Le présent accord formalise, au titre de la nLPD suisse et de l'article 28 du RGPD pour les transferts UE, le rôle de My Data My Care en tant que sous-traitant pour le compte des professionnels et établissements de santé responsables du traitement. Les versions majeures déclenchent une ré-acceptation explicite.
Version en vigueur
Chargement de la version en vigueur…
1. Objet
Le présent DPA encadre les traitements de données à caractère personnel effectués par My Data My Care (Sous-traitant) pour le compte du Responsable du traitement (professionnel de santé, cabinet, hôpital, caisse-maladie ou laboratoire). Il complète les CGV professionnelles et prévaut sur toute stipulation contraire en matière de protection des données, conformément à la nLPD et au RGPD.
2. Parties & rôles
Le Responsable du traitement détermine les finalités et moyens du traitement. My Data My Care agit strictement sur instructions documentées, sans traitement à ses propres fins. Nos coordonnées et celles du DPO sont listées plus bas. L'autorité de contrôle compétente en Suisse est le PFPDT (Préposé fédéral à la protection des données et à la transparence).
3. Finalités & instructions documentées
Les traitements sont limités : stockage chiffré, partage sécurisé, portabilité FHIR R4, communication intra-équipe de soins, sauvegarde. Toute extension de finalité fait l'objet d'un avenant. Aucune donnée n'est revendue, cédée ou monétisée.
4. Durée & sort des données
La durée des traitements est alignée sur la durée du contrat principal et les obligations légales de conservation suisses (dossier médical : 10 ans après dernière consultation selon le canton, art. 80 LPMéd ; logs sécurité : 12 mois). À la fin du contrat, restitution en FHIR R4 + suppression sous 90 jours, preuve horodatée fournie.
5. Mesures de sécurité
Hébergement certifié ISO 27001 (UE et option Suisse), chiffrement AES-256 au repos et TLS 1.3 en transit, chiffrement E2E côté client pour les données sensibles, MFA obligatoire, journalisation immuable, tests d'intrusion annuels, revue SOC 2 Type 2. Les sous-traitants ultérieurs figurent dans une liste publique mise à jour à chaque changement.
6. Transferts hors Suisse / hors UE
Les transferts vers l'UE bénéficient de la décision d'adéquation reconnue par le Conseil fédéral. Aucun transfert hors UE/Suisse à des fins de production. Les éventuels sous-traitants UK/US (hors chemin critique santé) sont encadrés par des clauses contractuelles types (CCT 2021 UE et clauses additionnelles PFPDT) avec mesures supplémentaires (chiffrement, pseudonymisation).
7. Assistance aux droits des personnes
Nous assistons le Responsable pour répondre aux demandes d'accès, rectification, effacement, portabilité, limitation et opposition (art. 25-32 nLPD ; art. 15-22 RGPD) dans un délai maximal de 15 jours ouvrés. Les outils patients intégrés (/reglages/cgu, /export) permettent un traitement self-service pour la majorité des cas.
8. Contact & notifications
Pour toute demande DPA, incident ou audit : dpo@mydatamycare.com. Délais contractuels de notification d'incident : 24h (art. 33 RGPD ; art. 24 nLPD au PFPDT).