CONVENTION

CONVENTION

relative a l’Etude Nationale de Couts a methodologie commune (ENC)

dans les etablissements d’Hospitalisation A Domicile Activite 2019

Entre d’une part,

l’Agence Technique de l’Information sur l’Hospitalisation, représentée par son Directeur général Monsieur Xxxxxxxxx Xxxxx désignée par le terme « l’ATIH »

et, d’autre part,

«raison_sociale_établissement» / «FINESS»

«adresse_1»

«adresse_2»

«code_postal» «ville»

représenté par son représentant légal Monsieur / Madame .........................................................

désigné par le terme « l’établissement »,

vu le règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de des données à caractère personnel et à la libre circulation de ces données (RGPD),

vu la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, vu les articles R 6113-53 et suivants du code de la santé publique,

vu l’autorisation de la Commission nationale de l’informatique et des libertés du 27 septembre 2007 relative au traitement de données à caractère personnel ayant pour finalité l’étude nationale de coûts dans les établissements de santé modifié les 24 mars et 2 novembre 2009,

vu la délibération du Conseil d’administration de l’Agence Technique de l’Information sur l’Hospitalisation n°5 du 29 novembre 2018,

Il est convenu ce qui suit :

CONTEXTE

Dans le cadre de la tarification à l’activité dans les établissements HAD, la réalisation de l’étude nationale de coûts à méthodologie commune (ENC) vise à :

− produire un référentiel de coûts en euros par séquence de soins, c’est-à-dire par groupe homogène de prise en charge (GHPC), avec une décomposition de ces coûts par grands postes de dépenses ;

− permettre une connaissance approfondie de la formation des coûts dans les établissements de santé afin notamment d’actualiser les pondérations du modèle tarifaire.

La réalisation de cette étude a été confiée à l’ATIH. Les établissements participants ont été sélectionnés suite aux appels à candidature et après avoir pris l’attache des fédérations de l’hospitalisation.

Article 1er : Objet de la convention

L’objet de la convention est de fixer les conditions de la participation de l’établissement à l’étude nationale de coûts, étude à méthodologie commune aux établissements de santé antérieurement financés par dotation globale (ex-DG) et aux établissements antérieurement sous objectif quantifié national (ex-OQN).

Cette convention décrit les modalités d’organisation et de financement de cette étude.

L’établissement s’engage à fournir à l’ATIH un ensemble de données médicales et comptables relatives à l’année d’activité 2019 respectant les règles décrites dans le « Guide méthodologique ENC » mentionné au point 1 de l’annexe 1.

Article 2 : Obligations des parties

Les obligations des parties résultent de la présente convention et de son annexe 1 qui décrit les modalités d'organisation de l’étude nationale de coûts HAD (la nature des informations à transmettre, le calendrier de transmission de ces informations, la mise en œuvre d’un processus d’amélioration de la qualité, la désignation du représentant de l’ATIH chargé de la supervision et la désignation des correspondants de l’étude au sein de l’établissement) et de son annexe 2 relative à la protection des données personnelles.

▪ L’établissement s’engage à :

− mettre en œuvre les moyens humains et techniques (médicaux et administratifs) nécessaires à la réalisation de l’étude, en renforçant- le cas échéant - les équipes existantes. En particulier, compte tenu d’une période de correction d’éventuelles erreurs décelées par le superviseur après la première validation des données sur la plateforme e- ENC, ces moyens doivent lui permettre de respecter deux échéances :

- la première validation des données, dont la qualité devra être suffisante pour permettre leur exploitation par le superviseur, doit avoir lieu le 30 juin 2020 au plus tard,

- la dernière validation des données doit avoir lieu le 30 septembre 2020 au plus tard ;

− permettre à ses équipes opérationnelles de participer aux sessions d’information, théorique et pratique, organisées par l’ATIH ;

− transmettre à l’ATIH l’ensemble des documents comptables avant la date de première validation ;

− informer les patients sur la mise en œuvre de l’étude nationale de coûts objet de la présente convention dans les conditions précisées dans l’annexe 2.

▪ L’ATIH s’engage à :

− ne pas rediffuser les données comptables qu’elle reçoit de l’établissement pour la réalisation des référentiels de coûts ;

− communiquer à l’établissement les données qui lui sont propres issues des différents traitements prévus par l’étude.

Article 3 : Financement de la participation de l’établissement

En contrepartie des moyens engagés par l’établissement pour produire les données, l’ATIH assure à celui-ci un financement dont le montant est égal à :

− une base fixe de 35 000 € versée en 2019 ;

− une part variable correspondant au paiement de 0,10 euros par journée de prise en charge pour l’année 2019, versée en 2021.

Toutefois, les versements ne peuvent avoir lieu que si la présente convention est retournée signée par l’établissement.

En cas d’abandon de l’établissement ayant pour conséquence l’absence de transmission des données attendues, aucune somme ne lui est versée au titre de sa participation à l’étude. Un remboursement des sommes éventuellement déjà perçues au titre de cette étude est alors exigé.

En tout état de cause, l’ATIH constate l’abandon de l’établissement si celui-ci n’a pas effectué de validation finale au 31 décembre 2020. Un remboursement des sommes déjà perçues au titre de l’étude est alors exigé.

Article 4 : Montants financiers supplémentaires

Sauf stipulation contraire, les montants financiers supplémentaires ci-dessous peuvent se cumuler et sont versés par l’ATIH en 2021.

4.1 Montants financiers supplémentaires liés à la qualité des données

Une majoration de 10 000 € est attribuée à l’établissement lorsque la qualité des données validées par ce dernier est conforme à la méthodologie décrite dans le « Guide méthodologique ENC HAD » mentionné au point 1 de l’annexe de la présente convention. Cette conformité est évaluée par l’ATIH dans le cadre d’une réunion interne de validation (cf. point 5 de l’annexe 1).

Une majoration de 8 000 € est attribuée à l’établissement lorsque la qualité des données validées par ce dernier est globalement conforme à la méthodologie décrite dans le « Guide méthodologique ENC HAD » mentionné au point 1 de l’annexe 1 de la présente convention mais qu’un des cas suivants de non-qualité est observé :

- non-respect par l’établissement des taux de suivi des charges directes au séjour décrits dans la charte qualité au chapitre 5, taux sur lesquels une tolérance de 3% est appliquée,

- non-respect de la méthodologie susvisée par l’établissement qui conduit l’ATIH, après décision prise dans le cadre d’une réunion interne de validation (cf. point 5 de l’annexe 1), à développer une règle aménagée spécifiquement pour l’établissement afin de permettre l’intégration des données de ce dernier.

Les majorations liées à la qualité des données de l’établissement ne sont pas cumulatives.

4.2 Montants financiers supplémentaires liés à la date de validation des données par l’établissement

Un montant financier supplémentaire de 1 500 € est attribué dans chacun des cas suivants :

- lorsque l’établissement réalise au 15 juin 2020 une première validation anticipée des données, dont la qualité est suffisante pour permettre leur exploitation par le superviseur,

- lorsque l’établissement réalise au 15 septembre 2020 une dernière validation anticipée des données, sous réserve de l’attribution de la majoration pour la qualité des données,

- en cas de respect de l’échéance de la dernière date de validation mentionnée à l’article 2 par l’établissement et en cas d’attribution d‘une majoration pour la qualité de ses données visée à l’article 4.1 ci-dessus.

Article 5 : Minorations financières

Le financement est minoré dans chacun des cas suivants :

- en cas de non-respect des délais mentionnés à l’article 2, le montant du financement est réduit d’un montant de 600 € pour chaque semaine de retard à compter de la semaine suivant les dates butoirs de première et de dernière validation mentionnées à l’article 2. Ce montant est limité à 300 € par semaine lors de la première année de participation de l’établissement à l’étude. Les minorations concernant le respect de la date de première validation sont plafonnées à l’équivalent de quatre semaines de retard.

- en cas de non-respect de la méthodologie ENC, de la Charte Qualité, de la réglementation comptable ou des règles de codage du PMSI ayant pour conséquence la non utilisation par l’ATIH des données transmises par l’établissement, le montant total du financement, tel que visé à l’article 3, est réduit de 50 %.

Ces minorations peuvent se cumuler.

La date de première validation ne sera considérée comme respectée que si les critères suivants ont été remplis :

- les documents comptables (au moins la balance définitive) ont été transmis à l’ATIH ;

- les logiciels ARCANH et ARAMIS sont intégralement complétés ; ce dernier critère étant mesuré par l’ATIH au moyen d’une requête sur les données transmises.

Une fois les données définitivement transmises et leur qualité appréciée au regard du « Guide méthodologique ENC », les éléments variables (part variable, montants financiers supplémentaires et minorations financières) peuvent être calculés et alloués à l’établissement.

Dans le cas où le financement final (base fixe + part variable + montants financiers supplémentaires – minorations financières) est inférieur à la base fixe versée en 2019, un remboursement du trop-perçu est alors exigé.

Article 6 : Motif d’exclusion

S’il est constaté, pendant deux années successives, une défaillance de l’établissement (non- participation, abandon ou non-respect de la méthodologie), celui-ci pourra être exclu du champ de l’étude pour l’année suivante.

Article 7 : Date d’application et durée de la convention

Les stipulations de la présente convention et de ses annexes prennent effet à compter de la date de signature par les parties jusqu’à l’expiration de la durée de conservation des données.

La durée de conservation des données visée ci-dessus est fixée à 10 ans à compter du 31 décembre 2020.

Fait en deux exemplaires, le

L’ATIH,
représentée par Monsieur le Directeur général de l’XXXX
Xxxxxxxxx Xxxxx L’établissement, représenté par

Annexe 1 à la convention relative à

l’Etude Nationale de Coûts à méthodologie commune (Hospitalisation A Domicile)

1 - Nature des informations que l'établissement doit fournir pour les besoins de l’étude

La méthodologie de l’étude est décrite dans le « Guide méthodologique ENC » (accessible à partir du site web de l’ATIH : xxx.xxxx.xxxxx.xx, rubrique Domaines d’activités / Information sur les coûts

/ ENC HAD ).

La présente étude requiert des données par séjour et des données comptables relatives à l’année 2019.

Un « Pack logiciel ENC HAD », sera adressé aux établissements participants début 2020. Ce pack sera constitué du logiciel ARAMIS HAD et du logiciel ARCAnH dans leur dernière version. Ces logiciels permettront de collecter l’ensemble des données de l’ENC pour l’année 2019.

Le logiciel ARCAnH (Applicatif pour la Réalisation de la Comptabilité analytique Hospitalière) permet la saisie des données d’activité et des données comptables, en conformité avec le « Guide méthodologique ENC ».

Le logiciel ARAMIS (Applicatif pour le Recueil Administratif et Médical des Informations par Séjour) a pour vocation le recueil des données au séjour.

La transmission des données sur la plateforme de l’agence est assurée par le logiciel e-POP. Les données par séjour sont constituées :

- des RPSS au format utilisé dans le cadre de la transmission PMSI en 2019 ;

- des données d’activité annuelle :

- nombre de journées d’hospitalisation, nombre total d’admission…

- de fichiers médico-économiques complémentaires par séjour, relatifs :

- au matériel médical

- aux autres charges au domicile du patient (spécialités pharmaceutiques, consommables, PSL, sous-traitances à caractère médical et transport des patients)

- aux passages de chaque type d’intervenant au domicile du patient

- à la logistique dédiée au patient Les données comptables sont constituées :

1) Pour ce qui concerne les établissements ex-DG

- de la balance de sortie du budget principal ;

- de l’intégralité du compte financier (bilan actif / passif, compte de résultat principal et le cas échéant les comptes de résultats annexes).

2) Pour ce qui concerne les établissements ex-OQN

- de la balance de clôture des comptes de gestion ;

- du bilan actif / passif ;

- du compte de résultat ;

- du rapport général du commissaire aux comptes ;

- en cas de date de clôture comptable annuelle différente du 31/12 : attestation de l’expert-comptable sur la situation au 31/12 en complément des éléments précédents.

Par ailleurs, à des fins de compléments sur certaines données, l’établissement pourra être amené à fournir :

- le fichier commun de structure détaillé et de la table de passage éventuelle à l’arbre analytique ENC HAD;

- le tableau d’affectation des personnels en ETP, par section d’analyse (conforme au fichier structure) et par catégorie (personnel médical, personnel soignant, personnel autres) y compris activités transversales ;

- les tableaux de la SAE 2018 et 2019 ainsi que les tableaux OVALIDE et DATIM 2019 ;

- le livret d’accueil ;

- le bilan social ;

- le Retraitement Comptable (RTC);

- le cas échéant, les certificats administratifs relatifs aux charges du CRPP consacrées aux CRPA ;

- le cas échéant, le compte de résultat et la balance détaillée des groupements de coopérations dont fait partie l’établissement ;

- tout autre document demandé par le superviseur dans le cadre de sa mission.

2 - Utilisation des logiciels de l’ATIH

Le « Pack logiciel ENC HAD» sera adressé aux établissements participant à l’ENC HAD.

Ce pack sera constitué du logiciel ARAMIS HAD et du logiciel ARCAnH (dernières versions mises en ligne). Les établissements intégrant l’ENC HAD seront formés par l’ATIH à l’utilisation de ces logiciels.

L’établissement sera informé en début de campagne des configurations exactes garantissant un bon fonctionnement technique des logiciels ARCAnH et ARAMIS.

Pour information, lors de la campagne 2018, les versions suivantes étaient requises : Systèmes d’exploitation pris en charge (1) :

- Windows 7, Windows 8, Windows 10

- Windows Server 2008, Windows Server 2012, Windows Server 2016

(1) Liste des systèmes d’exploitations sur lesquels l’application a été testée.

NB : Microsoft ne supportant plus les systèmes d’exploitation Windows XP et Vista, l’ATIH n’en assure plus la compatibilité.

Prérequis logiciels :

- Microsoft .NET Framework 4.0 : xxxx://xxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxx/xxxxxxx.xxxx?xxx00000

- Excel 2007 (ou supérieur)

- Lecteur de fichier PDF (Acrobate Reader ou autre)

L’ATIH s’engage à apporter à l’établissement l’assistance nécessaire à l’installation du pack logiciel ENC HAD.

Les droits d’auteur afférents aux logiciels ARCAnH et ARAMIS appartiennent à l’ATIH. Toute reproduction, adaptation et distribution de ces logiciels doit faire l’objet d’une autorisation formelle écrite préalable de la part de l’ATIH.

3 - Mise en œuvre d'un dispositif de suivi de la qualité des données transmises

L'établissement doit respecter les règles de codage énoncées dans le guide de production du PMSI HAD. L'ATIH s'engage à apporter à l'établissement une assistance au codage.

En outre, l'établissement veille en particulier à :

- garantir la mise à disposition de l’information nécessaire et suffisante à la description de la prise en charge de chaque patient.

- garantir l'exhaustivité des journées de prise en charge et des unités d’œuvre recueillies sur les séjours/séquences.

- Signaler tout changement relatif au contexte général de l’établissement, au découpage ou aux variations importantes d’activités en 2019 et à fournir les justificatifs ou informations s’y référant :

o éventuels évènements exceptionnels (incendie, inondation, fermeture temporaire...),

o rachat ou fusion d’établissement,

o externalisations de fonctions logistique,

o investissement important (immobilier ou gros matériel),

o changement d’éléments du système d’information,

o création ou suppression de section par rapport à l’année précédente et en préciser la cause et les conséquences,

o volumes d’activité atypiques (ouverture en cours d’année, départ d’un praticien non remplacé, fermeture en cours d’année…).

- Signaler la présence d’un GIE, GCS ou autre partenariat inter établissements :

o en préciser le mode de fonctionnement,

o fournir à l’ATIH, par le biais du superviseur, ses documents constitutifs (convention constitutive ou autre document) et le bilan financier s’y rapportant.

- Signaler le recours à une SCM pour certaines activités.

- Signaler l’arrivée ou le départ de personnes impliquées dans la démarche ENC.

- Signaler les politiques salariales et modes de rémunération particuliers (recours à la participation, fort recours à l’intérim, praticiens hospitaliers rémunérés à l’acte).

L’administrateur principal de l’établissement (APE) désigne un responsable de la validation des données transmises auquel il attribue le rôle de « valideur ENC » sur la plateforme sécurisée

e-ENC. Ce rôle est essentiel pour garantir la cohérence globale de l’information transmise.

Le valideur ENC s’engage à valider les données de l’établissement après avoir analysé l’intégralité des tableaux de contrôles produits par la plateforme.

Le processus qualité s’appuie par ailleurs sur la désignation par l’ATIH d’un superviseur pour chaque établissement. Le superviseur est chargé :

- de contrôles préliminaires (définis par l’ATIH) permettant d’apprécier, en mai, l’aptitude du système d’information de l’établissement à répondre aux exigences de la méthodologie de l’ENC ;

- de l’accompagnement de l’établissement durant la phase de mise en place des conditions préalables aux travaux, en particulier en ce qui concerne le mode d’emploi des outils informatiques cités au point 1 ;

- de l’assistance et du conseil au bénéfice de l’établissement dans la mise en œuvre de la méthodologie ENC et dans la constitution des bases de données livrables ;

- de la vérification des phases comptables, qui doivent être correctement réalisées par l’établissement, dans le respect des règles du guide méthodologique ;

- de l’évaluation de la cohérence des données de coût et d’activité résultant de l’application de la méthodologie, notamment au moyen des tableaux de contrôle créés sur la plateforme sécurisée e-ENC ;

- d’assurer les échanges avec les personnes chargées de l’étude dans l’établissement afin d’une part de justifier les valeurs extrêmes et les données suspectes et d’autre part de vérifier la correction des erreurs détectées, cela jusqu’à la validation de l’ensemble des données par l’ATIH.

Le superviseur, représentant l’ATIH, peut se rendre sur site s’il le juge souhaitable pour l’amélioration de la qualité des données. In fine, il rédige un rapport de supervision. Dans le cas de non transmission de données à l’ATIH, ou de transmission de données partielles, le rapport de supervision exposera les raisons de l’échec. L’établissement pourra faire valoir son point de vue en cas de désaccord avec le superviseur.

L’ATIH signe avec le représentant légal de l’établissement un document dit « Charte Qualité » qui engage l’établissement à produire des données respectant des indicateurs cibles.

En cas de difficultés sérieuses et persistantes, l’ATIH peut procéder sur site à un audit du système d’information de l’établissement et de son processus de recueil des données.

4 - Calendrier des transmissions de logiciels et des traitements de données pour la campagne 2019

L’ATIH transmet à l’établissement le « pack logiciel ENC HAD » au plus tard le 30 avril 2020. L’ouverture d’accès à la plateforme sécurisée e-ENC aura lieu le 31 mai 2020 au plus tard.

Il est demandé à l’établissement de respecter les deux échéances mentionnées à l’article 2 de la présente Convention.

Entre ces deux échéances, en tant que de besoin, l’établissement et le superviseur effectuent un travail conjoint d’amélioration de la qualité des données, selon un calendrier et une organisation dont ils ont l’entière maîtrise.

5 - Validation des données

Une commission de validation interne à l’ATIH, présidée par son Directeur général, examine les rapports de supervision reçus et peut demander aux établissements et/ou aux superviseurs des investigations complémentaires. Un examen plus approfondi des données transmises peut avoir lieu en cas de doute sur leur qualité, au regard de la méthodologie décrite dans le guide méthodologique. L’ATIH a pour mission d’évaluer la qualité des données transmises par l’établissement et décide de la validation ultime ou du rejet définitif des données.

Si, in fine, l’ATIH constate que, compte tenu du non-respect par l’établissement de la méthodologie décrite dans le « Guide méthodologique ENC », de la Charte Qualité, de la réglementation comptable ou des règles de codage du PMSI, ces données ne peuvent être exploitées pour l’étude, elle en informe le Directeur de l’établissement par courrier en lui précisant les motifs du rejet.

En cas de contestation, le représentant légal de l’établissement peut présenter ses observations par lettre envoyée à l’ATIH en recommandé avec accusé de réception dans un délai de 15 jours suivant la réception dudit courrier.

6 – Désignation du représentant de l’ATIH chargé de la supervision

L’établissement est informé au plus tard le 30 avril 2020 de l’identité du superviseur : la période de supervision commence donc à ce moment-là.

7 – Désignation des correspondants de l'étude

Au sein de l’ATIH :

Xxx Xxxxxxxx XXXXXXX

Cheffe du Service Etudes Nationales de Coûts Tél : 00 00 00 00 00

e-mail : xxxxxxxx.xxxxxxx@xxxx.xxxxx.xx

Mme XXXXXXX doit être contactée pour tout problème lié à l’ENC qui ne relèverait pas directement du superviseur.

Au sein de l’établissement :

Pour sa part, l'établissement désigne pour sa première année de participation en son sein des correspondants chargés des différents domaines de l'étude et de sa coordination. Ces correspondants sont :

RESPONSABILITE DANS L'ENC	NOM et PRENOM	FONCTION DANS L’ETABLISSEMENT	COORDONNEES
Représentant de la Direction			Tél : e-mail :
Chef de Projet ENC			Tél : e-mail :
Interlocuteur ARCANH			Tél : e-mail :
Interlocuteur ARAMIS			Tél : e-mail :

L'ATIH s'engage à informer l’établissement de tout changement qui pourrait intervenir dans la désignation de son superviseur.

L'établissement s'engage à informer l’ATIH de tout changement qui pourrait intervenir dans la désignation de l’un de ses correspondants, par mail, à xxx.xxx@xxxx.xxxxx.xx

Annexe 2 relative à la protection des données personnelles

Objet

La présente annexe a pour objet la définition des conditions dans lesquelles l’établissement, désigné ci-après par « le sous-traitant », s’engage à effectuer pour le compte de l’ATIH, désignée ci-après par « le responsable de traitement », les opérations de traitement de données à caractère personnel objet de la convention.

Les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (RGPD).

Obligations du sous-traitant vis-à-vis du responsable de traitement :

Le sous-traitant s’engage à :

1. traiter les données uniquement pour les finalités qui font l’objet de la présente sous- traitance.

2. traiter les données conformément aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

3. garantir la confidentialité des données à caractère personnel traitées pour le compte du responsable de traitement.

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel :

o s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,

o reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

6. Sous-traitance

Le sous-traitant peut faire appel à un autre sous-traitant (désigné ci-après « sous-traitant ultérieur ») pour mener des activités de traitement spécifiques en lien avec le présent contrat.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la réglementation en vigueur applicable à la protection des données personnelles.

Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de l’exécution de ses obligations.

7. Droit d’information des personnes concernées

Il appartient au sous-traitant de fournir aux personnes concernées l’information relative aux traitements de données au moment de la collecte des données.

Conformément aux articles 13 et 14 du RGPD, le sous-traitant informe individuellement les personnes concernées des finalités du traitement de ses données personnelles, des destinataires des données ainsi que leurs droits d’accès, de rectification et de suppression des informations les concernant, ainsi que leur droit d’opposition au traitement de leurs données personnelles.

8. Exercice des droits des personnes

Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le RGPD aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données traitées dans le cadre de la présente convention.

9. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations

Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.

Le sous-traitant apporte tout son concours au responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle (la Commission nationale de l’informatique et des libertés).

10. Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dès qu’il en a connaissance à l’adresse suivante : xxxxxxxxxxxxxxxxxxx@xxxx.xxxxx.xx

Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

11. Mesures de sécurité

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité permettant de garantir la confidentialité et l’intégrité des données à caractère personnel notamment :

- la pseudonymisation des données à caractère personnel au moment de la collecte et du transfert des données vers le responsable de traitement ;

- les moyens permettant de garantir la confidentialité, l’intégrité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

- les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

- une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

12. Sort des données

Au terme de la durée de conservation des données figurant dans la convention, le sous- traitant s’engage à détruire toutes les données à caractère personnel recueillies dans le cadre de la mise en œuvre du traitement objet de la convention.

Un bordereau de destruction des données, signé sous la responsabilité du représentant légal du sous-traitant, est transmis au responsable de traitement.

Les modalités de sécurité en matière de protection des données sont indiquées ci-dessus.

13. Délégué à la protection des données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données.

14. Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

- Le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;

- Les catégories de traitements effectués pour le compte du responsable de traitement ;

- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas de transferts visés à l’article 49, paragraphe I, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;

- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

15. Documentation

Le sous-traitant met à la disposition du responsable de traitement, à sa demande, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

1. fournir au sous-traitant les données visées à l’article 2 du présent contrat ;

2. documenter par écrit toute instruction complémentaire au présent contrat concernant le traitement des données par le sous-traitant ;

3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la réglementation en vigueur applicable à la protection des données personnelles de la part du sous-traitant ;

4. superviser le traitement, y compris réaliser le cas échéant les audits et les inspections auprès du sous-traitant.