable n'avait jamais été contenue dans l'accord. Ce qui précède s'applique également si le présent DPA contient une quelconque omission.
  3. Sans préjudice de l'applicabilité du GDPR au présent DPA et au Traitement qui en découle, le présent DPA est régi par le même droit belge.
  1. Mesures de sécurité

Rods&Cones doit, au minimum, maintenir des mesures et des procédures de sécurité techniques et organisationnelles pour protéger la sécurité des données personnelles créées, collectées, reçues ou obtenues d'une autre manière.

Les mesures de sécurité techniques et organisationnelles peuvent être considérées comme l'état de l'art. Rods&Cones évaluera les mesures de sécurité techniques et organisationnelles au fil du temps, en tenant compte des coûts de mise en œuvre, de la nature, de la portée, du contexte et des objectifs du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques.

Rods&Cones doit assurer :

  1. qu'elle a correctement configuré les droits d'accès de ses employés, y compris un processus bien défini d'entrée et de sortie pour garantir que les droits d'accès sont correctement gérés ;
  2. qu'elle a mis en place des contrôles appropriés pour s'assurer que des mots de passe alphanumériques complexes sont nécessaires pour accéder aux données personnelles et qu'une formation est dispensée sur la nécessité de conserver ces mots de passe en toute sécurité ;
  3. il a mis en place des procédures pour identifier les utilisations illicites de données personnelles, y compris le contrôle de l'accès illicite aux données personnelles ;
  4. il a mis en place des procédures pour identifier les utilisations illicites de données personnelles, y compris le contrôle de l'accès illicite aux données personnelles ;
  5. des processus d'authentification appropriés et efficaces sont établis et utilisés pour protéger les données personnelles ;
  6. les Données Personnelles stockées sur les ordinateurs portables ou autres médias portables sont cryptées ;
  7. les données personnelles ne sont pas visibles via l'Internet. Si l'accès aux données personnelles via Internet est autorisé, cet accès ne concerne que les données pertinentes.
  8. toutes les données à caractère personnel conservées sur support papier sont stockées dans des armoires fermées à clé dans des bureaux fermés à clé, auxquelles seules les personnes autorisées ont accès.
  9. qu'il tient un registre précis et à jour des actifs, y compris tous les supports portables utilisés pour le traitement ;
  10. que les employés ne sont pas en mesure d'accéder aux données personnelles depuis leur domicile ou via leur propre appareil électronique autrement que par le biais d'un réseau électronique sécurisé et que les données personnelles ne peuvent pas être stockées sur ces appareils ;
  11. que des mesures de sécurité physique appropriées sont mises en place, proportionnellement au préjudice qui pourrait résulter de la divulgation illicite de données personnelles. Ces mesures de sécurité physique doivent être identifiées dans la politique de sécurité des données de Rods&Cones ;
  12. que Rods&Cones établit et maintient des politiques adéquates de conformité à la sécurité des données et vérifie régulièrement, et en tout cas annuellement, l'utilisation des données personnelles conformément à ses politiques de sécurité des données ; et
  13. qu'il désigne par écrit une personne chargée d'assumer la responsabilité du respect du DPA et d'en rendre compte.

Parlez-en aux responsables des ventes

+34 932200508