CONTRAT DE SOUS-TRAITANCE
CONTRAT DE SOUS-TRAITANCE
EXEMPLAIRE À CONSERVER À L’OFFICINE
ENTRE
………………………………………………….., pharmacien-titulaire de la pharmacie.…………………………………………………..
ayant son siège social à ,
inscrit auprès de la Banque Carrefour des entreprises sous le numéro …………………………………………………., et ayant comme numéro d’identification APB ,
ci-après dénommé le « Responsable du traitement ».
Les coordonnées de la personne de contact pour la protection des données de la pharmacie : (ADRESSE MAIL) :
……………………………………………………………………………………………………
ET
L’ OT UPHOC, office de tarification avec qui le pharmacien titulaire signe ou a signé un acte d’adhésion, du ressort de l’Union Pharmaceutique du Hainaut Occidental et Central (UPHOC) ayant son siège social à Frameries, inscrit auprès de la Banque Carrefour des entreprises sous le numéro 0408 129 478, représentée valablement par Xxxxxxx Xxxxxx
ci-après dénommé « Le Sous-traitant ».
Chacune appelée individuellement ci-après « la Partie » et collectivement « les Parties »,
IL EST DECLARÉ CE QUI SUIT :
a) Ce contrat concerne le traitement de Données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement et contient le cadre contractuel tel que requis par l'article 28 du RGPD. Ce contrat se base sur l’acte d’adhésion à l’office de tarification existant qui est/a été conclu par le pharmacien titulaire.
b) Les Données à caractère personnel sont traitées de la façon suivante : la collecte, la conservation, la mise à jour, la modification, l’effacement, la consultation, l’utilisation et le transfert.
c) Les Données à caractère personnel sont traitées pour les finalités suivantes : la tarification, la facturation, les contrôles, le paiement, l’envoi, la gestion des clients, l’administration diverse, le partage d’information, conservation/archivage et enregistrement, livraison de données à des fins de statistiques.
d) Le Sous-traitant traitera les catégories de données à caractère personnel au profit du Responsable du traitement comme indiqué dans l'Annexe 1 de ce contrat.
e) Il s’agit des catégories suivantes de personnes concernées : patient, prescripteur et pharmacien-titulaire.
f) Aux fins du présent contrat, on entend par « Données à caractère personnel » les données désignées comme tels dans le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des Données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données – ci-après dénommé « RGPD ») et les lois et réglementations qui exécutent d’ailleurs ce règlement.
Par la signature du présent contrat, les parties marquent leur accord sur les conditions reprises aux pages suivantes, en ce compris les annexes.
Fait à…………………………………, le …………………en 2 exemplaires, chaque Partie reconnaissant avoir reçu un exemplaire.
........................................................
(signature)
Le Responsable du traitement, Le Sous-traitant, Pharmacien Xxxxxxx Xxxxxx
Pharmacien-titulaire Directeur Général de l’UPHOC
Article 1 – Obligations du Sous-traitant
1.1. Le Sous-traitant agit exclusivement sur ordre du Responsable du traitement sur base des instructions écrites et du présent contrat. Tout autre utilisation des données à caractère personnel par le sous- traitant, de toute forme n’est pas permise. Le sous-traitant ne peut pas utiliser ou permettre l’utilisation du traitement des données à caractère personnel que si cela est nécessaire pour l’exécution du contrat avec le sous-traitant. Ces instructions écrites contiennent entre-autres l’objet du traitement, la nature et le but du traitement, le type de données à caractère personnel et les catégories concernées. Les instructions écrites concrètes sont reprises dans l’Annexe 2 du contrat avec le sous-traitant.
Si le Sous-traitant ne peut pas respecter la législation qui lui est applicable, les instructions du responsable du traitement et ses obligations en vertu de ce contrat et a des raisons de croire qu’on l’empêche de le faire, préalablement au traitement, il en avertit le responsable du traitement. Dans ce cas, le responsable du traitement a le droit de suspendre l’accès ou la communication des données et/ou de résilier le contrat.
1.2. Le Sous-traitant confirme qu’il a pris et continuera à prendre des mesures de sécurité organisationnelles pour assurer un niveau de sécurité adapté au risque, compte tenu des mesures techniques et organisationnelles appropriés ainsi que de la nature, la taille, le contexte et les finalités de traitement et les divers risques et dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Ces mesures sont précisées à l'Annexe 3 du présent contrat.
1.3. Le Sous-traitant veille à ce que les personnes à son service qui sont autorisées à traiter les Données à caractère personnel s'engagent à respecter la confidentialité des Données à caractère personnel. Le sous-traitant peut donner accès à ses employés aux données à caractère personnel, mais l’accès doit être strictement limité aux employés qui doivent avoir accès aux données à caractère personnel afin de permettre au sous-traitant d’exécuter ses obligations contractuelles reprises dans le présent contrat de sous-traitance. Le sous-traitant avertira par écrit les employés concernés du caractère confidentiel des données à caractère personnel et du cadre légal et contractuel en matière de données à caractère personnel, et imposera aux collaborateurs concernés contractuellement une obligation de confidentialité.
1.4. Le Sous-traitant garantit que, compte tenu de la nature du traitement, au moyen de mesures techniques et organisationnelles appropriées, il aidera autant que possible le Responsable du traitement à s'acquitter de ses obligations afin de répondre aux demandes de l’exercice des droits par la personne concernée.
Dans ce cadre, le Sous-traitant informera immédiatement le Responsable du traitement de toute demande directe émanant d'une personne concernée, sans répondre lui-même à la demande, sauf s’il en a reçu une autorisation ou s’il en a été mandaté par le Responsable du traitement.
1.5. Le Sous-traitant garantit que, compte tenu de la nature du traitement et des informations dont il dispose, il assistera le Responsable du traitement dans le respect des obligations relatives à la sécurité des Données à caractère personnel telles que décrites aux articles 32 à 34 du RGPD, relatives à l’évolution de l’impact de la protection des données telle que décrite à l'article 35 du RGPD et à la consultation préalable telle que décrite à l'article 36 du RGPD. Cela comprend entre autres l’engagement du sous-traitant à assister le responsable du traitement dans l’exécution de ses obligations légales relatives au RGPD, en ce qui concerne les finalités du présent accord, tels qu'elles sont définies à l'alinéa c). Dans ce contexte, le sous- traitant répondra dans un délai raisonnable à toute demande d’assistance du responsable du traitement. Si une demande ou instruction du responsable du traitement constitue une infraction au RGPD, il en avertira immédiatement le responsable du traitement.
1.6. Le Sous-traitant garantit qu'il ne transmettra pas de Données à caractère personnel ou ne les rendra pas disponibles ou accessibles à des pays ou à des organisations internationales en dehors de l'Espace économique européen, à moins qu'il n'ait reçu des instructions du Responsable du traitement en ce sens.
1.7. Le Sous-traitant ne conservera pas les Données à caractère personnel plus longtemps que nécessaire pour l'exécution de ce contrat. Dès que les services de traitement sont terminés, le Sous- traitant, selon le choix du Responsable du traitement, supprime les données personnelles ou les renvoie au Responsable du traitement.
Le Sous-traitant détruira également les copies existantes des Données à caractère personnel. À la demande du Responsable du traitement, le Sous-traitant confirmera la suppression de toutes les copies des Données à caractère personnel.
Si la conservation des Données à caractère personnel est obligatoire en vertu d’une loi ou règlementation, le Sous-traitant en informera le Responsable du traitement, sauf si cette loi ou règlementation interdisent cette divulgation.
1.8. Le Sous-traitant confirme expressément que, sauf si c’est strictement nécessaire pour l’exécution de ce contrat, il ne transfèrera pas à un tiers les données à caractère personnel reçues du Responsable du traitement ni aucune information y relative, qu'il n'utilisera pas et/ou ne traitera à aucun moment les Données à caractère personnel pour ses propres besoins ou finalités et qu'il ne les copiera pas.
L’interdiction du traitement des données à caractère personnel par un tiers n’est pas applicable lorsque le traitement est obligatoire pour le sous-traitant sur base de la législation belge ou européenne qui lui est contraignante. Dans un tel cas, le sous-traitant avertit préalablement et par écrit le responsable du traitement de la demande d’accès, de la règle juridique contraignante y relative et de la suite qui sera donnée par le sous-traitant à cette demande, à moins que cette notification légale ne soit interdite pour des raisons impérieuses de l’intérêt général.
Article 2 – Aucun transfert de droits ou sous-traitance
2.1 Le Sous-traitant n'a pas le droit de céder ou de transférer à un tiers quelque droit et / ou obligation en vertu du présent contrat sans le consentement écrit préalable du Responsable du traitement.
2.2. Le Sous-traitant ne confie pas ses engagements à un Sous-traitant (via un contrat de sous-traitance) pour l'exécution de tout ou Partie de ce contrat sans le consentement écrit et préalable du Responsable du traitement.
2.3 Le consentement écrit du Responsable du traitement mentionné aux points 2.1 et 2.2 est considéré comme généralement accordé. Cela signifie que, à l’exception de sous-traitance d’activités de traitement non spécifiques, le Sous-traitant informe le Responsable du traitement de tout changement qu'il a l'intention de faire concernant l'ajout ou le remplacement d’un Sous-traitant. Le Responsable du traitement a la possibilité de s'opposer à ces changements. Cette opposition doit être motivée adéquatement.
2.4 Le Sous-traitant ne peut être exempté de ses obligations en vertu du présent contrat en concluant un contrat de sous-traitance pour l'exécution d’une partie de ce contrat. Les services de traitement par le Sous-traitant doivent être exécutés dans le cadre du présent contrat. Sur simple demande du Responsable du traitement, le Sous- traitant doit immédiatement lui fournir une copie de tout contrat de sous-traitance, à l'exception, le cas échéant, de l'arrangement financier entre le Sous-traitant et son Sous-traitant. Chaque sous- traitant doit être soumis au moins aux mêmes obligations dont le sous-traitant est tenu vis-à-vis du responsable du traitement dans le cadre du contrat de sous-traitance.
Article 3 - Audit
A la demande du responsable du traitement, le sous-traitant donnera son accord et collaborera aux audits et inspections de la sous-traitance des données à caractère personnel par le sous-traitant. Le Responsable du traitement pourra faire lui-même ces audits et inspections ou les faire exécuter par un tiers.
Article 4 - Notification d’incident
Lorsqu’il y a violation ou il y a eu violation des données à caractère personnel, le Sous-traitant avertira immédiatement dans les 24 heures dès que le sous-traitant a pris connaissance de la violation, il en informe par téléphone et par e-mail de façon détaillée la personne de contact pour la protection des données du Responsable du traitement. Le Sous-traitant dispose d’un plan d’action approprié concernant le traitement et la prise en considération de violations. Sur simple demande, le Responsable du traitement recevra l’accès à ce plan. Accessoirement le Sous-traitant soumettra tout incident (ou supposé incident) concernant les activités de traitement du Responsable du traitement ainsi que les mesures prises sur simple demande du responsable du traitement. En aucun cas, le sous- traitant ne procèdera, de son propre chef, à la communication de violation aux personnes concernés et à l’autorité de surveillance.
Article 5 - Responsabilité
5.1. Le Sous-traitant est responsable des dommages matériels ou immatériels, directs ou indirects résultant du non-respect de ce contrat ainsi que des dispositions qui sont ou qui ressortent du GDPR sans préjudice de la responsabilité sur base d'autres règles, dans la mesure où cela relève de son activité. De même le Sous-traitant sera responsable de dommages éventuels résultant d’une violation durant le traitement des données.
5.2. Le Responsable du traitement ne peut pas se soustraire à sa responsabilité en se prévalant du non-respect des obligations par le Sous- traitant. Si la responsabilité du Responsable du traitement est maintenue, celui-ci peut exercer un recours auprès du Sous-traitant si le Sous-traitant est reconnu responsable du manquement au respect des dispositions qui sont ou qui ressortent du RGPD, du présent contrat ou de toute autre réglementation applicable.
Article 6 - Désignation d’une personne de contact
6.1. Le Sous-traitant désigne une personne de contact pour la protection des données.
6.2. Le Sous-traitant transmettra les coordonnées de la personne de contact pour la protection des données au Responsable du traitement au moyen de l’Annexe 3 du présent contrat.
Article 7 - Registre des activités de traitement
7.1. Le Sous-traitant tient un registre de traitement de toutes les activités de traitement qu’il exécute pour le compte du Responsable du traitement.
7.2. Ce registre doit contenir le nom et les coordonnées du Sous-traitant, du Responsable du traitement et du délégué à la protection des données.
Accessoirement, ce registre doit contenir les différentes catégories de traitement et, le cas échéant, les transferts internationaux des données et la description générale des mesures organisationnelles et techniques prises.
Article 8 - Code de conduite et certification
8.1. Quand le Sous-traitant adhère à un code de conduite conformément à l’article 40 du RGPD, le Sous-traitant respecte les dispositions de ce code de conduite en tout temps. Sur simple demande du Responsable du traitement, le Sous-traitant lui transmettra une copie de ce code de conduite.
8.2. Si le Sous-traitant obtient une certification conformément à l’article 42 du RGPD, ceci permet de démontrer que le Sous-traitant effectue les opérations de traitement des données à caractère personnel conformément au RGPD. L’éventuel mécanisme de certification applicable pour la protection des données et labels et marques en la matière sont transmis au Responsable du traitement. En aucun cas, une éventuelle certification du Sous-traitant ne dispense celui-ci des dispositions du présent contrat de sous-traitance.
Article 9 – Durée du contrat
9.1 Ce contrat est conclu pour une période équivalente à la durée du mandat pour la tarification.
9.2 A la fin de ce contrat, le Sous-traitant effacera, sur demande active et au libre choix du Responsable du traitement, toutes les données à caractère personnel ou les lui rendra et supprimera les copies existantes sauf si la conservation est une obligation légale ou réglementaire.
Article 10 – Divers
10.1 Si une ou plusieurs dispositions du présent contrat sont déclarées nulles ou irréalisables, les Parties remplaceront la (les) disposition (s) susmentionnée (s) par (a) des dispositions valables qui respectent autant que possible les objectifs économiques, commerciaux ou autres. Les autres dispositions de ce contrat restent en vigueur.
10.2. Le simple fait qu'une Partie n'insiste pas sur le strict respect d'une disposition du contrat ou ne l'applique pas, ne peut être interprété comme une renonciation aux droits de cette Partie sauf confirmation écrite de sa part de cette renonciation.
Article 11 – Droit applicable et tribunaux
11.1 Cette convention est régie par le droit belge.
11.2 Tous les litiges relatifs à l'application du présent contrat sont soumis au tribunal compétent dans l’arrondissement où est établi le siège social du Responsable du traitement.
Annexe 1 : Catégories de données à caractère personnel Annexe 2 : Instructions écrites du responsable du traitement
Annexe 3 : Mesures de sécurité et données de la personne de contact pour la protection des données du Sous-traitant
Annexe 1 : Catégories de données à caractère personnel
Les catégories de données à caractère personnel suivantes sont traitées par le sous-traitant :
Données d’identification du pharmacien-titulaire Numéro NISS du pharmacien-titulaire
Numéro INAMI du pharmacien-titulaire
Données d’identification des patients et des prescripteurs Numéro NISS des patients
Données concernant la santé des patients Données relatives aux médicaments des patients Données d’assurabilité des patients
Données financières Numéro de TVA Données statistiques
Numéro de dossier et situation actuelle des patients
Annexe 2 : Instructions écrites du responsable du traitement
Les instructions écrites du responsable du traitement, telles que mentionnées dans l’article 1.1 du contrat sont reprises ci-dessous :
Business – procédure de traitement | Base de traitement |
Traitement de l’acte d’adhésion à l’office de tarification et information complémentaire en rapport avec le pharmacien-titulaire/de la pharmacie. | Principalement pour l’exécution du contrat, gestion de la clientèle Obligation légale (AR 15.06.2001) |
Les données de la pharmacie et/ou du pharmacien titulaire sont utilisées afin d’envoyer des mails dans le cadre de leur contrat avec l’OT et de l’information spécifique au secteur. | Principalement pour l’exécution du contrat. Intérêt légitime |
Envoi et retour des prescriptions papier, preuves de prescriptions électroniques et documents similaires par la poste, boîte aux lettres, courrier, service externe d’une pharmacie vers un OT, pour un contrôle de tarification. | Principalement pour l’exécution du contrat. Obligation légale (AR 15.06.2001) |
Recueillir les prescriptions électroniques pour contrôle de la tarification à partir de RAOTD. | Principalement pour l’exécution du contrat. Obligation légale (AR 15.06.2001) |
Recevoir et traiter les fichiers de tarification électroniques de la pharmacie, en vue de contrôle de la tarification et à des fins de facturation. | Principalement pour l’exécution du contrat. Obligation légale (AR 15.06.2001) |
Les rapports, factures et aperçus en rapport avec la tarification et facturation sont transmis à la pharmacie. Ces rapports contiennent des informations de tarification (parfois en détails avec les données à caractère personnel, information sur les médicaments) et/ou des données financières en rapport avec les résultats de la tarification pour la pharmacie. Ils sont transmis par la poste, par mail et/ou par un portail. | Principalement pour l’exécution du contrat. Obligation légale (instructions pour les offices de tarification) |
Les prescriptions électroniques sont archivées via RAOTD par la pharmacie auprès de l’OT. | Principalement pour l’exécution du contrat. Obligation légale (AR 21 janvier 2001, AR 21 janvier 2009) |
Les pharmaciens peuvent adresser toutes leurs questions/plaintes générales ou spécifiques à l’helpdesk de l’office de tarification. | Principalement pour l’exécution du contrat. |
Le flux de données et de facturation vers l’INAMI, les mutualités, les CPAS, les administrateurs, le service militaire, la police, la SNCB, Direction Victimes de guerre CAAMI (INIG), HR Railcare et autres institutions d’assurance (et retour) en rapport avec le remboursement. Ces données sont transmises d’ailleurs à l’INAMI à des fins de statistiques. | Obligation légale (AR du 15 juin 2001) Principalement pour l’exécution du contrat |
Transmettre des données anonymes à l’APB et l’IPHEB dans le cadre de la défense professionnelle. | Obligation légale (AR du 15 juin 2001) Principalement pour l’exécution du contrat |
Transmettre des informations en rapport avec la tarification et la facturation aux services de contrôle compétents. | Obligation légale (AR du 15 juin 2001) |
Les OT’s transmettent des listes de leurs clients et coordonnées à l’AFMPS, l’INAMI, … dans le cadre de primes, facturation annuelle, etc. | Obligation légales |
Mandats pour la déduction de la TVA, recouvrement de factures de tiers | Principalement pour l’exécution du contrat |
Sur demande explicite du pharmacien, réception par un tiers (ex. comptabilité) d’informations financières et de données statistiques concernant la pharmacie. Cela sans la mention des données du patients. | Principalement pour l’exécution du contrat |
Annexe 3 : Mesures de sécurité et données de la personne de contact pour la protection des données du Sous-traitant
1. Les mesures techniques et organisationnelles nécessaires conformément à l'article 1.2 du contrat sont énumérées ci-dessous :
(COMPLETER avec une ou plusieurs mentions de la liste ci-dessous) Politique de sécurité
Organisation de la sécurité de l'information
Nomination d'un délégué à la protection des données / consultant en sécurité / point de contact Exigences de sécurité pour les employés internes
Exigences de sécurité pour les employés externes Gestion des biens de l’entreprise
Sécurité d'accès Cryptographie
Sécurité physique et sécurité de l’environnement : tels que les armoires fermées, les espaces, ... Sécurité opérationnelle
Sécurité de la communication
Achat, développement et maintenance de systèmes d'information Relations avec les fournisseurs et les délégués
Gestion des incidents de sécurité de l'information Gestion de la continuité
Conformité et compliance
Infractions relatives aux données : Procédures de notification d'informations Autre ]
2. La personne de contact pour la protection des données est celle qui se trouve sur le site web du responsable du traitement. L’adresse mail de contact est la suivante : xxxxx@xxxxx.xx