Avenant RGPD
Article 1 – Traitements mis en oeuvre
1.1 Finalité de traitement
La société Glooko SAS déclare développer des applications mobiles pour smartphones et des plateformes web destinées aux patients atteints de diabète (les « Patients ») ainsi qu’aux médecins, professionnels de santé et/ou prestataires de santé à domicile (les “Utilisateurs Professionnels”) qui peuvent bénéficier des services de la plateforme de suivi de patients Glooko XT, anciennement DIABNEXT (ci-après « la plateforme »).
L’application mobile Glooko XT permet aux Patients de renseigner et centraliser, dans le cadre de l’auto-suivi de leur diabète, certaines données relatives à leur santé et à leur activité quotidienne, et d’interagir avec l’ensemble de la communauté des utilisateurs de l’application mobile Glooko XT (ci-après les « Services »).
L’application mobile Glooko XT peut également être utilisée à des fins de télésuivi et/ou de télésurveillance médicale au sens de la réglementation applicable, permettant alors aux Patients ayant expressément consenti à ce dispositif supplémentaire de partager avec leur médecin, professionnel de santé et/ou prestataires de santé à domicile les données relatives à leur santé et à leur activité quotidienne nécessaires au télésuivi et/ou à l’acte de télésurveillance et centralisées au sein de l’application mobile Glooko XT.
Dans la mesure où l’application mobile est principalement destinée aux personnes diabétiques, elle peut contenir des informations sur des sujets médicaux et liés à la santé. Toutefois, Glooko SAS n’est pas un professionnel de santé et, à ce titre, ne pratique pas la médecine et ne fournit pas de services ou conseils médicaux. Les informations contenues dans l’Application Mobile ne sauraient en aucun cas se substituer aux conseils d’un médecin ou d’un autre professionnel de santé.
La plateforme web pour les Utilisateurs Professionnels permet d’accéder aux données des Patients utilisant l’application mobile Glooko XT. Ce service est conçu pour permettre aux médecins, professionnels et/ou prestataires de services à domicile en charge du suivi du patient et au patient lui-même de gérer le suivi de son diabète. Elle permet d’accéder à distance aux données du patient présentes dans les serveurs de Glooko SAS hébergés par la société AWS Paris – 31 Pl. des Corolles, 92400 Courbevoie – hébergeur certifié de données de santé, conformément aux dispositions des articles L1111-8 et R. 1111-9 à R. 1111-15-1 du code de la santé publique.
Les services de la plateforme Glooko XT et l’application mobile sont utilisés à des fins de suivi du diabète des patients utilisateurs de l’application et de télésurveillance par les professionnels de santé habilités par le centre médical.
1.2 Catégorie des données collectées
De fait, la plateforme traite les données à caractère personnel suivantes :
– Données d’identification
– Données de contact
– Données de santé
1.3 Durée de conservation
Glooko SAS conserve les données à caractère personnel pendant toute la durée d’activation du compte personnel du Patient.
Le Patient a la possibilité de fermer son espace personnel à tout moment en adressant une demande par mail à Glooko SAS à l’adresse suivante : [email protected] ou en supprimant directement son compte depuis son espace personnel utilisateur.
Si le Patient utilise l’application mobile à des fins de télésurveillance médicale avec l’intervention d’un médecin, d’un professionnel de santé et/ou prestataire de santé à domicile :
Glooko SAS conservera les données à caractère personnel du Patient pendant une durée de 6 mois à compter de la fermeture du compte du Patient afin de permettre aux médecins, professionnels de santé et/ou prestataires de santé à domicile de pouvoir récupérer les données de santé du Patient et de pouvoir assurer son suivi médical sans l’utilisation de l’application mobile.
Une fois ce délai de 6 mois écoulé, Glooko SAS appliquera la politique d’archivage d’une durée de 24 mois puis supprimera ou anonymisera les données.
Article 2 – Responsabilités du Responsable de traitement et du Sous-Traitant
En sa qualité de Responsable de Traitement au sens de l’article 4 et 24 du Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données en date du 27 avril 2016 ci-après « RGPD », les Utilisateurs Professionnels sont Responsable de Traitement des données médicales des patients ayant recours aux services de Glooko XT. À ce titre, les Utilisateurs Professionnels doivent s’assurer que le traitement réalisé est conforme à la législation en matière de protection des données à caractère personnel. Glooko SAS en sa qualité de Sous-Traitant au sens du RGPD n’a pas vocation à déterminer les finalités et les moyens du traitement. La relation contractuelle est encadrée par l’article 28 du RGPD.
Les Utilisateurs Professionnels doivent également s’assurer que la télésurveillance du diabète respecte les articles R6316-1 et suivants du code de la santé publique ainsi que les référentiels de sécurité visés à l’article L1110-4-1 du même code.
Dans ce contexte, les Utilisateurs Professionnels gèrent les données à caractère personnel des patients utilisateurs de la solution Glooko XT et complète leur dossier médical en sa qualité de responsable de traitement.
Glooko SAS traite les données des patients et des professionnels de santé nécessaires au fonctionnement de la plateforme Glooko XT et fait appel à un hébergeur certifié de données de santé conformément à l’article L1111-8 du code de la santé publique.
Article 3 – Respect des obligations de sécurité informatique
Pour Glooko SAS, les seules personnes habilitées à accéder aux données Patients sont les membres de ses équipes techniques et de celles de son hébergeur de données de santé déclaré.
Pour les Utilisateurs Professionnels, seules les équipes de ce dernier pourront avoir accès aux données des Patients en accord avec leur politique interne concernant la protection des données à caractère personnel et des patients.
En tant que Sous-Traitant, Glooko SAS s’engage à présenter des garanties suffisantes quant à la mise en oeuvre de mesures de sécurité techniques et organisationnelles de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées, en particulier les mesures visées à l’article 32 du RGPD.
Glooko SAS s’engage à fournir des solutions conformes aux spécificités de l’article 2.3 du cahier des charges des expérimentations relatives à la prise en charge par télésurveillance du diabète mises en oeuvre sur le fondement de l’article 36 de la loi n°2013-1203 de financement de la Sécurité Sociale pour 2014, décrivant la solution technique et modifiée le 28 avril 2017, article intégré ci-dessous ainsi qu’inclus dans l’ANNEXE 2 de la présente convention.
Article 4 – Recrutement d’autres sous-traitants
Glooko SAS s’engage à ne pas recruter un autre sous-traitant sans l’autorisation écrite, préalable, spécifique ou générale du responsable de traitement. Dans le cas d’une autorisation écrite générale, Glooko SAS informera les Utilisateurs Professionnels de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi aux Utilisateurs Professionnels la possibilité d’émettre des objections à l’encontre de ces changements. Glooko SAS s’engage également à ne pas transférer de données hors de l’Union européenne.
Article 5 – Assistance
Glooko SAS s’engage à aider le responsable de traitement par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits.
Article 6 – Conformité RGPD
Glooko SAS s’engage à aider le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36. En particulier, Glooko SAS s’engage à notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais.
Glooko SAS s’engage à mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations en sa qualité de Sous-traitant prévues par le règlement susvisé et permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. Glooko SAS s’engage également à informer le responsable si une instruction constitue une violation du règlement ou une autre disposition relative à la protection des données.
Article 7 – Fin de prestation
Au choix du Patient ou des Utilisateurs Professionnels, Glooko SAS devra supprimer ou retourner l’intégralité des données à caractère personnel du patient après la fin de la prestation de services en lien avec les données à caractère personnel, et supprimer de ses serveurs toutes leurs copies existantes, sauf si la législation en matière de protection des données à caractère personnel exige leur conservation par Glooko SAS.
Les Utilisateurs Professionnels comprennent et reconnaissent que Glooko SAS pourra utiliser les données à caractère personnel dans un format anonymisé ou agrégé pendant la durée de la convention et après son terme pour la réalisation d’analyses, de statistiques ou de recherches scientifiques ainsi que pour l’amélioration du produit Glooko XT, de telle manière que les patients ne puissent être identifiés.