Les présentes conditions d’utilisation régissent l’utilisation du site Web LibreView proposé à l’adresse www.LibreView.com (le « Site »). Veuillez lire attentivement les présentes conditions d’utilisation avant de commencer à utiliser notre Site, créer des profils de patient et des cabinets et/ou inviter des utilisateurs professionnels à créer un compte dans LibreView, car elles constituent un accord juridique entre vous et Abbott Diabetes Care, Inc.
Abbott Diabetes Care Inc., 1420 Harbor Bay Parkway, Alameda, CA 94502, États-Unis (« Abbott » ou « nous », « notre »), est le développeur des capteurs (« Capteurs ») et des lecteurs (« Lecteurs ») de la gamme de produits Libre et des applications mobiles FreeStyle LibreLink, Libre, Libre 2 et Libre 3 (chacun étant une « Application Libre »), qui peut être compatible avec le Site et le système de gestion de données basé sur le cloud LibreView (« LibreView »).
Abbott possède les autorisations médicales pour LibreView en tant que dispositif médical, fournit l’assistance technique en matière d’application et de logiciel, gère les autorisations/enregistrements de mise sur le marché concernant LibreView.
LibreView permet à Abbott de fournir des conseils plus adaptés en matière de traitement aux patients qui utilisent les Lecteurs et l’Application Libre d’Abbott. LibreView permet également aux utilisateurs professionnels de créer des profils de patient, de gérer à distance les patients disposant d’un compte dans LibreView et de partager les informations chargées dans le compte des patients dans LibreView avec d’autres utilisateurs professionnels du même cabinet LibreView.
LIBREVIEW EST UN SYSTÈME SÉCURISÉ DE GESTION DES DONNÉES SUR LE DIABÈTE BASÉ SUR LE CLOUD, QUI PEUT ÊTRE UTILISÉ PAR ABBOTT, LES UTILISATEURS PROFESSIONNELS ET LES PATIENTS POUR EXAMINER, ANALYSER ET ÉVALUER LES ANTÉCÉDENTS GLYCÉMIQUES DES PATIENTS, LES RÉSULTATS DE LEURS TESTS DE GLYCÉMIE, LEURS RÉSULTATS DE DOSAGE DE LA CÉTONÉMIE, LES DONNÉES DES APPAREILS CONNECTÉS ET LES INFORMATIONS SAISIES PAR L’UTILISATEUR, NOTAMMENT LES DOSES D’INSULINE, L’ALIMENTATION, L’ACTIVITÉ PHYSIQUE, AINSI QUE DES NOTES D’ACCOMPAGNEMENT DU PROGRAMME DE PRISE EN CHARGE DU DIABÈTE.
LIBREVIEW N’EST PAS CONÇU POUR LE DIAGNOSTIC OU LE DÉPISTAGE DU DIABÈTE SUCRÉ.
LES UTILISATEURS DOIVENT COMPRENDRE QUE LIBREVIEW EST UN SERVICE DE GESTION DES INFORMATIONS QUI PERMET D’ANALYSER LES DONNÉES DES TAUX DE GLUCOSE, MAIS QUI NE SAURAIT SE SUBSTITUER AUX CONSEILS QUE VOUS PRODIGUEZ À VOS PATIENTS EN TANT QUE PROFESSIONNEL DE SANTÉ. UNE PERSONNE DOIT TOUJOURS CONSULTER SON MÉDECIN OU UN AUTRE PROFESSIONNEL DE SANTÉ QUALIFIÉ EN CAS DE QUESTION QU’ELLE PEUT SE POSER CONCERNANT UN PROBLÈME MÉDICAL, Y COMPRIS LA PRISE EN CHARGE DU DIABÈTE. NI ABBOTT NI AUCUNE DE SES SOCIÉTÉS AFFILIÉES NE SONT RESPONSABLES OU REDEVABLES DE TOUT DIAGNOSTIC, TOUTE DÉCISION OU TOUTE ÉVALUATION FAIT(E) PAR UN UTILISATEUR OU DE TOUTE BLESSURE QU’UN UTILISATEUR POURRAIT SUBIR À LA SUITE DE TOUTE DÉCISION PRISE SUR LA BASE DU CONTENU DU PRODUIT.
LIBREVIEW N’EST PAS UN SYSTÈME D’ARCHIVES DE SANTÉ ÉLECTRONIQUE ET VOUS DEVEZ IMPRIMER ET/OU TÉLÉCHARGER LES INFORMATIONS DES PATIENTS QUE VOUS JUGEZ IMPORTANTES POUR PRODIGUER DES SOINS, PROPOSER DES TRAITEMENTS OU DISPENSER DES CONSEILS D’ORDRE MÉDICAL.
EN UTILISANT LE SITE ET LIBREVIEW, MAIS AUSSI À TITRE DE CONDITION PRÉALABLE À LEUR UTILISATION, VOUS VOUS ENGAGEZ À RESPECTER LES PRÉSENTES CONDITIONS D’UTILISATION. DANS LE CAS OÙ VOUS N’ACCEPTEZ PAS LES PRÉSENTES CONDITIONS D’UTILISATION, N’ACCÉDEZ PAS À CE SITE, AUX SERVICES DISPONIBLES SUR CE SITE OU À TOUT RENSEIGNEMENT CONTENU SUR CE SITE ET NE LES UTILISEZ PAS.
L’UTILISATION PAR VOS SOINS DU SITE EST ÉGALEMENT SOUMISE À L’AVIS DE CONFIDENTIALITÉ POUR LES PROFESSIONNELS DE LIBREVIEW, DISPONIBLE À L’ADRESSE WWW.LIBREVIEW.COM (« AVIS DE CONFIDENTIALITÉ »), QUI EXPLIQUE LA FAÇON DONT NOUS COLLECTONS, PROTÉGEONS, CONSERVONS, STOCKONS ET DIVULGUONS LES INFORMATIONS PERSONNELLES VOUS CONCERNANT QUE VOUS TRANSMETTEZ DANS LE CADRE DE VOTRE UTILISATION DU SITE. IL PRÉCISE ÉGALEMENT QUELS RENSEIGNEMENTS VOUS DEVEZ FOURNIR À VOS PATIENTS EN TANT QU’UTILISATEUR PROFESSIONNEL.
Vous n’avez pas besoin de vous inscrire en tant qu’utilisateur professionnel ni de créer de compte dans LibreView pour simplement visiter le Site et le consulter.
Conditions générales : Le Site est le portail qui vous permet de créer un compte dans LibreView, où les résultats indiqués par les Lecteurs et l’Application Libre de vos patients peuvent être enregistrés, consultés et analysés par vos soins. LibreView est conçu pour vous aider à visualiser et à gérer les aspects de l’état de vos patients, et pour permettre à Abbott de fournir des conseils de traitement améliorés aux patients utilisant les Lecteurs et l’Application Libre d’Abbott. LibreView permet aux patients disposant d’un compte de partager leurs mesures du glucose avec vous ; il vous permet aussi de connecter leur Lecteur et l’Application Libre à votre ordinateur et de charger leurs mesures du glucose dans un profil de patient que vous avez créé.
Un « Utilisateur professionnel » désigne exclusivement les professionnels de santé autorisés (« Professionnels de santé ») (et leurs représentants et agents travaillant au nom de leur cabinet) ayant un cabinet médical agréé ou inscrit en tant qu’utilisateur professionnel dans LibreView.
Abbott n’autorise qu’un seul compte utilisateur par e-mail dans LibreView. En tant qu’utilisateur professionnel, vous pouvez créer un compte pour votre cabinet médical et inviter d’autres professionnels et/ou créer un lien vers d’autres utilisateurs professionnels ayant un compte dans LibreView au sein de votre cabinet.
Les présentes conditions d’utilisation s’appliquent à l’utilisation par vos soins du site et à votre droit d’utiliser LibreView. Elles s’appliquent à compter du moment où vous configurez un compte dans LibreView en tant qu’utilisateur professionnel et prennent fin dans les conditions énoncées ci-dessous.
En utilisant ce Site, vous déclarez, reconnaissez et convenez que vous êtes un Utilisateur professionnel dûment habilité à utiliser ce Site et à créer un compte Utilisateur professionnel dans LibreView, mais aussi que vous disposez de l’autorité appropriée pour créer un cabinet et l’associer à d’autres professionnels de soins de santé ou des professionnels de votre cabinet et pour créer des profils de patient qui seront partagés avec Abbott et utilisés par Abbott.
Compte dans LibreView : Abstenez-vous de divulguer à quiconque les informations relatives à votre compte enregistré dans LibreView ou votre mot de passe. Vous êtes responsable de la confidentialité et de la sécurité de votre compte dans LibreView et de toutes les activités réalisées sur ce compte ou par son intermédiaire. Vous acceptez d’informer Abbott de tout incident de sécurité dont vous prenez connaissance ou de toute panne affectant votre compte dans LibreView, y compris lorsque vous soupçonnez un éventuel piratage de votre mot de passe, et de pleinement collaborer avec nous, ainsi qu’avec les forces de l’ordre ou tout autre organisme réglementaire compétent pour résoudre la faille. Abbott décline toute responsabilité eu égard à toute perte, tout vol ou toute compromission des mots de passe ou à toute activité sur votre compte dans LibreView commise par des utilisateurs non autorisés ou à toute perte découlant de, ou liée à, l’utilisation non autorisée de votre compte dans LibreView à votre initiative. En cas d’infraction à une quelconque exigence de sécurité commise par vous ou par d’autres utilisateurs professionnels d’un cabinet créé par vos soins, ladite infraction pourra être considérée comme un non-respect des présentes conditions d’utilisation et sera susceptible d’entraîner la fermeture immédiate de votre compte dans LibreView.
Il vous appartiendra de vous doter d’une connexion Internet stable, ainsi que du matériel informatique et des périphériques nécessaires pour recevoir LibreView, y accéder et l’utiliser. Vous vous engagez à n’utiliser LibreView que selon les modalités expressément autorisées dans le présent contrat. Abbott, ses sociétés affiliées et ses fournisseurs possèdent tous les droits, titres et intérêts afférents à LibreView et au contenu proposé sur le Site, y compris les logos, graphiques, vidéos, photos, logiciels et autres éléments (« Éléments »).
Sous réserve de votre respect des présentes conditions d’utilisation, Abbott vous concède par les présentes une licence d’utilisation personnelle, restreinte, non exclusive et incessible qui vous permettra de consulter et d’utiliser les documents et d’utiliser le Site pour votre seul usage professionnel. À l’exception de la licence d’utilisation susmentionnée, vous ne détenez aucun droit sur le Site ou sur les documents, et vous ne sauriez de quelque manière que ce soit modifier, réviser, copier, reproduire, rétroconcevoir, transformer, améliorer ou exploiter le Site ou les documents ou en créer des œuvres dérivées. Tout manquement commis par vous-même ou par la personne dont vous avez la garde à l’égard des présentes conditions d’utilisation entraînera automatiquement la résiliation de la licence susmentionnée, et vous serez alors tenu de supprimer tous les documents que vous avez téléchargés ou imprimés.
Lorsque vous créez un cabinet, vous supervisez, surveillez et formez vos employés, représentants, prestataires, agents et tout autre utilisateur professionnel que vous ajoutez, afin de garantir une utilisation appropriée et sécurisée. Vous limiterez l’accès aux services disponibles sur le Site depuis vos locaux aux utilisateurs dûment autorisés. Vous serez tenu responsable de leur utilisation des services, du respect des présentes conditions d’utilisation et des conséquences de toute violation en matière de sécurité causée par ces utilisateurs ou qui se produit dans vos locaux.
Utilisations autorisées de votre compte dans LibreView : Vous devez saisir certaines informations personnelles, notamment votre nom d’utilisateur et votre mot de passe, pour utiliser LibreView et créer votre compte dans ce système. Vous acceptez de fournir des informations précises et complètes lors de votre inscription et pendant l’utilisation de LibreView, et vous vous engagez à ne saisir dans votre compte enregistré dans LibreView que des informations précises, actuelles et complètes. Les présentes Conditions d’utilisation vous autorisent à configurer un compte dans LibreView en tant qu’utilisateur professionnel sur le réseau de votre entreprise, ainsi qu’un cabinet utilisé par des professionnels, des employés ou d’autres personnes autorisées par vos soins dans votre cabinet. Pour vos patients qui ne possèdent pas de compte dans LibreView où vous pourriez consulter leurs mesures du glucose, elles vous autorisent également à créer un profil de patient pour vous permettre de connecter leur Lecteur à votre ordinateur et de charger leurs mesures du glucose dans le profil de patient que vous leur avez créé.
Pour les professionnels résidant en Turquie : Vous devez nous fournir votre consentement explicite préalable concernant le transfert de vos données personnelles en dehors de la Turquie avant d’entrer dans LibreView.
Vous reconnaissez et convenez que le Site et LibreView sont mis à disposition pour améliorer les soins prodigués à vos patients et pour permettre à Abbott de fournir des conseils de traitement plus pertinents aux patients utilisant les Lecteurs et l’Application Libre d’Abbott, mais qu’ils ne sauraient se substituer à votre jugement professionnel ou à vos responsabilités envers vos patients.
DANS LA MESURE OÙ VOUS CONFIGUREZ UN CABINET DANS LIBREVIEW EN QUALITÉ DE PROFESSIONNEL, VOUS RECONNAISSEZ ET CONVENEZ QUE VOUS ÊTES DÛMENT HABILITÉ À ACCEPTER LES PRÉSENTES CONDITIONS GÉNÉRALES ET À Y SOUMETTRE VOTRE CABINET ET QUE VOUS AVEZ LE POUVOIR ET L’AUTORITÉ NÉCESSAIRES POUR CE FAIRE.
Utilisations interdites de votre compte professionnel LibreView : L’accès aux parties professionnelles de notre site est limité aux utilisateurs professionnels. Nous nous réservons le droit de désactiver tout identifiant d’Utilisateur professionnel à tout moment et à notre discrétion si nous estimons que vous n’êtes pas un Utilisateur professionnel ou qu’il y a eu violation des dispositions des présentes Conditions d’utilisation. Vous ne devez pas utiliser notre Site pour les applications indiquées ci-après. Lorsque la loi l’exige, les utilisateurs professionnels ne doivent pas créer de profil de patient sans avoir obtenu au préalable le consentement éclairé, volontaire et explicite du patient, tel qu’exigé par la loi applicable. Vous vous engagez à NE PAS utiliser LibreView dans le but de :
Profils de patient : Après avoir créé un compte dans LibreView, vous êtes autorisé(e) à créer des profils de patient. Lors de la création d’un profil de patient, vous devez entrer manuellement certaines informations personnelles concernant le patient, comme son nom et sa date de naissance. Vous pouvez charger manuellement les mesures indiquées par le Lecteur du patient dans le profil de ce dernier, enregistré dans LibreView.
Vous n’utiliserez le Site et LibreView que pour les patients dont vous avez préalablement obtenu le consentement éclairé, volontaire ou, si nécessaire, explicite ou si vous le jugez nécessaire pour protéger leurs intérêts vitaux et vous respecterez l’ensemble des exigences supplémentaires imposées par les lois locales de protection des données, de confidentialité, de santé ou associées. Le fait de saisir des informations personnelles d’un patient, y compris des informations concernant la santé, sans avoir préalablement obtenu son consentement éclairé, volontaire ou, si nécessaire, explicite, ou sans avoir jugé que cela était nécessaire pour protéger ses intérêts vitaux constitue un usage abusif du site et de LibreView. Abbott rejette toute responsabilité quant à votre utilisation du site, y compris lorsque vous utilisez le Site pour saisir des informations personnelles concernant vos patients, lorsque ces conditions ne sont pas remplies. Nous apporterons une assistance raisonnable eu égard à toute requête formulée par vos soins de suppression des informations personnelles de vos patients LibreView dans un délai raisonnable à compter de la réception de ladite requête ; sauf interdiction par la loi applicable, sans toutefois que cela ne s’applique aux informations personnelles auxquelles Abbott a accédé pour fournir ses conseils de traitement plus pertinents aux patients utilisant les Lecteurs et l’Application Libre d’Abbott.
EN TANT QU’UTILISATEUR PROFESSIONNEL VOUS ÊTES RESPONSABLE (I) DE TOUTE DONNÉE CONCERNANT VOS PATIENTS QUE VOUS SAISISSEZ DANS LIBREVIEW, (II) DES INFORMATIONS PERSONNELLES DES AUTRES PROFESSIONNELS QUE VOUS INVITEZ À REJOINDRE LE COMPTE DE VOTRE CABINET, ET (III) DE L’UTILISATION PAR VOS SOINS DES INFORMATIONS PERSONNELLES DE TOUTE PERSONNE AYANT UN COMPTE DANS LIBREVIEW. IL VOUS INCOMBE DONC DE VOUS CONFORMER AUX LOIS APPLICABLES EN MATIÈRE DE PROTECTION, DE SANTÉ ET DE CONFIDENTIALITÉ DES DONNÉES ET D’OBTENIR, AU BESOIN, TOUS LES CONSENTEMENTS (Y COMPRIS LE CONSENTEMENT EXPLICITE) REQUIS EN VERTU DE LA LOI APPLICABLE.
Les données du patient seront traitées conformément à l’Avis de confidentialité
Abbott traitera les informations personnelles de tous les patients dont elle est le gestionnaire, y compris les données de santé, conformément à l’avis de confidentialité. Si votre patient a créé un compte dans LibreView et vous accorde l’accès à ce compte ou lorsque vous configurez un compte dans LibreView pour votre patient, Abbott (via LibreView) traitera les données personnelles de votre patient en tant que « sous-traitant » en votre nom, en qualité de professionnel des soins de santé lorsque vous traitez les informations de vos patients, afin de protéger leurs intérêts vitaux tels que définis à votre seule discrétion par vous qui êtes leur fournisseur de soins de santé.
Pour les utilisateurs professionnels résidant dans l’Espace économique européen, aux Émirats arabes unis, en Suisse et au Royaume-Uni : Veuillez passer en revue l’entente sur le traitement des données dans l’UE/en Suisse/au Royaume-Uni qui se trouve à la fin des présentes conditions d’utilisation avant de commencer à utiliser notre site, créer des profils de patients et des cabinets et/ou inviter des utilisateurs professionnels à créer un compte dans LibreView.
Pour les Utilisateurs professionnels résidant au Japon : Veuillez passer en revue l’entente sur le traitement des données du Japon pour J-DREAMS qui se trouve à la fin des présentes conditions d’utilisation avant de commencer à utiliser notre site, créer des profils de patients et des cabinets et/ou inviter des utilisateurs professionnels à créer un compte dans LibreView pour partager les données avec le projet J-DREAMS (comme décrit ci-dessous).
Pour les Utilisateurs professionnels résidant aux États-Unis : Si vous agissez en qualité de professionnel des soins de santé aux États-Unis et que vous représentez une entité couverte au sens de l’HIPAA modifiée et de ses règles de mise en œuvre (« HIPAA »), la création du profil de patient et l’utilisation du site et de LibreView sont conformes à l’HIPAA si : (i) vous obtenez l’autorisation du patient de le faire ou (ii) vous vous appuyez sur l’exception à l’obligation d’autorisation imposée par l’HIPAA concernant la divulgation des informations de santé protégées à des fins de traitement ou de soins de santé. En outre, la partie d’Abbott qui supervise l’exploitation du site a mis en œuvre les mesures de protection des données de santé protégées que la HIPAA exige des entités couvertes.
Exclusion de garanties : VOUS RECONNAISSEZ ET CONVENEZ EXPRESSÉMENT QUE L’UTILISATION PAR VOS SOINS DE LIBREVIEW S’EFFECTUE À VOS PROPRES RISQUES ET QUE, DANS LA MESURE AUTORISÉE PAR LA LOI, VOUS ASSUMEZ L’ENTIÈRE RESPONSABILITÉ DES RISQUES LIÉS À SA CAPACITÉ À FOURNIR UNE QUALITÉ, DES PERFORMANCES, UNE EXACTITUDE ET UN FONCTIONNEMENT SATISFAISANTS. Tout contenu inclus dans LibreView n’a pour objet que de fournir des informations. Bien qu’Abbott considère que les données affichées dans LibreView sont exactes lors de leur transmission à ce système, Abbott n’émet aucune déclaration, expresse ou tacite, quant à l’exactitude, à l’exhaustivité ou à la disponibilité en temps utile des informations. Abbott n’assumera aucune responsabilité envers vous en cas d’éventuel(le)s erreurs, omissions ou retards lié(e)s à la transmission d’informations, ou d’interruptions de toute connexion entre les systèmes de télécommunication et LibreView.
DANS TOUTE LA MESURE AUTORISÉE PAR LE DROIT APPLICABLE, ABBOTT, SES SOCIÉTÉS AFFILIÉES ET SES FOURNISSEURS TIERS METTENT À DISPOSITION DES UTILISATEURS LIBREVIEW « EN L’ÉTAT » ET « EN FONCTION DE SA DISPONIBILITÉ », AVEC TOUS SES DÉFAUTS ET IMPERFECTIONS ET SANS AUCUNE AUTRE GARANTIE QUELLE QU’ELLE SOIT, ET REJETTENT PAR LES PRÉSENTES TOUTES LES AUTRES GARANTIES ET CONDITIONS, QU’ELLES SOIENT EXPRESSES, TACITES OU LÉGALES, Y COMPRIS, SANS TOUTEFOIS S’Y LIMITER, LES GARANTIES DE TITRE DE PROPRIÉTÉ ET DE NON-VIOLATION DES DROITS DE TIERS, ET TOUTES LES GARANTIES, OBLIGATIONS OU CONDITIONS IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN BUT PARTICULIER ET D’ABSENCE DE VIRUS. LES RENSEIGNEMENTS OU CONSEILS FOURNIS PAR ABBOTT OU PAR UN REPRÉSENTANT AUTORISÉ D’ABBOTT SOUS FORME ÉCRITE OU ORALE NE CONSTITUENT EN AUCUN CAS UNE GARANTIE.
Abbott, ses sociétés affiliées et ses fournisseurs tiers ne garantissent pas que les fonctions contenues dans LibreView répondront à vos besoins ou que le fonctionnement de LibreView ne sera pas interrompu ou ne comportera pas d’erreurs. Dans la mesure où les lois applicables exigent qu’Abbott fournisse des garanties, vous acceptez que l’étendue et la durée de telles garanties correspondent au minimum exigé en vertu des lois en question.
Abbott ne fournit aucune garantie et ne fait aucune déclaration quant au matériel informatique ou aux logiciels de tiers, et rejette toute responsabilité quant aux défaillances éventuelles de ceux‐ci. En dehors de ce qui est expressément stipulé dans les présentes Conditions d’utilisation, Abbott rejette toute responsabilité susceptible de résulter d’actions en justice ou de réclamations à l’encontre d’Abbott ou de ses sociétés affiliées, agents ou cessionnaires, ou d’autres tiers, en relation avec l’application des présentes Conditions d’utilisation.
Pour les utilisateurs résidant en Russie : La présente section 11 s’applique dans la mesure autorisée par la législation, la réglementation et les normes russes en matière de santé.
Pour les utilisateurs résidant en Australie : Aucune disposition de la Section 11 ne modifie vos droits à l’égard des garanties pour le consommateur présentés dans la Competition and Consumer Act 2010 (Cth) (loi de 2010 sur la concurrence et la consommation [Cth]). Nos services sont assortis de garanties qui ne peuvent être exclues en vertu de la loi australienne sur la consommation. En cas de défaillances majeures liées à la prestation de service, vous avez le droit :
Si une défaillance relative au service n’équivaut pas à une défaillance majeure, vous pouvez demander qu’elle soit corrigée dans un délai raisonnable. Si cela n’est pas fait, vous avez le droit d’annuler le contrat de service et d’obtenir le remboursement de toute part non utilisée (si vous avez effectué un paiement pour accéder au Site). Vous avez également droit à une indemnisation pour tout autre dommage ou perte raisonnablement prévisible découlant d’une défaillance du service.
Limitation de responsabilité : NONOBSTANT TOUTES LES PERTES QUE VOUS POURRIEZ SUBIR ET DANS TOUTE LA MESURE AUTORISÉE PAR LA LOI APPLICABLE, LA RESPONSABILITÉ TOTALE ENCOURUE PAR ABBOTT, SES SOCIÉTÉS AFFILIÉES ET SES FOURNISSEURS EN VERTU DES PRÉSENTES CONDITIONS D’UTILISATION OU EN LIEN AVEC CELLES-CI ET LE SEUL RECOURS QUE VOUS POURREZ EXERCER À CE TITRE, SE LIMITERA À LA RÉPARATION OU RECTIFICATION DES ÉVENTUELS DÉFAUTS DE LIBREVIEW, MÊME SI LES PERTES CONCERNÉES ÉTAIENT PRÉVISIBLES OU ENVISAGÉES PAR LES PARTIES OU, SELON LE CAS, AU PLUS ÉLEVÉ DES DEUX MONTANTS SUIVANTS : CELUI QUE VOUS AVEZ RÉELLEMENT PAYÉ EN CONTREPARTIE DE LIBREVIEW OU 10,00 USD. DANS TOUTE LA MESURE AUTORISÉE PAR LE DROIT APPLICABLE, ABBOTT, SES SOCIÉTÉS AFFILIÉES OU SES FOURNISSEURS NE SAURAIENT ASSUMER UNE QUELCONQUE RESPONSABILITÉ ENVERS VOUS (OU VOS PATIENTS, EMPLOYÉS, SOUS-TRAITANTS, AGENTS OU UTILISATEURS) EN TERMES DE DOMMAGES-INTÉRÊTS, Y COMPRIS EN TERMES DE DOMMAGES SPÉCIAUX, ACCESSOIRES, INDIRECTS OU CONSÉCUTIFS (Y COMPRIS, SANS TOUTEFOIS S’Y LIMITER, LES DOMMAGES DÉCOULANT DE LA PERTE DE PROFITS, LA PERTE DE DONNÉES OU D’AUTRES INFORMATIONS OU L’INTERRUPTION D’ACTIVITÉ, LES PRÉJUDICES CORPORELS, L’ATTEINTE À LA VIE PRIVÉE RÉSULTANT DE, OU LIÉE À, L’UTILISATION DE LIBREVIEW, DES LOGICIELS DE TIERS ET/OU DU MATÉRIEL DE TIERS UTILISÉS OU POUVANT ÊTRE UTILISÉS AVEC LIBREVIEW, OU RÉSULTANT DE L’INCAPACITÉ À UTILISER CES ÉLÉMENTS, DÉCOULANT DES PERTES CAUSÉES PAR DES VIRUS OU D’AUTRES AGENTS TECHNOLOGIQUEMENT NUISIBLES POUVANT INFECTER VOTRE SYSTÈME INFORMATIQUE ET VOTRE MATÉRIEL EN RAISON DU TÉLÉCHARGEMENT DE L’APPLICATION MOBILE/DE DOCUMENTS/D’UN SITE WEB LIÉS À LIBREVIEW, OU PLUS GÉNÉRALEMENT EN RELATION AVEC UNE QUELCONQUE DISPOSITION DES PRÉSENTES CONDITIONS D’UTILISATION), EN VERTU D’UNE GARANTIE, D’UN CONTRAT OU D’UNE RESPONSABILITÉ CIVILE, Y COMPRIS POUR NÉGLIGENCE, OU D’UNE RESPONSABILITÉ DU FAIT DU PRODUIT, Y COMPRIS, SANS TOUTEFOIS S’Y LIMITER, LES FRAIS MÉDICAUX, LES FRAIS DE JUSTICE, LA PERTE DE REVENUS OU DE BÉNÉFICES (DIRECTE OU INDIRECTE), MÊME SI ABBOTT, SES SOCIÉTÉS AFFILIÉES OU SES FOURNISSEURS TIERS ONT ÉTÉ AVISÉS DE L’ÉVENTUALITÉ DE TELS DOMMAGES ET MÊME SI LA MESURE DE RÉPARATION ACCORDÉE NE REMPLIT PAS SON OBJECTIF PREMIER. SI UNE ERREUR SURVENANT DANS LIBREVIEW CAUSE DES PROBLÈMES INFORMATIQUES ET DES PERTES DE DONNÉES ASSOCIÉES, VOUS SEUL(E) ÊTES EN MESURE DE METTRE EN ŒUVRE LES PLANS DE SAUVEGARDE ET LES SYSTÈMES DE PROTECTION APPROPRIÉS EN FONCTION DE VOS BESOINS. POUR CES RAISONS COMMERCIALES, VOUS COMPRENEZ ET ACCEPTEZ LES LIMITATIONS DE RESPONSABILITÉ EXPOSÉES DANS LA PRÉSENTE SECTION ET RECONNAISSEZ QUE SANS VOTRE CONSENTEMENT AUX LIMITATIONS EN QUESTION, LES ÉVENTUELS FRAIS APPLICABLES SERAIENT PLUS ÉLEVÉS.
POUR LES UTILISATEURS RÉSIDANT EN INDONÉSIE : AUCUNE DISPOSITION DANS LES PRÉSENTES CONDITIONS D’UTILISATION N’EXCLUT UN QUELCONQUE RECOURS RÉGLEMENTAIRE OBLIGATOIRE AUQUEL PEUT ACCÉDER UN UTILISATEUR PROFESSIONNEL EN CAS DE MANQUEMENT À UNE EXIGENCE EN MATIÈRE DE PROTECTION DES DONNÉES DE LA PART D’ABBOTT, SITUATION QUI PEUT DONNER À UNE PERSONNE CONCERNÉE SUR LE PLAN DES DONNÉES PERSONNELLES LE DROIT DE RÉCLAMER UNE INDEMNISATION EN VERTU DE LA LÉGISLATION SUR LA TECHNOLOGIE DE L’INFORMATION ET L’ÉLECTRONIQUE ET/OU DE TOUT AUTRE RÈGLEMENT RELATIF À LA PROTECTION DES DONNÉES PERSONNELLES.
Nous n’assumerons aucune responsabilité envers vous (vos patients, employés, sous-traitants, agents ou utilisateurs) en cas de pertes, coûts, dommages, frais ou dépenses résultant d’une perte, d’une usurpation, d’un accès non autorisé aux données ou de leur modification, y compris les données personnelles, par des tiers, ou d’erreurs, d’omissions ou de retards de transmission d’informations, de coupures des connexions aux services, de virus ou de dysfonctionnements, d’interception ou de l’impact de LibreView sur vos systèmes informatiques et appareils de communication, y compris, sans toutefois s’y limiter, tout dossier ou toute autre communication fournis par vos soins, par un patient ou par nous aux termes des présentes conditions d’utilisation.
Pour les utilisateurs résidant en Australie : Aucune disposition de la Section 12 ne modifie vos droits à l’égard des garanties pour le consommateur présentés dans la Competition and Consumer Act 2010 (Cth) (loi de 2010 sur la concurrence et la consommation [Cth]). Nonobstant toute autre disposition des présentes Conditions d’utilisation, si la Competition and Consumer Act 2010 (loi de 2010 sur la concurrence et la consommation [Cth]) ou toute autre législation stipule qu’il existe une garantie à l’égard des services que nous fournissons, et notre responsabilité en cas de violation de cette garantie ne peut être exclue mais peut être limitée, notre responsabilité pour une telle violation est limitée à fournir à nouveau les services ou payer le coût de la nouvelle fourniture des services.
Pour les utilisateurs résidant en Belgique : Aucune disposition des présentes Conditions d’utilisation ne saurait exclure notre responsabilité en cas de dommages résultant d’une faute intentionnelle, d’une fraude, d’une déclaration frauduleuse ou d’une négligence grave de notre part concernant LibreView. La responsabilité d’Abbott en cas de dommages corporels ou de décès résultant d’une faute de notre part n’est pas non plus exclue.
Pour les utilisateurs résidant à Singapour, aux Émirats arabes unis et au Royaume-Uni : Aucune disposition des présentes Conditions d’utilisation ne saurait exclure notre responsabilité en cas de décès ou de dommage corporel résultant de notre négligence ou d’une déclaration frauduleuse de notre part concernant LibreView.
Pour les utilisateurs résidant en Suisse : Aucune disposition des présentes conditions d’utilisation ne saurait exclure notre responsabilité en cas de décès ou de dommage corporel résultant de notre négligence ou d’une déclaration frauduleuse de notre part ou de notre responsabilité à l’égard des dommages découlant de notre négligence grave ou de nos fautes intentionnelles concernant LibreView.
Pour les utilisateurs résidant au Vietnam : Aucune disposition dans les présentes Conditions d’utilisation n’exclut une quelconque responsabilité légale obligatoire, y compris notre responsabilité concernant le versement de dommages-intérêts, en cas de blessures ou de décès résultant de notre faute ou négligence ou de la défectuosité d’un produit, en relation avec la loi applicable en matière de protection des consommateurs du Vietnam et d’autres lois et règlements vietnamiens applicables.
Pour les utilisateurs résidant en Russie : Aucune disposition dans les présentes Conditions d’utilisation n’exclut la responsabilité d’Abbott en cas de faute intentionnelle.
Pour les utilisateurs résidant en Turquie : Aucune disposition dans les présentes Conditions d’utilisation n’exclut la responsabilité d’Abbott en cas de négligence grave ou de faute intentionnelle.
Résiliation de votre compte enregistré dans LibreView : Les présentes conditions d’utilisation s’appliquent dès lors que vous créez un compte dans LibreView et restent valables jusqu’à la résiliation. Vous pouvez demander à Abbott de supprimer votre compte de LibreView à tout moment. Abbott peut suspendre ou fermer votre compte dans LibreView sans préavis pour les raisons suivantes :
Droit applicable :
Les présentes conditions d’utilisation sont régies et interprétées conformément aux lois de l’État de l’Illinois, aux États-Unis, quelles que soient les dispositions applicables dans cette juridiction. Dans l’éventualité de tout conflit entre les lois, règles et réglementations en vigueur dans d’autres pays et celles qui s’appliquent aux États-Unis, les lois, règles et réglementations en vigueur aux États-Unis s’appliqueront dans toute la mesure possible. Vous acceptez que les présentes Conditions d’utilisation soient pleinement exécutables dans l’État de l’Illinois, et que les tribunaux d’État de l’Illinois et les tribunaux fédéraux établis dans cet État, aux États-Unis, soient compétents pour trancher toute question liée aux présentes Conditions d’utilisation ou à la relation entre les parties. Les parties conviennent par la présente que la Convention des Nations Unies sur les contrats de vente internationale de marchandises ne régit pas les présentes conditions d’utilisation.
Pour les utilisateurs résidant dans l’EEE, au Royaume-Uni, en Suisse, en Inde et en Indonésie : Les présentes conditions d’utilisation sont régies et interprétées conformément à la loi anglaise. Les parties conviennent par la présente que la Convention des Nations Unies sur les contrats de vente internationale de marchandises ne régit pas les présentes conditions d’utilisation. Tout litige découlant des présentes conditions d’utilisation, ou en rapport avec ces dernières, y compris toute question relative à leur existence, leur validité ou leur résiliation, doit être soumis à arbitrage et définitivement réglé par arbitrage conformément au règlement de la London Court of International Arbitration (LCIA) (Cour d’arbitrage international de Londres), laquelle est réputée être incorporée par référence dans la présente clause. Le nombre d’arbitres s’élève à un. Le siège ou le lieu légal d’arbitrage est Londres. La langue utilisée dans la procédure arbitrale est la langue anglaise.
Pour les utilisateurs résidant en Australie : Aucune disposition de la Section 22 n’exclut ni ne vise à exclure l’application de la Competition and Consumer Act 2010 (Cth) (loi de 2010 sur la concurrence et la consommation [Cth]), le cas échéant.
Pour les utilisateurs résidant en Australie : Vous serez informé de toute modification apportée aux présentes Conditions d’utilisation lorsque vous démarrerez LibreView. Vous serez réputé(e) avoir accepté les modifications en question à moins que vous n’informiez Abbott du contraire par écrit ou par les moyens électroniques acceptés par Abbott. Abbott attirera votre attention sur ce point quand des modifications seront annoncées. Si vous décidez de vous opposer à une quelconque modification, vous devez le faire dans les six semaines suivant la réception de l’annonce correspondante. En cas d’opposition, Abbott pourra fermer votre compte dans LibreView moyennant un préavis de quatre semaines. La Section 26 ne s’applique pas aux utilisateurs résidant en Australie.
EN CLIQUANT SUR « ACCEPTER » LORS DE LA CRÉATION D’UN COMPTE DANS LIBREVIEW EN TANT QU’UTILISATEUR PROFESSIONNEL, VOUS DÉCLAREZ ET GARANTISSEZ ÊTRE DÛMENT AUTORISÉ(E) À ACCEPTER LES PRÉSENTES CONDITIONS D’UTILISATION ET À LES APPLIQUER ET VOULOIR QUE LA SIGNATURE ÉLECTRONIQUE QUE VOUS APPOSEZ AU BAS DES PRÉSENTES CONDITIONS D’UTILISATION AIT LA MÊME FORCE ET LES MÊMES EFFETS QU’UNE SIGNATURE MANUSCRITE.
Veuillez imprimer une copie de ces Conditions d’utilisation pour vos dossiers.
[POUR LES UTILISATEURS RÉSIDANT DANS L’EEE, AU JAPON, EN SUISSE ET AU R.-U., VEUILLEZ VOUS RÉFÉRER À L’ENTENTE SUR LE TRAITEMENT DES DONNÉES CI-DESSOUS]
ENTENTE basée sur les clauses contractuelles types 2021/914 – Module 2 (transfert de responsable du traitement à sous-traitant) et incluant le module 3 (transfert de sous-traitant à sous-traitant)
La présente entente sur le traitement des données (« ETD ») pour l’UE/le Japon/la Suisse/le R.-U. fait partie intégrante des présentes Conditions d’utilisation qui régissent l’utilisation par les professionnels du site Web de LibreView proposé à l’adresse www.LibreView.com (le « Site »). Veuillez lire attentivement la présente ETD avant de commencer à utiliser notre Site, de créer un profil de patient, des cabinets et/ou d’inviter d’autres utilisateurs professionnels à créer un compte dans LibreView, car cette ETD constitue un accord juridique entre vous en tant que responsable du traitement et exportateur de données et Abbott Diabetes Care Inc., 1420 Harbor Bay Parkway, Alameda, CA 94502 (États-Unis), par l’intermédiaire de son représentant en vertu de la section 27 du RGPD ou d’autres filiales locales (« Abbott ») en tant que sous-traitant et importateur de données et Abbott Laboratories en tant que sous-traitant ultérieur et réception de données personnelles via un transfert ultérieur d’Abbott en tant que sous-traitant et importateur de données.
Votre accès et votre utilisation du Site et de LibreView (« LibreView ») constituent et sont conditionnés par votre accord d’être lié par cette ETD. Si vous n’acceptez pas cette ETD, n’utilisez pas ou n’accédez à aucun service ou information disponible sur ce Site. Tous les accords de protection des données préexistants relatifs à LibreView ou à un compte d’utilisateur professionnel LibreView entre les parties sont remplacés et ne s’appliqueront plus, sauf accord spécifique des parties.
SECTION I
Clause 1
Finalités et champ d’application
|
(a) |
Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) 1 en cas de transfert de données à caractère personnel vers un pays tiers. |
|
(b) |
Les parties :
|
|
(c) |
Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B. |
|
(d) |
L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses. 1 Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement (UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui figurent dans la décision 2021/915.
|
Effet et invariabilité des clauses
|
(a) |
Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. |
|
(b) |
Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679. |
Clause 3
Tiers bénéficiaires
|
(a) |
Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :
|
|
(b) |
Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679. |
Clause 4
Interprétation
|
(a) |
Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement. |
|
(b) |
Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679. |
|
(c) |
Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679. |
Clause 5
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.
Clause 6
Description du ou des transferts
Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.
Clause 7
Laissé vide intentionnellement
SECTION II — OBLIGATIONS DES PARTIES
Clause 8
Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
MODULE 2 : transfert de responsable du traitement à sous-traitant
8.1 Instructions
|
(a) |
L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat. |
|
(b) |
S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données. |
8.2 Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.
8.3 Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.4 Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5 Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).
8.6 Sécurité du traitement
|
(a) |
L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié. |
|
(b) |
L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
|
(c) |
En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles. |
|
(d) |
L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données. |
8.7 Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les « données sensibles »), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne 2 (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur »), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si :
|
(i) |
le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ; |
|
(ii) |
le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ; |
|
(iii) |
le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques ; ou |
|
(iv) |
le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. |
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
2 L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.
8.9 Documentation et conformité
|
(a) |
L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses. |
|
(b) |
Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données. |
|
(c) |
L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données. |
|
(d) |
L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable. |
|
(e) |
Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit. |
MODULE 3 : transfert de sous-traitant à sous-traitant
8.1 Instructions
|
(a) |
L’exportateur de données a informé l’importateur de données qu’il agit en qualité de sous-traitant sur instructions de son ou ses responsables du traitement, instructions qu’il met à la disposition de l’importateur de données avant le traitement. |
|
(b) |
L’importateur de données ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données, ainsi que sur instructions documentées supplémentaires de l’exportateur de données. Ces instructions supplémentaires ne sont pas en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou l’exportateur de données peut donner d’autres instructions documentées concernant le traitement des données pendant toute la durée du contrat. |
|
(c) |
S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données. Lorsque l’importateur de données n’est pas en mesure de suivre les instructions du responsable du traitement, l’exportateur de données en informe immédiatement ce dernier. |
|
(d) |
L’exportateur de données garantit qu’il a imposé à l’importateur de données les mêmes obligations en matière de protection des données que celles fixées dans le contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre entre le responsable du traitement et l’exportateur de données. |
|
(a) |
L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données ou du responsable du traitement. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié. |
|
(b) |
L’importateur de données ne donne l’accès aux données aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
|
(c) |
En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également, dans les meilleurs délais, l’exportateur de données et, s’il y a lieu et dans la mesure du possible, le responsable du traitement après avoir eu connaissance de la violation. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles. |
|
(d) |
L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer son responsable du traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations dont à la disposition de l’importateur de données. |
8.7 Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les « données sensibles »), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires indiquées à l’annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne 3 (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur »), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si :
|
(i) |
le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ; |
|
(ii) |
le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 ; |
|
(iii) |
le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques ; ou |
|
(iv) |
le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. |
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
8.9 Documentation et conformité
|
(a) |
L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données ou du responsable du traitement concernant le traitement au titre des présentes clauses. |
|
(b) |
Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte du responsable du traitement. |
|
(c) |
L’importateur de données met toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses à la disposition de l’exportateur de données, qui les transmet au responsable du traitement. |
|
(d) |
L’importateur de donnéespermet la réalisation, par l’exportateur de données, d’audits des activités de traitement couvertes par les présentes clauses, et contribue à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Il en est de même lorsque l’exportateur de données demande un audit sur instructions du responsable du traitement. Lorsqu’il décide d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données. |
|
(e) |
Lorsque l’audit est effectué sur instructions du responsable du traitement, l’exportateur de données met les résultats à la disposition de ce dernier. |
|
(f) |
L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable. (e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit. |
Clause 9
Recours à des sous-traitants ultérieurs
MODULE 2 : transfert de responsable du traitement à sous-traitant
|
(a) |
L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins 90 jours à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections. |
|
(b) |
Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées. 4 Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses. |
|
(c) |
L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie. |
|
(d) |
L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat. |
|
(e) |
L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel. |
4 Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du module approprié, conformément à la clause 7.
MODULE 3 : transfert de sous-traitant à sous-traitant
|
(a) |
L’importateur de données a l’autorisation générale du responsable du traitement de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit le responsable du traitement de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins 90 jours à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit au responsable du traitement les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.. L’importateur de données informe l’exportateur de données du recrutement du ou des sous-traitants ultérieurs. |
|
(b) |
Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées 5. Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses. |
|
(c) |
L’importateur de données fournit sur demande, à l’exportateur de données ou au responsable du traitement, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie. |
|
(d) |
L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat. |
|
(e) |
L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel. |
5 Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du module approprié, conformément à la clause 7.
Clause 10
Droits des personnes concernées
MODULE 2 : transfert de responsable du traitement à sous-traitant
|
(a) |
L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données. |
|
(b) |
L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise. |
|
(c) |
Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données. |
MODULE 3 : transfert de sous-traitant à sous-traitant
|
(a) |
L’importateur de données informe sans délai l’exportateur de données et, s’il y a lieu, le responsable du traitement de toute demande reçue d’une personne concernée, mais n’y répond pas à moins d’y avoir été autorisé par le responsable du traitement. |
|
(b) |
L’importateur de données aide, si nécessaire en coopération avec l’exportateur de données, le responsable du traitement à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise. |
|
(c) |
Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données. |
Clause 11
Voies de recours
|
(a) |
L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site Web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée. |
MODULE 2 : transfert de responsable du traitement à sous-traitant
MODULE 3 : transfert de sous-traitant à sous-traitant
|
(b) |
En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre. |
|
(c) |
Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée :
|
|
(d) |
Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679. |
|
(e) |
L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre. |
|
(f) |
L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable. |
Clause 12
Responsabilité
|
(a) |
Chaque partie est responsable envers la ou les autres parties de tout dommage qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses. |
|
(b) |
L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. |
|
(c) |
Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. |
|
(d) |
Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage. |
|
(e) |
Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties. |
|
(f) |
Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage. |
|
(g) |
L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité. |
Clause 13
Contrôle
|
(a) |
Si l’exportateur de données est établi dans un État membre de l’Union : L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement : L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679 : L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente. |
|
(b) |
L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises. |
SECTION III – LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES
Clause 14
Législations et pratiques locales ayant une incidence sur le respect des clauses
|
(a) |
Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses. |
|
(b) |
Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants :
|
|
(c) |
L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses. |
|
(d) |
Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande. |
|
(e) |
L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). [Pour le module 3 : L’exportateur de données transmet la notification au responsable du traitement.] |
|
(f) |
À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation, [pour le module 3 :, si nécessaire en concertation avec le responsable du traitement]. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si [pour le module 3 : le responsable du traitement ou] l’autorité de contrôle compétente lui en donne [pour le module 3 : donnent] l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause16, paragraphes d) et e), s’applique. |
6 En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la jurisprudence et les rapports d’organes de contrôle indépendants.
Clause 15
Obligations de l’importateur de données en cas d’accès des autorités publiques
MODULE 2 : transfert de responsable du traitement à sous-traitant
MODULE 3 : transfert de sous-traitant à sous-traitant
15.1 Notification
|
(a) |
L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) :
|
[Pour le module 3 : L’exportateur de données transmet la notification au responsable du traitement.]
|
(b) |
Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande. |
|
(c) |
Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). [Pour le module 3 : L’exportateur de données transmet les informations au responsable du traitement.] |
|
(d) |
L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. |
|
(e) |
Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses. |
15.2 Contrôle de la légalité et minimisation des données
|
(a) |
L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e). |
|
(b) |
L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. [Pour le module 3 : L’exportateur de données met l’évaluation à la disposition du responsable du traitement.] |
|
(c) |
L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande. |
SECTION IV — DISPOSITIONS FINALES
Clause 16
Non-respect des clauses et résiliation
|
(a) |
L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison. |
|
(b) |
Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f). |
|
(c) |
L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque :
Dans ces cas, il informe l’autorité de contrôle compétente [pour le module 3 : et le responsable du traitement] de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. |
|
(d) |
[Pour les modules 1, 2 et 3 : Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données.] L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige. |
|
(e) |
Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679. |
Clause 17
Droit applicable
MODULE 2 : transfert de responsable du traitement à sous-traitant
MODULE 3 : transfert de sous-traitant à sous-traitant
Les présentes clauses sont régies par le droit de l’État membre de l’Union européenne dans lequel l’exportateur de données est établi. Si ce droit ne reconnaît pas de droits au tiers bénéficiaire, les clauses sont régies par le droit d’un autre État membre de l’Union européenne qui reconnaît de tels droits.
Clause 18
Élection de for et juridiction
MODULE 2 : transfert de responsable du traitement à sous-traitant
MODULE 3 : transfert de sous-traitant à sous-traitant
|
(a) |
Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne. |
|
(b) |
Les parties conviennent qu’il s’agit du droit des juridictions de l’État membre qui s’applique conformément à la clause 17. |
|
(c) |
La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle. |
|
(d) |
Les parties acceptent de se soumettre à la compétence de ces juridictions. |
ANNEXE I
A. LISTE DES PARTIES
MODULE 2 : transfert de responsable du traitement à sous-traitant
Exportateur de données :
Utilisateur professionnel, un fournisseur de services de santé aux patients.
Rôle : Responsable du traitement
Importateur de données :
Abbott, le fournisseur de LibreView.
Rôle : Sous-traitant
MODULE TROIS : transfert de sous-traitant à sous-traitant
Exportateur de données :
Abbott, le fournisseur de LibreView.
Rôle : Sous-traitant
Importateur(s) de données :
Abbott Laboratories
Rôle : Sous-traitant ultérieur
B. DESCRIPTION DU TRANSFERT
MODULE 2 : transfert de responsable du traitement à sous-traitant
Catégories de personnes concernées dont les données à caractère personnel sont transférées :
Les données à caractère personnel transférées concernent les catégories de personnes concernées suivantes :
Catégories de données à caractère personnel transférées
Les données à caractère personnel transférées concernent les catégories de données suivantes :
Données d’inscription
Données d’utilisation informatique
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires :
Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue).
Continue tant que l’exportateur de données utilise le service de l’importateur de données.
Nature du traitement
Les données à caractère personnel transférées feront l’objet des traitements suivants :
Finalité(s) du transfert et du traitement ultérieur des données
Fournir, exploiter et entretenir LibreView.
Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée
L’importateur de données continuera à stocker les informations personnelles des patients de l’exportateur de données tant que celui-ci sera détenteur d’un compte utilisateur professionnel actif dans LibreView, à moins que l’exportateur de données ne choisisse de supprimer les informations de ses patients plus tôt. Le compte utilisateur professionnel dans LibreView de l’exportateur de données sera considéré comme inactif après une période d’inactivité de six (6) mois. En outre, l’importateur de données peut conserver les données à caractère personnel conformément aux exigences légales en vigueur.
MODULE 3 : transfert de sous-traitant à sous-traitant
Catégories de personnes concernées dont les données à caractère personnel sont transférées :
Les données à caractère personnel transférées concernent les catégories de personnes concernées suivantes :
Catégories de données à caractère personnel transférées :
Les données à caractère personnel transférées concernent les catégories de données suivantes :
Données d’inscription
Données d’utilisation informatique
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires :
Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue).
Au fur et à mesure que les services de maintenance sont fournis.
Nature du traitement :
Les données à caractère personnel transférées feront l’objet des traitements suivants :
Finalité(s) du transfert et du traitement ultérieur des données :
Fournir, exploiter et entretenir LibreView.
Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée
Une fois que le problème pour lequel les services de maintenance sont fournis a été résolu, les données personnelles sont supprimées par l’importateur de données.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
MODULE 2 : transfert de responsable du traitement à sous-traitant
MODULE 3 : transfert de sous-traitant à sous-traitant
L’autorité de contrôle compétente pour le responsable du traitement.
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
MODULE 2 : transfert de responsable du traitement à sous-traitant
MODULE 3 : transfert de sous-traitant à sous-traitant
Une description des mesures techniques et organisationnelles mises en œuvre par Abbott conformément à la clause 8.6 des clauses contractuelles types est présentée à l’Annexe C (Mesures de sécurité).
Abbott a mis en œuvre les mesures de sécurité techniques et organisationnelles énoncées dans la présente annexe II pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues de ses systèmes et services de traitement. Abbott traite les données personnelles sur les sites de ses serveurs de l’EEE exploités par un prestataire de services infonuagiques, chef de file du secteur, qui propose des mesures poussées pour assurer la protection contre les accès non autorisés.
Contrôle de l’accès aux zones de traitement (confidentialité) : Les mesures prises par le prestataire de services cloud de premier plan mandaté par Abbott pour empêcher l’accès non autorisé à l’équipement (par exemple, les téléphones, les serveurs de bases de données et d’applications et le matériel associé) dans lequel les données personnelles sont traitées comprennent les mesures appropriées suivantes :
Contrôle d’accès aux systèmes de traitement des données (confidentialité) : Abbott prend les mesures appropriées pour empêcher que ses systèmes de traitement de données ne soient utilisés par des personnes non autorisées. Il s’agit notamment des mesures suivantes :
Contrôle d’accès pour l’utilisation de certains aspects des systèmes de traitement des données (confidentialité) : Le personnel d’Abbott autorisé à utiliser les systèmes de traitement de données n’a accès qu’aux données personnelles pour lesquelles ils ont une autorisation d’accès suffisante. Les données personnelles chiffrées ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation. Il s’agit notamment des mesures suivantes :
Contrôle des transferts (intégrité) : Abbott prend des mesures pour empêcher que les données personnelles soient lues, copiées, modifiées ou supprimées par des personnes non autorisées pendant leur transfert ou leur transport. Il s’agit notamment des mesures suivantes :
Contrôle des entrées (intégrité) : Abbott n’accède pas au contenu de l’utilisateur professionnel, sauf si cela est nécessaire pour lui fournir les produits et services professionnels de son choix. Abbott n’accède pas au contenu de l’utilisateur professionnel à des fins autres que celles énoncées dans les conditions d’utilisation et la présente ETD. En conséquence, Abbott ne sait pas quel contenu l’utilisateur professionnel stocke sur ses systèmes et ne peut pas faire la distinction entre les données personnelles et les autres contenus. Abbott traite donc tous les contenus des utilisateurs professionnels de la même manière. Ainsi, tous les contenus des utilisateurs professionnels bénéficient du même niveau de sécurité élevé, qu’il y ait ou non des données personnelles.
Abbott prend les mesures appropriées pour s’assurer qu’il est possible de vérifier et d’établir qu’aucune donnée personnelle n’a été introduite ou supprimée des systèmes de traitement de données. Il s’agit notamment des mesures suivantes :
Contrôle des demandes : Abbott prend des mesures pour s’assurer que, lorsque des données personnelles sont traitées, elles le sont en conformité stricte avec les instructions de l’utilisateur professionnel. Il s’agit notamment des mesures suivantes :
Contrôle de la disponibilité (disponibilité) : Abbott prend des mesures pour garantir que les données personnelles sont protégées contre toute destruction ou perte accidentelle. Il s’agit notamment des mesures suivantes :
Séparation du traitement en fonction des objectifs : Abbott prend des mesures pour s’assurer que les données personnelles collectées à des fins différentes puissent être traitées séparément. Il s’agit notamment des mesures suivantes :
Résilience : Abbott a mis en place les mesures de sécurité techniques et organisationnelles suivantes, notamment pour assurer la fiabilité de ses systèmes et services de traitement :
Abbott a également mis en place des mesures organisationnelles et techniques en tenant compte des recommandations 01/2020 du Conseil européen de la protection des données ainsi que de la décision « Schrems II » de la Cour européenne de justice.
ANNEXE III :
LISTE DES SOUS-TRAITANTS ULTÉRIEURS
MODULE 2 : Transfert de responsable du traitement à sous-traitant
| Nom du sous-traitant | Adresse du sous-traitant | Description des services | Lieu à partir duquel les services sont fournis |
|---|---|---|---|
| Amazon Web Services | 410 Terry Avenue North Seattle WA 98109 U.S.A. | Hébergement des comptes dans LibreView pour les utilisateurs résidant dans l’Espace économique européen, en Suisse et au Royaume-Uni. | France pour les utilisateurs situés en France Allemagne pour les utilisateurs situés en Allemagne Irlande pour tous les autres utilisateurs de l’EEE, de la Suisse et du Royaume-Uni, Japon pour les utilisateurs japonais |
MODULE 3 : transfert de sous-traitant à sous-traitant
| Nom du sous-traitant | Adresse du sous-traitant | Description des services | Lieu à partir duquel les services sont fournis |
|---|---|---|---|
| Abbott Laboratories | 100 Abbott Park Road, Abbott Park, Ill. 60064 U.S.A. | Services d’entretien, en particulier de dépannage et d’assistance avec d’autres applications et logiciels. | États-Unis |
ANNEXE IV
MODIFICATIONS DE LA LOI LOCALE POUR LES EXPORTATEURS DE DONNÉES NON SOUMIS AU RGPD
|
1 |
Modifications des lois locales pour les exportateurs de données situés en Suisse :
|
|
2 |
Modifications des lois locales pour les exportateurs de données situés au Royaume-Uni :
Tableau 2: CCT sélectionnées, modules et clauses sélectionnées
Tableau 3: Informations relatives à l’annexe Les « Informations relatives à l’annexe » désignent les informations qui doivent être fournies pour les modules sélectionnés, telles qu’elles sont énoncées dans l’annexe des Clauses contractuelles types européennes approuvées (autres que les parties), et qui, pour le présent Addendum, figurent dans :
Tableau 4 : Mettre fin au présent Addendum lorsque l’Addendum approuvé est modifié
PARTIE 2 : CLAUSES OBLIGATOIRES
Interprétation du présent Addendum
Clauses obligatoires alternatives de la partie 2 :
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DOC42186-001_Rev-R_fr-FR