ANS-Formation – Annexe Sous-traitance

ARTICLE 1 - DEFINITIONS

Le Responsable de traitement désigne dans le cadre des présentes la structure à laquelle est rattachée l’Utilisateur (Etablissement d’enseignement (université, école, etc.), établissement de santé, etc.).

Le Sous-traitant désigne dans le cadre des présentes l’Agence du Numérique en Santé (ci-après « ANS ») qui met en œuvre le traitement décrit ci-dessous via le site www.coorpacademy.com/esante-formation/ (ci- après le « Site »).

L’Utilisateur désigne la personne accédant aux contenus mis à disposition par l’ANS sur le Site (étudiants rattachés à un établissement d’enseignement, professionnel en formation rattachée à un établissement de santé, etc.).

ARTICLE 2 – OBJET

La présente annexe a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données ») ainsi que la loi « informatique et libertés » du 6 janvier 1978 modifiée.

ARTICLE 3 - DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE ARTICLE 2 – OBJET

En principe, le Site est accessible gratuitement au grand-public. A titre spécifique, l’ANS permet au Responsable de traitement de demander l’ouverture d’un accès pour les Utilisateurs qui lui sont rattachés afin qu’il puisse utiliser le Site dans le cadre des formations qu’il délivre.

Dans ce cadre, le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les données à caractère personnel nécessaires pour permettre aux Utilisateurs rattachés au Responsable de traitement d’utiliser les contenus disponibles sur le Site dans le cadre de leur formation.

Les opérations réalisées sur les données sont les suivantes :

• Création des comptes pour des Utilisateurs sur demande de la structure à laquelle ils sont rattachés (le Responsable de traitement) : L’ANS propose deux services de création de comptes sur demande du Responsable de traitement : La création de comptes pour un groupe d’Utilisateurs et/ou la création automatique de comptes liée à la plateforme d’enseignement de la Structure (Moodle, Intranet, etc.), permettant à un Utilisateur d'accéder au Site en ne procédant qu'à une seule authentification ;


• Réalisation de statistiques relatives à l’utilisation du Site : Statistiques agrégées effectuées sur demande du Responsable de traitement qui portent sur les actions des Utilisateurs qui lui sont rattachés.

Le type de données à caractère personnel traitées sont :

• Données d’identification personnelles : Nom, Prénom, adresse mail, identifiant Moodle, région


• Données d’identification professionnelle : catégorie (étudiant, professionnel de santé, éditeur…) et nom de la structure ;


• Statistique d’utilisation du Site : pourcentage d’Utilisateurs ayant utilisé le Site / Temps passé par le groupe d’Utilisateurs / Cours suivis par le groupe d’Utilisateurs / Nombre d’attestations délivrées / taux de complétude des cours suivis ;

Les catégories de personnes concernées sont :

• Les Utilisateurs du Site relevant de la responsabilité du Responsable de traitement ;

ARTICLE 4 - DUREE DU TRAITEMENT

La présente clause régit la relation entre le Responsable du Traitement et le Sous-traitant tant que dure le Traitement.

ARTICLE 5 - OBLIGATIONS DU SOUS-TRAITANT VIS-A-VIS DU RESPONSABLE DE TRAITEMENT

Le Sous-traitant s'engage à :

1. Traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;


2. Traiter les données conformément aux instructions documentées du Responsable de traitement. Si le Sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;


3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre de la présente annexe ;
4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu de la présente annexe :

- S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
- Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

5. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut, sur la base des instructions formulées par le Responsable de traitement et dans la limite des contraintes techniques et opérationnelles inhérentes aux opérations de traitement confiées par ce dernier ;

ARTICLE 6 - SOUS-TRAITANCE ULTERIEURE

Le Sous-traitant peut faire appel à un autre Sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement le Responsable de traitement de tout ajout ou remplacement d’un sous-traitant ultérieur.

Le sous-traitant ultérieur est tenu de respecter les obligations de la présente annexe pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par le sous-traitant ultérieur de ses obligations.

ARTICLE 7 - DROIT D’INFORMATION DES PERSONNES CONCERNEES

Le Responsable de traitement s’engage à informer les Utilisateurs concernés par la création de comptes sur les traitements de données réalisés. Cette information doit être communiquée aux personnes concernées en amont du traitement.

Le Sous-traitant s’engage à réaliser des mentions d’information à destination des Utilisateurs.

ARTICLE 8 - EXERCICE DES DROITS DES PERSONNES

Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.

ARTICLE 9 - DUREE DE CONSERVATION DES DONNEES A CARACTERE PERSONNEL

Les données personnelles des Utilisateurs sont conservées pendant la durée d'activité du compte de l’Utilisateur. Néanmoins afin de répondre à l’exigence de limitation de la conservation des données, si le compte est inactif depuis plus de 12 mois, les données de l’Utilisateur concerné seront supprimées. À l’issue de la période de conservation, les données relatives aux Utilisateurs sont supprimées. Seules des données statistiques non identifiantes peuvent être conservées et traitées, dans le respect des dispositions de la loi Informatique et Libertés modifiée.

ARTICLE 10 - NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL

Le Sous-traitant s’engage à informer, dans les meilleurs délais après en avoir pris connaissance, le Responsable de traitement de tout incident de sécurité et de toute suspicion de violation de données à caractère personnel telle que définie à l’article 4.12 du RGPD pouvant engendrer un risque pour les personnes concernées, accidentelle ou non.

Les Parties veillent à bien coordonner l’application de leurs processus respectifs de gestion des incidents et violation de données.

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Lorsque le responsable du traitement doit gérer une violation de données à caractère personnel qui concerne les traitements réalisés par le Sous-traitant, ce dernier aide le responsable du traitement à respecter son obligation de notification à la Commission nationale de l’informatique et des libertés et de communication de la violation à la personne concernée lorsque la violation est susceptible d’engendrer un risque élevé pour ses droits et libertés.

ARTICLE 11 – ASSISTANCE DU SOUS-TRAITANT

De manière générale, les Parties s'engagent à collaborer et à se rapprocher l'une de l'autre pour toute question relative à la conformité du traitement objet des présentes.

Le Sous-traitant s’engage selon les moyens et les informations dont il dispose de fournir au responsable du traitement toute aide raisonnable qui lui serait nécessaire :

• dans la mise en œuvre de son obligation de donner suite aux demandes formulées sur le fondement du chapitre III du règlement (UE) 2018/1725 par les personnes concernées ;
• pour garantir le respect des obligations incombant au Responsable du Traitement en matière de sécurité du traitement, de notification et de communication d’une violation de données à caractère personnel ;
• pour la réalisation de l’analyse d’impact relative à la protection des données ;
• pour la réalisation de la consultation préalable de la Commission nationale de l’informatique et des libertés.

ARTICLE 12 - MESURES DE SECURITE

L’ANS s’assure que le sous-traitant ultérieur met en place toutes les mesures techniques et organisationnelles requises afin de garantir un niveau de sécurité adapté au risque, selon les besoins :

• la pseudonymisation et le chiffrement des données à caractère personnel ;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le Sous-traitant s’engage à maintenir ses moyens au cours de l’exécution des présentes et à défaut, à en informer immédiatement le Responsable du Traitement.

ARTICLE 13 - SORT DES DONNEES A CARACTERE PERSONNEL

Au terme de la prestation de services relative au traitement de ces données le Sous-traitant s’engage à supprimer toutes les données à caractère personnel objet du traitement décrit aux présentes. Le Sous-traitant s’interdit de conserver une copie des données.

Si le Sous-traitant a fait appel à un sous-traitant ultérieur, le Sous-traitant initial s’assurera que le sous-traitant ultérieur a bien détruit toutes les copies existantes dans ses systèmes d’information.

En cas de changement de sous-traitant ultérieur, le Sous-traitant informe le Responsable de traitement du transfert des données vers le nouveau service.

ARTICLE 14 - DELEGUE A LA PROTECTION DES DONNEES

Chacune des Parties doivent désigner un délégué à la protection des données à caractère personnel propre à chacune d’elle, conformément à l’article 37 du règlement (UE) 2018/1725.

ARTICLE 15 - REGISTRE DES CATEGORIES D’ACTIVITES DE TRAITEMENT

Les Parties déclarent tenir par écrit un registre de toutes les catégories d’activités de traitement qu’elles réalisent.

ARTICLE 16 - OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU SOUS-TRAITANT

Le Responsable de traitement s’engage à :

• fournir au Sous-traitant ou s’assurer de la mise à disposition par tout tiers des données nécessaires à la mise en œuvre de ses obligations ;
• documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
• veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-traitant ;

ARTICLE 17 – TRANSFERT DE DONNEES VERS UN PAYS TIERS

Le Sous-traitant informe préalablement le Responsable de traitement de tout transfert de données vers un pays tiers.
Les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale sont soumis à un régime spécifique prévu par les articles 44 et suivants du règlement (UE) 2018/1725.

ARTICLE 18 - OBLIGATIONS DE COLLABORATION ENTRE LES PARTIES

Les Parties s'engagent à collaborer et à se rapprocher l'une de l'autre pour toute question relative à la conformité du traitement objet des présentes.

En cas de contrôle ou de procédure contentieuse, administrative ou judiciaire en lien avec les données à caractère personnel traitées dans le cadre de l'exécution des présentes, les Parties s'engagent à se fournir mutuellement toute l'assistance nécessaire pour répondre à ce contrôle et/ou à cette procédure.

ARTICLE 19 - RESILIATION POUR MANQUEMENT

Les Parties peuvent résilier le présent accord en cas de manquement par l’une ou l’autre des Parties. Quel que soit le motif, la résiliation devient effective six (6) mois après l’envoi par l’une des Parties d’une mise en demeure, adressée par lettre recommandée avec accusé de réception, portant injonction de remédier au manquement constaté, demeurée sans effet.