JavaScript is required

Accord de traitement des données

Cet Accord de Sous-traitance de Données fait partie intégrante du contrat entre le Client (le Responsable du traitement) et The MedGuide Company B.V., établie à Danzigerkade 227B, 1013 AP Amsterdam, Pays-Bas (le Sous-traitant).

Article 1. Définitions

Sauf définition contraire dans le présent Contrat, les termes utilisés ont la signification qui leur est attribuée dans le Règlement Général sur la Protection des Données (UE) 2016/679 (RGPD).

Article 2. Objet et portée du traitement

  1. Le Responsable du traitement charge le Sous-traitant de traiter des données à caractère personnel pour son compte, instruction qui est acceptée par le présent document par le Sous-traitant.
  2. Le Responsable du traitement demeure le responsable du traitement au sens du RGPD. Le Sous-traitant n'a aucune autorité indépendante sur les données à caractère personnel.
  3. Le Sous-traitant ne traitera les données à caractère personnel que sur la base d'instructions documentées du Responsable du traitement, à moins qu'un traitement ne soit requis par le droit applicable.
  4. Si une instruction enfreint le RGPD ou toute autre législation sur la protection des données, le Sous-traitant en informera le Responsable du traitement sans délai.
  5. Le Sous-traitant ne traitera que les données à caractère personnel et aux fins décrites dans l'Annexe 1.

Article 3. Conformité à la législation

Le Sous-traitant doit se conformer au RGPD et à toute autre législation applicable en matière de protection des données lors du traitement des données à caractère personnel pour le compte du Responsable du traitement.

Article 4. Responsabilité

  1. Le Sous-traitant n'est responsable que des dommages directs résultant d'un manquement fautif aux obligations du présent Accord de Sous-traitance (DPA) ou du RGPD.
  2. La responsabilité pour les dommages indirects, les dommages consécutifs, la perte de profit, la perte de revenus, l'atteinte à la réputation ou la perte de données est exclue.
  3. La responsabilité totale du Sous-traitant est limitée au montant versé par son assurance responsabilité civile.
  4. Si aucun versement d'assurance n'est effectué, la responsabilité est limitée au montant total des frais payés par le Responsable du traitement au cours des douze (12) mois précédant l'événement.
  5. Ces limitations s'appliquent également aux personnes engagées par le Sous-traitant.
  6. Les limitations ne s'appliquent pas en cas de faute intentionnelle ou de faute lourde de la part de la direction du Sous-traitant.

Article 5. Mesures de sécurité et audits

  1. Le Sous-traitant doit mettre en œuvre et maintenir les mesures techniques et organisationnelles appropriées telles que requises par l'Article 32 du RGPD.
  2. Ces mesures sont alignées sur les normes de sécurité de l'information reconnues, notamment ISO 27001 et NEN 7510.
  3. Sur demande, le Sous-traitant mettra à disposition les informations nécessaires pour démontrer sa conformité.
  4. Le Responsable du traitement peut effectuer ou commander un audit une fois par an. Les coûts de l'audit sont à la charge du Responsable du traitement, sauf en cas de non-conformité substantielle établie.

Article 6. Violations de données à caractère personnel

  1. Le Sous-traitant informera le Responsable du traitement de toute violation de données à caractère personnel sans retard injustifié et au plus tard 48 heures après sa découverte.
  2. Le Sous-traitant prendra toutes les mesures raisonnables pour atténuer et remédier à la violation.
  3. Les détails relatifs à la notification de violation sont définis dans l'Annexe 2.
  4. La notification aux autorités de contrôle ou aux personnes concernées est effectuée exclusivement par le Responsable du traitement, avec l'assistance du Sous-traitant si nécessaire.

Article 7. Sous-traitants ultérieurs

  1. Le Sous-traitant ne peut engager des sous-traitants ultérieurs qu'avec le consentement écrit préalable du Responsable du traitement.
  2. Les sous-traitants ultérieurs doivent fournir des garanties équivalentes en matière de protection des données et de sécurité de l'information.
  3. Le Sous-traitant demeure entièrement responsable de la conformité de ses sous-traitants ultérieurs.

Article 8. Confidentialité

  1. Le Sous-traitant s'assure que les personnes autorisées à traiter les données à caractère personnel sont liées par des obligations de confidentialité.
  2. Les obligations de confidentialité survivent à la résiliation du présent Accord (DPA).

Article 9. Droits des personnes concernées

  1. Si une personne concernée soumet une demande directement au Sous-traitant, celui-ci transmettra la demande au Responsable du traitement sans délai.
  2. Le Sous-traitant assistera raisonnablement le Responsable du traitement dans l'exécution de ses obligations envers les personnes concernées.

Article 10. Dispositions finales

  1. Le présent Accord (DPA) est exclusivement régi par le droit néerlandais.
  2. Les litiges seront soumis au tribunal compétent de l'arrondissement où le Sous-traitant est établi.
  3. Le présent Accord entre en vigueur dès sa signature et reste effectif pour la durée de l'accord principal.
  4. En cas d'incohérence entre cette version française, la version anglaise et la version néerlandaise, la version néerlandaise prévaudra.

Annexe 1 - Traitement des données par MedGuide Survey B.V.

Activités de traitement

Le Sous-traitant effectue les activités suivantes pour le compte du Responsable du traitement :
  • Analyse, hiérarchisation et rapport des problèmes pharmacothérapeutiques pour les patients du Responsable du traitement au moyen d'une analyse pharmacothérapeutique.
  • Présentation des résultats au Responsable du traitement via un tableau de bord de résultats en ligne.
  • Mise à disposition des résultats pour exportation depuis le tableau de bord en ligne par le Responsable du traitement.

Personnes concernées

Patients du Responsable du traitement.

Catégories de données à caractère personnel

  • Numéro d'identification du patient
  • Nom
  • Adresse
  • Ville de résidence
  • Adresse e-mail
  • Numéro de téléphone
  • Sexe
  • Âge ou date de naissance
  • Données personnelles supplémentaires strictement nécessaires à l'exécution des services
Le Responsable du traitement veillera à ce qu'aucune donnée personnelle ne soit fournie au-delà de ce qui est strictement nécessaire.

Durées de conservation

Fichiers de données
Afin d'éviter de stocker des données clients inutiles sur les serveurs de la plateforme MedGuide, les fichiers de données fournis automatiquement sont supprimés après 30 jours, sauf accord contraire.

Sous-traitants ultérieurs au sein de l'Espace Économique Européen
Le Client autorise l'engagement des sous-traitants ultérieurs suivants établis au sein de l'Espace Économique Européen :
NomAdresseOpérations de traitement
Microsoft Pays-BasEvert van Beekstraat 354, 1118 CZ SchipholMS Azure
MongoDBWilhelminakade 173, 3072 AP RotterdamBase de données

Sous-traitants ultérieurs hors de l'Espace Économique Européen
Le Client autorise l'engagement des sous-traitants ultérieurs suivants établis hors de l'Espace Économique Européen :
  • Non applicable.

Annexe 2 - Notification de violation de données par le Sous-traitant

Notification de violation de données

Le Sous-traitant informera le Responsable du traitement de toute violation de données à caractère personnel dans les 48 heures suivant sa découverte. Des mises à jour seront communiquées dès qu'elles seront disponibles.

Formulaire de notification de violation

1. Personnes de contact

Personne de contact du Sous-traitant

Nom
Jan van der Kleij
Fonction
Security Officer
Numéro de téléphone
+31 (0)6-53838654
Adresse e-mail
security@themedguidecompany.com

2. S'agit-il d'un suivi d'une notification précédente ?

3. En cas de réponse 'oui' à la question précédente : de quand date la notification initiale ?

4. En cas de réponse 'oui' à la question 2 : quel est l'objet de la notification de suivi ?

Cochez l'option correcte.

5. En cas de choix de l'option B pour la question 4 : quel est le motif du retrait ?

6. Fournissez un résumé de l'incident au cours duquel la violation de données à caractère personnel s'est produite.

7. Combien de personnes sont concernées par la violation de leurs données à caractère personnel ?

8. Décrivez le groupe de personnes dont les données à caractère personnel sont concernées par la violation.

9. Quand la violation s'est-elle produite ?

Choisissez l'option correcte et saisissez la ou les date(s).

10. Quand la violation a-t-elle été découverte ?

11. Quelle est la nature de la violation ?

Cochez la ou les option(s) correcte(s). Note : plusieurs réponses possibles.

12. Quels types de données à caractère personnel sont concernés ?

Cochez la ou les option(s) correcte(s). Note : plusieurs réponses possibles.

13. Quelles conséquences la violation peut-elle avoir pour la vie privée de la personne concernée ?

Cochez la ou les option(s) correcte(s). Note : plusieurs réponses possibles.

14. Quelles mesures techniques et organisationnelles votre organisation a-t-elle prises pour remédier à la violation et prévenir d'autres violations ?

15. Quand la violation de données a-t-elle été signalée au Client ?

16. Quel moyen a été utilisé pour effectuer le signalement ?

Cochez l'option correcte.

17. Les données à caractère personnel ont-elles été cryptées, hachées ou autrement rendues inintelligibles ou inaccessibles à des tiers non autorisés ?

Cochez l'option correcte.

18. Si les données à caractère personnel ont été rendues totalement ou partiellement inintelligibles ou inaccessibles, de quelle manière cela a-t-il été fait ?

19. À votre avis, ce rapport est-il complet ?

Cochez l'option correcte.

20. Conclusion

21. Le formulaire a été reçu par le Client le

Ce document a été mis à jour pour la dernière fois le 29 janvier 2026.