Cet addendum sur le traitement des données complète et est intégré à l’accord entre RadiusXR et le client. La DPA est contraignante pour les deux parties sans action ou signature supplémentaire. En signant ou en concluant autrement l’Accord, le client accepte les termes de ce DPA.
Les termes majuscules utilisés et non définis dans cette DPA auront les significations respectives énoncées dans l’Accord et/ou la Loi applicable sur la protection des données.
1.1 La présente DPA sert d’accord écrit de traitement des données entre RadiusXR et le Client (en son nom et au nom de chaque Responsable référencé dans cette DPA) et s’applique à tout traitement des données personnelles par RadiusXR ou l’un de ses sous-traités en lien avec les services fournis en vertu des termes de l’Accord. Cette DPA sera effective pour la période où RadiusXR fournit des services au client en vertu de l’accord auquel cette DPA s’applique et pour toute période après laquelle RadiusXR conserve des données personnelles.
1.2 Les parties conviennent que cette DPA remplacera tout accord existant de traitement des données ou document similaire que les parties auraient pu conclure auparavant en lien avec les services RadiusXR. En cas de conflit entre les termes de l’Accord, y compris tout addendum exécuté précédemment ou simultanément, et les termes de cette DPA, les termes pertinents de cette DPA prévalent. Si une disposition de cette DPA est jugée invalide ou inapplicable par un tribunal compétent, l’invalidité de cette disposition n’affectera pas les autres dispositions du présent, et toutes les dispositions non affectées par cette invalidité demeureront pleinement en vigueur et en vigueur.
2.1 « Données clients » désigne toutes les données fournies ou autrement mises à disposition par le client à RadiusXR dans le cadre des services fournis par RadiusXR conformément à l’Accord.
2.2 « Loi sur la protection des données« désigne les lois et règlements applicables au traitement des données personnelles en vertu de l’Accord, y compris (i) le Règlement général sur la protection des données, le Règlement (UE) 2016/679 (« RGPD ») et le RGPD du Royaume-Uni, (ii) la Loi fédérale suisse sur la protection des données; et (iii) la loi britannique sur la protection des données de 2018; dans chaque cas, tel que mis à jour, modifié ou remplacé de temps à autre. Les termes « Contrôleur », « Personne concernée », « Traitement », « Responsable du traitement » et « autorité de supervision » doivent être définis dans le RGPD.
2.3 « EEE » désigne, aux fins du présent APD, l’Espace économique européen, la Suisse et le Royaume-Uni.
2.4 Les « données personnelles » auront la signification énoncée dans le RGPD, dans la mesure où ces données constituent des données clients.
2.5 « Violation de données personnelles » signifie une violation de sécurité menant à la destruction, à la perte, à la modification, à la divulgation ou à l’accès non autorisé aux données personnelles transmises, stockées ou autrement traitées par RadiusXR.
2.6 « Clauses contractuelles types » signifie :
2.7 « Sous-processeur » signifie tout processeur engagé par RadiusXR, y compris les affiliés de RadiusXR agissant comme processeurs.
3.1 Il est reconnu et convenu qu’en ce qui concerne le traitement des données personnelles en vertu de cette DPA, le client est le Contrôleur et RadiusXR est le Responsable (qu’il agisse lui-même ou par l’intermédiaire de sous-processeurs conformément à la section 8 (Sous-traités) ci-dessous).
3.2 Les deux parties doivent, dans leurs rôles respectifs, respecter toutes les lois sur la protection des données relatives aux données personnelles traitées en vertu de cette DPA.
3.3 La nature et l’objectif du traitement, les types de données personnelles et les catégories de personnes concernées traitées en vertu de cette DPA sont spécifiées à l’annexe 1 – Partie 1 du présent, telles que les parties peuvent les mettre à jour selon le cas de temps à autre.
3.4 Le client doit, dans son utilisation et sa réception des services fournis ou mis à disposition par RadiusXR conformément à l’Accord (« Services RadiusXR »), traiter les données personnelles conformément aux exigences des lois sur la protection des données.
4.1 Le client agit comme, et entre le client et RadiusXR, restera en tout temps le contrôleur :
4.2 Le client doit, dans le cadre de son utilisation des services RadiusXR, traiter les données personnelles conformément à la loi sur la protection des données, y compris toute exigence applicable pour notifier les personnes concernées de l’utilisation de RadiusXR comme traitement de traitement.
4.3 Sauf disposition contraire de la loi applicable sur la protection des données, le client doit agir comme point de contact unique pour RadiusXR dans toutes les affaires relevant du présent DPA et sera responsable de la coordination interne, de la révision et de la soumission des instructions ou demandes à RadiusXR ainsi que de la diffusion ultérieure de toute information, notifications et rapports fournis par RadiusXR ci-dessous.
4.4 En tant que responsable de la traite, le client déclare et garantit qu’il a le droit de fournir l’accès aux données personnelles à RadiusXR aux fins des présentes et, par conséquent, qu’il dispose d’une base légale et de toute approbation nécessaire de la part de toute personne concernée concernant la performance des services RadiusXR par RadiusXR.
4.5 Le client est entièrement responsable de l’exactitude, de la qualité et de la légalité des données personnelles ainsi que des moyens par lesquels le client a acquis des données personnelles.
5.1 Finalités du traitement : Sous réserve des limites légalement permises en tant que Responsable du traitement en vertu du présent DPA, RadiusXR doit traiter les données personnelles en vertu des présentes uniquement conformément aux instructions documentées pour le client et pour les usages limités suivants :
5.2 Traitement non autorisé : RadiusXR informera rapidement, mais en aucun cas plus tard que cinq (5) jours à compter de la date de cette décision, si une instruction ou une demande du client viole la loi sur la protection des données.
5.3 Demandes légales : RadiusXR signalera sans délai toute demande, demande ou commande reçue par RadiusXR d’une autorité compétente ou d’une personne concernée relative au traitement des données personnelles.
5.4 Assistance et coopération : En tenant compte de la nature du traitement, RadiusXR aidera le client à remplir son obligation de répondre aux demandes des personnes concernées en vertu de la Loi sur la protection des données par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à condition que RadiusXR fournisse cette assistance dans la mesure suivante :
5.5 Conservation et destruction des données personnelles. Sous réserve des obligations légales applicables de conservation, à la résiliation de l’Accord, RadiusXR retournera au Client ou supprimera toute Donnée Personnelle sous son contrôle, conformément aux procédures et délais appliqués par RadiusXR de temps à autre, et, si demandé, confirmera cette suppression par écrit au Client.
5.6 Confidentialité. RadiusXR ne s’appuiera que sur le personnel chargé du traitement des données personnelles qui est contractuellement ou par obligation légale de maintenir la confidentialité, veillera à ce que l’accès aux données personnelles traitées soit limité aux personnes ayant besoin de cet accès pour fournir les services RadiusXR applicables, et prendra des mesures commercialement raisonnables pour garantir la fiabilité du personnel impliqué dans le traitement des données personnelles en vertu des présentes.
5.7 Non-délégation. RadiusXR ne déléguera pas le traitement des données personnelles à un sous-processeur sauf conformément à la section 8 (sous-processeurs) ci-dessous.
6.1 Obligations de sécurité. Dans le cadre de son traitement des données personnelles en vertu des présentes étapes, RadiusXR prévoit et maintient des mesures de sécurité administratives, physiques, techniques et organisationnelles appropriées pour ce traitement, qui visent à protéger les données personnelles contre la perte, l’utilisation, la destruction, la modification, la divulgation ou l’accès accidentelles, illégales ou non autorisées, et à assurer un niveau de sécurité adapté aux risques particuliers liés au traitement. À ce sujet :
6.2 Violation de données. RadiusXR informera le client sans délai excessif dès qu’il aura pris connaissance de toute violation de données personnelles liée au traitement des données personnelles en vertu de cette DPA, en respectant le processus suivant :
6.3 Dans la mesure où une violation de données personnelles est causée par le client, un affilié client ou toute personne agissant au nom du client, RadiusXR informera le client de la violation de données personnelles et fournira les informations qu’il découvre jusqu’au moment où il identifie que la violation est causée par le client, l’affilié client ou toute personne agissant au nom du client. Toute aide supplémentaire pour enquêter sur une telle violation de données personnelles est soumise à un accord supplémentaire des Parties.
7.1 Si la loi applicable sur la protection des données est requise ou s’il existe des motifs raisonnables pour soupçonner le non-respect de cette DPA ou de la loi applicable sur la protection des données de la part de RadiusXR, RadiusXR doit, sur demande écrite du client, mettre à disposition toutes les informations nécessaires pour démontrer la conformité aux présentes. Cela peut inclure un rapport d’audit sommaire ou une certification produite par un tiers réputé qui démontre la conformité de RadiusXR conformément à un cadre de confidentialité et de sécurité généralement accepté. Si exigé par la loi applicable sur la protection des données ou si, selon l’avis raisonnable du client, la portée de l’audit est insuffisante pour démontrer la conformité à cette DPA, alors RadiusXR permettra que des audits, y compris des inspections, soient effectués par le client (ou par un auditeur tiers indépendant mandaté par le client, raisonnablement acceptable pour RadiusXR et sous réserve de la signature d’une entente de confidentialité avec RadiusXR) pertinents pour les données personnelles traitées en vertu des présentes DPA. Il est convenu que :
8.1 RadiusXR peut déléguer le traitement des données personnelles à un sous-traitement qui est tenu de se conformer aux dispositions relatives à la confidentialité et à la protection des données tout aussi strictes que celles de cette DPA. RadiusXR demeure entièrement responsable de la conduite de ses sous-processeurs ainsi que de sa propre conduite.
8.2 Sous réserve de l’article 8.1, le client donne par la présente son consentement écrit général et son autorisation à RadiusXR d’utiliser les sous-processeurs identifiés à l’annexe 1 – Partie 3 pour le traitement des données personnelles aux fins énoncées dans cette DPA. RadiusXR doit informer le client des nouveaux sous-processeurs au moins trente (30) jours avant d’autoriser ces nouveaux sous-processeurs à traiter des données personnelles en lien avec la fourniture des services applicables.
8.3 Le client peut s’opposer à l’utilisation par RadiusXR d’un nouveau sous-processeur pour des motifs raisonnables en notifiant RadiusXR par écrit dans les dix (10) jours ouvrables suivant la réception de la notification conformément à l’article 8.2. Dans le cas où le client s’opposerait à un nouveau sous-processeur, comme permis dans la phrase précédente, RadiusXR utilisera des efforts commercialement raisonnables pour mettre à disposition du client un changement dans les services ou recommander un changement commercialement raisonnable à la configuration ou à l’utilisation des services par le client afin d’éviter le traitement des données personnelles par le nouveau sous-traitement contesté sans imposer un fardeau déraisonnable au client. Si RadiusXR ne peut pas rendre ce changement disponible, le client peut, comme seul recours, mettre fin à la portion du ou des services RadiusXR qui ne peut être fournie par RadiusXR sans l’utilisation du sous-processeur contesté, à condition que les parties utilisent toujours d’abord leurs efforts raisonnables mutuels pour résoudre le problème et que le client reconnaît que toute résiliation sera utilisée en dernier recours seulement.
La responsabilité de RadiusXR et de toutes ses filiales, prise dans son ensemble, découlant ou liée à cette DPA, que ce soit en contrat, délit délictuel ou selon toute autre théorie de responsabilité, est assujettie à la section « Limitation de responsabilité » de l’Accord, et toute référence dans cette section à la responsabilité de RadiusXR signifie la responsabilité globale de RadiusXR et de toutes ses filiales en vertu de l’Entente et de la présente DPA prises ensemble.
Il est reconnu que RadiusXR, elle-même ou utilisant des sous-processeurs autorisés, dans le cadre de ses activités régulières, effectue des services depuis des endroits situés dans des pays et territoires hors de l’EEE. La présente section 10 énonce les dispositions concernant la manière dont les données personnelles traitées en vertu de cette DPA peuvent être transférées d’un pays ou d’un territoire au sein de l’EEE vers, ou accessibles depuis un pays ou territoire hors EEE, soit directement, soit par transfert ultérieur (chacun étant un « Transfert ») par RadiusXR, agissant lui-même et/ou par l’entremise de sous-traités autorisés, et le client donne par la présente son mandat écrit spécifique, autorisation et instruction à RadiusXR aux fins de la réalisation de tels transferts lors de la fourniture des services depuis des lieux hors de l’EEE, comme indiqué ci-dessous.
Aux fins des transferts de données personnelles en vertu de cette DPA, le client et RadiusXR intègrent les clauses contractuelles standard pertinentes comme si elles étaient toutes énoncées dans cette DPA (l’« Accord de transfert de données ») et dans lesquelles le client agit en tant qu’« exportateur de données » et RadiusXR, lui-même et/ou par l’intermédiaire de tout sous-processeur autorisé en dehors de l’EEE, agit en tant qu’« importateur de données » (tel que défini dans les clauses contractuelles standard). La signature et la datation par les Parties de ce DPA seront considérées comme la signature et la datation de l’Accord de transfert de données (le client signant comme exportateur de données et RadiusXR signant comme importateur de données). Les termes des accords de transfert de données pertinents, le cas échéant, prévaudront sur les termes conflictuels ou incohérents dans cette DPA dans la mesure du conflit ou de l’incohérence.
Les transferts de données personnelles ne seront autorisés que si :
Sans préjudice de l’article 10.3 de cette DPA, les dispositions suivantes seront utilisées pour aider à l’interprétation des clauses contractuelles types incorporées dans cette DPA :
Cette DPA sera régie et interprétée conformément aux dispositions applicables à la loi applicable et à la compétence de l’Accord, sauf disposition contraire requise par la loi applicable sur la protection des données.
Annexe 1
Partie 1 : Détails du traitement
| Nature et objectif du traitement | RadiusXR traitera les données personnelles au besoin pour fournir les services RadiusXR conformément à l’Accord, et selon les instructions supplémentaires du client concernant l’utilisation des services RadiusXR et de ce DPA. Ces services de traitement incluent le stockage et la conservation des données personnelles pour l’utilisation par le clinicien concerné dans la prestation de traitements aux patients, ainsi que la conservation des informations de compte pour utilisation par le client dans le cadre de la formation et de la tenue de dossiers des cliniciens. |
| Durée du traitement | Sous réserve de l’article 5.5 de la DPA, RadiusXR traitera les données personnelles pendant toute la durée de l’accord, sauf accord écrit contraire. |
| Catégories de sujets de données | Les catégories de personnes concernées dont les données personnelles sont traitées au nom du client comprennent les suivantes :
|
| Catégories de données personnelles traitées | Les catégories de données personnelles comprennent les suivantes : cochez toutes celles qui s’appliquent
Les catégories spéciales suivantes de données personnelles sont traitées :
|
| Finalités pour lesquelles les données personnelles sont traitées au nom du client | Les données personnelles sont traitées aux fins suivantes au nom du client :
|
Partie 2 : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles pour assurer la sécurité des données
RadiusXR maintiendra des contrôles administratifs, organisationnels, techniques et physiques raisonnables conçus pour assurer la confidentialité, la sécurité et la confidentialité des données personnelles (« Garanties »), conformes à cette loi sur la DPA et la protection des données, notamment :
En l’absence de ce qui précède, RadiusXR accepte ce qui suit :
| 1 | Accès physique. RadiusXR maintiendra des contrôles d’accès physiques conçus pour sécuriser les installations, infrastructures, centres de données, fichiers papier, serveurs, systèmes de sauvegarde et équipements (y compris les appareils mobiles) utilisés pour accéder aux données personnelles, y compris les contrôles pour prévenir, détecter et répondre aux attaques, intrusions ou autres défaillances système; |
| 2 | Authentification utilisateur. RadiusXR maintiendra l’authentification des utilisateurs et les contrôles d’accès au sein des systèmes d’exploitation, applications, équipements et médias; |
| 3 | Sécurité du personnel. RadiusXR maintiendra les politiques et pratiques de sécurité du personnel restreignant l’accès aux données personnelles, y compris des ententes écrites de confidentialité et des vérifications d’antécédents conformes à la Loi sur la protection des données pour tout le personnel ayant accès aux données personnelles ou qui maintient, mettent en œuvre ou administrent le programme de sécurité de l’information et les mesures de protection de RadiusXR; |
| 4 | Journalisation et surveillance. RadiusXR enregistrera et surveillera les détails de tous les accès aux données personnelles sur les réseaux, systèmes et appareils exploités par RadiusXR. Les systèmes de journalisation et de surveillance de RadiusXR doivent respecter les normes généralement acceptées et RadiusXR doit conserver tous les journaux d’accès pendant au moins 90 jours; |
| 5 | Contrôle des logiciels malveillants. RadiusXR maintiendra des contrôles raisonnables et à jour pour protéger tous les réseaux, systèmes et appareils qui accèdent aux données personnelles contre les logiciels malveillants et non autorisés; |
| 6 | Correctifs de sécurité. RadiusXR maintiendra les contrôles et processus conçus pour s’assurer que les réseaux, systèmes et appareils (y compris les systèmes d’exploitation et applications) qui accèdent aux données personnelles sont à jour, incluant une mise en œuvre rapide de tous les correctifs de sécurité lorsqu’ils sont émis; |
| 7 | Gestion du compte utilisateur. RadiusXR doit mettre en œuvre des procédures raisonnables de gestion des comptes utilisateurs afin de créer, modifier et supprimer de façon sécuritaire les comptes utilisateurs sur les réseaux, systèmes et appareils de RadiusXR, y compris la surveillance des comptes redondants et la garantie que les détenteurs d’informations autorisent correctement toutes les demandes de comptes utilisateurs : |
| 8 | Sécurité des infrastructures et des réseaux. RadiusXR doit mettre en œuvre et maintenir la confidentialité en mettant en œuvre la sécurité des points de terminaison, les protocoles de sécurité réseau, les services d’identification réseau, les services de chiffrement des données, l’intégrité par les services de pare-feu, la gestion de la sécurité des communications, les services de détection d’intrusion et les systèmes de prévention des intrusions, des garanties de disponibilité des données (sauvegardes, systèmes de disques redondants), des processus de sécurité fiables et interopérables ainsi que des mécanismes de sécurité réseau; |
| 9 | Architecture et conception de la sécurité. RadiusXR doit appliquer des politiques de sécurité appropriées qui peuvent être appliquées à tous les aspects de l’infrastructure informatique de RadiusXR (par exemple, stations de travail, serveurs, réseau de stockage, commutateurs, feux d’artifice, routeurs, visualisation ou informatique en nuage). |
| 10 | Planification de la continuité des activités et de la reprise après sinistre. RadiusXR doit mettre en place des systèmes techniques et organisationnels appropriés pour préserver et poursuivre les activités après une catastrophe. |
| 11 | Exigences de chiffrement. En utilisant une norme de chiffrement raisonnable, RadiusXR chiffrera toutes les données personnelles qui sont (a) stockées sur des appareils portables ou des supports électroniques portables; (b) stocké ou maintenu en dehors des installations du client ou de RadiusXR, à l’exception des documents papier; ou (c) transféré sur tout réseau autre qu’un réseau interne RadiusXR appartenant et géré par RadiusXR. |
| 12 | Contrôles d’accès. RadiusXR : (a) maintiendra des contrôles raisonnables pour s’assurer que seules les personnes ayant un besoin légitime d’accéder aux données personnelles en vertu de l’Accord auront cet accès; (b) mettre fin rapidement à l’accès d’une personne aux données personnelles lorsque cet accès n’est plus requis pour la performance en vertu de l’Accord; (c) consigner les détails appropriés concernant l’accès aux données personnelles sur les systèmes et équipements de RadiusXR, et conserver ces enregistrements pendant au moins 90 jours; et (d) être responsable de tout accès non autorisé aux données personnelles sous la garde ou le contrôle de RadiusXR ou sous la garde ou le contrôle du sous-processeur. |
| 13 | Formation et supervision. RadiusXR offrira une formation et une supervision raisonnables et continues sur la confidentialité et la protection de l’information à tout le personnel de RadiusXR qui accède aux données personnelles. |
| 14 | autres : |
Partie 3 : Liste des sous-processeurs
| Type de | sous-processeur Emplacement | de service Plus d’informations | |
Amazon Web Services (AWS) – Outils de sécurité et de surveillance (inclut CloudTrail, GuardDuty, Security Hub, Config, Inspector, et CloudWatch) | Surveillance de la sécurité basée sur le cloud, audit de conformité, suivi de configuration, détection de vulnérabilités (cloud/IaaS) | US | AWS Trust Center : https://aws.amazon.com/trust-center/ |
| Base de données MongoDB Cloud (cloud/SaaS) | US | Centre de confiance MongoDB : | |
| AWS SES (Pinpoint) | Livraison de courriels (cloud/SaaS) | États-Unis | Voir AWS ci-dessus |
| MailChimp (Intuit) | Fournisseur de services de courriel (SaaS) | États-Unis | MailChimp DPA : https://mailchimp.com/legal/privacy- |
| Workspace Productivité / courriel (SaaS) | US | Centre de confiance Google Cloud : | |
| Twilio | Communications APIs (SaaS) | US | Twilio Trust Center : |
| Power BI (Microsoft) | Analytics / BI Cloud (SaaS) | US | Microsoft Trust Center : |
| Mixpanel | Analyse utilisateur, suivi d’événements (SaaS) | US | Mixpanel DPA : |
| Outils de support à la clientèle Zendesk (SaaS) | US | Zendesk Trust Center : | |
| Outils de support à la clientèle Salesforce (SaaS) | US | Centre de confiance Salesforce : | |
| Outils du support à la | clientèle Knox | aux États-Unis | https://www.samsungknox.com/en/knox-platform |
| Intuit Quickbooks | Financial Services | US | https://www.intuit.com/compliance/ |
| Pangea | Analyse utilisateur, suivi d’événements (SaaS) | US | https://trust.pangea.cloud/ |
ANNEXE I
Exportateur(s) de données(s) : Client
Rôle: Contrôleur
Importateur(s) de données :
Nom : RadiusXR, Inc.
Nom et coordonnées de l’UE : MedEnvoy Global BV, Prinses Margrietplantsoen 33, Suite 123, 2595 AM Hague, Pays-Bas.
Courriel de contact : vigilance@medenvoyglobal.com.
Activités pertinentes aux données transférées en vertu des présentes clauses : Fourniture des services RadiusXR tels que décrits dans l’Accord.
Rôle : Processeur
Catégories de personnes concernées dont les données personnelles sont transférées
Les catégories décrites à l’annexe 1 de la DPA entre les parties.
Catégories de données personnelles transférées
Les catégories décrites à l’annexe 1 de la DPA entre les parties.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que par exemple une limitation stricte de l’objectif, des restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
Les catégories décrites à l’annexe 1 de la DPA entre les parties.
La fréquence du transfert (par exemple, si les données sont transférées de façon ponctuelle ou continue).
Continue pendant toute la durée du traitement selon la DPA.
Nature du traitement / Objectif(s) du transfert de données et du traitement ultérieur
La nature et l’objectif du traitement sont décrits à l’annexe 1 de la DPA.
La période pendant laquelle les données personnelles seront conservées, ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période
Les données personnelles doivent être conservées pendant l’exécution de l’accord et pour une période raisonnable après la résiliation afin d’effectuer la restitution appropriée et/ou la destruction des données personnelles conformément à l’entente et/ou à la loi applicable.
Pour les transferts vers des (sous-)processeurs, précisez également le sujet, la nature et la durée du traitement
Le sujet et la nature décrits à l’annexe 1 de la DPA entre les parties.
Identifier l’autorité de surveillance compétente conformément à l’article 13
L’autorité de protection des données du pays des Pays-Bas.
