ACCORD SUR LA PROTECTION DES DONNÉES
Le présent accord sur la protection des données (« DPA ») fait partie intégrante du contrat conclu entre Sonova AG, y compris l’ensemble de ses filiales et sociétés liées fournissant des services au titre du Contrat (collectivement, « Sonova »), et le Client.
Aux fins du présent DPA, les références à « Sonova » ou au « Groupe » s’appliquent à toute entité du Groupe qui traite des données à caractère personnel dans le cadre du Contrat avec le Client.
Article 1 – Définitions
1.1 « Lois applicables en matière de protection des données » désigne l’ensemble des lois et réglementations applicables relatives à la vie privée, à la sécurité, à la protection et au traitement des Données à caractère personnel, comprenant notamment, selon le cas et sans s’y limiter : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) (« RGPD »), la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, le Règlement général sur la protection des données du Royaume-Uni (Règlement (UE) 2016/679) (« RGPD Royaume‑Uni ») ainsi que le Data Protection Act 2018, la loi fédérale suisse sur la protection des données 235.1 du 25 septembre 2020, le California Consumer Privacy Act de 2018 (« CCPA »), tel que modifié par le California Privacy Rights Act de 2020 (« CPPA »), la loi américaine Health Insurance Portability and Accountability Act (« HIPAA »), la loi de la République populaire de Chine sur la protection des informations personnelles (« PIPL »), ainsi que toute autre réglementation pertinente en matière de protection des données dans les juridictions où les Parties exercent leurs activités.
1.2 « Client » désigne le professionnel ou l’établissement de soins auditifs dûment habilité qui fournit des dispositifs auditifs à l’Utilisateur final (consommateur).
1.3 « Utilisateurs finaux » désigne les personnes physiques qui utilisent directement un dispositif auditif Sonova.
1.4 « Données à caractère personnel » a le sens qui lui est donné dans les Lois applicables en matière de protection des données (par exemple : toute donnée se rapportant à une personne physique identifiée ou identifiable) ou tel que défini par toute autre notion équivalente dans ces lois (par exemple : information personnelle, information permettant d’identifier une personne). Pour plus de clarté, les Données à caractère personnel n’incluent pas les informations rendues anonymes ou agrégées de telle sorte que la personne concernée ne soit plus identifiable.
1.5 Aux fins du présent DPA, les termes « Autorité de contrôle », « Délégué à la protection des données », « Données à caractère personnel », « Personnes concernées », « Pseudonymisation », « Responsable du traitement », « Traitement », « Transfert », « Sous‑traitant », « Vente », « Partage » et « Mise en partage », ainsi que « Violation de données à caractère personnel », ont le sens qui leur est donné dans les Lois applicables en matière de protection des données.
Article 2 – Conformité aux Lois applicables en matière de protection des données
2.1 Sonova et le Client, ou ensemble « les Parties », s’engagent à respecter l’ensemble des Lois applicables en matière de protection des données, conformément aux termes et conditions ci-après.
2.2 Chaque Partie est seule responsable et doit s’assurer à ce que son propre Traitement de Données à caractère personnel au titre du Contrat soit effectué en conformité avec les Lois applicables en matière de protection des données qui lui sont applicables et conformément au présent DPA.
2.3 Chaque Partie garantit que toute communication de Données à caractère personnel à l’autre Partie dans le cadre de l’exécution du Contrat sera licite, loyale et transparente, et qu’elle aura fourni toutes les informations requises aux personnes concernées (politique de confidentialité) et obtenu tous les consentements nécessaires, ou qu’elle peut justifier de tout autre base légale appropriée.
2.4 Lorsque le présent DPA se réfère à des dispositions spécifiques du Règlement (UE) 2016/679 (« RGPD »), y compris aux bases légales de l’article 6 du RGPD, ces références ne s’appliquent que dans la mesure où le RGPD est applicable à l’activité de Traitement concernée. Lorsque le Traitement en cause est régi par une autre Loi applicable en matière de protection des données, les dispositions correspondantes de cette autre loi s’appliquent à la place.
Article 3 – Rôles des Parties
3.1 Selon la nature du produit et/ou service fourni, Sonova et le Client peuvent agir soit en qualité de Responsables de traitement indépendants, soit en tant que Responsables conjoints, au sens des Lois applicables en matière de protection des données. Le rôle applicable est déterminé par l’activité de Traitement spécifique ainsi que par les finalités et les moyens du Traitement définis en lien avec le produit ou service concerné.
3.2 Lorsque les Parties agissent en tant que Responsables conjoints, ce Traitement est régi par la Section A du présent DPA (Articles 4 à 12).
3.3 Lorsque les Parties agissent en tant que Responsables de traitement indépendants, ce Traitement est régi par la Section B du présent DPA (Article 13).
3.4 Dans la mesure où, dans le cadre de leur relation, une Partie traite des Données à caractère personnel pour le compte de l’autre Partie et est, de ce fait, qualifiée de Sous‑traitant agissant pour le compte d’un Responsable du traitement au sens des Lois applicables en matière de protection des données, les Parties conviennent de conclure un accord de sous‑traitance distinct.
Section A – Accord de responsables conjoints
Article 4 – Responsables conjoints
4.1 Les Parties reconnaissent que, dans le cadre de l’utilisation des produits et services de Sonova, elles peuvent agir en tant que Responsables conjoints pour les Données à caractère personnel relatives aux Utilisateurs finaux, lorsqu’elles déterminent conjointement les finalités et les moyens du Traitement.
4.2 Les Parties reconnaissent et conviennent qu’en règle générale, les activités suivantes ne nécessitent pas la communication ou le partage des Données à caractère personnel des Utilisateurs finaux avec Sonova. Nonobstant ce qui précède, lorsque des Données à caractère personnel sont effectivement partagées, les Parties agissent en tant que Responsables conjoints pour le Traitement des Données à caractère personnel aux fins suivantes :
a) le service après‑vente des produits, y compris la réparation, le remplacement ou la maintenance, lorsque ce Traitement est nécessaire à l’exécution du contrat conclu avec l’Utilisateur final. Selon les circonstances, le service après‑vente peut nécessiter la collecte d’un consentement supplémentaire ou tout autre fondement juridique applicable ;
b) l’utilisation d’outils et de logiciels accessoires au produit, y compris les mises à jour logicielles, la surveillance à distance ou la configuration du dispositif, lorsqu’elle est nécessaire à l’exécution du contrat conclu avec l’Utilisateur final ou fondée sur un autre base légale ; la fabrication des produits, incluant la personnalisation ou l’adaptation du produit à l’Utilisateur final, lorsqu’elle est nécessaire à l’exécution du contrat conclu avec l’Utilisateur final et fondée sur une base légale valable en vertu des Lois applicables en matière de protection des données.
4.3 Lorsque, pour sa propre commodité opérationnelle, le Client choisit de communiquer ou de rendre accessibles à Sonova des Données à caractère personnel d’Utilisateurs finaux au‑delà de ce qui est strictement nécessaire aux fins énoncées à l’article 4.2, le Client doit :
a) veiller au respect du principe de minimisation des données prévu par les Lois applicables en matière de protection des données ;
b) identifier et documenter une base légale adéquate, y compris recueillir un consentement valable lorsque cela est requis ;
c) fournir aux Personnes concernées les informations requises par les Lois applicables en matière de protection des données, notamment des informations claires relatives à la communication de leurs Données à caractère personnel à Sonova, aux finalités d’une telle communication et aux rôles respectifs des Parties.
4.4 Le Client déclare et garantit que toute Donnée à caractère personnel partagée avec Sonova dans le cadre du traitement conjoint a été collectée de manière licite et peut être traitée légalement aux fins prévues dans le présent DPA, dans toute politique de confidentialité complémentaire, et conformément aux Lois applicables en matière de protection des données.
4.5 Le Client s’interdit de Vendre ou de Partager les Données à caractère personnel des Utilisateurs finaux, et de faire usage, de conserver, de communiquer ou de traiter de quelque manière que ce soit les informations confidentielles ou appartenant à Sonova en dehors de sa relation commerciale avec Sonova, ou à toute autre fin commerciale, sauf si la loi l’y oblige.
Article 5 – Caractéristiques des Traitements de Données à caractère personnel
5.1 Les Parties conviennent que tout Traitement des Données à caractère personnel, ainsi que les finalités et les moyens déterminés conjointement, présente et respecte les caractéristiques définies dans l’avis de confidentialité applicable, lequel est incorporé par référence au présent DPA.
5.2 Sonova peut agréger ou anonymiser des Données à caractère personnel de telle sorte que les données résultantes ne constituent plus des Données à caractère personnel au sens des Lois applicables en matière de protection des données, et à condition que ces données ne puissent plus être rattachées ni associées à une Personne concernée par Sonova (ensemble, les « Données agrégées »). Sonova peut utiliser ces Données agrégées pour ses propres besoins internes (par exemple : recherche et amélioration des services, intelligence artificielle générative), dans la mesure permise par le Contrat d’utilisation professionnelle et les Lois applicables en matière de protection des données.
Article 6 – Obligations générales des Parties
6.1 Les Parties s’engagent à :
a) veiller à ce que le personnel ayant accès aux Données à caractère personnel ou participant à leur Traitement en vertu du présent Contrat soit tenu à une obligation de confidentialité et reçoive la formation nécessaire en matière de protection des Données à caractère personnel ;
b) prendre toutes les mesures nécessaires pour se conformer aux Lois applicables en matière de protection des données, y compris tenir un registre des activités de Traitement et coopérer, le cas échéant, à la réalisation d’analyses d’impact relatives à la protection des données concernant les activités de Traitement des Données à caractère personnel ;
c) en cas de sous‑traitance d’activités de Traitement, veiller à ce que tous les fournisseurs, sous‑traitants ou autres tiers respectent les obligations découlant du présent DPA ;
d) supprimer ou détruire de manière sécurisée toutes les Données à caractère personnel concernées, y compris toute copie ou reproduction, sauf dans la mesure où la loi impose leur conservation.
Article 7 – Droits des Personnes concernées
7.1 Le Client est responsable de fournir aux Utilisateurs finaux concernés les informations relatives au Traitement de leurs Données à caractère personnel, conformément aux Lois applicables en matière de protection des données, ainsi que d’obtenir, de documenter tout consentement requis ou tout autre base légale appropriée avant de partager des Données à caractère personnel avec Sonova.
7.2 Sauf dispositions contraires convenues par les Parties, les Personnes concernées peuvent exercer leurs droits auprès de l’une ou l’autre des Parties. Les Parties coopèrent de bonne foi pour assurer une réponse dans les délais et conforme aux exigences légales.
Article 8 – Sécurité des Données à caractère personnel
8.1 Chaque Partie met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque lié au Traitement des Données à caractère personnel, compte tenu des règles de l’art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du Traitement.
8.2 Sans préjudice de ce qui précède, ces mesures comprennent, le cas échéant ou lorsque la loi l’exige :
a) la pseudonymisation et le chiffrement des Données à caractère personnel afin de les protéger contre tout accès, toute intrusion ou toute divulgation non autorisés ;
b) des mesures visant à assurer en permanence la confidentialité, l’intégrité, la disponibilité et la résistance des systèmes et services de Traitement, comprenant des garanties administratives, techniques et physiques ;
c) des procédures permettant de rétablir, en temps utile, la disponibilité des Données à caractère personnel et l’accès à celles‑ci en cas d’incident physique ou technique ;
d) des tests, évaluations et audits réguliers de l’efficacité des mesures techniques et organisationnelles mises en place afin de garantir la sécurité du Traitement, incluant des tests de vulnérabilité et des tests d’intrusion lorsque cela est approprié ;
e) des mesures de contrôle d’accès garantissant que seules les personnes autorisées nécessitant un besoin légitime peuvent accéder aux Données à caractère personnel ;
f) la surveillance continue des activités de Traitement afin de détecter, prévenir et traiter les accès non autorisés ou les incidents de sécurité ;
g) des programmes de formation et de sensibilisation des employés, garantissant que le personnel impliqué dans le Traitement connait et comprend ses obligations au titre des Lois applicables en matière de protection des données et du présent DPA.
8.3 Chaque Partie est responsable de la mise en œuvre des mesures de sécurité dans son propre périmètre de responsabilité et notifie dès que possible à l’autre Partie tout incident de sécurité susceptible d’affecter des Données à caractère personnel partagées ou traitées conjointement.
Article 9 – Sous‑traitants
9.1 Les Parties peuvent recourir à des Sous‑traitants sous réserve du respect des dispositions du présent article 9.
9.2 Tout Traitement réalisé par des Sous‑traitants doit faire l’objet d’un contrat écrit entre la Partie concernée et les Sous‑traitants, imposant à ces derniers de respecter les mêmes obligations et restrictions que celles prévues par le présent DPA, y compris des garanties quant à la mise en œuvre de mesures techniques et organisationnelles garantissant que le Traitement satisfait à l’ensemble des exigences des Lois applicables en matière de protection des données.
9.3 Chaque Partie tient à jour une liste de ses Sous‑traitants impliqués dans le Traitement de Données à caractère personnel au titre du présent DPA. Sur demande écrite raisonnable de l’autre Partie, cette liste est mise à disposition, étant précisé que la Partie divulgatrice peut occulter ou limiter certaines informations dans la mesure nécessaire à la protection d’informations confidentielles ou de la sécurité.
9.4 Chaque Partie demeure responsable du Traitement des Données à caractère personnel et des actes et omissions de ses Sous‑traitants comme si ces actes ou omissions étaient le fait de la Partie concernée elle‑même.
Article 10 – Violation de données à caractère personnel
10.1 En cas de Violation de données à caractère personnel, les Parties s’engagent à coopérer et à s’informer mutuellement dès que possible, sans délai injustifié, après avoir pris connaissance d’une Violation de données à caractère personnel affectant des Données à caractère personnel traitées en vertu du présent DPA. Cette notification doit comprendre toutes les informations raisonnablement nécessaires pour permettre à l’autre Partie de remplir ses obligations au titre des Lois applicables en matière de protection des données.
10.2 Les Parties s’engage à coopérer de bonne foi pour évaluer l’ampleur, la nature et les conséquences probables de la Violation de données à caractère personnel, et pour déterminer si cette violation est susceptible d’engendrer un risque ou un risque élevé pour les droits et libertés des personnes physiques.
10.3 La Partie concernée par la Violation de données à caractère personnel réalise une enquête et une analyse afin de déterminer les conséquences de cette Violation, et en particulier d’évaluer si elle est susceptible de créer un risque pour les droits et libertés des Personnes concernées. À cet égard :
a) la Partie concernée est responsable de la notification à l’autorité de contrôle compétente et, le cas échéant, aux Personnes concernées affectées, sauf disposition contraire des Lois applicables en matière de protection des données. L’autre Partie doit lui fournir toute l’assistance et les informations nécessaires pour lui permettre d’effectuer cette notification dans les délais légaux ;
b) la Partie concernée met en œuvre dès que possible les mesures nécessaires pour remédier à la Violation de données à caractère personnel ;
c) la Partie concernée documente la Violation de données à caractère personnel afin d’en assurer la traçabilité, que son analyse ait conclu ou non à l’existence d’un risque pour les droits et libertés des Personnes concernées.
Article 11 – Transferts transfrontaliers de données
11.1 Les Parties s’engagent, en cas de Transfert de Données à caractère personnel en dehors du pays dans lequel les Données à caractère personnel ont été collectées, et si le pays importateur n’est pas considéré comme assurant un niveau de protection adéquat au sens de la Loi applicable en matière de protection des données, à coopérer afin de garantir :
a) la mise en œuvre de procédures appropriées pour respecter la législation relative aux Données à caractère personnel, notamment lorsqu’une demande d’autorisation auprès de l’Autorité de contrôle compétente est nécessaire ;
b) la mise en place de mesures et garanties organisationnelles, techniques et juridiques appropriées pour encadrer ce Transfert et assurer le niveau de protection requis par la législation relative aux Données à caractère personnel ;
c) si nécessaire, la mise en œuvre de mécanismes licites de transferts transfrontaliers, tels que les clauses contractuelles types adoptées par la Commission européenne (décision 2010/87/UE du 5 février 2010 ou toute version plus récente, y compris les clauses contractuelles types figurant dans la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021), l’International Data Transfer Agreement ou l’International Data Transfer Addendum émis par l’Information Commissioner’s Office du Royaume‑Uni, les clauses contractuelles types ou autres mécanismes de transfert reconnus par le droit suisse de la protection des données, ou encore les réglementations de l’Autoridade Nacional de Proteção de Dados, y compris entre toutes les filiales concernées, lorsque cela est nécessaire.
11.2 Selon le pays tiers importateur, les Parties s’engagent à mettre en place des mesures complémentaires, telles que la réalisation d’une analyse de capacité du transfert de données, si, après évaluation des circonstances du Transfert et de la législation du pays tiers, cela s’avère nécessaire pour la protection des Données à caractère personnel transférées.
Article 12 – Délégué à la protection des données
12.1 Chaque Partie communique à l’autre Partie, sur demande, les coordonnées respectives de leur Délégué à la protection des données.
Section B – Traitement par des Responsables indépendants
Article 13 – Caractéristiques des activités de Traitement et obligations générales des Parties
13.1 Sonova agit en qualité de Responsable de traitement indépendant pour le Traitement des Données à caractère personnel relatives au Client et/ou à ses représentants, employés ou collaborateurs pour les finalités suivantes. Lorsque le RGPD est applicable, les bases légales et finalités indiquées ci‑après s’appliquent :
a) exécution des commandes et du contrat (RGPD article 6, paragraphe 1, point b)) ;
b) suivi de la relation avec le Client et traitement des demandes (RGPD article 6, paragraphe 1, point b)) ;
c) gestion administrative du dossier Client (RGPD article 6, paragraphe 1, points b) et f)) ;
d) gestion de la relation et du compte Client (RGPD article 6, paragraphe 1, points b) et f)) ;
e) gestion comptable et financière (RGPD article 6, paragraphe 1, points b) et f)) ;
f) opérations de service après‑vente (RGPD article 6, paragraphe 1, points b) et f)) ;
g) activités de vente et de marketing (RGPD article 6, paragraphe 1, point f)) ;
h) jeux‑concours et opérations promotionnelles (RGPD article 6, paragraphe 1, point a)) ;
i) organisation d’événements professionnels (RGPD article 6, paragraphe 1, point a)).
13.2 Sonova agit en qualité de Responsable de traitement indépendant pour le Traitement des Données à caractère personnel relatives aux Utilisateurs finaux (y compris les consommateurs) du Client pour les finalités suivantes. Lorsque le RGPD est applicable, les bases légales et finalités indiquées ci‑après s’appliquent :
a) respect des obligations légales et réglementaires applicables, y compris celles issues du Règlement (UE) 2017/745 relatif aux dispositifs médicaux (« RDM ») (RGPD article 6, paragraphe 1, point c)) ;
b) utilisation d’outils et de logiciels accessoires aux produits développés par Sonova, telle que décrit de manière plus détaillée dans l’avis ou la politique de confidentialité applicable.
13.3 Le Client agit en qualité de Responsable de traitement indépendant pour le Traitement des Données à caractère personnel relatives à ses Utilisateurs finaux (y compris les consommateurs) pour ses propres finalités, notamment la gestion de sa relation commerciale et la fourniture de soins, dans le respect de ses obligations légales et réglementaires.