• Panier vide

Avenant RGPD DIABNEXT

 Avenant RGPD DIABNEXT 

 Article 1 – Traitements mis en oeuvre 

1.1 Finalité de traitement 

La société DIABNEXT SAS ( ci-après « DIABNEXT ») déclare développer des applications mobiles pour smartphones et des plateformes web destinées aux patients atteints de diabète (les « Patients ») ainsi qu’aux professionnels de Santé qui peuvent bénéficier des services de la plateforme de suivi de patients « DIABNEXT PRO » (ci-après « la plateforme »). 

La plateforme permet au professionnel de santé d’effectuer un acte de télésurveillance qui s’inscrit dans le respect des dispositions prévues par arrêté du 11 octobre 2018 décrivant les cahiers des charges des expérimentations relatives à la prise en charge des patients diabétiques par télésurveillance mises en oeuvre sur le fondement de l’article 54 de la loi n° 2017-1836 de financement de la Sécurité Sociale pour 2018 

La plateforme permet d’accéder aux données des patients utilisant l’application mobile DIABNEXT. Ce service est conçu pour permettre aux professionnels et aux équipes médicales en charge du suivi du patient et au patient lui-même de gérer le suivi de son diabète. Elle permet d’accéder à distance aux données du patient présentes dans les serveurs de DIABNEXT SAS hébergés par la société CLARANET, hébergeur certifié de données de santé, conformément aux dispositions des articles L1111-8 et R. 1111-9 à R. 1111-15-1 du code de la santé publique. 

Les services de la plateforme DIABNEXT et l’application mobile sont utilisés à des fins de suivi du diabète des patients utilisateurs de l’application et de télésurveillance par les professionnels de santé habilités par le centre médical. 

1.2 Catégorie des données collectées 

De fait, la plateforme traite les données à caractère personnel suivantes : 

– Données d’identification 

– Données de contact 

– Données de santé 

1.3 Durée de conservation 

DIABNEXT conserve les données à caractère personnel pendant toute la durée d’activation du compte personnel de l’Utilisateur. 

L’Utilisateur a la possibilité de fermer son espace personnel à tout moment en adressant une demande par mail à DIABNEXT à l’adresse suivante : contact@diabnext.com ou en supprimant directement son compte depuis son espace personnel Utilisateur. 

Si l’Utilisateur utilise l’Application Mobile à des fins de télésurveillance médicale avec l’intervention d’un médecin ou d’un professionnel de santé : 

DIABNEXT conservera les données à caractère personnel de l’Utilisateur pendant une durée de 6 mois à compter de la fermeture du compte de l’Utilisateur afin de permettre au centre médical et à ses professionnels de santé habilités de pouvoir récupérer les données de santé de l’Utilisateur et de pouvoir assurer son suivi médical sans l’utilisation de l’Application Mobile. 

Une fois ce délai de 6 mois écoulé, DIABNEXT appliquera la politique d’archivage d’une durée de 24 mois puis supprimera ou anonymisera les données. 

Article 2- Responsabilités du Responsable de traitement et du Sous-Traitant. 

En sa qualité de Responsable de Traitement au sens de l’article 4 et 24 du Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données en date du 27 avril 2016 ci-après « RGPD », le Centre Médical est Responsable de Traitement des données médicales des patients ayant recours aux services de DIABNEXT. À ce titre, le Centre Médical doit s’assurer que le traitement réalisé est conforme à la législation en matière de protection des données à caractère personnel. DIABNEXT, en sa qualité de Sous-Traitant au sens du RGPD n’a pas vocation à déterminer les finalités et les moyens du traitement. La relation contractuelle est encadrée par l’article 28 du RGPD. 

Le Centre Médical doit également s’assurer que la télésurveillance du diabète respecte les articles R6316-1 et suivants du code de la santé publique ainsi que les référentiels de sécurité visés à l’article L1110-4-1 du même code. 

Dans ce contexte, le Centre Médical gère les données à caractère personnel des patients utilisateurs du système DIABNEXT PRO et complète leur dossier médical en sa qualité de responsable de traitement. 

DIABNEXT traite les données des patients et des professionnels de santé nécessaires au fonctionnement de la plateforme DIABNEXT PRO et fait appel à un hébergeur certifié de données de santé conformément à l’article L1111-8 du code de la santé publique. 

Article 3- Respect des obligations de sécurité informatique 

Pour DIABNEXT, les seules personnes habilitées à accéder aux données Patients sont les membres de ses équipes techniques et de celles de son hébergeur de données de santé déclaré. 

Pour le Centre Médical, seules les équipes de ce dernier et partenaires médico-sociaux et médico-techniques invités par le Centre Médical pourront avoir accès aux données des patients en accord avec la politique interne du Centre Médical concernant la protection des données à caractère personnel et des patients. 

En tant que Sous-Traitant, DIABNEXT s’engage à présenter des garanties suffisantes quant à la mise en oeuvre de mesures de sécurité techniques et organisationnelles de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées, en particulier les mesures visées à l’article 32 du RGPD. 

DIABNEXT s’engage à fournir des solutions conformes aux spécificités de l’article 2.3 du cahier des charges des expérimentations relatives à la prise en charge par télésurveillance du diabète mises en oeuvre sur le fondement de l’article 36 de la loi n°2013-1203 de financement de la Sécurité Sociale pour 2014, décrivant la solution technique et modifiée le 28 avril 2017, article intégré ci-dessous ainsi qu’inclus dans l’ANNEXE 2 de la présente convention. 

Article 4- Recrutement d’autres sous-traitants 

DIABNEXT s’engage à ne pas recruter un autre sous-traitant sans l’autorisation écrite, préalable, spécifique ou générale du responsable de traitement. Dans le cas d’une autorisation écrite générale, DIABNEXT informera le centre médical de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au centre médical la possibilité d’émettre des objections à l’encontre de ces changements. DIABNEXT s’engage également à ne pas transférer de données hors de l’Union européenne.

Article 5- Assistance 

DIABNEXT s’engage à aider le responsable de traitement par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits. 

Article 6- Conformité RGPD 

DIABNEXT s’engage à aider le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36. En particulier, DIABNEXT s’engage à notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais. 

DIABNEXT s’engage à mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations en sa qualité de Sous-traitant prévues par le règlement susvisé et permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. DIABNEXT s’engage également à informer le responsable si une instruction constitue une violation du règlement ou une autre disposition relative à la protection des données. 

Article 7- Fin de prestation 

Au choix du patient ou du Centre Médical, DIABNEXT devra supprimer ou retourner l’intégralité des données à caractère personnel du patient après la fin de la prestation de services en lien avec les données à caractère personnel, et supprimer de ses serveurs toutes leurs copies existantes, sauf si la législation en matière de protection des données à caractère personnel exige leur conservation par DIABNEXT. 

Le Centre Médical comprend et reconnait que DIABNEXT pourra utiliser les données à caractère personnel dans un format anonymisé ou agrégé pendant la durée de la convention et après son terme pour la réalisation d’analyses, de statistiques ou de recherches scientifiques ainsi que pour l’amélioration du produit DIABNEXT PRO, de telle manière que les patients ne puissent être identifiés.