Sous-traitance des données personnelles - ORL

I. Généralités

Dans le cadre de l’exécution du Contrat, les Parties s’engagent respectivement à respecter l’ensemble de leurs obligations définies par le présent DPA ainsi que toute législation ou réglementation en vigueur applicable aux traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après, le « RGPD ») et les recommandations, les directives et/ou les avis ayant force de loi et/ou toute autre législation applicable relative à la vie privée ou à la protection des données personnelles en vigueur, et leurs modifications successives ainsi que plus généralement tout texte qui viendrait les compléter ou modifier (ci-après, les « Lois Applicables »).  

Lorsque le DPA utilise des termes définis dans le RGPD, ceux-ci ont la même signification que dans le RGPD. Les présentes clauses sont lues et interprétées à la lumière des dispositions du RGPD.  

II- Définitions

Destinataire : désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

Données de santé : désigne les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Données personnelles : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Fichier : désigne tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Patient : désigne la personne physique, sujet de la téléconsultation.

Responsable de traitement : désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

Traitement : désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Sous-traitant : désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Violation de données personnelles : désigne une violation de la sécurité, entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

III. Relations entre les parties

Dans le cadre de l’utilisation de la Plateforme, OTOREMOTE collecte et traite pour le compte de l’ORL responsable de traitement, des données à caractère personnel nécessaires pour fournir la Plateforme. OTOREMOTE est un sous-traitant au sens du RGPD.  

Les données à caractère personnel objet des stipulations du présent DPA sont : les données à caractère personnel qui sont communiquées directement ou indirectement par l’ORL en vue de la fourniture de la Plateforme, et celles qui sont collectées ou générées par l’une ou l’autre des parties à l’occasion de la fourniture de la Plateforme.  

Le présent DPA est sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du RGPD. L’ORL reconnaît avoir tous pouvoirs, autorisations ou droits nécessaires pour permettre à OTOREMOTE, en tant que sous-traitant, de traiter les données aux fins de la fourniture de la Plateforme.  

IV. Obligations générales du sous-traitant

OTOREMOTE s’engage à :

  • Traiter les données personnelles uniquement pour les seules finalités qui font l’objet de la sous-traitance telles que stipulées dans les CGU.

  • Traiter les données conformément aux instructions documentées de l’ORL. Si OTOREMOTE considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition légale relative à la protection des données personnelles, il en informera immédiatement l’ORL. En outre, si OTOREMOTE est tenue de procéder à un transfert de données personnelles vers un pays tiers ou à une organisation internationale en vertu du droit de l’union européenne et du droit français, il devra informer l’ORL de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public. En tout état de cause, OTOREMOTE s’engage à ne pas transférer de données de santé hors de l’Union Européenne.  

  • Traiter les données conformément aux instructions documentées de l’ORL. Si OTOREMOTE considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition légale relative à la protection des données personnelles, il en informera immédiatement l’ORL. En outre, si OTOREMOTE est tenue de procéder à un transfert de données personnelles vers un pays tiers ou à une organisation internationale en vertu du droit de l’union européenne et du droit français, il devra informer l’ORL de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.  En tout état de cause, OTOREMOTE s’engage à ne pas transférer de données de santé hors de l’Union Européenne.  

  • Ne traiter en aucun cas les données personnelles pour son compte ou pour le compte d’un tiers à l’exception des Audioprothésistes inscrits sur la Plateforme.  

  • Garantir la sécurité et la confidentialité des données personnelles traitées pour le compte de l’ORL dans le cadre des CGU.  

  • Veiller à ce que les personnes autorisées à traiter les données personnelles :
  1. S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;  
  2. Reçoivent la formation nécessaire en matière de protection de données personnelles.  

  • Inscrire à son registre, conformément aux dispositions 2 à 4 de l’article 30 du RGPD, les traitements de données qu’il effectue pour le compte de l’ORL.  

  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut. A cette fin, il s’engage notamment à ce que ceux-ci soient nativement conçus ou paramétrables pour pouvoir répondre à l’exercice des droits des personnes à l’aide des fonctionnalités adaptées, pour limiter les données traitées conformément aux finalités poursuivies, pour permettre une ségrégation des utilisateurs en fonction de leur besoin d’accéder aux données, pour assurer une traçabilité des accès aux données ou pour déterminer les durées de conservation des données et assurer leur mise en œuvre.

V. Exercices des droits par les personnes concernées

OTOREMOTE s’engage à coopérer avec diligence avec l’ORL pour permettre l’exercice des droits des personnes concernées, à s'acquitter de son obligation de donner suite à toute demande reçue de la part des personnes concernées d'exercer leurs droits ou de l'autorité de contrôle compétente, dans un délai raisonnable.  

ll est précisé qu'il appartient à l’ORL de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Afin de faciliter la communication de l’information, OTOREMOTE met à disposition de l’ORL de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Afin de faciliter la communication de l’information, OTOREMOTE met à disposition. Si un patient soumet une demande d'exercice de ses droits directement auprès d’OTOREMOTE, OTOREMOTE transmettra lesdites demandes à l’ORL, dans les meilleurs délais et au plus tard quatre (4) jours ouvrés après réception de la demande.

Dans l’hypothèse où cela concernerait le dossier médical, OTOREMOTE s’engage à transmettre la demande dans un délai maximum de 48 heures à compter de la réception de la demande afin que l’ORL puisse répondre dans le délai légal de huit (8) jours après la demande.  

VI. Sort des données

L’ORL aura la faculté d’exporter l’ensemble des données sous un format conforme au format du marché. OTOREMOTE détruira les copies desdites données sauf si les obligations légales applicables à OTOREMOTE exigent la conservation desdites données.

VII. Archivage des données

OTOREMOTE s’engage à ne conserver de données à caractère personnel que pour les stricts besoins de la Plateforme et, en dehors des cas dans lesquels il existe une obligation d'archivage, s’engage à supprimer sans délai les données à caractère personnel qui ne sont plus nécessaires. Les données archivées devront être supprimées sans délai lorsque le motif justifiant leur archivage n’a plus raison d’être.  

Lorsqu’il existe une obligation d’archivage, que celle-ci découle d’une obligation légale ou règlementaire, d’un engagement contractuel spécifique ou d’une mesure destinée à répondre des obligations de résilience du système d’information d’OTOREMOTE, les données à caractère personnel sont archivées dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions ou dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.  

VIII. Sous-traitance

OTOREMOTE pourra faire appel à un autre sous-traitant pour mener des activités de traitement spécifiques. Dans ce cas, OTOREMOTE en informera préalablement et par écrit l’ORL de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. L’ORL disposera d’un délai de QUINZE (15) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si l’ORL n’a pas émis d’objection pendant le délai convenu.  

En tout état de cause, le sous-traitant ultérieur est tenu de respecter les obligations des CGU et de la présente Annexe pour le compte de l’ORL. Il appartient à OTOREMOTE de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, OTOREMOTE demeure pleinement responsable de l’exécution par l’autre sous-traitant de ses obligations.

IX. Violations des données personnelles

Dans l’hypothèse d’une violation de données personnelles, OTOREMOTE s’engage à informer l’ORL sans délai et au plus tard dans les 24 heures après en avoir pris connaissance accompagnée de toute documentation utile afin de lui permettre, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées, le cas échéant.  

Cette information sera formalisée par courrier électronique contenant :  

  • La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

  • La description des conséquences probables de la violation de données à caractère personnel ;

  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

X- Mesures de sécurité

OTOREMOTE s’engage à mettre en œuvre les mesures de sécurité suivantes :  

  • Hébergement des données chez un Hébergeur certifié de Données de Santé (HDS).

  • Authentification à deux facteurs (2FA) : L’authentification d’un utilisateur est un enjeu important, pour s’assurer qu’un attaquant ne puisse pas usurper le compte d’un médecin ou d’un audioprothésiste. En plus du mot de passe de l’ORL, un autre facteur d’authentification qu’est la validation d’une carte CPS (Carte de Professionnels de Santé) via le service Pro Santé Connect est mise en place.

  • Entropie de mots de passe : un mot de passe contenant un minimum de 12 caractères incluant minuscules, majuscules, chiffres et caractères spéciaux sera demandé à l’ORL pour limiter les attaques par brute force.

  • Hash de mots de passe : Les mots de passe ne seront pas stockés en clair en base de données : seul un hash cryptographique sera conservé. Même si la base de données vient à être dérobée, l’attaquant n’aura ainsi pas accès aux mots de passe.

  • Gestion des permissions utilisateurs : Le back-end implémentera une gestion des permissions qui sera différente selon le profil de l’ORL, afin qu’un compte ne puisse accéder qu’aux données qu’il a renseigné.

  • Requêtes authentifiées par JWT (Json Web Tokens) : il s’agit de jetons qui sont mis en place après la connexion d’un ORL, et qui permettent de gérer de façon sécurisée l’authentification de l’ORL du côté back-end (standard RFC 7519). Ils sont signés, ce qui empêche les attaques de type “man-in-the1middle”. Ils sont autosuffisants, c’est-à-dire que le serveur OTOREMOTE n’aura pas besoin de stocker l’état des sessions pour vérifier l’authenticité des jetons, cela facilitera aussi la mise en place d’une architecture stateless (ce qui permet une meilleure évolutivité).

  • Isolation des services : Les différents services hébergés seront le plus possible isolés les uns des autres, soit dans des instances différentes, soit sur des serveurs différents (notamment pour le site vitrine Wordpress), afin de limiter les risques de propagation en cas de faille de sécurité.

  • HTTPS : l’intégrité des échanges entre la plateforme et tous les acteurs de la plateforme sera maintenue et aucune interception ne pourra avoir lieu. Le protocole HTTPS permet de chiffrer le transit d’informations sur le réseau pour éviter les attaques du type Man In The Middle.

  • Chiffrement de bout en bout : notre solution de visioconférence / prise en main à distance permet de chiffrer de bout en bout les communications : les informations sont chiffrées au point de départ par l’ORL, puis déchiffrées uniquement par le destinataire final, les données restent donc intègres (impossible d’intercepter la visioconférence avec une attaque Man-in-the-middle).

  • Paramétrage de l’application de visioconférence (JITSI) bureau pour ne fonctionner qu’avec le serveur auto-hébergé de OTOREMOTE.

  • Autorisation pour la prise en main à distance : La prise en main à distance n’est possible que si l’application bureau OTOREMOTE est ouverte et si la demande de prise en main depuis cette même application est acceptée.

  • Limitation des droits lors de la prise en main : La prise en main à distance ne permet d’accéder qu’aux applications nécessitant les droits de base, les fonctionnalités nécessitant les droits administrateurs (comme l’exécution de code, l’installation de logiciels, la désactivation d’antivirus) ne seront pas disponibles.

  • Mise à jour de sécurité des librairies utilisées : Les différentes librairies utilisées devront être régulièrement mises à jour pour limiter les failles de sécurité nouvellement découvertes. Pour ce cas d’usage, les librairies intégrées dans l’application feront l’objet d’une étude approfondie pour étudier leur niveau de maintenance et de sécurité.

  • Clause de confidentialité et sur la protection des données personnelles dans les contrats des sous-traitants.

  • Protection des ordinateurs des collaborateurs d’OTOREMOTE par mot de passe, pare-feu et antivirus.

  • Firewall : joue un rôle essentiel pour protéger les services hébergés sur le serveur, toutes les tentatives d’intrusion et les accès non autorisés seront bloqués via le filtrage du trafic réseau entrant et sortant. Ainsi, nous garantissons une continuité des opérations et augmentons le niveau de confiance vis-à-vis des données sensibles hébergées par nos services. L’accès à la base de données de production sera notamment bloqué pour toutes les adresses, et ne sera accessible que depuis l’API.

XI- Obligations du responsable du traitement - l'ORL

L’ORL s’engage à :  

  • Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant.  

  • Veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant.  

  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.  

A la demande de l’ORL, OTOREMOTE fournira l’ensemble des documents, données et informations concernant les traitements faisant l’objet de la sous-traitance et sa conformité à la législation sur les données personnelles.  

Si les éléments communiqués s’avèrent insuffisants pour permettre à l’ORL que les obligations prévues par le RGPD ainsi que la législation française sur les données personnelles sont remplies, OTOREMOTE et l’ORL se réuniront pour convenir :  

  • Des conditions techniques ;  

  • Des conditions sécuritaires ;  

  • Des conditions financières pour un audit dans les locaux d’OTOREMOTE.  

L’ORL est, par ailleurs, informé que l’audit ne doit pas affecter la confidentialité et la sécurité des données des autres clients d’OTOREMOTE.  

En tout état de cause, l’ensemble des documents qui seraient communiqués par OTOREMOTE sont confidentiels. Ils ne pourront, le cas échéant, être communiqués qu’à la CNIL, autorité de contrôle.  

Il est expressément prévu que l’audit pourra être réalisé une fois par année contractuelle.  

Cet audit pourra être réalisé par l’ORL ou un tiers de son choix à la condition que ce tiers ne soit pas en concurrence avec les activités réalisées par OTOREMOTE.  

Le tiers devra signer, au préalable, un accord de confidentialité qui sera rédigé et transmis par OTOREMOTE.  

Les frais relatifs à cet audit seront pris en charge par l’ORL.

L’ORL devra informer OTOREMOTE de son intention de réaliser un audit au moins DIX (10) jours avant la date d’audit souhaitée.

L’audit se passera aux heures habituelles de bureau.  

XII- Description des traitements

Traitement n°1

Finalités du traitement

Utilisation de la Plateforme

Nature du traitement

Collecte, modification, transmission, suppression, conservation des données

Catégories de personnes concernées

Utilisateurs de la Plateforme

Détail des données

Identifiant, mot de passe ou via ProSanté Connect donc n° RPPS, identité, lieu d’exercice, mode d’exercice.

Durée de conservation des données

Jusqu’à la suppression du compte

Base légale

CGU

Traitement n°2

Finalités du traitement

Prise de rendez-vous - agenda

Nature du traitement

Collecte, transmission et conservation des données

Catégories de personnes concernées

Patients, Audioprothésiste

Détail des données

Patients :
Nom, nom d’usage, prénom, NIR, téléphone, date de naissance, date du rendez-vous, adresse email (facultative), INS (vérification identité via l’INSi), pièce d’identité si pas de carte vitale, motif du rendez-vous.

Audioprothésiste :
nom, prénom, photographie, descriptif, adresse mail, numéro de téléphone, adresse postale, RPPS

Durée de conservation des données

L’adresse postale, le téléphone et le NIR du patient sont supprimées à l’issue du rendez-vous de consultation.

La date et le motif de la consultation sont conservés pendant un an aux fins de statistiques disponibles sur la Plateforme accessible que par l’ORL sur son compte.

Les autres données sont conservées pendant 2 ans en base active puis 5 ans en base intermédiaire sauf si le compte de l’ORL est clôturé avant le terme de ce délai.

Base légale

Consentement concernant les patients
Exécution du contrat concernant les Utilisateurs

Traitement n°3

Finalités du traitement

Messagerie

Nature du traitement

Collecte, transmission et conservation des données

Catégories de personnes concernées

Patients, Audioprothésistes

Détail des données

Patient :
La date et le motif de la consultation sont conservés pendant un an aux fins de statistiques disponibles sur la Plateforme accessible que par l’ORL sur son compte.

Les autres données sont conservées pendant 2 ans en base active puis 5 ans en base intermédiaire sauf si le compte de l’ORL est clôturé avant le terme de ce délai.

Audioprothésiste :
Nom, prénom, n° RPPS

Durée de conservation des données

La messagerie est accessible 24h avant la téléconsultation et jusqu’à 24h après la téléconsultation. Au terme de ce délai, les données sont supprimées.
Aucune pièce jointe.

Base légale

Consentement concernant les patients
Exécution du contrat pour les utilisateurs

Traitement n°4

Finalités du traitement

Téléconsultation

Nature du traitement

Transmission des données

Catégories de personnes concernées

Patients, Audioprothésistes

Détail des données

Patient :
Nom, prénom, genre, date de naissance, lieu de naissance, historique des rendez-vous de téléconsultation, NIR, données de santé durant la téléconsultation, INS ; régime Assurance, complémentaire santé.

Audioprothésiste :
Nom, prénom, adresse postale, adresse électronique, téléphone, carte CPS

Durée de conservation des données

Durée de la Téléconsultation avant transmission des données relatives au patient dans le DMP et éventuellement dans le  Coffre à documents en cas de bug ou de panne du DMP (Traitement n°5)

Base légale

Consentement concernant les patients
Exécution du contrat pour les Utilisateurs audioprothésistes et intérêt légitime concernant le coffre à documents.

Traitement n°5

Finalités du traitement

Générer la e-prescription et la transmettre dans le DMP

Nature du traitement

Collecte, transmission,  conservation

Catégories de personnes concernées

Patients, ORL

Détail des données

Patient :
Etat civil, identité : civilité, nom de naissance, prénoms, (sexe), nom d'usage, date de naissance, code INSEE de naissance et ville de naissance, INS, NIR.

ORL :
Nom d’usage, prénom, n°RPPS, adresse postale, signature électronique ou identifiant lié à la carte CPS.

Catégories de données personnelles traitées sensibles ou à caractère particulier

Patients :  
Diagnostic (facultatif),  traitements prescrits.

Durée de conservation des données

Les données contenues dans l’e-prescription sont conservées par OTOREMOTE dans le Coffre à documents qu’en cas de bug ou de panne du DMP.

Dans ce cas, ces données sont conservées pendant 5 ans en bas active et 15 ans  en base intermédiaire par OTOREMOTE. En tout état de cause, les données sont supprimées par OTOREMOTE à compter du terme de la relation contractuelle la liant à l’ORL.

Base légale

Obligation légale

Traitement n°6

Finalités du traitement

Alimentation (ajouts, modification, dépublication de documents relatifs au patient ) du DMP/ Coffre à documents
Partage de documents et informations Transmission/ modification/ dépublication de l’e-prescription Transmission/ modification/ dépublication de feuille de soins

Nature du traitement

Collecte, hébergement, transmission, suppression, modification, conservation

Catégories de personnes concernées

Patients, Audioprothésiste

Détail des données

Patients :
Etat civil, identité : civilité, nom de naissance, prénoms, (sexe), nom d'usage, date de naissance, code INSEE de naissance et ville de naissance, INS, NIR, adresse électronique (facultatif), numéros de téléphone mobile et autre numéro, adresse postale et pays de résidence. Vie personnelle : rang de naissance, grand régime, caisse, centre.

Audioprothésiste
Nom d’usage, prénom, n°RPPS, adresse postale, données le concernant contenues dans documents médicaux relatifs à la téléconsultation.

Documents médicaux

e-prescriptions, comptes-rendus d’adaptation, compte-rendu de téléconsultation, feuilles de soins, questionnaires transmis par l’Audioprothésiste avant la téléconsultation.

Catégories de données personnelles traitées sensibles ou à caractère particulier

Patients
Données de santé comprises dans les documents médicaux créés par l’ORL dans le cadre de la téléconsultation et les documents médicaux créés par l’Audioprothésiste dans le cadre de la téléconsultation. NIR

Durée de conservation

Les données du traitement n°6 ne sont conservées par OTOREMOTE dans le Coffre à documents qu’en cas de bug ou de panne du DMP.

Dans ce cas, les feuilles de soin sont conservées pendant 3 mois par OTOREMOTE avant leur suppression.

Les autres données collectées dans le cadre de du traitement n°6 sont conservées par OTOREMOTE dans le Coffre à documents pendant 5 ans en base active à compter de la dernière intervention sur le dossier du patient, puis durant 15 ans en base intermédiaire.

En tout état de cause, les données sont supprimées par OTOREMOTE à compter du terme de la relation contractuelle la liant à l’ORL.  

Base légale

Obligation légale

Traitement n°7

Finalités du traitement

Gestion des demandes de droits

Nature du traitement

Collecte, stockage et transmission

Catégories de personnes concernées

Patients, Audioprothésiste

Détail des données

Patients :
Nom, prénom, genre, date de naissance, adresse postale, adresse électronique, copie carte d’identité (si nécessaire), données contenues dans la demande

Audioprothésiste :
Nom, prénom, adresse postale, n°RPPS

Durée de conservation des données

5 ans à compter de la demande – délai de prescription légale

Base légale

Obligation légale

Traitement n°8

Finalités du traitement

Instructions de l’ORL - (Maintenance-assistance technique)

Nature du traitement

Accès, modification.

Catégories de personnes concernées

Patients, audioprothésistes

Détail des données

Données concernées par les instructions de l’ORL. Aucune donnée de santé.

Durée de conservation des données

Le temps de l’intervention.

Base légale

CGU

XIII- Liste des sous-traitants

NOM

LOCALISATION

NATURE DU TRAITEMENT

AZNETWORK- Hébergeur
certifié en données de santé

France (40, rue André Ampère – 61000 Alençon).

Hébergement de toutes les données saisies et stockées sur la Plateforme comprenant les données de santé

ProSanté Connect (ANS)

France

Système d’identification et de connexion avec la carte CPS ou e-CPS de l’Audioprothésiste

DevBox santé (DEVCOOP Consulting)

228, avenue de Cadaujac – 33850 Léognan – France
03.60.45.57.13
contact@devcooop.fr

Interface de connexion INSi et DMP

CRISP IM (CRISP)

2, boulevard de Launay 44100 Nantes

Chat sécurisé pour l’assistance technique à l’utilisation de la plateforme OTOREMOTE

CNAM

26-50 avenue du Professeur André-Lemierre
75986 Paris Cedex 20

Les données transmises via le service INSi (Identité Nationale de Santé) et le DMP (Dossier Médical Partagé).

ORDOCLIK’
Service ORDOCLIC

16 Rue Jean Jaurès, 59192 Beuvrages contact@ordoclic.fr

Les données transmises pour générer la e-prescription qui sera intégrée dans le DMP (Dossier Médical Partagé) du patient.

Otoremote est à l'écoute de votre santé, les soins auditifs n'ont jamais été aussi accessibles.

Découvrir Otoremote