A green half cross logo A green half cross logo

ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES

Le présent addendum relatif au traitement des données (« DPA ») s'applique lorsque Addatech Inc. (« Addatech » ou « nous ») traite des données à caractère personnel soumises au règlement général sur la protection des données (RGPD) pour le compte d'une organisation ou d'une personne (« Abonné ») qui s'est abonnée à la plateforme de gestion clinique d'Addatech (les « Services »).

Le présent ATD est intégré aux Conditions d'utilisation (les « Conditions ») des Services et en fait partie intégrante. Il s'applique tant que l'Abonné dispose d'un abonnement payant valide aux Services.

Dans le présent addendum, « RGPD » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Dans le présent addendum, le terme « données personnelles » désigne toute information relative à une personne physique identifiée ou pouvant être utilisée (directement ou indirectement) pour identifier une personne physique, telle que le nom, l'adresse, l'adresse e-mail, le nom d'utilisateur, la carte de crédit, les informations de facturation, les informations médicales ou toute autre information similaire.

Dans le présent addendum, les termes « traitement » ou « traiter » désignent la collecte, l'utilisation, le stockage, la divulgation, l'effacement ou la destruction de données à caractère personnel, ou toute autre opération ou ensemble d'opérations effectuées sur des données à caractère personnel, que ce soit par des moyens automatisés ou non.

Conditions générales

Rôles

L'Abonné agira en tant que « Responsable du traitement », c'est-à-dire la partie qui détermine les finalités et les moyens du traitement des données à caractère personnel. Addatech agira en tant que « Sous-traitant » de ces informations, en tant que prestataire de services qui traite les données à caractère personnel pour le compte de l'Abonné. Chaque partie se conformera aux dispositions du RGPD qui s'appliquent à son rôle respectif en tant que Responsable du traitement ou Sous-traitant.

Finalité et durée du traitement

Chaque partie traitera les données personnelles uniquement dans la mesure nécessaire à la fourniture et à l'utilisation des services, et tant que l'abonné dispose d'un abonnement payant valide aux services.

Catégories de données à caractère personnel

Les catégories de données à caractère personnel à traiter seront déterminées par l'abonné et peuvent inclure les éléments suivants : nom, adresse, adresse électronique, numéro de téléphone, informations relatives à l'assurance maladie, informations de facturation et données relatives à la santé. Les catégories de personnes dont les données à caractère personnel peuvent être traitées comprennent les suivantes : employés, sous-traitants et clients de l'abonné.

Obligations

Addatech s'engage à:

  • Traiter les données à caractère personnel uniquement sur instruction écrite du souscripteur. Les conditions d'utilisation d'Addatech et l'accord sur le traitement des données constituent les instructions écrites du souscripteur à cette fin. Le souscripteur garantit qu'il est et restera autorisé à donner ces instructions, ainsi que toute instruction future concernant le traitement des données à caractère personnel, et que les instructions du souscripteur seront conformes au RGPD;
  • ne pas transférer de données à caractère personnel vers un pays situé en dehors de l'Union européenne, de l'EEE ou du Royaume-Uni, sauf si ce pays tiers offre des garanties appropriées au moyen d'une décision d'adéquation ou si le destinataire des données à caractère personnel offre des garanties appropriées en adhérant à un cadre de certification approuvé, à des clauses contractuelles types ou à des règles d'entreprise contraignantes, ou si d'autres mécanismes juridiques sont en place pour protéger les données à caractère personnel transférées;
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  • mettre en œuvre et maintenir les mesures techniques et organisationnelles appropriées pour protéger la sécurité, la confidentialité et l'intégrité des données à caractère personnel (y compris, mais sans s'y limiter, la pseudonymisation, le chiffrement, la gestion des incidents, la restauration et les contrôles d'accès), et contrôler régulièrement le respect de ces mesures;
  • utiliser uniquement des sous-traitants qui maintiennent au moins le même niveau de mesures de sécurité et de garanties adéquates que ceux requis par le présent ATD et qui ont conclu un accord écrit, électronique ou autre, avec Addatech exigeant de telles mesures et garanties. Nous informerons l'abonné de tout changement prévu concernant ses sous-traitants. Si un sous-traitant ne remplit pas ses obligations en matière de protection des données, Addatech sera responsable de l'exécution de ces obligations;
  • informer l'Abonné, dans un délai raisonnable, après avoir pris connaissance d'une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux Données personnelles traitées par Addatech, et prendre toutes les mesures raisonnablement à la portée d'Addatech pour atténuer et remédier à la violation ;
  • meet its obligations under the GDPR to assist the Subscriber, insofar as this is possible and at the expense of the Subscriber, to:
    • répondre aux demandes des personnes souhaitant exercer leurs droits concernant leurs données personnelles traitées par Addatech, étant toutefois entendu qu'Addatech ne répondra directement à aucune personne ; et
    • respecter les obligations légales de l'Abonné en matière de notification des violations, d'analyses d'impact relatives à la protection des données ou de coopération ou consultation préalable avec une autorité de contrôle en ce qui concerne les Données à caractère personnel traitées par Addatech ;
    • à la demande de l'Abonné, supprimer ou restituer les Données à caractère personnel après l'achèvement des Services liés au Traitement, sous réserve de toute obligation légale ou réglementaire de conserver ou de stocker les Données à caractère personnel ; et
    • fournir à l'Abonné toutes les informations nécessaires pour démontrer la conformité d'Addatech au RGPD, et contribuer aux audits ou inspections menés par ou pour le compte de l'Abonné au maximum une fois par année civile, sauf si un audit supplémentaire est requis par le RGPD ou l'autorité réglementaire, ou s'il est raisonnablement nécessaire en raison de préoccupations légitimes concernant notre conformité au présent ATD. L'abonné fournira un préavis raisonnable pour tout audit et se conformera aux exigences de sécurité raisonnables d'Addatech. Addatech peut facturer le temps consacré à cet audit ou à cette inspection à ses tarifs horaires alors en vigueur.