Le présent contrat d'hébergement de données de santé (ci-après « Contrat HDS ») est conclu entre SCALINGO et le Client dans le cas où les Données hébergées par SCALINGO pour le compte du Client, dans le cadre du Contrat, contiennent, en tout ou partie, des Données personnelles de santé.
Le Contrat HDS fait partie intégrante du Contrat conclu entre SCALINGO et le Client. Il prend effet concomitamment à la prise d'effet du Contrat et reste en vigueur pendant toute la durée de celui-ci.
En cas de contradiction entre les clauses du Contrat HDS et celles du Contrat, les clauses du Contrat HDS prévaudront pour l'objet qui les concerne.
Tous les termes identifiés dans le Contrat HDS qui commencent par une majuscule, s'ils ne sont pas définis aux présentes, ont le sens qui leur est donné dans les Conditions Générales de Services de SCALINGO (ci-après les « CGS ») et/ou le contrat de gestion des traitements de Données personnelles (ci-après le « DPA »).
i. Données personnelles de santé : désigne les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent les informations sur l'état de santé de cette personne, indépendamment de leur source, qu'elles proviennent par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro. Ces données comprennent, notamment :
ii. Hébergement : désigne la prestation de stockage au profit du Client de ses Ressources comprenant des Données personnelles de santé.
Les Données personnelles de santé sont des données particulières, au sens de l'article 9 du RGPD, qui du fait de leur forte sensibilité et confidentialité, nécessitent une protection renforcée lorsqu'elles font l'objet d'un traitement automatisé.
Cette protection implique notamment la mise en place d'un niveau élevé de sécurité des infrastructures logicielles et informatiques hébergeant des bases de Données personnelles de santé, adapté à la criticité de ces données et aux risques engendrés par leurs traitements sur les droits et libertés fondamentaux des individus.
Ainsi, lorsqu'il est fait appel à un prestataire d'hébergement externalisé, l'article L. 1111-8 du code de la santé publique dispose que I.- Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article.II.- L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. »
En application de l'article L. 1111-8 du code de la santé publique, SCALINGO déclare bénéficier de la certification HDS n°38436 émise le 12 septembre 2022 par LNE (Laboratoire national de métrologie et d’essais - 1, rue Gaston Boissier – 75724 PARIS Cedex 15), sur le périmètre suivant : Hébergeur d'infrastructure physique et Hébergeur infogéreur (la « Certification »).
La Certification est valable trois (3) ans, soit jusqu'au 11 septembre 2025, renouvelable tous les trois (3) ans.
Elle concerne les activités suivantes, fournies par SCALINGO au titre du Contrat :
La Certification est mise à disposition du Client à tout moment, directement sur la Plateforme, à l'adresse suivante https://doc.scalingo.com/compliance.
SCALINGO garantit que les infrastructures d'hébergement de Données personnelles de santé sont certifiées HDS à la date de signature du Contrat HDS. SCALINGO s'engage à maintenir cette certification, ou toute autorisation équivalente prévue par la loi, pour toute la durée du Contrat HDS.
Sur demande du Client, SCALINGO mettra à disposition du Client les rapports d'audit de certification pour une consultation sur site chez SCALINGO uniquement.
En application de la Certification, le Client adhère sans réserve au présent Contrat HDS dans son ensemble sans pouvoir prétendre à un quelconque aménagement, sauf à risquer de déroger aux obligations contractuelles certifiées.
Afin d'assurer la disponibilité des Ressources et des Données personnelles de santé, conformément aux engagements définis dans le présent document, SCALINGO met en œuvre une démarche de continuité et de reprise d'activité telle que définie dans la PSSI disponible sur demande du Client, conformément à l'article 13 des CGS.
Notamment, les Données personnelles de santé sont sauvegardées de façon automatique selon la périodicité figurant dans la PSSI, SCALINGO s'obligeant a minima à assurer des sauvegardes hebdomadaires complètes ainsi que des sauvegardes différentielles quotidiennes.
En cas de restauration des Données personnelles de santé, SCALINGO s'engage à restaurer l'ensemble desdites données et fichiers dans le délai défini dans la PSSI, à compter de la demande du Client. Les données et fichiers seront restaurés en l'état de leur plus récente sauvegarde.
SCALINGO prévoit la mise à disposition d'un site de secours sur lequel les Données personnelles de santé sont répliquées et, le cas échéant, assurera la gestion et communication entre le site actif et le site de secours.
SCALINGO assure des opérations de maintenance programmée de l'ensemble des Ressources, conformément aux engagements pris dans les CGS et l'annexe SLA.
Les Données personnelles de santé sont stockées en France sur les sites listés à l'article 13 du DPA.
Les obligations en matière de sécurité de la Plateforme sont définies à l'article 13 des CGS. Il est par ailleurs rappelé que SCALINGO assure la sécurité de la Plateforme nécessaire à la réalisation des Services selon la PSSI adressée au Client sur première demande.
SCALINGO mettra en œuvre et maintiendra, et fera en sorte que chacun de ses Sous-traitants impliqués dans les Services mette en œuvre et maintienne, des politiques et procédures de gestion des incidents de sécurité et de continuité des activités conformes à la PSSI et, en tout état de cause, aux standards élevés de l'industrie.
Les traces des administrateurs de SCALINGO sont fournies sur demandes via une requête par e-mail à l'adresse security@scalingo.com en précisant les applications et Add-ons concernés et la période de temps, dans la limite d'un an.
Les traces applicatives générées par les Ressources sont de la responsabilité du Client et ne doivent contenir aucune Donnée personnelle de santé.
Le Client doit s'assurer que ses Ressources permettent de mettre à disposition de la personne concernée par les Données personnelles de santé : l'historique des accès, l'historique des consultations / modifications, le contenu des informations accédées et la nature des Traitements éventuellement opérés (lecture, écriture, modification et/ou suppression). Le Client reconnaît et accepte que cette traçabilité applicative des actions relève de sa seule responsabilité.
SCALINGO assure une surveillance constante pour relever tout incident et/ou défaillance et, en cas de survenance, s'engage à mettre en œuvre les moyens nécessaires pour y remédier dans les meilleurs délais.
En l'occurrence, SCALINGO notifiera au Client toute attaque et/ou intrusion qu'elle constaterait, fera ses meilleurs efforts afin de les faire cesser ou d'en réduire l'impact sur la disponibilité du service d'hébergement et la confidentialité des données, et transmettra au Client l'ensemble des éléments de preuve collectés permettant d'identifier son auteur. SCALINGO apportera au Client toute l'aide nécessaire pour réprimer l'attaque et/ou l'intrusion.
De manière générale, SCALINGO notifiera par ailleurs au Client tout incident, quelle qu'en soit la nature (divulgation, altération, suppression de ses fichiers et/ou données, incident d'exploitation impactant la disponibilité) et déclenchera les mesures appropriées telles que figurant dans la PSSI.
Le Client informera sans délai SCALINGO de tout incident et/ou défaillance constaté dans le cadre de la réalisation de la prestation et ce, par tous moyens définis au SLA.
Le Client décrira de manière précise les détails de l'incident et/ou défaillance qu'il aura constaté et notamment, communiquera à SCALINGO tous les éléments de nature à identifier précisément l'incident et/ou la défaillance.
SCALINGO informera le Client des moyens mis en œuvre pour régulariser l'incident et/ou la défaillance.
En tout état de cause, SCALINGO interviendra selon les modalités et dans les délais tels que figurant dans le SLA.
Le contact professionnel de santé du Client sera associé à l'ensemble du processus de gestion des incidents et ce, en sa qualité de garant de la confidentialité des Données personnelles de santé.
SCALINGO s'engage à réaliser chaque année un contrôle interne aux fins d'examen de la conformité de son dispositif d'hébergement de Données personnelles. SCALINGO s'engage à transmettre le compte-rendu au Client à première demande.
SCALINGO s'engage à informer le Client :
SCALINGO confirme disposer d'un personnel composé de professionnels qualifiés pour assurer la prestation d'hébergement, lesquels sont notamment astreints au secret professionnel en application des dispositions de l'article L.1111-8 du code de la santé publique.
SCALINGO se porte fort du respect des stipulations des présentes par les membres de son personnel amenés à intervenir sur les Services impliquant un hébergement de Données personnelles de santé.
SCALINGO s'interdit d'accéder aux Données du Client et, en particulier, aux Données personnelles de santé hébergées sur la Plateforme. SCALINGO s'interdit tout usage des Données du Client à des fins marketing, publicitaires, commerciales ou statistiques. Dans le cas où cela s'avérait nécessaire, par exemple dans le cadre du support, SCALINGO contactera l'interlocuteur professionnel de santé désigné par le Client, afin qu'il accède seul aux Données personnelles de santé concernées.
En tout état de cause, il est rappelé au Client qu'il lui appartient de veiller à ce que les Utilisateurs de la Plateforme ne fasse apparaitre aucune Donnée personnelle et, en particulier, Donnée personnelle de santé, lorsqu'ils sollicitent l'intervention du support de SCALINGO et/ou dans les traces des Ressources agrégées par SCALINGO.
Nonobstant ce qui précède, le Client reconnait expressément qu'un intervenant de SCALINGO pourrait accéder aux métadonnées (i.e. structures de données) traitées sur la Plateforme aux fins de conseil pour l'optimisation de la performance des Ressources du Client.
Conformément au DPA, les Données personnelles de santé sont hébergées auprès du prestataire d'hébergement professionnel OUTSCALE. OUTSCALE dispose de la certification HDS n° 36741-2 délivrée par LNE le 29 juillet 2021, et couvrant le périmètre « hébergeur d'infrastructure physique » suivant :
SCALINGO s'assure en tout temps du maintien de la certification de la société OUTSCALE et des mesures de sécurité suffisantes conformes à la certification et à la réglementation applicable. L'ensemble des obligations prises par SCALINGO au titre du Contrat HDS sont reportées dans les conditions contractuelles conclues avec cet hébergeur. En tout état de cause, SCALINGO demeure responsable envers le Client de ce sous-traitant ultérieur, conformément à l'article 20 du DPA.
SCALINGO s'engage à souscrire et conserver pendant la durée du Contrat une police d'assurance appropriée auprès d'une compagnie d'assurances de premier plan pour couvrir ses obligations en vertu du présent Contrat HDS.
Le Client garantit la légalité du traitement des Données personnelles de santé objets de l'hébergement. En particulier, le Client garantit SCALINGO qu'il a informé les personnes concernées de ce que leurs Données personnelles de santé seront stockées sur les serveurs de la société OUTSCALE infogérés par SCALINGO et, le cas échéant, a recueilli leur consentement à cet effet. Le Client garantit qu'il respecte en tous temps les droits des personnes concernées sur leurs données personnelles de santé et, plus généralement, la réglementation applicable en cette matière.
Le Client garantit SCALINGO contre toute réclamation qui pourrait être engagée par une personne concernée par le stockage de ses Données personnelles de santé, ainsi que par tout tiers ou toute autorité compétente, à l'encontre de SCALINGO et qui résulterait, directement ou non, du non-respect par le Client, ses préposés, salariés et/ou sous-traitants des obligations légales et réglementaires relatives à l'activité du Client et aux traitements de Données personnelles de santé opérés dans ce cadre.
Le Client s'engage à désigner dès la signature du Contrat HDS un interlocuteur unique disposant des compétences nécessaires et dûment habilité à agir au nom du Client pour toute décision relative aux Données personnelles de santé, objet du Contrat HDS (accès aux données, gestion des requêtes de patients, gestion des incidents, etc.).
Il est de la seule responsabilité du Client de s'assurer que le contact qu'il a désigné dispose des qualités et habilitations nécessaires et à jour pour accéder aux Données personnelles de santé. Le Client s'engage à informer immédiatement SCALINGO en cas de changement d'interlocuteur. En aucun cas la responsabilité de SCALINGO ne pourra être engagée du fait d'un manquement du Client à cette obligation essentielle du Contrat HDS, SCALINGO n'opérant aucune vérification des habilitations et qualité du contact client.
Le point de contact du Client référencé aux fins d'exécution du Contrat HDS doit être renseigné au moment de la souscription au Contrat HDS et maintenu à jour par le Client directement depuis l'interface de son Compte sur la Plateforme.
SCALINGO rappelle au Client que seul un professionnel de santé est autorisé à accéder aux Données personnelles de santé et que cet accès impose que le professionnel de santé puisse justifier de son accréditation par l'utilisation de sa carte de professionnel de santé (CPS) ou de tout autre dispositif équivalent agréé dans les conditions prévues à l'article L. 1110-4 du code de la santé publique.
Tout accès aux Données personnelles de santé nécessaire pour répondre à une requête d'une personne concernée ou de tout tiers autorisé, devra se faire par l'intermédiaire du contact Client professionnel de santé, étant entendu que le Client, Responsable de traitement, demeure en tout état de cause, responsable de l'exercice des droits des personnes sur les Données personnelles de santé les concernant.
Plus généralement, le Client prendra soin de conserver les informations qui lui seront le cas échéant communiquées par SCALINGO concernant ses modalités d'authentification et de contrôle d'accès à la Plateforme, à l'aide de moyens sécurisés conformes à la PGSSI-S.
Le Client informera SCALINGO dans les meilleurs délais en cas de perte ou de vol des éléments d'authentification et plus généralement, en cas de dysfonctionnement constaté concernant l'accès aux Données personnelles de santé.
Outre l'obligation de confidentialité à laquelle il s'astreint en vertu de l'article 14 des CGS, le Client s'engage à faire respecter par ses salariés, préposés, sous-traitants, et plus généralement toute personne assurant une mission liée à la présente prestation d'hébergement, la confidentialité des Données personnelles de santé dès lors que l'accès auxdites données repose sur un fondement juridique valide. Le Client garantit SCALINGO contre toute réclamation qui pourrait être engagée par la personne concernée par des Données hébergées, ainsi que par tout tiers ou toute Autorité compétente, à l'encontre de SCALINGO et qui résulterait, directement ou non, du non-respect par le Client, ses préposés, salariés et/ou sous-traitants des obligations relatives à la confidentialité des Données personnelles de santé.
Le Client garantit que les Ressources permettent de sauvegarder et archiver les Données personnelles de santé de manière à garantir leur conservation dans le temps, leur intégrité et leur confidentialité, pendant les délais légaux applicables.
Le Client s'engage à respecter l'ensemble des règles édictées par la norme PGSSI-S, dans sa version la plus à jour, dès lorsqu'il traite des Données personnelles de santé au travers des Ressources hébergées sur la Plateforme. A ce titre, le Client s'engage à maintenir un niveau de sécurité des Ressources et, plus généralement, de son système d'information, au moins aussi strictes que celles édictées par la norme précitée.
Au terme du Contrat HDS, quelle qu'en soit la cause, SCALINGO assurera une réversibilité des Services et restituera la totalité des Données personnelles de santé du Client conformément au présent article.
La réversibilité consiste à permettre au Client de récupérer toutes les Données hébergées sur la Plateforme. Pour ce faire, SCALINGO met à la disposition du Client ou des tiers compétents désignés par lui des API ouvertes, ainsi que la documentation associée, qui lui permettent d'assurer la récupération et le transfert de ses Données.
En cas de résiliation du Contrat, pour quelque raison que ce soit, y compris à la l'initiative de SCALINGO, SCALINGO garantira l'accès aux sauvegardes des Données et l'accès à la Plateforme pendant un (1) mois à compter de la date de fin du Contrat, permettant au Client de récupérer l'ensemble de ses Données.
À l'issue de ce délai d'un (1) mois, le Client transmettra à SCALINGO un procès-verbal signé de « Récupération des Données terminée ». À compter de la réception de ce procès-verbal, SCALINGO mettra fin à l'accès nécessaire à la récupération des Données, effacera toutes les Données du Client et n'en conservera aucune trace.
Si à l'issue de ce délai d'un (1) mois, le Client n'a pas adressé de procès-verbal signé de « Récupération des Données terminée » ou de demande de suppression du Compte auprès du support de SCALINGO, et après mise en demeure par lettre recommandée avec avis de réception au CLIENT, d'émettre le procès-verbal signé de « Récupération des données terminée », restée infructueuse pendant les quinze (15) jours ouvrés suivant sa réception, SCALINGO pourra facturer l'immobilisation des espaces de stockage sur lesquels les Données sont encore présentes pendant 11 (onze) mois maximum. Au-delà de ce délai, SCALINGO se réserve le droit de supprimer les Données dont il est question, ce que le Client reconnaît et accepte.
Toutes les Données du Client sont effacées définitivement au plus tard trente (30) jours après la fin de la phase de réversibilité. Il s'agit du délai de conservation de la sauvegarde.
SCALINGO informera immédiatement le Client en cas de perte de la Certification, entraînant la résiliation automatique du Contrat HDS.
Conformément à la réglementation applicable, SCALINGO supprimera les Données personnelles de santé, et détruira toutes copies et sauvegardes qu'elle pourrait avoir sur ses serveurs, sur autorisation expresse du Client. SCALINGO délivrera une attestation de destructions des Données personnelles de santé à la demande du Client.
Cette autorisation devra être donnée dans les vingt-quatre (24) heures suivant la notification de la perte de la Certification. Au-delà, la responsabilité de SCALINGO ne pourra plus être engagée du fait du non-respect, par le Client, de ses obligations légales au titre de l'hébergement des Données personnelles de santé.
Sauf dans le cas d'une résiliation du Contrat HDS pour perte de la Certification, il est entendu entre les Parties que toute demande de rétention des Données personnelles de santé au-delà du terme du Contrat HDS, devra être communiquée à SCALINGO au moment de la souscription du Contrat HDS et fera l'objet d'un devis spécifique.
Chez Scalingo (avec nos partenaires), nous utilisons des traceurs sur notre site.
Certains, essentiels et fonctionnels, sont nécessaires au bon fonctionnement du site et ne peuvent pas être refusés.
D'autres sont utilisés pour mesurer notre audience, entretenir notre relation avec vous et vous adresser de temps à autre du contenu qualitatif ainsi que de la publicité.