ADDENDUM AUX CONDITIONS DE SERVICE CONCERNANT LE TRAITEMENT DES DONNÉES

ADDENDUM AUX CONDITIONS DE SERVICE CONCERNANT LE TRAITEMENT DES DONNÉES


Date d'entrée en vigueur : 1er avril 2024


Cet addenda au traitement des données (" DPA ") est un addenda aux conditions de service (" TOS ") entre SHOEBOX Ltd, 000-00 Xxxxxxxx Xx., Xxxxxx, XX X0X 0X0 (" SHOEBOX " ou " Processeur ") et le client souscrivant au logiciel, aux produits et aux services de SHOEBOX conformément aux TOS (" Client " ou " Responsable du traitement "). L'objectif de ce DPA est d'assurer des garanties adéquates en ce qui concerne le traitement des données personnelles et les parties acceptent de se conformer aux dispositions suivantes en ce qui concerne les données personnelles, chacune agissant raisonnablement et de bonne foi.


Cinq annexes sont jointes au présent DPA et en font partie intégrante car elles contiennent la description du traitement des données correspondant aux produits spécifiques utilisés :

● Annexe A-1 : Plate-forme SHOEBOX®. Comprend les modules commercialisés par SHOEBOX sous les noms de SHOEBOX Remote, SHOEBOX Koalys Remote, SHOEBOX Consult, SHOEBOX Koalys Consult, et SHOEBOX Koalys Confirm.

● Annexe A-2 : SHOEBOX® PURETEST

● Annexe A-3 : SHOEBOX® ONLINE

● Annexe A-4 : SHOEBOX® QUICKTEST


1. DÉFINITIONS


Tous les termes en majuscules utilisés dans le DPA mais non définis ci-dessous ont la signification indiquée dans les CGU.


"Affilié" : toute entité qui contrôle directement ou indirectement une partie, qui est contrôlée par elle ou qui est sous contrôle commun avec elle. Aux fins de la présente définition, on entend par "contrôle" la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote d'une entité.


"Lois sur la protection des données applicables" : toutes les lois, réglementations, orientations réglementaires ou exigences applicables dans toute juridiction concernant la protection des données, la vie privée ou la confidentialité des données à caractère personnel traitées en vertu du présent DPA.


Le "responsable du traitement" est l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel. Aux fins du présent DPA, le responsable du traitement est le client.


"violation de données" : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation, l'accès ou tout autre traitement accidentel, non autorisé ou illégal de données à caractère personnel transmises, stockées ou traitées d'une autre manière en vertu du présent DPA.


"Autorité de protection des données" : tout représentant ou agent d'une entité ou d'une agence gouvernementale ayant le pouvoir de faire appliquer les lois applicables en matière de protection des données.


On entend par "personne concernée" une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne.

"Données personnelles" : toute information relative à une personne concernée qui est partagée avec le sous-traitant ou acquise, générée ou traitée d'une autre manière par le sous-traitant pour le compte du responsable du traitement dans le cadre du présent DPA.


On entend par "traitement" toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, le blocage, l'effacement ou la destruction, et telles que définies par les lois applicables en matière de protection des données.


Le terme "sous-traitant" désigne l'entité qui traite les données à caractère personnel pour le compte d'un contrôleur. Aux fins du présent DPA, le sous-traitant est SHOEBOX.


"Sous-traitant" : toute entité qui traite des données à caractère personnel pour le compte d'un sous-traitant.


2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL


2.1 Respect des lois applicables en matière de protection des données et description du traitement. Les deux parties conviennent de se conformer aux lois applicables en matière de protection des données en ce qui concerne le traitement des données à caractère personnel. L'objet, la durée, la finalité et la base juridique du traitement, les types de données à caractère personnel, les catégories de personnes concernées traitées en vertu du présent DPA, ainsi que l'utilisation de cookies et d'outils d'analyse, sont précisés dans les annexes A-1, A-2, etc. pour chaque produit logiciel SHOEBOX.


2.2 Obligations du contrôleur. Les instructions du contrôleur pour le traitement des données personnelles doivent être conformes aux lois applicables en matière de protection des données et il reconnaît que le sous-traitant a le droit de se fier aux instructions du contrôleur en ce qui concerne le traitement des données personnelles. Le contrôleur est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le contrôleur a acquis les données personnelles. Les contrôleurs opérant en France sont tenus de mettre en œuvre un système d'information sur la santé conforme à la PGSSI-S. En accédant au produit, les responsables de traitement opérant en France s'engagent à respecter les référentiels opposables de la PGSSI-S.


2.3 Obligations du sous-traitant. Toutes les données personnelles traitées par le sous-traitant conformément aux CGU et à la présente DPA sont des informations confidentielles et le sous-traitant ne traitera les données personnelles que conformément aux instructions documentées du contrôleur, telles qu'elles sont énoncées dans les CGU et la présente DPA, ou comme le contrôleur l'a autrement indiqué par écrit. Le sous-traitant ne vendra pas les données personnelles traitées dans le cadre des CGU et du présent DPA et ne conservera, n'utilisera ni ne divulguera les données personnelles en dehors de la relation commerciale directe entre le sous-traitant et le contrôleur, sauf si la loi ou une ordonnance valide et contraignante l'exige. Si le sous-traitant estime que le respect des instructions du contrôleur entraînerait une violation des lois applicables en matière de protection des données, il en informera le contrôleur par écrit sans délai. Le sous-traitant met à la disposition du contrôleur toutes les informations nécessaires pour démontrer que le sous-traitant respecte ses obligations en vertu du présent DPA.


2.4 Exigences d'assistance du Processeur. Le sous-traitant assiste le contrôleur en ce qui concerne : le respect des lois applicables en matière de protection des données ; les violations de données suspectées et pertinentes ; les notifications à une autorité de protection des données et les demandes de renseignements auprès de celle-ci ; les notifications aux personnes concernées et les demandes de renseignements auprès de celles-ci ; et l'obligation du contrôleur de procéder à des évaluations de l'impact sur la protection des données et à des consultations auprès d'une autorité de protection des données.

2.5 Utilisation par SHOEBOX des données compilées. SHOEBOX utilise un système automatisé avancé pour garantir l'anonymisation sécurisée des données personnelles. Ceci est réalisé en employant une combinaison de techniques de suppression, de généralisation et/ou d'agrégation. Les données compilées, telles que définies dans les conditions d'utilisation, sont créées en transformant les données de manière à ce que les personnes concernées ne puissent pas être identifiées. SHOEBOX utilise des logiciels tiers, tels que décrits dans l'annexe A correspondante, pour effectuer des analyses complètes sur les données compilées. SHOEBOX utilise et/ou combine des données compilées provenant de l'ensemble de sa clientèle pour : (i) soutenir ses clients ; (ii) comprendre comment ses clients et leurs utilisateurs accèdent et utilisent le logiciel, les produits et les services SHOEBOX ; (iii) comprendre les résultats générés par l'utilisation du logiciel, des produits et des services SHOEBOX par ses clients ; (iv) évaluer la performance du logiciel, des produits et des services SHOEBOX ; (v) effectuer des analyses des données compilées, y compris, mais sans s'y limiter, l'analyse des données géographiques, des données démographiques, du nombre de tests auditifs effectués, du nombre de déficiences auditives constatées, et identifier les tendances dans les données audiologiques ; (vi) déterminer comment apporter des améliorations au logiciel, aux produits et aux services SHOEBOX et développer de nouvelles capacités ; et, (vii) enquêter sur les bogues signalés dans le logiciel et les produits et identifier les clients qui peuvent être affectés par de tels bogues. Le contrôleur accepte par la présente que le processeur dispose d'un droit et d'une licence libres de redevances, mondiaux, irrévocables et perpétuels pour utiliser les données compilées aux fins énoncées dans la présente section 2.5.


3. OBLIGATIONS DE NOTIFICATION


3.1 Obligations de notification du sous-traitant. Le sous-traitant notifie immédiatement au contrôleur, par écrit, les éléments suivants concernant les données personnelles traitées par le sous-traitant pour le compte du contrôleur :


3.1.1 La demande d'une personne concernée d'exercer ses droits en matière de protection de la vie privée, tels que l'accès, la rectification, l'effacement, le transport, l'opposition ou la restriction de ses données à caractère personnel ;

3.1.2 toute demande ou plainte émanant des employés, des patients ou des participants du contrôleur ;

3.1.3 Toute question, plainte, enquête ou autre demande émanant d'une autorité de protection des données concernant les activités du contrôleur conformément aux CGU ou à la présente DPA

;

3.1.4 Toute demande de divulgation de données à caractère personnel liée d'une manière ou d'une autre au traitement des données à caractère personnel par le sous-traitant en vertu des CGU et de la présente DPA ;

3.1.5 une violation de données conformément aux obligations de notification énoncées à la section

7.1 ; et,

3.1.6 Lorsque les données à caractère personnel font l'objet d'une perquisition et d'une saisie, d'une ordonnance de saisie, d'une confiscation dans le cadre d'une procédure de faillite ou d'insolvabilité, ou d'événements ou de mesures similaires de la part de tiers pendant qu'elles font l'objet d'un traitement.


Le sous-traitant aidera le contrôleur à s'acquitter de ses obligations de répondre aux demandes relatives aux sections 3.1.1 à 3.1.6 ci-dessus et ne répondra pas à ces demandes sans le consentement écrit préalable du contrôleur, à moins que le sous-traitant ne soit tenu de répondre en vertu de la loi.


4. LA CONFIDENTIALITÉ


4.1 Informations confidentielles. Toutes les données à caractère personnel sont des informations confidentielles.

4.2 Personnel du sous-traitant. Le Processeur veillera à ce que son personnel engagé dans le Traitement des Données à caractère personnel soit informé de la nature confidentielle des Données à caractère personnel, ait reçu une formation appropriée sur ses responsabilités et ait signé des accords de confidentialité écrits. Le Processeur veillera à ce que ces obligations de confidentialité survivent à la fin de son emploi respectif ou de sa relation d'entrepreneur indépendant avec ces personnes. Le sous-traitant procédera à une vérification quinquennale des antécédents professionnels et du casier judiciaire de tous les membres du personnel ayant un accès direct aux données à caractère personnel.


4.3 Limitation de l'accès. Le Processeur doit s'assurer que l'accès du Processeur aux Données à caractère personnel est limité au personnel exécutant les Services conformément aux CGU et que ce personnel n'accède qu'au minimum de Données à caractère personnel nécessaire à l'exécution des Services.


5. SOUS-PROCESSEURS


5.1 Désignation de sous-traitants. Le contrôleur reconnaît et accepte que le sous-traitant et les sociétés affiliées du sous-traitant puissent engager des sous-traitants tiers dans le cadre de la fourniture des services. Le sous-traitant ou les sociétés affiliées du sous-traitant concluront un accord écrit avec chaque sous-traitant secondaire contenant des obligations, des exigences et des restrictions qui ne sont pas moins restrictives que celles énoncées dans le présent DPA.


5.2 Notification des modifications apportées aux sous-traitants. Le sous-traitant utilise actuellement les sous-traitants énumérés dans l'annexe A applicable. Le sous-traitant informera le contrôleur de tout changement concernant l'ajout ou le remplacement de sous-traitants en mettant à jour la liste des sous-traitants sur son site web. Le responsable du traitement peut s'opposer de bonne foi aux modifications apportées aux sous-traitants du sous-traitant, mais il ne s'opposera pas de manière déraisonnable aux modifications apportées aux sous-traitants. Le contrôleur peut résilier les CGU et le présent DPA si le sous-traitant ne répond pas de manière satisfaisante aux objections du contrôleur concernant les nouveaux sous-traitants.


5.3 Responsabilité des actes des sous-traitants. Le sous-traitant est pleinement responsable de tous les actes et omissions de ses sous-traitants.


6. SÉCURITÉ


6.1 Protection des données à caractère personnel. Conformément à l'article 32 du GDPR, le Processeur s'engage à respecter des garanties strictes pour protéger la sécurité, la confidentialité et l'intégrité des données personnelles. Pour avoir un aperçu des mesures techniques et organisationnelles spécifiques que nous mettons en œuvre, veuillez consulter notre page de sécurité à l'adresse xxxxx://xxxxxxx.xx/xxxxxxxx. Ces mesures sont conçues pour empêcher le traitement non autorisé ou illégal, la destruction accidentelle ou illégale, la perte ou l'altération, les dommages, la divulgation non autorisée ou l'accès aux données à caractère personnel.


En outre, le sous-traitant aide le responsable du traitement à s'acquitter des obligations qui lui incombent en vertu de l'article 32 du RGPD, notamment en lui fournissant des informations sur les mesures techniques et organisationnelles déjà mises en œuvre par le sous-traitant en vertu de l'article 32 du RGPD, ainsi que toutes les autres informations nécessaires pour que le responsable du traitement puisse s'acquitter de l'obligation qui lui incombe en vertu de l'article 32 du RGPD.


6.2 Droits d'audit. Le contrôleur, ou son représentant, a le droit d'auditer et d'inspecter, aux frais du contrôleur, les locaux, les politiques, les procédures et les systèmes informatiques du sous-traitant au moyen d'un questionnaire et d'une réunion à distance d'une heure, au maximum une fois par an, afin de

s'assurer que le sous-traitant se conforme aux exigences du présent DPA. Le contrôleur, ou la personne désignée par le contrôleur, fournira un préavis d'au moins 30 jours avant de procéder à un audit, à moins qu'un tel audit ne soit nécessaire en raison d'une violation de données impliquant le sous-traitant, auquel cas un préavis d'au moins 5 jours ouvrables est requis. Le Processeur paiera pour tous les audits dus à une violation de données impliquant le Processeur, les Affiliés du Processeur ou leurs Sous-Traitants. Le contrôleur paiera le temps d'audit du sous-traitant pour les audits non liés à une violation de données qui dépassent le questionnaire et une réunion à distance d'une heure. Les audits effectués par le contrôleur ou la personne désignée par le contrôleur ne violeront pas les obligations de confidentialité du sous-traitant ou de la société affiliée du sous-traitant.


7. VIOLATIONS DE DONNÉES


7.1 Notification des violations de données. En tant que responsable du traitement des données, notre principal engagement en vertu du RGPD est de soutenir et d'aider le contrôleur à remplir ses obligations en vertu du GDPR, y compris les articles 33 et 34. Le sous-traitant notifiera le contrôleur par écrit dans les 72 heures suivant la découverte d'une violation présumée ou réelle des données, en fournissant toutes les informations pertinentes pour faciliter la notification du contrôleur à l'autorité de surveillance, comme l'exige l'article 33. Le sous-traitant coopérera également pleinement avec le contrôleur pour remplir les obligations prévues à l'article 34, en fournissant toute l'assistance et les informations nécessaires pour permettre la notification des personnes concernées si une violation est susceptible d'entraîner un risque élevé pour leurs droits et libertés.


7.2 Gestion des violations de données. Le Processeur s'efforce raisonnablement d'identifier la cause d'une violation présumée ou avérée des données et prend les mesures qu'il juge nécessaires et raisonnables pour remédier à la cause d'une telle violation des données.


8. RESPONSABILITÉ ET INDEMNISATION


8.1 Responsabilité. Le Processeur est responsable envers le Contrôleur des dommages directs, pénalités, amendes, coûts, pertes, responsabilités et frais (y compris les frais d'avocats et de comptables) directement liés à une Violation de Données qui n'est pas causée par le Contrôleur.


8.2 Indemnisation. Le Processeur défendra, indemnisera et dégagera le Contrôleur de toute responsabilité à l'égard de toutes les réclamations, actions, demandes ou procédures judiciaires de tiers et de tous les dommages, pénalités, amendes, coûts, pertes, responsabilités et frais (y compris les honoraires d'avocats et de comptables) résultant d'une violation de données qui n'est pas causée par le Contrôleur.


8.3 Limitation de la responsabilité. Les sections relatives à la limitation de la responsabilité figurant dans les CGU s'appliquent au présent DPA.


9. RÉSILIATION


9.1 Résiliation. Le présent DPA sera automatiquement résilié à la plus tardive des deux dates suivantes :

(a) la résiliation ou l'expiration des CGU ; ou, (b) la suppression des données personnelles par le sous-traitant. Le contrôleur est en outre habilité à résilier le présent DPA pour un motif valable si le sous-traitant est, de l'avis raisonnable du contrôleur, en violation matérielle ou persistante du présent DPA.


9.2 Suppression des données. Dans les quatre-vingt-dix (90) jours suivant la résiliation du présent DPA ou sur demande, le Processeur supprimera toutes les copies existantes des Données à caractère personnel, sauf si la loi applicable exige la poursuite de la conservation des Données à caractère personnel. Dans les cas où la législation locale exige que le sous-traitant conserve les données à caractère personnel, le sous-traitant protégera la confidentialité, l'intégrité et l'accessibilité des données à

caractère personnel, ne traitera pas activement les données à caractère personnel et continuera à se conformer aux conditions du présent DPA.

ANNEXE A-1


DESCRIPTION DU TRAITEMENT - PLATEFORME SHOEBOX


Description de la plateforme SHOEBOX

La plateforme SHOEBOX est une plateforme audiologique en ligne destinée à être utilisée pour effectuer des tests auditifs afin de diagnostiquer d'éventuels troubles otologiques.


Objet du traitement

SHOEBOX traite certaines données à caractère personnel énumérées ci-dessous pour le compte de ses clients en relation avec les services de tests auditifs.


Durée du traitement

La durée du traitement est la durée de l'abonnement indiquée dans la facture applicable.


Nature et finalité du traitement

Shoebox collecte, stocke, analyse et supprime des données personnelles.


Base juridique du traitement

La base juridique du traitement des données personnelles par SHOEBOX sera l'une des suivantes :

● Exécution d'un contrat

● Intérêts commerciaux légitimes

● Respect des obligations légales


Catégories de personnes concernées

● Les clients et leurs utilisateurs provisionnés

● Patients ou participants dont l'audition est testée


Catégories de données

Les données personnelles traitées peuvent concerner les catégories de données suivantes :


De la part de clients et/ou d'utilisateurs provisionnés :

● Informations d'identification

○ Nom

○ Xxxxxxxx

○ Numéro de téléphone

○ Dernière adresse IP utilisée


De la part des patients ou des participants

● Informations d'identification

○ Nom complet

○ Date de naissance

○ Genre

○ Numéro de sécurité sociale (si activé pour le client)

○ Carte d'identité nationale (si elle est activée pour le client)

○ Nom complet de l'ENT

○ Notes

○ Numéro de téléphone

○ Xxxxxxxx

○ Adresse

○ Entreprise / Département OU École / Grade

● Données sur la santé

○ Xxxxxxx d'aides auditives

○ Audiogramme

○ Informations sur la santé liées aux tests auditifs recueillies dans les questionnaires

Sous-traitants, finalité et lieux de traitement


Sous-processeur

Objectif

Localisation

Xxxxxxxxxx.xxx, inc.

Les données démographiques (identifiants personnels) sont stockées sur Heroku Shield pour les clients basés aux États-Unis.

Les données relatives à la santé (résultats des tests auditifs) sont stockées sur Heroku Shield pour les clients basés aux États-Unis.

ÉTATS-UNIS

Xxxxxxxxxx.xxx, inc.

Les données de santé (résultats des tests auditifs) sont stockées sur Heroku pour les clients qui ne sont pas basés aux États-Unis.

Irlande

SIGMA Informatique

Les données démographiques (identifiants personnels) sont stockées sur Sigma pour les clients qui ne sont pas basés aux États-Unis.

France


Les données à caractère personnel peuvent être consultées à partir de sites situés en dehors de l'UE par l'intermédiaire de processeurs de données.


Tout transfert de données à caractère personnel est soumis à une décision d'adéquation de la Commission européenne ou à des garanties appropriées fournies par le biais des clauses contractuelles types de la Commission européenne, cf. article 46 du GDPR.

ANNEXE A- 2


DESCRIPTION DU TRAITEMENT - SHOEBOX® PURETEST


Description de SHOEBOX PureTest

SHOEBOX PureTest est un audiomètre basé sur l'iPad qui est utilisé en conjonction avec le portail de gestion des données SHOEBOX pour effectuer des tests auditifs diagnostiques.


Objet du traitement

SHOEBOX traite certaines données à caractère personnel énumérées ci-dessous pour le compte de ses clients en relation avec les services de tests auditifs.


Durée du traitement

La durée du traitement est la durée de l'abonnement indiquée dans la facture applicable.


Nature et finalité du traitement

Shoebox collecte, stocke, analyse et supprime des données personnelles.


Base juridique du traitement

La base juridique du traitement des données personnelles par SHOEBOX sera l'une des suivantes :

● Exécution d'un contrat

● Intérêts commerciaux légitimes

● Respect des obligations légales


Catégories de personnes concernées

● Les clients et leurs utilisateurs provisionnés

● Patients ou participants dont l'audition est testée


Catégories de données

A partir des clients et des utilisateurs provisionnés :

● Données d'identification et/ou de contact

Nom du client

Coordonnées, y compris les adresses postale et électronique

Adresse de facturation

Données de facturation (nécessaires à des fins de comptabilité interne et de traitement des paiements par le biais de notre service de traitement contractuel)

Informations de connexion pour les utilisateurs provisionnés, telles que les noms d'utilisateur et les mots de passe cryptés

Informations sur l'utilisation de PureTest par le client et ses utilisateurs mis à disposition.

Les informations fournies par le Client et ses Utilisateurs Fournis à l'équipe de support de SHOEBOX

● Données sur la santé

○ Données des tests auditifs de vérification biologique PureTest pour les utilisateurs provisionnés - stockées sur l'iPad uniquement et non synchronisées avec le portail de gestion des données.


De la part des patients ou des participants du client

● Données d'identification et/ou de contact

Personnel

Xxx (prénom, deuxième prénom, nom de famille)

Genre

Date de naissance

Détails de l'emplacement

Entreprise

■ L'école

Facilité

○ Informations sur l'emploi

ID de l'employé

Date d'embauche

Département

Classification des emplois

Poste de travail

■ Statut

○ Contact

■ Adresse électronique

Numéro de téléphone à domicile

Numéro de téléphone portable

Numéro de téléphone au travail

■ Adresse

Santé

Numéro de la carte de santé

Médecin

Médecin référent

Notes

○ ID externe (pour les importations)


● Données de santé recueillies lors des tests auditifs

○ Audiogramme

○ Informations sur la santé liées aux tests auditifs recueillies par questionnaire


des patients ou des participants du client si ce dernier souscrit à des services d'examen audiologique

● Enquêtes sur le bruit, y compris la dosimétrie individuelle avec les noms

● Rapports médicaux/deuxième avis pour la détermination clinique

● Les informations spécifiques au patient ou au participant sont partagées par courrier électronique et lors de réunions/appels.

Sous-traitants, finalité et lieux de traitement


Sous-processeur

Objectif

Localisation

Amazon Web

AWS héberge toutes les

Virginie, Nord-Est des

Services, Inc.

données des clients aux

États-Unis


États-Unis pour les clients



basés aux États-Unis.


Amazon Web

AWS héberge toutes les

Canada Est (Montréal)

Services, Inc.

données des clients au



Canada pour les clients qui ne



sont pas basés aux



États-Unis.



Les données à caractère personnel peuvent être consultées à partir de sites situés en dehors de l'UE par l'intermédiaire de sous-traitants. Tout transfert de données à caractère personnel est soumis à une décision d'adéquation de la Commission européenne ou à des garanties appropriées fournies par le biais des clauses contractuelles types de la Commission européenne, conformément à l'article 46 du GDPR.


Cookies

SHOEBOX PureTest et le portail SHOEBOX Data Management utilisent des cookies comme suit :


Les cookies : Les cookies sont des éléments d'information stockés directement sur l'ordinateur utilisé par l'utilisateur final. Un cookie strictement nécessaire est un cookie essentiel au fonctionnement du logiciel. SHOEBOX PureTest place un cookie strictement nécessaire sur l'ordinateur d'un utilisateur mis à disposition pour permettre à cet utilisateur de se connecter et de s'authentifier via le Single Sign-On auprès du fournisseur d'identité du client.

ANNEXE A- 3


DESCRIPTION DU TRAITEMENT - SHOEBOX® ONLINE


Description de SHOEBOX Online

SHOEBOX Online est un outil de dépistage auditif en ligne qui est utilisé en conjonction avec le portail de gestion des données SHOEBOX pour effectuer un dépistage auditif.


Objet du traitement

SHOEBOX traite certaines données à caractère personnel énumérées ci-dessous pour le compte de ses clients en relation avec les services de dépistage auditif.


Durée du traitement

La durée du traitement est la durée de l'abonnement indiquée dans la facture applicable.


Nature et finalité du traitement

Shoebox collecte, stocke, analyse et supprime des données personnelles.


Base juridique du traitement

La base juridique du traitement des données personnelles par SHOEBOX sera l'une des suivantes :

● Exécution d'un contrat

● Intérêts commerciaux légitimes

● Respect des obligations légales


Catégories de personnes concernées

● Les clients et leurs utilisateurs provisionnés

● Participants dont l'audition fait l'objet d'un dépistage


Catégories de données

A partir des clients et des utilisateurs provisionnés :

● Données d'identification et/ou de contact

Nom du client

Coordonnées, y compris les adresses postale et électronique

Adresse de facturation

Données de facturation (nécessaires à des fins de comptabilité interne et de traitement des paiements par le biais de notre service de traitement contractuel)

Informations de connexion pour les utilisateurs provisionnés, telles que les noms d'utilisateur et les mots de passe cryptés

Informations sur la façon dont le client et ses utilisateurs utilisent SHOEBOX Online.

Les informations fournies par le Client et ses Utilisateurs Fournis à l'équipe de support de SHOEBOX


De la part des participants du client

● Données d'identification et/ou de contact

Nom

Adresse électronique

○ Numéro de téléphone

○ Données de localisation

○ Tranche d'âge

○ Genre


● Données sur la santé

○ Résultats du dépistage auditif

Sous-traitants, finalité et lieux de traitement


Sous-processeur

Objectif

Localisation

Amazon Web

AWS héberge toutes les

Virginie, Nord-Est des

Services, Inc.

données des clients aux

États-Unis


États-Unis pour les clients



basés aux États-Unis.


Amazon Web

AWS héberge toutes les

Canada Est (Montréal)

Services, Inc.

données des clients au



Canada pour les clients qui ne



sont pas basés aux



États-Unis.



Les données à caractère personnel peuvent être consultées en dehors de l'UE par l'intermédiaire de sous-traitants. Tout transfert de données à caractère personnel est soumis à une décision d'adéquation de la Commission européenne ou à des garanties appropriées fournies par le biais des clauses contractuelles types de la Commission européenne, conformément à l'article 46 du GDPR.


Cookies

SHOEBOX Online et le portail SHOEBOX Data Management utilisent des cookies comme suit :


Les cookies : Les cookies sont des éléments d'information stockés directement sur l'ordinateur utilisé par l'utilisateur final. Un cookie strictement nécessaire est un cookie essentiel au fonctionnement du logiciel. SHOEBOX Online place un cookie strictement nécessaire sur l'ordinateur d'un utilisateur mis à disposition pour permettre à cet utilisateur de se connecter et de s'authentifier sur le portail de gestion de données SHOEBOX.

ANNEXE A- 4


DESCRIPTION DU TRAITEMENT - TEST RAPIDE DE LA BOÎTE À CHAUSSURES


Description de SHOEBOX QuickTest

SHOEBOX QuickTest est un outil de dépistage auditif sur iPad qui est utilisé en conjonction avec le portail de gestion des données SHOEBOX pour effectuer un dépistage auditif.


Objet du traitement

SHOEBOX traite certaines données à caractère personnel énumérées ci-dessous pour le compte de ses clients en relation avec les services de dépistage auditif.


Durée du traitement

La durée du traitement est la durée de l'abonnement indiquée dans la facture applicable.


Nature et finalité du traitement

Shoebox collecte, stocke, analyse et supprime des données personnelles.


Base juridique du traitement

La base juridique du traitement des données personnelles par SHOEBOX sera l'une des suivantes :

● Exécution d'un contrat

● Intérêts commerciaux légitimes

● Respect des obligations légales


Catégories de personnes concernées

● Les clients et leurs utilisateurs provisionnés

● Participants dont l'audition fait l'objet d'un dépistage


Catégories de données

A partir des clients et des utilisateurs provisionnés :

● Données d'identification et/ou de contact

Nom du client

Coordonnées, y compris les adresses postale et électronique

Adresse de facturation

Données de facturation (nécessaires à des fins de comptabilité interne et de traitement des paiements par le biais de notre service de traitement contractuel)

Informations de connexion pour les utilisateurs provisionnés, telles que les noms d'utilisateur et les mots de passe cryptés

Informations sur l'utilisation de QuickTest par le client et ses utilisateurs mis à disposition.

Les informations fournies par le Client et ses Utilisateurs Fournis à l'équipe de support de SHOEBOX


De la part des patients ou des participants du client

● Données d'identification et/ou de contact

Nom

Adresse électronique

○ Numéro de téléphone

○ Données de localisation

○ Tranche d'âge

○ Genre


● Données sur la santé

○ Informations sur le dépistage auditif

○ Informations sur la santé liées au dépistage auditif recueillies par questionnaire

Sous-traitants, finalité et lieux de traitement


Sous-processeur

Objectif

Localisation

Amazon Web

AWS héberge toutes les

Virginie, Nord-Est des

Services, Inc.

données des clients aux

États-Unis


États-Unis pour les clients



basés aux États-Unis.


Amazon Web

AWS héberge toutes les

Canada Est (Montréal)

Services, Inc.

données des clients au



Canada pour les clients qui ne



sont pas basés aux



États-Unis.



Les données à caractère personnel peuvent être consultées à partir de sites situés en dehors de l'UE par l'intermédiaire de sous-traitants. Tout transfert de données à caractère personnel est soumis à une décision d'adéquation de la Commission européenne ou à des garanties appropriées fournies par le biais des clauses contractuelles types de la Commission européenne, conformément à l'article 46 du GDPR.

Document Metadata

Filed: October 4th, 2024