Contrat d’Hébergement certifié de données de santé
Dernière mise à jour : Juin 2024
Contrat d’Hébergement certifié de données de santé
Le Contrat d’Hébergement certifié des données de santé (ci-après dénommé le « Service d’Hébergement ») fait partie intégrante des Conditions Générales d’Utilisation de ResMed HealthCare Informatics Services (qui incluent notamment l’application AirView).
En acceptant les Conditions Générales d’Utilisation, le Client consent inconditionnellement aux stipulations du présent contrat.
ARTICLE 1. OBJET
Les présentes stipulations définissent les conditions techniques et organisationnelles dans lesquelles ResMed fournit au Client le Service d’Hébergement.
ARTICLE 2. DEFINITIONS
Dans le présent document, lorsqu’un mot ou une expression est écrit avec une majuscule, les parties
conviennent qu’il a le sens suivant :
« Certification HDS » désigne la certification définie et encadrée par l’article L. 1111-8 du Code de la santé publique et ses textes d’application ; le Service d’Hébergement bénéficie d’une Certification HDS en tant que Service d’Hébergement de données de santé à caractère personnel.
« Client » désigne le titulaire de la licence d’utilisation du Service AirView.
« Conditions Générales d’Utilisation » désigne les Conditions Générales d’Utilisation de ResMed HealthCare Informatics Services (qui incluent notamment l’application AirView).
« Contrat d’Hébergement » désigne le présent contrat de fourniture du Service d’Hébergement.
« Customer Data » désigne les données du Client telles que plus amplement définies par les Conditions
Générales d’Utilisation.
« Niveaux de Services » ou « SLA » désigne les indicateurs et engagements de qualité de service appliqués spécifiquement au Service d’Hébergement par ResMed en tant que résultats attendus par le Client.
« Personne Concernée » désigne une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, ou à un ou plusieurs éléments spécifiques propres à son identité et dont les données de santé à caractère personnel sont hébergées par ResMed ; les données des Personnes Concernées peuvent être soit des « Customer Data », soit des « Patient Data » au sens donné au sein des Conditions Générales d’Utilisation.
« Réglementation » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD ») et/ou toute autre réglementation locale applicable à la protection des données à caractère personnel ; dans le cadre du Contrat d’Hébergement, les termes utilisés sont définis et interprétés au sens des dispositions du RGPD, et ce qu’ils soient utilisés avec ou sans majuscule.
« ResMed HealthCare Informatics Services » désigne les Services et les systèmes, sites Web, applications, modules de communication en ligne et autres infrastructures ResMed utilisés par ResMed pour fournir les Services.
« Services » désigne les services permettant, entre autres, l’accès aux informations personnelles de santé et aux autres informations, les communications, la conformité, l’hébergement des données sur le cloud, l’extraction, le système de gestion des patients, les activités de facturation, les analyses de patients et de clients et le programme de support en ligne proposé par ResMed par l’intermédiaire d’une ou de plusieurs des applications. AirView est une de ces applications.
« Service d’Hébergement » désigne les prestations d’hébergement de données de santé fournies par ResMed. Le Service d’Hébergement est l’un des « Services » tel que ce terme est défini et utilisé par les Conditions Générales d’Utilisation. Seul le Service d’Hébergement relève des obligations légales et règlementaires définies par l’article L 1111-8 du Code de la santé publique et ses textes d’application, les autres « Services » fournis dans les conditions définies par les Conditions Générales d’utilisation étant distincts du Service d’Hébergement.
« Violation de données à caractère personnel » désigne une violation de la sécurité, entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Dans le Contrat d’Hébergement, lorsqu’un mot ou une expression est écrit avec une majuscule et n’est pas défini dans le présent article 2, les parties conviennent qu’il a le sens qui lui est donné par les Conditions Générales d’Utilisation.
ARTICLE 3. DUREE
Le Contrat d’Hébergement prend effet à la date l’acceptation des Conditions Générales d’Utilisation
par le Client, pour toute la durée des Conditions Générales d’Utilisation.
ARTICLE 4. CERTIFICATION HDS DE RESMED
ResMed dispose depuis le 3 août 2020 d’une Certification HDS du Service d’Hébergement au sens de
l’article L. 1111-8 du Code de la santé publique.
ResMed garantit que les infrastructures d’hébergement de données de santé sont certifiées HDS à la
date de signature des Conditions Générales d’Utilisation.
ResMed s’engage à maintenir cette certification, ou toute autorisation équivalente prévue par la loi,
pour toute la durée des Conditions Générales d’Utilisation.
Les certificats de conformité obtenus dans le cadre de la Certification HDS, mentionnant notamment leurs dates d’obtention et leurs durées, ainsi que leurs périmètres de certification sont disponibles sur simple demande à l’adresse suivante : xxxxxxx.xxxxxxx@xxxxxx.xx.
En cas de suspension ou de retrait de la Certification HDS du Service d’Hébergement, ResMed le notifiera dans les plus brefs délais au Client.
En cas de suspension de la Certification HDS du Service d’Hébergement de ResMed, le Client aura la faculté de résilier les Conditions Générales d’Utilisation en adressant à ResMed un courrier recommandé avec accusé de réception. Cette résiliation prendra effet au jour de la réception par ResMed du courrier recommandé avec accusé de réception. L’exercice du droit de résiliation n’est pas
équivalent à l’exercice du droit de restitution. L’exercice du droit de restitution se fait dans les mêmes conditions que ce qui est décrit par l’article 11 de l’annexe B (DPA) des conditions générales d’utilisation d’AirView.
En cas de retrait définitif de la Certification HDS de ResMed sans fourniture par ResMed ou par un prestataire désigné par ResMed d’un Service d’Hébergement de données de santé bénéficiant d’une Certification HDS, les Conditions Générales d’Utilisation prennent fin de plein droit.
ARTICLE 5. LIEUX D’HEBERGEMENT DES DONNEES
ResMed s’engage à héberger ou faire héberger par un sous-traitant bénéficiant d’une Certification HDS les Customer Data au sein de l’Union Européenne. Dans la configuration actuelle, les Customer Data sont hébergées, respectivement, en Allemagne et en France (système principal et système secondaire).
ARTICLE 6. OBLIGATIONS DE RESMED – DESCRIPTION DU SERVICE D’HEBERGEMENT
Le Service d’Hébergement comprend les prestations suivantes :
« La gestion de la plateforme digitale qui soutient les opérations de collecte et de stockage des données de santé pour les applications suivantes de ResMed en Europe : AirView, système de gestion des informations des équipements médicaux pour les professionnels de santé ;
myAir, outil d’accès aux données de santé et de coaching pour les patients. […]
Le périmètre du SMSI est limité au site de ResMed Lyon et couvre les activités ASIP HDS #1 à #6 définies dans le « Référentiel d’accréditation » HDS V1.1. »
ResMed est tenue à une obligation générale de moyens, et s’engage à ce titre à fournir le Service d’Hébergement conformément aux règles de l’art et de sa profession et notamment à apporter son savoir-faire, son expérience, son expertise, ainsi que tous matériels et/ou logiciels requis.
ResMed est seule responsable des moyens et méthodes qu’elle met en œuvre dans le cadre de la fourniture du Service d’Hébergement.
ResMed garantit les Niveaux de Services définis dans les Conditions Générales d’Utilisation de ResMed HealthCare Informatics (annexe D, § 5) qui sont accessibles à l’adresse suivante : xxxxx://xxxxxxx.xxxxxx.xxx/xxxx/xxxxxxxxxxxxxxxx.
Le Client confirme avoir pris connaissance des Niveaux de Services garantis par ResMed et déclare les accepter sans réserve.
ResMed s’engage à notifier au Client tout problème ou difficulté survenant à l’occasion de la fourniture du Service d’Hébergement dès que ResMed en a connaissance et dès lors que ce problème ou cette difficulté a un impact éventuel ou avéré sur l’hébergement des Customer Data.
ResMed garantit, dans le cadre de la fourniture du Service d’Hébergement, la disponibilité, l’intégrité,
la confidentialité, la traçabilité des Customer Data.
ARTICLE 7. ACCES AUX DONNEES DE SANTE A CARACTERE PERSONNEL HEBERGEES
ResMed dispose d’une politique d’habilitation du personnel intervenant dans le cadre du Service d’Hébergement. ResMed est à la disposition du Client pour répondre à aux questions du Client à propos de cette d’habilitation. Le Client est invité à transmettre ses questions à l’adresse suivante : xxxxxxx.xxxxxxx@xxxxxx.xx.
La politique d’habilitation identifie les différentes personnes habilitées à intervenir dans le cadre de la fourniture du Service d’Hébergement et détermine les modalités d’attribution des droits d’accès, telles que la validation, la durée, la révocation, la suspension, la modification et la suppression.
Les systèmes d’identification et d’authentification utilisés par RESMED sont conformes aux référentiels mentionnés à l’article L. 1110-4-1 du Code de la santé publique, et notamment les référentiels de la politique générale de sécurité des systèmes d’information de santé (« PGSSI-S »).
Le Client s’engage à mettre en œuvre un système d’information respectant la PGSSI-S.
Le Client confirme avoir pris connaissance de la politique d’habilitation de XxxXxx et déclare l’accepter
sans réserve.
ARTICLE 8. DROITS DES PERSONNES CONCERNEES
Article 8.1. Exercice des droits des Personnes Concernées
Le Client s’engage à garantir le respect des droits des Personnes Concernées par les données hébergées, et notamment à :
- Les informer du recours à un hébergeur de données de santé certifié ;
- Les informer qu’elles disposent à cet effet d’un droit d’opposition à cet hébergement, sous réserve d’invoquer un motif légitime, conformément aux dispositions de l’article L. 1111-8 du Code de la santé publique ;
- Les informer qu’elles disposent :
o D’un droit d’accès ;
o D’un droit d’opposition ;
o D’un droit de rectification ;
o D’un droit de limitation du traitement ;
o D’un droit à l’effacement ;
o D’un droit à la portabilité ;
o D’un droit d’introduire une réclamation auprès de la CNIL ;
o D’un droit de communiquer ses directives concernant le sort de ses données à
caractère personnel après sa mort.
ResMed s’engage, dans toute la mesure du possible, à aider le Client dans la gestion d’une demande d’exercice de droits d’une Personne Concernée.
Lorsqu’une Personne Concernée exerce ses droits directement auprès de ResMed à l’adresse suivante
: xxxxxxx@xxxxxx.xx, XxxXxx s’engage, dès réception de cette demande, à l’adresser au Client par e- mail (à l’exclusion de toute communication de données de santé à caractère personnel).
ResMed ne répondra pas directement à une demande d’exercice de droit en lien avec le Service d’Hébergement, sauf sur les instructions documentées du Client ou si cela est requis par les lois applicables auxquelles ResMed est soumis.
Dans cette hypothèse, XxxXxx informera le Client de cette exigence légale dans la limite de ce qui est
permis par les lois applicables, avant de répondre à la demande d’exercice de droit.
Article 8.2. Information des Personnes Concernées.
Le Client s’engage, en tant que responsable de traitement au sens de la Réglementation, à mettre en œuvre un dispositif écrit d’information et de recueil du consentement adapté et conforme à la Règlementation en vue de garantir l’information complète des Personnes Concernées.
Le Client s’engage à ce que ce dispositif d’information décrive de manière intelligible et adaptée le Service d’Hébergement des données de santé à caractère personnel des Personnes Concernées, ainsi que les modalités d’accès et de transmission de leurs données de santé à caractère personnel.
Le Client s’engage en outre à informer les Personnes Concernées de l’ensemble des évolutions susceptibles d’intervenir sur le Service d’Hébergement chaque fois que ResMed l’en informe.
ARTICLE 9. VIOLATION DE DONNEES A CARACTERE PERSONNEL
ResMed s’engage à informer le Client sans délai dès que ResMed aura connaissance d’une Violation de données à caractère personnel affectant les Customer Data par ResMed dans le cadre du Service d’Hébergement.
ResMed s’engage à fournir au Client les informations suffisantes lui permettant de répondre à toute obligation de signalement ou d’information des Personnes Concernées.
ResMed s’engage à coopérer avec le Client et à prendre toutes les mesures commerciales raisonnables qui lui seront demandées par le Client pour l’aider à enquêter, atténuer et remédier à chacune des Violations de données à caractère personnel portant sur les données de santé hébergées.
ARTICLE 10. SOUS-TRAITANTS
Le Client autorise ResMed à faire appel à des sous-traitants sous réserve d’en notifier préalablement
le Client et de conclure un accord écrit avec les sous-traitants.
La liste des sous-traitant utilisés par ResMed est disponible à l’adresse suivante :
xxxxx://XxxXxx.xxx/XxxXxxxXxxXxxxxxxxxx.
ResMed s’engage à reporter dans les engagements qu’il contractera avec des sous-traitants les obligations qui lui incombent au titre du Contrat d’Hébergement et des Conditions générales d’Utilisation. ResMed restera seule responsable vis-à-vis du Client de l’exécution de ses obligations contractuelles issues du Contrat d’Hébergement.
ResMed fournit au Client un préavis d’au moins trente jours (30 jours) pour toute nomination ou remplacement d’un Sous-traitant secondaire. Le Client peut contester la nomination ou le remplacement d'un Sous-traitant secondaire par ResMed avant l'application d'une telle mesure sous réserve de motifs raisonnables concernant la protection des données, par courrier recommandé avec accusé de réception, au plus tard trente (30) jours après la notification de changement effectuée par ResMed. Dans ce cas, soit ResMed ne nommera pas ou ne remplacera pas ledit Sous-traitant secondaire soit, si cela n'est pas raisonnablement, commercialement et techniquement possible, le Client pourra suspendre ou résilier les Conditions (sans préjudice de tout frais encouru par le Client avant la suspension ou la résiliation) en notifiant ladite résiliation sous la forme d’un courrier recommandé avec accusé de réception, en respectant un préavis de trois (3) mois.
ARTICLE 11. EVOLUTION DU SERVICE D’HERBEGEMENT DE DONNEES
ResMed a la possibilité de modifier le Service d’Hébergement, ses outils ou les infrastructures nécessaires à la réalisation du Service d’Hébergement, à condition de garantir une qualité de Service d’Hébergement et un Niveau de Service au moins équivalents.
En tout état de cause, les éventuelles modifications opérées par ResMed au Service d’Hébergement fourni, en termes de techniques, méthodes de travail, outils, savoir-faire et/ou procédés de mise en œuvre ne devront pas être de nature à compromettre la bonne et complète exécution du Service d’Hébergement, ni le niveau de sécurité convenu.
Dans tous les cas, XxxXxx s’engage à informer le Client dans les meilleurs délais de toute modification impactant le Service d’Hébergement, qu’il s’agisse de modifications techniques, de méthodes de travail, d’outils, de savoir-faire et/ou de procédés de mise en œuvre.
ARTICLE 12. AUDITS
ResMed commanditera régulièrement un audit indépendant pour évaluer et documenter la pertinence des mesures techniques et organisationnelles mise en œuvre dans le cadre du Service d’Hébergement, et partagera, sur demande écrite du Client, un récapitulatif des résultats de cet audit et/ou d’autres informations connexes que le Client peut raisonnablement exiger. Le Client pourra également mandater tout représentant autorisé de son choix et raisonnablement agréable à ResMed pour venir consulter, dans la limite d’une fois par année calendaire, le dernier rapport d’audit, exclusivement consultable sur le site certifié et en anglais, moyennant un préavis de trente jours calendaires et pendant les heures normales d’ouverture. La copie du rapport d’audit n’est pas autorisée et sa consultation soumise à la signature d’un accord de confidentialité et au respect des règlements et procédures en vigueur au sein du site certifié.
Ces informations sont des informations confidentielles de ResMed, ces informations sont des informations protégées au titre du secret des affaires (articles 151-1 et suivants du Code de commerce) ; elles pourront être soumises à d’autres exigences raisonnables de confidentialité (y compris, mais non limité à, l’exécution d’un accord de confidentialité séparé).
Si XxxXxx ne commandite pas de tels audits ou n’en partage pas les résultats, le Client est autorisé à vérifier la pertinence des mesures techniques et organisationnelles de ResMed par lui-même ou par l’intermédiaire d’un représentant autorisé du Client.
Si le Client décide d’auditer ResMed, le Client doit fournir à ResMed un plan d’audit écrit (comprenant des détails techniques complets qui pourraient avoir un impact sur l’hébergement des données) pour approbation par ResMed, avec un préavis de trois (3) mois.
Tout aspect de cet audit est une information confidentielle de ResMed et une information protégée au titre du secret des affaires (articles 151-1 et suivants du Code de commerce) ; tout aspect de cet audit peut par conséquent être soumis à d’autres exigences raisonnables de confidentialité (y compris, mais non limité à, l’exécution d’un accord de confidentialité séparé).
ResMed pourra également répondre à toute question d’audit écrite qui lui sera soumise par le Client.
Les réponses de ResMed sont des informations confidentielles de ResMed, ces informations sont des informations protégées au titre du secret des affaires (articles 151-1 et suivants du Code de commerce) ; elles pourront être soumises à d’autres exigences raisonnables de confidentialité (y compris, mais non limité à, l’exécution d’un accord de confidentialité séparé).
Si pour les besoins d’un audit, le Client devait désigner un prestataire, le Client devrait en aviser ResMed suivant les mêmes modalités que le plan d’audit, ResMed se réservant la faculté de refuser le prestataire désigné par le Client en cas de risque de conflit d’intérêts ou de concurrence.
ARTICLE 13. GARANTIES ET PROCEDURES
Le Client confirme avoir pris connaissance des procédures et garanties mises en place par ResMed en cas de défaillance du Service d’Hébergement et déclare les accepter sans réserve.
ResMed s’engage à répondre aux questions du Client à propos de ces procédures et garanties ; le Client est invité à transmettre ses questions à l’adresse suivante : xxxxxxx.xxxxxxx@xxxxxx.xx.
ARTICLE 14. LIMITATIONS
Dans le cadre exclusif du Service d’Hébergement et sous réserve d’autres « Services » (au sens des Conditions Générales d’Utilisation) fournis par ResMed, ResMed s’engage à n’utiliser les Customer Data que dans la limite de l’exécution du Service d’Hébergement et conformément aux instructions du Client.
Dans le cadre exclusif du Service d’Hébergement, XxxXxx s’engage et garantit que les Customer Data ne seront pas utilisées à d’autres fins que celles spécifiées par le Client, et notamment à des fins marketing, publicitaires, commerciales ou statistiques. Cet engagement n’est valable que dans le cadre du Contrat d’Hébergement et du Service d’Hébergement. En conséquence, si ResMed fournit d’autres services que le Service d’Hébergement, il peut arriver que ResMed utilise les Customer Data pour un usage exclu par le présent Contrat d’Hébergement. Si ce cas se présente, l’utilisation des Customer Data par ResMed aura lieu en conformité avec la Réglementation.
ARTICLE 15. SECURITE
ResMed s’engage à prendre toutes les mesures techniques et organisationnelles nécessaires pour protéger les Customer Data hébergées, telles que visées au sein de l’Annexe B des Conditions Générales d’Utilisation.
En cas d’incidents en lien avec des mesures de protection des données de santé à caractère personnel sous le contrôle du Client, le Client s’engage à en informer ResMed qui fera ses meilleurs efforts pour l’aider à y remédier.
ARTICLE 16. SAISIES DE DONNEES
En cas de saisies judiciaires portant sur des données à caractère personnel, ResMed s’engage à
respecter la politique de saisie des données de ResMed.
Le Client reconnait avoir pris connaissance de la politique de saisie des données et déclare l’accepter
sans réserve.
La politique prévoit notamment les modalités de notification d’une telle saisie au Client, à moins que
cette notification soit interdite par le droit applicable.
ARTICLE 17. POINT DE CONTACT
En cas d’incident ayant un impact sur les Customer Data, XxxXxx s’engage à contacter le référent contractuel que le Client s’engage à désigner auprès de ResMed au jour de l’acceptation des Conditions Générales d’Utilisation.
Le Client doit fournir à ResMed les coordonnées d'une personne chez le Client qui doit être en mesure de fournir à ResMed le nom d'un professionnel de santé qui accompagne le Client chaque fois que nécessaire (exemples : accès aux données de santé, gestion des relations avec le patient, etc.). En cas de changement, il est de la responsabilité du Client de mettre à jour ces coordonnées et de les communiquer sans délai à ResMed.
ARTICLE 18. FIN DU SERVICE D’HEBERGEMENT
ResMed s’engage, au terme du Service d’Hébergement ou en cas de rupture anticipée des Conditions Générales d’Utilisation, à ne garder aucune copie des Customer Data, à moins qu’il n’en soit exigé autrement par la Réglementation ou toute autre réglementation applicable à ResMed, et à restituer les Customer Data au Client.
Les conditions de restitution ou de destruction des Customer Data, ou plus largement, le processus de réversibilité sont précisées au sein des politiques de restitution, destruction et réversibilité.
Les droits du Client à obtenir la restitution, la destruction ou réversibilité des données sont objets des stipulations des Conditions Générales d’Utilisation de ResMed HealthCare Informatics (Annexe B -
Le Client reconnait avoir pris connaissance des politiques de restitution, destruction et réversibilité et
déclare l’accepter sans réserve.