Date de publication : 24/02/2026
Accord de protection des données personnelles
PREAMBULE
Le présent Accord a pour objet de définir les conditions dans lesquelles Newcard, agissant en qualité de Sous-traitant, s’engage à réaliser, pour le compte de l’Opérateur, les opérations de traitement de données personnelles nécessaires à la réalisation du suivi médical par télésurveillance (ci-après dénommé “le Service”).
Le présent Accord a exclusivement pour objet d’encadrer les traitements de données personnelles réalisés dans le cadre du Service lorsque l’Opérateur agit en qualité de Responsable de traitement et Newcard en qualité de Sous-traitant.
Les traitements de données personnelles réalisés par Newcard en qualité de Responsable de traitement, sont régis par sa Politique de confidentialité accessible sur la Plateforme Newcard, sur le Compte Utilisateur.
Le présent Accord s’appuie sur les clauses contractuelles types adoptées par la Commission européenne dans sa décision d’exécution (UE) 2021/915 du 4 juin 2021.
Cet Accord fait partie intégrante du (a) Contrat de partenariat relatif à la télésurveillance ; (b) des Mentions Légales ; (c) des Conditions générales d’utilisation de la Plateforme Newcard ; (d) ainsi que de la Politique de confidentialité.
L’Opérateur est invité à lire attentivement toutes les clauses de l’Accord.
ARTICLE 1 – DÉFINITION
Par Accompagnement thérapeutique, on entend le fait de permettre au patient (a) de s’impliquer en tant qu’acteur dans son parcours de soins ; (b) de mieux connaître sa pathologie et les composantes de sa prise en charge et (c) d’adopter les réactions appropriées à mettre en oeuvre en lien avec son projet de télésurveillance. L’accompagnement thérapeutique a pour objectif de confirmer les informations collectées et de donner des conseils sur notamment : la maladie, les signes d’alerte, la gestion des complications, les règles hygiéno-diététiques appropriées, les modes de vie, la surveillance et l’ajustement du traitement.
Par Accord relatif à la protection des données personnelles, on entend l’accord entre vous et Newcard encadrant la collecte et le traitement des données personnelles effectués par Newcard pour l’exécution du ou des Service(s) pour votre compte.
Par Acteur de santé, on entend les professionnels participant directement ou indirectement à la prise en charge sanitaire ou médico-sociale d’un Patient et exerçant en libéral ou salarié, quelle que soit la structure, étant ou non Professionnel de santé, et qui sont éligibles à l’utilisation du ou des Service(s).
Par Assistant, on entend tout type de personnel (a) assistant un Utilisateur et (b) effectuant des actions au nom et pour le compte dudit Utilisateur, tels que le personnel administratif, les secrétaires médicales, assistants médicaux. L’Assistant demeure sous la responsabilité pleine et entière de l’Utilisateur ou du Médecin Référent.
Par Base légale, on entend le fondement juridique qui autorise légalement la mise en œuvre d’un traitement et qui donne le droit à un organisme de collecter et/ou traiter les données personnelles.
Par Compte Utilisateur, on entend l’espace personnel de l’Utilisateur, à usage privé, lui permettant d’utiliser les Services grâce à ses Identifiants.
Par Délégué à la Protection des Données, on entend la personne chargée de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désignée s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Par Données anonymisées, on entend les données personnelles du Patient ayant fait l’objet d’un traitement permettant de rendre impossible toute identification de ce dernier par quelque moyen que ce soit et de manière irréversible.
Par Données à caractère personnel ou données personnelles, on entend toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une personne physique identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Par Données concernant la santé ou les données de santé, on entend les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.
Par Équipe de soins, on entend l’ensemble des professionnels qui participent directement au profit d’un même patient à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d’autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes, et qui :
- Soit exercent dans le même établissement de santé, au sein du service de santé des armées, dans le même établissement ou service social ou médico-social mentionné au I de l’article L.312-1 du Code de l’action sociale et des familles ou dans le cadre d’une structure de coopération, d’exercice partagé ou de coordination sanitaire ou médico-sociale figurant sur une liste fixée par décret ;
- Soit se sont vu reconnaître la qualité de membre de l’équipe de soins par le patient qui s’adresse à eux pour la réalisation des consultations et des actes prescrits par un médecin auquel il a confié sa prise en charge ;
- Soit exercent dans un ensemble, comprenant au moins un professionnel de santé, présentant une organisation formalisée et des pratiques conformes à un cahier des charges fixé par un arrêté du ministre chargé de la santé.
Par Exploitant, on entend un fabricant, le mandataire de ce dernier ou un distributeur assurant l’exploitation d’un dispositif médical numérique. L’exploitation comprend la commercialisation ou la cession à titre gratuit sur le marché français du produit. Pour chaque produit, l’exploitant est :
1° le fabricant ou son mandataire ;
2° à défaut, le ou les distributeurs qui se fournissent directement auprès du fabricant ou de son mandataire ;
3° à défaut des 1° et 2°, tout distributeur intervenant sur le marché français, à condition que pour chaque produit commercialisé, ce distributeur ne se fournisse pas auprès d’un exploitant de ce produit, directement ou indirectement, ni ne fournisse un autre exploitant, directement ou indirectement.
Par Loi Informatique et Libertés, on entend la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Par Opérateur, on entend un professionnel médical au sens du livre Ier de la quatrième partie du Code de la santé publique ou une personne morale regroupant ou employant un ou plusieurs professionnels de santé, dont au moins un professionnel médical au sens du même livre Ier.
Par Parties, on entend l’Opérateur, en tant que signataire du Contrat de partenariat, auquel le présent Accord se rattache et Newcard.
Par Patient, on entend le bénéficiaire d’une ou des solutions de télésurveillance développée(s) par Newcard et prescrite(s) par un médecin.
Par Personne concernée, on entend toute personne physique identifiée ou identifiable, directement ou indirectement, au sens de la définition du RGPD et plus particulièrement les patients bénéficiaires de l’acte de télémédecine, objet du présent contrat.
Par Plateforme Newcard, on entend la Plateforme de télésurveillance développée et mise à votre disposition par Newcard dans le cadre du suivi médical des patients.
Par Professionnel de santé, on entend les professions de santé telles qu’établies par le Code de la santé publique dans sa quatrième partie “Professions de santé” et disposant d’un numéro RPPS.
Par Responsable de traitement, on entend la personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Par RGPD, on entend le Règlement Général sur la Protection des Données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la Directive 95/46/CE.
Par Site Newcard, on entend le site internet https://newcard.io/
Par Service de télésurveillance, on entend le service vous permettant de réaliser le suivi médical des patients par un dispositif de télésurveillance.
Par Solution(s) de télésurveillance, on entend les solutions “1 Minute pour mon Coeur” destinée aux patients atteints d’insuffisance cardiaque et “1 Minute pour mes Reins” destinée aux patients atteints d’insuffisance rénale de stade IV/V ainsi que ceux ayant subi une greffe rénale.
Par Sous-traitant, on entend la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable de traitement.
Par Sous-traitant ultérieur, on entend la personne physique ou morale engagée par le Sous-traitant dans le respect du présent contrat, pour la sous-traitance de certaines activités de traitement identifiées.
Par Télésurveillance, on entend le fait de permettre à un professionnel de santé, incluant ou suivant un patient, d’interpréter à distance des données nécessaires au suivi médical du patient et, le cas échéant, de prendre des décisions relatives à sa prise en charge. La télésurveillance est plus précisément définie comme le suivi d’indicateurs cliniques, biocliniques ou techniques à distance avec identification d’alertes pouvant nécessiter une intervention médicale.
Par Traitement, on entend toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Par Utilisateur, on entend (a) toute personne physique qui dispose d’un Compte Utilisateur sur la Plateforme Newcard et qui accède aux Services proposés par Newcard (b) et/ou un Acteur de santé ou un Assistant autorisé par un Médecin Référent ou par un autre Utilisateur, à utiliser certaines fonctionnalités des Services sous son entière responsabilité.
Par Violation de données à caractère personnel, on entend une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
ARTICLE 2 – QUALIFICATION DES PARTIES
L’Opérateur souhaite proposer, à ses patients, la ou les solution(s) de télésurveillance commercialisée(s) par Newcard. À cet effet, l’Opérateur entend déléguer à Newcard, en tant qu’Exploitant, certaines composantes de l’activité de télésurveillance.
Newcard met à disposition de l’Opérateur, une Plateforme lui permettant d’interpréter, à distance, les données nécessaires au suivi médical de ses patients, et le cas échéant, de prendre les décisions relatives à leur prise en charge.
Il en ressort que :
- L’Opérateur agit en qualité de Responsable de traitement concernant la réalisation du suivi médical par télésurveillance de ses patients ; et
- Newcard agit en qualité de Sous-traitant en mettant à disposition de l’Opérateur une Plateforme permettant de réaliser ledit suivi.
ARTICLE 3 – BASE LÉGALE DU TRAITEMENT
Il appartient à l’Opérateur, en sa qualité de Responsable de traitement, de déterminer, préalablement à toute opération de traitement, la base légale applicable conformément au RGPD.
Il est toutefois précisé qu’au regard des textes en vigueur, l’activité de télésurveillance ne peut avoir lieu sans le consentement des patients. Aussi, il est possible de considérer le consentement comme base légale.
L’Opérateur demeure libre de retenir toute autre base légale appropriée et s’engage, le cas échéant, à en informer Newcard.
ARTICLE 4 – NATURE DES TRAITEMENTS RÉALISÉS
L’Opérateur autorise Newcard à réaliser les types d’opérations de traitement, détaillés ci-dessous, dans le cadre du Service.
| Type d'opérations | Applicabilité |
|---|---|
| Collecte | ☑ |
| Enregistrement | ☑ |
| Organisation / Classement | ☑ |
| Structuration | ☑ |
| Conservation | ☑ |
| Adaptation ou modification | ☑ |
| Extraction | ☑ |
| Consultation | ☑ |
| Utilisation | ☑ |
| Communication par transmission | ☑ |
| Diffusion ou toute autre forme de mise à disposition | ☑ |
| Rapprochement ou l'interconnexion | ☑ |
| Effacement ou destruction | ☑ |
| Impression | ☑ |
| Saisie | ☑ |
| Contrôle | |
| Archivage | ☑ |
| Autre(s) |
ARTICLE 5 – CATÉGORIES DE DONNÉES ET PERSONNES CONCERNÉES
L’Opérateur s’engage à ne collecter et à ne traiter que des données adéquates, pertinentes et strictement nécessaires au regard des finalités poursuivies, conformément au principe de minimisation des données.
Pour répondre auxdites finalités, certaines données personnelles sont directement collectées et traitées par Newcard, pour le compte de l’Opérateur. A ce titre, Newcard s’engage à traiter ces données dans le respect des principes énoncés à l’article 5 du RGPD.
| Catégories de données | Données collectées | Personnes concernées |
|---|---|---|
| Données d’identification | Nom, prénom, adresse, date de naissance, sexe, téléphone fixe et/ou portable, adresse mail, INS, moyen de vérification de l’identité (passeport, carte d’identité ou titre de séjour) | Patients |
| Nom, prénom, civilité, date de naissance, adresse mail, téléphone fixe et/ou portable, numéro RPPS ou ADELI, adresse d’exercice, métier, pièce d’identité | Professionnels de santé | |
| Nom, prénom, adresse mail, téléphone fixe et/ou portable | Personne(s) de confiance du patient | |
| Données relatives à la vie personnelle (habitude de vie, situation familiale) | NA | NA |
| Données de connexion | Date et heure d’envoi des mesures | Patients |
| Date et heure des actions réalisées sur la Plateforme | Professionnels de santé | |
| Données financières | RIB Méthode de paiement |
Patients et Professionnels de santé |
| Données de santé |
Tension artérielle ; Fréquence cardiaque ; renseignement de symptômes et signes cliniques via un questionnaire ; données biologiques. Compte rendu de l'accompagnement thérapeutique (date, thèmes des séances, commentaires) ; Commentaires sur la prise en charge d'une alerte et suivi de l'évolution de cette prise en charge ; Commentaires de l'équipe soignante de Neucard ; |
Patients |
| Autres | Antécédents médicaux et autres pathologies. Langue(s) parlée(s) |
Patients et Professionnels de santé |
ARTICLE 6 – FINALITÉS DU TRAITEMENT
Les données disponibles sur la Plateforme Newcard sont collectées et traitées pour des finalités spécifiques. Par conséquent, elles ne peuvent être utilisées à d’autres fins que celles visées par le présent article. En l’espèce, ces finalités sont de plusieurs ordres :
- Assurer le suivi par télésurveillance des patients ;
- Réaliser l’accompagnement thérapeutique des patients ; et
- Facturer l’activité de télésurveillance à l’Assurance maladie.
ARTICLE 7 – DESTINATAIRES DES DONNÉES
Les données personnelles sont traitées par les salariés de Newcard dans la limite de leurs attributions respectives.
L’Opérateur reconnaît que tout partage de données de santé à d’autres Acteurs de santé doit être effectué conformément à l’article L1110-4 du Code de la santé publique. Plus particulièrement, le Médecin Référent est responsable du respect des règles attachées au secret médical et de la gestion des droits d’accès des Utilisateurs.
Newcard peut être amenée à communiquer certaines données personnelles à d’autres sous-traitants (ci-après dénommés “Sous-traitants ultérieurs”) pour accomplir les finalités susvisées. L’Opérateur reconnaît avoir pris connaissance de la liste des Sous-traitants ultérieurs figurant à l’Annexe 1 du présent Accord.
ARTICLE 8 – DURÉE DE CONSERVATION DES DONNÉES
Il appartient à l’Opérateur de fixer une durée de conservation des données et de la communiquer à Newcard. A défaut d’une telle instruction, Newcard appliquera les durées de conservation telles que recommandées par la CNIL ou la législation applicable.
Les données personnelles seront conservées pendant une durée de vingt (20) ans à compter de la date de la dernière prise en charge du patient.
Elles seront conservées en base active pendant une durée de cinq (5) ans à compter de la dernière intervention sur le dossier du patient.
Elles seront ensuite conservées dans le cadre d’un archivage intermédiaire pendant une durée de quinze (15) ans.
A l’expiration de ces délais, les données seront supprimées ou archivées sous une forme anonymisée.
ARTICLE 9 – OBLIGATIONS DU RESPONSABLE DE TRAITEMENT
L’Opérateur se conforme aux obligations qui lui incombent en tant que Responsable de traitement en vertu du RGPD et de la loi informatique et libertés modifiée.
L’Opérateur, informe chaque personne concernée préalablement à la réalisation de la télésurveillance : de la réalisation de l’acte médical de télésurveillance, du recours à un procédé de télémédecine, du traitement de ses données et de l’hébergement de ses données de santé.
L’Opérateur permet aux patients de s’opposer au traitement de leurs données et s’assure qu’ils n’ont pas effectivement exercé ce droit.
L’Opérateur restreint l’accès aux données par le biais d’une politique stricte d’accès et d’habilitation dans le respect des dispositions de l’article L.1110-4 du Code de la santé publique.
L’Opérateur répond aux demandes d’exercice des droits des patients.
L’Opérateur notifie, dans les meilleurs délais, toute faille de sécurité et/ou violation de données constatée dans le cadre de l’utilisation de la Plateforme.
ARTICLE 10 – OBLIGATIONS DU SOUS-TRAITANT
Newcard se conforme aux obligations qui lui incombent en tant que Sous-traitant, en vertu du RGPD et de la loi informatique et libertés modifiée.
Newcard traite les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.
Newcard traite les données conformément aux instructions documentées du Responsable de traitement. Si Newcard considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement l’Opérateur.
Newcard garantit la confidentialité des données personnelles traitées dans le cadre du présent Contrat.
Newcard veille à ce que les personnes autorisées à traiter les données personnelles en vertu du présent Contrat :
- S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; et
- Reçoivent la formation nécessaire en matière de protection des données personnelles.
Newcard assure la sécurité et l’intégrité des données personnelles. A ce titre, Newcard met en œuvre et maintien des mesures appropriées de sécurité organisationnelles et techniques de son système d’information, conformément aux exigences de la réglementation précitée. Ces mesures visent à (a) protéger les données personnelles contre leur destruction, perte, altération, divulgation à des tiers non autorisés, (b) assurer le rétablissement de la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique. A ce titre, Newcard communique, en Annexe 2 des présentes, la liste des mesures de sécurité organisationnelles et techniques qu’elle met en œuvre. Lors de l’évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.
Newcard ne sous-traite pas la réalisation du traitement, en tout ou partie, ni ne change de sous-traitant, sans l’accord préalable de l’Opérateur.
Newcard aide l’Opérateur à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont elle dispose :
- l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données personnelles (ci-après dénommée “AIPD”) lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques ; et
- l’obligation de consulter l’autorité ou les autorités de contrôle compétente(s) préalablement au traitement lorsqu’une AIPD indique que le traitement présenterait un risque élevé si le Responsable de traitement ne prenait pas de mesures pour atténuer le risque.
Newcard permet la réalisation d’audits, y compris des inspections, par l’Opérateur ou tout auditeur mandaté par lui et contribue à ces audits. A cet effet, l’Opérateur s’engage à informer Newcard de la tenue de tout audit, quelles qu’en soient la nature et les modalités, au moins un (1) mois avant la date envisagée.
Newcard coopère avec l’Opérateur, en cas de violation de données personnelles, et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu des articles 33 et 34 du RGPD, en tenant compte de la nature du traitement et des informations dont elle dispose.
ARTICLE 11 – INFORMATION DES PATIENTS
Il appartient à l’Opérateur, au moment de la collecte des données, d’informer individuellement les patients et de recueillir leur consentement :
- à la réalisation d’un acte médical de télésurveillance ; et
- au traitement de leurs données conformément à l’article 13 du RGPD.
ARTICLE 12 – EXERCICE DES DROITS
Newcard apporte son assistance à l’Opérateur, compte tenu de la nature du traitement, afin de lui permettre de répondre aux demandes d’exercice des droits des personnes concernées.
Newcard informe l’Opérateur, sans délai, de toute demande qu’elle a reçue d’une personne concernée. Newcard ne donne pas elle-même suite à cette demande, à moins que l’Opérateur ne l’y ait autorisé.
ARTICLE 13 – DÉLÉGUÉ A LA PROTECTION DES DONNÉES
Dans la mesure du possible, chaque Partie s’engage à désigner un délégué à la protection des données (ci-après dénommé “DPO”) chargé des questions relatives à la protection de la vie privée et des données.
Newcard a nommé un DPO qui peut être contacté :
Par mail : mes-donnees-personnelles@newcard.io
Par courrier à l’adresse postale : 236 Avenue Clément Ader, Wambrechies (59118)
ARTICLE 14 – SOUS-TRAITANCE ULTÉRIEURE
Newcard peut faire appel à des sous-traitants pour mener des activités de traitement spécifiques. Dans ce cas, elle informe préalablement, et par écrit, l’Opérateur de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et la date de début et la durée du contrat de sous-traitance. L’Opérateur dispose d’un délai de quinze (15) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’Opérateur n’a pas émis d’objection pendant le délai convenu.
L’Opérateur reconnaît avoir pris connaissance de la liste des Sous-traitants ultérieurs figurant à l’Annexe 1 des présentes.
Lorsque Newcard recrute un Sous-traitant ultérieur, pour le compte de l’Opérateur, elle le fait au moyen d’un contrat qui impose au Sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles qui lui sont imposées en vertu des présentes. Newcard veille à ce que le Sous-traitant ultérieur respecte les obligations auxquelles elle est elle-même soumise en vertu des présentes et du RGPD.
Newcard demeure pleinement responsable, à l’égard de l’Opérateur, de l’exécution des obligations du Sous-traitant ultérieur conformément au contrat conclu. Newcard informe l’Opérateur de tout manquement du Sous-traitant ultérieur à ses obligations contractuelles.
ARTICLE 15 – TRANSFERT DE DONNÉES
Dans le cadre des finalités susvisées, les données personnelles peuvent être transférées en dehors de l’Union européenne par les sous-traitants auxquels Newcard fait appel. La liste des sous-traitants concernés ainsi que les informations relatives aux transferts de données effectués sont détaillées à l’Annexe 1 des présentes.
Newcard s’engage à ne pas transférer les données personnelles traitées dans le cadre du Contrat vers des pays hors de l’espace économique européen qui n’auraient pas été reconnus par la Commission européenne comme assurant un niveau de protection adéquat (a) sans avoir préalablement obtenu l’autorisation expresse et écrite de l’Opérateur et (b) sans la mise en place d’instruments juridiques reconnus comme appropriés pour encadrer le ou les transfert(s) concerné(s).
En outre, si Newcard est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel elle est soumise, elle informera l’Opérateur de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
ARTICLE 16 – VIOLATION DES DONNÉES
Article 16.1 – Données traitées par l’Opérateur
En cas de violation de données personnelles, en rapport avec des données traitées par l’Opérateur, Newcard prête assistance à l’Opérateur :
(a) aux fins de la notification de la violation de données personnelles à ou aux autorité(s) de contrôle compétente(s), dans les meilleurs délais après que l’Opérateur en a eu connaissance (sauf si la violation de données personnelles est peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques) ;
(b) aux fins de l’obtention des informations suivantes, qui, conformément à l’article 33, paragraphe 3 du RGPD doivent figurer dans la notification de l’Opérateur, et inclure, au moins :
○ La nature des données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données personnelles concernées ;
○ les conséquences probables de la violation de données personnelles ;
○ les mesures prises ou les mesures que l’Opérateur propose de prendre pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.
(c) aux fins de la satisfaction, conformément à l’article 34 du RGPD de l’obligation de communiquer dans les meilleurs délais la violation de données personnelles à la personne concernée, lorsque ladite violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Article 16.2 – Données traitées par Newcard
En cas de violation de données personnelles, en rapport avec des données traitées par Newcard, celle-ci en informe l’Opérateur dans les meilleurs délais après en avoir pris connaissance. Cette notification contient au moins :
(a) une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d’enregistrements de données personnelles concernés) ;
(b) les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de données personnelles ;
(c) ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.
ARTICLE 17 – DOCUMENTATION
Newcard déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’Opérateur.
Newcard met à la disposition de l’Opérateur la documentation nécessaire pour démontrer le respect de toutes ses obligations.
Les Parties mettent à la disposition de ou des autorité(s) de contrôle compétente(s), dès que celles-ci en font la demande, tous les documents et informations énoncés au sein du présent Accord, y compris le résultat de tout audit.
ARTICLE 18 – RÉVERSIBILITÉ DES DONNÉES
En cas de cessation des relations contractuelles, entre l’Opérateur et Newcard, pour quelque cause que ce soit, la réversibilité des données ne sera mise en œuvre que sur demande expresse de l’Opérateur.
A réception de la demande écrite, Newcard s’engage à solliciter son hébergeur de données et à organiser les opérations nécessaires à la réversibilité des données. L’Opérateur reconnaît et accepte que la mise en œuvre de ces opérations puisse être subordonnée aux délais d’intervention dudit hébergeur sur lesquels Newcard n’exerce aucun contrôle. En conséquence, la réversibilité des données pourra, le cas échéant, intervenir après la cessation des relations contractuelles entre les Parties.
Conformément aux dispositions de l’article R.1112-7 du Code de la santé publique, l’Opérateur est dans l’obligation d’intégrer les données de santé des patients dans leur dossier médical et de les conserver pendant les durées réglementaires en vigueur.
ARTICLE 19 – ENTRÉE EN VIGUEUR ET DURÉE DE L’ACCORD
Le présent Accord prend effet à la date de signature du Contrat de partenariat auquel il est rattaché et reste en vigueur pendant la durée de la relation contractuelle entre l’Opérateur et Newcard.
ARTICLE 20 – MODIFICATIONS DE L’ACCORD
Newcard se réserve la faculté de modifier le présent Accord afin de tenir compte notamment des évolutions légales, réglementaires ou techniques.
Toute modification fera l’objet d’une information préalable de l’Opérateur par tout moyen écrit lui permettant d’en prendre connaissance. La version en vigueur de l’Accord sera toujours accessible sur le site internet de Newcard. Elle entrera en vigueur le jour ouvrable suivant sa publication.
Les Parties ne sont pour autant pas empêchées d’ajouter d’autres clauses ou des garanties supplémentaires à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
ANNEXE 1 : LISTE DES SOUS-TRAITANTS ACTUELS DE NEWCARD
Newcard a sous-traité certaines composantes de l’activité de télésurveillance à des Sous-traitants. Ces derniers sont listés ci-après :
| Identité du sous-traitant | Adresse | Lieu de stockage des données | Transfert hors Union Européenne | Description du/des traitement(s) | |
|---|---|---|---|---|---|
| Données de santé | Autres données personnelles | ||||
| Avenir Télématique (ATE) | 24 rue du Gouverneur Général Eboué à Issy-les-Moulineaux (92130) | France | Non | Non | Hébergement des données de santé |
| La Plateforme Médicale (LPM) | 10 rue Rosenwald à Paris (75015) | France | Non | Non | Formation du patient à l’utilisation des objets connectés ; Accompagnement thérapeutique |
| Santélys | 351 rue Ambroise Paré à Loos (59120) | France | Non | Non | Accompagnement thérapeutique |
| Pulse | 20 Chemin de Crécy à Saint Didier au Mont d’Or (69370) | France | Non | Non | Facturation de l’activité de télésurveillance par Newcard |
| Hubspot | 24 rue Cambacérès à Paris (75008) | Union européenne | Non applicable | Oui | Gestion de la relation client |
| RESIP | 84 A boulevard Chanzy à Boulogne-sur-Mer (62200) | France | Non | Non | Facturation de l’activité de télésurveillance par l’Opérateur |
| Icanopée | 45-47 Boulevard Paul Vaillant Couturier à Ivry-sur-Seine (94200) | France | Non | Non | Utilisation du service Pro Santé connect |
ANNEXE 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES
Newcard déclare avoir mis en place les mesures techniques et organisationnelles décrites ci-après.
Sur demande écrite de l’Opérateur, Newcard s’engage à communiquer son dossier de sécurité, lequel présente de manière exhaustive l’ensemble des mesures techniques et organisationnelles mises en œuvre.
| Mesures de sécurité | Description |
|---|---|
| Sensibilisation des salariés | Sensibilisation des salariés à la cybersécurité |
| Authentification des utilisateurs |
Identifiant unique à chaque utilisateur ; Politique de mot de passe utilisateur ; Authentification multifacteur obligatoire ; Déconnexion de l’utilisateur après inactivité ; et Limitation des tentatives de connexion |
| Gestion des habilitations |
Définition des profils d’habilitation ; Validation des demandes d’habilitation par les personnes responsables ; Révision des droits d’accès (en fonction de certains événements) |
| Traçabilité et gestion des incidents |
Système de journalisation ; Processus de gestion des incidents et des correctifs (corrections standards et d’urgence) Procédure pour les notifications de violation des données personnelles |
| Sécurisation des postes de travail |
Verrouillage automatique des sessions ; Antivirus régulièrement mis à jour ; Installation d’un pare-feu |
| Protection du réseau informatique |
Installation d’un pare-feu ; Protection des bases de données par un deuxième pare-feu en DMZ ; Gestion des réseaux Wi-fi (chiffrement conformément à l’état de l’art ; séparation du réseau invité du réseau interne) |
| Sauvegardes | Sauvegardes régulières de Newcard et son hébergeur de données |
| Chiffrement des données |
Connexions entre application extérieure et le service backend s’effectuent via HTTPS ; Connexions entre service hébergés sur la même machine s’effectuent via HTTP boucle locale uniquement ; Connexions entre service et base de données s’effectuent à travers un firewall physique n’autorisant que le serveur applicatif à se connecter. |
| Gestion de la sous-traitance |
Contractualisation avec des sous-traitants présentant des garanties suffisantes ; Conclusion d’un Accord de protection des données personnelles |
| Protection des locaux |
Restriction de l’accès aux locaux au moyen de portes verrouillées et de badges ; Installation d’une alarme anti-intrusion et vérification périodique |
| Sécurisation de l’infrastructure |
Organisation de pentest tous les deux ans ; Code source audité mensuellement |
| Continuité et reprise d’activité | Rédaction d’un plan de continuité et de reprise d’activité |