CONDITIONS GÉNÉRALES D'UTILISATION
D’ECHOPEN O1®, ECHOPEN ON® ET ECHOPEN XP®
VERSION 3
Veuillez lire attentivement les présentes conditions générales d'utilisation de la sonde d’imagerie échographique echOpen O1®, de l’application echOpen On®, et de l’application echOpen XP®, avant toute utilisation. En les utilisant, vous reconnaissez que les présentes Conditions Générales d'Utilisation et les CGV (telles que définies à l’article 1.3 ci-dessous) constituent un contrat juridiquement contraignant que vous vous engagez à respecter dans toutes leurs dispositions.
1. STIPULATIONS GÉNÉRALES
1.1. La société echOpen Factory, société par actions simplifiées de droit français dont le siège social est situé 1 place du Parvis de Notre-Dame, 75004 Paris France, immatriculée au registre du commerce et des sociétés de Paris sous le numéro 882 017 346 (ci-après << echOpen >>, << nous >>, << notre >> et << nos >>), développe des outils innovants d’imagerie par ultrasons.
1.2. Le dispositif d’imagerie d’echOpen est composé de :
- l’application echOpen On®, un dispositif médical numérique conçu, exploité et mis à jour par echOpen qui est accessible sur le Play Store® et l’App Store® (<< echOpen On® >>),
- une sonde d’imagerie échographique portable tri-fréquence echOpen O1®, dispositif médical développé et fabriqué par echOpen, qui est connectée au smartphone du client/praticien (ci-après << vous >> et << votre >>) via l’application echOpen On® pour vous permettre de bénéficier de conditions de diagnostic améliorées (la << Sonde >>) (echOpen On® et echOpen O1® seront désignés ci-dessous ensemble les << Dispositifs >>) ;
- fonctionnalités additionnelles et optionnelles d’echOpen On® de conservation des images collectées avec la Sonde ;
- l’application echOpen XP® conçue, exploitée et mise à jour par echOpen qui est accessible sur le Play Store® et l’App Store® (<< echOpen XP® >>) (les fonctionnalités d’echOpen On® de conservation des images collectées avec la Sonde et echOpen XP® sont désignés ci-dessous ensemble les << Services Digitaux >>).
1.3. Les présentes conditions générales d’utilisation (les << Conditions Générales d'Utilisation >>) régissent l'accès à et l’utilisation des Dispositifs et, le cas échéant, des Services Digitaux. .
1.4. En utilisant les Dispositifs et, le cas échéant, les Services Digitaux, vous confirmez que vous acceptez sans réserve et dans leur intégralité les présentes Conditions Générales d'Utilisation et que vous vous engagez à les respecter. Vous ne pouvez pas accéder à ni utiliser les Dispositifs ni les Services Digitaux si vous n'acceptez pas les termes des Conditions Générales d'Utilisation et des CGV ou si vous ne remplissez pas les conditions y figurant ou toute exigence imposée par les Lois Applicables.
2. DÉFINITIONS
2.1. << Autorité Compétente >> signifie toute autorité de contrôle en charge de la santé et de la sécurité publique, et de la supervision de votre pratique professionnelle, notamment l’Agence nationale de sécurité du médicament et des produits de santé (ANSM), le Conseil national de l’Ordre des médecins (CNOM) et les agences régionales de santé (ARS).
2.2. << CGV >> désigne les conditions générales de vente de la Sonde et d’echOpen On® et/ou de souscription des abonnements pour utiliser tout ou partie des Services Digitaux, accessibles au lien https://assets.echopen.com/support/o1/ts/fr.
2.3. << Contrat >> désigne les CGV et les Conditions Générales d’Utilisation, y compris l’ensemble de leurs annexes.
2.4. << Dispositifs >> désigne la sonde echOpen O1® et l’application echOpen On® (hormis ses fonctionnalités de conservation des images collectées avec la Sonde).
2.5 << Droits de Propriété Intellectuelle >> signifie l’ensemble des brevets, des demandes de brevet, des droits d’auteur et des œuvres connexes, que ces derniers soient enregistrés ou non, des droits (notamment les droits de secret commercial) sur le savoir-faire, que ces droits soient ou non brevetables ou protégeables par le droit d’auteur, des marques de commerce et de service, des noms commerciaux et des noms de domaine, des droits attachés aux dessins et modèles, des droits sur les logiciels informatiques, des droits sur les bases de données et des droits sur les données, les spécifications, les inventions, les processus, les données, les améliorations et les développements, l'ensemble des autres droits de propriété intellectuelle, ainsi que l'ensemble des enregistrements et des demandes d'enregistrement des droits susmentionnés.
2.6. << FAQ >> signifie le menu déroulant fournissant des instructions et réponses aux questions récurrentes observées par echOpen pour accéder à et utiliser l’ensemble des produits développés et commercialisés par echOpen, accessible sur le site internet d’echOpen.
2.7. << Informations Confidentielles >> signifie toutes les informations divulguées ou fournies par une partie à l'autre partie en vertu du présent Contrat, notamment les informations relatives à la recherche, au développement, aux données et aux résultats de la partie divulgatrice, aux produits, aux inventions, aux œuvres d'auteur, aux secrets commerciaux, aux processus, aux conceptions, aux formules, aux brevets, aux demandes de brevet et aux licences ; aux affaires, au marketing, aux ventes, aux stratégies, aux programmes et aux résultats, y compris les coûts et les prix, aux fournisseurs, aux fabricants, aux clients, aux données du marché, au personnel et à toute autre information confidentielle ou exclusive liée à l'exécution de ses obligations en vertu du Contrat. En outre, les Droits de Propriété Intellectuelle préexistants de chaque partie sont considérés comme des Informations Confidentielles.
2.8. << Lois Applicables >> signifie l'ensemble des lois, règlements, politiques, règles éthiques, codes, directives et toutes autres règles applicables en vigueur au moment où vous accédez à et utilisez les Dispositifs et les Services Digitaux, notamment le Règlement Général sur la Protection des Données, les dispositions du Code de la santé publique français et les règles de déontologie qui vous sont applicables.
2.9. << Période d'Abonnement >> signifie la période définie à l’article 2.11 des CGV pendant laquelle vous êtes autorisé à accéder et à utiliser les Services Digitaux en contrepartie du paiement du Prix d’Abonnement et sous réserve du respect des termes du Contrat.
2.10. << Prix >> signifie le Prix d’Achat et le Prix d’Abonnement que vous devez payer à echOpen conformément aux CGV.
2.11. << RPPS >> désigne le Répertoire Partagé des Professionnels de Santé.
2.12. << Services Digitaux >> désigne les fonctionnalités d’echOpen On® de conservation des images collectées avec la Sonde et echOpen XP®.
2.13. << Prix d’Abonnement >> signifie le prix que vous devez payer à echOpen conformément à l’article 4 des CGV pour accéder à et utiliser les Services Digitaux pendant la Période d’Abonnement.
2.14. << Prix d’Achat >> désigne le prix de vente des Dispositifs que vous devez payer à echOpen conformément à l’article 4 des CGV.
3. LICENCE
3.1. En contrepartie du paiement du Prix, nous vous accordons :
(i) la propriété de la Sonde, que vous pouvez rattacher, en vue de son utilisation, à un ou plusieurs comptes d’accès individuels à echOpen On® et aux Services Digitaux ;
(ii) pour toute la durée du Contrat, une licence limitée, résiliable, personnelle, non transférable et non exclusive vous permettant d’utiliser et d’accéder à echOpen On®, sous réserve du respect des termes du Contrat et des Lois Applicables. Vous reconnaissez et acceptez que l’abonnement à echOpen On® doit être souscrit à titre individuel, et vous vous engagez à ce qu’aucune autre personne que vous n’utilise vos codes d’accès à echOpen On® ; et
(iii) pour toute la Période d’Abonnement, une licence limitée, résiliable, personnelle, non transférable et non-exclusive vous permettant d’utiliser et d’accéder aux Services Digitaux, sous réserve du respect des termes du Contrat et des Lois Applicables. Vous reconnaissez et acceptez que les abonnements aux Services Digitaux doivent être souscrits à titre individuel. En conséquence, vous vous engagez à ce qu’aucune autre personne que vous n’utilise vos codes d’accès aux Services Digitaux que vous avez souscrits.
3.2. Aucune clause du Contrat ne vous accorde un quelconque Droit de Propriété Intellectuelle sur les Dispositifs et les Services Digitaux, notamment sur les codes source d’echOpen On® et des Services Digitaux.
4. UTILISATION DES PRODUITS
4.1. Après votre achat des Dispositifs et votre souscription à un abonnement aux Services Digitaux, selon les termes des CGV, nous procéderons à l’activation de votre code d’accès personnel pour accéder à echOpen On® et aux Services Digitaux.
4.2. Vous garantissez que :
vi. Vous êtes (a) un professionnel de santé habilité à pratiquer en France des examens échographiques, répertorié dans le RPPS ou (b) un étudiant poursuivant des études pour devenir professionnel de santé et habilité à ce titre à pratiquer en France des examens échographiques, le cas échéant sous la supervision d’un professionnel de santé susvisé ; et
vii. vous vous conformez à l’ensemble des exigences découlant des Lois Applicables, notamment l’obligation d’être couvert par une assurance en responsabilité civile professionnelle pour l’exercice au titre duquel vous utiliserez les produits echOpen.
4.3. Votre utilisation des Dispositifs doit être limitée à une utilisation à des fins strictement professionnelles et, s'agissant de l’application echOpen On® et des Services Digitaux, doit être limitée à une utilisation personnelle. En conséquence, il vous est interdit de communiquer et d’autoriser l'utilisation de vos comptes d’accès à echOpen On® et aux Services Digitaux à toute personne autre que vous.
4.4. La Sonde (echOpen O1®) constitue un dispositif médical de classe IIa destiné à l’échographie au point de service (POCUS) de patients adultes pour permettre l’imagerie ultrason des organes et des tissus du corps humain. L’application echOpen On® (hormis ses fonctionnalités de conservation des images collectées avec la Sonde) constitue un dispositif médical de classe IIa destiné à contrôler et à présenter les informations de sortie de la Sonde à ultrasons dédiée afin de remplir son utilisation prévue. Votre utilisation des Dispositifs devra être toujours conforme à leurs destinations telles que décrites dans les notices d’utilisation et vise à compléter vos méthodes de travail actuelles et à vous offrir une amélioration de vos conditions de diagnostic, qui est effectué sous votre seule responsabilité. Vous reconnaissez que l'utilisation des Dispositifs ne remplace pas et ne fournit pas de manière indépendante les conseils, traitements ou diagnostics médicaux que vous fournissez à vos patients. Il vous incombe de veiller à assurer votre sécurité et celle de vos patients et de vous assurer que votre utilisation des Dispositifs est conforme à toutes les Lois Applicables, en cas de besoin à la FAQ, et au Contrat.
4.5. Votre utilisation des Dispositifs et des Services Digitaux doit être conforme aux exigences spécifiées dans le Contrat, les notices d’utilisation et, en cas de besoins, à la FAQ. Vous ne devez pas en particulier (i) sous-licencier, céder ou d’une quelconque autre manière transférer ou partager, en tout ou partie, le bénéfice des licences accordées conformément à l'article 3.1 des Conditions Générales d’Utilisation, (ii) reproduire, par quelque moyen que ce soit, en tout ou partie, les Dispositifs et les Services Digitaux, (iii) décompiler, désassembler, procéder à une rétro-ingénierie du code objet ou de tout code source d’echOpen On® et echOpen XP® ou permettre directement ou indirectement à des tiers de le faire, (iv) corriger, directement ou indirectement, tout dysfonctionnement des Dispositifs ou des Services Digitaux sans l’accord écrit préalable d’echOpen, (v) prêter, louer, vendre ou donner accès directement ou indirectement aux Dispositifs et aux Services Digitaux à un tiers par quelque moyen que ce soit, sauf dans les conditions prévues dans le Contrat, (vi) distribuer ou vendre la Sonde, gratuitement ou non, ou l'utiliser pour former des tiers sans l’accord écrit préalable d’echOpen, (vii) adapter, modifier, convertir ou améliorer les Dispositifs ou les Services Digitaux en tout ou partie, (viii) utiliser les Dispositifs et les Services Digitaux de quelque manière que ce soit à des fins de conception, production, distribution ou commercialisation d'un produit similaire, équivalent ou substitut, (ix) utiliser les Dispositifs ou les Services Digitaux d'une manière susceptible de nuire à la réputation d’echOpen, à son image de marque ou à tout autre droit associé aux Dispositifs ou aux Services Digitaux, (x) utiliser les Dispositifs ou les Services Digitaux d'une manière susceptible de nuire à des patients, (xi) faire un mauvais usage d’echOpen On® ou des Services Digitaux en y introduisant sciemment des virus, chevaux de Troie (trojan), vers (worms), bombes logiques (logic bombs) ou tout autre matériel malveillant ou technologiquement nuisible, (xii) tenter d'obtenir un accès non autorisé à echOpen On® ou aux Services Digitaux, au serveur sur lequel echOpen On® ou les Services Digitaux sont stockés ou à tout serveur, ordinateur ou base de données connecté à echOpen On® ou aux Services Digitaux.
4.6. En cas de manquement à l’une des obligations énoncées au présent article 4, votre droit d'utiliser les Dispositifs et les Services Digitaux cessera immédiatement et echOpen aura le droit de résilier immédiatement le Contrat conformément à l'article 8.2.2 des CGV.
4.7. Vous devez vous assurer que votre réseau Internet et vos systèmes informatisés sont conformes aux spécifications fournies par echOpen et/ou aux normes du secteur applicables en matière d'accès aux produits et services de cette nature. Vous êtes responsable de l’installation ainsi que de la maintenance de la connexion entre vos systèmes informatisés, les Dispositifs et les Services Digitaux, et de tout problème, retard, défaillance et de toute autre perte ou dommage liés à votre connexion réseau et/ou à vos systèmes informatisés.
4.8. Vous êtes responsable de configurer vos systèmes informatisés, dispositifs électroniques, programmes informatiques, logiciels de protection contre les virus et toute autre plateforme nécessaire pour utiliser la Sonde, echOpen On® et les Services Digitaux.
5. ACCÈS A ECHOPEN ON® ET AUX SERVICES DIGITAUX
5.1. EchOpen déploiera ses meilleurs efforts pour vous fournir un accès continu à echOpen On® et aux Services Digitaux et que votre accès ne soit pas interrompu par tout événement sous notre contrôle.
5.2. Toute maintenance ou mise à jour d’echOpen On® et/ ou des Services Digitaux sera signalée à l’avance par echOpen, dans un délai raisonnable et par tout moyen vous permettant d’en être raisonnablement informé. EchOpen mettra en œuvre ses meilleurs efforts pour minimiser l’interruption de l’utilisation d’echOpen On® et/ou des Services Digitaux pendant cette période.
5.3. Nous vous informerons par écrit (par courrier électronique inclus) de tout événement autre que ceux relevant de l’article 5.2 susceptible d’avoir un impact important sur votre accès et votre utilisation d’echOpen On® et/ou des Services Digitaux, en vous fournissant des informations suffisamment détaillées pour vous permettre d’appréhender raisonnablement la situation, le temps d’immobilisation d’echOpen On® et/ou des Services Digitaux et la mise en place de tout dispositif alternatif ou de reprise des activités.
5.4. À votre demande ou à la demande de toute Autorité Compétente, nous vous transmettrons, ainsi qu'à vos auditeurs ou à toute Autorité compétente, les informations, documents ou registres relatifs aux Dispositifs ou aux Services Digitaux pouvant raisonnablement être demandés à des fins de contrôle par toute Autorité Compétente.
5.5. Vous devez immédiatement informer echOpen de tout contrôle, audit ou inspection concernant les Dispositifs et/ou les Services Digitaux par une Autorité Compétente dont vous auriez connaissance. Toute réponse à une Autorité Compétente concernant les Dispositifs et/ou les Services Digitaux doit être préparée selon les instructions d’echOpen et soumise à l’approbation préalable écrite (par courrier électronique inclus) d’echOpen. Vous vous engagez à coopérer avec toute Autorité Compétente et à mettre en place toutes les mesures visant à vous conformer aux conclusions de l’Autorité Compétente et remédier aux non-conformités identifiées par cette dernière.
6. DURÉE ET RÉSILIATION
La durée du Contrat et les cas de résiliation sont prévus à l’article 8 des CGV.
7. PROPRIÉTÉ INTELLECTUELLE
7.1. Nous détenons exclusivement l’ensemble des Droits de Propriété Intellectuelle sur la Sonde, echOpen On® et echOpen XP®, et sur tout module supplémentaire ou toute nouvelle version de ceux-ci. Vous reconnaissez que vous n'avez aucun droit sur les Dispositifs et les Services Digitaux, et notamment aucun Droit de Propriété Intellectuelle, autre que la propriété de la Sonde et le droit d'utiliser echOpen On® et les Services Digitaux conformément aux termes et limitations du Contrat.
7.2. Nous garantissons que nous détenons et continuerons de détenir pendant toute la durée du Contrat l’ensemble des droits nécessaires à l'utilisation des Dispositifs et des Services Digitaux et à l'exécution de nos obligations en vertu du Contrat.
8. PROTECTION DES DONNÉES PERSONNELLES
8.1. Dans le cadre de l'exécution du Contrat, les parties doivent se conformer à l’ensemble des Lois Applicables en matière de protection des données personnelles. Vous reconnaissez que, conformément aux Lois Applicables, vous êtes responsable de traitement et echOpen est un sous-traitant en ce qui concerne le traitement des données à caractère personnel du patient générées dans le cadre de l'utilisation de l’application echOpen On®, dans les conditions prévues à l’Annexe 1. Cela signifie que, dans ce cadre, echOpen ne fera que suivre vos instructions et ne pourra pas, en principe, utiliser de données à caractère personnel du patient pour son propre compte.
8.2. Nonobstant ce qui précède, dans le cadre d’une recherche ou dans un objectif d’amélioration de nos services, produits ou algorithmes, echOpen sera amené à réutiliser pour son propre compte certaines données à caractère personnel du patient. echOpen sera à ce titre responsable de traitement et se conformera aux lois et réglementations applicables. L’annexe 2 des présentes Conditions Générales d’Utilisation décrit le cadre de la réutilisation de certaines données, qui s’effectuera en conformité avec la méthodologie de référence MR-004 (Délibération n° 2018-155 du 3 mai 2018). Votre acceptation des présentes Conditions Générales d’Utilisation implique votre plein accord pour prêter votre concours conformément à l’annexe 2, afin qu’echOpen puisse respecter les obligations qui en découlent.
8.3. Vous ne devrez jamais partager sur echOpen XP® de données personnelles relatives à vos patients. A défaut, vous êtes susceptible d’engager votre responsabilité vis-à-vis d’echOpen et de vos patients.
8.4 EchOpen collecte et traite vos données à caractère personnel à des fins de gestion de notre relation commerciale et agit pour cette seule finalité en tant que responsable de traitement, dans les conditions prévues à l’Annexe 3 des présentes Conditions Générales d’Utilisation.
9. DIVERS
9.1. Les Conditions Générales d'Utilisation et les CGV constituent l'intégralité du Contrat conclu entre les parties relativement à l'objet des présentes et prévalent sur tout contrat ou arrangement oral ou écrit antérieur.
9.2. Toute modification du Contrat doit, afin d'être contraignante pour les parties, faire l’objet d’un avenant écrit signé par les deux parties.
9.3. Aucune stipulation du Contrat ne saurait être interprétée comme créant une relation d'emploi, une coentreprise ou un partenariat entre les parties. La relation entre echOpen et vous est uniquement celle de vendeur et d’acheteur, et de donneur et de preneur de licence. Aucune des parties n'est un partenaire, un agent, une coentreprise ou un représentant de l'autre partie.
9.4. Si une ou plusieurs clauses du présent Contrat sont considérées en tout ou partie comme invalides, illégales ou inapplicables, pour quelque raison que ce soit, toutes les autres clauses du Contrat demeurent valides et applicables.
9.5. Chacune des parties s’engage, à ses propres frais, à souscrire et maintenir une assurance appropriée et d’un montant suffisant, lui permettant de couvrir sa responsabilité en application du Contrat. Sur demande d’une partie, l’autre partie s’engage à fournir sous les plus brefs délais les preuves écrites de l’assurance ainsi contractée.
9.6. Le Contrat est conclu intuitu personae et vous ne pourrez pas le céder, en tout ou partie, à un tiers sans l’accord préalable écrit d’echOpen.
9.7. Tout litige, différend ou réclamation découlant du Contrat ou s'y rapportant, y compris concernant la validité et l'interprétation du Contrat et les litiges et réclamations non contractuels, est soumis au droit français et interprété conformément à celui-ci.
Annexe 1 Protection des données personnelles du patient générées dans le cadre de l'utilisation de l’application echOpen On®
1. OBJET
1.1. La présente annexe a pour objet de définir les conditions dans lesquelles le sous-traitant (c'est-à-dire la société echOpen) s'engage à réaliser, pour le compte du responsable du traitement (c'est-à-dire le praticien), les traitements de données à caractère personnel définis ci-après.
1.2. Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la réglementation applicable en matière de traitement des données à caractère personnel et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 qui est applicable à compter du 25 mai 2018 (ci-après le « Règlement général sur la protection des données »).
2. DESCRIPTION DU TRAITEMENT FAISANT L'OBJET DE LA SOUS-TRAITANCE
2.1. Le sous-traitant (echOpen) est autorisé à traiter, pour le compte du responsable du traitement, les données à caractère personnel nécessaires à la fourniture du ou des service(s) suivant(s) : utilisation et accès à l’application echOpen On® (y compris le stockage des données de santé).
2.2. La nature des opérations effectuées sur les données est la suivante : collecte, enregistrement, organisation, structuration, stockage et consultation.
2.3. La ou les finalité(s) du traitement est l’utilisation de l’application echOpen On® (le stockage des données à caractère personnel du patient ainsi que la résolution de tout problème technique lors de l'utilisation de l’application echOpen On®).
2.4. Les données à caractère personnel traitées sont principalement des données de patients :
● Données personnelles (identification) : Nom, prénom, date de naissance, numéro d’identification personnel (ou NIP). A cet égard, et en application du principe de minimisation des données, echOpen recommande aux praticiens de limiter les données personnelles recueillies, et notamment, de ne pas saisir le NIR du patient dans la zone libre lors de l’enregistrement des images ou de la vidéo.
● Données de santé (données sensibles cf. art 9 RGPD) : sous forme d’images et/ou sous forme de vidéo (dites boucles ou séquences ultrason)
● Autres données : métadonnées comprenant des données techniques de réglages, ainsi que le numéro de l’appareil utilisé et la date de collecte des données.
Concernant les utilisateurs (praticiens et/ou étudiants de santé) :
● Données personnelles (Identification) : Civilité, nom, prénom, adresse e-mail professionnelle
● Autres données personnelles (données de compte) : UID (identifiant technique attribué lors de la création du compte « echopen »), identifiant e-mail, mot de passe
● Autres données personnelles (vie professionnelle) : RPPS, Spécialité, qualifications, adresse postale, numéro de téléphone de la ligne professionnelle, numéro de série du dispositif médical que l’utilisateur a acheté
Les catégories de personnes concernées sont les praticiens et les patients du praticien.
3.
OBLIGATIONS DU SOUS-TRAITANT À
L'ÉGARD DU RESPONSABLE DU TRAITEMENT
3.1. Le sous-traitant s'engage à :
i. Traiter les données uniquement pour la ou les finalité(s) faisant l'objet de la sous-traitance.
ii. Traiter les données conformément aux instructions documentées du responsable du traitement (notamment en cas de problèmes techniques et/ou de nécessité de réparer/mettre à niveau l’application echOpen On®), et de les conserver pour la durée indiquée par le responsable du traitement, à savoir 20 ans à compter du dernier passage pour soin, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel pour une durée différente.
iii. Lorsque le sous-traitant estime qu'une instruction enfreint le Règlement général sur la protection des données ou toute autre disposition légale de l'Union ou des États membres portant sur la protection des données, il doit en informer immédiatement le responsable du traitement.
iv. En outre, lorsque le sous-traitant est tenu de transférer des données à caractère personnel dans un pays tiers ou une organisation internationale, en vertu du droit de l'Union ou du droit de l'État membre auquel il est soumis, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
v. Garantir la confidentialité des données à caractère personnel traitées en vertu des présentes.
vi. S'assurer que les personnes autorisées à traiter les données à caractère personnel en vertu des présentes :
● se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;
● reçoivent une formation appropriée en matière de protection des données à caractère personnel.
vii. Prendre en compte, au niveau de ses outils, produits, de l’application echOpen On® ou services, les principes de protection des données dès la conception et par défaut.
3.2. Le sous-traitant est autorisé par le responsable du traitement à recourir à GPL Expert, RSSI externalisé et OVH, hébergeur de données de santé agréé, pour le stockage des données de santé (ci-après le « sous-traitant ultérieur »). En cas de recours à d'autres sous-traitants ultérieurement, le sous-traitant devra recueillir l'autorisation écrite, préalable et spécifique du responsable du traitement.
3.3. Le sous-traitant ultérieur est tenu de respecter les obligations prévues par les présentes pour le compte et selon les instructions du responsable du traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement européen sur la protection des données et du droit applicable en matière de protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant ultérieur de ses obligations.
3.4. Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
3.5. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans un délai de 24 heures après en avoir pris connaissance en envoyant un email. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable du traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
3.6. En tant que de besoin, le sous-traitant peut aider le responsable du traitement à réaliser une analyse d'impact relative à la protection des données et en ce qui concerne la consultation préalable de l'autorité de contrôle.
3.7. Le sous-traitant s'engage à mettre en œuvre des mesures garantissant un niveau de sécurité adapté au risque, notamment une authentification sécurisée, et le chiffrement des données sur les smartphones et dans les communications. Plus généralement, le sous-traitant met en œuvre des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, ainsi que des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique, une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. 3.8. Au terme de la prestation de services relatifs au traitement de ces données ou au plus tard, dans les trois mois suivant la résiliation du contrat intervenue conformément à l’article 8 des CGV, le sous-traitant s’engage à détruire toutes les données à caractère personnel avec confirmation écrite de cette destruction. Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.
3.9. Le sous-traitant communique au responsable du traitement le nom et les coordonnées de son délégué à la protection des données (DPD), s’il en a désigné un conformément à l’article 37 du Règlement européen sur la protection des données (RGPD).
3.10. Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, conformément à l'article 30 du RGPD, comprenant :
3.10.1. le nom et les coordonnées du responsable du traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
3.10.2. les catégories de traitements effectués pour le compte du responsable du traitement ;
3.10.3. le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l'existence de garanties appropriées ; et
3.10.4. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
3.11. Le sous-traitant met à la disposition du responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
Annexe 2 – Utilisation des données personnelles du patient générées dans le cadre d’un projet de recherche
Dans le cadre de l'exécution des présentes et des CGV, le praticien est responsable de traitement et echOpen est un sous-traitant en ce qui concerne le traitement des données à caractère personnel du patient générées dans le cadre de l'utilisation de l’application echOpen On.
A ce titre, echOpen ne peut utiliser les données à caractère personnel du patient pour son propre compte.
Toutefois, le traitement ultérieur par le sous-traitant est permis dans certaines conditions. Le sous-traitant devient alors responsable de ce nouveau traitement.
echOpen entend réutiliser certaines données dans le cadre de recherches n’impliquant pas la personne humaine et dans le cadre d’études ou d’évaluations dans le domaine de la santé, ce conformément à la Délibération n° 2018-155 du 3 mai 2018 portant homologation de la méthodologie de référence du même nom (« MR-004 »).
Les Parties se sont donc rapprochées pour convenir de ce qui suit.
Considérant l’article 5.b) du RGPD et ainsi que (i) l'existence éventuelle d'un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ; (ii) le contexte dans lequel les données personnelles ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ; (iii) la nature des données personnelles, en particulier si le traitement porte sur des données sensibles ou des données personnelles relatives à des condamnations pénales et à des infractions; (iv) les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ; et (v) l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation ; Le praticien autorise la réutilisation par echOpen des données à caractère personnel du patient aux fins de projets de recherche n’impliquant pas la personne humaine ou dans le cadre d’études ou d’évaluations dans le domaine de la santé.
Dans le cadre de cette seule relation, le praticien agira en qualité de sous-traitant et s'engagera à réaliser, pour le compte du responsable du traitement (c'est-à-dire echOpen), les traitements de données à caractère personnel définis ci-après.
3.1. Le sous-traitant pourra traiter, pour le compte du responsable du traitement, les données à caractère personnel nécessaires à la réalisation de recherches, études et évaluations dans le domaine de la santé ne répondant pas à la définition des recherches impliquant la personne humaine telles que définies à l'article L. 1121-1 du CSP et présentant un caractère d'intérêt public.
3.2. La nature des opérations effectuées sur les données est la suivante : détention, collection et/ou transmission des données et/ou des échantillons biologiques utilisés dans le cadre de la recherche, de l’étude ou de l’évaluation.
3.3. La finalité du traitement est la réalisation de recherches, études et évaluations dans le domaine de la santé ne répondant pas à la définition des recherches impliquant la personne humaine telles que définies à l'article L. 1121-1 du CSP et présentant un caractère d'intérêt public.
3.4. Les données à caractère personnel relatives aux personnes inclues dans la recherche pouvant faire l’objet du traitement sont celles listées à l’article 2.2.3 « Nature des données à caractère personnel » de la MR-004.
echOpen s’engage à ne collecter ou traiter que les données strictement nécessaires et pertinentes au regard des objectifs de la recherche. Dès lors, chacune des catégories de données ne peut être traitée que si leur traitement est justifié scientifiquement dans le protocole de recherche.
3.5. Les catégories de personnes concernées sont les patients du praticien.
4.1. Le sous-traitant s'engage à :
● se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;
● reçoivent une formation appropriée en matière de protection des données à caractère personnel.
4.2. Le sous-traitant ne peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques sauf s’il informe le responsable de traitement par écrit et obtient son consentement. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.
4.3. Le sous-traitant ultérieur est tenu de respecter les obligations prévues par les présentes pour le compte et selon les instructions du responsable du traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement européen sur la protection des données et du droit applicable en matière de protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant ultérieur de ses obligations.
4.4. Le sous-traitant, au moment de la collecte des données, doit fournir à ses patients l’information relative aux traitements de données qu’il réalise au titre du traitement ultérieur pour le compte d’echOpen. La formulation et le format de l’information est fixée avec echOpen avant la collecte de données et transmise au sous-traitant en annexe.
Dans toute la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
4.5. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans un délai de 24 heures après en avoir pris connaissance en envoyant un email. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable du traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
4.6. En tant que de besoin, le sous-traitant aide le responsable du traitement à réaliser une analyse d'impact relative à la protection des données et en ce qui concerne la consultation préalable de l'autorité de contrôle.
4.7. Le sous-traitant s'engage à mettre en œuvre les mesures de sécurité suivantes, au moyen des outils fournis par echOpen, garantissant un niveau de sécurité adapté au risque, y compris, entre autres, la pseudonymisation et le chiffrement des données à caractère personnel, les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique, une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
En particulier, le sous-traitant s’engage à apporter son concours pour que l’identification des personnes concernées ne puisse être réalisée, dans les bases de données comportant des données de santé à caractère personnel constituées pour la réalisation de la recherche par le responsable de traitement, qu’au moyen d’un numéro d’ordre ou d’un code alphanumérique, établi conformément à la MR-004, et à l’exclusion de toute donnée à caractère personnelle directement identifiante.
4.8. Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à détruire toutes les données à caractère personnel en sa possession au titre de la prestation sous-traitée, avec confirmation écrite de cette destruction.
4.9. Le sous-traitant communique au responsable du traitement le nom et les coordonnées de son délégué à la protection des données (DPD), s’il en a désigné un conformément à l’article 37 du Règlement européen sur la protection des données (RGPD).
4.10. Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, conformément à l'article 30 du RGPD, comprenant :
- le nom et les coordonnées du responsable du traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du responsable du traitement ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
4.11. Le sous-traitant met à la disposition du responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
La présente politique relative à la protection des données personnelles (la « Politique ») a pour but d'informer les praticiens utilisateurs (ci-après « vous », « votre » et « utilisateurs ») des Services Digitaux commercialisés par echOpen Factory (situé 1 place du Parvis de Notre-Dame, 75004 Paris, ci-après « echOpen », « nous », « notre » et « nos ») de la manière dont nous collectons et traitons leurs données personnelles.
Par « données personnelles », nous entendons les informations vous concernant qui pourraient vous identifier, directement ou indirectement dans le cadre de l’utilisation des Services Digitaux, telles que votre nom et vos coordonnées.
En vertu de la législation sur la protection des données dans l'UE, echOpen est considéré comme le « responsable du traitement » des données personnelles recueillies à votre sujet pour les finalités énumérées ci-dessous. Cela signifie qu'il appartient à echOpen de décider de la manière dont il conserve et traite les données personnelles vous concernant. Si après avoir lu cette Politique, vous avez des questions supplémentaires sur la manière dont echOpen collecte et traite vos données veuillez nous contacter à l'adresse suivante : dpo@echopen.com
Quelles informations recueillons-nous à votre sujet et à quelles fins les utilisons-nous ?
Les catégories de données personnelles vous concernant que nous sommes susceptibles de collecter, de stocker et d'utiliser, sont présentées dans le tableau ci-dessous et, dans chaque cas, nous avons précisé à quelles fins nous les utilisons et sur quelle « base légale » nous les traitons.
Catégories de données personnelles |
Pour quelle finalité |
Base juridique |
|
Données personnelles (Identification) : Civilité, nom, prénom, adresse e-mail professionnelle |
Contacter l'utilisateur à des fins de gestion de la relation (par exemple CRM, service client, facturation, etc.) S'assurer que l'utilisateur est habilité à accéder aux Services Digitaux. |
Nécessaires à l'exécution des CGV Intérêt légitime de la société echOpen (i.e. gestion de la relation commerciale) |
|
Autres données personnelles (données de compte) : UID -identifiant technique attribué lors de la création du compte-, identifiant e-mail, mot de passe |
S'assurer que l'utilisateur est habilité à accéder aux Services Digitaux, bénéficier des services d’hébergement, de maintenance et de support. |
Nécessaires à l'exécution des CGV Intérêt légitime de la société echOpen (i.e. s’assurer que les personnes habilitées accèdent au service) |
|
Autres données personnelles (vie professionnelle) : RPPS, Spécialité, qualifications, adresse postale, numéro de téléphone de la ligne professionnelle, numéro de série du dispositif médical que l’utilisateur a acheté |
S'assurer que l'utilisateur est habilité à accéder aux Services Digitaux, bénéficier des services d’hébergement, de maintenance et de support. |
Nécessaires à l'exécution des CGV Intérêt légitime de la société echOpen (i.e. s’assurer que les personnes habilitées accèdent au service) |
|
Données de création du compte My echOpen : nom, prénom, profession (spécialité médicale), adresse e-mail, le cas échéant, photo de profil, description et mot de passe. |
Création du compte via My echOpen, édition du profil, authentification.
Utilisation de l’intégralité des fonctionnalités echOpen XP.
Contacter l'utilisateur à des fins de gestion de la relation (par exemple CRM, service client, facturation, etc.) |
Nécessaires à l'exécution des CGV Intérêt légitime de la société echOpen (i.e. s’assurer que les personnes habilitées accèdent au service)
|
|
Activité de l’utilisateur de l’application echOpen XP : suivi de l'activité de l'utilisateur, notamment les formations téléchargées, réponses des quiz, progression dans une formation, réponses données aux quiz de relecture, identité des stories consultées des posts likés, des utilisateurs suivis et des utilisateurs qui le suivent. |
Utilisation de l’intégralité des fonctionnalités echOpen XP. |
Intérêt légitime de la société echOpen (i.e. s’assurer que ses utilisateurs bénéficient de ses services) |
|
Activité de l’utilisateur de l’application echOpen XP : Réponses des quiz, progression dans une formation, réponses données aux quiz de relecture. |
La réalisation de recherches, études et évaluations dans le domaine de la santé ne répondant pas à la définition des recherches impliquant la personne humaine telles que définies à l'article L. 1121-1 du CSP et présentant un caractère d'intérêt public. |
Intérêt public de la société echOpen |
|
Autres données personnelles (données de compte) : UID -identifiant technique attribué lors de la création du compte-, spécialité, qualifications, et département de l’adresse postale professionnelle, numéro de série du dispositif médical que l’utilisateur a acheté. |
La réalisation de recherches, études et évaluations dans le domaine de la santé ne répondant pas à la définition des recherches impliquant la personne humaine telles que définies à l'article L. 1121-1 du CSP et présentant un caractère d'intérêt public. |
Intérêt public de la société echOpen |
Si vous ne fournissez pas vos données d'identification, vous ne pourrez pas accéder aux Services Digitaux.
Si vous ne fournissez pas les données professionnelles susmentionnées pour la gestion de la relation commerciale, echOpen ne sera pas en mesure de gérer correctement la relation.
Comment recueillons-nous ces informations ?
En général, nous recueillons vos données personnelles lorsque vous les saisissez volontairement en réponse aux invitations / formulaires placés à divers endroits de nos Services Digitaux.
Nous recueillons également votre adresse électronique à partir des courriels que vous nous envoyez.
Avec qui les données personnelles seront-elles partagées ?
Nous prenons toutes les mesures nécessaires pour assurer la sécurité et la confidentialité des données personnelles collectées. Aussi, seul un nombre limité de personnes autorisées, en raison de leurs activités au sein de EchOpen, peuvent accéder à vos données.
Nous pouvons partager les données personnelles vous concernant avec des tiers, par exemple dans le cadre d'une éventuelle vente ou restructuration de notre entreprise, ou lorsque cela est nécessaire pour des motifs d'intérêt légitime (par exemple le partage d'informations avec un prestataire de services nous aidant à améliorer nos services). Nous pouvons également être amenés à partager les données personnelles vous concernant avec un organisme de réglementation ou pour nous conformer à la loi.
Nous exigeons de tous les tiers (y compris les prestataires de services) qu'ils respectent la sécurité de vos données à caractère personnel et qu'ils les traitent conformément à la loi.
Nous pouvons transférer les données à caractère personnel que nous recueillons à votre sujet vers des pays n'appartenant pas à l’Espace Economique Européen (EEE) et n’ayant pas les mêmes normes que l'EEE en matière de législation sur la protection des données.
Si tel est le cas, nous mettrons en place (ou demanderons à un sous-traitant de mettre en place) des garanties appropriées telles que les clauses contractuelles types approuvées par l'EEE afin de veiller à ce que vos données à caractère personnel soient traitées d'une manière qui soit conforme avec la réglementation applicable.
Combien de temps conservons-nous vos informations ?
Nous conservons vos données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles nous les avons collectées et notamment pour la durée du Contrat (prolongée par les délais de recours applicables et la durée de conservation obligatoire) en ce qui concerne les données collectées pour l'exécution du contrat ou pour la gestion de la relation client.
En règle générale, nous conserverons les informations pertinentes pour nos relations avec vous pendant 3 ans à compter de notre dernier contact.
Nous pouvons, dans certaines circonstances, anonymiser vos données à caractère personnel afin qu'elles ne puissent plus être utilisées pour vous identifier, auquel cas nous pouvons utiliser ces informations (notamment à des fins statistiques) sans limitation de durée.
Dès que nous n'aurons plus besoin de vos données personnelles pour les finalités pour lesquelles nous les avons collectées, nous les détruirons en toute sécurité, conformément aux lois et réglementations applicables.
Vos droits relatifs à vos données personnelles
Il est important que les données personnelles que nous détenons à votre sujet soient exactes et à jour. Veuillez nous faire part de toute modification de vos données personnelles au cours de votre relation avec nous.
Vous avez des droits en tant qu'individu que vous pouvez exercer en ce qui concerne les informations que nous détenons à votre sujet dans certaines circonstances. Vous avez ainsi le droit de :
● demander l'accès à vos données à caractère personnel et demander certaines informations en rapport avec leur traitement ;
● demander la rectification de vos données à caractère personnel ;
● demander l'effacement de vos données à caractère personnel ;
● demander la limitation du traitement de vos données à caractère personnel ;
● vous opposer au traitement de vos données à caractère personnel ;
● demander le transfert de vos données à caractère personnel à un tiers.
Si vous souhaitez exercer l'un de ces droits, veuillez nous contacter à l'adresse suivante : dpo@echopen.com
Vous avez également le droit d'introduire une réclamation à tout moment auprès de l'autorité de contrôle compétente. En France, il s’agit de la CNIL, située 3, place de Fontenoy, 75007 Paris.
Frais
En général, vous n'aurez pas à payer de frais pour accéder à vos données personnelles (ou pour exercer l'un des autres droits). Toutefois, nous pouvons facturer des frais raisonnables si votre demande d'accès est manifestement non fondée ou excessive. Dans ces circonstances, nous pouvons également refuser de donner suite à la demande.
Informations dont nous pouvons avoir besoin
Nous pouvons être amenés à vous demander des informations spécifiques pour nous aider à confirmer votre identité et à garantir votre droit d'accès aux données (ou pour que vous soyez en mesure d'exercer l'un de vos autres droits). Il s'agit d'une autre mesure de sécurité appropriée pour garantir que les données à caractère personnel ne sont pas divulguées à une personne non autorisée à les recevoir.
Sécurité
Nous prenons les mesures de sécurité techniques et organisationnelles nécessaires pour protéger les données gérées par nous-mêmes, en particulier contre les risques de manipulation, de perte, de destruction et d’accès par des personnes non autorisées. Nous améliorons constamment nos mesures de sécurité en fonction de l'évolution technologique. Toutefois, aucune transmission ni aucun stockage électronique d'informations ne peuvent être garantis comme étant sûrs. Nous vous invitons donc à toujours faire preuve de prudence lorsque vous transmettez des informations sur Internet.
Modifications
Nous informerons généralement tous les utilisateurs de toute modification importante de cette politique par le biais de nos Services Digitaux.