Accord de traitement des données

CONSIDERANTS :

Dans le cadre de leurs relations contractuelles, le Sous-traitant et le Responsable de traitement (ci-après ensemble: les ​“Parties”) s’engagent à respecter les lois et réglementations applicables en matière de protection des données, et notamment les dispositions du Règlement (UE) ²⁰¹⁶⁄₆₇₉ du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après le ​“RGPD”).

Le présent Accord de traitement des données a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer les opérations de Traitement des Données à caractère personnel fournies par le Responsable de traitement pour l’exécution des Services.

1. DÉFINITIONS

Les définitions attachées au présent Accord de traitement des données sont disponibles ici.

2. ENTRÉE EN VIGUEUR ET DURÉE

Le présent Accord entre en vigueur à compter de la signature du Contrat auquel il est attaché et reste en vigueur durant toute la durée de la relation contractuelle entre le Sous-traitant et le Responsable de traitement.

3. STATUT DES PARTIES

Le Sous-traitant est autorisé par le Responsable de traitement à traiter, pour le compte du Responsable de traitement, les Données à caractère personnel et Données de Santé nécessaires à la fourniture des Services pour les finalités et dans le strict respect des conditions mentionnées dans le présent Accord de traitement des données.

Dès lors que le Responsable de traitement renseigne des Données à caractère personnel ou Données de Santé de tiers dans l’App ou sur les Services, telles que des données de confrères ou de Patients, il/​elle doit respecter les dispositions légales et règlementaires applicables.

3.1. Obligations du Responsable de traitement

Le Responsable de traitement est seul responsable de la tenue du registre des traitements tel que requis par l’article 30.1 du RGPD et le cas échéant de l’accomplissement de toute formalité, y compris mais sans s’y limiter, les notifications, enregistrements, ou autorisations préalables à la mise en œuvre du traitement de Données à caractère personnel et Données de santé auprès de l’autorité de supervision compétente, si cela est requis par les lois et réglementations applicables en matière de protection des données. Il appartient également au Responsable de traitement d’informer les personnes concernées de manière conforme aux lois et réglementations applicables en matière de protection des données, et notamment, mais sans s’y limiter, aux articles 12 à 14 du RGPD, si des Données à caractère personnel et Données de Santé de Patients sont intégrées dans l’App ou traitées via les Services.

Le Responsable de traitement est seul responsable de l’exactitude, de la fiabilité et de la pertinence des Données à caractère personnel et Données de Santé. Il/​elle est notamment responsable de l’utilisation de l’App et/​ou des Services, et de l’information qu’il dépose, stocke, consulte et sort de l’App et/​ou des Services. L’Utilisateur/​Client s’engage à indemniser Doctolib Siilo, ses représentants, ses employés et ses sous-traitants et à les décharger de toute responsabilité quant à l’ensemble des réclamations, responsabilités, dommages et frais (y compris les frais de justice, honoraires et frais) imposés à ou subis par Doctolib Siilo, ses représentants, employés, et sous-traitants résultant du non-respect de cette obligation conformément aux lois et réglementations applicables en matière de protection des données, ou au présent Accord de traitement des données.

Pour éviter tout malentendu, les Données à caractère personnel stockées sur les appareils du Responsable de traitement ou d’un tiers sont sous le contrôle du Responsable de traitement ou de ce tiers, et ne font pas partie (ou, le cas échéant, ne font plus partie) du Traitement effectué par le Sous-traitant, même dans le cas où ces Données à caractère personnel ont été transférées par le biais de l’App ou sont stockées dans l’App.

Le Responsable de traitement s’engage à :

• Respecter et faire respecter le secret médical ;
• S’assurer que les Données à caractère personnel sont seulement partagées avec d’autres utilisateurs de l’App et des Services en conformité avec les lois et réglementations applicables en matière de protection des données ;
• Mettre en place une politique d’habilitation, de gestion des droits d’accès et des rôles et privilèges, permettant de garantir la confidentialité des Données à caractère personnel et Données de Santé et ce conformément avec les lois et réglementations applicables en matière de protection des données et de santé ;
• Documenter par écrit toute instruction concernant le/​les Traitement(s) de Données à caractère personnel et Données de Santé effectué(s) par Doctolib Siilo ;
• Superviser les Traitements effectués par Doctolib Siilo en qualité de Sous-Traitant ;
• Désigner un interlocuteur privilégié chargé de représenter le Responsable de traitement
• Désigner un délégué à la protection des Données à caractère personnel si cela est requis par les dispositions de l’article 37 du RGPD, si le Responsable de traitement n’a pas déjà effectué cette désignation ;
• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par les lois et réglementations applicables en matière de protection des données.
  

3.2. Obligations de Doctolib Siilo

Doctolib Siilo s’engage à :

• Traiter les Données à caractère personnel et Données de Santé suivant les finalités et le cadre défini au sein du présent Accord de traitement des données, et se conformer aux normes techniques et aux bonnes pratiques applicables en matière de Données à caractère personnel et Données de Santé ;
• N’agir que sur la seule instruction préalable du Responsable de traitement et conformément aux finalités de traitements décrites en Annexe 1 de cet Accord de traitement des données, sauf si une obligation légale à laquelle est soumise le Sous-traitant requiert que le Sous-traitant traite les Données à caractère personnel. En cas d’impossibilité ou de difficulté dans la réalisation de certaines instructions, Doctolib Siilo en informera le Responsable de traitement dans les meilleurs délais, dans la mesure où les lois et règlements applicables le permettent. Doctolib Siilo peut formuler une demande écrite de dérogation aux instructions. Doctolib Siilo devra recueillir l’autorisation écrite, préalable et spécifique du Responsable de traitement pour pouvoir procéder à cette dérogation. Si, de l’avis du Sous-traitant, une instruction du Responsable de traitement enfreint les lois ou règlements applicables en matière de protection des données, le Sous-traitant en informe immédiatement le Responsable de traitement.
• Le Sous-traitant aide le Responsable de traitement à assurer le respect par le Responsable de traitement des obligations découlant de l’article 35 du RGPD (analyse d’impact sur la protection des données) et de l’article 36 du RGPD (consultation préalable), en tenant compte de la nature du Traitement et des informations dont dispose le Responsable de traitement.;
• Ne pas faire de copie des Données à caractère personnel et Données de Santé sans autorisation ou instruction du Responsable de traitement, ne pas les communiquer à des tiers et à ne pas les utiliser à des fins autres que celles spécifiées à l’Accord sur le Traitement des données ;
• Ne pas exploiter ou traiter pour son propre compte et/​ou pour le compte de tiers, à quelque fin que ce soit et de quelque manière que ce soit, les Données à caractère personnel et Données de Santé qui lui sont confiées par le Responsable de traitement ;
• Mettre tous les moyens en sa possession au regard des stipulations contractuelles et des règles de l’art pour assurer la sécurité et la confidentialité des Données à caractère personnel et Données de Santé qui lui sont confiées et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés et plus généralement, mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les Données à caractère personnel et Données de Santé contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé, notamment lorsque le Traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite ;
• Notifier dans les meilleurs délais le Responsable de traitement de toute survenance de faille de sécurité impactant directement ou indirectement les Données à caractère personnel, Données de Santé ou Traitements le concernant ;
• Procéder à des sauvegardes régulières des Données à caractère personnel et Données de Santé ;
• Procéder régulièrement à des tests d’intrusion (ou Pentest) ;
• Maintenir les matériels nécessaires au bon fonctionnement des Services ;
• S’assurer de la confidentialité des Données à caractère personnel et Données de Santé traitées ;
• Prendre en compte toute mise à jour, correction, suppression ou autres modifications communiquées par le Responsable de traitement concernant les Données à caractère personnel et Données de Santé ;
• Respecter la période de conservation des Données à caractère personnel et Données de Santé applicable aux finalités pour lesquelles elles ont été collectées ou fournies et les supprimer/​anonymiser dès lors que ces finalités n’existent plus, sous réserve des obligations légales
  

4. VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL

4.1. Le Sous-traitant notifie au Responsable de traitement toute Violation de Données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, par message électronique ou tout autre moyen de communication mis à sa disposition par le Responsable de traitement.

4.2. Cette notification est accompagnée, sur demande du Responsable de traitement, et dans toute la mesure du possible, de toute documentation concernant la nature de la Violation de Données à caractère personnel, les conséquences potentielles de la Violation de Données à caractère personnel et/​ou les mesures que le Sous-traitant a mises en œuvre et/​ou entend mettre en œuvre pour remédier à la Violation de Données à caractère personnel.

4.3. Le Sous-traitant doit, dans la mesure du possible, aider le Responsable de traitement à assurer le respect par le Responsable de traitement des obligations prévues à l’article 33 du RGPD (Notification d’une violation de données personnelles à l’autorité de contrôle) et à l’article 34 du RGPD (Communication d’une violation de données personnelles à la personne concernée), en tenant compte de la nature du Traitement et des informations dont dispose le Sous-traitant. Il appartient au Responsable de traitement de déterminer si une Violation de Données à caractère personnel doit être notifiée à l’autorité de contrôle ou communiquée à la ou aux Personnes concernées par le Responsable de traitement.

5. INFORMATION ET DROITS DES PERSONNES CONCERNÉES

Il appartient au Responsable de traitement d’informer les Personnes concernées (i) des Traitements mis en œuvre dans le cadre des Services et de recueillir leur(s) consentement(s) dès lors que cela s’avère nécessaire en vertu de la loi applicable; (ii) des bases légales des Traitements mis en oeuvre, des finalités des Traitements ainsi que de la liste des Sous-traitants susceptibles de traiter leurs Données à caractère personnel.

6. GESTION DES DROITS

Il appartient au Responsable de traitement de donner suite aux demandes des Personnes concernées sur leurs Données à caractère personnel relatives aux droits consacrés par les articles 15 à 22 du RGPD. Dans la mesure du possible, Doctolib Siilo, en sa qualité de Sous-traitant et sur demande du Responsable de traitement, pourra assister le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes concernées.

7. CONFIDENTIALITÉ

7.1. Le Sous-traitant est tenu de garder confidentielles toutes les Données à caractère personnel qui lui sont fournies par le Responsable de traitement, sauf en cas d’obligation légale applicable au Sous-traitant ou d’instruction contraire du Responsable de traitement.

7.2. Sur instruction des autorités administratives et judiciaires habilitées, Doctolib Siilo peut communiquer les Données à caractère personnel qu’elle traite au nom et pour le compte du Responsable de traitement afin de se conformer à ses obligations légales. Dans ce cas, et sauf disposition contraire de la loi, Doctolib Siilo s’engage à notifier cette communication au Responsable de traitement.

7.3. Le Sous-traitant veille à ce que toutes les personnes qui traitent les Données à caractère personnel sur instruction du Responsable de traitement, y compris, mais sans s’y limiter, les employés du Sous-traitant, et les Sous-traitants ultérieurs du Sous-traitant, soient obligés de garder les Données à caractère personnel confidentielles, sous réserve du contenu du présent article.

8. SÉCURITÉ ET CONTRÔLE

8.1. Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées conformément à l’article 32 du RGPD (Sécurité du Traitement) liées à la sécurité conformément, ces mesures devant au moins inclure les mesures décrites en Annexe 2.

8.2. Les obligations visées ci-dessus ne déchargent en aucun cas le Responsable de traitement de mettre en place l’ensemble des mesures techniques et organisationnelles nécessaires à la confidentialité et à la sécurité des informations, y compris des Données à caractère personnel, présentes sur l’App ou sur les Services.

9. SOUS TRAITANCE ULTÉRIEURE

Le Responsable de traitement concède au Sous-traitant une autorisation écrite générale lui permettant de faire appel aux Sous-traitants ultérieurs énumérés en Annexe 3.

Conformément à cette autorisation générale, le Sous-traitant s’engage à informer le Responsable de traitement, par le biais d’un préavis écrit de quinze (15) jours, de tout changement envisagé concernant l’ajout ou le remplacement de Sous-traitants ultérieurs, offrant ainsi au Responsable de traitement la possibilité de soulever toute objection qu’il pourrait avoir à l’égard de ces changements. Si le Responsable de traitement a des raisons légitimes et raisonnables de s’opposer à la nomination d’un nouveau Sous-traitant ultérieur, le Responsable de traitement doit immédiatement motiver sa réclamation au Sous-traitant en adressant un avis écrit au Sous-traitant à privacy@​siilo.​com, dans les quinze (15) jours ouvrables suivant l’avis émis par Doctolib Siilo, à défaut de quoi le Responsable de traitement sera réputé avoir approuvé et accepté cette nomination.

Après discussions et en l’absence d’accord entre le Sous-traitant et le Responsable de traitement, le Responsable de traitement pourra, dans les quinze (15) jours suivant la notification, résilier la partie du Contrat affectée par la mise à jour en question.

Concernant chaque Sous-traitant ultérieur, le Sous-traitant : (i) fera preuve d’une diligence raisonnable sur le plan commercial dans l’évaluation, la nomination et la surveillance des activités de Traitement des Sous-traitants ultérieurs; (ii) inclura dans le contrat entre le Sous-traitant et chaque Sous-traitant ultérieur des clauses offrant un niveau de protection équivalent pour les Données à caractère personnel et Données de Santé traitées, pour le compte du Responsable de traitement telles que celles prévues dans le présent Accord de traitement des données.

Si les Sous-traitants ultérieurs ne remplissent pas leurs obligations en matière de protection des Données à caractère personnel, le Sous-traitant demeure responsable devant le Responsable de traitement de l’exécution par les Sous-traitants ultérieurs de ses obligations conformément aux termes de l’Accord de traitement des données.

10. AUDIT

10.1. Afin de mesurer la sécurité des Services, le Responsable de traitement pourra faire réaliser à ses frais des audits de sécurité, dans le respect des conditions prévues au présent article et dans la limite d’un (1) audit par an et de cinq (5) jours ouvrés maximum, le temps passé par le personnel du Sous-traitant étant facturé au Responsable de traitement.

10.2. L’audit se limitera à la vérification des processus, de l’organisation et des outils directement et exclusivement liés à la mise en œuvre des dispositions du RGPD pour les Services concernés.

L’audit ne doit en aucun cas avoir pour but de surveiller ou d’exiger l’accès (i) à toute Donnée à caractère personnel ou Donnée de Santé non spécifique, qu’elle soit confidentielle ou non, ou à toute information dont la divulgation pourrait, à la discrétion du Sous-traitant, nuire à la sécurité des Services ou d’un autre de ses Utilisateurs ; (ii) aux données financières du Sous-traitant ; ou (iii) aux Données à caractère personnel relatives aux employés du Sous-traitant ou de ses Sous-traitants ultérieurs.

Il est convenu que toutes les activités entreprises dans le cadre d’un audit ne doivent, ni concurremment ni par ailleurs : (i) être de nature à entraver, modifier ou affecter de quelque manière que ce soit le fonctionnement de Services, systèmes, réseaux, logiciels et/​ou matériels informatiques autres que ceux alloués à l’usage exclusif du Responsable de traitement; (ii) endommager l’infrastructure hébergeant les Services; (iii) endommager, supprimer, modifier tout type de données; (iv) permettre un accès non autorisé ou la maintenance des données précitées.

Aucun test d’intrusion ou de pénétration visant la plateforme et l’application du Sous-traitant n’est autorisé pour quelque motif que ce soit et est exclu des audits sans l’accord écrit et préalable du Sous-traitant.

A la demande du Responsable de traitement, le Sous-traitant communiquera à celui-ci les rapports d’audit de certification délivrés par l’organisme de certification destinés à une telle communication.

10.3. Le Responsable de traitement devra faire parvenir au Sous-traitant au minimum trente (30) jours avant la réalisation de l’audit une convention d’audit détaillant son périmètre exact, les dates et horaires prévus, les conditions y afférent. L’auditeur devra également préciser les éventuels comptes et profils utilisés pour les tests (adresse IP sources, user agent etc), la méthodologie employée, ainsi que les acteurs qui seront audités. Le contenu de la convention d’audit doit être accepté préalablement par le Sous-traitant avant tout début d’audit.

10.4. Les informations obtenues au cours de l’audit sont des Informations Confidentielles et devront être traitées comme telles par le Responsable de traitement. Ces informations pourront uniquement être communiquées aux personnes soumises à des exigences fortes en matière de confidentialité et ayant un intérêt direct et majeur à les connaître et ne devront en aucune manière être divulguées au public ou en interne.

Si le Responsable de traitement souhaite faire appel à un auditeur externe, le Responsable de traitement devra obtenir l’accord préalable écrit du Sous-traitant, étant entendu que le Sous-traitant ne pourra refuser ledit auditeur qu’en faisant valoir des arguments objectifs et fondés.

L’auditeur externe ne pourra en aucun cas être un concurrent du Sous-traitant et devra s’engager par écrit au respect des conditions fixées au présent article.

Le Responsable de traitement s’engage à communiquer gratuitement le rapport d’audit au Sous-traitant qui pourra présenter ses observations.

Le Sous-traitant disposera d’un délai raisonnable à compter de la réception du rapport pour corriger les manquements et/​ou non-conformités constatés.

11. DURÉE DE CONSERVATION ET DESTRUCTION DES DONNEES A CARACTERE PERSONNEL

11.1. Pour rappel Doctolib Siilo Messenger est un canal d’échange sécurisé entre Acteurs de Santé et n’a pas vocation à servir de lieu de stockage de données ou de documents relatifs au suivi des Patients. Les Responsables de traitement s’engagent à faire une sauvegarde régulière des données et documents échangés via Doctolib Siilo Messenger.

11.2. Le Responsable de traitement dispose de l’option de (i) supprimer, ou (ii) exporter tout Contenu Généré par l’Utilisateur sur ou depuis son appareil et Compte. Dans un souci de clarté, si l’Utilisateur supprime son Compte Utilisateur ou tout Contenu Généré par l’Utilisateur partagé à l’aide des Services, le Contenu Généré par l’Utilisateur envoyé à d’autres Utilisateurs des apps est sous le contrôle de ces Utilisateurs et ne fait pas partie d’une suppression telle que décrite ci-dessus.

11.3. Concernant l’utilisation de Doctolib Siilo Messenger, l’Utilisateur pourra récupérer le Contenu Généré par l’Utilisateur disponible sur son Compte Utilisateur en téléchargeant manuellement chaque conversation. Chaque message est téléchargeable au format PDF. L’Utilisateur reconnaît qu’il dispose de tous les droits et/​ou autorisations nécessaires pour récupérer ce Contenu Généré par l’Utilisateur.

Le Responsable de traitement détermine toutes les durées de conservation et veille à ce qu’elles soient respectées en supprimant les Données à caractère personnel correspondantes. A moins que l’Utilisateur n’ait activé l’option ​“Conserver la conversation” dans les paramètres spécifiques à chaque conversation, tous les messages seront supprimés après une période de trente (30) jours. Dans le cas où une telle option a été activée par l’Utilisateur, tout le Contenu Généré par l’Utilisateur relatif à la conversation sera conservé pour une période illimitée, c’est-à-dire jusqu’à ce que l’Utilisateur décide de supprimer son Compte Utilisateur, ou jusqu’à ce que cette option de conservation soit désactivée.

11.4. Au terme du présent Accord de traitement des données, le Sous-traitant s’engage, au choix du Responsable de traitement, à :

• restituer les Données à Caractère Personnel au Responsable de traitement et ensuite à détruire les Données à caractère personnel sans en conserver de copie, sous réserve des obligations légales de conservation auxquelles le Sous-traitant peut être soumis, dans un délai de quinze (15) jours ; ou
• détruire les Données à caractère personnel sans en conserver de copie, sous réserve des obligations légales de conservation auxquelles le Sous-traitant peut être soumis, dans un délai de quinze (15) jours.

Le Sous-traitant veillera à ce que toutes les Données à caractère personnel associées traitées par ses Sous-traitants ultérieurs soient détruites, sauf si une conservation supplémentaire des Données à caractère personnel est requise par la loi.

12. TRANSFERTS DE DONNEES A CARACTERE PERSONNEL

Les Données Personnelles peuvent être transférées aux sociétés du groupe du Sous-traitant, à leurs Sous-traitants ou prestataires de services établis dans des pays bénéficiant d’un niveau de protection adéquat ou offrant des garanties suffisantes en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes, conformément à la législation applicable.

Le Sous-traitant ne transférera les Données à caractère personnel qu’à des Sous-traitants établis dans des pays situés en dehors de l’Espace Économique Européen uniquement lorsqu’un tel transfert est requis pour l’exécution des Services commandés. La liste des Sous traitants ultérieurs est disponible en Annexe 3.

Si le transfert a lieu vers un pays tiers en-dehors de l’Espace Économique Européen dans lequel la législation n’a pas été reconnue comme offrant un niveau de protection adéquat des Données à caractère personnel, le Sous-traitant veille à ce que les mesures adéquates soient mises en place conformément au RGPD et aux lois et réglementations applicables en matière de protection des données, et notamment, lorsque nécessaire à ce que des Clauses Contractuelles Types ou des clauses ad hoc équivalentes soient intégrées dans le contrat conclu entre le Sous-traitant et le destinataire des Données à caractère personnel.

13. AUTRES

13.1. Le Sous-traitant est en droit de changer et de modifier le présent Accord de traitement des données afin de refléter, par exemple, les développements de la jurisprudence, les changements de réglementation, les meilleures pratiques publiées par les autorités de surveillance et autres. Le Sous-traitant informe le Responsable de traitement de ces changements et modifications avant que la nouvelle version ne prenne effet. Si cette nouvelle version a un effet négatif important sur la position du Responsable de traitement, ce dernier a le droit de la refuser. Dans ce cas, le Contrat entre le Responsable de traitement et le Sous-traitant prend fin.

13.2. Le présent Accord de traitement des données n’est pas transférable par l’une ou l’autre des Parties sans le consentement écrit de l’autre partie. Toutefois, aucun consentement n’est requis en cas de transfert par le Sous-Traitant à une société affiliée (filiale, société soeur ou société mère) du Sous-traitant.

13.3. Le présent Accord de traitement des données est régi exclusivement par le droit néerlandais.

13.4. Les parties soumettront exclusivement leurs litiges relatifs au présent Accord de traitement des données au tribunal compétent d’Amsterdam.

______

ANNEXE 1 : DÉTAILS SUR LE TRAITEMENT DES DONNÉES PERSONNELLES

Cet Accord de traitement des données ne s’applique pas au traitement des Données à caractère personnel concernant les Utilisateurs/​Clients, ou les points de contact chez l’Utilisateur/​Client (e.g. coordonnées, adresse email, numéros de téléphone, coordonnées bancaires, informations liées au paiement etc.) qu’effectue Doctolib Siilo et ses sociétés affiliées en qualité de Responsable de traitement au sein du RGPD, et tels que décrits dans la Politique de Confidentialité disponible en ligne.

RESPONSABLE DE TRAITEMENT : selon les cas, l’Utilisateur de l’App et des Services, et/​ou le Client ayant sous crit à Doctolib Siilo Connect et/​ou Prisma.

Les activités du Responsable de traitement comprennent des Traitements permettant l’exercice des activités de prévention, de diagnostic et de soins ainsi que la gestion administrative de son établissement de santé, centre de santé ou cabinet libéral.

Les Traitements permettent notamment, pour les besoins de la prise en charge des patients, la fourniture (i) d’une messagerie instantanée (Doctolib Siilo Messenger et Doctolib Siilo Webchat), (ii) d’un réseau interne d’organisation (Doctolib Siilo Connect) et (iii) d’une plateforme de consultation collaborative virtuelle (Doctolib Siilo Prisma).

SOUS-TRAITANT(S) : DOCTOLIB SIILO

Les activités effectuées par le Sous-traitant pour le compte des Responsables de traitement sont décrites ci-dessous.

TRAITEMENT N°1 : MESSAGERIE INSTANTANÉE (Doctolib Siilo Messenger et Doctolib Siilo Webchat)

OPÉRATIONS DE TRAITEMENT :

Les Services de Doctolib Siilo impliquent la collecte, l’enregistrement, l’organisation, la conservation, l’extraction, la consultation et l’utilisation, la communication par transmission, l’anonymisation et l’effacement des Données à caractère personnel listées ci-dessous.

FINALITÉS :

Le service gratuit de messagerie instantanée est conçu pour assurer une meilleure coordination des soins, permettant aux Utilisateurs de communiquer et d’envoyer des messages texte, des vidéos, des photos, des notes vocales et d’autres médias. Doctolib Siilo Messenger permet des discussions individuelles, ainsi que des discussions de groupe.

BASE LÉGALE

Il appartient au Responsable de traitement de déterminer cette base légale avant toute opération de Traitement.

A titre indicatif, l’intérêt légitime pourrait constituer la base légale. Le Responsable de traitement est libre de mentionner à Doctolib Siilo une autre base légale.

Dans le cas où le Responsable de traitement communique les Données à caractère personnel, ou Données de Santé de Patients à des Acteurs de santé qui ne font pas partie de l’équipe de soin du Patient donné, il doit au préalable requérir le consentement de ce Patient.

PERSONNES CONCERNÉES :

1/ Patients

2/ Acteurs de Santé ou assistants ayant un Compte Utilisateur.

DONNÉES CONCERNÉES :

Sont en principe considérées comme pertinentes, pour des finalités rappelées ci-dessus, les données suivantes :

• Données d’identification de l’Acteur de Santé ;

• Données de contact de l’Acteur de Santé ;

• Antécédents médicaux, familiaux et allergies ;

• Données de consultation ;

• Données de prescription ;

• Données de biométrie et biologie ;

• Données relatives à l’équipe soignante ;

• Imagerie médicale ;

• Photos, vidéos ;

• Notes vocales ;

• Concernant les appels vocaux ou vidéos : le flux audio ou vidéo permettant la transmission des données entre les Acteurs de Santé ;

• Les logs d’utilisation et de connexion qui rendent compte des ​“actions métiers” des Utilisateurs au sein des Services fournis par Doctolib Siilo, ainsi que les logs techniques qui rendent compte de « l’activité » des composants logiciels et matériels utilisés par l’Utilisateur/​Client afin que Doctolib Siilo puisse assurer le fonctionnement et l’accès aux fonctionnalités demandées.

DESTINATAIRES DES DONNÉES :

Les Acteurs de Santé ou assistants ayant un Compte Utilisateur.

DURÉE DE CONSERVATION :

A moins que l’Utilisateur n’ait activé l’option ​“Conserver la conversation” dans les paramètres spécifiques à chaque conversation, tous les messages seront supprimés après une période de trente (30) jours.

TRAITEMENT N°2 : RÉSEAU INTERNE D’ORGANISATION (Doctolib Siilo Connect)

OPÉRATIONS DE TRAITEMENT :

Les Services de Doctolib Siilo impliquent la collecte, l’enregistrement, l’organisation, la conservation, l’extraction, la consultation et l’utilisation, la communication par transmission, l’anonymisation et l’effacement des Données à caractère personnel listées ci-dessous.

FINALITÉS DU TRAITEMENT :

Via Doctolib Siilo Connect, les employés / membres d’une organisation peuvent facilement se connecter et se contacter, et partager des informations via le Fil d’Actualités du Réseau. Sur l’Outil d’Administration Doctolib Siilo Connect, le personnel du Client peut paramétrer et personnaliser le Réseau Interne, diffuser des messages, inviter des personnes à rejoindre le réseau, et créer des discussions pour les Utilisateurs.

BASE LÉGALE DU TRAITEMENT :

Il appartient au Responsable de traitement de déterminer cette base légale avant toute opération de Traitement.

A titre indicatif, l’intérêt légitime pourrait constituer la base légale. Le Responsable de traitement est libre de mentionner à Doctolib Siilo une autre base légale.

PERSONNES CONCERNÉES :

1/ Patients

2/ Acteurs de Santé ou assistants ayant un Compte Utilisateur.

DONNÉES CONCERNÉES :

Sont en principe considérées comme pertinentes, pour des finalités rappelées ci-dessus, les données suivantes :

• Données d’identification, données professionnelles et coordonnées des Acteurs de Santé et assistants faisant partie de l’organisation du Responsable de traitement ;

• Données d’identification de l’Acteur de Santé ;

• Données de contact de l’Acteur de Santé ;

• Antécédents médicaux, familiaux et allergies ;

• Données de consultation ;

• Données de prescription ;

• Données de biométrie et biologie ;

• Données relatives à l’équipe soignante ;

• Imagerie médicale ;

• Photos ;

• Les logs d’utilisation et de connexion qui rendent compte des ​“actions métiers” des Utilisateurs au sein des Services fournis par Doctolib Siilo, ainsi que les logs techniques qui rendent compte de « l’activité » des composants logiciels et matériels utilisés par l’Utilisateur/​Client afin que Doctolib Siilo puisse assurer le fonctionnement et l’accès aux fonctionnalités demandées.

DESTINATAIRES DES DONNÉES :

Les Acteurs de Santé ou assistants ayant un Compte Utilisateur.

DURÉE DE CONSERVATION :

A défaut d’une instruction spécifique de la part du Responsable de traitement, Doctolib appliquera les durées de conservations telles que recommandées par les autorités de supervision compétentes, ou par la législation applicable.

TRAITEMENT N°3 : PLATEFORME DE CONSULTATION COLLABORATIVE VIRTUELLE (Doctolib Siilo Prisma)

OPÉRATIONS DE TRAITEMENT :

Les Services de Doctolib Siilo impliquent la collecte, l’enregistrement, l’organisation, la conservation, l’extraction, la consultation et l’utilisation, la communication par transmission, l’anonymisation et l’effacement des Données à caractère personnel et Données de santé listées ci-dessous.

FINALITÉS DU TRAITEMENT :

Via Doctolib Siilo Prisma, les médecins généralistes peuvent soumettre rapidement, de manière accessible et anonyme, une consultation collaborative virtuelle à un réseau multidisciplinaire de spécialistes, qui examinent ces consultations et y répondent ; et d’avoir accès à une base de connaissances consultable des consultations collaboratives auxquelles il a été répondu précédemment.

BASE LÉGALE DU TRAITEMENT :

Il appartient au Responsable de traitement de déterminer cette base légale avant toute opération de Traitement.

A titre indicatif, l’intérêt légitime pourrait constituer la base légale. Le Responsable de traitement est libre de mentionner à Doctolib Siilo une autre base légale.

PERSONNES CONCERNÉES :

1/ Patients

2/ Acteurs de Santé ou assistants ayant un Compte Utilisateur.

DONNÉES CONCERNÉES :

Sont en principe considérées comme pertinentes, pour des finalités rappelées ci-dessus, les données suivantes :

• Données d’identification de l’Acteur de Santé ;

• Données de contact de l’Acteur de Santé ;

• Antécédents médicaux, familiaux et allergies ;

• Données de consultation ;

• Données de prescription ;

• Données de biométrie et biologie ;

• Données relatives à l’équipe soignante ;

• Imagerie médicale ;

• Photos ;

• Les logs d’utilisation et de connexion qui rendent compte des ​“actions métiers” des Utilisateurs au sein des Services fournis par Doctolib Siilo, ainsi que les logs techniques qui rendent compte de « l’activité » des composants logiciels et matériels utilisés par l’Utilisateur/​Client afin que Doctolib Siilo puisse assurer le fonctionnement et l’accès aux fonctionnalités demandées.

DESTINATAIRES DES DONNÉES :

Les Acteurs de Santé ou assistants ayant un Compte Utilisateur.

DURÉE DE CONSERVATION :

A défaut d’une instruction spécifique de la part du Responsable de traitement, Doctolib appliquera les durées de conservations telles que recommandées par les autorités de supervision compétentes, ou par la législation applicable.

______

ANNEXE 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES

Politiques et contrôles organisationnels et administratifs

Doctolib Siilo a mis en place un système de gestion de la sécurité de l’information (SGSI) et Doctolib Siilo est certifié ISO27001 et NEN7510 (norme néerlandaise pour la gestion de la sécurité de l’information dans les soins de santé).

Dans le cadre du SGSI, Doctolib Siilo a mis en œuvre plusieurs politiques et contrôles organisationnels et administratifs, tels que des évaluations périodiques et standard des risques, des audits internes, une politique de sécurité de l’information, une politique respectant le principe du moindre privilège, la formation du personnel, une procédure de gestion des incidents (de sécurité) et une procédure de notification des violations de données. L’objectif du SGSI de Siilo est de permettre une amélioration continue de l’organisation, du personnel et de ses produits.

Chaque solution mise en œuvre par Doctolib Siilo fait l’objet d’une évaluation des risques et de l’impact sur la protection des données. Elle suit un processus strict protégé par nos politiques SGSI démontrées par nos certificats ISO-27001 et NEN7510.

Doctolib Siilo a nommé un responsable de la sécurité et un délégué de la protection des données indépendants qui sont enregistrés auprès de l’autorité néerlandaise de la protection des données.

Procédures de développement

La procédure de développement de Doctolib Siilo fait appel à plusieurs stratégies pour garantir à la fois la qualité et la sécurité des données :

(1) Tests unitaires : pour chaque fonctionnalité, nous développons un ensemble de tests de base qui exercent cette fonctionnalité de manière isolée ;

(2) Révision du code par les pairs : les modifications apportées à l’App sont revues par au moins deux développeurs avant d’être acceptées dans une version bêta. Pour les fonctionnalités qui ont un impact sur les tâches liées à la sécurité ou à la vie privée, ces nouvelles lignes de code logiciel sont examinées par un développeur principal extérieur à l’équipe et ce dernier interagit avec le responsable de la sécurité et le responsable de la vie privée avant de diffuser la ou les nouvelles fonctionnalités dans la messagerie.

(3) Test manuel et version bêta publique limitée : avant la diffusion, les fonctionnalités sont diffusées en interne pour être testées manuellement et sont souvent également diffusées à un groupe sélectionné de ​“bêta-testeurs amicaux”.

Cette approche est utilisée pour passer au crible les fonctionnalités spécifiques à un appareil, ainsi que toute fonctionnalité qui ne peut émerger qu’après avoir été exposée à un ensemble diversifié de flux de travail.

Le moindre privilège

Les privilèges sont accordés au personnel de Doctolib Siilo sur la base d’une stricte nécessité. Ceci est contrôlé et vérifié annuellement par un responsable de la sécurité. Tout employé de Doctolib Siilo qui a besoin d’accéder à des informations en dehors du rôle qui lui est attribué doit d’abord enregistrer sa demande à l’aide de notre formulaire standard. Ces demandes sont enregistrées et autorisées par le délégué à la protection des données si une demande est jugée conforme au Règlement Général sur la Protection des Données avant d’être satisfaite. Ces demandes sont également examinées une fois par trimestre par le comité ISO-27001 de Doctolib Siilo, composé du délégué à la protection des données et du directeur général et/​ou du directeur financier de Silo.

Politiques et contrôles techniques

Donnée de messagerie – données en transit

Pour comprendre les solutions permettant d’atténuer les risques liés aux données en transit, veuillez lire notre livre blanc sur la sécurité (https://​www​.siilo​.com/​r​e​s​o​u​r​c​e​s​/​s​e​c​u​r​i​t​y​-​w​h​i​t​e​-​paper). Il décrit en détail notre approche de la sécurité par la conception, le modèle de menace et les protocoles cryptographiques.

En bref, Doctolib Siilo utilise un chiffrement de bout en bout mis en œuvre avec LibSodium, un fork de la bibliothèque cryptographique NaCl https://​nacl​.cr​.yp​.to/.

Cela signifie que chaque message entre l’expéditeur et le destinataire est protégé par une paire de clés publique/​privée. Seuls l’expéditeur et le destinataire sont en mesure de déchiffrer et de lire les messages qu’ils échangent, et l’authenticité de tout message peut être vérifiée de manière empirique. Les tiers, y compris la société Doctolib Siilo et ses employés, ne sont jamais en mesure de les lire.

Doctolib Siilo utilise l’épinglage des certificats pour prévenir les attaques dites ​“man-in-the-middle”, un processus par lequel des attaquants accèdent au trafic entre les téléphones et tentent de s’introduire dans les lignes de communication et de les exploiter pour lire les messages. Les communications TLS v1.2 standard nécessitent un certificat SSL valide émis par une autorité de certification de confiance, reconnue par l’appareil. L’épinglage des certificats va plus loin et exige que ces certificats soient uniquement émis par une chaîne de confiance enracinée dans un émetteur spécifique. Cette mesure met fin à une série de vulnérabilités découlant des problèmes de distribution de clés associés à l’infrastructure des autorités de certification d’Internet.

Données de messagerie – données au repos sur l’appareil de l’utilisateur

Pour les données au repos sur l’appareil (iPhone, iPad, Android), les mesures de protection suivantes sont en place :

• Tout le ​“matériel clé” également connu sous le nom de codes utilisés par le cryptographe est stocké dans l’iOS KeyChain ou l’Android KeyStore selon le cas ;

• Tout le ​“matériel clé” est chiffré par une ​“clé maîtresse” qui est dérivée du code pin choisi par l’utilisateur ;

• L’ensemble de la base de données est chiffré à l’aide de SQLiteCipher. Tous les messages, métadonnées de messages et informations de contact sont stockés de cette manière ;

• Tous les médias reçus sont stockés en étant chiffrés par la clé de chiffrement symétrique à usage unique.

• Cette clé est accessible via la base de données mentionnée ci-dessus ;

• Un mécanisme de code pin au niveau de l’application empêche l’accès par des personnes ayant un accès physique à l’appareil. Cela permet d’éviter la plupart des formes d’ingénierie sociale en personne, comme la demande d’emprunt du téléphone pour un appel rapide, etc.

• Toutes les informations échangées dans l’application Doctolib Siilo sont automatiquement supprimées après 30 jours. Les utilisateurs peuvent décider eux-mêmes de supprimer des messages individuels sur une base ad hoc s’ils estiment que la durée de 30 jours est trop longue. Nous avons délibérément évité d’inclure des comptes à rebours et des durées de vie de messages telles que des secondes ou des heures, car nous pensons que cela créerait un sentiment d’urgence et entraînerait des captures d’écran et d’autres comportements indésirables chez le destinataire ;

• Lorsqu’un utilisateur sait que son appareil est perdu, volé ou autrement compromis, il peut alerter son organisation (il s’agit d’une fonctionnalité de Doctolib Siilo Connect) et un administrateur de Doctolib Siilo Connect peut effacer à distance les données Doctolib Siilo de l’appareil.

Données de messagerie – données au repos sur les serveurs Doctolib Siilo

Pour les données au repos sur les serveurs Doctolib Siilo, les mesures de protection suivantes sont en place :

• Tous les serveurs Doctolib Siilo sont situés dans l’Union européenne avec les normes de sécurité et de conformité les plus élevées ;

• Les règles de pare-feu empêchent l’accès du réseau aux bases de données (MySQL et ElasticSearch) et sont limitées à un sous-réseau contenant les serveurs de Doctolib Siilo et un VPN, auquel un sous-ensemble limité d’employés de Doctolib Siilo peut accéder ;

• La base de données MySQL est protégée par un mot de passe et chiffrée selon la norme industrielle AES-256 et stocke les données de messagerie, les métadonnées de messagerie, les données de configuration de Doctolib Siilo Connect et les données de profil utilisateur ;

• ElasticSearch chiffre des champs spécifiques tels que l’email et les numéros de téléphone pour permettre la correspondance. Les autres champs du profil qui sont affichés dans l’application comme ​“publics” pour les membres de Doctolib Siilo sont stockés en texte clair ;

• Tous les médias (envoyés via l’application et donc considérés comme sensibles) sont stockés et chiffrés par la clé de chiffrement symétrique à usage unique. Cette clé n’est stockée sur aucun serveur Doctolib Siilo, sauf dans le cadre des données du message chiffré stockées dans MySQL. Les clés permettant de décrypter ces données ne sont disponibles que sur les appareils de l’expéditeur et du destinataire.

(1) Les 64 premiers bits du hachage SHA1 de la forme normalisée E.164 de chaque numéro de téléphone trouvé dans le répertoire téléphonique.

(2) Clé : EEDAAC207FC6BA08727C

(3) Seuls les numéros de téléphone sont hachés et référencés. Doctolib Siilo ne touche pas aux noms associés, aux adresses électroniques et aux autres informations contenues dans le répertoire téléphonique. Le serveur Doctolib Siilo compare ensuite la liste des hachages de l’utilisateur avec les hachages de téléphone connus des utilisateurs actuels de Doctolib Siilo. Le serveur ne comparera que les utilisateurs actuels de Doctolib Siilo, et après avoir renvoyé les correspondances au client mobile, le serveur rejette immédiatement les hachages soumis.

Les mesures de sécurité sont décrites dans le livre blanc sur la sécurité de Doctolib Siilo disponible sur le site.

______

ANNEXE 3 : LISTE DES SOUS-TRAITANTS

Afin de fournir ses services, Doctolib Siilo fait appel à des prestataires. Ces derniers peuvent avoir accès aux données à caractère personnel collectées par Doctolib Siilo, uniquement dans le cadre, et pour les besoins des opérations mentionnées ci-dessous.

Doctolib Siilo veille à ce que chacun de ces prestataires mette en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données traitées. Conformément au Règlement Général sur la Protection des Données et dans un souci de transparence, Doctolib communique ci-dessous la liste de ses Sous-traitants.