EPIHM

Politique de confidentialité – CreaRisk

POLITIQUE DE CONFIDENTIALITE

  1. Définitions

Les termes ayant une majuscule dans l’annexe ont la signification qui leur est ci-après donnée :

Données personnelles : désigne toute donnée se rapportant à une personne physique identifiée ou identifiable.

Personnes concernées / Salariés suivis : désigne les personnes dont les données personnelles sont traitées en sous-traitance par EPIHM pour le compte du Client, en particulier les données des Utilisateurs.

Responsable de traitement : désigne la personne qui détermine les finalités et les moyens du traitement. En l’espèce, le Client.

RGPD : désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Sous-traitant : désigne la personne qui traite les Données à caractère personnel pour le compte du Responsable de traitement. Dans le présent Contrat, EPIHM agit en qualité de sous-traitant.

Les autres termes débutant par une majuscule ont la signification qui leur est donnée à l’article « Définitions » du corps du Contrat.

 

  1. Déclarations

Le Client déclare :

  • Qu’il détermine seul les finalités et les moyens relatifs aux traitements de Données à caractère personnel confiés en sous-traitance à EPIHM ;
  • Qu’il dispose d’une base légale lui permettant de mettre en œuvre les différents traitements confiés à EPIHM en sous-traitance ;
  • Qu’il a pris ou s’engage à prendre les mesures appropriées pour fournir aux Personnes concernées toute information visée aux articles 13 et 14 du RGPD ;
  • Qu’il a pris ou s’engage à prendre toutes les mesures appropriées pour faciliter l’exercice des droits conférés aux Personnes concernées au titre des articles 15 à 22 du RGPD ;
  • Qu’il a pris ou s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des Données personnelles adapté au risque ;
  • Qu’il utilise le Logiciel et l’Application de façon à respecter la confidentialité des données personnelles, notamment lorsqu’il procède à de la transmission de données ou qu’il octroie des accès au Logiciel ou à l’Application par l’ouverture d’Espaces. Le Client est seul responsable de l’utilisation qu’il fait du Logiciel ;
  • De façon générale, qu’il respecte la réglementation applicable aux traitements de Données personnelles.

EPIHM déclare :

  • Traiter les Données personnelles concernées uniquement pour le compte du Client ;
  • Traiter ces mêmes Données personnelles dans la limite des services fournis au titre du présent Contrat;
  • Traiter ces Données personnelles uniquement sur instruction documentée du Client et conformément à ces instructions. Est considéré comme une instruction, en plus des éléments descriptifs des Services présents au sein du contrat, tout document écrit transmis par tout moyen par le Client à EPIHM;
  • Veiller à ce que les personnes, au sein d’EPIHM, autorisées à traiter ces Données personnelles, soient soumises à une obligation légale ou contractuelle de confidentialité;
  • De façon générale, respecter la réglementation applicable aux traitements de Données personnelles.

 

  1. Description des Traitements confiés par le Client à EPIHM

Le Client confie à EPIHM les traitements des Données au moyen du Logiciel et de l’Application ainsi que l’hébergement des contenus et données, y compris Données personnelles, qui transitent par le Logiciel.

Les traitements ou opérations de traitements confiés sont donc :

–           Les traitements conformes aux fonctionnalités du Logiciel : gestion des comptes des Salariés Suivis, organisation des Données au sein du Logiciel et de l’Application, suppression des Données le cas échéant;

–          La consultation possible des Données personnelles dès lors qu’une opération de maintenance du Logiciel est nécessaire et

–           L’hébergement des Données personnelles.

Le Client détermine seul les finalités des traitements des Données personnelles et les moyens de ce traitement.

Les finalités sont :

– Permettre aux Salariés Suivis de bénéficier d’un accès personnalisé aux Services et de bénéficier d’une gestion de leur Espace en ligne (si existant);

– Mettre en place et assurer le suivi du DUERP;

– Faire les déclarations pénibilité;

– Suivre les formations au poste

Toute autre finalité doit être précisée par le Client par écrit.

Le Client est responsable du traitement de ces Données personnelles.

EPIHM est sous-traitante, ne réalisant les traitements sur les Données personnelles transmises par le Client que sur instruction de ce dernier.

Les traitements réalisés en sous-traitance par EPIHM pour le compte du Client sont effectués pendant la durée prévue au Contrat.

 

  1. Description des Données personnelles traitées

Les Données personnelles traitées par EPIHM pour le compte du Client sont celles des Personnes concernées suivantes :

  • Les Utilisateurs,
  • Les salariés du Client.

Ces Données personnelles peuvent être très variées (données d’identification – nom, prénom, date de naissance, adresse, mail, numéro de téléphone, risques encourus, pénibilité et dépendent des fonctionnalités utilisées par le Client pour traiter les Données des personnes concernées.

Le Client est seul responsable des catégories de Données personnelles traitées à partir du Logiciel et notamment de traiter des données relevant de la catégorie des données sensibles telles que des données de santé.

Le Client garantit à EPIHM ne collecter que des Données personnelles nécessaires au traitement qu’il réalise et en conformité avec les règles légales.

Les données sont hébergées sur un serveur certifié pour l’hébergement de données de santé.

Dans le cas où le Client traite des données de santé à partir du Logiciel, le Client garantit à EPIHM qu’il dispose d’une base légale pour confier le traitement de ces données de santé en sous-traitance et qu’il respecte l’ensemble des règles encadrant les traitements de données de santé (RGPD, notamment découlant de l’article 9 du RGPD, Loi Informatique et Libertés du 6 janvier 1978 modifiée, …), ainsi que le code de la santé publique. Dans le cas où le traitement nécessiterait une déclaration préalable à la CNIL, le Client certifie l’avoir effectuée.

Si, en cours de relation contractuelle, le type des Données personnelles dont le traitement est confié en sous-traitance évolue, et relève d’une autre réglementation spécifique, le Client doit en informer EPIHM. La prise en compte de ces réglementations spécifiques, si elle est possible par EPIHM, pourra entraîner un surplus de facturation. Si EPIHM ne peut répondre aux exigences de ces réglementations, le Contrat pourra être résilié sans versement d’aucunes indemnités et sans que la responsabilité de EPIHM ne puisse être engagée.

 

  1. Traitement des données personnelles

Les Données à caractère personnel traitées pour le compte du Client sont hébergées par Kalanda, qui intervient en tant que Sous-traitant ultérieur d’EPIHM. Kalanda est certifié pour l’hébergement de données de santé.

 

  1. Droit d’information des personnes concernées

Le Client est seul responsable de la collecte des Données personnelles et des traitements ultérieurs. Il lui revient d’informer les personnes concernées, conformément à l’article 13 du RGPD en cas de collecte directe, ou conformément à l’article 14 du RGPD en cas de collecte indirecte, et de recueillir leur consentement le cas échéant.

Le Client s’engage à transmettre à EPIHM la base légale sur laquelle les traitements confiés en sous-traitance se fondent.

 

  1. Gestion de l’exercice des droits des personnes concernées

En tant que responsable de traitement, le Client répond aux Personnes concernées dans le cadre d’une demande d’exercice des droits. EPIHM collaborera avec le Client afin de lui permettre de répondre dans le délai légal d’un (1) mois.

Les demandes d’exercice de droits formulées par une Personne concernée doivent être transmises à EPIHM par mail à l’adresse DPO@epihm.fr dans les huit (8) jours qui suivent sa réception par le Client et après que ce dernier ait vérifié l’identité de la Personne concernée et la légitimité de la demande.

Le Client est seul responsable des réponses aux demandes d’exercice de droit, et des vérifications préalables, EPIHM ne faisant que respecter les instructions du Client dans le cas d’une demande d’exercice de droits.

 

  1. Sous-traitance ultérieure

Le Client autorise expressément EPIHM à faire appel à des sous-traitants ultérieurs pour mener à bien sa mission. Il est convenu que dans le cadre du présent Contrat, EPIHM a recours au sous-traitant ultérieur suivant que le Client accepte : Kalanda pour l’hébergement des Données à caractère personnel.

Si EPIHM devait faire appel à un nouveau sous-traitant ultérieur, ou en remplacer un, il en informerait le Client par courriel adressé à l’adresse e-mail de contact communiquée par le Client, ce dernier disposant d’un délai de trente (30) jours à compter de la date de transmission de cette information pour émettre des objections. Si malgré les objections du Client, EPIHM maintient le recours au sous-traitant ultérieur, le Client peut mettre un terme à la relation contractuelle dans les trente (30) jours qui suivent la confirmation du recours au sous-traitant ultérieur, par courrier A/R, sans que la responsabilité d’EPIHM ni celle du Client ne puissent être engagées ni aucune indemnité versée.

EPIHM garantit que tout sous-traitant ultérieur est tenu de mettre en œuvre des mesures techniques et organisationnelles en termes de protection des Données personnelles conformes à celles mises en place par EPIHM. EPIHM garantit mettre en place avec le sous-traitant concerné un contrat contenant les clauses identiques à celles de la présente annexe. Dans le cas où un sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, EPIHM demeure pleinement responsable devant le Client de l’exécution par l’autre sous-traitant de ses obligations.

 

  1. Notification des violations de Données personnelles

EPIHM rappelle au Client qu’il lui incombe, en cas de violation des Données personnelles, en tant que seul Responsable du traitement, d’effectuer, le cas échéant, la notification auprès de l’autorité de contrôle et la communication aux Personnes concernées requises aux articles 33 et 34 du RGPD.

EPIHM, en tant que Sous-traitante, s’engage à signaler au Client tout fait constituant une atteinte à la sécurité physique ou logique de ses installations susceptibles d’avoir un impact sur les Données personnelles et à prendre toute mesure à l’effet d’y remédier, ce dont elle devra tenir informé le Client en conformité avec les dispositions légales ou réglementaires ou les recommandations des autorités de contrôle de protection des données à caractère personnel applicables en la matière.

EPIHM portera l’incident à la connaissance du Client dans les meilleurs délais à compter de sa découverte afin de permettre au Client de remplir ses obligations vis-à-vis de l’autorité de contrôle et, le cas échéant, vis-à-vis des Personnes concernées.

À la découverte d’une violation des Données à caractère personnel, EPIHM contactera le Client par e-mail, à l’adresse communiquée comme contact administratif ou à l’adresse de son DPO si le Client a un DPO (le système utilisé devant générer une preuve d’envoi et de réception).

Le Client doit fournir des coordonnées de contact précises et les mettre à jour lors de chaque modification.

EPIHM tient à la disposition du Client l’ensemble des informations et de la documentation nécessaire lui permettant de prendre une décision quant à une éventuelle notification à l’autorité de contrôle et/ou aux Personnes concernées. Cette documentation doit permettre au Client de connaître la nature de la violation, ses conséquences probables et les mesures prises ou à prendre pour y remédier.

 

  1. Assistance

EPIHM fournit la coopération et l’assistance au Client, dans la mesure où cela est raisonnablement nécessaire, pour lui permettre de répondre aux demandes d’exercice des droits des Personnes concernées.

EPIHM s’engage à assister et aider le Client (à l’exception de toute assistance juridique), si une telle assistance est nécessaire et se rapporte aux traitements de Données personnelles opérés par EPIHM en vertu du Contrat :

  • En étant en mesure de rendre compte et de faire la preuve, pendant toute la durée du Contrat, de l’ensemble des dispositifs et mesures de protection des Données à caractère personnel concernées par le Contrat, et de conformité de ces dispositifs et procédures aux exigences légales ;
  • En fournissant toute documentation utile nécessaire à la réalisation de l’analyse d’impact qui serait liée au traitement réalisé ;
  • En assistant le Client dans la réalisation de l’analyse d’impact, le cas échéant ; étant précisé qu’il s’agirait, en ce cas, d’une prestation facturable ;
  • En signalant immédiatement au Client toute instruction qu’EPIHM considérerait comme une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données à caractère personnel.

 

  1. Documentation / Audit

EPIHM met à la disposition du Client, responsable du traitement, toutes les informations nécessaires pour démontrer le respect des obligations prévues à la présente annexe et pour permettre la réalisation d’audits dans la mesure où ces audits ne sont pas abusifs et ne déstabilisent pas le service rendu par EPIHM.

EPIHM dispose d’un droit de veto sur la personne en charge de la réalisation de l’audit. L’audit ne peut concerner que le service objet du Contrat. L’auditeur ne pourra en aucun cas accéder aux contenus, données personnelles ou non concernant d’autres clients ni aux données couvertes par le secret des affaires. Le Client ne peut faire plus d’un (1) audit sur place par an. Les frais de l’audit sont à la charge du Client et des frais pourront être facturés par EPIHM notamment si un ou plusieurs salariés passent du temps pour cet audit. Le rapport d’audit devra être transmis à EPIHM dès finalisation et sera soumis à confidentialité. EPIHM disposera d’un délai de trente (30) jours pour émettre des observations sur ce rapport.

  1. Durée de conservation

Le Client est responsable des durées de conservation des Données à caractère personnel et peut les supprimer ou les modifier à tout moment sur le Logiciel.

EPIHM respectera les instructions du Client concernant ces durées. Au terme du Contrat, les données personnelles faisant l’objet des traitements en sous-traitance seront supprimées dans un délai de trente (30) jours à compter de la fin du Contrat, EPIHM n’en gardant aucune copie. Il revient donc au Client d’en effectuer tout export avant l’issue du Contrat, EPIHM ne réalisant pas de prestation de réversibilité, sauf conformément à ce qui est précisé au sein du document principal du Contrat, à savoir après présentation d’un devis accepté par le Client.

  1. Mesures de sécurité

EPIHM met en œuvre les mesures techniques et organisationnelles appropriées au type de Données traitées et aux risques, conformément à l’article 32 du RGPD.

Seuls les techniciens d’EPIHM peuvent éventuellement accéder aux Données personnelles lors de la réalisation d’une opération de maintenance, les autres salariés n’ayant pas accès aux Données personnelles. Les salariés d’EPIHM sont soumis à une clause de confidentialité.

Les mesures de sécurité de l’hébergeur peuvent être transmises au Client sur simple demande.

 

  1. Responsabilité

EPIHM ne peut voir sa responsabilité engagée qu’en cas de dommage direct causé par un traitement pour lequel elle n’a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou pour lequel elle a agi en dehors des instructions licites du Client ou contrairement à celles-ci.

La responsabilité d’EPIHM ne peut être engagée pour tout dommage indirect (perte de clients, perte de chiffres d’affaires,…) ni pour tout dommage direct trouvant sa cause dans le fait du Client lui-même, d’un tiers ou dans un cas de force majeure.

La clause limitative de responsabilité précisée dans le document principal est applicable aux obligations indiquées dans la présente annexe.

 

  1. Transfert dans un pays tiers

Les Données personnelles traitées en sous-traitance par EPIHM pour le Client ne font l’objet d’aucun transfert dans un pays tiers.

EPIHM s’interdit de procéder à toute opération pouvant être interprétée comme un transfert de Données à caractère personnel en dehors de l’Union Européenne sans instruction préalable, écrite et documentée du Client, à moins qu’elle ne soit tenue d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel elle est soumise.