PROTECTION DES DONNÉES PERSONNELLES


 

XIII)       Clause relative à la protection des données personnelles.

 

Dans le cadre de l'organisation, la gestion et la prise en charge de prescripteurs pour des congrès médicaux, prévues par la présente convention, des traitements de données personnelles seront réalisés.

 

  1. Descriptif des traitements

Ces traitements ont pour finalité la prise en charge de prescripteurs lors de congrès.

Les données à caractère personnel susceptibles d'être collectées sont les suivantes.

-     identifiant (optionnel), mail, nom, prénom, identifiant rpps, n° finess, lieu d'exercice, signature, information passeport ou carte d'identité.

 

Les destinataires de ces données à caractère personnel sont le personnel habilité de France VIVISOL, ainsi que les organismes légalement habilités à les recevoir dans le cadre des l'organisation et la logistique de congrès.

VIVISOL se réserve le droit de transmettre les données à caractère personnel des tiers autorisés afin de satisfaire à ses obligations légales, et notamment si elle en était contrainte par réquisition judiciaire.

Les données des prescripteurs seront conservées 5 années à compter de la fin de prise en charge de son dernier patient. Les données des patients seront conservées 5 années à compter de la fin de la prise en charge. Après la fin de la prise en charge du patient, seuls les dossiers médicaux et pharmaceutiques seront conservés 20 ans.

 

  1. Obligations des parties

Dans ce cadre les parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »). 

Les Parties agissent en qualité de Responsables conjoints de traitement et s'engagent à :  

-  Assurer un traitement loyal et licite des données à caractère personnel ;  

- Mettre en œuvre des mesures techniques et organisationnelles appropriées et effectives pour être en mesure de démontrer que le traitement de données à caractère personnel est effectué conformément au RGPD ;    

- Mettre en œuvre des mesures de sécurité adéquates afin de protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre; 

- Effectuer, si besoin, les formalités nécessaires auprès des autorités de contrôle compétentes et remplir leurs obligations dans le cadre des activités réglementées ;   

 - Nommer, si la réglementation en vigueur l'exige, un Délégué à la Protection des données ;  le cas échéant, tenir un registre de toutes les catégories d'activités de traitement effectuées sous leur responsabilité ou pour le compte d'un tiers, et coopérer avec l'autorité de contrôle compétente et, sur demande, mettre le registre précité à sa disposition ; 

- Garantir la confidentialité des données à caractère personnel traitées dans le cadre du contrat ; l'obligation de confidentialité des parties continuera après expiration des présentes, aussi longtemps que lesdites informations n'auront pas été rendues publiques ; 

- Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du contrat s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;  

-  Ne pas utiliser les informations, par quelque moyen ou finalité que ce soit, pour son propre compte ou pour le compte d'un tiers, à des fins professionnelles, personnelles ou privées autres que celles définies au contrat ; 

-  Respecter les dispositions de l'article 28 du RGPD en cas de sous-traitance des données ;  

-  Respecter les dispositions des articles 44 et suivants du RGPD  en cas de transfert de données à caractère personnel vers un pays tiers situé hors de l'Union européenne ;  

-  Garantir les droits des personnes concernées et traiter dans les meilleurs délais toute demande provenant d'une personne concernée par le traitement de données, dans l'exercice de ses droits tels que prévus par la réglementation sur la protection des données ;  Sur ce point il revient à l'établissement d'informer et de gérer l'exercice des droits des patients à sa charge.

-  Communiquer, dans les meilleurs délais et avec une célérité permettant à l'autre partie de s'acquitter de ses obligations légales:  

·       Toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins que l'autre partie ait été expressément autorisé à le faire ; 

§  Toute violation de données à caractère personnel entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ;  

§  Toute demande contraignante de divulgation des données à caractère personnel émanant d'une autorité de maintien de l'ordre, sauf disposition contraire, telle qu'une interdiction de caractère pénal visant à préserver le secret d'une enquête policière ;  

Point de contact DPO VIVISOL: dpo_vivisol@actecil.fr  

- Prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;  

- Coopérer avec l'autre Partie pour la réalisation d'analyses d'impact relative à la protection des données et pour la réalisation de la consultation préalable de l'autorité de contrôle ;  

- Mettre à la disposition de l'autre Partie la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par l'autre Partie ou un autre auditeur qu'il a mandaté, et contribuer à ces audits ;  

A l'expiration de la durée maximum de conservation des données, cesser tout traitement des données et détruire, dans un délai raisonnable, toutes les données dont elles sont encore en possession, dans le respect de leurs obligations légales, réglementaires, comptables, fiscales et sociales qui leur incombent.   

 

Les parties reconnaissent que tout manquement à leurs obligations de sécurité et de confidentialité est de nature à entraîner la fin immédiate de leur collaboration, sans indemnité. Leur responsabilité sera également susceptible d'être engagée sur la base des articles 226-13 et 226-17 du Code pénal.