Préambule
Dans le cadre de l’exécution du Contrat de vente signé entre Roche Diagnostics France et le Client, Roche Diagnostics France peut être amenée à traiter des données à caractère personnel pour le compte et sur les instructions du Client au cours des prestations d’installation, de maintenance et de mise au rebut d’automates et/ou d’installation, d’extension, de maintenance et de désinstallation de logiciels ou des lecteurs de biologie délocalisée (ci-après les « Prestations »),
A ce titre dans le cadre de l’exécution de ces Prestations qui nécessitent un traitement de données à caractère personnel, Roche Diagnostics France agit en tant que sous-traitant du Client et le Client agit en tant que responsable de traitement au sens du Règlement (UE) 2016-679 du Parlement et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 – « RGPD » et de la loi Informatique et Libertés modifiée par la loi n°2018-493 du 20 juin 2018 - (ci-après la « Réglementation relative à la protection des données personnelles »).
Les Parties entendant s’assurer de la conformité de leurs interactions aux obligations qui leur incombent au titre de la Réglementation relative à la protection des données personnelles, elles ont convenu de rédiger la présente Annexe (ci-après désigné l’« Annexe »).
Définitions
Dans le cadre de cette Annexe les termes listés ci-dessous ont la définition suivante :
« Automate » : Tout système analytique et péri-analytique fourni par Roche Diagnostics France au Client permettant de produire un résultat d’examen de biologie médicale ou de gérer un échantillon biologique qu’il soit connecté ou non au Système d’information du laboratoire (« SIL »).
« Donnée à caractère personnel » : Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Lecteur de biologie délocalisée » : Tout lecteur de biologie délocalisée fourni par Roche Diagnostics France qu’il soit connecté ou non au SIL tels que AccuChek Inform II system, CoaguChek® Pro II, cobas h 232 POC system, cobas b 101 system, cobas® Liat® System, Urysis 1100® analyser.
« Logiciel » : Tout logiciel installé par Roche Diagnostics France tels que le cobas IT 1000, MPL, Cobas academy, Ventana Connect, Ventana Vantage, Ventana Virtuoso et Ventana Vector.
« Responsable du traitement » : Personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Dans le cadre de la présente Annexe le Responsable de traitement est le Client.
« Sous-traitant » : Personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement. Dans le cadre de la présente Annexe le Sous-traitant est la société Roche Diagnostics France.
« Traitement » : Toute opération ou tout ensemble d'opérations effectué à l'aide de procédés automatisés ou non et appliqué à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
« Télémaintenance » : Activité qui consiste à assurer à distance des modifications de paramètres et de configuration de logiciels de tout ou partie d’un système d’information afin d’en maintenir le bon fonctionnement ou de faire évoluer son fonctionnement. Exemples : l’exploitation et l’administration technique, l’analyse d’incident technique, la mise à jour de logiciel.
« Télésurveillance technique » : Activité qui consiste à recueillir à distance et analyser des informations relatives au fonctionnement technique de tout ou partie d’un système d’information en vue de suivre ce fonctionnement, d’en prédire les évolutions ou de détecter d’éventuelles anomalies. Exemples : le suivi d’indicateurs de charge d’un ensemble d’équipements, l’exécution cyclique de tests d’une application pour vérifier qu’elle est toujours disponible.
Objet
La présente Annexe a pour objet de définir les conditions dans lesquelles les Parties s’engagent à effectuer les opérations de traitement de Données à caractère personnel dans le cadre des Prestations d’installation, de maintenance et de mise au rebut d’Automates (Partie 1) et/ou dans le cadre de l’intégration, l’extension, la maintenance et la désinstallation des Logiciels (Partie 2) et/ou dans le cadre de l’installation, la mise à jour et la désinstallation des Lecteurs de biologie délocalisée (Partie 3). L’ensemble des obligations des Parties au regard de la Réglementation relative à la protection des données personnelles est précisé en Partie 4.
Partie 1 : DESCRIPTION DES TRAITEMENTS FAISANT L’OBJET DE LA SOUS-TRAITANCE DANS LE CADRE DES PRESTATIONS D’INSTALLATION, DE MAINTENANCE ET DE MISE AU REBUT D’AUTOMATES
Dans le cas où Roche Diagnostics France fournit au Client un ou des Automates, Roche Diagnostics France est autorisée à traiter des Données à caractère personnel pour le compte du Client dans le cadre des traitements décrits ci-après.
1. Finalité des Traitements
Les Traitements réalisés par Roche Diagnostics France pour le compte du Client ont pour finalité :
- INSTALLATION : Roche Diagnostics France est amenée à traiter les Données à caractère personnel pour le compte du Client en vue de réaliser une prestation d’installation du oudes Automates, comprenant les opérations suivantes :
- Phase de pré-production :
‐ Réalisation de tests sur les échantillons de production afin de vérifier les traitements réalisés par l’Automate en cours d’installation ;
‐ Validation des méthodes avec des échantillons de production ;
‐ Validation des connexions entre l’Automate et le SIL et/ou le middleware, le cas échéant.
- Phase de bascule : mise en production amorçant la phase de maintenance.
- MAINTENANCE : Roche Diagnostics France est amenée à traiter les Données à caractèrepersonnel pour le compte du Client en vue de réaliser des prestations de maintenance préventive et corrective de l’Automate. Il peut s’agir d’une télémaintenance ou d’une télésurveillance technique.
- FIN DE VIE : Le Client a l’obligation de supprimer toutes les Données à caractère personnel présentes dans les Automates avant toute désinstallation effectuée parRoche Diagnostics France en vue d’une reprise, d’une mise au rebut ou de la destruction de l’Automate et de procéder aux sauvegardes nécessaires pour respecter sesobligations légales de conservation. C’est seulement dans les cas où le Client ne seraitpas en mesure de supprimer les Données à caractère personnel pour des raisons techniques qu’il peut alors en faire la demande à Roche Diagnostics France. C’est donc dans cette unique situation que Roche Diagnostics France pourrait être amenée à traiterles Données à caractère personnel pour le compte du Client dans le cadre de la fin de vied’un Automate.
2. Durée des Traitements
Les Traitements réalisés par Roche Diagnostics France pour le compte du Client sont réalisés pendant toute la durée des Prestations fournies par Roche Diagnostics France au profit du Client.
3. Type de Données à caractère personnel traitées
Les Données à caractère personnel traitées sont celles figurant dans le ou les Automate(s) objet(s) du contrat de vente signé entre Roche Diagnostics France et le Client et concernant notamment :
- Données relatives à l’examen de biologie médicale et au résultat de l’examen ;
- Données relatives au patient ;
- Données relatives au personnel du Client ;
- Données relatives aux personnes intervenant sur l’Automate.
4. Catégories de personnes concernées
Les catégories de personnes concernées sont celles dont les données sont traitées par l’Automate, incluant le personnel du Client, les patients pris en charge par le Client et le personnel des prestataires (Roche Diagnostics France inclus) intervenant sur l‘Automate.
Partie 2 : DESCRIPTION DES TRAITEMENTS FAISANT L’OBJET DE LA SOUS-TRAITANCE DANS LE CADRE DE L’INTEGRATION, L’EXTENSION, LA MAINTENANCE ET LA DESINSTALLATION DES LOGICIELS
Dans le cas où Roche Diagnostics France fournit au Client un ou des Logiciels(s), Roche Diagnostics France est autorisée à traiter des Données à caractère personnel pour le compte du Client dans le cadre des traitements décrits ci-après.
1. Finalité des Traitements
Les Traitements réalisés par Roche Diagnostics France pour le compte du Client ont pour finalité :
- INSTALLATION : Roche Diagnostics France est amenée à traiter les Données à caractère personnel pour le compte du Client en vue de réaliser une prestation d’installation etd’extension du ou des Logiciels, comprenant les opérations suivantes :
- Phase de pré-production :
‐ Chargement des bases de données du ou des Logiciels : récupération des bases de données existantes si nécessaire, saisie ou injection des données dans le Logiciel (prescripteurs, destinataires des comptes rendus, etc.) ;
‐ Si demandé reprise des antériorités avec bascule dans un logiciel tiers ;
‐ Réalisation de tests sur les échantillons de production afin de vérifier les traitements réalisés par le Logiciel en cours d’installation ;
- Phase de bascule : mise en production amorçant la phase de maintenance.
- MAINTENANCE : Roche Diagnostics France est amenée à traiter les Données à caractèrepersonnel pour le compte du Client en vue de réaliser des prestations de maintenanceévolutive (dont règlementaire) et corrective du Logiciel.
- DESINSTALLATION : Le Client a l’obligation de supprimer toutes les Données à caractère personnel présentes dans les Logiciels avant toute désinstallation effectuée par Roche Diagnostics France en vue d’une reprise, de mise au rebut ou de destruction du Logiciel et procéder aux sauvegardes nécessaires pour respecter ses obligations légales de conservation. C’est seulement dans les cas où le Client ne peut supprimer les Données à caractère personnel pour des raisons techniques qu’il peut en faire la demande à Roche Diagnostics France. C’est dans ce dernier cas que Roche Diagnostics France peut être amenée à traiter les Données à caractère personnel pour le compte du Client dans le cadre de la fin de vie du Logiciel. Dans ce cas cette prestation fera l’objet d’un contrat spécifique.
2. Durée des Traitements
Les Traitements réalisés par Roche Diagnostics France pour le compte du Client sont réalisés pendant toute la durée des Prestations fournies par Roche Diagnostics France au profit du Client.
3. Type de données à caractère personnel traitées
Les Données à caractère personnel traitées sont celles figurant dans le ou les Logiciel(s) objet(s) du contrat de vente signé entre Roche Diagnostics France et le Client et concernent notamment :
- Données relatives à l’examen de biologie médicale et au résultat de l’examen ;
- Données relatives au patient ;
- Données relatives au personnel du Client ;
- Données relatives aux personnes intervenant sur le Logiciel.
4. Catégories de personnes concernées
Les catégories de personnes concernées sont celles dont les données sont traitées dans le Logiciel, incluant le personnel du Client, les patients pris en charge et le personnel des prestataires (Roche Diagnostics France inclus) intervenant sur le Logiciel.
Partie 3 : DESCRIPTION DES TRAITEMENTS FAISANT L’OBJET DE LA SOUS-TRAITANCE DANS LE CADRE DE L’INSTALLATION, LA MISE A JOUR ET LA DESINSTALLATION DES LECTEURS DE BIOLOGIE DELOCALISEE
Dans le cas où Roche Diagnostics France fournit au Client un ou des Lecteurs de biologie délocalisée, Roche Diagnostics France est autorisée à traiter des Données à caractère personnel pour le compte du Client dans le cadre des traitements décrits ci-après.
1. Finalité des Traitements
Les Traitements réalisés par Roche Diagnostics France pour le compte du Client ont pour finalité :
- INSTALLATION : Roche Diagnostics France est amenée à traiter les Données à caractèrepersonnel pour le compte du Client en vue de réaliser une prestation d’installation desLecteurs de biologie délocalisée comprenant les opérations suivantes :
‐ Réalisation de tests sur les échantillons de production afin de vérifier les traitements réalisés par le Lecteur de biologie délocalisée en cours d’installation ;
‐ Validation des connexions entre le Lecteur de biologie délocalisée et le SIL et/ou le middleware, le cas échéant.
- MISE A JOUR : Roche Diagnostics France est amenée à traiter les Données à caractèrepersonnel pour le compte du Client en vue de réaliser des mises à jour des Lecteurs debiologie délocalisée. Il peut s’agir d’une télémaintenance ou d’une télésurveillancetechnique.
- DESINSTALLATION : Le Client a l’obligation de supprimer toutes les Données à caractère personnel présentes dans les Lecteurs de biologie délocalisée avant toute reprise du Lecteur par Roche Diagnostics France en vue notamment d’une mise au rebut ou de la destruction du Lecteur et de procéder aux sauvegardes nécessaires pour respecter ses obligations légales de conservation. C’est seulement dans les cas où le Client ne serait pas en mesure de supprimer les Données à caractère personnel pour des raisons techniques qu’il peut alors en faire la demande à Roche Diagnostics France. C’est donc dans cette unique situation que Roche Diagnostics France pourrait être amenée à traiter les Données à caractère personnel pour le compte du Client dans le cadre de la fin de vied’un Lecteur de biologie délocalisée. Dans ce dernier cas un contrat spécifique de suppression des données sera conclu entre les Parties.
2. Durée des Traitements
Les Traitements réalisés par Roche Diagnostics France pour le compte du Client sont réalisés pendant toute la durée des Prestations fournies par Roche Diagnostics France au profit du Client.
3. Type de Données à caractère personnel traitées
Les Données à caractère personnel traitées sont celles figurant dans le ou les Lecteur(s) de biologie délocalisée objet(s) du contrat de vente signé entre Roche Diagnostics France et le Client et concernant notamment :
- Données relatives à l’examen de biologie médicale et au résultat de l’examen ;
- Données relatives au patient ;
- Données relatives au personnel du Client ;
- Données relatives aux personnes intervenant sur le Lecteur de biologie délocalisée.
4. Catégories de personnes concernées
Les catégories de personnes concernées sont celles dont les données sont traitées par le Lecteur de biologie délocalisée, incluant le personnel du Client, les patients pris en charge par le Client et le personnel des prestataires (Roche Diagnostics France inclus) intervenant sur le Lecteur.
Partie 4 : Obligations des Parties
Les Parties s’engagent à respecter l’ensemble des obligations leur incombant au regard de la Réglementation relative à la protection des données personnelles dans le cadre des traitements définis en Partie 1 et/ou en Partie 2 et/ou en Partie 3.
1. Obligations de Roche Diagnostics France
1.1 Obligations générales en tant que Sous-traitant
Roche Diagnostics France garantit au Client le respect des obligations légales et règlementaires lui incombant en qualité de Sous-traitant de Données à caractère personnel au regard de la Réglementation relative à la protection des données personnelles et le respect de ses obligations au titre de la présente annexe.
Roche Diagnostics France s’engage à prendre toutes les mesures nécessaires au respect par elle-même et par son personnel de ses obligations et notamment à :
- Dans le cadre des Prestations s’interdire toute extraction de données, excepté si celaest nécessaire à l’exécution des Prestations ;
- Ne pas traiter, consulter les Données à caractère personnel à d’autres fins quel’exécution des Prestations excepté si un contrat spécifique existe entre le Client et Roche Diagnostics France prévoyant d’autres cas d’utilisation des données ;
- Ne pas traiter ou consulter les Données à caractère personnel en dehors du cadre desinstructions documentées et des autorisations reçues du Client ;
- Transférer les Données à caractère personnel vers un pays tiers ou à une organisationinternationale situés en dehors de l’Union européenne ou ne possédant pas un niveau deprotection adéquat uniquement après avoir mis en oeuvre des garanties appropriées eten avoir informé le Client à moins que cette information soit interdite pour des motifs importants d'intérêt public ;
- Ne pas insérer dans le ou les Automates des Données à caractère personnel étrangères ;
- Ne pas insérer dans le Système d’information du laboratoire (« SIL ») des données étrangères excepté si cela est prévu dans le cadre des missions de Roche Diagnostics France ;
- Prendre toute mesure permettant d’empêcher toute utilisation détournée, malveillanteou frauduleuse des données ;
- Notifier au Client toute modification ou changement pouvant impacter le traitement desDonnées à caractère personnel par tout moyen approprié ;
- Informer immédiatement le Client si, selon elle, une instruction constitue une violationde la Réglementation relative à la protection des données personnelles ;
- Fournir au Client tous les éléments nécessaires pour démontrer le respect de sesobligations.
D’autre part, Roche Diagnostics France s'interdit :
- De divulguer à des tiers non autorisés, sous quelle que forme que ce soit, tout ou partiedes Données à caractère personnel exploitées ;
- De prendre copie ou de stocker, quelles qu'en soient la forme et la finalité, tout ou partiedes informations ou données contenues sur les supports ou documents qui lui ont étéconfiés ou recueillies par elle au cours de l'exécution des Prestations, excepté si cela estnécessaire à l’exécution desdites Prestations ou requis par une disposition légale ouréglementaire.
Roche Diagnostics France s’engage à prendre en prendre en compte, s’agissant de ses outils, produits, applications ou services en lien avec les Logiciels et Automates, les principes de protection des données dès la conception et de protection des données par défaut.
Roche Diagnostics France veille à ce que les personnes autorisées à traiter les Données à caractère personnel s'engagent à respecter la confidentialité des données et reçoivent la formation nécessaire en matière de protection des Données à caractère personnel.
Roche Diagnostics France communique au Client le nom et les coordonnées de son délégué à la protection des données que le Client peut contacter en écrivant à [email protected] ou par courrier à :
Roche Diagnostics France
Data Protection Officer
2 avenue du Vercors
38240 Meylan
1.2 Obligations en matière de sécurité des données
1.2.1 Principes généraux
Roche Diagnostics France s’engage, conformément à la Réglementation relative à la protection des données personnelles, à prendre toutes mesures utiles au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement.
Elle met en oeuvre toutes les mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel, en prenant en compte l'état des connaissances, les coûts de mise en oeuvre et la nature, portée, contexte et les finalités du traitement ainsi que les risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité adapté au risque.
1.2.2 Mesures de sécurité spécifiques
Les moyens mis en oeuvre par Roche Diagnostics France destinés à assurer la sécurité et la confidentialité des données sont conformes à l’état de l’art.
Roche Diagnostics France s’engage à maintenir ces moyens tout au long de l’exécution des Prestations et à défaut, à en informer immédiatement le Client.
En tout état de cause, Roche Diagnostics France s’engage en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données, à les remplacer par des moyens d’une performance supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
A ce titre, Roche Diagnostics France s’engage à mettre en oeuvre les mesures de sécurité suivantes :
- Garantir que l’accès aux Données à caractère personnel est limité aux personnesagissant pour son compte dont l’accès est strictement nécessaire à l’exécution de ses Prestations ;
- Garantir le respect de la confidentialité des données auxquelles son personnel peutavoir accès en s’assurant que chaque personne agissant pour son compte ait signé un engagement individuel de confidentialité ;
- Garantir que le personnel agissant pour le compte de Roche Diagnostics France qui peutavoir accès aux Données à caractère personnel n’intervient que dans le cadre desmissions qui lui sont confiées par Roche Diagnostics France ou le Client.
1.2.3 Mesures spécifiques de sécurité dans le cadre d’intervention à distance (télémaintenance ou télésurveillance technique1)
Lorsque Roche Diagnostics France procède au traitement de données à distance, elle doit se conformer aux règles obligatoires définies dans le cadre de la politique générale de sécurité des systèmes d’information de santé (« PGSSI-S ») publiée par l’Agence des Systèmes d'Information Partagé de Santé et, en particulier, celles issues des règles pour les interventions à distance sur les systèmes d’information de santé.
A ce titre, Roche Diagnostics France s’engage à mettre en oeuvre les mesures de sécurité suivantes :
- Procédés d’identification et d’authentification de l’intervenant sur la plateformed’intervention à distance de Roche Diagnostics France, dans le respect des règles del’art et notamment des recommandations de la CNIL et de la PGSSI-S ;
- Mesures de restriction des accès physiques et logiques des postes d’intervention aux seules personnes autorisées. Par exemple, sensibilisation du personnel à la sécurisation des accès (physiques et logiques) des postes d’intervention et fourniture des postesd’intervention et des moyens de sécurité associés ;
- Mesures permettant de déterminer, en toute circonstance, l’identité de la personne quise connecte ou s’est connectée sur la plateforme d’intervention et d’assurer latraçabilité de chaque connexion et de chaque action aux fins d’imputabilité ;
- Moyens et procédures conformes aux règles de l’art permettant de lutter contre lesincidents pouvant affecter la sécurité de l’Automate et du SIL ou les données del’Automate ou la sécurité de l’intervention (incidents de sécurité dans l’environnementhumain, organisationnel, technique ou physique) ;
- Moyens et procédures conformes aux règles de l’art permettant de lutter contre les codes malveillants et contre l’exploitation de vulnérabilités connues des moyens informatiques ou de télécommunication mis en place pour les Prestations par Roche Diagnostics France ;
- Moyens et procédures conformes aux règles de l’art permettant de lutter contre la propagation de codes malveillants ou d’incidents de sécurité à partir de la plateformede Roche Diagnostics France, au travers des échanges électroniques effectués dans le cadre des Prestations de Roche Diagnostics France ;
- Moyens et procédures conformes aux règles de l’art permettant de lutter contre lescodes malveillants dans les logiciels transmis au titre des Prestations ou dans leur miseà jour, et contre l’exploitation de vulnérabilités connues dans ces éléments ;
- Pour les Prestations liées aux Automates mise en oeuvre d’un dispositif de gestion deconfiguration permettant de contrôler les accès aux composants produits ou fournis autitre de la télémaintenance des logiciels (code source, code exécutable, documentation,données de tests etc.) ;
- Destruction de toutes données résiduelles en provenance du Logiciel et/ou du SIL de laplateforme de Roche Diagnostics France (fichiers temporaires ou zones de mémoire vive), étant précisé que l’intervention n’est considérée comme terminée que lorsque l’objectif de l’intervention est atteint (résolution d’un incident, mise à jour d’uncomposant, etc.) ou que le Client et Roche Diagnostics France déclarent d’un commun accord que l’objectif n’est pas atteignable ;
- Etablissement de documents conformes aux règles de l’art et comportant la descriptiondes dispositions de sécurité que Roche Diagnostics France met en oeuvre pour sesPrestations et, a minima, les thèmes suivants :
‐ Identification de l’interlocuteur en charge de la sécurité des interventions chez Roche Diagnostics France ;
‐ Critères de sécurité utilisés dans la désignation des personnes chargées de l’intervention à distance, engagement de sécurité, information de ces personnes sur la sécurité de la prestation et sensibilisation ;
‐ Règles de protection des informations relatives au SIL ou à l’intervention et détenues par Roche Diagnostics France ;
‐ Désignation des sites d’exécution des traitements, protection et accès physiques des locaux utilisés ;
‐ Architecture générale de la plateforme utilisée pour l’intervention à distance, cloisonnement technique vis-à-vis d’autres prestations ;
‐ Accès logique des intervenants à la plateforme d’intervention à distance de Roche Diagnostics France, identification et authentification, gestion des droits, traçabilité des actions ;
‐Dispositions prises pour continuer à assurer les activités de traitement à la suite d’un sinistre majeur ;
‐ Assurance et contrôle de la sécurité des services d’intervention fournis ;
‐Pour les Prestations liées aux Automates modalités pratiques pour la bonne réalisation de l’intervention à distance :
‐ Procédés d’authentification sur la base d’une habilitation par profils avec des droits limités ;
‐ Pour la télémaintenance établissement d’un rapport par Roche Diagnostics France
Roche Diagnostics France doit s’assurer de la mise en oeuvre des dispositions techniques de sécurité suivantes :
- Absence de connexion directe du télé-mainteneur sur l’Automate, le SIL ou des équipements contenant des applications ou des Données à caractère personnel. Uneconnexion directe du télé-mainteneur sur les Logiciels ou des équipements contenant des applications ou des données à caractère personnel est à éviter.
- Dans la mesure du possible, un point (ou passerelle ou VPN sécurisé et dédié)d’accès distant est mis en place pour accéder aux équipements objets del’intervention à distance :
‐ Connexion des équipements à ce point d’accès par un réseau d’administration mis en oeuvre soit via un réseau sécurisé dédié physiquement à la télémaintenance de l’Automate ou physiquement distinct du reste du Logiciel, soit via une DMZ ou tout autre mécanisme permettant une isolation logique de ce flux d’administration. Cette isolation logique est réalisée au moyen d’un réseau dédié derrière un firewall ;
‐ Protection du point d’accès distant contre les attaques logiques en provenance des réseaux, de sorte que son contournement en vue d’accéder au réseau du SIL ou du Logiciel ne doit pas être possible dans la pratique ;
‐ Protection des échanges entre la plateforme d’intervention et le point d’accès distant par des fonctions de chiffrement et d’authentification mutuelle. Ces fonctions sont conformes à l’état de l’art.
- Si le point d’accès distant n’est pas la solution adoptée :
‐ Protection des échanges de bout en bout par des fonctions de chiffrements et d’authentification mutuelle, ces fonctions étant de préférence conformes à l’état de l’art et, le cas échéant, au Référentiel Général de Sécurité (RGS) ;
‐ Mise en place d’un dispositif de filtrage autorisant uniquement les flux nécessaires à l’intervention à distance. - Mise en place d’un espace de stockage dans lequel les traces des accès et desopérations effectuées à distance sont centralisées et conservées sous contrôle, en vued’être exploitées en cas de litige ou d’incident, étant précisé que les fichiers de tracesne doivent pas être modifiables.
1.2.4 Mesures spécifiques de sécurité dans le cadre d’intervention sur le site du Client
Dans le cadre de l’intervention sur le site du Client, Roche Diagnostics France s’engage à respecter les mesures de sécurité raisonnablement demandées par le Client telles que :
- Planification des interventions sur rendez-vous confirmé par le Client, permettant dedéterminer les autorisations d’accès dans les périodes convenues ;
- Identification de la personne intervenant sur le site du Client ;
- Procédé d’émargement ;
- Respect des dispositions sur la sécurité des données et des traitements à définir aupréalable (exemple : sauvegarde préalable à toute intervention, arrêt de la production,isolement de l’Automate, possibilité de retour arrière en cas d’échec de l’intervention,possibilité de contrôler les opérations effectuées, etc.) ;
- Traçabilité des opérations réalisées sur l’Automate ou sur le Lecteur de biologiedélocalisée ;
- Etablissement d’un rapport transmis au Client par Roche Diagnostics France, dans lesmeilleurs délais, à la personne désignée comme point de contact, par tout moyenapproprié ;
- Intervention sous la responsabilité d’un membre du personnel du Client.
1.2.5 Mesures spécifiques de sécurité dans le cadre d’intervention sur le site de Roche Diagnostics France pour les Prestations liées aux Automates
Dans le cadre d’une intervention sur un Automate ayant été rapatrié sur le site de Roche Diagnostics France, Roche Diagnostics France s’engage à respecter les mesures de sécurité qui seraient raisonnablement demandées par le Client telles que :
- Planification du retrait de l’Automate chez le Client et, le cas échéant, de son retour, surrendez-vous confirmé par le Client, permettant de déterminer les autorisations d’accèsdans les périodes convenues ;
- Identification de la personne intervenant sur le site du Client pour le transport del’Automate ;
- Procédé d’émargement ;
- Vérification qu’une sauvegarde préalable de la base de données de l’Automate a étéeffectuée par le Client avant l’intervention ;
- Vérification que le Client a pseudonymisé et chiffré les Données à caractère personnelprésentes dans les bases de données de l’Automate avant le transport de l’Automate hors de son site ;
- Traçabilité de l’Automate pendant le transport jusqu’au site de Roche DiagnosticsFrance ;
- Etablissement d’un rapport transmis au Client par Roche Diagnostics France, dans lesmeilleurs délais, à la personne désignée comme point de contact, par tout moyenapproprié.
Dans le cadre d’un transfert de l’Automate pour un problème mécanique :
- Vérification de la suppression de la base de données de l’Automate par le Client ;
- Si le Client n’a pas pu supprimer la base de données vérification que le Client apseudonymisé et chiffré les Données à caractère personnel présentes dans les bases dedonnées de l’Automate.
1.3 Obligations en cas de violation de données
Roche Diagnostics France s’engage à notifier au Client, dans les meilleurs délais et, au plus tard, dans un délai maximum de 48 heures, après en avoir pris connaissance, toute violation de Donnée à caractère personnel.
Cette notification doit être adressée au délégué à la protection de données ou à la personne du Client désignée comme point de contact. Elle doit préciser la nature et les conséquences de la violation des données, les mesures déjà prises ou celles qui sont proposées pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues, les coordonnées du délégué à la protection des données ou d’un autre point de contact de Roche Diagnostics France auprès duquel des informations supplémentaires peuvent être obtenues et lorsque cela est possible, une estimation du nombre de personnes susceptibles d’être impactées par la violation en cause ainsi que les catégories et le nombre approximatif d’enregistrement de données concernés.
Lors d’une violation de données, Roche Diagnostics France s’engage à procéder à toutes investigations utiles sur les manquements aux règles de protection afin d’y remédier dès que possible et de diminuer l’impact de tels manquements sur les personnes concernées. Roche Diagnostics France s’engage à informer le Client de ses investigations et ce de manière régulière.
Roche Diagnostics France s’engage à collaborer activement avec le Client pour qu’ils soient en mesure de répondre à leurs obligations réglementaires et contractuelles. Il revient uniquement au Client, de notifier cette violation de données à la Cnil ainsi que, le cas échéant, à la personne concernée et/ou à l’Agence Régionale de Santé par le biais du portail concernant le signalement des évènements sanitaires indésirables figurant à l’adresse : http://signalement.social-sante.gouv.fr.
1.4 Obligations en cas sous-traitance du traitement de données
Le Client autorise Roche Diagnostics France à sous-traiter, au sens de la Règlementation relative à la protection des données personnelles, tout ou partie des Prestations sous réserve de respecter les conditions suivantes :
- Informer le Client de tout ajout ou remplacement de sous-traitants dans un délaid’un mois permettant au Client, le cas échéant, de s’y opposer ;
- Informer et signer avec son sous-traitant un contrat écrit imposant au sous-traitant les mêmes obligations en matière de protection des données que celles fixées dans la présente Annexe ;
- Mettre à la charge de son sous-traitant toutes obligations nécessaires pour quesoient respectées la confidentialité, la sécurité et l’intégrité des données, et pour que lesdites données ne puissent être ni cédées ou louées à un tiers à titre gratuitou non, ni utilisées à d’autres fins que celles définies dans la présente Annexe et au contrat ;
- Communiquer au Client qui en ferait la demande une description des éléments essentiels du contrat de sous-traitance, incluant la mise en oeuvre des obligationsrelatives à la protection des données à caractère personnel ;
- Tenir à la disposition du Client une liste du ou des sous-traitants impliqués dansle traitement de Données à caractère personnel.
Les données traitées en exécution des Prestations ne pourront faire l’objet d’aucune divulgation à des tiers, en dehors des cas prévus dans la présente Annexe ou de ceux prévus par une disposition légale ou réglementaire.
Il appartient à Roche Diagnostics France de s’assurer que le sous-traitant présente les mêmes garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.
Lorsque le sous-traitant ne remplit pas ses obligations en matière de protection des données, Roche Diagnostics France demeure pleinement responsable devant le Client de l'exécution par le sous-traitant de ses obligations.
1.5 Obligations en cas de flux transfrontières de données
L’accès aux Données à caractère personnel est strictement limité au personnel dûment habilité de Roche Diagnostics France ou du Groupe Roche lorsque cela s’avère nécessaire. Ces personnes sont celles qui, de par leurs fonctions, sont légitimes à accéder à ces données.
Ces destinataires peuvent le cas échéant être situés en dehors de l’Union Européenne. Il peut s’agir :
- D’une filiale du Groupe Roche ayant signé un contrat d’échange de données au sein du groupe Roche, lequel contrat garantit à Roche Diagnostics France, quecette filiale respecte la Réglementation relative à la protection des données personnelles et les obligations de Roche Diagnostics France prises en la matière ;
- De la maison mère de notre Groupe, F. Hoffmann-La Roche, située en Suisse, paysreconnu par la Commission européenne comme offrant un niveau de protectionadéquat à celui de l’Union Européenne. Ce transfert est également encadré par un contrat de transfert de données.
1.6 Obligations en matière de tenue du registre
Roche Diagnostics France s’engage à tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client, conformément aux dispositions du RGPD.
1.7 Obligations s’agissant de la conservation des données
Roche Diagnostics France s’engage à ne copier ou ne conserver aucune Donnée à caractère personnel dans le cadre de l’exécution de ses Prestations excepté si cela est nécessaire à l’exécution desdites Prestations ou requis par une disposition légale ou réglementaire.
1.8 Obligations en matière de vérification
A la demande du Client, Roche Diagnostics France devra établir une attestation et/ou la preuve par tous moyens du respect des règles prévues par la présente Annexe.
Le Client se réserve le droit de procéder à toutes vérifications qui lui paraissent utiles pour constater le respect des obligations précitées, et notamment en procédant à un audit de sécurité auprès de Roche Diagnostics France ou directement auprès d’un éventuel sous-traitant ultérieur.
Roche Diagnostics France s’engage à répondre aux demandes d’audit du Client effectuées par lui-même ou par un tiers de confiance que le Client aura sélectionné, reconnu en tant qu’auditeur indépendant, c'est-à-dire indépendant de Roche Diagnostics France, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusions d’audit au Client.
Les audits doivent permettre une analyse du respect par Roche Diagnostics France de ses obligations au titre de la présente Annexe, ainsi qu’au titre de la Règlementation relative à la protection des données. Ils doivent permettre notamment de s’assurer que les mesures de sécurité et de confidentialité mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié.
1.9 Obligation de Coopération
Roche Diagnostics France s’engage à coopérer avec le Client afin de permettre :
- Le cas échéant, la gestion des demandes des personnes concernées par les traitementstendant à l’exercice de leurs droits et notamment de leur droit d’accès, de rectification,d’effacement des données qui les concernent ou d’opposition au traitement, droit à lalimitation du traitement ou droit à la portabilité, le cas échéant ;
- La réalisation de toute analyse d’impact que le Client déciderait d’effectuer, afind’évaluer les risques qu’un traitement fait peser sur les droits et libertés des personneset d’identifier les mesures à mettre en oeuvre pour faire face à ces risques, et laconsultation de la Cnil ;
- Plus généralement, le respect des obligations pesant sur le Client au regard de la Réglementation sur la protection des données, telles que notamment ses obligations de notification à la Cnil et de communication d’une violation de données aux personnesconcernées.
En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et avec l’autorité de contrôle.
Dans le cas où le contrôle mené chez Roche Diagnostics France concernerait les traitements mis en oeuvre au nom et pour le compte du Client, Roche Diagnostics France s’engage à en informer immédiatement le Client.
En cas de contrôle d’une autorité compétente chez le Client portant notamment sur les Prestations délivrées par Roche Diagnostics France, cette dernière s’engage à coopérer avec le Client et à lui fournir toute information dont cette dernière pourrait avoir besoin ou qui s’avèrerait nécessaire.
2. Obligations du Client
2.1 Obligations générales
Le Client garantit à Roche Diagnostics France le respect des obligations légales et règlementaires lui incombant en qualité de Responsable de traitement au regard notamment de la Réglementation relative à la protection des Données à caractère personnel ainsi que le respect de ses obligations au titre de la présente Annexe.
A toutes fins utiles, il est rappelé que, pour tout traitement effectué pour le compte du Responsable de traitement, le Responsable de traitement s’engage à documenter ses instructions relatives aux Données à caractère personnel.
Le Responsable de traitement garantit à Roche Diagnostics France qu’il a le droit de communiquer les Données à caractère personnel à Roche Diagnostics France et aux autres sous-traitants, notamment en ayant procédé à l’information préalable et/ou au recueil du consentement des personnes concernées lorsque ces exigences sont requises par la Réglementation relative à la protection des données personnelles.
Par ailleurs le Responsable de traitement s’engage à ne transmettre des Données à caractère personnel à Roche Diagnostics France que si cela est strictement nécessaire à l’exécution des Prestations de Roche Diagnostics France.
Egalement, dans les cas où il y a un transfert de Données à caractère personnel vers un pays tiers ne possédant pas un niveau de protection adéquat, le Responsable de traitement s’engage à ce que les personnes concernées aient été informées de ce transfert.
Enfin, le Client s’engage à informer Roche Diagnostics France dans les plus brefs délais en cas de survenance d’un incident de sécurité sur son réseau pouvant impacter les Logiciels, Automates et/ou Lecteurs de biologie délocalisée.
2.2 Obligations s’agissant des mesures spécifiques de sécurité dans le cadre d’intervention à distance
Le Client doit indiquer à Roche Diagnostics France les modalités pratiques pour la bonne réalisation des interventions à distance telles que :
- Procédés d’authentification sur la base d’une habilitation par profils avec des droitslimités ;
- Respect de la liste actualisée et le numéro de téléphone des personnes agissant pour lecompte du Client pouvant solliciter une intervention à distance et vérification de lavalidité des demandes d’intervention ;
- Pour la télémaintenance établissement d’un rapport par Roche Diagnostics France.
2.3 Obligations de sécurité en vue d’une intervention sur un Automate sur le site de RocheDiagnostics France
Dans le cadre d’une intervention sur un Automate ayant été rapatrié sur le site de Roche Diagnostics France, le Client doit indiquer à Roche Diagnostics France les mesures de sécurité préalables nécessaires. La liste de ces mesures est indiquée à l’article 1.2.5.
2.4 Obligations dans le cadre de la fin de vie de l’Automate
En vue d’une reprise, de mise au rebut ou de destruction de l’Automate le Client doit supprimer toutes les Données à caractère personnel présentes dans les Automates avant toute désinstallation effectuée par Roche Diagnostics France et procéder aux sauvegardes nécessaires pour respecter ses obligations légales de conservation. C’est seulement dans les cas où le Client n’est pas en mesure de supprimer les Données à caractère personnel pour des raisons techniques qu’il doit en faire la demande à Roche Diagnostics France. C’est donc dans cette unique situation que Roche Diagnostics France pourrait être amenée à traiter les Données à caractère personnel pour le compte du Client dans le cadre de la fin de vie d’un Matériel et cette prestation fera l’objet d’un contrat spécifique.
En cas de destruction d’appareils ou d’équipements contenant des Données à caractère personnel, le Client s’engage à respecter les règles de l’art et la Politique Générale de Sécurité des Systèmes d’information de Santé, en particulier, le guide pratique spécifique à la destruction de données lors du transfert de matériels informatiques des systèmes d’information de santé.
A ce titre le Client s’engage à respecter les règles procédure de destruction suivantes :
- Distinguer les interventions en fonction du type de matériel considéré, à savoir :
- Pour les disques durs et supports flash :
- Réaliser un formatage complet sur la totalité de la ou lespartitions du support considéré. L’utilisation d’une fonctiond’effacement fournie par le constructeur, lorsqu’elle estdisponible, est recommandée ; ou
- Procéder à la démagnétisation des disques dursmagnétiques, ou à leur destruction physique (broyage, incinération, etc.) ou à la destruction physique des supportsflash par broyage ou incinération.
- Pour les bandes magnétiques, procéder à l’effacement par démagnétisation ou à la destruction par déchiquetage ouincinération ;
‐ Pour les autres matériels, procéder à la destruction de l’appareil conformément aux règles de l’art et aux règles de la Politique Générale de Sécurité des Systèmes d’Information de Santé.
- Formaliser des procédures de destruction de données lors du transfert de matériel comprenantnotamment :
‐ Dans le cas de stockage de matériel en attente de traitement, la procédure de protection du lieu de stockage ;
‐ La procédure de gestion du cycle de vie des supports de données pour y intégrer leur destruction et la possibilité de désosser un matériel ;
‐ La gestion des supports de données qui peuvent être contenus dans les matériels. - Avant tout effacement ou destruction, contrôler que les supports ne contiennent aucune donnéeutile ou non sauvegardée et, à défaut, procéder à la sauvegarde ;
- Vérifier que le support ne contient plus de données.
2.5 Obligations dans le cadre d’une désinstallation d’un Logiciel
Le Client doit supprimer toutes les Données à caractère personnel présentes dans les Logiciels avant toute désinstallation effectuée par Roche Diagnostics France en vue d’une reprise, de mise au rebut ou de destruction du Logiciel et procéder aux sauvegardes nécessaires pour respecter ses obligations légales de conservation. C’est seulement dans les cas où le Client ne peut supprimer les Données à caractère personnel pour des raisons techniques qu’il peut en faire la demande à Roche Diagnostics France. C’est dans ce dernier cas que Roche Diagnostics France peut être amenée à traiter les Données à caractère personnel pour le compte du Client dans le cadre de la fin de vie du Logiciel. Dans ce cas un contrat spécifique de prestation de service sera conclu entre les Parties.