CHARTE DE CONFIDENTIALITE SUR LES DONNEES PERSONNELLES - PRIVACY POLICY

La société SIMPLIFY (ci-après SIMPLIFY), est une SAS, au capital de 150.000 euros, inscrite au RCS de Versailles sous le numéro 450.769.419, et dont le siège social est sis 2 rue Georges Melies, ZAC de la Croix Bonnet 78390 Bois d’Arcy – numéro de TVA intracommunautaire FR 35 45 076 94 19. 

 

Le présent document complète les Conditions Générales de SIMPLIFY et représente les engagements réciproques de SIMPLIFY et de son CLIENT en ce qui concerne le respect de la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le RGPD »). 

 

Dans ce cadre, le CLIENT est « responsable de traitement », et SIMPLIFY est son « sous-traitant ». 

Le RGPD consacre une logique de responsabilisation de tous les acteurs impliqués dans un traitement de données personnelles en y incluant les sous-traitants. 

 

1.DESCRIPTION DU TRAITEMENT 

SIMPLIFY ne pourra procéder à un traitement de données personnelles que dans le strict exercice de sa mission. 

Les données à caractère personnel ne pourront, à ce titre, faire l’objet d’aucune opération, autres que celles prévues dans le bon de commande, de la part d’un sous-traitant ou d’une personne agissant sous l’autorité de SIMPLIFY. 

Les catégories de personnes concernées sont les Patients des CLIENTS de SIMPLIFY. 

Les finalités recherchées sont les suivantes : 

  • • La prise de rendez-vous médicaux, 
  • • La rédaction de comptes-rendus médicaux. 

Les données à caractère personnel traitées sont : 

  • • l’état-civil et les éléments d’identification 
  • • les coordonnées 
  • • les données nécessaires à la passation, l’application du contrat et à la gestion des rendez-vous ou des comptes-rendus 
  • • les données relatives à la santé des Patients 

 

2.OBLIGATIONS DE SIMPLIFY 

SIMPLIFY s’engage à : 

1. traiter les données uniquement pour la seule finalité de l’exécution de sa mission de sous-traitance ; 

2. traiter les données conformément aux instructions documentées du CLIENT. 

Si SIMPLIFY considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le CLIENT ; 

3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ; 

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat : 

• s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité 

• reçoivent la formation nécessaire en matière de protection des données à caractère personnel 

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut (Privacy By Design). 

 

 

3.DESTINATAIRES DES DONNEES PERSONNELLES 

Peuvent, dans les limites de leurs attributions respectives, avoir accès aux données à caractère personnel : 

  • • Les personnes chargées de l’exécution du service, celles chargées de traiter la relation CLIENT et les réclamations, celles chargées des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ; 
  • • les sous-traitants ultérieurs dès lors que le contrat signé entre les sous-traitants ultérieurs et SIMPLIFY fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données. 

Seul le CLIENT peut être destinataire des données. 

 

4.COMMUNICATION À DES TIERS 

Les données à caractère personnel traitées en exécution de la mission ne pourront faire l’objet d’aucune divulgation à des tiers en dehors des cas prévus par une disposition légale ou réglementaire. 

 

5.SOUS-TRAITANCE 

L’acceptation des GCV par le CLIENT fait office d’autorisation écrite générale au sens de l’article 28.2 du RGPD. 

Aussi SIMPLIFY peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. En cas d’ajout ou de changement de sous-traitant, SIMPLIFY en informe préalablement et par écrit le CLIENT et lui transmet toute information sur ce sous-traitant ultérieur s’agissant des activités sous-traitées, son identité et ses coordonnées, ainsi que la date du contrat. Le CLIENT dispose d’un délai de 15 jours ouvrés à compter de la date de réception de cette information pour présenter ses objections. La sous-traitance ultérieure ne peut être effectuée que le RT n’a pas émis d’objection dans le délai convenu. 

SIMPLIFY s’assure que le sous-traitant ultérieur soit tenu par contrat de respecter les mêmes obligations en matière de protection des données de la présente Convention pour le compte et selon les instructions du CLIENT. 

Il s’assure que le sous-traitant ultérieur présente les garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. 

Dans le cas où ce sous-traitant ultérieur est localisé hors de l’UE, le SIMPLIFY s’assurera que le pays de destination a une législation reconnue par la Commission Européenne comme offrant une protection des données personnelles équivalente à celle existante en Europe ; ou alors que le contrat avec le sous-traitant ultérieur contient des clauses contractuelles types (CCT), sur la base des modèles de la Commission Européenne qui seront signées le cas échéant. 

S’agissant de données de santé des patients du CLIENT, SIMPLIFY indique qu’il fait héberger ces données par un sous-traitant tiers : cet hébergeur dispose d’un agrément délivré par le ministère de la Santé. 

 

6.DROIT D’INFORMATION DES PERSONNES CONCERNÉES 

1er cas Dans le cadre de la prise de rendez-vous médicaux effectués directement par SIMPLIFY, SIMPLIFIY doit, au moment de la collecte des données, fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise, ainsi que l’information sur les droits que les personnes concernées peuvent exercer. Le CLIENT, convient avec SIMPLIFY de la formulation et du format de l’information. 

2ème cas Dans le cadre de la rédaction de comptes-rendus ou de rendez-vous pris par le CLIENT, c’est au CLIENT de s’assurer du consentement et fournir aux personnes concernées l’information sur les droits qu’elles peuvent exercer. 

Dans tous les cas, leur consentement doit être recueilli de telle sorte que les données puissent être utilisées pour l’exécution de la Convention. 

 

7.EXERCICE DES DROITS DES PERSONNES 

Dans la mesure du possible, SIMPLIFY doit aider son CLIENT, le responsable de traitement, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). 

Lorsque les personnes exercent auprès de SIMPLIFY des demandes d’exercice des droits, SIMPLIFY doit adresser ces demandes dès réception par l’adresse électronique du contact que le CLIENT lui a fourni. 

 

8.SÉCURITÉ ET CONFIDENTIALITÉ DU TRAITEMENT 

SIMPLIFY prendra toute mesure nécessaire pour préserver et faire respecter l’intégrité et la confidentialité, la disponibilité et la résilience des données à caractère personnel, ainsi que le chiffrement des données à caractère personnel. 

SIMPLIFY s’engage notamment à mettre en place les mesures techniques et organisationnelles permettant d’assurer, compte tenu de l’état des Règles de l’art, un niveau de sécurité et de confidentialité approprié au regard des risques présentés par le traitement et la nature des données à caractère personnel traitées. 

 

9.NOTIFICATION DES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL 

Par application des dispositions de l’article 33§2 du RGPD, SIMPLIFY notifie en tant que sous-traitant au CLIENT qui est responsable de traitement, « toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance ». 

Dans ce cadre, SIMPLIFY s’engage à notifier son CLIENT dans un délai maximum de trois (3) jours ouvrés après en avoir pris connaissance par le moyen suivant à savoir via l’adresse électronique dédiée que le CLIENT lui a fournie. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. 

 

10.AIDE DU SOUS-TRAITANT AU CLIENT POUR SES PROPRES OBLIGATIONS 

SIMPLIFY aide le CLIENT pour la réalisation d’analyses d’impact (PIA) sur la protection des données ainsi que pour la consultation préalable de l’autorité de contrôle qui est la CNIL 

 

11.SORT DES DONNÉES 

Pour les données relatives à la gestion de CLIENTS et de prospects : 

  • • Les données des Patients sont conservées le temps nécessaire pour l’exercice de la mission ; 
  • • Sauf pour les données de santé dont la conservation est imposée par la réglementation, les données des patients et/ou des médecins stockées sur le portail sont détruites après 30 jours à la suite de l’exécution des traitements en accord avec la CNIL. 

Le présent article survivra à la résiliation ou à l’expiration de la Convention pour quelque cause que ce soit. 

 

12.DOCUMENTATION 

SIMPLIFY met à disposition du CLIENT la documentation pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits par le CLIENT. 

 

13.DÉLÉGUÉ À LA PROTECTION DES DONNÉES – DPD (DPO) 

Le délégué à la protection des données – DPD désigné en application de l’article 37 du règlement européen sur la protection des données dit RGPD est la SELARL FWPA, société d’Avocats, 18 rue des Pyramides 75001 Paris, Maître Jean-Baptiste Soufron. 

 

14.REGISTRE DES CATÉGORIES D’ACTIVITÉS DE TRAITEMENT 

SIMPLIFY déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées dans le cadre de l’exécution de ses missions. 

 

15.DERNIERE MISE A JOUR DE LA PRESENTE CHARTE 

20 décembre 2019 

Simplify

Contactez-nous

Mentions légales

Secrétariat médical

Ressources

  • 01 30 43 22 77
  • contact @ simplify . fr
  • 2 rue Georges Méliès
    ZAC de la croix bonnet
    78390 BOIS D’ARCY
Copyright © 2021 Simplify – Conception: *nuyorka