Skip Ribbon Commands
Skip to main content


Traitements des données à caractère personnel


I. Recherche simple - ou recherche avancée ...

Editeur du site : Le Collège de la Médecine Générale, association de loi 1901 dont le siège social est situé 94, avenue Charles de Gaulle, 92200 Neuilly-sur-Seine, France.
Désigné ci-après "LE CMG".
Hébergeur du site : La société IVS nv, société de droit belge, dont le siège social est situé à Z1 Researchpark 310, 1731 Zellik, Belgique et dont le numéro d'entreprise est 0429.679.217.
Désigné ci-après "IVS"

 
II. Objet

Les Parties s'engagent à respecter à ce titre la réglementation en vigueur applicable aux traitements de données et, en particulier, la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi «Informatique et Libertés» dans sa version en vigueur, le règlement(UE) 2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données, (ci-après, le «RGPD»), le Code des postes et des communications électroniques et la directive 2002/58/CE du 12 juillet 2002 (dite directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du 25 novembre 2009, ainsi que tous textes venant s'y substituer ou les compléter et plus généralement tout texte réglementant le traitement de données (ci-après la «Réglementation »).

La présente annexe au Contrat a pour objet de définir les conditions dans lesquelles IVS effectue des opérations de traitements de données pour le compte du CMG dans le cadre de l'exécution du Contrat, en sa qualité de sous-traitant du CMG.

III. Description des traitements faisant l'objet de la sous-traitance

Le CMG détermine sous sa responsabilité les finalités de traitements confiés à IVS, lesquelles sont les suivantes:

  • Gestion des créations des comptes d'accès des Utilisateurs à la Plateforme EBM France;
  • Conservation des données liées aux créations de comptes, aux connexions à la Plateforme EBM France, aux paramètres personnalisés liés aux comptes, aux créations de contenus et aux paiements éventuellement effectués;
  • Gestion des données liées aux membres du CMG et à la création de contenus par ces membres;
  • Hébergement et sauvegarde des données contenues dans la Plateforme EBM France;
  • Gestion des demandes d'exercice de droits des personnes concernées;
  • Gestion des réclamations, des précontentieux et contentieux éventuels avec les Utilisateurs ;
  • Gestion des cookies.

    Les catégories de personnes concernées par les traitements confiés à IVS sontles :
  • Utilisateurs de la Plateforme EBM France;
  • Membres du CMG habilités à accéder au Back-office de la Plateforme EBM France;
  • Collaborateurs du CMG habilités à accéder à la Plateforme EBM France.

    Les données à caractère personnel que IVS sera amenée à traiter pour le compte du CMG relèvent des catégories suivantes:
  • «Données d'identification»: nom, prénom, date ou année de naissance, adresse;
  • «Données Vie professionnelle»: formation professionnelle, niveau d'études, profession et spécialité d'exercice; département, région ou localité d'exercice; numéro RPPS (répertoire partagé des professionnels de santé);
  • «Données de navigation»: adresse IP, navigateur, requêtes formulées lors d'une recherche, guides consultés, guides ou recherches favoris, sites favoris, pages consultées;
  • «Données de correspondance»: contenu des messages de la fonction «envoyer un commentaire».

    ci-après les «Données».

    La nature des opérations réalisées sur les Données est : collecte, enregistrement, hébergement, organisation, conservation, adaptation, modification, mise à jour, extraction, consultation, utilisation, anonymisation, effacement ou destruction.

IV. Obligations d'IVS vis-à-vis de LE CMG, en sa qualité de sous-traitant de LE CMG

1. Obligations générales

IVS s'engage à :

i. traiter les Données uniquement pour les seules finalités qui font l'objet de la sous-traitance dans le cadre du Contrat,

ii. traiter les Données uniquement sur instructions documentées du CMG. Si IVS considère qu'une instruction pourrait constituer une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit français dans le cadre de la Réglementation, elle eninforme immédiatementle CMG.

iii. si IVS est tenue de procéder à un transfert de tout ou partie des Données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit français, IVS devra informer le CMG de cette obligation avant le transfert, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public,

iv. ne pas utiliser les Données pour son propre compte ou pour celui d'un tiers, à moins qu'elle ne soit tenue de procéder à un tel traitement en vertu du droit de l'Union ou du droit français. Dans ce cas, IVS s'engage à informer le CMG de cette obligation avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public,

v. garantir laconfidentialitédes Données traitées dans le cadre du Contrat,

vi. veiller à ce que lespersonnes autorisées à traiter les Donnéesen vertu du Contrat s'engagent à respecter laconfidentialitédes Données et reçoivent la formation nécessaire en matière de protection des données et relative à la réglementation en vigueur applicable aux traitements de données,

vii. prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes deprotection des données dès la conceptionet deprotection des données par défaut («Privacy by design» et «Privacy by default»),

viii. à fournir au CMG toute information utile afin de procéder à la tenue du registre des activités de traitements du CMG effectués dans le cadre du Contrat et/ou aux analyses d'impact éventuelles et/ou à la consultation de l'autorité de protection des données compétentes (notamment la CNIL) ainsi qu'à la modification éventuelle de ces formalités en cas d'évolution des traitements,

ix. à tenir compte de la nature des traitements et/ou des Données, à coopérer avec le CMG et à l'aider, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à satisfaire aux exigences de la Réglementation qui incombent au CMG,

x. d'une manière générale, à aider et à coopérer de bonne foi avec le CMG en vue de lui permettre de respecter ses obligations en tant que responsable des traitements de données en application de la Réglementation (notamment celles prévues aux articles 32 à 36 du RGPD) et d'obtenir toutes les informations nécessaires au respect de ces obligations.

IVS est en revanche seule responsable des traitements de données à caractère personnel qu'elle devra mettre en œuvre pour assurer la sécurité des Données, notamment en assurant le traçage des accès et utilisations des Données, ainsi que des traitements de données à caractère personnel qu'elle met en œuvre au titre de ses propres obligations légales ou réglementaires. Elle garantit à cet égard respecter la Réglementation.

2. Sous-traitance ultérieure

IVS est autorisée à faire appel à Microsoft pour mener les activités de traitements suivantes hébergement de la Plateforme EBM France (ci-après, le ou les « sous-traitants ultérieurs »).

En cas de recrutement d'autres sous-traitants ultérieurs, le sous-traitant doit recueillir l'autorisation écrite, préalable et spécifique du CMG.

Le CMG s'engage à cet égard à étudier de bonne foi les propositions de sous-traitance ultérieure émises par IVS, mais demeure libre de refuser celles-ci, notamment si celles-ci n'apportent pas les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les traitements des Données effectués pour le compte du CMG répondent aux exigences de la Réglementation et garantissent la protection des personnes concernées par les Données. Le silence du CMG à la suite de la réception d'une proposition de sous-traitance ultérieure ne vaudra pas acceptation de sa part de cette proposition.

IVS s'engage à ce que ses relations avec tous les sous-traitants ultérieurs, actuels ou futurs, soient encadrées par un contrat écrit prévoyant notamment les éléments suivants. Chaque sous-traitant ultérieur doit être tenu de respecter les obligations du Contrat pour le compte et selon les instructions du CMG. Il appartient à IVS de s'assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les traitements répondent aux exigences de la Réglementation. L'accord du CMG sur le recours à un sous-traitant ultérieur ne fait pas présumer à cet égard de telles garanties suffisantes. Le CMG pourra exiger d'être partie aux contrats conclus avec les sous-traitants ultérieurs et/ou d'insérer des clauses dans lesdits contrats visant à apporter les garanties précitées. IVS s'engage en tout état de cause à prévoir à la charge de ses sous-traitants les mêmes obligations en matière de protection des Données que celles fixées dans la présente annexe, et notamment la prise de telles garanties.

IVS s'engage à communiquer chacun des contrats conclus avec les sous-traitants ultérieurs au CMG dans le mois suivant leur conclusion. Toute modification de ces contrats susceptible d'influer sur les conditions de mise en œuvre des traitements de Données devra préalablement être soumise à l'autorisation écrite du CMG, y compris lorsque le CMG ne sera pas partie à ces contrats.

En toutes hypothèses, IVS demeure pleinement responsable devant le CMG de l'exécution par les sous-traitants ultérieurs de leurs obligations].

3. Droit d'information des personnes concernées

Il appartient au CMG de fournir l'information aux personnes concernées par les opérations de traitement. IVS s'engage à fournir toutes informations sollicitées par le CMG en vue de respecter l'obligation d'information des personnes concernées sur les traitements de données, et ce, au plus tard sous huit jours ouvrés.

4. Exercice des droits des personnes

IVS aidera le CMG à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées par les traitements de Données.

Lorsque les personnes concernées exercent auprès d'IVS des demandes d'exercice de leurs droits, IVS s'engage, sans répondre à ces personnes, sauf autorisation contraire du CMG, à adresser ces demandes dès réception de celles-ci au CMG à l'adresse email à suivante: info@ebmfrance.net, et ce dans un délai maximum d'un (1) jour ouvré après la demande de la personne concernée. IVS veillera à ce que toutes les informations communiquées par la personne concernée en vue de l'exercice de ses droits soient également communiquées au CMG, et ce, dans le même délai maximum d'un (1) jour ouvré après la demande de la personne concernée.

IVS s'engage à communiquer dans le même délai maximum d'un (1) jour ouvré à compter de leur réception toute plainte, toute demande ou, plus généralement, toute observation qui lui serait adressée par tout individu concerné par les traitements et/ou les Données.

Sur demande du CMG, à tout moment et pour quelque cause que ce soit, IVS et ses éventuels sous-traitants ultérieurs fourniront sans délai au CMG ou tout tiers désigné par le CMG une copie de l'intégralité des Données ou de certaines Données dans le format indiqué par le CMG, et ce, notamment afin d'assurer les réponses aux demandes d'exercice du droit d'accès ou à la portabilité des Données à la demande des personnes concernées.

D'une manière générale, IVS s'engage à coopérer de bonne foi avec le CMG en vue de lui permettre d'obtenir toutes les informations nécessaires au respect de ses obligations relatives aux droits des personnes concernées.

5. Notification des violations de Données

IVS s'engage à notifier au CMG la survenance de toute faille de sécurité ayant des conséquences directes ou indirectes sur les Données ou, plus généralement, toute violation de données au sens de la Réglementation

Cette communication devra être effectuée dans les plus brefs délais et au maximum dans les vingt-quatre (24) heures après la découverte de la faille de sécurité ou violation des Données.

Cette notification est accompagnée de toute documentation utile afin de permettre au CMG, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente et/ou à la personne concernée.

Cette notification devra comprendre a minima une description:

  • de la nature de la violation de Données y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données concernés;
  • des conséquences probables de la violation de Données;
  • des mesures prises ou celles qu'IVS propose de prendre pour remédier à la violation de Données, y compris, le cas échéant les mesures pour en atténuer les éventuelles conséquences négatives.

IVS s'engage à communiquer au CMG toute autre information sur la violation de Données et ce, dans les plus brefs délais.

En présence d'une violation persistant dans le temps, IVS s'engage à prendre et/ou à faire prendre immédiatement et à ses frais les mesures nécessaires pour y mettre fin lorsque la source, humaine ou matérielle, de la violation de Données est localisée, partiellement ou totalement, chez IVS ou des sous-traitants ultérieurs.

IVS s'engage par ailleurs à exécuter toute mesure raisonnable que le CMG estimerait adéquate pour remédier à la violation de Données, y compris pour en atténuer les conséquences négatives.

IVS tiendra le CMG informée, selon la périodicité définie par le CMG ou, à défaut, quotidiennement, des mesures prises, des résultats obtenus et des difficultés persistantes.

IVS s'engage à ne procéder à aucune communication à des tiers d'informations sur la violation, sauf si elle y est contrainte par la loi. Sous réserve de cette contrainte légale, Le CMG est seule libre de rendre publique la violation de Données et/ou d'en informer les personnes concernées et/ou l'autorité de contrôle compétente. Dans le cadre de la communication autour de cette violation, si une telle violation est au moins partiellement imputable à IVS et éventuellement ses sous-traitants ultérieurs, le CMG pourra mentionner le nom d'IVS et éventuellement de ses sous-traitants ultérieurs.

En cas de violation des Données au sens de la Réglementation concernant les Données et traitements confiés par le CMG à IVS et imputables partiellement ou totalement à IVS et éventuellement ses sous-traitants ultérieurs, IVS s'engage à prendre en charge, le cas échéant à proportion de la part de responsabilité d'IVS et éventuellement ses sous-traitants ultérieurs, tous les coûts découlant ou associés à cette violation, notamment ceux relatifs :

  • à la gestion par le CMG (le cas échéant avec l'assistance d'IVS) de la communication interne ou externe de cet événement (rédaction d'une FAQ pour les clients ou prospects du CMG, messages d'informations aux salariés, clients ou prospects du CMG, gestion d'un centre d'appels pour recueillir les demandes des personnes concernées, etc.) ;
  • aux conséquences organisationnelles de l'évènement pour le CMG (mobilisation d'équipes internes et externes, interruption ou dégradation des services de le, surveillance du périmètre affecté, actions de défense et/ou d'investigation, etc.) ;
  • aux obligations légales du CMG en cas de violation de données (notifications à l'autorité de contrôle, notifications aux personnes concernées, etc.) ;
  • à la sollicitation par le CMG d'experts techniques, d'avocats ou de toutes autres tierces personnes;
  • à toutes autres conséquences financières directes ou indirectes pour le CMG (procédure(s) judiciaire(s), dommages matériels ou immatériels (préjudices d'images et/ou de réputation du CMG)).
6. Mesures de sécurité

Conformément à l'article 32 du RGPD, IVS s'engage à prendre toutes mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des Données adapté aux risques, et notamment de les protéger contre toute destruction, perte, altération, diffusion ou accès non autorisés, de manière accidentelle ou illicite, notamment lorsque les traitements comportent des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ou communication à des personnes non autorisées, et ce, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements ainsi que des risques.

IVS tient à la disposition du CMG, sur simple demande, les documents relatifs à la sécurité et la confidentialité des Données comprenant notamment la documentation technique nécessaire, les analyses de risques produites et la liste détaillée des mesures de sécurité mises en œuvre.

IVS s'engage notamment à respecter les obligations suivantes et à les faire respecter par son personnel :

  • ne pas utiliser les documents, informations et Données traités à des fins autres que celles spécifiées dans le Contrat ;
  • ne pas divulguer ces documents, informations ou Données à d'autres personnes, qu'il s'agisse de personnes privées ou publiques, physiques ou morales ;
  • prendre toutes mesures permettant d'éviter toute utilisation détournée ou frauduleuse, toute corruption ou altération non autorisée, toute destruction non autorisée ou perte accidentelle des fichiers informatiques et des Données en cours d'exécution du Contrat;
  • ne donner accès à tout ou partie des Données qu'aux seuls membres de son personnel en ayant strictement besoin pour exécuter les obligations prévues au Contrat et informer ces personnes de la nature confidentielle des Données avant que celles-ci ne leur soient divulguées. IVS se porte fort de l'engagement des personnes autorisées à traiter les Données à respecter ladite confidentialité ou de leur soumission à une obligation légale appropriée de confidentialité.
  • ne reproduire, copier ou dédupliquer, sous quelque forme que ce soit, les Données et supports d'informations qui lui sont confiés que pour les seuls besoins de la stricte exécution des prestations prévues au Contrat et avec l'accord préalable du CMG ;
  • assurer une surveillance permanente des Données, moyens et supports utilisés pour exécuter les obligations prévues au Contrat;
  • tracer tous les accès aux Données permettant d'identifier chaque personne accédant aux Données, ainsi qu'a minima la date de cet accès et conserver ces traces pendant six (6) mois sauf contrordre du CMG ou contraintes légales ou réglementaires particulières.

    IVS tient à la disposition du CMG les traces de connexion aux Données traitées par les personnels autorisés des Parties et des sous-traitants ultérieurs, et ce pendant une durée de six (6) mois. Il garantit au CMG la conformité du traitement de ces traces de connexion à la Réglementation.

    Chaque opération de maintenance devra faire l'objet d'un descriptif précisant les dates, la nature des opérations et les noms des intervenants, mis à la disposition du CMG à première demande du CMG. En cas de télémaintenance permettant l'accès à distance aux Données, IVS prendra toutes dispositions afin de permettre au CMG d'identifier la provenance de chaque intervention extérieure.
7. Localisation des Données

IVS informe le CMG que les Données seront hébergées dans des serveurs localisés dans les pays situés en dehors de l'Espace économique européen suivants et/ou pourront être consultées à partir de pays situés en dehors de l'Espace économique européen.

Conformément aux articles 44 et suivants du RGPD, ces transferts sont encadrés par la signature des clauses contractuelles types adoptées par la Commission européenne avec le destinataire du transfert.

En cas de modification des pays de localisation ou de transfert des Données, IVS devra en informer préalablement le CMG sans délai et obtenir son consentement écrit.

Le CMG doit s'assurer que des garanties suffisantes sont apportées pour encadrer les transferts des Données susceptibles d'être opérés par IVS ou les sous-traitants ultérieurs en dehors de l'Espace économique européen, notamment par l'existence d'une décision d'adéquation de la Commission européenne, la mise en œuvre de règles contraignantes d'entreprise ou par la signature des clauses contractuelles types adoptées par la Commission européenne avec le destinataire du transfert.

IVS s'engage en conséquence à permettre au CMG d'obtenir ces garanties suffisantes soit auprès de lui, soit auprès de ses éventuels sous-traitants ultérieurs.

Il est rappelé que la simple consultation à distance des Données constitue un acte de transfert au sens du RGPD.

8. Conservation, restitution et suppression des Données

IVS s'engage à ne pas conserver les Données au-delà de la ou des durées de conservation fixées par le CMG et, en tout état de cause, à ne pas les conserver après la cessation du Contrat. Les durées de conservation des Données fixées par le CMG sont les suivantes:

Données concernées Durée de conservation
Données relatives à la gestion des comptes des UtilisateursPendant la durée du compte, puis 5 ans à compter de la demande de clôture du compte
Cookies et traceurs13 mois après le premier dépôt dans l'équipement terminal
Données relatives à la gestion des précontentieux et contentieux

En cas de précontentieux, suppression dès le règlement amiable du litige ou dès la prescription de l'action en justice

En cas de contentieux, suppression lorsque les recours ne sont plus possibles contre la décision rendue pour la faire exécuter

Données relatives aux directives concernant le sort des données après le décèsAussi longtemps que les données concernées par les directives seront conservées
Données relatives à l'exercice d'un droit d'accès, de rectification, d'effacement5 ans à compter de la date de fin de la procédure liée à la demande
Données relatives à l'exercice d'un droit d'opposition6 ans à compter de la date de fin de la procédure liée à la demande
Données relatives à l'exercice d'un droit à la limitation d'un traitement5 ans à compter de la fin de la limitation du traitement

A la cessation du Contrat, pour quelque cause que ce soit, IVS et ses éventuels sous-traitants ultérieurs restitueront sans délai au CMG sur demande de celle-ci l'ensemble des Données auxquelles ils auront eu accès au cours de l'exécution du Contrat dans le même format que celui utilisé par le CMG pour communiquer les Données à IVS ou, au choix du CMG, dans le format demandé par le CMG, et ce sans aucun frais pour le CMG.

Une fois la restitution effectuée dans les conditions précitées et après la délivrance d'un accusé de réception du CMG par lettre recommandée avec accusé de réception, IVS et ses éventuels sous-traitants ultérieurs détruiront toutes les copies des Données détenues dans leurs systèmes informatiques ou sur support papier dans un délai de (15) quinze jours ouvrés et devront en apporter la preuve au CMG à première demande, à moins que le droit de l'Union ou le droit français n'exige la conservation de Données.

IVS s'engage à ce que cette destruction soit complète et définitive et empêche l'avenir toute reconstitution même partielle des Données (à l'exception des processus d'archivage nécessaires notamment au règlement de tout litige futur et dans le respect des délais légaux de prescription).

9. Délégué à la protection des données

LE CMG n'a pas désigné un délégué à la protection des données.
IVS n'a pas désigné un délégué à la protection des données.
En cas de désignation de délégué à la protection des données, IVS s'engage à en informer le CMG dans les meilleurs délais et à lui communiquer les coordonnées du nouveau délégué à la protection des données.

10. Registre de IVS

IVS tient à jour un registre de toutes les catégories d'activités de traitement effectuées pour le compte du CMG, comprenant toutes les informations prévues par l'article 30.2 du RGPD et incluant a minima:

  • une description des mesures de sécurité techniques et organisationnelles encadrant la mise en œuvre des traitements des Données et les documents internes pertinents ;
  • une liste des éventuels sous-traitants ultérieurs auxquels la mise en œuvre de tout ou partie des traitements a ou sera confiée et les documents contractuels encadrant cette intervention tierce;
  • le cas échéant, les transferts de Données vers un pays non membre de l'Espace économique européen et les documents attestant de l'existence de garanties appropriées conformément à l'article 49.1 du RGPD;
  • toute la documentation relative à des éventuelles violations de Données, y compris les communications faites au CMG à cet égard en application de la présente annexe.
11. Documentation et audits

IVS mettra à la disposition du CMG, à première demande et dans un délai maximum de huit jours calendaires – sauf urgence ou violation de Données, auxquels cas le délai est ramené à vingt-quatre (24) heures – les informations et ladocumentation nécessaire pour démontrer le respect de ses obligationsen tant que sous-traitant des Données du CMG et des obligations de ses sous-traitants ultérieurs au sens de la Réglementation.

Le CMG dispose également du droit de procéder à toute vérification qui lui paraîtrait utile pour vérifier le respect par IVS et ses sous-traitants ultérieurs de ces obligations, notamment par le biais d'un audit prévu aux présentes.

L'audit pourra se dérouler dans les locaux d'IVS et/ou de ses sous-traitants ultérieurs et/ou à distance par le CMG ou par un auditeur choisi par le CMG parmi les professions réglementées et soumis à confidentialité.

Il est de la responsabilité d'IVS que le CMG ou son auditeur puisse, en permanence, être en mesure de pouvoir localiser et auditer le lieu de stockage des Données.

IVS s'engage et se porte fort de l'engagement de ses sous-traitants ultérieurs à coopérer et à contribuer aux audits ainsi mis en œuvre. IVS s'engage et se porte fort de l'engagement de ses sous-traitants ultérieurs à donner accès au CMG ou à l'auditeur à leurs locaux et à le(s) mettre en mesure d'effectuer toutes les démarches nécessaires pour s'assurer du bon respect des exigences et obligations prévues dans la présente annexe. IVS s'engage également et se porte fort de l'engagement de ses sous-traitants ultérieurs à communiquer sous bref délai au CMG ou à l'auditeur toute les informations sollicitées par ces derniers en lien avec l'exécution des engagements pris aux termes de la présente annexe.

IVS s'engage à répercuter ces engagements dans les contrats conclus avec les éventuels sous-traitants ultérieurs et s'en porte fort vis-à-vis du CMG.

Les audits devront permettre une analyse du respect par IVS et ses sous-traitants ultérieurs de leurs obligations au titre de la présente annexe et de la Réglementation, notamment :

  • par la vérification des éléments ci-dessus mentionnés;
  • par la vérification de l'ensemble des mesures organisationnelles et de sécurité mises en œuvre par IVS et ses sous-traitants ultérieurs;
  • par la vérification des journaux de localisation des Données ;
  • par l'analyse des mesures mises en place pour supprimer les Données, pour prévenir toutes transmissions illégales de Données ou pour empêcher le transfert de Données vers un pays non autorisé par le CMG ;
  • par l'analyse de contrats,
  • etc.

L'audit doit aussi permettre de s'assurer que les mesures de sécurité et de confidentialité mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié.

À la suite de l'audit, le CMG ou l'auditeur dressera un rapport écrit. IVS disposera d'un délai de quinze (15) jours ouvrables à compter de la réception du rapport pour formuler ses observations par écrit. Ce délai est ramené à trois (3) jours ouvrés en cas d'urgence ou de violation de Données.

Dans l'hypothèse où des inexécutions de la présente annexe et, éventuellement, des failles de confidentialité ou de sécurité auraient été constatées au cours de l'audit, le CMG pourra mettre en demeure IVS et éventuellement ses sous-traitants ultérieurs d'y remédier, sans aucun coût complémentaire pour le CMG, sous bref délai et, au plus tard si aucun délai n'est expressément mentionné, dans le mois suivant l'envoi de la lettre de mise en demeure. À l'expiration de ce délai, si IVS et éventuellement ses sous-traitants ultérieurs n'ont pas pris les mesures nécessaires pour remédier à ces inexécutions et éventuelles failles, le CMG pourra mettre fin de plein droit au Contrat par simple notification adressée par lettre recommandée avec accusé de réception, et ce, sans préjudice des éventuels dommages-intérêts auquel le CMG pourra prétendre et nonobstant toute clause contraire dans le Contrat.

Dans l'hypothèse où des inexécutions du Contrat et notamment de la présente annexe et, éventuellement, des failles de confidentialité ou de sécurité auraient été constatées au cours de l'audit, les frais de l'audit seront supportés en totalité par IVS.

Après un incident relatif à une violation de Données, le délai de préavis pour procéder à un audit selon le présent article est ramené à vingt-quatre (24) heures.

Le droit d'audit du CMG perdure pendant un (1) an après la fin du Contrat.

12. Coopération avec l'autorité de contrôle

IVS s'engage à coopérer avec les autorités de protection des données compétentes, notamment en cas de demande d'information qui pourrait lui être adressée en cas de contrôle.

En cas de requête de divulgation des données à caractère personnel provenant d'une autorité administrative ou judiciaire reçue par IVS, IVS s'engage à en informer immédiatement le CMG, sauf lorsque la divulgation d'une telle demande serait prohibée, telle qu'une interdiction prévue par le droit pénal afin de préserver la confidentialité d'une enquête de police.