Politique de protection des données personnelles
SEPHIRA construit avec ses Clients des relations fortes et durables, fondées sur la confiance réciproque : assurer la sécurité et la confidentialité des données personnelles de ses utilisateurs.
La présente Politique de protection des données vise à vous informer de nos pratiques concernant la collecte, l’utilisation et le partage des informations que vous êtes amenés à nous fournir par le biais de notre site internet www.sephira.fr, nos applications sur les mesures et engagements pris par SEPHIRA afin de veiller au respect des données de nos Clients et visiteurs.
La présente politique pourra évoluer en fonction du contexte légal et réglementaire et de la CNIL.
1. Données collectées
SEPHIRA veille à ne collecter et ne traiter que les données strictement nécessaires au regard de la finalité pour laquelle elles sont traitées. Toutes les données concernant l’Utilisateur sont collectées directement auprès de ce dernier et SEPHIRA s’engage à en recueillir le consentement préalable.
Le recueil des données a pour base légale l’intérêt En utilisant le site www.sephira.fr, vous êtes amenés à nous transmettre des informations dont certaines sont de nature à vous identifier et constituent de ce fait des données à caractères personnelles (ci-après dénommées les « Données »).
Lorsque vous consultez notre site, nous sommes amenés à recueillir des données de types
- Des données d’identification de compte : données que vous renseignez lors de la création d’un compte (nom, prénom, coordonnées, spécialité, numéro de conventionnement)
- Des données rendues publiques : informations que vous affichez volontairement sur nos sites supports, nos applications telles que les commentaires sur les blogs et forums, photos, discussions sur les forums et profil de compte.
- Des données sur les transactions et l’exécution du contrat : données que vous renseignez lorsque vous effectuez des achats par le biais de notre boutique en ligne telles que notamment votre moyen de paiement et toute autre donnée bancaire. (RIB, opérations bancaires). Les données bancaires collectées sont transmises à des tiers qui contribuent à traiter et à satisfaire vos demandes en toute sécurité.
- Des données relatives à la pratique professionnelle du Professionnel de Santé en lien avec les services et produits Sephira : NIR, feuille de soins, code acte de consultation, gestion de l’agenda).
- Des données relatives à la navigation : données que nous collectons indirectement lors de votre navigation sur le site sephira.fr via l’utilisation de technologies Internet, notamment les « cookies ou traceurs ». SEPHIRA s’engage à vous permettre de vous y opposer, dès que cela est nécessaire. (Voir 5. Politique cookies et traceurs)
2. Les traitements
Les responsables de traitement sont :
– Le professionnel de Santé ayant souscrit au Service fourni par SEPHIRA pour les données à caractère personnel liées à la santé. SEPHIRA est sous-traitant du professionnel de santé dans le cadre des traitements de données personnelles qu’elle mène pour son compte et sur ses instructions.
– SEPHIRA pour les données personnelles collectées est dans le cadre de la relation contractuelle avec le Professionnel de Santé.
Les traitements mis en œuvre par SEPHIRA répondent à une finalité explicite, légitime et déterminée :
Formulaire de contact |
|
Finalité |
Répondre à vos demandes d’information, de démonstration ou de documentation sur nos Solutions |
Base légale |
Ce traitement est basé sur votre consentement |
Destinataires |
Le responsable de traitement SEPHIRA et ses équipes internes Commerce et Marketing chargées de répondre aux demandes des visiteurs Notre sous-traitant pour l’hébergement, la maintenance et la mise à jour- sous notre contrôle. |
Transfert hors Union Européenne |
Aucun transfert hors Union Européenne- Hébergement des données en UE |
Durée de conservation |
3 ans à compter de la collecte. |
Actions commerciales |
|
Finalités |
Acquérir de nouveaux Clients : promouvoir les produits Sephira en adéquation avec vos besoins, en lien avec votre activité, vous adresser des invitations à des évènements… Augmenter la satisfaction clients par le biais d’enquête de satisfaction, d’invitation à des évènements…. Notre fichier prospects et clients est relié à notre suivi commercial et permet d’y associer opportunités, devis et commandes afin d’améliorer la qualité de ce suivi. Boutique en ligne : vendre les consommables et accessoires en ligne |
Base légale |
Ce traitement est basé sur l’intérêt légitime de SEPHIRA |
Destinataires |
Le responsable de traitement SEPHIRA, les équipes Commerce et Marketing au sein du Groupe Orisha Notre prestataire intégrateur de solution Salesforce pour l’hébergement, la maintenance et la mise à jour, sous notre contrôle. |
Transfert hors Union Européenne |
Aucun transfert hors Union Européenne – Hébergement des données en UE |
Durée de conservation |
3 ans maximum à compter du dernier contact. Les prospects peuvent s’opposer au traitement et demander l’effacement des données à tout moment. |
Newsletter |
|
Finalité |
L’inscription à la newsletter permet de télécharger certains documents, recevoir la newsletter et nos communications sur nos activités ainsi que nos offres de produits et de services |
Base légale |
Ce traitement est basé sur votre consentement |
Destinataires |
Le responsable de traitement SEPHIRA et ses équipes internes Commerce et Marketing chargées de répondre aux demandes des visiteurs Notre prestataire intégrateur de solution Salesforce pour l’hébergement, la maintenance et la mise à jour, sous notre contrôle. |
Transfert hors Union Européenne |
Aucun transfert hors Union Européenne- Hébergement des données en UE |
Durée de conservation |
Le temps de votre inscription à la newsletter |
Candidature |
|
Finalité |
Etudier et répondre à votre candidature pour un poste |
Base légale |
Ce traitement est basé sur votre consentement |
Destinataires |
Le responsable de traitement et ses équipes internes RH ainsi que la Direction RH du Groupe Orisha (société mère) |
Transfert hors Union Européenne |
Aucun transfert hors Union Européenne- Hébergement des données en UE |
Durée de conservation |
6 mois à compter du dernier contact avec SEPHIRA sauf consentement explicite de votre part pour une conservation au-delà de ce délai |
Demande de droit d’accès ou autres droits relatifs au RGPD |
|
Finalité |
Répondre et gérer les demandes de droit d’accès ou autres droits issus du règlement européen en matière de protection des données personnelles |
Base légale |
Ce traitement est basé sur le respect d’une obligation légale |
Destinataires |
Le responsable de traitement SEPHIRA et ses équipes juridiques au sein du Groupe Orisha, le cas échéant les avocats mandatés pour assurer la défense des droits du responsable de traitement, le DPO. |
Transfert hors Union Européenne |
Aucun transfert hors Union Européenne- Hébergement des données en UE |
Durée de conservation |
Le temps de la prescription légale des droits du responsable du traitement et/ou des personnes concernées |
Zendesk Tchat |
|
Finalité |
L’utilisation du tchat depuis le compte client permet de fournir des informations, d’apporter des réponses en direct aux questions les plus fréquentes de manière ciblée, pertinente et interactive auprès de l’utilisateur client de Sephira |
Base légale |
Ce traitement est basé sur votre consentement – Ce traitement est strictement nécessaire à la fourniture du service de communication en ligne à votre demande. |
Destinataires |
Le responsable de traitement SEPHIRA et ses équipes internes Techniques chargées de répondre aux demandes des visiteurs. |
Transfert hors Union Européenne |
Aucun transfert hors Union Européenne- Hébergement des données en UE |
Durée de conservation |
Les données sont conservées selon la période maximale de 10 ans par l’administrateur et selon les paramétrage défini par l’utilisateur : les données sont conservées dans le cadre du suivi de la gestion des dossiers clients. |
Parrainage |
|
Finalité |
Obtenir les données de prospects non connus de la base clients qui peuvent être intéressés par les solutions commercialisées par Sephira. Les données du parrain et du filleul sont collectées auprès du parrain ou du filleul lui-même. Si le filleul refuse, après avoir été contacté par SEPHIRA, que ses données soient conservées, elles seront effacées. |
Base légale |
Ce traitement est basé sur votre consentement |
Destinataires |
Le responsable de traitement SEPHIRA et ses équipes internes chargées de répondre aux demandes. |
Transfert hors Union Européenne |
Aucun transfert hors Union Européenne- Hébergement des données en UE |
Durée de conservation |
S’agissant du parrain, les données sont conservées dans le cadre du suivi de la gestion des dossiers clients et 5 ans après la fin de la relation contractuelle. S’agissant du filleul et sous réserve qu’il accepte l’opération de parrainage après avoir été contacté par Sephira, nous conservons les données pendant une durée de 3 ans à compter de la création de compte ou du dernier contact ou jusqu’au retrait de son consentement. |
3. Destinataires des données
Les Données Personnelles ne sont ni vendues, ni louées.
Seuls les destinataires habilités et déterminés au sein de SEPHIRA ou du Groupe Orisha y ont accès pour répondre à la finalité.
Conformément à la réglementation, elles peuvent également être communiquées aux autorités compétentes sur requête et notamment aux organismes publics, auxiliaires de justice, aux officiers légalement habilités (notamment en cas de réquisition judiciaire ou droit de communication).
Nous travaillons en étroite collaboration avec des entreprises tierces qui peuvent avoir accès à vos données et notamment avec :
– Nos sous-traitants et prestataires de service qui n’agissent que sur nos instructions. Ils sont tenus contractuellement d’assurer un niveau de sécurité et de confidentialité de vos Données et de se conformer à la réglementation applicable sur la protection des données :
– Nos partenaires commerciaux afin de leur permettre de vous donner accès aux services en lien avec les solutions souscrites. Nous leur transmettons uniquement les Données si vous consentez à cette transmission.
Les coordonnées des sous-traitants de SEPHIRA sont :
– NISSAN COMMUNICATION Ltd, Société de droit israélien dont le siège social est à Jérusalem (97775), 19, rue Hartom, et immatriculée au Registre du Commerce et des Sociétés d’ISRAEL sous le n°51-490682-5.
SEPHIRA opère ainsi un transfert des données hors UE vers Israël, pays qui a été reconnu comme offrant un niveau de protection adéquat à la règlementation sur les données personnelles.
S’agissant de l’hébergement des données de santé, SEPHIRA a désigné des hébergeurs de données de santé agréés qui sont :
– Société AVENIR TELEMATIQUE SA (ATE), au capital de 60 000 € dont le siège social est situé 21 avenue de la Créativité, 59650 VILLENEUVE D’ASCQ, et immatriculée au Registre du Commerce et des Sociétés de LILLE METROPOLE sous le numéro 347 607 764.
– OVH, SAS au capital de 10 069 020€ dont le siège social est sis 2 rue Kellermann 59100 ROUBAIX, et immatriculée au Registre du Commerce et des sociétés de LILLE METROPOLE sous le numéro 424 761 419.
4. Sécurité
SEPHIRA est engagé dans une démarche continue de protection des données de ses utilisateurs, en conformité avec la Loi Informatique et Libertés du 6 janvier 1978 modifiée (ci-après « LIL ») et du Règlement (UE) général sur la protection des données du 27 avril 2016 (ci-après « RGPD »).
SEPHIRA dispose d’une équipe dédiée à la protection des données personnelles, composée :
- D’un DPO au sein de SEPHIRA et du Groupe Orisha (Data Protection Officer)
- D’un RSSI – Responsable de la Sécurité des Systèmes d’Informations
SEPHIRA assure la sécurité des données à caractère personnel en mettant en place une protection des données renforcée, dont notamment :
- Mise en place de mesures organisationnelles et techniques appropriées pour préserver la sécurité, l’intégrité et la confidentialité de vos données personnelles et notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
- Notre personnel est soumis à une obligation de confidentialité à travers leur contrat de travail et d’une charte informatique annexée à notre règlement intérieur. Nous sensibilisons également notre personnel au respect de la vie privée et aux mesures de sécurité.
5. Politique cookies et traceurs
Notre site Internet et nos applications mobiles utilisent des cookies ou autres traceurs ci-après appelés « Cookies » pour plus de simplicité.
La loi stipule que nous ne pouvons stocker des Cookies sur votre appareil que s’ils sont strictement nécessaires au fonctionnement de ce site ou exemptés de consentement. Pour tous les autres types de Cookies, nous avons besoin de votre permission.
Il existe différents types de Cookies :
- Nécessaires
Ces Cookies nécessaires contribuent à rendre un site Web utilisable en activant des fonctions de base comme la navigation de page et l’accès aux zones sécurisées du site Web. Le site Web ne peut pas fonctionner correctement sans ces Cookies, ils sont indispensables et non soumis à consentement.
Nom |
Fournisseur |
Finalité |
Expiration |
appconsent |
SFBX |
Cookie utilisé pour stocker l’autorisation d’utilisation de cookies pour le domaine actuel par l’utilisateur |
12 mois |
GRECAPTCHA |
|
Utilisé par Google pour protéger le site du spam sur les formulaires de contact. Distinguer les Robots des Humains. |
6 mois |
- Préférences
Les cookies de préférences permettent à un site Web de retenir des informations qui modifient la manière dont le site se comporte ou s’affiche, comme votre langue préférée ou la région dans laquelle vous vous situez. Ils ne nécessitent pas de consentement préalable mais nous vous permettons néanmoins de les désactiver si vous le souhaitez.
Nom |
Fournisseur |
Finalité |
Expiration |
_hjAbsoluteSessionInProgress |
Hotjar |
Mesure d’audience |
30 minutes |
hjFirstSeen |
Hotjar |
Mesure d’audience |
30 minutes |
- Mesure d’audience ou Statistiques
Les cookies statistiques nous permettent de connaître l’utilisation et les performances de nos sites et d’en améliorer le fonctionnement. Le service utilisé pour notre site permet de comptabiliser les pages visitées, les visiteurs et identifier la manière dont ils utilisent le site. Ils sont soumis à consentement.
Nom |
Fournisseur |
Finalité |
Expiration |
_ga |
|
Utilisé pour surveiller le nombre de requêtes du serveur Google Analytics lors de l’utilisation de Google Tag Manager |
2 ans |
_gat_gtag_UA_ |
|
Mesure d’audience |
2 ans |
hjIncludedInPageviewSample |
Hotjar |
Mesure d’audience |
30 minutes |
hjSessionUser_711224 |
Hotjar |
Mesure d’audience |
12 mois |
hjSession_711224 |
Hotjar |
Mesure d’audience |
1 heure |
- Marketing ou Publicitaires
Les cookies marketing sont utilisés pour effectuer le suivi des visiteurs au travers des sites Web. Le but est d’afficher des publicités qui sont pertinentes et intéressantes pour l’utilisateur individuel et donc plus précieuses pour les éditeurs et annonceurs tiers. Ils sont soumis à consentement.
Les cookies de publicité géolocalisée sont utilisés pour vous adresser de la publicité en fonction de votre localisation.
Nom |
Fournisseur |
Finalité |
Expiration |
MUID |
Bing |
Cookie de mesure de performance suite aux actions réalisées sur le site Web. |
12 mois |
Visitor_id |
Pardot |
Cookie est utilisé pour tout formulaire de contact |
3 ans |
SRM B |
Microsoft |
Identifie les navigateurs Web uniques visitant les sites Microsoft. Ces cookies sont utilisés à des fins publicitaires, d’analyse de site et à d’autres fins opérationnelles. |
12 mois |
ANONCHK
|
Microsoft
|
Ce cookie est installé par Microsoft Clarity et stocke des informations sur la manière dont les visiteurs utilisent le site Web. Le cookie contribue à la création d’un rapport d’analyse qui montre les performances du site Web. La collecte de données comprend le nombre de visiteurs, d’où ils visitent le site Web et les pages visitées sur le site Web. |
10 minutes |
MR
|
Microsoft |
Cookie utilisé à des fins de ciblage publicitaire |
6 mois |
uetsid |
Microsoft |
Cookie utilisé à des fins de ciblage publicitaire |
30 minutes |
pk_ses.1.5e43
|
Matomo |
Cookie utilisé à des fins de ciblage publicitaire |
30 minutes |
pk_id.1.5e43 |
Matomo |
Cookie utilisé à des fins de ciblage publicitaire |
13 mois |
Secure-3PAPISID, __Secure-3PSID, __Secure-3PSIDCC |
|
Cookie utilisé à des fins de ciblage publicitaire |
12 mois |
_gcl_au
|
Google Analytics |
Cookie de performance |
13 mois |
IDE |
DoubleClick- Google |
Ce cookie est utilisé pour le ciblage, l’analyse et l’optimisation des campagnes publicitaires dans DoubleClick /Google Marketing Suite |
2 ans |
Les cookies et autres traceurs de tiers dépendent de responsables de traitement externes, qui sont susceptibles, si vous acceptez ces cookies, de traiter des données à caractère personnel vous concernant.
L’émission et l’utilisation de ces cookies et autres traceurs par des tiers sont soumises à leur propre politique de protection de la vie privée. Pour plus d’informations concernant ces traitements, vous pouvez vous reporter à leur politique de confidentialité.
Liste des partenaires :
- Google Analytic : ttps://marketingplatform.google.com/about/analytics/terms/fr/
- Google Ads : https://policies.google.com/technologies/ads?hl=fr
- Facebook : https://fr-fr.facebook.com/policies/cookies/
- Microsoft/Bing : https://privacy.microsoft.com/fr-fr/privacystatement
- Campaign Manager : https://policies.google.com/technologies/ads?hl=fr$
- Twitter : https://twitter.com/privacy?lang=fr
- Agendize : https://support.agendize.com/fr/politique-de-confidentialité
- Linked : https://fr.linkedin.com/legal/privacy-policy
- You tube : https://www.youtube.com/howyoutubeworks/user-settings/privacy/
6. Vos droits
Conformément aux lois et règlements en vigueur, notamment le règlement général pour la protection des données (RGPD) et la loi « Informatique et Libertés », vous disposez des droits suivants : accès, rectification, effacement, limitation, opposition, et lorsque c’est applicable : portabilité, retrait du consentement, organisation du sort de ses données personnelles en cas de décès.
Pour exercer vos droits, contactez-nous à l’adresse suivante : [email protected] ou par courrier postal à l’adresse suivante, DPO, 12 rue Vincent Scotto, 72000 LE MANS, accompagné d’une copie de pièce d’identité signée.
7. Contact
Pour toutes demandes d’information concernant la politique de protection des données à caractère personnel mise en œuvre par SEPHIRA, vous pouvez vous adresser à [email protected].
Nous ferons le nécessaire pour répondre de manière satisfaisante à vos demandes. Si, pour quelle que raison que ce soit, vous considérez que notre réponse n’est pas satisfaisante, nous vous informons que vous pouvez introduire une réclamation auprès de la CNIL.
Accord sur la protection des données personnelles pour les professionnels de Santé, clients de SEPHIRA
1. Objet
Le présent accord a pour objet de définir les conditions juridiques dans lesquelles SEPHIRA, en sa qualité de sous-traitant, s’engage à traiter pour le compte du PS CLIENT, en sa qualité de responsable du traitement, les données personnelles dans le cadre de la fourniture de son service (ci-après « Service »).
Il est rappelé que le Service est fourni au PS CLIENT en exécution d’un Contrat constitué d’un bon de commande ou d’un mandat de conventionnement signé, ci-après nommés « Documents » en application des Conditions Générales de Vente acceptées par le PS CLIENT.
L’acceptation du présent accord s’effectue par le PS CLIENT par l’envoi par mail, du présent accord daté, signé et scanné ; la durée du présent accord est identique à celle de la fourniture du Service.
Les Conditions Générales de vente, les « Documents » lors de la conclusion de la vente ainsi que le présent accord forment le « Contrat » entre le PS CLIENT et SEPHIRA.
Le PS CLIENT reconnaît que ses relations avec SEPHIRA au titre des obligations en matière de protection des données à caractère personnel sont régies par ce présent « Accord sur la protection des données personnelles pour les PS CLIENT de SEPHIRA » accepté en plus des Conditions générales de Vente.
Les Données Personnelles sont celles collectées par le PS CLIENT et rendues accessibles dans un Environnement (l’environnement informatique dédié au PS CLIENT hébergeant les Logiciels éditées par SEPHIRA) et hébergées par SEPHIRA au sein de la Plateforme (l’ensemble des équipements informatiques et/ou de télécommunications utilisé) dans le cadre du Service.
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018, la loi 78-17 du 6 janvier 1978 modifiée relative à l’Informatique, aux Fichiers et aux Libertés, l’ensemble désignant la « Règlementation ».
2. Convention de preuve
Les registres informatisés conservés dans les systèmes informatiques de SEPHIRA seront considérés comme les preuves des communications et des différentes transmissions d’écrits et de documents électroniques entre les Parties, et en particulier les mails échangés pour l’acceptation du Contrat.
Le PS CLIENT reconnaît et accepte que toute manifestation de volonté par le biais de l’utilisation du mail, et en particulier des Conditions Générales de vente, des « Documents » remis et validés à la conclusion de la vente ainsi que du présent Accord par l’envoi d’un mail, constitue une signature électronique au sens des dispositions des articles 1366 et suivants du Code Civil, et manifeste son consentement en caractérisant sa preuve.
Conformément aux dispositions des articles 1366 et suivants du Code Civil, la mise en œuvre d’une signature électronique, sur la base d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache, est considérée comme une signature valable et comme une preuve au sens des dispositions précitées.
Le PS CLIENT ne pourra pas contester la recevabilité, la validité ou la force probante des éléments sous format ou support électronique précités, sur le fondement de quelque disposition légale que ce soit et qui spécifierait que certains documents doivent être écrits ou signés pour constituer une preuve. Ainsi, les éléments considérés constituent des preuves et, s’ils sont produits comme moyens de preuve par l’Editeur dans toute procédure contentieuse ou autre, seront recevables, valables et opposables de la même manière, dans les mêmes conditions et avec la même force probante que tout document qui serait établi, reçu ou conservé par écrit.
3. Description des traitements réalisés par SEPHIRA
Dans cette clause, SEPHIRA liste les différents traitements qu’elle réalise en tant que Sous-traitant et en fonction des services et produits qu’elle commercialise. Le PS CLIENT aura connaissance des traitements, il pourra donc relever ceux qui le concernent en fonction du produit ou du service contractualisé dans les conditions décrites dans l’« Objet » de ce présent accord.
- Description des traitements réalisés mis en œuvre par SEPHIRA en tant que responsable de traitement pour les coordonnées du PS CLIENT:
SEPHIRA recueillera l’intégralité des coordonnées du PS CLIENT pour les transmettre auprès des autorités compétentes.
SEPHIRA a la charge de faire héberger les données déposées par le PS CLIENT auprès d’un hébergeur agréé de données de santé en fonction du Service.
- Description des traitements réalisés par SEPHIRA en tant que Sous-traitants :
Dans le cadre du service INTELLIO/INTELLIO TAXI/WEBINTELLIO/UBINECT, INTELLIO NEXT/EASY-CARE, SEPHIRA transmet les flux ayant trait aux factures auprès des régimes complémentaires et obligatoires en utilisant tous les moyens de communication nécessaires pour réaliser ce traitement.
AMC +, TIPTOP : Pour le compte du PS CLIENT et sur instructions de celui-ci, SEPHIRA traite la gestion de la signature du conventionnement Tiers payant auprès des organismes.
Exclusivement pour TIPTOP et INTELLIO 100% SECU, SEPHIRA assure les différents contacts avec les organismes obligatoires et/ou complémentaires dans le cadre de la gestion des rejets en utilisant tous les moyens de communication nécessaires pour réaliser ce traitement.
Pour MEDICAWIN, SEPHIRA réalise comme traitement la maintenance et l’assistance auprès des PS CLIENT. Sur demande du PS CLIENT, SEPHIRA importe dans la solution MEDICAWIN les données fournies par le PS CLIENT à SEPHIRA et dans certains cas, SEPHIRA peut être amenée à exporter les données déposées par le PS CLIENT dans MEDICAWIN. SEPHIRA du fait de sa collaboration avec VIDAL permet la recherche des interactions médicamenteuses en conformité avec la certification LAP (Logiciel d’aide à la prescription) selon le référentiel de la HAS (Haute Autorité de Santé). SEPHIRA par sa collaboration avec MEDSYS (HPRIM) permet la réception et l’import des résultats de laboratoire dans le logiciel utilisé par le PS CLIENT.
4. Durée de conservation
La durée de conservation des Données Personnelles est identique à la durée du Contrat souscrit par le PS CLIENT pour bénéficier du Service et utiliser les Logiciels.
En cas de cessation des relations contractuelles, les Données Personnelles hébergées seront restituées par SEPHIRA. SEPHIRA ne conservera aucune Données personnelles relatives aux patients du PS CLIENT.
5. Obligations de SEPHIRA
Le présent article a pour objet de définir les obligations incombant à SEPHIRA en sa qualité de sous-traitant pour protéger la sécurité et la confidentialité des données personnelles.
Conformément à la Réglementation, SEPHIRA s’engage à :
- Ne traiter les Données Personnelles que sur instruction documentée du PS CLIENT, y compris en ce qui concerne les transferts de Données Personnelles vers un pays tiers ou à une organisation internationale,
- Soumettre ses employés intervenant dans le traitement des données personnelles :
- à une obligation de confidentialité des données personnelles,
- à des sessions de formation en matière de protection des données personnelles.
- Prendre toutes les mesures de sécurité visées au sein de sa « Politique Générale de Protection des Données Personnelles »,
- Respecter les conditions fixées par la Réglementation en matière de recours à la sous-traitance, et en particulier solliciter l’autorisation du PS CLIENT pour désigner tout autre sous-traitant que ceux visés au sein de la Politique de Protection des Données Personnelles dans les conditions ci-après définies au sein de ce présent accord ;
- Aider le PS CLIENT à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits d’accès, de rectification, d’opposition,
- Aider le PS CLIENT à garantir le respect de ses obligations en matière de sécurité du traitement, de notification à la CNIL et de communication aux personnes concernées en cas de violation de Données Personnelles, d’analyse d’impact relative à la protection des Données Personnelles et de consultation préalable de la CNIL le cas échéant,
- Supprimer, à la demande du PS CLIENT, toutes les Données Personnelles auxquelles il a accès ou les renvoyer au PS CLIENT en cas d’arrêt du Service,
- Détruire les éventuelles copies des Données Personnelles existantes, à moins que la Réglementation n’en exige la conservation, en cas d’arrêt du Service concerné,
- Mettre à disposition du PS CLIENT toutes les informations nécessaires pour démontrer le respect des obligations visées ci-dessus et pour permettre la réalisation d’audits par le Responsable du Traitement,
- Contribuer aux audits diligentés par le PS CLIENT,
- Imposer à son cocontractant, en cas de sous-traitance, les mêmes obligations que celles visées au sein du présent document,
- Tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du PS CLIENT,
- Coopérer avec la CNIL, en cas de demande de celle-ci.
SEPHIRA s’engage également à :
- Traiter les Données personnelles uniquement pour les seules finalités qui font l’objet du Service souscrit par le PS CLIENT,
- Informer le PS CLIENT s’il considère qu’une instruction constitue une violation de la Réglementation,
- Faire en sorte que le Service fourni au PS CLIENT intègre de façon effective les principes relatifs à la protection des données personnelles.
En cas de cessation des relations contractuelles et ce pour quelque cause que ce soit, SEPHIRA s’engage au choix du PS CLIENT à :
- supprimer les données personnelles en sa possession,
- restituer lesdites données personnelles au PS CLIENT,
- restituer lesdites données personnelles à un autre sous-traitant désigné par le PS CLIENT.
En cas de restitution, SEPHIRA détruira toute copie des données personnelles restituées dans les plus brefs délais et informera par écrit le PS CLIENT de cette destruction.
SEPHIRA s’engage également, dans toute la mesure du possible, à aider le PS CLIENT dans la réalisation de toute analyse d’impact des traitements liés au Service et en cas de consultation préalable de la CNIL.
6. Obligations du professionnel de santé client
SEPHIRA ne pouvant agir que sur instruction du PS CLIENT, le PS CLIENT, en cette qualité, s’engage à documenter et à fournir à SEPHIRA par écrit toutes instructions concernant les traitements des Données personnelles.
Le PS CLIENT convient que seules sont traitées les données nécessaires à la fourniture du Service en termes de quantité de données, d’étendue de leur traitement et de durée de conservation, l’accès aux données étant limité aux seules personnes habilitées par SEPHIRA.
A cet égard, le PS CLIENT s’engage à communiquer à SEPHIRA, les seules Données personnelles nécessaires aux traitements réalisés dans le cadre du Service pour les finalités décrites aux CGV.
Le PS CLIENT est informé qu’il lui appartient de :
- Fournir l’information aux personnes concernées par les opérations de Traitement au moment de la collecte des Données personnelles , et recueillir leur consentement chaque fois que la Réglementation l’exige;
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Réglementation,
- Superviser le traitement et de réaliser des audits s’il l’estime nécessaire, dans les conditions visées à l’article « Audit » ci-après ;
- Mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le Traitement est effectué conformément à la Réglementation, et ainsi mettre en œuvre des mesures permettant de garantir la sécurité du Traitement, et en particulier à constituer et à mettre en œuvre une politique de sécurité et de confidentialité ;
- Mettre en œuvre des mesures permettant la protection des données dès la conception ;
- Mettre en œuvre des mesures permettant la protection des données par défaut ;
- Coopérer, le cas échéant avec toute autorité de contrôle compétente, et notamment la CNIL ;
Le PS CLIENT doit tenir à jour un registre des activités de traitements reprenant les différents Traitements de Données personnelles de ses patients.
7. Mise en garde
Compte tenu de la nature du Service fourni par SEPHIRA et du fait que SEPHIRA ne peut pas exercer une action et/ou un contrôle sur l’ensemble des mesures de protection des Données Personnelles qui doivent être mises en œuvre pour répondre aux exigences de la Réglementation, le PS CLIENT s’engage, indépendamment des mesures prises par SEPHIRA, à mettre en œuvre les mesures techniques et organisationnelles nécessaires pour protéger l’accès à l’Environnement du PS CLIENT et aux Données Personnelles, telles que visées au sein de la Politique de protection des données personnelles.
Le PS CLIENT reconnaît que la responsabilité de SEPHIRA est limitée aux mesures de protection des Données Personnelles relatives aux éléments composant la Plateforme et l’Environnement.
En cas d’incidents en lien avec des mesures de protection des Données Personnelles sous le contrôle du PS CLIENT, le PS CLIENT s’engage à en informer SEPHIRA qui fera ses meilleurs efforts pour l’aider à y remédier.
Le PS CLIENT reconnaît que SEPHIRA n’est en aucun cas responsable :
- de la survenance d’un cas de force majeure,
- d’une mauvaise utilisation du Service par le Responsable du Traitement ayant un impact sur la protection des Données Personnelles,
- d’un accès frauduleux résultant du non-respect des mesures visées au sein de la Politique de Protection des Données Personnelles,
- d’un manquement du PS CLIENT à ses obligations au titre de la Réglementation,
- plus généralement de toute cause échappant au contrôle raisonnable de SEPHIRA.
8. Modalités d’exercice des droits des personnes
SEPHIRA garantit au PS CLIENT que chaque personne dont les Données Personnelles sont collectées dans le cadre du Service, pourra disposer d’un droit d’accès, de rectification, d’opposition à ses Données Personnelles.
SEPHIRA s’engage, dans toute la mesure du possible, à aider le PS CLIENT dans le traitement de toute demande d’une personne exerçant ses droits d’accès, de rectification, d’effacement, de portabilité ou d’opposition.
Toute demande du PS CLIENT issue d’une réclamation d’une personne dont les données personnelles ont été collectées, doit être notifiée à SEPHIRA via l’adresse email suivante : [email protected].
Lorsqu’une personne exerce ses droits directement auprès de SEPHIRA ce dernier s’engage, dès réception de cette demande, à l’adresser au PS CLIENT par email ou dans certains cas définis par SEPHIRA par voie postale.
SEPHIRA s’assurera, dans les plus brefs délais, de la mise en œuvre des actions correspondantes à la demande de la personne concernée.
SEPHIRA attire l’attention du PS CLIENT sur le fait qu’il lui appartient de tenir à jour un registre de suivi des demandes d’accès, de rectification et d’opposition sous format électronique, contenant les différentes dates et la description des échanges intervenus avec les personnes concernées.
9. Notification des violations de données personnelles
En cas de violation de données personnelles, SEPHIRA notifie par email au PS CLIENT une telle violation dans les plus brefs délais après sa prise de connaissance.
Cette notification est accompagnée de toute information utile afin de permettre au PS CLIENT, si nécessaire, de notifier cette violation à la CNIL dans les 72h après qu’il ait eu connaissance de l’incident.
Le PS CLIENT fera son affaire personnelle de son obligation auprès de ses patients en application de la Réglementation.
10. Mesures de sécurité et garanties mises en place par SEPHIRA et le PS client
Les mesures de sécurité et les garanties apportées par SEPHIRA quant à la mise en œuvre de mesures techniques et organisationnelles appropriées destinées à la protection des données personnelles dans le cadre du service sont décrites au sein de la Politique de Protection des Données Personnelles figurant en annexe de cet accord.
11. Registre des activités de traitement
SEPHIRA informe le PS CLIENT qu’elle dispose d’un registre sous format électronique comportant toutes les informations suivantes :
- Le nom et les coordonnées du PS CLIENT ainsi que des sous-traitants de SEPHIRA ainsi que les noms et les coordonnées du représentant du PS CLIENT et de SEPHIRA et celles des délégués à la protection des Données Personnelles.
- Les catégories de traitements effectués pour le compte du PS CLIENT
- Si nécessaire, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l’existence de garanties appropriées,
- Une description générale des mesures de sécurité techniques et organisationnelles reprenant les termes du présent document.
SEPHIRA informe le PS CLIENT que ce registre est susceptible d’être mis à la disposition de la CNIL sur demande et qu’il ne dispense pas le PS CLIENT de disposer de son propre registre lequel doit faire figurer, en plus des informations susvisées :
- Les finalités du traitement,
- Une description des catégories de personnes concernées et des catégories de Données Personnelles,
- Les catégories de destinataires auxquels les Données Personnelles ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales,
- Les délais prévus pour l’effacement des différentes catégories de données.
12. Procédure d’évaluation du niveau de sécurité
SEPHIRA met en place une procédure d’évaluation du niveau de sécurité appliqué à la protection des données personnelles traitées dans le cadre du Service.
Cette procédure a pour objet de vérifier, une fois par an, si les mesures visées au sein de la Politique de Protection des Données Personnelles de SEPHIRA pour assurer la protection des données sont toujours pertinentes et appropriées eu égard à la Réglementation.
13. Information et conseil
Le PS CLIENT déclare que du fait des termes du présent accord et de la Politique de Protection des Données Personnelles communiqués par SEPHIRA, il a obtenu les informations, les conseils et l’assistance nécessaire pour s’assurer du respect par SEPHIRA de ses obligations au titre de la Réglementation et qu’il a pu vérifier qu’il était lui-même en conformité avec les obligations à sa charge prévues par ladite Réglementation.
14. Audit
Le PS CLIENT pourra procéder, à ses frais, au maximum une fois tous les douze (12) mois, à un audit des mesures de protection des Données Personnelles prises par SEPHIRA.
Cet audit pourra être effectué par les soins d’une structure d’audit interne du PS CLIENT ou par un cabinet extérieur indépendant, pour autant que celui-ci n’exerce pas également lui-même une activité concurrente de celle de SEPHIRA ou n’ait aucun lien juridique avec un concurrent.
Si SEPHIRA justifie de raisons objectives pour estimer que le cabinet d’audit choisi par le PS CLIENT ne présente pas des garanties d’indépendance et d’impartialité suffisantes, il sera en droit de refuser que l’audit soit effectué par ce tiers.
Le PS CLIENT reconnaît en outre que son personnel ou celui du cabinet d’audit indépendant qui aura été choisi, adhérera et se conformera aux obligations et règles de sécurité et de confidentialité communiquées par SEPHIRA pendant toute la durée de réalisation de l’audit.
Un accord de confidentialité devra être signé préalablement entre SEPHIRA et la structure d’audit.
Le PS CLIENT devra informer SEPHIRA par écrit de son intention de faire procéder à un tel audit et de l’identité de la structure d’audit retenue lorsqu’il s’agit d’un cabinet extérieur et du plan d’audit envisagé, moyennant le respect d’un préavis de quinze (15) jours ouvrés.
Ce préavis pourra éventuellement être raccourci d’un commun accord entre les Parties.
Le PS CLIENT communiquera préalablement à cet audit l’identité de ses salariés ou des experts détachés par le cabinet d’audit indépendant.
L’audit diligenté par le PS CLIENT portera uniquement sur le respect des engagements contractuels de SEPHIRA en termes de protection des Données Personnelles.
SEPHIRA s’engage, le cas échéant, à permettre l’accès des auditeurs aux site(s) affecté(s) à l’exécution du (des) contrat(s) concerné(s), à coopérer de bonne foi avec eux et à leur fournir toutes les informations nécessaires.
Si la charge de l’audit est supérieure à 2 jours hommes pour SEPHIRA, la mise à disposition de ressources supplémentaires fera l’objet d’une facturation au PS CLIENT.
En tout état de cause, les opérations d’audit ne devront pas perturber le fonctionnement du Service de SEPHIRA au-delà des contraintes inhérentes à un audit.
L’audit ne pourra pas porter sur des informations non spécifiques au PS CLIENT, ceci afin de préserver la confidentialité des informations propres aux autres PS CLIENT de SEPHIRA ou des informations dont la divulgation serait susceptible de porter atteinte à la sécurité des autres PS CLIENT et d’autres données personnelles les concernant.
Un exemplaire du rapport d’audit sera remis à SEPHIRA dès que possible. Le rapport fera alors l’objet d’un examen contradictoire. Au cas où le rapport d’audit ferait apparaître des manquements de SEPHIRA, à ses obligations visées au sein du présent accord, cette dernière s’engage à mettre en œuvre, à ses frais, les mesures correctives nécessaires dans les meilleurs délais.
Si les conclusions de l’audit contiennent des recommandations, leurs conditions de mise en œuvre seront étudiées contradictoirement dans les meilleurs délais.
15. Sous-traitrance de second niveau
Le PS CLIENT a été informé et a agréé l’intervention des sous-traitants de SEPHIRA qui sont listés au sein de la Politique de Protection des Données Personnelles.
LE PS CLIENT consent à ce que dans le cadre du traitement de données personnelles, SEPHIRA fasse appel à des sous-traitants situés en Israël et opère ainsi un transfert des données vers ce pays, qui a été reconnu comme un pays offrant un niveau de protection équivalent à la Réglementation.
Le PS CLIENT est également informé que SEPHIRA pourra faire appel à un autre sous-traitant pour mener des activités de traitement spécifiques.
Dans ce cas, SEPHIRA informera préalablement et par écrit le PS CLIENT de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants.
Cette information précisera les activités de traitement sous-traitées et l’identité et les coordonnées du sous-traitant. Le PS CLIENT disposera alors d’un délai maximum de 8 jours à compter de la date de réception de cette information pour présenter ses réserves.
En l’absence de réserves dans le délai précité, le sous-traitant concerné sera réputé agréé par le PS CLIENT.
En cas de réserves, le PS CLIENT devra fournir les arguments objectifs motivant son refus. Si ces arguments sont fondés, SEPHIRA demandera à son sous-traitant de prendre en compte les réserves émises par le PS CLIENT ou proposera un autre sous-traitant.
SEPHIRA s’engage à s’assurer que ses sous-traitants présentent les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées définies au sein de sa Politique de Protection des Données Personnelles, de manière que chaque traitement réponde aux exigences de la Réglementation.
Chaque sous-traitant de SEPHIRA est tenu de respecter les obligations du présent accord.
16. Matrice de responsabilités
ACTIONS/MESURES |
RESPONSABLE DU TRAITEMENT |
SOUS-TRAITANT |
Finalité du traitement de données personnelle |
Responsabilité |
/ |
Détermination du fondement du traitement |
Responsabilité |
/ |
Désignation d’un DPO |
Responsabilité |
Responsabilité |
Droit d’accès aux données Droit de rectification Droit d’effacement Droit d’opposition |
Responsabilité Instruction à donner |
Intervention sur instruction |
Violation de données |
Responsabilité Instruction à donner |
Intervention sur instruction Information à fournir en cas de constat de violation |
Communication aux personnes |
Responsabilité Instruction à donner |
Assistance |
Limitation du traitement |
Responsabilité Instruction à donner |
Intervention sur instruction |
Mesures de sécurité |
Responsabilité |
Aide à la mise en œuvre + préconisations |
Durée de conservation des données |
Responsabilité Instruction à donner |
Intervention sur instruction |
Conservation des traces et des preuves |
Responsabilité Instruction à donner |
Intervention sur instruction |
Suppression de données personnelles en fin de de contrat |
Responsabilité Instruction à donner |
Réalise la suppression sur instruction ou suppression automatique dans le délai prévu contractuellement |
Destruction des copies des données personnelles en fin de de contrat |
Instruction à donner |
Réalise la destruction sur instruction ou destruction automatique dans le délai prévu contractuellement |
Audit interne |
Responsabilité Instruction à donner |
Assistance |
Audit CNIL |
Responsabilité |
Assistance |
Notification CNIL |
Responsabilité Instruction à donner |
Intervention sur instruction |
Analyse d’impact sur la protection des données personnelles |
Responsabilité |
Assistance |
Consultation préalable de la CNIL |
Responsabilité |
Assistance |
Sous-traitance de second niveau |
Donne son accord |
Demande l’accord |
Transfert de données personnelles vers un pays tiers ou à une organisation internationale |
Responsabilité Instruction à donner |
Intervention sur instruction |
Habilitations des personnes ayant accès aux données personnelles |
Responsabilité |
Responsabilité |
Evaluation du niveau de sécurité appliqué à la protection des Données Personnelles |
Responsabilité |
Contribution à l’évaluation |
Charte informatique |
Responsabilité |
Responsabilité |
Sensibilisation des salariés |
Responsabilité |
Responsabilité |
À propos
Acteur majeur depuis plus de 20 ans, dans la télétransmission et l’informatique médicale, Sephira équipe plus de 26 000 professionnels de santé libéraux (médecin généraliste, spécialiste, kinésithérapeute, infirmier, etc.) et autres professions (opticiens, artisans taxis, pharmacies, etc.).
Nous leur proposons des solutions informatiques et logiciels de cabinet médical permettant de télétransmettre les feuilles de soins électroniques avec la carte Vitale et de gérer leur cabinet au quotidien (dossiers patient, édition d’ordonnances, etc.) mais aussi d’optimiser leur gestion du tiers payant.
Informations
Lundi au vendredi, de 8h30 à 18h30
Sephira SAS
12 rue Vincent Scotto
72000 - Le Mans
Boutique
Groupe Orisha
Suivez-nous
Newsletter
Vos données seront traitées par Sephira afin de vous présenter nos offres et contenus pertinents. Conformément au RGPD, vous disposez d’un droit d’accès, de modification et de retrait en écrivant à [email protected]. Pour plus d’informations, veuillez consulter notre politique de protection des données.