Confidentialité soignant 

L’application Hospitalink Soignant est destinée à des professionnels de santé majeurs exerçant leur profession chez nos clients (établissements de santé).

Chacune des parties s’engage à garder strictement confidentiels tous les documents et informations de nature juridique, commerciale, industrielle, stratégique, technique ou financière relatifs à l’autre partie ou détenus par celle-ci dont elle aurait eu connaissance à l’occasion de la conclusion et de l’exécution du Contrat et à ne pas les divulguer sans l’accord écrit préalable de l’autre partie.

Par ailleurs, les parties s’engagent, dans l’exercice de leurs activités respectives, à respecter le secret médical.

Cette obligation ne s’étend pas aux documents et informations :

  1. dont la partie qui les reçoit avait déjà connaissance ;
  2. déjà publics lors de leur communication ou qui le deviendraient sans violation du Contrat ;
  3. qui auraient été reçus d’un tiers de manière licite ;
  4. dont la communication serait exigée par les autorités judiciaires, en application des lois et règlements ou en vue d’établir les droits d’une partie au titre du Contrat.

Cette obligation de confidentialité s’étend à l’ensemble des employés, collaborateurs, stagiaires, dirigeants et mandataires des parties ainsi qu’à leurs conseils affiliés et cocontractants, auxquels ne pourront être transmis des documents ou informations confidentielles que s’ils sont tenus à la même obligation de confidentialité que celle prévue aux présentes.

Celle-ci continuera à produire ses effets pendant les 3 (trois) ans suivant la fin des relations entre les parties.

Création de compte pour les Soignants

Afin d’accéder à la Plateforme Soignant, un compte sera créé pour chaque Soignant selon l’une des modalités suivantes :

  • Hospitalink fournira à l’Établissement de santé des identifiant et mot de passe qui pourront ensuite être modifiés par le Soignant ;
  • L’Établissement de santé se chargera de l’attribution des identifiant et mot de passe des Soignants.

Les modalités de création de compte seront spécifiées dans le Devis. Les modalités de création et de sécurité relatives aux mots de passe s’assurent de respecter les exigences de la CNIL en la matière.

 

Sélection des Administrateurs

A compter de la signature du Contrat, Hospitalink ouvre un compte au nom de l’Établissement de santé, qui lui permet de gérer son utilisation des Services via la Solution.

Il appartient à l’Établissement de santé de sélectionner :

  • les Soignants ayant accès à la Plateforme Soignant, et de leur communiquer leur identifiant et mot de passe ;
  • parmi les Soignants, celui ou ceux qui est/sont autorisé(s), en plus des fonctionnalités disponibles sur la Plateforme Soignant, à mettre en œuvre les procédures de remontée d’incident relatifs à la Plateforme (les « Administrateurs »). L’Établissement de santé communiquera leur nom et adresse email afin de permettre à Hospitalink de fournir aux Administrateurs leurs codes d’accès pour ces fonctionnalités spécifiques. 

Utilisation de la Plateforme par les Soignants

L’Établissement de santé se porte garant de l’utilisation personnelle par les Soignants de leurs codes d’accès, et à ce que les Soignants ne permettent à aucun tiers de les utiliser à leur place ou pour leur compte, sauf à en supporter l’entière responsabilité. 

L’Établissement de santé se porte garant du maintien de la confidentialité et de la sécurité des codes d’accès, tout accès à la Plateforme Soignant à l’aide de ces derniers étant réputé effectué par le Soignant concerné. Les Soignants doivent immédiatement contacter l’Établissement de santé s’ils remarquent que la Plateforme a été utilisée à leur insu. Ils reconnaissent à l’Établissement de santé le droit de prendre toutes mesures appropriées en pareil cas.

Les Soignants n’accèdent qu’aux seules données des patients situés dans leur service de soin d’exercice.

Comportements prohibés

  • Il est strictement interdit d’utiliser les Services aux fins suivantes :
  • l’exercice d’activités illégales, frauduleuses ou portant atteinte aux droits ou à la sécurité des tiers,
  • l’atteinte à l’ordre public ou la violation des lois et règlements en vigueur,
  • l’intrusion dans le système informatique d’un tiers ou toute activité de nature à nuire, contrôler, interférer, ou intercepter tout ou partie du système informatique d’un tiers, en violer l’intégrité ou la sécurité,
  • l’envoi d’emails non sollicités et/ou de prospection ou sollicitation commerciale,
  • les manipulations destinées à améliorer le référencement d’un site tiers,
  • l’aide ou l’incitation, sous quelque forme et de quelque manière que ce soit, à un ou plusieurs des actes et activités décrits ci-dessus,
  • et plus généralement toute pratique détournant les Services à des fins autres que celles pour lesquelles ils ont été conçus.
  • Il est strictement interdit à l’Établissement de santé de copier et/ou de détourner à leurs fins ou à celles de tiers le concept, les technologies, tout ou partie des données ou tout autre élément de la Plateforme Soignant de Hospitalink.
  • Sont également strictement interdits : (i) tous comportements de nature à interrompre, suspendre, ralentir ou empêcher la continuité des Services, (ii) toutes intrusions ou tentatives d’intrusions dans les systèmes de Hospitalink, (iii) tous détournements des ressources système de la Plateforme Soignant, (iv) toutes actions de nature à imposer une charge disproportionnée sur les infrastructures de ce dernier, (v) toutes atteintes aux mesures de sécurité et d’authentification, (vi) tous actes de nature à porter atteinte aux droits et intérêts financiers, commerciaux ou moraux de Hospitalink ou des usagers de la Plateforme, et enfin plus généralement (vii) tout manquement au Contrat.
  • Il est strictement interdit de monnayer, vendre ou concéder tout ou partie de l’accès aux Services ou à la Plateforme Soignant, ainsi qu’aux informations qui y sont hébergées et/ou partagées.

 

Données à caractère personnel

Hospitalink et l’Établissement de santé s’engagent, chacun pour ce qui le concerne, à se conformer à la réglementation applicable aux données à caractère personnel et en particulier la loi 78-17 du 6 janvier 1978 (dite « Loi Informatique et Libertés ») et le Règlement Général sur la Protection des Données (règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016, « RGPD », ci-après ensemble la « Règlementation Applicable »).

 

Concernant les données à caractère personnel relatives aux Soignants

Description du traitement sous-traité

Dans le cadre des Services, Hospitalink est amené à traiter des données à caractère personnel des Soignants pour le compte de l’Établissement de santé. 

Les caractéristiques de ce traitement sont les suivantes :

 

Finalité du traitement de données à caractère personnel

Inscription des Soignants sur la Plateforme Soignant

Type de données à caractère personnel traitées

Nom, prénom, titre, données relatives à l’emploi

Catégories de personnes concernées

Soignants

Durée du traitement

Durée du Contrat ou jusqu’au retrait de l’inscription du Soignant

Lieu du traitement

Dans l’Union européenne

Sous-traitant de Hospitalink intervenant dans le traitement (si applicable)

Amazon Web Services

Prestataire d’hébergement de données, certifié hébergeur de données de santé (serveurs HDS)

 

L’Établissement de santé est le responsable de traitement de ces données et est tenu de s’acquitter des obligations qui lui reviennent en application du règlement précité, notamment en ce qui concerne l’obligation d’informer les personnes concernées, la tenue du registre des traitements mis en œuvre, et plus généralement, le respect des principes issus du règlement.

Les données fournies par l’Établissement de santé à Hospitalink aux fins d’exécution des Services demeurent la seule propriété et sous la seule responsabilité de l’Établissement de santé. 

Hospitalink intervient pour sa part exclusivement en qualité de sous-traitant des données à caractère personnel.

Obligations de Hospitalink vis-à-vis de l’Établissement de santé 

 

  • Traitement des données 

Hospitalink s’engage à ne traiter les données à caractère personnel qu’aux fins d’exécution des Services et conformément aux instructions documentées de l’Établissement de santé, y compris en ce qui concerne le transfert des données en dehors de l’Union Européenne. Hospitalink s’engage à informer l’Établissement de santé si, selon lui, une instruction constitue une violation de la réglementation applicable.

Les Parties conviennent de définir la notion d’instruction comme étant acquise lorsque Hospitalink agit dans le cadre de l’exécution du Contrat.

En cas de transfert des données en dehors de l’Union européenne, il appartient en outre à Hospitalink de s’assurer de l’existence d’une décision d’adéquation rendue par la Commission ou de garanties appropriées pour permettre ce transfert dans le respect du Règlement Général sur la Protection des Données.

 

  • Sécurité et confidentialité des données :

Hospitalink s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité et l’intégrité des données à caractère personnel, leur sauvegarde ainsi que le rétablissement de leur disponibilité en cas d’incident physique ou technique. Hospitalink veille également à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à l’obligation d’en préserver la confidentialité. 

 

  • Autres sous-traitants :

Hospitalink peut faire appel à un autre sous-traitant (le « Sous-Traitant Ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit l’Établissement de santé de tout changement envisagé concernant l’ajout ou le remplacement de Sous-Traitants Ultérieurs. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant Ultérieur et les dates du contrat de sous-traitance. L’Établissement de santé dispose d’un délai de 15 (quinze) jours calendaires à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’Établissement de santé n’a pas émis d’objection pendant ce délai.

 

Le Sous-Traitant Ultérieur est tenu de respecter les obligations de Hospitalink pour le compte et selon les instructions de l’Établissement de santé. Il appartient à Hospitalink de s’assurer que le Sous-Traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, Hospitalink demeure pleinement responsable devant l’Établissement de santé de l’exécution par le Sous-Traitant Ultérieur de ses obligations.

 

  • Fourniture d’informations :

Hospitalink s’engage à répondre, dans la mesure du possible, à toute demande d’information lui étant adressée par l’Établissement de santé, que ce soit dans le cadre d’une demande d’exercice de leurs droits par les personnes concernées, d’une analyse d’impact, ou d’une demande présentée par les autorités de protection des données ou le délégué à la protection des données de l’Établissement de santé. 

 

  • Notification des violations de données à caractère personnel :

Hospitalink s’engage à notifier à l’Établissement de santé toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance. Dans le cas où l’Établissement de santé aurait lui-même à notifier cette violation à l’autorité de contrôle compétente, Hospitalink s’engage à lui communiquer toute information et documentation utile. L’information communiquée comprend au moins :

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données personnelles concernés,
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues,
  • la description des conséquences probables de la violation de données à caractère personnel,
  • la description des mesures prises ou que Hospitalink propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

 

  • Sort des données :

Hospitalink s’engage à l’expiration du contrat, quelle qu’en soit la cause, selon le choix de l’Etablissement de santé, à supprimer les données à caractère personnel ou à les renvoyer à l’Etablissement de santé, et à ne pas en conserver de copie. Hospitalink fournit dans les 30 jours suivants l’expiration du contrat un certificat de destruction des données à caractère personnel.

 

  • Documentation : 

Hospitalink met à disposition de l’Établissement de santé, sur demande de celui-ci, toutes les informations et tous les documents nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par l’Etablissement de santé ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. L’Etablissement de santé a ainsi la possibilité de procéder à des audits une fois par an et à ses frais afin de vérifier la conformité d’Hospitalink aux obligations prévues dans le présent article relatif aux données personnelles. L’Etablissement de santé informera Hospitalink de la tenue de l’audit moyennant un préavis minimum de deux (2) semaines. Hospitalink se réserve le droit de refuser l’identité de l’auditeur retenu s’il appartient à une société concurrente. Les auditeurs devront être obligatoirement certifiés CISA (Certified Information Systems Auditor) ou CISM (Certified Information Security Manager). L’audit devra être réalisé pendant les heures ouvrées d’Hospitalink et de manière à perturber le moins possible l’activité d’Hospitalink. L’audit ne pourra ainsi porter atteinte de quelque façon que ce soit (i) aux mesures techniques et organisationnelles de sécurité déployées par Hospitalink, (ii) à la sécurité et la confidentialité des données des autres clients d’Hospitalink, (iii) ni au bon fonctionnement et à l’organisation de la production d’Hospitalink. Dans la mesure du possible, les Parties conviendront à l’avance du périmètre de l’audit. Le rapport d’audit sera adressé à Hospitalink afin de permettre à ce dernier de formuler ses observations ou remarques éventuelles par écrit, lesquelles seront annexées à la version finale du rapport d’audit. Chaque rapport d’audit sera considéré comme une information confidentielle.

 

Obligations de l’Etablissement de santé vis-à vis d’Hospitalink:

 

L’Etablissement de santé s’engage à :

  1. fournir à Hospitalink les données personnelles visées ci-dessus, à l’exclusion de toute donnée personnelle non pertinente, disproportionnée ou non nécessaire, et à l’exclusion de toute donnée « particulière » au sens de la Réglementation applicable, sauf si les traitements le justifiant, à charge pour l’Etablissement de santé d’établir ces justifications et de prendre toutes mesures, notamment d’information préalable, de recueil de consentement et de sécurité, appropriées pour de telles données particulières ; 
  2. collecter sous sa responsabilité, de manière licite, loyale et transparente, les données personnelles fournies à Hospitalink, pour l’exécution de ses services, et en particulier, s’assurer de la base légale de cette collecte et de l’information due aux personnes concernées ;
  3. documenter par écrit toute instruction concernant le traitement des données par l’Etablissement de santé ; 
  4. veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Réglementation applicable.