Accord de Traitement des Données Personnelles

1. Champ d'Application

Le présent Accord de Traitement des Données Personnelles (ci-après dénommé "Accord") régit le traitement des données personnelles à effectuer par Healthium - Healthcare Software Solutions, S.A. (ci-après dénommée "Sous-traitant") au nom et pour le compte de l'entité, qu'il s'agisse d'une personne morale ou physique, qui souscrit au service Nutrium, via le site web Nutrium, dans le cadre de la prestation de services de nutrition clinique et de services de nutrition liés (ci-après dénommés "Responsable du Traitement"), ensemble désignés les "Parties". Ainsi, compte tenu du fait que:

1. Les Parties ont conclu un contrat de prestation de services, dont les termes sont mieux définis dans Termes et Conditions d'utilisation, par le Sous-traitant au Responsable du Traitement;
2. La prestation des services par le Sous-traitant implique le traitement de données personnelles par celui-ci, au nom et pour le compte du Responsable du Traitement;
3. Les Parties souhaitent, par le présent document, réglementer de manière détaillée les obligations du Sous-traitant en tant qu'entité sous-traitante du Responsable du Traitement, pour le traitement des données personnelles.

Les Parties, pleinement conscientes de l'importance de respecter intégralement toutes les exigences relatives à la protection des données personnelles, acceptent librement et réciproquement le présent Accord, selon les termes suivants.

2. Définitions et Interprétation

Les termes "responsable du traitement", "sous-traitant", "données personnelles" et "traitement", ainsi que toute autre expression ou terme liés, doivent être interprétés conformément au Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE - Règlement Général sur la Protection des Données ("RGPD"), et à la Loi n° 58/2019 du 8 août, qui assure la mise en œuvre du RGPD dans l'ordre juridique national, ainsi que toute législation nationale ou européenne complémentaire, les interprétations et orientations émises par les autorités européennes et nationales, les clauses contractuelles types approuvées par la Commission Européenne ou par les autorités de contrôle, ainsi que toute jurisprudence pertinente (collectivement dénommées "Régime de Protection des Données").

1. Les Parties conviennent que les termes du RGPD seront applicables au traitement des données personnelles dans le cadre de la relation entre les Parties à partir de la date d'entrée en vigueur du contrat de prestation de services, conclu entre les Parties, et pendant toute sa durée.
2. Les titres des termes du présent Accord sont inclus pour des raisons de simple commodité, et ne constituent pas un support pour l'interprétation ou l'intégration de celui-ci.
3. Les expressions susmentionnées définies au singulier peuvent être utilisées au pluriel, et vice-versa, avec la modification correspondante de leur signification respective.
4. En raison de l'évolution juridique, jurisprudentielle et des recommandations émises par les autorités de contrôle, ou encore des changements dans le modèle commercial, entre autres, le Sous-traitant peut modifier le présent Accord, en veillant, dans ces cas, à ce que de tels changements soient dûment publiés sur le site web Nutrium et communiqués par courrier électronique au Responsable du Traitement, à l'adresse indiquée dans l'enregistrement sur la plateforme.
5. Le présent Accord est composé du texte du présent document et des Annexes suivants, tous dûment acceptés par les représentants des deux Parties et faisant partie intégrante du présent Accord: Annexe I - Termes du Traitement; Annexe II - Mesures Techniques et Organisationnelles; Annexe III - Liste des Sous-traitants;
6. Sauf indication contraire dans le contexte, toute référence dans le présent Accord à une disposition légale ou contractuelle inclut les modifications qui ont été ou seront apportées à cette disposition.
7. Si l'une des dispositions du présent Accord est déclarée nulle ou invalide de quelque manière que ce soit, par une autorité compétente, cette invalidité, inefficacité ou inexécution n'affectera pas la validité des autres dispositions de l'Accord, et les Parties s'engagent à convenir de bonne foi d'une disposition de remplacement produisant des effets similaires dans la mesure du possible.

3. Objet

Le présent Accord vise à réglementer les obligations des deux Parties concernant le traitement des données personnelles, tel que décrit plus en détail dans l'Annexe I (Termes du Traitement), par le Sous-traitant, au nom et pour le compte du Responsable de Traitement.

4. Engagement envers les Dispositions Actuelles

En cas d'incohérence ou de conflit entre le présent Accord de Traitement de Données et tout autre accord ou modalité, qu'il ait été convenu précédemment entre les Parties ou non, le contenu et les dispositions du présent Accord de Traitement de Données prévaudront et régiront les relations entre les Parties en ce qui concerne le traitement des données personnelles dans le cadre des services fournis par Healthium.

5. Obligations des Parties

1. Le Responsable de Traitement assume l'entière responsabilité du respect des dispositions établies par le RGPD et autres législations relatives à la protection des données applicables, s'engageant à garantir la légalité, la transparence et l'intégrité du traitement des données personnelles.
2. Le Responsable de Traitement devra fournir au Sous-traitant les informations nécessaires pour que celui-ci puisse traiter les données en son nom et pour son propre compte.
3. Les données personnelles auxquelles le Sous-traitant a accès ou qui lui ont été transmises par le Responsable de Traitement seront traitées conformément au présent Accord, ainsi qu'en stricte conformité avec les instructions documentées du Responsable de Traitement, identifiées à l'Annexe II, ou transmises par ce dernier pendant la durée de l'Accord, notamment en ce qui concerne les transferts de données vers des pays tiers ou des organisations internationales, sauf si le Sous-traitant est tenu de le faire en vertu du droit de l'Union ou de l'État membre auquel il est soumis (informant alors le Responsable de Traitement de cette exigence légale avant le début du transfert).
4. Le Sous-traitant s'engage notamment à ne pas copier, reproduire, adapter, modifier, altérer, supprimer, détruire, diffuser, transmettre, divulguer ou mettre autrement à disposition de tiers les données personnelles auxquelles il a accès ou qui lui ont été transmises par le Responsable de Traitement, sans préjudice des actions et transmissions découlant de la nature même de la prestation du service.
5. Sans préjudice des autres obligations prévues dans le présent Accord, le Sous-traitant s'engage à respecter les dispositions de la législation applicable en matière de traitement des données personnelles, et notamment à:

1. Le Sous-traitant s'engage à fournir, dans la mesure du possible et dans les limites légalement requises, et sans préjudice de l'application de frais supplémentaires, une assistance au Responsable de Traitement pour lui permettre de s'acquitter de son obligation de répondre et de mettre à disposition des personnes concernées des informations sur leurs données personnelles, ainsi que pour permettre l'exercice de leurs droits en vertu du Règlement Général sur la Protection des Données;
2. Garantir que les personnes autorisées à traiter les données personnelles ont souscrit à un engagement de confidentialité ou sont soumises à des obligations légales appropriées en matière de confidentialité;
3. Le Sous-traitant s'engage, dans la mesure du possible et dans les limites légalement requises, et sans préjudice de l'application de frais supplémentaires, à fournir au Responsable de Traitement la coopération nécessaire pour clarifier les questions relatives au traitement des données personnelles effectué en vertu du présent Accord et tenir le Responsable de Traitement informé en ce qui concerne le traitement des données personnelles, s'engageant à communiquer immédiatement toute situation susceptible d'affecter le traitement des données concernées ou de donner lieu à un non-respect des dispositions légales en matière de protection des données personnelles;
4. Informer le Responsable de Traitement, dans un délai de 72 heures, de toute demande ou réclamation qui pourrait le concerner, de toute autorité de contrôle, en garantissant sa coopération avec ladite autorité;
5. Le Sous-traitant s'engage à fournir, dans la mesure du possible et dans les limites légalement requises, et sans préjudice de l'application de frais supplémentaires, une assistance au Responsable du Traitement pour garantir le respect des obligations en matière de notification des violations de données personnelles. Cela inclut notamment la communication au Responsable du Traitement (et en tout cas dans un délai de 72 heures) de toute violation de données personnelles affectant les données personnelles, ainsi que la collaboration, dans la mesure du possible et dans les limites légalement requises, avec le Responsable du Traitement pour prendre des mesures en réponse à l'incident, enquêter sur celui-ci et rédiger les notifications requises par la loi.
6. Collaborer avec le Responsable de Traitement, en tenant compte de la nature du traitement et dans la mesure du possible, en mettant en œuvre des mesures techniques et organisationnelles appropriées;
7. Ne pas communiquer les données personnelles à des tiers et/ou prestataires de services non autorisés ou non désignés par le Responsable de Traitement;
8. Selon le choix du Responsable de Traitement, effacer ou restituer les données personnelles à la cessation du Contrat, en supprimant toutes les copies existantes, sauf si la conservation des données est requise par la loi;
9. Fournir au Responsable de Traitement, dans la mesure du possible et dans les limites légalement exigées du Sous-traitant, les informations nécessaires pour démontrer le respect des obligations découlant de la loi et du présent Accord;
10. Garder des registres des activités de traitement des données effectuées au nom du Responsable du Traitement en vertu du présent Accord, conformément aux exigences légales;
11. Le cas échéant, informer le Responsable du Traitement de la nomination d'un Délégué à la Protection des Données;
12. Observer les termes et conditions des instruments juridiques concernant les données traitées (le cas échéant) ; et
13. Respecter toutes les autres règles légales concernant l'enregistrement, la transmission ou toute autre opération de traitement des données personnelles prévues par le Régime de Protection des Données.

6. Enregistrement des Activités de Traitement

Le Sous-traitant et, le cas échéant, ses représentants, conservent, au moins jusqu'à la fin du présent Accord, un registre de toutes les activités de traitement exercées dans le cadre du présent Accord, conformément à l'article 30, paragraphe 2, du RGPD. Ce registre des activités de traitement doit inclure, au moins, les informations suivantes:

1. Le nom et les coordonnées du Sous-traitant et du Responsable du Traitement et, le cas échéant, des représentants du Responsable du Traitement et du Sous-traitant, ainsi que du Délégué à la Protection des Données;
2. Les types de traitements de données effectués au nom du Responsable du Traitement;
3. Les catégories de données traitées;
4. Les types de personnes concernées par le traitement des données ; et
5. Le cas échéant, les transferts de données personnelles vers des pays tiers ou des organisations internationales, y compris l'identification de ces pays tiers ou organisations internationales et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, du RGPD, la documentation justifiant de l'existence de garanties appropriées.

7. Mesures de Sécurité

Le Sous-traitant s'engage à prendre toutes les mesures techniques et organisationnelles requises pour garantir la sécurité des données personnelles traitées pour le compte du Responsable du Traitement, contre leur destruction, accidentelle ou illicite, la perte accidentelle, la modification, la divulgation ou l'accès non autorisé, ainsi que contre toute autre forme de traitement illicite de ces données personnelles. Ces mesures doivent assurer un niveau de sécurité adéquat en tenant compte des risques associés au traitement des données, de la nature des données à protéger ainsi que des risques de diverses natures, de probabilité et de gravité variables, pour les droits et libertés des personnes physiques, notamment en incluant, selon ce qui est approprié:

1. La pseudonymisation et le cryptage des données personnelles;
2. La capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement;
3. La capacité de restaurer la disponibilité et l'accès aux données personnelles en temps voulu en cas d'incident physique ou technique; et
4. Un processus pour tester et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement.

8. Confidentialité

Le Sous-traitant s'engage à garder confidentiels tous les données personnelles auxquelles il a eu accès ou qui lui ont été transmises par le Responsable du Traitement dans le cadre des services convenus avec ce dernier.

9. Collaborateurs du Sous-traitant

Le Sous-traitant garantit que ses collaborateurs, quelle que soit la nature et la validité de leur lien avec le Sous-traitant (y compris, mais sans s'y limiter, ceux qui collaborent avec le Sous-traitant sur la base de contrats de droit civil, prestataires de services, employés, agents, auxiliaires, représentants, associés, directeurs, administrateurs, mandataires, employés temporaires, fournisseurs, consultants, auditeurs et stagiaires, désignés ici par "collaborateurs" ou "personnel"), respectent les obligations énoncées dans le présent Accord.

10. Sous-traitants du Sous-traitant

Le Sous-traitant, dans le but de maintenir son efficacité opérationnelle, établit des contrats avec d'autres entités qui pourront traiter certaines données personnelles, en identifiant dans l'Annexe III du présent Accord une liste de ces sous-traitants. Le Responsable du Traitement donne une autorisation générale au Sous-traitant pour sous-traiter les entités identifiées dans l'Annexe III pour le traitement des données personnelles résultant du présent Accord. Chaque fois qu'il sous-traite une autre entité, le Sous-traitant garantit que celles-ci respecteront les dispositions du Régime de Protection des Données et de la législation applicable, en concluant un contrat écrit avec ces entités sous-traitées, reflétant les mêmes obligations en matière de protection des données prévues dans cet Accord.

Le Sous-traitant s'engage à informer le Responsable du Traitement de tout changement envisagé concernant l'augmentation du nombre ou le remplacement des sous-traitants qu'il utilise, le Responsable du Traitement pouvant s'opposer par écrit à de tels changements. En cas d'opposition aux changements, si le Sous-traitant ne favorise pas les arguments présentés et décide de maintenir le sous-traitant répertorié, le Responsable du Traitement aura la possibilité de résilier son abonnement avec effet immédiat, sans préjudice du paiement d'un montant pro-rata correspondant à la période d'abonnement déjà utilisée.

Si le traitement des données par le sous-traitant du Sous-traitant est effectué en dehors de l'Union Européenne/de l'Espace Économique Européen, avant le début de ce traitement, les exigences relatives aux transferts internationaux de données prévues par le RGPD doivent être respectées.

La responsabilité du Sous-traitant envers les sous-traitants prévue dans les paragraphes précédents couvre toutes les entités agissant en tant que sous-traitants dans une chaîne de sous-traitance avec le Sous-traitant, que leur lien avec le Sous-traitant soit direct ou indirect.

11. Responsabilité

Le Sous-traitant sera tenu pour responsable de tous les dommages causés au Responsable du Traitement du fait du traitement des données personnelles, que ce soit par lui-même, ses employés, ses prestataires de services ou ses sous-traitants [en conformité avec la clause 8 (Sous-traitants du Sous-traitant)], en cas de violation des lois applicables et/ou des dispositions du présent accord.

12. Notification des Violations de Données Personnelles

Le Sous-traitant est tenu de notifier le Responsable du Traitement de toute violation susceptible de compromettre la sécurité des données personnelles qui le concernent, telles que le transfert, l'accès, la perte, la modification ou la divulgation à des tiers, de manière accidentelle, non autorisée ou illicite, en violation du présent Accord ou du Régime de Protection des Données, ou de tout incident affectant directement ou indirectement la confidentialité, l'intégrité ou l'authenticité des données, dès que possible compte tenu des circonstances et sans délai injustifié, et en tout état de cause dans un délai maximum de 72 heures à partir du moment où le Sous-traitant en a pris connaissance.

La notification selon les dispositions du paragraphe précédent doit inclure toutes les informations pertinentes concernant les données personnelles concernées, notamment:

1. La nature des données personnelles violées, y compris les catégories et le nombre de personnes concernées, ainsi que les catégories et le nombre d'enregistrements de données personnelles en question;
2. Le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact où des informations supplémentaires peuvent être obtenues;
3. La description des conséquences prévisibles de la violation des données personnelles; et
4. Les mesures mises en œuvre ou envisagées par le Responsable du Traitement pour remédier à la violation des données personnelles et réduire ses conséquences négatives éventuelles.

En cas de violation ou d'incident, le Sous-traitant doit enquêter sur l'incident ou la violation de données personnelles, prendre les mesures appropriées pour garantir leur sécurité, atténuer leurs éventuels effets négatifs sur les personnes concernées, et prévenir tout futur incident ou violation de données personnelles.

13. Audits

Le Sous-traitant procédera à des audits de sécurité de son infrastructure et de son environnement informatique utilisés dans le traitement des données personnelles, selon les modalités suivantes:

1. Lorsqu'une norme ou un cadre prévoit des audits, un audit de cette norme ou de ce cadre de contrôle sera lancé au moins une fois par an.
2. Chaque audit sera réalisé conformément aux normes et règles de l'organisme de réglementation ou d'accréditation pour chaque norme ou cadre de contrôle applicable.
3. Chaque audit sera réalisé par des auditeurs de sécurité tiers, qualifiés et indépendants, choisis et engagés par le Sous-traitant.

À l'issue de chaque audit, un rapport d'audit sera généré et mis à disposition par le Sous-traitant sur son site web ou à un emplacement désigné par ce dernier. Le rapport sera considéré comme une Information Confidentielle de Healthium et révélera clairement toutes les conclusions matérielles de l'auditeur. Le Sous-traitant corrigera immédiatement les problèmes soulevés dans tout rapport, de manière satisfaisante pour l'auditeur. Si le Responsable du Traitement en fait la demande, le Sous-traitant fournira à celui-ci chaque rapport.

Les rapports peuvent être soumis à des restrictions de divulgation et de distribution imposées par Healthium et l'auditeur.

Si les exigences d'audit du Responsable du Traitement, conformément aux lois respectives sur la Protection des Données, ne peuvent raisonnablement être satisfaites par le biais de rapports d'audit, de documentation ou d’informations de conformité généralement fournies par le Sous-traitant à ses clients, ce dernier se conformera aux instructions d'audit supplémentaires du Responsable du Traitement. Avant le début d'un audit, le Sous-traitant et le Responsable du Traitement conviendront mutuellement de la finalité, des délais, de la durée, des exigences de contrôle et de preuve ainsi que des honoraires de l'audit, à condition que cette exigence d'accord n'entraîne pas de retard injustifié dans l'exécution de l'audit par le Sous-traitant. Dans la mesure nécessaire pour effectuer l'audit, le Sous-traitant mettra à disposition les systèmes de traitement, les installations et la documentation de support pertinents pour le traitement des Données Personnelles par le Sous-traitant et ses Sous-traitants. Cet audit sera mené par une société de vérification indépendante et accréditée, pendant les heures normales de travail, avec un préavis raisonnable donné au Sous-traitant et soumis à des procédures raisonnables de confidentialité. Le Responsable du Traitement supporte tous les frais et coûts associés à cette vérification, y compris tous les frais raisonnables pour le temps passé par le Sous-traitant lors de cette vérification, ainsi que les frais des services fournis par le Sous-traitant. Si le rapport d'audit généré en résultat de l'audit du Responsable du Traitement inclut toute découverte de non-conformité matérielle, le Responsable du Traitement doit partager ce rapport d'audit avec le Sous-traitant et le Sous-traitant corrigera immédiatement toute non-conformité matérielle.

Rien dans cette section de cet Accord ne varie ou ne modifie les termes du RGPD ou n'affecte les droits de toute autorité de surveillance ou titulaire de données en vertu des lois de Protection des Données respectives.

14. Associé Commercial HIPAA

Si le Responsable du Traitement est une "entité couverte" ou un "associé commercial" et inclut des "informations de santé protégées" dans les Données du Client ou les Données de Services Professionnels, telles que définies dans la Loi sur la Portabilité et la Responsabilité de l'Assurance Maladie de 1996, telle que modifiée, et les règlements promulgués en vertu de celle-ci (collectivement, "HIPAA"), l'exécution du contrat avec le Responsable du Traitement inclut l'exécution du Contrat d'Associé Commercial HIPAA ("BAA").

15. Durée et Cessation de l'Accord

Le présent Accord reste en vigueur tant que la relation de prestation de services entre le Responsable du Traitement et le Sous-traitant est maintenue.

À la date de cessation du présent Accord, le Sous-traitant s'engage, selon le choix du Responsable du Traitement, à effacer ou à retourner au Responsable du Traitement tous les supports contenant des données personnelles qui lui ont été fournis par celui-ci, en supprimant toutes les copies existantes, sauf si la conservation des données est exigée par la loi.

16. Communication de l'Accord à l'Autorité de Contrôle

Les Parties sont dès à présent autorisées à communiquer le contenu du présent Accord, ainsi que les éléments qui y sont liés, à l'autorité de contrôle compétente.

17. Loi Applicable

Les termes du présent Accord sont soumis aux dispositions légales en vigueur de la loi portugaise.

18. Résolution des Litiges

Il est convenu que le tribunal de la Région de Braga est compétent pour traiter de toutes les questions découlant du présent Accord, avec renonciation expresse à tout autre tribunal.

19. Moyens de Communication avec le Sous-traitant

Pour les communications concernant la sécurité et la protection des données, les Parties estiment que les adresses suivantes, concernant le Sous-traitant, ainsi que celles fournies par le Responsable du Traitement lors de l'enregistrement, sont adéquates et suffisantes. Si le Responsable du Traitement souhaite aborder des questions relatives à la sécurité et à la protection des données avec le Sous-traitant, il peut le faire par les moyens de communication suivants:

Pedro Bacelar

Responsable de la Protection des Données

dpo@nutrium.com

ou

Rua Andrade Corvo, nº 242, 1º andar, Sala 106

4700-204 Braga

+351 935 455 75

Annexe I

Conditions de Traitement

1. Nature et Objectifs du Traitement

Le Responsable du Traitement traite les données personnelles de ses clients pour la prestation de services de santé et pour la gestion de la relation avec les clients, et/ou les données personnelles de ses employés pour gérer leur relation avec ceux-ci.

Conformément au contrat conclu entre les parties, le Sous-traitant s'engage à fournir au Responsable du Traitement des Données les services décrits dans les Termes et Conditions en vigueur et dans la Politique de Confidentialité en vigueur.

Dans ce cadre et dans ce but, le Sous-traitant aura accès aux données personnelles des clients et/ou des employés du Responsable du Traitement des Données.

2. Durée du Traitement

La durée du traitement dépend de la durée du contrat mentionné précédemment et respectera les délais de conservation établis et publiés à tout moment par le Responsable du Traitement des Données Personnelles.

3. Types de Données Traitées

Données de catégories simples et spéciales, notamment:

• Données personnelles des clients: données générales et démographiques; données anthropométriques; données socioculturelles et économiques et données d'information clinique.
• Données personnelles des employés: données générales et démographiques.

4. Catégories Spéciales de Données

Données relatives à la santé de la personne.

5. Catégories de Titulaires Concernées

Clients et/ou Employés du Responsable du Traitement des Données.

Annexe II

Mesures Techniques et Organisationnelles

1. Sécurité du Traitement

Conformément à ce qui est décrit dans l'Accord, le Sous-traitant déploie des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité proportionné au risque, en tenant compte des techniques les plus avancées, des coûts de mise en œuvre, de la nature, de la finalité, du contexte et des objectifs du traitement, ainsi que des risques de gravité et de probabilité variables pour les droits et libertés des personnes concernées.

2. Exigences Minimales

Conformément au paragraphe 1 du présent Annexe et à l'Annexe I, le Sous-traitant respecte les exigences minimales suivantes:

1. Contrôle d'Accès et Authentification
   • Chaque accès aux informations du Responsable du Traitement doit être réalisé par des utilisateurs autorisés à le faire, ces utilisateurs devant disposer d'identifiants uniques les distinguant dans les systèmes de traitement et de stockage des informations;
   • L'authentification dans les systèmes doit se faire en utilisant des identifiants basés sur l'utilisateur et un mot de passe, ce dernier devant être complexe (combinant des lettres, des chiffres, des caractères spéciaux et ayant une longueur minimale de huit caractères).
   • Une durée de validité maximale du mot de passe doit être adoptée, ne dépassant pas 90 jours et l'utilisateur ne doit pas pouvoir utiliser les 5 mots de passe précédents;
   • Des mesures techniques de sécurité doivent être mises en place pour protéger les identifiants d'accès, telles que le verrouillage du mot de passe après 6 (six) tentatives infructueuses consécutives, ou six mois sans que les identifiants ne soient utilisés;
   • Des procédures formelles doivent être mises en place pour la demande, l'attribution, la suppression et l'approbation des accès aux informations du Responsable du Traitement.
2. Chiffrement des Données et Gestion des Appareils
   • Toutes les informations personnelles doivent être stockées de manière chiffrée sur des supports tels que des disques durs externes, des serveurs, des clés USB, etc.
   • Toutes les informations doivent être transmises via des canaux de communication chiffrés (e.g., TLS/SSL, e-mails chiffrés avec des clés X509 ou PGP).
   • Tous les appareils informatiques (serveurs et ordinateurs personnels) doivent être correctement protégés contre les attaques et les logiciels malveillants en utilisant des antivirus, des systèmes de détection et de prévention des intrusions.
   • Chaque composant des systèmes d'information (matériel, micrologiciel et logiciel) doit être examiné pour identifier les vulnérabilités et les failles. Ensuite, ils doivent être mis à jour avec les dernières mises à jour disponibles ou des mesures d'atténuation appropriées doivent être prises.
3. Capacité à rétablir la disponibilité et l'accès aux données personnelles de manière opportune en cas d'incident physique ou technique
   • La continuité de la prestation de service au Responsable du Traitement doit être assurée grâce à l'utilisation de mécanismes de protection contre la destruction ou la perte accidentelle;
   • Les mécanismes de sauvegarde de l'information (e.g. backups) doivent suivre les bonnes pratiques en matière de continuité des activités, en assurant que:
     • Au moins une copie est conservée dans un emplacement alternatif;
     • Une surveillance d'accès et une protection physique des supports (e.g. tapes) sont déployées lorsqu'ils sont stockés ou en transit.
   • L'efficacité des mécanismes de protection doit être testée au moins tous les six mois.
4. Processus de test et d'évaluation régulière de l'efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement
   • Des audits réguliers doivent être menés pour valider la conformité aux exigences de sécurité et de protection des données énoncées dans cet annexe, au moins sur une base annuelle;
   • Un rapport détaillé sur le niveau de conformité aux exigences, les recommandations de conformité et enfin être mis à disposition du Responsable du Traitement.

Annexe III

Liste des Sous-traitants

1. Champ d'Application

Healthium a la possibilité de recruter et utiliser certains processeurs de données tiers ("Sous-traitants") pour fournir des services à nos clients. Cette annexe présente des informations importantes sur l'identité, l'emplacement et la fonction de chaque Sous-traitant.

2. Liste de Sous-traitants

Ces Sous-traitants peuvent accéder à des données personnelles fournies directement par nos utilisateurs ou auxquelles nous pouvons accéder pour réaliser les services souscrits. Actuellement, nous utilisons la liste ci-dessous de Sous-traitants pour fournir des services d'infrastructure, de support client et de plateformes. Veuillez noter que tous les Sous-traitants ne sont pas impliqués dans tous les services que nous proposons et certains peuvent être uniquement associés à la prestation de services spécifiques.

Support Client:

Plates-formes:

Infrastructures de Services Numériques: