SERVICE RAINBOW PAYANT HDS EN MODE UCaaS

Les présentes Conditions particulières d'utilisation (les « Conditions d’utilisation ») régissent l'utilisation du service Rainbow HDS payant (le « Service Rainbow HDS » ou « Service ») que vous avez acheté directement auprès d’ALE International ou d'un Revendeur Agréé (ci-après le « Fournisseur de Service »).

Le Service Rainbow est une solution de communication fournie par ALE International (« ALE »), une société française dont le siège social se situe au 32 avenue Kléber, 92700 Colombes, France, enregistrée à la Chambre de commerce de Nanterre sous le numéro 602 033 185 RCS Nanterre (pour plus d'informations veuillez cliquer sur le lien suivant https://www.al-enterprise.com ). Le Service Rainbow HDS est décrit plus en détail en section 3.

Tous les termes commençant par une majuscule et utilisés, mais non définis dans les présentes Conditions Particulière ont le sens qui leur est attribué dans l'Annexe 1 Conditions Générales d’utilisation.

ARTICLE 1 : OBJET

Les présentes Conditions particulières, complétant les Conditions Générales d’utilisation du Service ont pour objet de définir les conditions techniques dans lesquelles le Fournisseur s'engage à rendre le Service au Client.

Les présentes Conditions Particulières prévaudront sur les Conditions Générales d’utilisation du Service payant Rainbow si une contradiction devait apparaître entre ces deux documents.

ARTICLE 2 : DEFINITIONS

En sus des termes définis dans le Glossaire, les termes suivants, tant au singulier qu’au pluriel, ont la signification suivante entre les Parties :

Certification HDS : certification nécessaire à l’exercice de traitement et d’hébergement de données de santé à caractère personnel sur support numérique telle que définie par l’article L 1111-14 à L 1111-24 du Code de la Santé Publique et son décret d’application N° 2018-137 du 26 février 2018.

Conditions Particulières : les présentes conditions.

Client : Personne, physique ou morale qui souscrit à l’offre « Service Rainbow HDS ». Il appartient au Client de s’assurer de son obligation de se faire certifier HDS si nécessaire pour sa propre activité. Dans le cadre de l’hébergement de données de santé, le Client est un professionnel ou un établissement de santé qui dépose des Données de santé par le biais du Service. Il appartient au Client de s’assurer de ses obligations relatives à la PGSSI-S.

Contrat : Ensemble des présentes Conditions Particulières et des Conditions Générales de Services.

Données : Ensemble des données saisies, transmises et/ou traitées par le Client, ses propres Utilisateurs et les Personnes concernées, lors de l’utilisation du Service. Ces données pouvant inclure des Données de santé.

Données de santé à caractère personnel (ou Données de santé) : toutes données relatives à la santé physique ou mentale d’une personne physique, identifiée ou qui peut être identifiée, directement ou indirectement, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soin ainsi que la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Hébergeur de données de santé – Infogéreur (ou Hébergeur) : personne physique ou morale disposant d’une certification et pouvant, de ce fait, héberger des Données de santé.

Personnes concernées : personne physique à laquelle se rapportent les données à caractère Personnel.

Service : solution de communication, objet des Conditions particulières, par laquelle ALE ou le Revendeur de Service permet au Client de communiquer, partager et stocker des Données avec des Utilisateurs et des Personnes concernées.

UCaaS : Service de Communications Unifiées (Unified Communications As A Service).

Utilisateurs : utilisateurs finaux du Service mis à leur disposition par Vous en qualité de Client du Service ou vos propres utilisateurs, dans le cadre du Service Rainbow HDS. Il s’agit des membres du personnel du Client et des personnes que ce dernier autorise à accéder au Service.

ARTICLE 3 : SERVICE RAINBOW HDS

Dans le cadre de la fourniture du Service, ALE ou un Revendeur Agrée (dans le cadre d’une souscription via un Revendeur Agrée) met à votre disposition un Service de communication pour des échanges de Données conforme à la réglementation HDS.

ALE intervient au titre du Service en qualité d’Hébergeur – infogéreur de Données de Santé au sens des articles L1111-8 et R1111-9 du Code de la Santé Publique et assure dans le cadre du Service les activités suivantes mentionnées aux points 1,2,3,4,5 et 6 de l’article R 1111-9 précité :

1. mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des Données de santé ;
2. mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de Données de santé ;
3. mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
4. mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des Données de santé ;
5. administration et l’exploitation du système d’information contenant les Données ;
6. sauvegarde des Données.

Etant entendu que pour les activités 1,2,3 et partiellement l’activité 4 sont sous – traitées à OVH en qualité d’hébergeur de données santé certifié HDS LNE-35608-0

Concernant l’activité 6 Sauvegarde des Données :

• Le Service HDS Rainbow n’est pas un service d’archivage agréé par le Ministère de la culture. Le Service n’inclut pas les services d’archivage et de conservation des Données de Santé, tels que requis dans le cadre de la PGSSI-S (conservation des archives sur les Données des Personnes concernées / patients).
• Cependant, ALE fournit les outils et interfaces nécessaires pour que le Client puisse réaliser ou faire réaliser ces services d’archivage auprès d’un tiers de son choix.
• A cet égard, ALE fournit une extraction mensuelle/ trimestrielle ou annuelle des éléments échangés lors de l’utilisation du service (messages, fichiers) ainsi que des données d’identification du compte de l’Utilisateur (nom, prénom et profils utilisateurs,) soit à un archiveur certifié sur option de paiement supplémentaire, soit au Client si vous réalisez vous-même ledit archivage.

ALE met à disposition sur son site internet  les preuves de certification  HDS et de certification ISO27001. Tout changement lié à l’activité HDS réalisée par ALE ou par extension tout changement relatif aux normes associées (ISO27001) sera notifiée  au Client sous 10 jours ouvrés

Le Service est à destination des établissements et professionnels de santé conformément aux dispositions légales et réglementaires en vigueur.

Les Données à caractère personnel ne sont utilisées que pour servir la finalité du Service (Service de communication, de partage et de stockage des Données). Le traitement des Données mis en œuvre par ALE a pour objectif exclusif de permettre la délivrance du Service de communication que vous avez en qualité de Client avec vos Utilisateurs et/ou les Personnes concernées dans le cadre du domaine de la santé et de permettre le partage et le stockage des Données.

Le Service permet à vos Utilisateurs de soumettre, de partager, d'envoyer et d'afficher des contenus vers et avec d'autres Utilisateurs. À ce titre, vous reconnaissez et convenez (pour vous-même et vos Utilisateurs) que ces contenus ne peuvent être vus que par les participants à la conversation.

Dans le cadre de l’utilisation de ce Service, Vous confirmez en qualité de Client posséder l’ensemble des connaissances de la Réglementation et des référentiels de la PGSSI-S pour utiliser vous-même le Service et uniquement par le personnel habilité à administrer les Données de santé.

En qualité de Client et en qualité de responsable des traitements vous êtes responsable du respect des dispositions réglementaires en vigueur de la PGSSI-S dans le cadre de l’utilisation de ce Service.

3.1 : GESTION DES DONNEES DE SANTE

Les Données que vous stockez sur le Service peuvent comporter des données à caractère personnel ainsi que des Données de Santé. En qualité de Client et responsable des traitements, vous assurez le contrôle du traitement de ces données. Les Parties s’engagent à traiter les Données de santé en conformité avec les dispositions légales et réglementaires en vigueur, notamment en matière de protection des données à caractère personnel et d’hébergement de données de santé. ALE, et toute personne intervenant dans le cadre du Service, n’agissent que sur instruction du Client.

En tant que sous-traitant de données, ALE s’engage à ne pas accéder aux données traitées par ALE pour le compte du Client sauf (i) dans les cas les cas prévus par la loi, (ii) ou dans les cas de maintenance correctives qui seront toutes journalisées et associées à un ticket de support. 

ALE assure la sensibilisation de son personnel au respect des exigences légales et réglementaires applicables à la sécurité des Données de santé, en particulier à leur confidentialité et au respect du secret professionnel. À ce titre, ALE fournit à ses employés intervenant dans le cadre du Service une note spécifique dans le cadre de leur contrat de travail concernant la confidentialité des Données.

ALE atteste au travers de son hébergeur OVH, que les Données du Service sont exclusivement localisées en France et donc dans l’Espace Economique Européen (EEE) Cela inclut les environnements de production, de sauvegarde, de journaux et métadonnées.

ALE précise que dans la cadre du Service, il n’y a aucun transfert de Données de santé à caractère personnel vers un pays tiers à l'espace économique européen;

Dans le cadre du Service, le Client est responsable de la conformité des Données traitées aux exigences légales et réglementaires en vigueur, notamment en matière de protection des données personnelles et d’hébergement de données de santé. A ce titre et en sa qualité de responsable des traitements, il est notamment responsable de l’exactitude des Données et de leur mise à jour, de la détermination d’une durée de conservation, de la suppression des données, de l’information préalable des personnes concernées, du recueil des consentements auprès des Personnes concernées requis en application de la réglementation en vigueur, de la gestion des accès des Utilisateurs finaux aux Données de santé, et de la sécurité de ces dernières. Les Parties s’engagent à coopérer avec les autorités de protection des données à caractère Personnel ou de santé compétentes.

Aucun accès aux Données de santé à caractères personnels « DSCP » depuis un pays hors EEE n’est autorisé : Tout accès aux données réalisé par le client en dehors de l’Espace Economique Européen (EEE)  relève de la responsabilité unique du client. A cet égard, ALE recommande au Client en qualité de data contrôleur de mettre en place une politique de sécurité adaptée.

En cas de réception d’une requête provenant d’une autorité administrative ou judicaire par l’une des Parties, ALE sera tenue de transmettre lesdites Données aux autorités compétentes.  ALE notifiera le Client d’une demande des autorités excepté dans le cas où la réquisition judiciaire l’interdit.

3.2 : DROIT DES PERSONNES CONCERNEES

3.2.1 : INFORMATION ET CONSENTEMENT

En qualité de Client, vous devez vous assurer de l’information préalable des Personnes concernées concernant l’utilisation du Service, conformément aux dispositions légales et réglementaires en vigueur. Cette information doit comporter les mentions obligatoires en matière de protection des données à caractère personnel, ainsi que les mentions relatives à l’hébergement de données de santé et aux modalités d’accès et de transmission de ces données. L’information préalable des Personnes concernées relative à l’hébergement de Données de santé ne relèvent en aucun cas de la responsabilité d’ALE. Le cas échéant, il revient au Client de s’assurer des modalités d’information préalable auprès des Personnes concernées. Le Client devra transmettre à ses propres Utilisateurs les modalités d’utilisation du Service.

3.2.2 : EXERCICE DES DROITS DES PERSONNES CONCERNEES

Conformément aux dispositions légales et réglementaires en vigueur, notamment en matière de gestion des droits sur les données personnelles et d’hébergement de Données de santé, tout Utilisateur du Service ou Personne Concernée dispose de droits sur ses Données pour autant que ces derniers ne soient pas contraints par d’autres disposition légales prévalentes (par exemple, une Personne Concernée ne devra pas voir une demande de suppression de ses Données de santé aboutir car le Code de la Santé Publique prévoit une durée de conservation réglementée de telles données (à titre d’exemple pendant 20 ans à compter de date du dernier séjour ou de la dernière consultations du patient et réduite à 10 ans à compter de la date du décès du patient dans les établissements publics ou privés ; 10 ans à compter de la stabilisation de la santé du Patient pour les praticiens libéraux).

Il s’agit des droits à la transparence sur les finalités de traitements sur les Données, les droits d’accès et de rectification ou de suppression des Données, les droits d’objection ou d’opposition à toutes ou partie des finalités de traitement des Données, le droit de notification des événements intervenus sur ou ayant affecté les Données, du droit de restriction de traitement ou du droit à la portabilité.

L’Utilisateur du Service responsable de traitement demeure seul responsable du traitement de ces demandes conformément à la réglementation en vigueur notamment les articles L1110-4 et L1111-7 du Code de la Santé Publique et le chapitre III du Règlement 2016/679 du Parlement européen et du Conseil en date du 27 avril 2016.

A cet effet, il revient au Client de traiter ou faire traiter les demandes d’exercice de droits qui lui sont adressées par les Personnes concernées, conformément aux dispositions légales et réglementaires en vigueur. A réception d’une Demande d’exercice de droit par une Personnes Concernée, le Client s’engage à i) authentifier le demandeur, ii) valider la recevabilité de la demande et notamment vérifier que la demande n’entre pas en conflit avec d’autres dispositions légales prévalentes, iii) répondre à la demande dans la mesure de ses possibilités et des moyens mis à sa disposition par ALE dans le cadre du Service (outils d’administration du Service).

ALE fait suivre au Client toutes demandes des Personnes concernées qui voudraient exercer leurs droits.

ALE fournit au Client responsable de traitement l’assistance et la coopération pour le traitement de telles demandes et ce de la manière suivante.

Si le Client démontre n’être pas parvenu à répondre à la demande de la Personne Concernée au regard de ses moyens, alors il pourra transmettre la demande à son revendeur Agréé (dans le cas où ALE n’est pas le Fournisseur) ou à ALE après transmission de la demande du Client par le Revendeur Agréé à ALE (si ALE n’est pas le Fournisseur), ou après la réception de la demande du Client par ALE, ALE s’engage à répondre à cette demande conformément aux dispositions légales et réglementaires en vigueur avec l’accord préalable du Client et dans le respect des délais légaux, dans la mesure où la requête a été reçue par ALE dans les deux jours suivant la demande initiale.

À cet effet :

• Le Client devra identifier le ou les personnes référentes et leur délégués dûment habilitées pour demander au Revendeur Agréé (si ALE n’est pas le Fournisseur) de réaliser ou faire réaliser les actions permettant de répondre aux demandes d’exercice des droits de la Personnes Concernée.
• Le Client devra identifier et adjoindre à la requête un moyen de communication permettant de répondre directement à la Personne Concernée : par exemple, un email de la Personne Concernée demanderesse.

ALE ne pouvant pas identifier les Données de Santé d’une Personne concernée (exemple : échange texte ou de fichiers entre deux médecins concernant un patient), en conséquence il appartient au Client et son responsable de traitement de fournir ses informations à la Personne concernée conformément à la réglementation en vigueur.

Le Client pourra sur demande, soit via son Revendeur Agréé (dans le cas ou ALE n’est pas le Founisseur) ou à ALE demander à consulter les traces d’accès de DSCP portées par des personnels sous son contrôle.

3.2.4 : SECURITE

Dans le cadre de la fourniture du Service, ALE s’engage à prendre toutes précautions utiles, en regard de la nature des Données et des risques présentés par le traitement, pour préserver la sécurité des Données.

ALE s’engage notamment, à mettre en place des mesures de protection ainsi que les mesures techniques et organisationnelles telles qu’elles figurent en Annexe 1 afin d’assurer la confidentialité, l’intégrité et la disponibilité du Service et des Données de santé conformément aux politiques de sécurité et directives du services Rainbow HDS reliées à la déclaration d’applicabilité issue des certification ISO 27001 et HDS.

La Déclaration d’Applicabilité (DDA) relative à la certification HDS d’ALE est disponible sur demande et en français au support Rainbow par email à support@openrainbow.com.

Les Parties s'engagent, en particulier, à respecter les principes fondateurs de la PGSSI-S (Politique générale de sécurité des systèmes d'information de santé) et à se conformer aux référentiels techniques et aux guides associés.

Il incombe à ALE de :

• Fournir au Client, tout au long du Service et par le biais d’une interface, un accès, individuel et sécurisé, reposant sur des moyens d’authentification forte, aux Données hébergées chez ALE dans le cadre du Service.
• Formaliser une politique de sécurité dont le champ d’application couvre le Service et les Données ;
• Assurer la sécurité de l’architecture réseau et des services liés au Service En particulier, ALE s’engage à ce qu’en aucun cas des Données ne transitent en clair sur un réseau public.
• Maintenir la confirmité HDS et ISO 27001:2022
• Sensibiliser son personnel à la confidentialité et au respect du secret professionnel, et plus particulièrement concernant les Données de santé à caractère personnel déposées dans le cadre du service conformément à la clause de confidentialité telle qu’elles figurent dans leur contrat de travail.
• Assurer la mise en place contractuelle d’accord de non divulgation avec ses sous-traitants ayant possiblement accès à des données personnelles. Il est précisé que lesdits sous-traitants ne peuvent accéder qu’a des données d’identification des personnes dans le cadre du support mais en aucun cas au contenu des échanges dès lors que le Client à bien veillé à ne pas inclure des Données de Santé dans ses tickets de support.
• Assurer la traçabilité des accès et des opérations réalisées sur le Service et les Données, tant par son personnel que par les Utilisateurs conformément à la loi LCEN;
• Sauvegarder pendant une durée de douze (12) mois les journaux de connexion et mettre en œuvre les moyens techniques permettant l’extraction des données permettant l’archivage des Données
• Gérer les Incidents de sécurité et informer le Revendeur Agréé qui en informera le Client en cas en cas d’atteinte à la sécurité des Données selon la réglementation en cours
• Mettre en œuvre un plan de continuité et de reprise d’activité.

Il est précisé au Client que l’ensemble des Données et des fichiers échangés dans le cadre du Service ALE sont conservées pendant la durée du Contrat.

Toutefois, Le Client reconnait expressément qu’ALE reporte la couverture de certaines obligations légales et réglementaires vers le Client. A cet effet, les obligations suivantes dans le cadre du Service relèvent exclusivement de votre responsabilité en qualité de Client :

• S'assurer que ses propres Utilisateurs intervenant dans le cadre du Service, gèrent les Données de santé dans le respect de la PGSSI-S ;
• Formaliser une politique de sécurité dont le champ d’application couvre les Données de santé ;
• Assurer la sécurité des postes de travail et des équipements à partir desquels ses Utilisateurs, et toute personne autorisée par le Client, accèdent aux applications et aux Données de santé ;
• Gérer finement les habilitations, l’identification, l’authentification et le contrôle d’accès de son personnel et des utilisateurs aux applications et aux Données de santé ;
• Veiller à ne pas inclure de Données de santé dans les tickets ouverts vers le support du Revendeur.
• Contrôler l’utilisation des moyens d’authentification forte par les personnes habilitées à accéder aux Données de santé ;
• Sensibiliser et former votre personnel à la sécurité des systèmes d’information ;
• Sensibiliser son personnel à la confidentialité et au respect du secret professionnel, et plus particulièrement concernant les Données de santé à caractère personnel déposées dans le cadre du service, et identifier les Utilisateurs seuls habilités à accéder aux Données de santé;
• Archiver et conserver les Données de Santé conformément à la réglementation PGSSI-S
• Transmettre et mettre à jour la Liste des Points de contacts telle qu’elle figure en Annexe 2.

3.2.5 : GESTION DES ACCES AUX DONNEES DE SANTE

Conformément aux dispositions légales et réglementaires en vigueur, l’accès aux Données de santé est réservé aux personnels de santé et aux personnes placées sous l’autorité du Client.

Le Client est responsable de la gestion des habilitations des Utilisateurs finaux du Service, de toute personne qu’il aurait individuellement autorisée à accéder aux Données de Santé et, le cas échéant, des Patients. Il est également responsable de la mise en œuvre des accès correspondants et du contrôle de l’utilisation des moyens d’accès, dans le respect des dispositions légales et réglementaires en vigueur.

S’agissant du personnel technique, le Client s’engage à n’accorder un droit d’accès aux Données de santé qu’aux personnes, individuellement identifiées, ayant strictement besoin de les connaître et qui sont liées contractuellement au Client. Il est rappelé au Client que, conformément aux dispositions légales et réglementaires en vigueur, ces personnes sont soumises au secret professionnel.

Il revient au Client de s’assurer que les personnels techniques accédant aux Données de santé :

• sont qualifiés pour réaliser les opérations sur les Données de santé et pour assurer la sécurité de ces données ;
• sont sensibilisés à la gestion des Données de santé et au respect de la vie privée des Personnes concernées ;
• sont sensibilisés au respect du secret professionnel ;
• disposent d’une clause de confidentialité dans leur contrat de travail ;
• maîtrisent les mesures de sécurité renforcées spécifiques aux Données de santé ;
• utilisent des comptes d’accès individuels ;
• sont dotés de moyens d’authentification conformes à l’état de l’art, à savoir unidentifiant/mot de passe conforme aux recommandations de la CNIL et des moyens d’authentification forte, comme, par exemple, l’utilisation des cartes de professionnels de santé (CPS) comme deuxième facteur d’authentification.

S’agissant des Utilisateurs, le Client a seul la responsabilité de veiller à ce qu’ils :

• soient juridiquement autorisés à accéder aux Données de santé et à intervenir sur les traitements de Données de santé ;
• soient soumis au respect du secret professionnel, et notamment du secret médical ;
• accèdent aux Données de santé dans le respect des dispositions légales et réglementaires en vigueur.

Le Client est responsable de la gestion des accès délivrés aux Personnes concernées. Il s’assure notamment que la qualité de l’identité des Personnes concernées sont fiables et de l’utilisation de moyens d’authentification forte conformes à l’état de l’art.

Dès lors que le Client utilise le Service, il lui revient, conformément aux dispositions légales et réglementaires en vigueur, de vérifier les accès directs de la Personne concernée au Service.

ALE et/ou le Revendeur Agréé ne sauraient en aucun cas être tenus pour responsables de toute conséquence d’une utilisation erronée par les Utilisateurs du Client ou par toute personne à laquelle le Client aura fourni un accès.

3.2.6 : EVOLUTION MAJEURE DU SERVICE

Toute évolution majeure du Service, étant à l’initiative d’ALE, n’entrainera pas de régression, ni de non-conformité quant aux exigences concernant la protection des Données de santé et la protection des Données à caractère personnel. ALE s’engage à assurer la continuité de service au cours des évolutions majeures. ALE s’engage à informer le Client de toute évolution majeure, conformément aux exigences légales et réglementaires en vigueur en matière d’hébergement de données de santé.

3.2.7 : SUPPORT DE LA LANGUE FRANCAISE

L’application est disponible dans son intégralité en langue française. Le support de premier niveau est lui aussi accessible en langue française.

3.2.8 : GESTION DES INCIDENTS

Les Parties s’engagent à coopérer dans la gestion de tout Incident (à l’exclusion de tous les incidents liés à une mauvaise utilisation du Service, un non-respect de l’état de l’art sur la sécurité des actifs du périmètre du Déposant ou du Prestataire, etc.). ALE s’engage à informer de tout incident dont il a eu connaissance et qui est susceptible d’affecter les Données de santé dans les meilleurs délais avec un objectif de 48 Heures le Revendeur Agréé qui en informera le Client,

La communication est assurée via le Service Client Rainbow. Une cellule de crise est organisée pour identifier les causes et les actions correctives à mettre en place. Pendant cette période de gestion de crise, le Service peut passer en mode dégradé (par exemples par confinement du système impacté, filtrage ou surveillance active, etc.). La remise en ligne du service peut notamment être effectuée grâce au Plan de Continuité d’Activité. Le cas échéant, le Client s’assure de l’information des autorités compétentes concernées, des Utilisateurs et des Personnes concernées dans les délais règlementaires. Dans le cas où ALE détecterait que le Service est corrompu, ou subit un dysfonctionnement, ALE se réserve le droit de limiter le service jusqu’à la résolution du problème, sous réserve qu’elle estime qu’une telle résolution est possible.

Sont exclus de ce processus tous les Incidents liés à une mauvaise utilisation du Service par le Client, un non-respect de l’état de l’art par le Client sur la sécurité des actifs de leur périmètre.

3.2.9 : POINT DE CONTACT

Les Parties (ALE, le Revendeur Agréé du Service et le Client), s’engagent à désigner chacune un interlocuteur principal et un interlocuteur secondaire, en charge de la bonne exécution du Service, et notamment des problématiques de sécurité. Ce point de contact doit être en mesure de désigner à ALE un professionnel de santé lorsque cela est nécessaire (exemple : Accès aux Données de santé, gestion des relations avec le patient).

Le Client s’assure de la désignation au minimum d’un interlocuteur principal et secondaire, en charge des problématiques sur le traitement des Données de santé sur le Service. Le Client transmet au Revendeur Agréé ses points de contact et s’assure de la connaissance des interlocuteurs par le Revendeur Agréé (au cas où ALE ne soit pas le revendeur du Service). A cet égard, le Client s’engage à remplir la Fiche Point de Contact en Annexe 2 et s’assurer de sa régulière mise à jour, cette fiche devant être transmise à ALE via son Revendeur Agréé. Le Revendeur Agréé soumet pour cela un  eService Request (eSR) avec cette Fiche Point de Contact attachée en indiquant les mots clés suivants dans le eSR  : « HDS » et « Contact ».

L’ensemble de ces interlocuteurs doivent permettre une prise de contact entre les Parties.

ARTICLE 4 : SOUS-TRAITANCE

Le Client est informé qu’ALE fait appel à des sous-traitants dans le cadre de l’exécution du Service dont la liste figure en Annexe 3.

1. Le Service est hébergé chez un hébergeur certifié HDS.

Etant entendu qu’en cas de multiplicité d’offres d’Hébergeur et/ou de localisation de Data center par ALE dans la liste de ses sous-traitants en Annexe 3, le Client aura le choix de la localisation de ses Données.

ALE est susceptible de modifier la liste de ses sous-traitants à tout moment telle qu’elle figure en Annexe 3, sous réserve d’en informer le Client au préalable.

ALE s’engage à reporter, dans les engagements qu’il contractera avec le sous-traitant les obligations qui lui incombent au titre dispositions légales et réglementaires en vigueur, à cet égard ALE a conclu un accord sur la sous-traitance des données conformément au RGPD.

ARTICLE 5 : RESPONSABILITE

TOUTES LES DISPOSITIONS DE L’ARTICLE 9 DES CONDITIONS GENERALES D’UTILISATION DU SERVICE RAINBOW PAYANT S’APPLIQUENT DANS SON INTEGRALITE.

EN OUTRE, TOUTE RESPONSABILITÉ DU FOURNISSEUR DE SERVICE, DE SES SOCIÉTÉS AFFILIÉES, TOUT FOURNISSEUR TIERS AYANT ÉTÉ IMPLIQUÉ DANS LA FOURNITURE DU SERVICE HDS (Y COMPRIS SANS LIMITATION, ALE DANS LES CAS OU VOUS AVEZ ACHETÉ LE SERVICE AUPRÈS D'UN REVENDEUR AGRÉÉ), LEURS ADMINISTRATEURS, DIRIGEANTS, SALARIÉS ET AGENTS RESPECTIFS DANS LEUR ENSEMBLE, NE PEUT ETRE ENGAGEE (i) EN CAS DE NON RESPECT LE CLIENT DE SES PROPRES OBLIGATIONS LEGALES (ii) DE LA DIVULGATION OU DE L’UTILISATION ILLICITE DU MOT DE PASSE REMIS CONFIDENTIELLEMENT AU CLIENT (iii) DESTRUCTION PARTIELLE OU TOTALE DES INFORMATIONS TRANSMISES OU STOCKEES A LA SUITE D'ERREURS IMPUTABLES DIRECTEMENT OU INDIRECTEMENT AU CLIENT (IV)  EN CAS DE PERTE OU DE DETERIORATION DES DONNEES  CONFIEES  A ALE DANS LE CADRE DU SERVICE.

ETANT RAPPELE QU’ALE ASSURE DES SAUVEGARDES DES DONNEES DANS LE CADRE DU SERVICE, MAIS CELA NE SAURAIT DISPENSER LE CLIENT D’EFFECTUER UNE SAUVEGARDE COMPLETE DE SES DONNEES A DES FINS D’ARCHIVAGE.  IL EST RAPPELE A CET EGARD QU’IL EST DE LA RESPONSABILITE DU CLIENT DE S’ASSURER REGULIEREMENT DE L’ARCHIVAGE DES DONNEES DE SANTE ET DE LEUR CONSERVATION SUR UN SUPPORT INFALSIFIABLE CONFORMEMENT A LA REGLEMENTATION EN VIGUEUR.

ARTICLE 6 : PLAN DE REPRISE D’ACTIVITE ET PLAN DE CONTINUITE D’ACTIVITE

Des mécanismes et fonctionnalités permettent d’assurer la disponibilité et la continuité du Service. ALE rappelle que le Service établie et maintient un plan de continuité d’activité (PCA) ainsi qu’un plan de reprise d’activité (PRA).

Ces documents décrivent la nature des dispositifs, les activités de test des dispositifs réalisés par ALE ainsi que les conditions de déclenchement du PCA et du PRA.

Les valeurs de RTO (Objectif de délai de récupération) et RPO (Objectif de point de récupération) sont respectivement fixé à 48 heures et 24 heures.

ARTICLE 7 : Indicateur de qualité et performance

ALE fournit un service continu permettant d’avoir une vue de l’état du service et des opérations en cours via la site https://status.openrainbow.health/. Ces mesures sont prises en continu.

Le taux de disponiblité du service proposé est de 99,5%.

ALE ne propose pas de système de pénalités applicable en cas de non respect des objectifs de disponibilité.

ARTICLE 8 : AUDIT – CERTIFICATION HDS

8.1 Dans le cadre de l’organisation du Service, ALE a mis en place un système de management de la sécurité de l’information certifié HDS. ALE s’engage à maintenir cette certification (ou toute certification équivalente) pendant la durée du Contrat, et dans ce cadre, mandate chaque année un organisme accrédité pour réaliser un audit de suivi et tous les trois ans afin de délivrer la certification HDS. Cet organisme accrédité mandate un auditeur reconnu dans ce domaine, afin d’auditer le Service conformément aux dispositions du référentiel HDS.

8.2 Dans le cadre du référentiel HDS, le Client peut dans les conditions prévues de la procédure d’audit du Service réaliser ou faire réaliser à leur propre charge un audit portant sur le respect du référentiel HDS.

8.3 En cas de perte de sa Certification, ALE en informe sans délai le Revendeur Agréé qui en informe le Client. Dans une telle circonstance, le Client peut résilier de plein droit le Contrat et ce sans indemnité. Le Service étant conditionné à la certification HDS d’ALE, le Client reconnaît que toute perte de certification par ALE implique l’obligation pour lui de récupérer les Données de santé qu’il aurait échangées dans le cadre du Service.

Dans cette hypothèse, ALE s’engage à accompagner le Client pour la pleine récupération des Données de santé, dans les conditions prévues à l’article 8. Réversibilité.

8.4 ALE s’engage fournir, sur demande le dernier rapport d’audit de certification HDS par email à support@openrainbow.com

8.5 Le client peut demander à ALE de founir une synthèse managériale d’un rapport d’audit technique  portant sur les ressources mutualisées dans le cadre du service. Le rapport d’audit ne devra pas dater de plus de 3 ans.

ARTICLE 9: REVERSIBILITE

ALE assurera la restitution des Données au Client dans les trente (30) jours suivant la réception d’un ticket demandant la restitution des données, suite à une fin du Service c’est à dire la fin de votre Contrat d’Abonnement et ce quelle que soit la cause.

Pour la demande de restitution, le Revendeur Agréé s’engage à ouvrir un ticket auprès d’ALE sur le Business Portal afin de demander la restitution des données. Ce ticket aura pour objet « Reversibility HDS ». Les données seront restituées par ALE au Client dans les trente (30) jours.

A compter de la demande de la fin de Service pour le Client concerné, le Revendeur Agréé s’engage à ne modifier aucune des données et configurations de ce Client et à ne pas détruire la compagnie Rainbow créée dans l’environnement HDS.

Les modalités de récupération de leurs Données par le Client se fera dans un format de fichier numérique défini par ALE, lisible par le Client. Les DSCP et metadonnées seront fournies dans des formats ouvert. Les documents attachés conserveront leur format d’origine.

A cet effet, le Client mettra à disposition d’ALE un espace d’accueil sécurisé des données et définira avec ALE et le Revendeur Agréé les médias sécurisés à utiliser (courriel, texto, ..) afin d’échanger les informations de contrôle d’intégrité et de droits d’accès.

Le Client est informé qu’ALE procédera à la suppression de l’ensemble des Données que le Client aurait déposé sur le Service soixante (60) jours suivant la fin du Service.

A l’issue de cette période de soixante (60) jours, les données seront supprimées et ni ALE, ni le Revendeur Agréé ne pourront être tenus pour responsable d’un défaut de réconciliation des Données qui n’aurait pas été dûment détecté par le Client lors de la réversibilité. La vérification de la complète restitution des Données est sous la seule responsabilité du Client.

Sous réserve des données qu’ALE se doit de conserver conformément à la réglementation en vigueur et des données nécessaires à la défense de ses droits, ALE s’engage, à la fin des opérations de réversibilité, à ne conserver aucune copie des données concernées.

ALE ne facture pas de coûts en regard de la réversibilité dans la mesure ou les extractions et échanges ne prennent pas plus de trois (3) jours travaillés.  Si la durée devait être étendue du fait des volumes de données ou des ralentissements du fait du Client, ALE pourrait demander un paiement au temps passé au-delà des 3 jours. Cette règle ne s’appliquera pas dans le cas ou ALE serait responsable de la perte de sa certification HDS.

Liste des Annexes :
ANNEXE 1 – MESURES TECHNIQUES ET ORGANISATIONNELLES
ANNEXE 2 – FICHE POINT DE CONTACTS SERVICE RAINBOW HDS – CLIENT
ANNEXE 3 – LISTE DES SOUS-TRAITANTS
ANNEXE 4 – CERTIFICATS HDS

Document complet : SERVICE RAINBOW PAYANT HDS EN MODE UCaaS – Hébergement de Données Santé, Conditions particulières d'utilisation