CONTRAT-CADRE SERVICES DE LA PLATEFORME MYSECU
SERVICES DE LA PLATEFORME MYSECU
Classification: Document confidentiel
Version:
2.0 (01/02/2020)
Le présent contrat-cadre de services de la plateforme mySecu (le “contrat”) est conclu entre :
La Pharmacie ,
sise au Grand-Duché de Luxembourg, ,
représentée par……………………………………………………………………………………………………………………….....
Code prestataire (si attribué) : …………………………………………………………………………………………………………
ci-après désignée « entité cliente »,
et
La Caisse nationale de santé (CNS), institution de sécurité sociale et établissement public visé par l’article 45 du Code de la sécurité sociale, établie à X-0000 Xxxxxxxxxx, 000, xxxxx x’Xxxx, représentée par M. Xxxxxxxxx Xxxxxx, président de son conseil d’administration, ci-après désignée « prestataire de services »,
ainsi que
Le service informatique du Centre Commun de la Sécurité Sociale (CCSS), établi à X-0000 Xxxxxxxxxx, 000, xxxxx x’Xxxx, représenté par M. Xxxxxx Xxxxxxx, Président, agissant en tant que « Sous-traitant », ci-après désigné « sous-traitant »,
L’entité cliente, le prestataire de services et le sous-traitant étant ci-après dénommés individuellement une “partie” et collectivement les “parties”.
ETANT PRÉALABLEMENT RAPPELÉ QUE :
(A) Conformément à l’article 413 du Code de la sécurité sociale, le CCSS a notamment pour mission, dans l’intérêt des différentes institutions de sécurité sociale, de gérer les équipements communs de saisie et de traitement de l’information, de promouvoir et d’organiser de façon rationnelle et coordonnée leur automatisation, notamment en ce qui concerne la programmation des applications, la collecte, la transmission et le traitement des données sur ordinateur et de fournir aux institutions de sécurité sociale les informations individuelles ou statistiques qui sont nécessaires à l’exécution de leurs tâches.
(B) Afin d’exécuter ses missions légales d’accès et de transmission de l’information, le CCSS a mis en place une plateforme sécurisée d’accès et d’échange d’informations permettant aux différentes institutions de sécurité sociale de rendre disponibles certaines informations relatives à ses assurés aux entités clientes (prestataires de santé), mais aussi à ces derniers de communiquer certaines informations aux institutions de sécurité sociale.
(C) Les données visées par les présentes, et reprises dans des conventions spécifiques entre les parties, sont énumérées à l’Annexe B et pourront être complétées pendant toute la durée du contrat (les « données »). Il en va de même pour les services dont les détails sont repris dans l’Annexe B (les "services").
LES PARTIES ONT CONVENU CE QUI SUIT :
1. Objet
1.1 Le présent contrat et ses annexes prévoient les droits et les obligations des parties en relation avec les services et constitue avec la convention existante entre le prestataire de services et les représentants de la corporation de l’entité cliente, et ses annexes spécifiques, l’intégralité de l’accord entre les parties pour la fourniture de ces services.
1.2 Le prestataire de services et l’entité cliente échangent des données dans le cadre des services énumérés dans l’Annexe B.
1.3 L’annexe A et l’annexe B font partie intégrante du contrat.
1.4 En cas de contradiction ou d’incohérence entre les dispositions de l’Annexe A, ou de l’Annexe B, et celles du contrat, les dispositions des annexes primeront.
2. Définitions
Le terme’ « administrateur » désigne la personne physique officiellement désignée par l’entité cliente pour administrer l’espace mis à sa disposition, et dont les coordonnées sont reprises à l’ Annexe B. L’administrateur doit pouvoir engager la responsabilité de l’entité cliente qui l’a mandaté.
Le terme « donnée personnelle » désigne toute information se rapportant à une personne physique identifiée ou identifiable au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Le terme « entité cliente » désigne la personne physique ou morale dotée de la personnalité juridique qui (a) bénéficie d’une autorisation expresse d’accéder aux données de la part du prestataire de services. L’entité cliente agit en tant que « tiers » dans le traitement de données.
Le terme « mySecu » désigne la plateforme sécurisée d’échange et de partage de données mise en place par le sous-traitant.
Le terme « responsable de traitement » désigne la personne physique ou morale, l’autorité publique, le service ou tout organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un Etat membre, le responsable de traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un Etat membre.
Le terme « service » désigne les services offerts via mySecu par le prestataire de service, dans le cadre de ses missions légales, à une ou plusieurs entités clientes conformément au formulaire d’autorisation d’accès et de traitement de données à mySecu joint en Annexe B du contrat à signer par le prestataire de service et l’entité cliente.
Le terme « traitement de données » désigne : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification,
l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Le terme « prestataire de service » désigne l’institution de sécurité sociale ou l’organisation signataire du contrat qui, dans le cadre de ses missions légales, met à disposition des entités clientes autorisées certaines données qu’il traite. Le prestataire de service agit en tant que « responsable du traitement ».
Le terme « utilisateur final » désigne la personne physique autorisée par l’entité cliente à accéder à mySecu et qui, lors de sa première utilisation, ainsi qu’après chaque notification de modification, doit lire, accepter et respecter la charte d’utilisateur dont une version à jour au jour de signature des présentes fait partie de l’Annexe B.
3. Fourniture de services
3.1 L’accès à mySecu repose sur un accès à internet par le biais d’un Internet Service Provider. L’accès et l’utilisation de mySecu nécessitent
3.2 (a) d’obtenir l’autorisation préalable du prestataire de service et responsable du traitement des données dont l’accès est demandé et ce, selon les modalités par lui définies, et donc
3.3 (b) de compléter un formulaire de demande de services qui sera examiné par le CCSS et le prestataire de services, dans le cadre de leurs compétence respectives. Le prestataire de service examine la légitimité de la demande d’accès et décide de fournir ou non les services à l’entité cliente après s’être assuré auprès du sous- traitant que la fourniture des services est techniquement possible.
3.4 Le sous-traitant fournira les services selon les spécifications identifiées dans les annexes et notamment dans l'Annexe B applicable pour la catégorie de services concernée et, en tout état de cause, agira pour ce faire avec la diligence qui peut être raisonnablement attendue d'un professionnel compétent dans des circonstances et sous des conditions contractuelles comparables.
3.5 La plateforme mySecu est accessible conformément à la disponibilité générale de l’infrastructure informatique du sous-traitant qui peut faire l’objet d’arrêts ponctuels ou périodiques pour maintenance ou remise en état.
3.6 Chaque partie désignera la personne de contact responsable de son côté pour le suivi de chaque service individuel.
3.7 Le prestataire de services et l’entité cliente sont obligés de signaler sans retard indu au sous-traitant (xxxxxxx@xxxx.xx) tout problème important ayant un impact sur la continuité du service, ainsi que toute situation d’urgence.
3.8 Le sous-traitant est obligé de signaler sans retard indu au prestataire de services tout problème pouvant impacter la disponibilité, la confidentialité ou l’intégrité des données accédées via la la plateforme MySecu.
3.9 L’équipement, le coût des communications téléphoniques ou sous toute autre forme, et de l’accès au réseau internet nécessaires à l’accès à mySecu sont à charge exclusive de l’entité cliente.
4 Demande d’accès à mySecu
4.1 mySecu est une plateforme permettant à un utilisateur final d’accéder aux données pour lesquelles il bénéficie d’un droit d’accès valable. Il appartient à l’entité cliente, de déterminer les personnes pouvant bénéficier d’un droit d’accès individuel à mySecu.
4.2 La création d’un nouveau droit d’accès à mySecu se déroule en plusieurs étapes :
4.2.1 Etape 1 : le prestataire de service est saisi d’une demande d’accès par l’entité cliente pour un utilisateur final.
4.2.2 Etape 2 : le prestataire de service vérifie la légitimité de la demande de l’utilisateur final et, en cas de considération positive, accède à sa demande.
4.2.3 Etape 3 : le prestataire de service souscrit à la plateforme mySecu et demande l’accès aux données pour l’utilisateur final en remplissant le formulaire. Le formulaire doit également être signé par l’entité cliente, qui s’engage à faire respecter les termes du contrat à l’utilisateur final visé.
4.2.4 Etape 5 : L’accès est donné à l’utilisateur final par le sous-traitant.
5 Responsabilités
5.1 Le sous-traitant s’engage uniquement à fournir ses meilleurs efforts pour proposer les services mySecu, sous réserve des contraintes techniques, des moyens disponibles et des aléas inhérents à la fourniture de services via des moyens de télécommunications internet (obligation de moyens).
5.2 Le sous-traitant ne saurait être tenu responsable d’un quelconque dommage direct ou indirect, quelle qu’en soit la nature, découlant de l’utilisation de mySecu.Les utilisateurs finaux exploitent les données accédées via mySecu conformément aux termes du contrat sous leur seule responsabilité et à leurs seuls risques et périls. Tout dommage subi par les utilisateurs finaux ou par des tiers qui résulterait de l’utilisation de mySecu relève de la seule responsabilité des utilisateurs finaux. En cas de recours, les utilisateurs finaux en supporteront seuls les conséquences financières.
5.3 Les utilisateurs finaux s’engagent à respecter la charte utilisateur mySecu, et à ne pas introduire, volontairement ou involontairement, de virus ou de fichiers, de quelque nature que ce soit, perturbant l’activité de la plateforme mySecu. Le cas échéant, ces actes délictueux entraîneraient des poursuites en justice.
6 Respect de la documentation et gestion des incidents
6.1 Le prestataire de services s’engage à respecter et à faire respecter par chaque utilisateur final d’une entité cliente la charte utilisateur mySecu qui devra être approuvée par l’utilisateur final lors de sa première connexion à mySecu.
6.2 Le sous-traitant se réserve la possibilité de bloquer un service de manière immédiate sans préavis dès qu’il a connaissance d’une faille de sécurité, et il le bloquera en tout état de cause sur simple demande du prestataire de services.
7 Confidentialité et protection des données à caractère personnel
7.1 En matière de protection des données à caractère personnel, les parties s’engagent à respecter les règles générales en matière de protection des données reprises à l’Annexe A ainsi que les règles particulières liées aux services souscrits telles que reprises à l’Annexe B.
7.2 Les parties conviennent qu’à défaut pour les parties concernées de signer l’Annexe B relative aux services à fournir dans le cadre de l’autorisation d’accès et de traitement des données, le contrat pourra être résilié par l’une ou l’autre partie.
8 Protection des droits de propritété intellectuelle
8.1 Les parties s’engagent à respecter les droits intellectuels du CCSS. Les logiciels, programmes, applications et modes d’emploi mis à disposition des parties restent la propriété du CCSS. La marque, les logos ainsi que le graphisme de mySecu sont également protégés.
8.2 Il est strictement interdit aux parties d’utiliser, pour la vente ou pour toute autre utilisation commerciale, mySecu ou son contenu (logos, graphismes, données, téléchargement ou copie d’informations, logiciels, extraits sonores, graphismes, images, textes, photographies, outils, etc…). mySecu ne peut en aucun cas être reproduit, copié, vendu ou exploité pour des raisons commerciales.
8.3 Le CCSS se réserve le droit de réclamer des dédommagements à la Partie qui ne respecterait pas les droits de propriété intellectuelle susmentionnés.
9 Prix
La mise à disposition de mySecu se fait à titre gratuit.
10 Durée et résiliation
10.1 Le contrat entrera en vigueur à la date de sa signature pour une durée indéterminée.
10.2 Chacune des parties sera autorisée à résilier immédiatement et de plein droit le Contrat par simple notification aux autres parties :
(a) si l’une des parties manque de manière continue et/ou importante à l’exécution de l’une quelconque des obligations lui incombant au titre du contrat et si cette partie défaillante n’y remédie pas dans un délai d’un (1) mois suivant la réception d’une notification écrite demandant qu’il y soit remédié et sans aucun délai s’il s’agit d’un manquement auquel il ne peut raisonnablement pas être remédié, ou
(b) pour tout autre motif, moyennant le respect d’un délai de préavis de trois (3) mois suivant la réception d’une notification écrite.
10.3 Le contrat sera résilié de plein droit et sans préavis, ni indemnités, lorsqu’un cas de force majeur en rendra l’exécution impossible. Constitue un cas de force majeur, le fait que le contexte législatif et/ou jurisprudentiel n’autorise plus l’accès aux données.
11 Convention de preuve et tracabilité
11.1 En souscrivant au contrat, les parties acceptent expressément de déroger aux dispositions du Code civil en matière de preuve littérale. Elles reconnaissent, entre autre, aux enregistrements électroniques et aux logs détenus par le sous-traitant, une valeur probante suffisante.
11.2 Une traçabilité automatique des navigations et des accès aux données effectués par les utilisateurs finaux est opérée à des fins d’optimisation, de sécurité et de respect de la législation sur la protection des données.
12 Nullité relative
Si l’une ou plusieurs dispositions du contrat sont tenues pour non valables ou venaient à être déclarées comme telles, en application d’une loi, d’un règlement ou à la suite d’une décision définitive et contradictoire d’une juridiction compétente, les autres stipulations garderont toutes leur validité et leur portée.
13 Droit applicable, tribunal compétent
Le contrat et ses annexes sont soumises au droit luxembourgeois. Seuls les tribunaux luxembourgeois sont compétents pour connaître de tout litige qui en découlerait.
14 Liste des annexes
Au jour de sa signature, le Contrat inclut expressément les annexes listées ci-dessous :
o Annexe A - Conditions Générales en matière de protection des données à caractère personnel
o Annexe B – Conditions Particulières en matière de demande d’autorisation d’accès et de traitement des données à caractère personnel
EN FOI DE QUOI le présent contrat a été signé à Luxembourg le ………………………………………………………….
par les représentants dûment autorisés des trois (3) parties en trois (3) exemplaires originaux, un (1) pour chacune des parties.
Pour le prestataire de services | Pour l’entité cliente | Pour le sous-traitant |
Par : Fonction : | Par : Fonction : | Par : Fonction : |