Le présent accord formalise, au titre de l'article 28 du RGPD, le rôle de My Data My Care en tant que sous-traitant pour le compte des professionnels et établissements de santé responsables de traitement. Les versions majeures déclenchent une ré-acceptation explicite.
Version en vigueur
Chargement de la version en vigueur…
1. Objet
Le présent DPA encadre les traitements de données à caractère personnel effectués par My Data My Care (Sous-traitant) pour le compte du Responsable de traitement (professionnel de santé, cabinet, établissement, mutuelle ou laboratoire). Il complète les CGV professionnelles et prévaut sur toute stipulation contraire en matière de protection des données.
2. Parties & rôles
Le Responsable de traitement détermine les finalités et moyens du traitement. My Data My Care agit strictement sur instructions documentées, sans traitement à ses propres fins. Nos coordonnées et celles du DPO sont listées plus bas.
3. Finalités & instructions documentées
Les traitements sont limités : stockage chiffré, partage sécurisé, portabilité FHIR R4, communication intra-équipe de soins, sauvegarde. Toute extension de finalité fait l'objet d'un avenant. Aucune donnée n'est revendue, cédée ou monétisée.
4. Durée & sort des données
La durée des traitements est alignée sur la durée du contrat principal et les obligations légales de conservation applicables (dossier médical UE : 20 ans après dernier contact ; logs sécurité : 12 mois). À la fin du contrat, restitution en FHIR R4 + suppression sous 90 jours, preuve horodatée fournie.
5. Mesures de sécurité
Hébergement HDS France (certifié ISO 27001 + HDS), chiffrement AES-256 au repos et TLS 1.3 en transit, chiffrement E2E côté client pour les données sensibles, MFA obligatoire, journalisation immuable, tests d'intrusion annuels, revue SOC 2 Type 2. Les sous-traitants ultérieurs figurent dans une liste publique mise à jour à chaque changement.
6. Transferts hors UE
Aucun transfert hors Union européenne à des fins de production. Les éventuels sous-traitants UK/US (hors chemin critique santé) sont encadrés par des clauses contractuelles types (CCT 2021) et des mesures supplémentaires (chiffrement, pseudonymisation). Les transferts éventuels vers le Liban sont encadrés par des garanties contractuelles équivalentes.
7. Assistance aux droits des personnes
Nous assistons le Responsable pour répondre aux demandes d'accès, rectification, effacement, portabilité, limitation et opposition dans un délai maximal de 15 jours ouvrés. Les outils patients intégrés (/reglages/cgu, /export) permettent un traitement self-service pour la majorité des cas.
8. Contact & notifications
Pour toute demande DPA, incident ou audit : dpo@mydatamycare.com. Délais contractuels de notification d'incident : 24h (art. 33 RGPD).