Skip to content

Accord de Sous-traitance

ENTRE

 

L’Utilisateur NEXUS

 

Ci-après dénommé « le Responsable du Traitement »

 

D’une part,

 

ET

 

 

La société VISIONIX – Luneau Technology Operations, société par actions simplifiée, immatriculée sous le SIREN 08615020800048, inscrite au greffe d'Évreux, dont le siège social est situé au 2 rue Roger Bonnet, 27340, Pont de l'arche

 

 

Ci-après dénommée « le Sous-Traitant »

 

                                                                                                                          D’autre part,

 

 

Ci-après dénommés ensemble « les Parties » et individuellement « la Partie »

 

 

 

  • Donnée à Caractère Personnel (DCP) ou Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 

  • Données sensibles : informations relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, aux données génétiques, aux données biométriques utilisées pour identifier une personne physique de manière unique, aux données concernant la santé, la vie sexuelle ou l'orientation sexuelle. Ces données font l'objet d'une protection renforcée fondée sur le principe d'interdiction de collecte et de traitement. Toutefois, il est prévu un certain nombre d'exceptions à l'article 9.2 du RGPD (dont le consentement).

 

  • Traitement (de Données personnelles) : l’opération ou un ensemble organisé d’opérations effectué sur des Données Personnelles (collecte, consultation, structuration, conservation, modification, communication...).

 

  • Responsable de Traitement: celui qui détermine les finalités et les moyens du traitement. Il définit le but de l’opération réalisée sur les Données personnelles, celui qui définit la manière dont sera mis en œuvre le traitement de Données personnelles. Il détermine à quoi vont servir les données, quels outils vont être mis en œuvre pour les traiter, à quel moment agir sur les données, etc.

 

  • Sous-Traitant : celui qui effectue des opérations sur les Données personnelles pour le compte et sur instructions du Responsable de Traitement.

 

  • Délégué à la Protection des Données (DPD) ou DPO : le délégué à la protection des données, souvent appelée DPO, a la charge du pilotage et du respect de la conformité au RGPD et à la LIL au sein de l’organisme au sein duquel il est désigné.

 

  • Violation de données: Incident de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à ces données.

 

  • Dispositif médical (DM) : tout instrument, appareil, équipement, logiciel, implant, réactif, matière ou autre article, destiné par le fabricant à être utilisé, seul ou en association, chez l'homme pour l'une ou plusieurs des fins médicales visées à l'article 2 du RÈGLEMENT (UE) 2017/745 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 5 avril 2017 relatif aux dispositifs médicaux.

 

 

ARTICLE 1 : Objet

Dans le cadre de la mise à disposition de nos Solutions et plateforme NEXUS, telles que souscrites au Contrat, aux professionnels de la santé visuelle, le Sous-Traitant est amené à traiter des données personnelles pour le compte et selon les instructions du Responsable du Traitement.

 

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-Traitant s’engage à effectuer pour le compte et sur instructions du Responsable du Traitement, les opérations de traitement de données à caractère personnel réalisées dans le cadre du Contrat.

 

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 : le règlement général sur la protection des données (ci-après « RGPD »).

 

 

ARTICLE 2 : informations relatives au traitement objet de la sous-traitance

 

Le Sous-Traitant fournit les services et solutions définies au Contrat.

 

Le Sous-Traitant est autorisé, durant toute la durée du contrat et de l’utilisation des Solutions Visionix, à traiter pour le compte du Responsable de Traitement, les données à caractère personnel nécessaires pour la finalité principale suivante :

 

  • Mise à disposition de la plateforme Nexus aux professionnels de la santé visuelle

 

 

  • Et plus spécifiquement les sous-finalités suivantes :

 

  • Hébergement des données de télésanté

 

Pour les Opérateurs/Opticiens :

  • collecter les informations nécessaires à la mesure de la réfraction
  • générer le rapport de synthèse permettant la réalisation des équipements de correction visuelle
  • mise en relation avec le médecin chargé d'analyser et valider les mesures prises par les DM (valider les corrections visuelles), le cas échéant

 

Pour les professionnels de la santé visuelle :

  • collecter et visualiser les informations nécessaires à la mesure de la réfraction et au dépistage de maladies oculaires
  • Générer le rapport de synthèse permettant au professionnel de la santé visuelle de structurer son expertise et adapter son accompagnement
  • collecter les informations supplémentaires nécessaires à la prescription par le professionnel de la santé visuelle de corrections visuelles

 

 

  • Les catégories de données traitées par le Sous-Traitant pour le compte du Responsable de traitement sont les suivantes :

 

  • Données d’identification : informations personnelles des patients saisis par l’Opérateur dans les solutions Visionix, à savoir : prénom, nom, date de naissance, sexe, code interne
  • Coordonnées : pays, ville
  • Vie professionnelle : informations relatives aux professionnels de la santé visuelle pouvant intervenir dans le cadre de l’utilisation de la solution
  • Données nécessaires à la rémunération des professionnels de la santé visuelle
  • Données sensibles : collectées par le biais des Solutions Visionix : l’ethnie (information importante dans le domaine de la santé visuelle), Données de santé (mesures permettant de définir la formule de correction des verres, mesures postérieures et antérieures de l’œil permettant au professionnel de la santé visuelle de dépister d'éventuelles maladies). Antécédents médicaux et d’autres informations relatives à la santé si les patients choisissent de les fournir.
  • Échanges entre les utilisateurs de la plateforme Nexus

 

 

  • Catégories de personnes concernées par les traitements de Données :

 

  • Les patients = utilisateurs finaux
  • Les professionnels de la santé visuelle impliqués dans l’utilisation des Solutions Visionix
  • Les opérateurs / opticiens

 

 

  • Traitements réalisés sur les Donnéees par Visionix en tant que Sous-Traitant :

 

Collecte

Enregistrement (stockage)

Transmission

Hébergement

Pseudonymisation

Utilisation (génération de rapport)

Destruction

 

 

 

  • Coordonnées du DPO Visionix :

 

Prénom et nom : Yossi Constantinis

Email : dpo@visionix.com

Adresse : VISIONIX - Luneau Technology Operations, à l’attention du DPO, 2 rue Roger Bonnet, 27340, Pont de l'arche

 

 

ARTICLE 3 : informations relatives au traitement réalisé aux fins propres de la société VISIONIX – Luneau Technology Operations

 

Le Sous-Traitant est autorisé, pour toute la durée du Contrat et de l’utilisation des Solutions Visionix, à traiter à ses fins propres et pour son compte, les données, pour la ou les finalité(s) suivante(s) :

 

  • Amélioration de ses services (R&D), sur la base de données ne permettant pas une identification directe par Visionix – Luneau Technology Operations
  • Réalisation de rapports d’analyses/études statistiques anonymes (sur la base de données pseudonymisées ou anonymisées) notamment relatives à la surveillance de ses Dispositifs Médicaux (afin de répondre à ses obligations légales)

 

 

ARTICLE 4 : Obligations du Sous-Traitant vis-à-vis du responsable de traitement

 

Le Sous-Traitant s'engage à :

 

  1. Traiter les Données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet des articles 2 et 3 du présent accord de sous-traitance.

 

  1. Traiter les Données à caractère personnel pour le compte exclusif du Responsable du Traitement et conformément aux instructions documentées de ce dernier notamment en matière de sécurité des systèmes d’information. Si le Sous-Traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relatif à la protection des données, il en informe immédiatement le Responsable du Traitement. En outre, si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable de Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public. Par ailleurs, dans le cadre du Contrat, les traitements de Données confiées aux Sous-Traitants ultérieurs peuvent donner lieu à des transferts hors UE et font, le cas échéant, l’objet de décision d’adéquation ou de la mise en œuvre de garanties appropriées (notamment clauses contractuelles types), conformément aux articles 45 et suivants du RGPD.

 

  1. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du ontrat.

 

  1. A s’interdire :
  • De divulguer, sous quelque forme que ce soit, tout ou partie des Données Personnelles traitées ;
  • De prendre copie ou stocker, quelles qu'en soient la forme et la finalité, tout ou partie des informations ou Données Personnelles contenues sur les supports ou documents qui lui ont été confiés ou qu’il a recueillis en cours d’exécution du Contrat, en dehors des cas couverts par les présentes.

 

  1. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du Contrat de sous-traitance :
  • S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
  • Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

 

  1. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

 

  1. Sous-traitance :

 

Le Sous-Traitant est autorisé à faire appel aux entités listés en annexe ci-après, le(s) « Sous-Traitant(s) ultérieur(s) ») pour mener les activités de traitement visées.

 

En cas de recrutement d’autres Sous-Traitants ultérieurs, le Sous-Traitant doit recueillir l’autorisation écrite, préalable et spécifique du responsable de traitement.

 

Le Sous-Traitant ultérieur est tenu de respecter les obligations du contrat de sous-traitance pour le compte et selon les instructions du Responsable du Traitement. Il appartient au Sous-Traitant initial de s’assurer que le Sous-Traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le Sous-Traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-Traitant initial demeure pleinement responsable devant le Responsable du Traitement de l’exécution par l’autre Sous-Traitant de ses obligations.

 

  1. Droit d’information des personnes concernées

 

Il appartient au Responsable du Traitement d’informer les personnes concernées au sujet des opérations de traitement qu’il réalise lui-même et pour son compte. Il appartient au Sous-Traitant d’informer les personnes concernées au sujet des opérations de traitement qu’il réalise pour son compte et de celles qu’il réalise pour le compte du Responsable de traitement au moment de la collecte des Données, par le biais d’un formulaire d’information spécifique.

 

  1. Exercice des droits des personnes concernées

 

Dans la mesure du possible, le Sous-Traitant doit aider le Responsable du Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité…

Lorsque les personnes concernées formulent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit répondre, au nom et pour le compte du Responsable de Traitement et dans les délais prévus par le RGPD, aux demandes des personnes concernées dans la mesure où celles-ci concernent des données faisant l’objet du présent accord de sous-traitance.

 

 

 

  1. Notification des violations de données à caractère personnel

 

Le Sous-Traitant notifie au Responsable du Traitement toute violation de données à caractère personnel dans le plus bref délai après en avoir pris connaissance.

 

Après accord du Responsable de Traitement, le Sous-Traitant notifie à l’autorité de contrôle compétente conformément à l’article 55 du RGPD, au nom et pour le compte du Responsable de Traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, dans les 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

 

En cas de risque élevé pour les droit et libertés des personnes physiques, après accord du Responsable de Traitement, le Sous-Traitant communique, au nom et pour le compte du Responsable de Traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que le Responsable du Traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

 

 

  1. Aide du Sous-Traitant dans le cadre du respect par le Responsable du Traitement de ses obligations

 

Le Sous-Traitant aide le Responsable du Traitement pour la réalisation d’analyses d’impact relative à la protection des données ou pour la réalisation de la consultation préalable de l’autorité de contrôle.

 

  1. Mesures de sécurité

 

Le Sous-Traitant s’engage à mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées compte tenu de l'état de l’art, des coûts, de la nature, de la portée, du contexte et des finalités des traitements afin de garantir un niveau de sécurité adapté aux risques, et notamment :

 

  • La pseudonymisation et le chiffrement des données selon la criticité des données
  • Les moyens permettant de garantir :
    • La confidentialité des informations en empêchant leur divulgation à des Tiers non autorisés ;
    • L’intégrité des informations en empêchant leur modification ou destruction en dehors du cadre du traitement, et ce de façon intentionnelle ou accidentelle ;
    • La disponibilité des informations et des systèmes d’information utilisés dans le cadre du traitement, et la résilience constantes des systèmes et des services de traitement ;
    • La traçabilité des opérations effectuées sur les informations ;
  • Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

A cet égard, le Sous-Traitant a notamment mis en œuvre les mesures suivantes :

 

  • Le chiffrement de la base de données, des flux et des matériels
  • Pseudonymisation des données ne permettant pas une identification par le Sous-Traitant
  • Le cloisonnement
  • Le contrôle des accès logiques, notamment politique de gestion des habilitation, compte personnel avec authentification forte, vérification de la robustesse des mots de passe, et conservation sécurisée des mots de passe chiffré
  • La journalisation visant à tracer les accès et gérer les incidents
  • L’archivage sécurisé
  • L’engagement de confidentialité de son personnel et des Sous-Traitants
  • La sécurisation des serveurs (certification ISO 27001 – HDS de l’hébergeur)
  • L’hébergement sur des serveurs localisés en Europe uniquement
  • Sauvegardes quotidiennes et serveurs redondés
  • Des mesures organisationnelles comme :
    • L’intégration de la protection de la vie privée dans les projets
    • La gestion des personnels
    • La gestion des tiers
    • La désignation d’un DPO
    • La mise en place de procédures internes de violation de données et d’exercice des droits

 

  1. Copie et sort des Données personnelles au terme du Contrat

 

Le Sous-Traitant s’engage, au terme du Contrat ou en cas de rupture anticipée de ce dernier, à ne garder aucune copie des données à caractère personnel hébergées à moins qu’il en soit exigé autrement par la réglementation applicable au Sous-Traitant, notamment en tant que fabriquant de dispositifs médicaux.

 

  1. Registre des catégories d’activités de traitement

 

Le Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable du Traitement comprenant :

 

  • Le nom et les coordonnées du Responsable du Traitement pour le compte duquel il agit, des éventuels Sous-Traitants et, le cas échéant, du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte du Responsable du Traitement ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    • La pseudonymisation et le chiffrement des données à caractère personnel ;
    • Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
    • Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

  1. Documentation et audit

 

Le Sous-Traitant met à la disposition du Responsable du Traitement la documentation ou la certification nécessaire pour démontrer le respect de ses obligations.

Le Sous-Traitant permet la réalisation d'audits, y compris des vérifications pratiques des garanties contractuelles par le Responsable du Traitement, dans la limite de tout élément protégé par le secret des affaires, le secret professionnel ou un/des droit(s) de propriété intellectuelle.

Il est précisé que tout audit de sécurité technique ou organisationnelle du Sous-Traitant est réalisé aux frais du Responsable de Traitement, par un auditeur compétent et indépendant, mandaté d’un commun accord avec le Sous-Traitant, et en présence de ce dernier.

 

 

ARTICLE 5 : Obligations du responsable de traitement vis-à-vis du Sous-Traitant

 

Le Responsable du Traitement s’engage à :

 

  1. Fournir au Sous-Traitant les données prévues aux présentes.
  2. Documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant.
  3. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-Traitant.

 

Dans le cadre de la supervision du traitement, le Responsable de Traitement pourra réaliser des audits et des inspections auprès du Sous-Traitant.

Le Responsable du Traitement pourra, à la demande des personnes concernées, adresser une copie des présentes clauses et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que ces clauses ou le contrat contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations.