Modèle de contrat de sous-traitant

Contrat de sous-traitance de données personnelles

Le présent contrat est conclu entre les personnes désignées ci-dessous.

Ci-

Dr après désigné

le responsable du traitement.

(Préciser prothèsiste, Comptable, Secrétariat médical) Ci-après désigné le sous-traitant.

Préambule

Docteur est responsable du

traitement de données personnelles régi par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Ce règlement est ci-après désigné le RGPD.

Le traitement de données personnelles est également régi par la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée).

Le responsable du traitement souhaite confier au sous-traitant un traitement de données personnelles, conformément à l’article 28 du RGPD. Les parties s’engagent à se conformer strictement au RGPD, qui

s’appliquera en toute circonstance, nonobstant toute éventuelle stipulation contraire.

Déclaration du sous-traitant

Le sous-traitant déclare qu’il présente les garanties nécessaires quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

Caractéristiques du traitement de données personnelles

Le responsable du traitement en définit comme suit les caractéristiques.

Objet du traitement – Le traitement de données à caractère personnel de santé est strictement nécessaire à la relation liant le professionnel de santé à son patient dans le cadre de soins et de prothèse dentaires.

Durée du traitement – La durée du traitement des données à caractère personnel dépend de la durée de soins, à laquelle s’ajoute la durée du délai légal de conservation du dossier médical du patient se référant au code de la santé publique, notamment aux fins d’archives.

Nature et finalité du traitement – Les traitements de données à caractère personnel sont consentis par le patient. L’ensemble des pratiques ayant trait aux finalités de traitement de données à caractère personnel de santé s’inscrit par la convention liant le praticien à son patient.

Type de données à caractère personnel – Caractère personnel et caractère personnel de santé comme définit par le RGPD.

Catégories de personnes concernées par la sous-traitance – Comptable et/ou secrétariat médical externalisé ou prothésistes.

Obligations et droits du responsable du traitement

Le responsable du traitement détermine les finalités et les moyens du traitement de données personnelles.

Le responsable du traitement garantit que le traitement est licite et que les données personnelles sont collectées et traitées par ses soins conformément au RGPD et à la loi française. Le responsable du traitement garantit en particulier qu’il fournit les informations requises aux personnes concernées par les opérations de traitement, au moment de la collecte de données lorsque des données à caractère personnel

sont collectées auprès de la personne concernée, ou dans les délais requis lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, conformément aux articles 12 à 14 du RGPD. Le responsable du traitement garantit le sous-traitant contre les conséquences d’un éventuel manquement du responsable du traitement à ses obligations au titre du RGPD.

Le responsable du traitement, le praticien, informe le patient de ses droits d’accès, de rectification, d’effacement, de limitation, de notification, de portabilité et d’opposition. Le sous-traitant garanti de tout mettre en œuvre pour permettre au praticien faire droit aux demandes de son patient dans les meilleurs délais.

Le responsable du traitement communiquera au sous-traitant toutes les informations nécessaires pour lui permettre d’effectuer ses services en conformité avec le RGPD et la loi française.

Obligations du sous-traitant

Le sous-traitant ne détermine en aucun cas les finalités et les moyens du traitement

Le traitement des données à caractère personnel faisant l’objet de la présente convention ne peut être que celui prévu par le présent contrat. Aucun traitement dérogeant ne peut être exercé sans autorisation préalable du responsable du traitement avec le consentement préalable du patient.

Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers à l’Union européenne ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union européenne ou du droit de l’État membre de l’Union européenne auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Le sous-traitant est soumis au secret professionnel et à la confidentialité des données traitées dans l’exécution contractuelle le liant au professionnel de santé cosignataire.

Le sous-traitant prend toutes les mesures requises à la sécurité du traitement en vertu de l’article 32 du RGPD.

Le sous-traitant tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées par le traitement le saisissent en vue d’exercer leurs droits prévus au chapitre III du RGPD.

Le sous-traitant aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition du sous- traitant.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation des principes issus du RGPD ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

Conservation et destruction des données

Selon le choix du responsable du traitement, le sous-traitant supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que celles-ci servent à faire valoir des droits en cours, ou en application du droit de l’Union européenne ou du droit applicable d’un État membre n’exige la conservation des données à caractère personnel.

Audit

Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par la législation en vigueur, notamment pour la réalisation d’audits, des inspections, et de contrôles des organismes compétents.

Autre sous-traitant

Le sous-traitant respecte les conditions suivantes pour recruter un autre sous-traitant.

Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements. Le recrutement ne peut se faire

qu’intuitu personae avec acceptation du responsable du traitement sur des taches définies conjointement.

Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données et de confidentialité que celles fixées dans le présent contrat, sont imposées à cet autre sous-traitant par contrat ou le cas échéant au moyen d’un autre acte juridique au titre du droit de l’Union européenne ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Lorsque cet autre sous- traitant ne remplit pas ses obligations en matière de protection des données et de confidentialité, le sous-traitant initial demeure ~~pleinement~~ responsable devant le responsable du traitement.

Durée

Le présent contrat est applicable pour la durée de l’ensemble des relations contractuelles liant le sous-traitant au praticien cosignataire. Le présent contrat s’appliquera à tout traitement de données à caractère personnel jusqu’au terme de ce présent contrat.

De la nature même des données traitées, un manquement avéré à une des obligations prévues dans ce présent contrat de sous-traitance octroie une faculté de résiliation unilatérale de la part du responsable de traitement. Ce dernier se réservant la possibilité d’actions devant les juridictions et institutions compétentes.

Droit applicable et clause attributive de compétence

Le présent contrat est soumis au droit français et à la compétence exclusive des juridictions territorialement compétentes pour la ville de

, France.

Fait à Le

Signature et cachet du sous-traitant.

Document Metadata

Table of Contents

Modèle de contrat de sous-traitant

Document Metadata