Conditions générales supplémentaires du contrat de cabinet

États-Unis | Canada | Royaume-Uni | Espagne | France

Conditions d'utilisation (États-Unis)

Les présentes conditions générales (« Conditions ») relatives au contrat de cabinet (« Contrat ») sont conclues entre Dandy (« Dandy »ou« nous ») et vous ainsi que votre cabinet dentaire (« Vous ») et prennent effet à la date de conclusion du contrat de cabinet (« Date d'entrée en vigueur »). Si vous acceptez les présentes Conditions au nom d’une entité, d’un partenariat, d’une société ou d’une organisation, le terme « vous » désigne à la fois vous-même, cette entité et tous les utilisateurs de ladite entité, et vous déclarez par les présentes que vous avez le pouvoir de lier tous ces utilisateurs. Dandy et vous-même serez désignés individuellement comme une « Partie » et collectivement comme les « Parties ». En contrepartie de la contrepartie valable et utile prévue dans le Contrat, les Parties conviennent de ce qui suit :

1. Modification. Les présentes Conditions et le Contrat ne peuvent être modifiés que si nous y consentons tous deux par écrit. Si Dandy apporte des modifications substantielles aux Conditions ou au Contrat, Dandy vous en informera. Toute modification substantielle prendra effet trente (30) jours après que nous vous en aurons informé, sauf si vous nous notifiez par écrit votre souhait de résilier le Contrat. Dans ce cas, la modification ne prendra pas effet et Dandy respectera les termes du Contrat existant pendant 60 jours ou jusqu'à ce que vous nous retourniez le scanner et tout autre équipement Dandy qui pourrait être en votre possession.
   
2. Intégralité de l'accord. Le contrat de cabinet, les présentes conditions générales, le contrat de partenariat commercial et la politique informatique relative au matériel fourni par le cabinet, le cas échéant, constituent l'intégralité de notre accord. Toute communication effectuée par tout autre moyen en dehors de ces documents n'a aucune valeur contraignante. Le présent accord remplace tout autre accord contradictoire que nous aurions pu conclure par le passé.
   
3. Interdiction de cession. Dandy conclut un partenariat avec vous ; vous ne pouvez donc pas transférer ou céder le Contrat et les Conditions à un tiers, sauf accord écrit de notre part.
   
4. Respect de la législation. Les deux parties s'engagent à respecter l'ensemble des lois et réglementations applicables en matière de santé aux États-Unis, notamment la loi HIPAA, entre autres.
   
5. Indemnisation. Vous vous engagez à indemniser, défendre et dégager Dandy de toute responsabilité à l'égard de toute réclamation, cause d'action, dommage, dette, responsabilité, perte, obligation, paiement, coût et dépense (y compris les frais juridiques) découlant de ou liés à : (a) votre manquement à l'une des clauses du Contrat, des présentes Conditions et/ou du Contrat de partenariat ; (b) votre violation de toute clause de tout accord entre vous et un patient, ou tout acte ou manquement par négligence, imprudence ou intentionnel concernant les soins que vous prodiguez à un patient ; (c) la fourniture par vous à Dandy d'informations, de scans, de documents ou de données incorrects ou incomplets, ou tout manquement à fournir en temps opportun à Dandy toute information qu'elle vous demande, à votre cabinet ou à l'un de vos dentistes ; et (d) toutes les relations avec les agences administratives fédérales, étatiques ou locales, les organismes de réglementation, les organismes d'agrément ou les organismes professionnels.
   
6. Arbitrage. Dandy espère que nous ne serons jamais confrontés à des désaccords importants concernant notre Contrat, les présentes Conditions générales et le Contrat de partenariat commercial, et Dandy préfère de loin résoudre tout désaccord de la manière la plus à l'amiable possible. L'objectif de Dandy est de travailler en étroite collaboration avec vous et sa mission est de soutenir votre cabinet. Si un litige survient que nous ne sommes pas en mesure de résoudre à l'amiable, nous nous engageons tous deux à le régler par voie d'arbitrage auprès de JAMS dans l'État de New York, conformément à la législation de l'État de New York.
7. Taxe sur la vente. Dandy facturera la taxe sur la vente, le cas échéant, sur ses produits, équipements et services en fonction de votre situation géographique. Le montant de la taxe sur la vente figurera sur votre facture mensuelle, et le paiement sera prélevé conformément aux modalités décrites dans les présentes ainsi que dans votre contrat de pratique. Si vous êtes exonéré de la taxe sur la vente, vous vous engagez à fournir à Dandy un certificat d'exonération valide et accepté par chaque autorité fiscale auprès de laquelle vous revendiquez ce statut d'exonération.
   

Accord de partenariat commercial

Le présent CONTRAT DE PARTENARIAT HIPAA (« Addendum ») prend effet à la date de conclusion du Contrat de cabinet (« Date d'entrée en vigueur ») entre le cabinet dentaire désigné dans ledit Contrat de cabinet (« Entité couverte ») et Dandy (« BA »).  Le présent Addendum, qui remplace tout accord de partenariat commercial antérieur entre les parties, modifie, complète et fait partie intégrante de l'Accord de pratique conclu entre l'Entité couverte et le BA, tel qu'il peut être modifié de temps à autre (l'« Accord »).

CONSIDÉRANTS

CONSIDÉRANT QUE l'entité concernée est une « entité concernée » au sens où ce terme est défini à l'article 45 C.F.R. § 160.103 ;

CONSIDÉRANT QUE BA peut, pour le compte de l'Entité concernée, créer, recevoir, conserver ou transmettre certaines informations médicales protégées (telles que définies ci-dessous) afin de fournir des services à l'Entité concernée conformément au Contrat ;

CONSIDÉRANT que l'entité concernée est soumise aux exigences en matière de simplification administrative prévues par la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act) et aux règlements pris en application de celle-ci, y compris les normes relatives à la confidentialité des informations de santé identifiables individuellement et les normes de sécurité pour la protection des informations de santé protégées sous forme électronique, telles que définies aux parties 160 et 164 du titre 45 du Code des règlements fédéraux (collectivement dénommées« règlements en matière de confidentialité et de sécurité ») ;

CONSIDÉRANT que le règlement sur la confidentialité et la sécurité impose à l'entité concernée de conclure un contrat avec le sous-traitant afin de garantir certaines mesures de protection de la confidentialité et de la sécurité des informations de santé protégées, et que ce règlement interdit la divulgation d'informations de santé protégées par l'entité concernée au sous-traitant si un tel contrat n'est pas en vigueur ;

ATTENDU QUE le présent avenant ne s'applique que dans le cas où BA répondrait, en ce qui concerne l'entité couverte, à la définition de « partenaire commercial » énoncée à l'article 45 C.F.R. § 160.103.

Compte tenu de ce qui précède, et en contrepartie d'autres contreparties valables et utiles, dont la réception et l'adéquation sont par la présente reconnues, les parties conviennent de ce qui suit :

1. Définitions

1. Le terme « violation »a le sens qui lui est donné à l'article 45 C.F.R. § 164.402, tel qu'il s'applique aux informations médicales protégées (PHI) non sécurisées créées, reçues, conservées ou transmises par le sous-traitant (BA) pour le compte ou au nom de l'entité concernée.
2. Le terme« informations de santé protégées sous forme électronique »(ou« ePHI ») désigne les informations de santé protégées sous forme électronique telles que définies à l'article 45 C.F.R. § 160.103, tel qu'il s'applique aux informations créées, reçues, conservées ou transmises par le sous-traitant (BA) pour le compte de l'entité concernée.
3. Le terme« informations médicales protégées »ou« PHI »a le sens qui lui est donné à l'article 45 C.F.R. § 160.103, tel qu'il s'applique aux informations créées, reçues, conservées ou transmises par BA par l'entité concernée ou pour le compte de celle-ci.
4. On entend par« événement à signaler »: (1) toute utilisation ou divulgation de données médicales protégées (PHI) non prévue par le présent avenant ; (2) tout incident de sécurité ; (3) toute violation de données médicales protégées non sécurisées ; ou (4) tout incident lié aux données impliquant des données médicales protégées (PHI) pour lequel une notification de violation de données est requise en vertu de la législation étrangère, fédérale ou étatique applicable.
5. Le terme « Services »désigne les services fournis par BA à l'Entité concernée, tels que définis dans le Contrat.
6. Le terme« incident de sécurité »a le sens qui lui est donné à l'article 45 C.F.R. § 164.304, tel qu'il s'applique aux données de santé protégées électroniques (ePHI) créées, reçues, conservées ou transmises par le sous-traitant (BA) pour le compte de l'entité concernée.

Les termes utilisés dans le présent addendum sans avoir été définis autrement ont la même signification que celle qui leur est donnée dans la réglementation relative à la confidentialité et à la sécurité, y compris, sans s'y limiter, les articles 160.103 et 164.501 du titre 45 du Code of Federal Regulations (C.F.R.). En cas de divergence dans la définition d'un terme, il convient de privilégier la signification qui permet de se conformer à la loi HIPAA.

2. Utilisations et divulgations autorisées des informations médicales protégées

Sous réserve des restrictions prévues dans le présent avenant ou dans le contrat, BA peut prendre l'une ou l'ensemble des mesures suivantes :

1. Utilisation et divulgation en vertu du Contrat. Utiliser ou divulguer des informations médicales protégées (PHI) afin d'exercer des fonctions, des activités ou de fournir des services pour le compte ou au nom de l'Entité concernée, dans la mesure autorisée par le Contrat, à condition que cette utilisation ou cette divulgation ne constitue pas une violation de la Règle de confidentialité ou de toute loi étatique applicable si elle était effectuée par l'Entité concernée.  Nonobstant ce qui précède, le BA peut utiliser et divulguer les PHI aux fins identifiées aux paragraphes (2), (3) et (5) de la présente section 2, même si l'Entité couverte ne pouvait pas le faire en vertu de la Règle de confidentialité.
2. Utilisation à des fins administratives ou pour l'exercice des responsabilités légales. Utiliser les informations médicales protégées (PHI), mais uniquement dans la mesure strictement nécessaire, pour la bonne gestion et l'administration de BA, pour les procédures de recouvrement de créances de BA, ou pour l'exercice des responsabilités légales de BA.
3. Divulgation à des fins administratives ou pour l'exécution d'obligations légales. Divulguer les informations médicales protégées (PHI), mais uniquement dans la mesure strictement nécessaire, pour la bonne gestion et l'administration de BA ou pour l'exécution des obligations légales de BA, à condition que :
   1. Ces informations doivent être communiquées en vertu de la loi ; ou
   2. BA obtient de la part du tiers auquel les informations médicales protégées sont communiquées l'assurance raisonnable que ces informations resteront confidentielles et ne seront utilisées ou divulguées à nouveau que dans la mesure où la loi l'exige ou aux fins pour lesquelles elles lui ont été communiquées (ces fins devant être conformes aux restrictions imposées à BA en vertu du présent avenant), et ce tiers s'engage à informer sans délai BA de tout cas dont il aurait connaissance et dans lequel la confidentialité des informations aurait été compromise.
4. Utilisation aux fins de signalement d'infractions. Utiliser les informations médicales protégées (PHI) pour signaler les infractions à la loi aux autorités fédérales, étatiques et locales compétentes, conformément à l'article 45 C.F.R. § 164.502(j).
5. Utilisation dans le cadre de services d'agrégation de données. Utiliser les informations médicales protégées (PHI) pour fournir des services d'agrégation de données liés aux activités de soins de santé de l'entité concernée, conformément aux dispositions du 45 C.F.R. §164.504(e)(2)(i)(B).
6. Données anonymisées. Utiliser les informations médicales protégées (PHI) pour créer des données anonymisées conformément aux articles 164.502(d) et 164.514(a) à (c) du titre 45 du Code of Federal Regulations (CFR).

3. Obligations du partenaire commercial

1. Limité par le contrat et la loi. BA ne peut utiliser ou divulguer les informations médicales protégées (PHI) que dans les cas autorisés ou requis par le présent avenant et le contrat, ou lorsque la loi l'exige.
2. Respect de la loi HIPAA. Dans la mesure où le sous-traitant est chargé d'exécuter une obligation incombant à l'entité concernée en vertu de la loi HIPAA conformément au présent avenant ou au contrat, il se conformera aux exigences de la loi HIPAA applicables à l'entité concernée dans l'exécution de cette obligation.
3. Mesures de protection appropriées pour les informations médicales protégées. BA mettra en place et maintiendra des mesures de protection appropriées afin d'empêcher toute utilisation ou divulgation des informations médicales protégées d'une manière autre que celle autorisée par le contrat et le présent avenant. 

4. Événements à déclarer

1. Recours à des sous-traitants. Si BA communique des informations médicales protégées (PHI) à un sous-traitant ou autorise un sous-traitant à créer, recevoir, conserver ou transmettre des PHI pour son compte, BA exigera du sous-traitant qu’il signe un accord écrit l’engageant à respecter toutes les dispositions du présent avenant. Si BA constate un comportement ou une pratique récurrent(e) de la part d'un sous-traitant qui constituerait une violation substantielle de l'accord écrit conclu entre BA et ce sous-traitant, BA prendra des mesures raisonnables pour remédier à cette violation ou y mettre fin, selon le cas, ou résiliera ledit accord écrit avec ce sous-traitant.
2. Mise à disposition des pratiques internes, des livres et des registres aux autorités publiques. BA s'engage à mettre à la disposition du secrétaire du ministère américain de la Santé et des Services sociaux ses pratiques internes, ses livres et ses registres relatifs à l'utilisation et à la divulgation des informations médicales protégées (PHI) reçues de l'entité concernée, ou créées ou reçues par BA pour le compte de celle-ci, afin de déterminer la conformité de l'entité concernée à la loi HIPAA. Aucun privilège avocat-client, comptable-client ou autre privilège juridique ne sera réputé avoir été levé par BA du fait de la conformité de BA à la présente disposition.
3. Accès aux informations médicales protégées (PHI) et modification de celles-ci. Dans la mesure où le sous-traitant conserve des informations médicales protégées (PHI) dans un ensemble de dossiers désigné, il doit : (a) mettre les informations médicales protégées spécifiées par le partenaire à la disposition de la ou des personnes identifiées par l'entité concernée comme étant habilitées à accéder à ces informations, et (b) apporter les modifications à ces informations médicales protégées contenues dans un ensemble de dossiers désigné, conformément aux instructions ou à l'accord de l'entité concernée. Le BA doit fournir cet accès et intégrer ces modifications dans les délais et selon les modalités spécifiés par l'Entité couverte, conformément aux exigences des articles 45 C.F.R. § 164.524, § 164.526 et de la législation applicable de l'État.
4. Relevé des divulgations. À la demande de l'entité concernée, BA fournira à celle-ci un relevé des divulgations des informations médicales protégées (PHI) d'une personne, dans les délais et selon les modalités prévus par l'article 45 C.F.R. § 164.528 et, à compter de la date d'entrée en vigueur applicable, par l'article 13405(c) de la loi HITECH ainsi que par toute réglementation adoptée en vertu de celle-ci.
5. Minimum nécessaire. BA s'engage à respecter les exigences de « minimum nécessaire » prévues par la loi HIPAA.
6. Communication avec d'autres partenaires commerciaux. Dans le cadre de la prestation de ses services, de ses activités et/ou de ses fonctions pour le compte ou au nom de l'Entité concernée, le Partenaire commercial peut communiquer des informations, y compris des informations médicales protégées (PHI), à d'autres partenaires commerciaux de l'Entité concernée.  De même, le partenaire commercial peut utiliser et divulguer des informations, y compris des PHI, reçues d'autres partenaires commerciaux de l'entité couverte, comme si ces informations avaient été reçues de l'entité couverte ou provenaient de celle-ci. Les parties conviennent qu'il incombe à l'entité couverte de conclure et de maintenir des accords de partenariat commercial avec ses autres partenaires commerciaux.
7. BA est tenue de signaler à l'entité concernée tout événement devant faire l'objet d'une déclaration dont elle a connaissance. Ces signalements doivent être effectués sans retard injustifié et, en tout état de cause, au plus tard quinze (15) jours ouvrables après la découverte par BA d'un événement devant faire l'objet d'une déclaration.
8. BA coopérera avec l'entité concernée dans le cadre de l'enquête sur un événement à signaler et aidera cette dernière à déterminer si un événement à signaler constitue une violation de données médicales protégées non sécurisées.
9. BA s'engage à atténuer, dans la mesure du possible, tout effet préjudiciable d'un événement à signaler dont elle a connaissance.
10. Les parties reconnaissent et conviennent que la présente section constitue une notification adressée par BA à l'Entité concernée concernant l'existence et la survenue d'incidents de sécurité avérés mais infructueux qui n'entraînent pas d'accès non autorisé aux informations médicales protégées (PHI), ni leur utilisation, perte, modification, destruction ou divulgation, tels que les pings et autres attaques par diffusion sur le pare-feu de BA, les analyses de ports, les tentatives de connexion infructueuses, les attaques par déni de service infructueuses, ou toute combinaison de ces éléments.

5. Obligations de l'entité concernée

1. Avis relatif aux pratiques en matière de confidentialité. L'entité concernée doit informer BA par écrit de toute restriction figurant dans son avis relatif aux pratiques en matière de confidentialité, dans la mesure où ces restrictions sont susceptibles d'affecter l'utilisation ou la divulgation des informations médicales protégées (PHI) par BA.
2. Notification des révocations. L'entité concernée doit notifier par écrit à BA toute modification ou révocation de l'autorisation donnée par une personne physique d'utiliser ou de divulguer des informations médicales protégées, dans la mesure où ces modifications ou cette révocation sont susceptibles d'affecter l'utilisation ou la divulgation de ces informations par BA.
3. Notification des restrictions. L'Entité concernée doit notifier par écrit à BA toute restriction relative à l'utilisation ou à la divulgation des DMP à laquelle elle a consenti ou qu'elle est tenue de respecter conformément à l'article 45 C.F.R. § 164.522, dans la mesure où cette restriction est susceptible d'affecter l'utilisation ou la divulgation des DMP par BA.
4. Demandes autorisées. L'entité concernée ne doit pas demander au sous-traitant d'utiliser ou de divulguer des informations médicales protégées d'une manière qui ne serait pas autorisée en vertu de la loi HIPAA ou d'autres lois fédérales ou étatiques applicables si cette action était effectuée par l'entité concernée.

6. Durée et résiliation

1. Durée. La durée du présent avenant correspond à celle du contrat, mais prendra fin dès la première occurrence de l'un des événements suivants :
   1. Le contrat arrive à expiration ou est résilié, avec ou sans motif ; 
   2. Le présent avenant est résilié pour motif valable, conformément à la section 5.2 ci-dessous ; 
   3. les parties conviennent d'un commun accord de mettre fin au présent avenant ; ou
   4. Le présent avenant est résilié conformément à la législation fédérale, étatique ou locale applicable. 
2. Licenciement pour motif valable.
   1. Si l'Entité concernée constate que BA a enfreint une clause essentielle du présent Avenant, elle lui adressera une notification écrite suffisamment détaillée pour permettre à BA de comprendre la nature précise de cette violation et lui donner la possibilité d'y remédier ; toutefois, si BA ne remédie pas à cette violation dans les trente (30) jours suivant la réception de cette notification, l'Entité concernée pourra résilier le présent Avenant ainsi que le Contrat. 
   2. Si BA constate une violation d'une clause essentielle du présent avenant par l'Entité concernée, BA adressera à cette dernière une notification écrite de ladite violation, suffisamment détaillée pour permettre à l'Entité concernée de comprendre la nature précise de cette violation et lui donner la possibilité d'y remédier ; à condition toutefois que, si l'Entité concernée ne remédie pas à cette violation dans les trente (30) jours suivant la réception de cette notification, BA puisse résilier le présent Avenant et le Contrat.
3. Effet de la résiliation
   1. Sous réserve des dispositions de la section 5.3(b) ci-dessous, en cas de résiliation du présent avenant pour quelque raison que ce soit, BA devra restituer ou détruire toutes les informations médicales protégées (PHI) qu'elle détient encore, sous quelque forme que ce soit. BA ne conservera aucune copie de ces informations médicales protégées. 
   2. Si la restitution ou la destruction de tout ou partie des informations médicales protégées (PHI) n'est pas possible, le sous-traitant doit :
      1. Ne conserver que les informations médicales protégées (PHI) qu'il n'est pas possible de restituer ou de détruire ;
      2. Les restituer à l'entité concernée ou détruire les informations médicales protégées (PHI) restantes que le sous-traitant conserve encore sous quelque forme que ce soit ;
      3. étendre les protections prévues par le présent avenant à toutes les données médicales protégées (PHI) conservées, continuer à appliquer les mesures de sécurité appropriées et se conformer à la règle de sécurité en ce qui concerne les données médicales protégées électroniques (ePHI), afin d'empêcher toute utilisation ou divulgation des données médicales protégées conservées autre que celle prévue dans le présent avenant, tant que le sous-traitant conserve ces données ;
      4. ne pas utiliser ni divulguer les informations médicales protégées (PHI) conservées par BA à d'autres fins que celles pour lesquelles elles ont été conservées, et ce, sous réserve des mêmes conditions énoncées dans le présent avenant qui s'appliquaient avant la résiliation ; et
      5. Restituer les données à l'entité concernée ou détruire les informations médicales protégées conservées par le sous-traitant dès que cela sera possible.
   3. Ces dispositions s'appliquent aux informations médicales protégées (PHI) détenues par les sous-traitants ou les mandataires de BA.
   4. La présente section 5.3 restera en vigueur après la résiliation du présent avenant. 

7. Divers

1. Références réglementaires. Toute référence, dans le présent avenant, à une section de la loi HIPAA désigne ladite section telle qu’elle est en vigueur ou telle qu’elle a été modifiée au moment de la signature ou de la modification du présent avenant.
2. Modification ; absence de renonciation. À compter de la date d'entrée en vigueur de toute loi fédérale modifiant ou élargissant la loi HIPAA, toute directive ou tout règlement provisoire, provisoire définitif ou définitif promulgué en vertu de la loi HIPAA, ou en vertu de toute loi fédérale modifiant ou étendant la loi HIPAA (collectivement, les «Règlements HIPAA ») qui s'appliquent au présent Addendum, ou toute modification des Règlements HIPAA, le présent Addendum sera automatiquement modifié de manière à ce que les obligations imposées à l'Entité couverte et au BA restent conformes à ces exigences, sauf accord contraire des parties par consentement mutuel.  Les parties prendront toutes les mesures nécessaires pour refléter expressément ces modifications automatiques apportées au présent Avenant de temps à autre. Sauf disposition contraire du présent paragraphe (B), aucune renonciation, modification ou amendement d’une disposition du présent Avenant ne sera valable s’il n’est pas consigné par écrit et signé par les parties aux présentes.  Le fait pour l'une ou l'autre des parties de ne pas exiger, à un moment quelconque, l'exécution stricte d'une condition, d'une promesse, d'un accord ou d'une entente énoncés dans les présentes ne saurait être interprété comme une renonciation ou un abandon du droit d'exiger l'exécution stricte de cette même condition, promesse, accord ou entente à une date ultérieure.
3. Interprétation. Toute ambiguïté contenue dans le présent avenant sera résolue en faveur d'une interprétation permettant le respect de la loi HIPAA. Les titres et rubriques figurant au début de chaque section du présent document sont insérés uniquement à des fins de référence et ne doivent en aucun cas être considérés comme faisant partie intégrante du présent avenant ou comme une limitation de la portée de la disposition spécifique à laquelle ils se rapportent.  En cas de contradiction entre les dispositions du présent avenant et les dispositions obligatoires de la loi HIPAA, telles qu'elles peuvent être expressément modifiées de temps à autre par le secrétaire, ou à la suite d'interprétations du secrétaire, d'un tribunal ou d'une autre autorité de régulation ayant compétence sur les parties, l'interprétation du secrétaire, dudit tribunal ou de ladite autorité de régulation prévaudra.
4. Relation avec les dispositions du contrat. En cas de contradiction entre une disposition du présent avenant et une disposition du contrat, la disposition du présent avenant prévaudra. Dans tous les autres cas, le présent avenant sera interprété à la lumière et conformément aux termes du contrat.
5. Nature de la relation entre les parties. Les parties au présent avenant sont des prestataires indépendants. Aucune des dispositions du présent avenant n'a pour objet de créer, ni ne doit être interprétée comme créant, une relation entre l'Entité concernée et BA autre que celle de prestataires indépendants. Sauf disposition contraire expressément prévue dans les présentes, aucune des parties, ni aucun de ses représentants, ne sera considéré comme l'agent, l'employé ou le représentant de l'autre partie.
6. Absence de tiers bénéficiaires. Le présent avenant est conclu entre les parties aux présentes. Aucune disposition expresse ou implicite du présent avenant n'a pour objet de conférer, ni ne confère, des droits, des recours, des obligations ou des responsabilités de quelque nature que ce soit à toute personne autre que l'Entité couverte et BA, ainsi qu'à leurs successeurs et ayants droit respectifs.
7. Disposition invalide ou inapplicable. Les dispositions du présent avenant sont divisibles. L'invalidité ou l'inapplicabilité d'une disposition particulière ou d'une partie d'une telle disposition du présent avenant sera considérée, à tous égards, comme si cette disposition ou partie de disposition invalide ou inapplicable avait été omise, et n'affectera pas la validité et l'applicabilité des autres dispositions du présent avenant ou des autres parties de cette disposition.
8. Cession. Les droits et obligations des parties en matière de cession du présent avenant sont soumis aux dispositions relatives à la cession prévues dans le contrat. Si le contrat ne contient pas de disposition relative à la cession, aucune des parties ne peut céder ses droits ni déléguer ses devoirs ou obligations au titre du présent avenant sans le consentement écrit préalable de l'autre partie, lequel ne peut être refusé sans motif valable.  Le présent avenant lie les parties aux présentes et leurs successeurs respectifs, et s'applique à leur profit.
9. Droit applicable. Le présent avenant sera interprété, appliqué et régi par le droit applicable prévu dans le contrat, sauf dans la mesure où celui-ci est supplanté par le droit fédéral applicable. Si le contrat ne précise pas le droit applicable, le présent avenant sera interprété, appliqué et régi par les lois de l'État de New York, sauf dans la mesure où celles-ci sont supplantées par le droit fédéral applicable.
10. Notifications. Toute notification prévue par les présentes doit être faite par écrit et remise en mains propres, envoyée par courrier ou transmise de toute autre manière convenue entre les parties, à l'adresse suivante :

À l'attention de l'entité concernée: adresse e-mail du cabinet indiquée dans le contrat de prestation

À BA: Dandy

À l'attention du service juridique

11 Park Place, bureau 502

New York, NY 10007

[email protected]

Chaque partie se réserve le droit de modifier l'adresse de réception des notifications pendant la durée du présent avenant, moyennant notification écrite adressée aux autres parties.

1. Exemplaires. Le présent avenant peut être signé en plusieurs exemplaires distincts, dont aucun ne doit nécessairement comporter les signatures des deux parties ; chacun de ces exemplaires, une fois signé, sera considéré comme un original, et l'ensemble de ces exemplaires constituera un seul et même acte.

Politique informatique relative au matériel fourni par le cabinet

Cette politique s'applique uniquement aux cabinets qui utilisent leur propre ordinateur portable et leur propre scanner dans le cadre de leur collaboration avec Dandy.

Politique relative aux systèmes standard :

Afin de garantir la qualité et la cohérence des dossiers transmis à Dandy Labs, vous vous engagez à respecter les exigences suivantes concernant votre infrastructure informatique :

1. Vous vous engagez à utiliser exclusivement le scanner intra-oral 3Shape TRIOS 3, TRIOS 4 ou TRIOS 5.
2. Vous vous engagez à fournir une connexion Wi-Fi stable d'au moins 15 Mbps en débit montant et 15 Mbps en débit descendant dans tous les lieux où des dossiers sont soumis.
3. Vous vous engagez à utiliser un ordinateur équipé du scanner intra-oral 3Shape répondant aux configurations système suivantes :
4. Configuration minimale pour PC :

• Processeur : i7-10850H
• Mémoire : 16 Go DDR4
• Disque dur : 256 Go
• Carte graphique : Quadro T1000 (4 Go)
• Système d'exploitation : Windows 11 Pro

Configuration PC recommandée :

• Processeur : i7 12850HX
• Mémoire : 32 Go DDR5
• Disque : SSD de 1 To
• Carte graphique : NVIDIA® A3000
• Système d'exploitation : Windows 11 Pro
• Dispose d'une webcam opérationnelle

1. Vous acceptez de mettre à jour le logiciel Trios vers la version 1.7.19.1 au minimum.
2. Vous acceptez d'enregistrer et de transmettre tous les dossiers vers le stockage local de l'ordinateur.
3. Vous acceptez d'accorder à l'équipe du service client de Dandy un accès EasyAccess à Splashtop à l'aide d'un mot de passe partagé convenu d'un commun accord, qui restera valable pendant toute la durée de la relation.
4. Vous acceptez d'installer DandyUploader dans le profil d'un utilisateur local et d'utiliser ce profil local dans le cadre de votre utilisation du logiciel TRIOS.
5. Si vous utilisez un logiciel antivirus, vous acceptez d'autoriser l'accès au chemin d'accès suivant :

• C:\Utilisateurs\Dandy\AppData\Roaming\DandyUploader
• C:\Utilisateurs\Dandy\AppData\Roaming\@orthly
• C:\Program Files\Chairside
• C:\Program Files\DandyUploader
• C:\Program Files\UploaderMedit

6. Si votre cabinet dispose d'un pare-feu réseau, qu'il soit physique ou en ligne, veuillez autoriser tout le trafic provenant des domaines suivants :

• *.meetdandy.com
• orthly.com
• *.orthly.com
• dandyserv.net
• *.dandyserv.net
• *dandy.dental
• .api.splashtop.com
  • Port 443
  • Autoriser à la fois le protocole HTTP sur TLS et les protocoles autres que HTTP sur TLS

Conditions d'utilisation pour le Canada, y compris l'accord sur la confidentialité des données

Les présentes conditions générales (« Conditions ») relatives au contrat de cabinet (« Contrat ») sont conclues entre Zima Labs Canada, ULC, exerçant sous le nom commercial Dandy (« Dandy »ou« nous ») et vous ainsi que votre cabinet dentaire (« Vous ») et prennent effet à la date de conclusion du contrat de cabinet (« Date d'entrée en vigueur »). Si vous acceptez les présentes Conditions au nom d’une entité, d’un partenariat, d’une société ou d’une organisation, le terme « vous » désigne à la fois vous-même, cette entité et tous les utilisateurs de ladite entité, et vous déclarez par les présentes que vous avez le pouvoir de lier tous ces utilisateurs. Dandy et vous-même serez désignés individuellement comme une « Partie » et collectivement comme les « Parties ». En contrepartie de la contrepartie valable et utile prévue dans le Contrat, les Parties conviennent de ce qui suit :

1. Modification. Les présentes Conditions et le Contrat ne peuvent être modifiés sans l'accord écrit des deux parties. Si Dandy apporte des modifications substantielles aux Conditions ou au Contrat, Dandy vous en informera. Toute modification substantielle prendra effet trente (30) jours après que nous vous en aurons informé, sauf si vous nous notifiez par écrit votre souhait de résilier le Contrat. Dans ce cas, la modification ne prendra pas effet et Dandy respectera les termes du Contrat existant pendant 60 jours ou jusqu’à ce que vous nous retourniez le scanner et tout autre équipement Dandy qui pourrait être en votre possession.
2. Intégralité de l'accord. Le contrat de cabinet, les présentes conditions générales, l'accord sur la confidentialité des données et la politique informatique relative au matériel fourni par le cabinet, le cas échéant, constituent l'intégralité de notre accord. Toute communication effectuée par tout autre moyen en dehors de ces documents n'a aucune valeur contraignante. Le présent accord remplace tout autre accord contradictoire que nous aurions pu conclure par le passé.
3. Interdiction de cession. Dandy conclut un partenariat avec vous ; vous ne pouvez donc pas transférer ou céder le Contrat et les Conditions à un tiers, sauf accord écrit de notre part.
4. Respect de la législation. Les deux parties s'engagent à respecter l'ensemble des lois et règlements applicables en matière de santé au Canada, y compris, entre autres, les lois fédérales et provinciales applicables en matière de protection des données.
5. Indemnisation. Vous vous engagez à indemniser, défendre et dégager Dandy de toute responsabilité face à toute réclamation, cause d’action, tout dommage, dette, responsabilité, perte, obligation, paiement, coût et dépense (y compris les frais juridiques) découlant de ou liés à : (a) votre manquement à l’une des clauses du Contrat, des présentes Conditions et/ou de l’Accord sur la confidentialité des données ; (b) votre violation de toute clause de tout accord entre vous et un patient, ou tout acte ou manquement par négligence, imprudence ou intentionnel concernant les soins que vous prodiguez à un patient ; (c) la fourniture par vous à Dandy d’informations, de scans, de documents ou de données incorrects ou incomplets, ou tout manquement à fournir en temps opportun à Dandy toute information qu’elle vous demande, à votre cabinet ou à l’un de vos dentistes ; et (d) toutes les relations avec les agences administratives fédérales, étatiques ou locales, les organismes de réglementation, les organismes d’octroi de licences ou les organismes professionnels.
6. Arbitrage. Dandy espère que nous ne serons jamais confrontés à des désaccords importants concernant notre Contrat, les présentes Conditions générales et l’Accord sur la confidentialité des données, et Dandy préfère de loin résoudre tout désaccord de la manière la plus à l’amiable possible. L'objectif de Dandy est de travailler en étroite collaboration avec vous et sa mission est de soutenir votre cabinet. Si un litige survient que nous ne sommes pas en mesure de résoudre à l'amiable, nous nous engageons tous deux à le régler par voie d'arbitrage auprès de l'Association canadienne d'arbitrage à Toronto, conformément à la législation de l'Ontario. La langue de l'arbitrage sera l'anglais.
7. Taxe sur les ventes. Dandy facturera la taxe de vente, le cas échéant, sur ses produits, équipements et services en fonction de votre situation géographique. Le montant de la taxe de vente figurera sur votre facture mensuelle, et le paiement sera prélevé conformément aux dispositions des présentes ainsi qu'à celles de votre contrat de pratique. Si vous êtes exonéré de la taxe de vente, vous vous engagez à fournir à Dandy un certificat d'exonération valide et acceptable par chaque autorité fiscale auprès de laquelle vous revendiquez ce statut d'exonération.
8. Les parties reconnaissent et conviennent que, dans la mesure où Dandy recevra et traitera des informations de santé personnelles pour le compte de la contrepartie, un accord sur la confidentialité des données (ci-après dénommé « DPA ») constitue une partie intégrante et obligatoire du présent contrat. Le DPA, joint en annexe A, définit les obligations des parties en matière de collecte, d'utilisation, de divulgation et de protection des informations personnelles et des informations de santé personnelles. La Contrepartie reconnaît et accepte qu'elle ne fournira aucune information de santé personnelle à Dandy tant que le DPA n'aura pas été signé par les deux Parties.

Annexe A – Accord sur la confidentialité des données

Le présent accord sur la protection des données (« DPA ») s'applique à la relation (« accord ») entre Dandy et vous ainsi que votre cabinet dentaire (« partie adverse ») et est intégré par référence lorsque les lois applicables (définies ci-dessous) régissent l'utilisation des services par la partie adverse et le traitement des données à caractère personnel. Le présent DPA garantit que le traitement des données à caractère personnel par Dandy est conforme aux lois applicables. 

Les termes en majuscules qui ne sont pas définis dans le présent document ont le sens qui leur est donné dans le Contrat.

1. Définitions

Le terme « lois applicables »désigne l'ensemble des lois, règlements et directives réglementaires applicables au traitement des renseignements personnels dans le cadre du présent accord sur le traitement des données (ATD), y compris la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et, en ce qui concerne spécifiquement les renseignements médicaux personnels, la Loi de 2004 sur les renseignements médicaux personnels de l'Ontario (LRMPA) ainsi que toute autre loi provinciale applicable en matière de protection de la vie privée.

On entend par« violation de données »tout accès, utilisation ou divulgation non autorisés de renseignements médicaux personnels détenus ou contrôlés par Dandy, et qui présentent un risque réel de préjudice grave pour la personne concernée, au sens de la PHIPA. Cela inclut la perte effective, le vol, l’indisponibilité ou l’utilisation abusive de renseignements personnels, ainsi que tout accès, utilisation, divulgation ou traitement illicite ou non autorisé de ces renseignements, ou toute violation effective ou présumée des dispositions du présent accord ou des lois applicables.

On entend par« renseignements personnels »les informations permettant d'identifier une personne, sous forme orale ou enregistrée, telles que définies par la PHIPA, qui sont collectées, utilisées ou communiquées dans le cadre de la prestation de soins de santé, y compris, sans s'y limiter, les numéros de carte de santé, les informations relatives aux traitements et les dossiers dentaires.

désigne toute information relative à une personne identifiée ou identifiable, telle que définie par les lois applicables en matière de protection des données au Canada, y compris la LPRPDE et toute loi provinciale applicable en matière de protection de la vie privée.

2. Portée et objectif

Dandy s'engage à traiter les données à caractère personnel uniquement pour le compte de la partie adverse et conformément à ses instructions écrites, sauf lorsque la législation applicable l'exige.

Dandy ne traitera pas les données à caractère personnel à d'autres fins que celles liées à la prestation des services décrits dans le contrat, ou à toute autre fin expressément autorisée par la partie adverse.

3. Obligations de Dandy

Dandy s'engage à respecter l'ensemble des lois applicables en matière de traitement des données à caractère personnel. Dandy traitera les données à caractère personnel de manière confidentielle et ne les divulguera qu'à ses employés ou sous-traitants soumis à des obligations de confidentialité contraignantes concernant ces données (et dont l'utilisation de ces données est liée à leurs fonctions professionnelles), et veillera à ce que ces personnes ne traitent les données à caractère personnel que sur instruction de la partie adverse et conformément au contrat (y compris le présent ATD).  Dandy s'assurera que l'ensemble du personnel autorisé à traiter des données à caractère personnel est soumis à des obligations de confidentialité et a reçu une formation appropriée en matière de protection des données.

Si des sous-traitants sont engagés, Dandy conclura un contrat avec ces derniers afin de s'assurer qu'ils respectent le présent accord sur le traitement des données (DPA) et les lois applicables. Dandy sera responsable envers la partie adverse de tout manquement au contrat résultant d'un acte, d'une erreur ou d'une omission du sous-traitant, dans la même mesure où Dandy serait responsable de ses propres actes, erreurs ou omissions.

Dandy s'engage à ne pas transférer de données à caractère personnel en dehors du Canada et des États-Unis sans le consentement écrit préalable de la partie adverse.

Dandy fournira à la contrepartie toute l'assistance raisonnablement nécessaire pour répondre à toute demande émanant d'une personne physique visant à accéder à ses données à caractère personnel, à les corriger, à les modifier ou à les supprimer. Toute demande de ce type sera transmise par Dandy à la Contrepartie, en tant que dépositaire des informations de santé personnelles, ou relative au traitement des informations personnelles de la personne de quelque manière que ce soit, sera transmise par Dandy à la Contrepartie et Dandy ne prendra aucune mesure concernant une telle demande en l'absence d'instructions de la Contrepartie, sauf dans la mesure requise par la loi ; 

Dandy informera la partie adverse, dans un délai raisonnable, de toute divulgation prévue des données à caractère personnel requise par la loi, à moins que cette notification ne soit contraire aux lois applicables. Si un service chargé de l'application de la loi adressait une demande à Dandy ou à ses sous-traitants concernant des données à caractère personnel, Dandy s'efforcerait de rediriger cette demande vers la partie adverse.  

Dandy informera la partie adverse de toute notification, demande de renseignements, enquête ou plainte émanant d'un particulier ou d'une autorité de régulation et se rapportant directement ou indirectement au traitement des données à caractère personnel, et coopérera de manière raisonnable avec la partie adverse lorsque celle-ci le lui demandera afin de lui permettre de s'acquitter de ses obligations en vertu des lois applicables.

4. Sécurité

Dandy a mis en place et maintiendra des mesures techniques et organisationnelles commercialement raisonnables et appropriées afin de protéger les données à caractère personnel contre tout accès non autorisé, toute perte, toute destruction ou toute altération, en tenant compte de la sensibilité de ces données. Cela comprend des mesures relatives à la sécurité physique des installations utilisées pour fournir les Services, des mesures visant à contrôler les droits d'accès aux actifs et aux réseaux concernés, ainsi que des procédures permettant de tester ces mesures.

5. Fuite de données

Si Dandy constate qu'une violation de données s'est produite, Dandy devra : (i) prendre toutes les mesures raisonnables nécessaires pour enquêter sur cette violation, la contenir et en atténuer les effets ; et (ii) en informer la partie adverse sans délai déraisonnable après avoir pris connaissance de la violation. Dandy fournira sans délai à la contrepartie toutes les informations pertinentes recueillies par Dandy à cet égard afin de permettre à la contrepartie de remplir ses propres obligations légales de notification en vertu de la PHIPA concernant la violation de données, et fournira sans délai à la contrepartie toutes les informations pertinentes recueillies par Dandy à cet égard

5. Conformité

À la demande de la partie adverse, Dandy mettra à la disposition de celle-ci les informations démontrant et attestant que Dandy utilise les données à caractère personnel conformément aux obligations qui lui incombent en vertu du présent accord sur le traitement des données et de la législation applicable.

6. Généralités

Le présent accord de traitement des données à caractère personnel restera en vigueur jusqu'à la première des deux dates suivantes : (i) la résiliation ou l'expiration du contrat ou (ii) la cessation par Dandy du traitement des données à caractère personnel. En cas de résiliation, Dandy restituera les données à caractère personnel à la partie adverse ou les supprimera, à la demande de celle-ci. 

Si une disposition quelconque du présent accord sur la protection des données est jugée invalide, inapplicable ou illégale par un tribunal ou une instance administrative compétent(e), les autres dispositions resteront en vigueur. Toute disposition invalide, inapplicable ou illégale sera interprétée de manière à respecter l'intention commerciale des parties. Si cela s'avère impossible, elle sera supprimée, mais le reste de l'accord restera pleinement en vigueur.

Sauf en cas de contradiction entre le présent ATD et le Contrat, toutes les autres dispositions du Contrat restent inchangées. En cas de contradiction entre le présent ATD et les termes du Contrat, le présent ATD prévaudra dans la mesure où l'objet concerne le traitement des Données à caractère personnel de la Contrepartie. Le présent ATD, conjointement avec le Contrat, constitue l'accord définitif, complet et exclusif des Parties concernant son objet et remplace et fusionne toutes les discussions et tous les accords antérieurs entre les Parties concernant cet objet. Aucune autre déclaration ou condition ne s'applique ni ne fait partie intégrante du présent ATD. 

La responsabilité globale de Dandy pour toute réclamation découlant du présent accord sur le traitement des données ou s'y rapportant est soumise aux limitations de responsabilité prévues dans le contrat et s'y trouve limitée.

Le présent accord sur le traitement des données (DPA) et le contrat doivent être interprétés de la manière la plus large possible afin de mettre en œuvre et de respecter les dispositions impératives des lois applicables. Les parties conviennent que le présent DPA doit être interprété conformément à leur intention de se conformer aux lois applicables et que, par conséquent, toute ambiguïté doit être résolue en faveur d'une interprétation qui soit conforme et cohérente avec les lois applicables.

Le présent accord de traitement des données est régi par le droit applicable de la province de l'Ontario.

Conditions d'utilisation pour le Royaume-Uni, y compris l'accord sur la confidentialité des données

Les présentes conditions générales (« Conditions ») relatives au contrat de cabinet dentaire (« Contrat ») sont conclues entre Zima Labs GB Ltd., agissant sous le nom commercial Dandy (« Dandy »ou« nous »), et vous ainsi que votre cabinet dentaire (« vous ») et prennent effet à la date de conclusion du contrat de cabinet dentaire (« Date d'entrée en vigueur »). Si vous acceptez les présentes Conditions au nom d’une entité, d’un partenariat, d’une société ou d’une organisation, le terme « vous » désigne à la fois vous-même, cette entité et tous les utilisateurs de ladite entité, et vous déclarez par la présente que vous avez le pouvoir de lier tous ces utilisateurs. Dandy et vous-même serez désignés individuellement comme une « Partie » et collectivement comme les « Parties ». En contrepartie de la contrepartie valable et utile prévue dans le Contrat, les Parties conviennent de ce qui suit :

1. Modification. Les présentes Conditions et le Contrat ne peuvent être modifiés sans l'accord écrit des deux Parties. Dandy vous informera de toute modification substantielle. Les modifications prendront effet trente (30) jours après leur notification, sauf si vous résiliez le Contrat par écrit. Dans ce cas, Dandy continuera d'appliquer les conditions existantes pendant 60 jours ou jusqu'à ce que le Matériel soit restitué.

2. Intégralité de l'accord. Le contrat de pratique, les présentes conditions générales, l'accord sur la confidentialité des données (annexe A) et la politique informatique constituent l'intégralité de l'accord. Le présent accord remplace tous les accords antérieurs contradictoires.

3. Interdiction de cession. Vous ne pouvez pas transférer ou céder le présent Contrat à un tiers sans l'accord écrit préalable de Dandy.

4. Conformité réglementaire. Les deux parties s'engagent à respecter l'ensemble des lois applicables en matière de santé et de protection des données au Royaume-Uni, notamment le RGPD britannique, la loi de 2018 sur la protection des données, les normes réglementaires pertinentes du NHS et du GDC, ainsi que celles de la Care Quality Commission (CQC).

5. Indemnisation. Vous vous engagez à indemniser, défendre et dégager Dandy de toute responsabilité en cas de réclamations ou de pertes résultant : (a) d'une violation de votre part du présent Contrat ou de l'Accord sur le traitement des données ; (b) d'une négligence ou d'actes délibérés concernant les soins prodigués aux patients ; (c) de la fourniture de données cliniques erronées ; et (d) de vos relations avec les autorités de régulation britanniques (par exemple, la CQC, le GDC ou l'ICO).

6. Droit applicable et règlement des litiges. Le présent contrat est régi par le droit anglais et gallois. Tout litige sera soumis à l'arbitrage conformément au règlement de la Cour d'arbitrage international de Londres (LCIA). Le siège de l'arbitrage sera Londres.

7. TVA et impôts. Dandy facturera la taxe sur la valeur ajoutée (TVA) au taux en vigueur, le cas échéant. Si vous bénéficiez d'une exonération, vous devez fournir un certificat d'exonération de TVA valide ou toute autre preuve jugée satisfaisante par l'administration fiscale britannique (HMRC).

8. Protection des données. Étant donné que Dandy traite des données de catégorie spéciale (données à caractère personnel relatives à la santé) pour votre compte, l'accord sur la protection des données (DPA) figurant à l'annexe A fait partie intégrante et obligatoire du présent contrat.

Rôles en matière de protection des données. Les parties reconnaissent que :

• Dandy UK (Zima Labs GB Ltd.) agit en tant que responsable du traitement des données à caractère personnel du personnel du cabinet et de ses contacts professionnels, comme indiqué dans sa politique de confidentialité britannique.
• Le cabinet agit en tant que responsable du traitement de toutes les données à caractère personnel des patients.
• Dandy agit en tant que sous-traitant lorsqu'il fournit sa plateforme et ses services de laboratoire numérique au cabinet.

Contact pour la protection des données. Toute notification ou demande relative à la confidentialité dans le cadre du présent accord doit être adressée au délégué à la protection des données (DPO) de Dandy, Tony Riesen, à l'adresse [email protected].

---

Annexe A : Accord sur la confidentialité des données

Le présent accord de traitement des données est intégré à la convention dans le cadre de laquelle Dandy agit en tant que sous-traitant pour le compte du cabinet (responsable du traitement). La nature, la finalité et la durée du traitement sont précisées à l'annexe 1 (Détails relatifs au traitement des données).

1. Définitions

• On entend par « lois applicables » le RGPD britannique et la loi de 2018 sur la protection des données.
• L'expression « violation de données à caractère personnel » a le sens qui lui est donné dans le RGPD britannique.
• On entend par « données de catégorie particulière » les données à caractère personnel qui révèlent des informations relatives à la santé, des données biométriques ou des données génétiques.
• Le terme « données à caractère personnel » désigne les données à caractère personnel (telles que définies par le RGPD britannique) traitées par Dandy pour le compte du responsable du traitement.
• Le terme « personne concernée » a le sens qui lui est donné dans le RGPD britannique.

2. Sujet et consignes

Dandy ne traitera les données à caractère personnel que sur instruction écrite du responsable du traitement (le cabinet), y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers, sauf si la législation britannique l'y oblige. Si Dandy estime qu'une instruction enfreint les lois applicables, il en informera immédiatement le responsable du traitement.

Le responsable du traitement doit s'assurer qu'il dispose d'une base légale pour tout partage de données à caractère personnel et d'un fondement légal pour le traitement de toutes les données relevant de catégories particulières.

3. Obligations de Dandy (le sous-traitant)

• Confidentialité : Dandy veille sur le fait que les personnes habilitées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité.
• Sous-traitants : Dandy reste entièrement responsable de l'exécution des tâches confiées à ses sous-traitants. Une liste des sous-traitants agréés par Dandy est disponible sur simple demande.
• Droits des personnes concernées : Dandy assistera le responsable du traitement en mettant en œuvre les mesures techniques et organisationnelles appropriées afin de permettre à ce dernier de s'acquitter de son obligation de répondre aux demandes d'exercice des droits des personnes concernées (par exemple, les demandes d'accès aux données).
• Assistance : Dandy fournira toute assistance raisonnable nécessaire pour permettre au responsable du traitement de se conformer à ses obligations en vertu des lois sur la protection des données, notamment en ce qui concerne la sécurité du traitement, la notification d'une violation de données à caractère personnel à l'autorité compétente en matière de protection des données ou aux personnes concernées, les analyses d'impact relatives à la protection des données et la consultation préalable de l'autorité compétente en matière de protection des données.
• Sécurité : Dandy mettra en œuvre les mesures requises en vertu de l'article 32 du RGPD britannique, y compris le chiffrement et la pseudonymisation, le cas échéant.
• Audit et inspection : Dandy mettra à disposition toutes les informations nécessaires pour démontrer la conformité à l’article 28 du RGPD britannique et autorisera et facilitera les audits, y compris les inspections, menés par le responsable du traitement ( « auditssur site »). Tout audit sur site sera effectué moyennant un préavis écrit de 60 jours adressé à Dandy, à raison d’au plus un par année civile. Les parties mettront tout en œuvre pour s'assurer que les audits sur site n'affectent pas de manière déraisonnable les activités de Dandy. Le responsable du traitement prendra en charge les frais liés à tout audit sur site.

4. Transferts internationaux

Dandy ne transférera pas de données à caractère personnel en dehors du Royaume-Uni ou de l'EEE, à moins de s'assurer que ce transfert est soumis à des « garanties appropriées » (telles que l'accord britannique sur les transferts internationaux de données (IDTA) ou une décision d'adéquation du gouvernement britannique).

5. Notification en cas de violation

Dandy doit informer le responsable du traitement sans délai injustifié (et, en tout état de cause, dans les 48 heures) dès qu'il a connaissance d'une violation de données à caractère personnel affectant ces données, en fournissant des informations suffisantes pour permettre au responsable du traitement de s'acquitter de ses obligations de notification auprès de l'autorité compétente en matière de protection des données.

6. Suppression ou restitution

Au choix du responsable du traitement, Dandy s'engage à supprimer ou à restituer toutes les données à caractère personnel au responsable du traitement à l'issue de la prestation de services, et à supprimer les copies existantes, sauf si la législation britannique impose leur conservation.

---

ANNEXE 1 : DÉTAILS RELATIFS AU TRAITEMENT DES DONNÉES

• Objet, nature et finalité : la prestation des services qui vous sont fournis dans le cadre du contrat de prestation.
• Durée : la durée de validité de la convention de pratique, majorée de la période nécessaire à la suppression de toutes les données.
• Catégories de personnes concernées : les patients et les utilisateurs finaux autorisés du client.
• Types de données à caractère personnel : noms, adresses électroniques, adresses professionnelles, numéros d'enregistrement professionnels et (le cas échéant) dossiers cliniques ou images médicales des patients.

---

Conditions d'utilisation, y compris la Politique de confidentialité

Les présentes conditions générales («Conditions ») du Contrat de collaboration sont conclues entre Dandy Labs Europe SAS (anciennement dénommée Dandy Labs France SAS) («Dandy »ou« Nous ») et vous-même ainsi que votre cabinet dentaire («Vous »ou le «Cabinet dentaire ») et prendront effet à compter de la date à laquelle l’Accord de collaboration sera formalisé («Date d’entrée en vigueur »). Si vous acceptez les présentes Conditions au nom d’une entité, d’une société, d’une personne morale ou d’une organisation, le terme « vous » inclut à la fois vous-même, ladite entité et tous les utilisateurs de celle-ci, et vous déclarez avoir le pouvoir de lier chacun de ces utilisateurs. Dandy et vous-même serez désignés individuellement commeune«Partie »et conjointement comme les «Parties». Compte tenu de la contrepartie, valable et suffisante, prévue dans l’Accord de collaboration, les Parties conviennent de ce qui suit :

1. Modification. Les présentes Conditions et le Contrat de collaboration peuvent être modifiés d'un commun accord par écrit entre les Parties. Les présentes Conditions et le Contrat de collaboration peuvent également être modifiés par Dandy, et toute modification substantielle vous sera notifiée. Ces modifications substantielles prendront effet trente (30) jours après leur notification, sauf si vous résiliez le contrat par notification écrite dans ce délai. Dans ce cas, Dandy respectera les Conditions en vigueur pendant soixante (60) jours ou jusqu'au retour du Matériel.

2. Intégralité de l'accord: L'accord de collaboration, les présentes conditions, la politique de confidentialité de l'UE, l'accord de traitement des données («ATD ») (annexe A) et la politique informatique constituent ensemble le «contrat». Le présent contrat remplace tous les accords antérieurs dont les dispositions seraient en contradiction avec lui.

3. Interdiction de cession. Vous ne pouvez céder ni transférer le contrat de collaboration à un tiers sans l'accord préalable et écrit de Dandy.

4. Conformité réglementaire. Les deux parties s'engagent à respecter l'ensemble des lois applicables en matière de santé et de protection des données dans la juridiction où vous-même et Dandy êtes établis, les réglementations pertinentes édictées par les autorités européennes et nationales, ainsi que les directives établies par les organismes de réglementation professionnels.

5. Clause de non-responsabilité. Vous vous engagez à indemniser, défendre et dégager Dandy de toute responsabilité en cas de réclamation ou de préjudice résultant : (a) d'un manquement de votre part au Contrat ; (b) d'une négligence ou d'actes délibérés dans le cadre des soins prodigués au patient ; (c) de la fourniture de données cliniques erronées ; et (d) des relations avec les organismes de réglementation de l'UE ou nationaux.

6. Droit applicable et juridiction compétente.

1. Loi applicable. Vous acceptez que les présentes Conditions soient régies et interprétées conformément à la législation de la juridiction dans laquelle la clinique dentaire est établie.
2. Compétence. Tout litige découlant des présentes Conditions ou s'y rapportant sera soumis à la compétence exclusive des tribunaux de la juridiction dans laquelle la clinique dentaire est établie, conformément au tableau suivant :

Pays	Compétence
France	Tribunal des activités économiques de Paris
Espagne	Tribunaux de Madrid

7. TVA et taxes. Dandy facturera la taxe sur la valeur ajoutée («TVA ») au taux applicable, en plus de tout prix, frais ou montant dû en vertu du Contrat, et cette TVA sera à votre charge, le cas échéant. Si vous bénéficiez d'une exonération, vous devrez fournir un certificat d'exonération de TVA valide ou des documents jugés satisfaisants par l'administration fiscale compétente, lorsqu'ils sont disponibles, ou justifier le motif de l'exonération de TVA.

8. Protection des données. Étant donné que Dandy traite des données, y compris des données relatives à la santé («données à caractère personnel »), pour votre compte :

Responsabilités en matière de protection des données : Les parties reconnaissent que :

• Dandy Labs Europe SAS (anciennement Dandy Labs France SAS) agit en tant que responsable du traitement des données à caractère personnel en vertu des présentes conditions et en ce qui concerne le personnel et les contacts commerciaux de la clinique dentaire, comme indiqué dans sa politique de confidentialité pour l'UE [LIEN].
• Dandy Labs Europe SAS (anciennement Dandy Labs France SAS) agit en tant que sous-traitant en vous fournissant sa plateforme et ses services de laboratoire numérique, comme indiqué à l'annexe A, ce qui inclut le traitement de toutes les données à caractère personnel des patients.

Contact pour la protection des données. Toute notification ou demande relative à la confidentialité en vertu du présent Contrat doit être adressée au délégué à la protection des données (« DPD ») de Dandy, Tony Riesen, à l'adresse [email protected]

Annexe A : Accord sur le traitement des données (ATD)

     La présente ATD s'applique au Contrat dans les cas où Dandy agit en tant que sous-traitant pour le compte de la Clinique dentaire, qui est le responsable du traitement. La nature, la finalité et la durée du traitement sont définies à l'annexe 1 («Détails du traitement des données »).

1. Définitions

• Le terme « législation applicable »désigne l'ensemble des dispositions législatives en vigueur régissant le traitement et la sécurité des données à caractère personnel, ainsi que la confidentialité des communications électroniques, y compris, sans s'y limiter : (i) le règlement (UE) 2016/679 du 27 avril 2016 (le RGPD) ; (ii) la directive 2002/58/CE du 12 juillet 2002 (la directive « vie privée et communications électroniques ») ; (iii) les lois nationales transposant et complétant les lois de l'UE visées dans la présente définition, et (iv) les dispositions pertinentes des lois nationales en matière de santé, chacune des dispositions (i) à (iv) telles que modifiées et/ou complétées à tout moment. 
• L'expression «violation de la sécurité des données à caractère personnel »a le sens qui lui est attribué par le RGPD. 
• Les « données de catégorie spéciale » désignent les catégories de données à caractère personnel visées à l'article 9 du RGPD (notamment les données à caractère personnel relatives à la santé, les données biométriques ou les données utilisées pour identifier de manière unique une personne physique, ainsi que les données génétiques).
• Le terme « données à caractère personnel » désigne les données à caractère personnel (au sens du RGPD) traitées par Dandy pour le compte de la clinique dentaire.
• Le terme «personne concernée »a le sens qui lui est attribué par le RGPD. 

2. Objet et instructions

Dandy traitera les données à caractère personnel uniquement conformément aux instructions documentées de la clinique dentaire, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers, sauf si la législation applicable l'exige. Si Dandy estime qu'une instruction enfreint la législation applicable, elle en informera immédiatement la clinique dentaire. 

La clinique dentaire veillera à disposer d'une base juridique, conformément à l'article 6 du RGPD, pour le traitement des données à caractère personnel, ainsi que d'une dérogation, conformément à l'article 9 du RGPD, pour le traitement des données de catégorie spéciale, dans le cadre prévu par la présente ATD.

3. Obligations de Dandy (le « sous-traitant »)

• Confidentialité: Dandy garantit que les personnes habilitées à traiter les données à caractère personnel se sont engagées à en préserver la confidentialité. 
• Sous-traitants: La Clinique dentaire accorde par la présente à Dandy une autorisation générale écrite pour faire appel à des sous-traitants. Une liste des sous-traitants actuels de Dandy peut être demandée. Dandy informera la Clinique dentaire de tout changement prévu concernant l'intégration ou le remplacement d'autres sous-traitants, donnant ainsi à la Clinique dentaire la possibilité de s'opposer à ces changements. Dandy restera pleinement responsable des agissements de ses sous-traitants.
• Droits des personnes concernées: Dandy apportera son soutien à la Clinique dentaire en mettant en œuvre les mesures techniques et organisationnelles appropriées afin que celle-ci puisse s'acquitter de son obligation de répondre aux demandes d'exercice des droits des personnes concernées (par exemple, les demandes d'accès).
• Assistance: Dandy fournira toute l'assistance raisonnable nécessaire pour permettre à la Clinique dentaire de s'acquitter de ses obligations en vertu de la loi applicable, y compris celles relatives à la sécurité du traitement, à la notification d'une violation de la sécurité des données à caractère personnel à l'autorité de contrôle compétente et/ou aux personnes concernées, à la réalisation d'évaluations relatives à la protection des données et à la consultation préalable de l'autorité compétente en matière de protection des données.
• Sécurité: Dandy mettra en œuvre les mesures requises en vertu de l'article 32 du RGPD, comme indiqué à l'annexe 2.
• Audit et inspection: Dandy fournira toutes les informations nécessaires pour démontrer le respect de l'article 28 du RGPD, et autorisera et coopérera aux audits, y compris les inspections, menés par la clinique dentaire («audits sur place »). Tout audit sur place sera effectué après notification écrite adressée à Dandy soixante (60) jours à l'avance, et au maximum une fois par année civile. Les parties mettront tout en œuvre pour garantir que les audits sur place n'affectent pas de manière disproportionnée les activités de Dandy. La Clinique dentaire prendra en charge les frais liés aux audits sur place.

4. Virements internationaux

Dandy ne transférera pas de données à caractère personnel en dehors de l'EEE, sauf s'il est garanti que ce transfert est soumis à des « garanties adéquates » (telles qu'une décision d'adéquation de la Commission européenne).

5. Notification de violation de la sécurité des données à caractère personnel

Dandy informera la Clinique dentaire sans retard injustifié (et, en tout état de cause, dans un délai maximal de quarante-huit (48) heures) dès qu'il aura connaissance d'une violation de la sécurité des données à caractère personnel affectant ces données, en fournissant des informations suffisantes pour permettre à la Clinique dentaire de s'acquitter de ses obligations de notification auprès de l'autorité de contrôle compétente.

6. Suppression ou remboursement. 

À la demande de la Clinique dentaire, Dandy supprimera ou restituera toutes les données à caractère personnel à la Clinique dentaire une fois la prestation des services terminée, et supprimera les copies existantes, sauf si la législation applicable exige leur conservation.

Conditions générales + ADP

Les présentes conditions générales («Conditions générales») de l’Accord de collaboration sont conclues entre Dandy Labs Europe SAS (anciennement Dandy Labs France SAS) («Dandy » ou «Nous») et vous, ainsi que votre cabinet ou clinique dentaire («Vous» ou le «Cabinet»), et prennent effet à la date de la conclusion de l’Accord de Collaboration (la «Date d’Entrée en Vigueur»). Si vous acceptez les présentes Conditions générales pour le compte d’une entité, d’une société de personnes, d’une société ou d’une organisation, le terme «vous» désigne vous-même, ladite entité et l’ensemble des utilisateurs de l’entité, et vous déclarez disposer du pouvoir de lier l’ensemble de ces utilisateurs. Dandy et vous serez chacun désignés comme une «Partie» et, ensemble, les «Parties». En contrepartie des stipulations de l’Accord de collaboration, les Parties conviennent de ce qui suit :

1. Modification. Les présentes Conditions générales et le Contrat de collaboration peuvent être modifiés d’un commun accord écrit entre les Parties. Elles peuvent également être modifiées par Dandy, qui Vous informera de toute modification substantielle. Ces modifications substantielles prendront effet trente (30) jours après leur notification, sauf si Vous résiliez le contrat par notification écrite dans ce délai. Dans ce cas, Dandy continuera d’appliquer les Conditions Générales en vigueur pendant soixante (60) jours ou jusqu’à ce que l’Équipement soit restitué.

2. Intégralité du contrat. L’accord de collaboration, les présentes conditions générales, la politique de confidentialité, l’accord de protection des données («APD » ) (annexe B) et les politiques informatiques constituent l’intégralité du contrat (le «contrat»). Le présent contrat remplace et annule tout accord antérieur incompatible.

3. Incessibilité. Vous ne pouvez pas transférer ni céder le contrat de collaboration à un tiers sans l’accord écrit préalable de Dandy.

4. Conformité légale. Les Parties s’engagent à respecter l’ensemble des lois applicables en matière de santé et de protection des données dans la juridiction où vous et Dandy êtes tous deux établis, les normes réglementaires pertinentes édictées par les autorités européennes et nationales, ainsi que les lignes directrices publiées par les organismes de réglementation professionnels.

5. Indemnisation. Vous vous engagez à indemniser, défendre et dégager Dandy de toute responsabilité en cas de réclamation ou de préjudice résultant : (a) d’une violation du Contrat de votre part ; (b) de toute négligence ou de tout acte intentionnel relatif aux soins prodigués aux patients ; (c) de la fourniture de données cliniques inexactes ; et (d) de vos relations avec les autorités de régulation de l’Union européenne ou nationales.

6. Droit applicable et compétence juridictionnelle. 

1. Droit applicable. Vous acceptez que les présentes Conditions générales soient régies par et interprétées conformément aux lois de la juridiction dans laquelle vous êtes établi(e).

2. Compétence juridictionnelle. Tout litige découlant des présentes Conditions générales ou s'y rapportant sera soumis à la compétence exclusive des tribunaux de la juridiction compétente dans laquelle vous êtes établi(e), comme indiqué dans le tableau ci-dessous.

Pays	Juridiction compétente
France	Tribunal des activités économiques de Paris
Espagne	Tribunaux de Madrid

7. TVA et fiscalité. Dandy facturera la taxe sur la valeur ajoutée («TVA») au taux applicable, en sus de tout prix, frais, charge ou montant dû au titre du Contrat, et ladite TVA sera, le cas échéant, à votre charge. Si vous bénéficiez d’une exonération, vous devrez fournir un certificat d’exonération de TVA valide ou tout justificatif jugé satisfaisant par l’administration fiscale compétente, lorsqu’un tel document est disponible, ou justifier le fondement de toute exonération de TVA.

8. Protection des données. Dans la mesure où Dandy traite, pour votre compte, des données à caractère personnel («Données à Caractère Personnel»), y compris des données de santé, le contrat de sous-traitance en matière de protection des données figurant à l'annexe B constitue une section obligatoire et fait partie intégrante du présent Contrat.

Rôles en matière de protection des données. Les parties reconnaissent que :

• Dandy Labs Europe SAS (anciennement Dandy Labs France SAS) agit en qualité de responsable du traitement des données à caractère personnel traitées dans le cadre des présentes conditions générales concernant le personnel du cabinet ainsi que ses contacts commerciaux (conformément à sa politique de confidentialité).
• Dandy Labs Europe SAS (anciennement Dandy Labs France SAS) agit en qualité de sous-traitant lorsqu’elle met à votre disposition sa plateforme et ses services de laboratoire numérique, conformément à l’annexe B, y compris pour le traitement de l’ensemble des données à caractère personnel des patients.

Responsable de la protection des données. Toute notification ou demande relative à la protection des données dans le cadre du présent Contrat doit être adressée au délégué à la protection des données de Dandy («DPD » ), Tony Riesen, à l’adresse [email protected].

Annexe B : Contrat de sous-traitance en matière de protection des données 

Le présent contrat de sous-traitance en matière de protection des données («DPA») fait partie intégrante du Contrat lorsque Dandy agit en qualité de sous-traitant pour le compte du Cabinet, agissant en qualité de responsable du traitement. La nature, la finalité et la durée du traitement sont précisées à l’annexe B(1) («Détails du traitement des données»).

1. Définitions

• « Lois applicables » désigne l’ensemble des lois applicables régissant le traitement et la sécurité des données à caractère personnel, ainsi que la confidentialité des communications électroniques, y compris, sans que cette liste soit limitative : (i) le règlement (UE) 2016/679 du 27 avril 2016 (le «RGPD»), (ii) la directive 2002/58/CE du 12 juillet 2002 (la «directive e-Privacy»), (iii) les lois nationales mettant en œuvre et complétant les textes de l’UE visés dans la présente définition, et (iv) les dispositions pertinentes des législations nationales en matière de santé, chacun des points (i) à (iv) tel que modifié et/ou complété le cas échéant.

• « Violation de données à caractère personnel » a le sens qui lui est donné par le RGPD.

• Le terme «données à caractère personnel sensibles» désigne les catégories de données à caractère personnel visées à l’article 9 du RGPD (notamment les données à caractère personnel relatives à la santé, les données biométriques utilisées pour identifier de manière unique une personne physique, ainsi que les données génétiques).

• Le terme «données à caractère personnel» désigne les données à caractère personnel (telles que définies par le RGPD) traitées par Dandy pour le compte du Cabinet.

• Le terme «personne concernée» a le sens qui lui est donné par le RGPD.

2. Objet et instructions

Dandy ne traite les données à caractère personnel que sur instruction écrite du Cabinet, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers, sauf si la législation applicable l’oblige à procéder à d’autres traitements. Si Dandy estime qu’une instruction du Cabinet enfreint la législation applicable, elle en informe immédiatement le Cabinet.

Le Cabinet veille à disposer d’une base légale au titre de l’article 6 du RGPD pour le traitement de toutes les données à caractère personnel, ainsi que d’une dérogation au titre de l’article 9 du RGPD pour le traitement des données à caractère personnel sensibles, dans le cadre de tout traitement envisagé par le présent accord de traitement des données.

3. Obligations de Dandy (le « sous-traitant »)

• Confidentialité : Dandy veille à ce que les personnes habilitées à traiter les données à caractère personnel se soient engagées à en respecter la confidentialité.
• Sous-traitants ultérieurs : Le Cabinet accorde par la présente à Dandy une autorisation écrite générale de faire appel à des sous-traitants ultérieurs. Une liste des sous-traitants ultérieurs actuels de Dandy est disponible sur demande. Dandy informera le Cabinet de tout changement envisagé concernant l’ajout ou le remplacement d’un sous-traitant ultérieur, donnant ainsi au Cabinet la possibilité de s’opposer à ces changements. Dandy demeure pleinement responsable des prestations de ses sous-traitants ultérieurs.

• Droits des personnes concernées : Dandy aide le Cabinet, par le biais de mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de répondre aux demandes d’exercice de leurs droits formulées par les personnes concernées (par exemple, les demandes d’accès).
• Assistance : Dandy fournit une assistance raisonnable, en fonction des besoins, afin de permettre au Cabinet de respecter ses obligations en vertu des lois applicables, notamment en ce qui concerne la sécurité du traitement, la notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente et/ou aux personnes concernées, l’élaboration d’analyses d’impact relatives à la protection des données, ainsi que la consultation préalable de l’autorité de contrôle compétente.
• Sécurité : Dandy met en œuvre les mesures requises en vertu de l’article 32 du RGPD, telles que décrites plus en détail à l’annexe B(2).
• Audit et inspection : Dandy met à disposition toutes les informations nécessaires pour démontrer le respect de l’article 28 du RGPD et autorise et contribue aux audits, y compris les inspections, menés par le Cabinet («Audits sur site»). Tout audit sur site sera mené moyennant un préavis écrit de soixante (60) jours adressé à Dandy, et au maximum une (1) fois par année civile. Les parties déploieront des efforts raisonnables afin que les audits sur site n’affectent pas de manière déraisonnable les opérations de Dandy. Le Cabinet prendra en charge les coûts de tout audit sur site.

4. Transferts internationaux

Dandy ne transférera pas de données à caractère personnel en dehors de l’Espace économique européen («EEE») à moins de s’assurer que ce transfert est soumis à des « garanties appropriées » (telles qu’une décision d’adéquation de la Commission européenne).

5. Notification d’une violation de données à caractère personnel

Dandy informera le Cabinet sans retard injustifié (et, en tout état de cause, dans un délai de quarante-huit (48) heures) dès qu’il aura eu connaissance d’une violation de données à caractère personnel affectant des données à caractère personnel, en fournissant des informations suffisantes pour permettre au Cabinet de se conformer à toute obligation de notification auprès de l’autorité de protection des données compétente.

6. Suppression ou restitution

Au choix du Cabinet, Dandy supprimera ou restituera au Cabinet l’ensemble des données à caractère personnel à l’issue de la prestation des services, et supprimera les copies existantes, sauf si la législation applicable exige leur conservation continue.

---

Annexe B(1) : DÉTAILS DU TRAITEMENT DES DONNÉES

• Objet et finalité : la prestation de services au Cabinet dans le cadre de l’accord de collaboration.
• Nature : collecte, enregistrement, organisation, structuration, stockage et, le cas échéant, effacement des données à caractère personnel.
• Durée : la durée de l’accord de collaboration, majorée de la période nécessaire à la suppression de l’ensemble des données. 
• Catégories de personnes concernées : les patients et les utilisateurs finaux autorisés du cabinet.
• Types de données à caractère personnel : noms, adresses électroniques, adresses postales, numéros d’immatriculation professionnelle et données de santé des patients (notamment les données relatives aux rendez-vous, les dossiers cliniques et les scans dentaires).

---

Annexe B(2) : MESURES DE SÉCURITÉ 

• Mesures de contrôle d’accès, notamment des restrictions d’accès fondées sur les rôles et des mécanismes d’authentification visant à limiter l’accès aux données à caractère personnel au seul personnel autorisé.
• Contrôles de sécurité du réseau et de l’infrastructure, y compris la protection périmétrique, ainsi que des mécanismes de surveillance et de journalisation.
• Protection des postes de travail (terminaux) et outils anti-malware déployés sur les systèmes concernés.
• Mesures de sécurité des données, y compris le chiffrement et/ou d’autres mesures de protection, selon ce qui est approprié compte tenu de la nature des données traitées.
• Processus de gestion des correctifs et des vulnérabilités visant à garantir la sécurité des systèmes et à traiter les vulnérabilités identifiées.
• Politiques et procédures, y compris les politiques en matière de sécurité de l'information et de gestion des incidents.
• Mesures de sensibilisation du personnel, notamment des formations sur les obligations en matière de protection des données et de sécurité de l’information.
• Pratiques de développement logiciel sécurisées, notamment la révision du code, les tests de sécurité et les processus de déploiement contrôlés.
• Mesures de sécurité des données, notamment le chiffrement des données en transit et au repos, le cas échéant, ainsi que des pratiques sécurisées de gestion des secrets et des clés.