Juridique et réglementaire

Conditions d'utilisation et mentions légales

Comprendre comment moveUP joue un rôle moteur dans le domaine de la conformité et des affaires réglementaires.

Contactez notre équipe QARA
image du héros

Version 1 -SEP 2023

La présente Charte sur la protection de la vie privée ("la Charte") est conclue entre :  

  • moveUP NV, société anonyme de droit belge, ayant son siège social à Kantersteen 47, 1000 Bruxelles et inscrite à la Banque Carrefour des Entreprises sous le numéro 0643.795.235, dûment représentée par Ciaran McCourt, CEO, ci-après dénommée "moveUP" ;

ET

  • Le partenaire qui intègre les services et application(s) de moveUP dans son cadre opérationnel de fourniture de soins de santé, selon les termes du contrat de services conclu entre moveUP et le partenaire, ci-après dénommé "Partenaire" ;

moveUP et le partenaire peuvent être désignés conjointement comme les"partis" et individuellement comme un"parti".  

Tous les termes en majuscules utilisés dans la présente Charte ont la signification qui leur est attribuée à l'annexe I, qui fait partie intégrante de la présente Charte.

  1. INTRODUCTION GÉNÉRALE ET SUJET  
  1. En tant qu'entreprise de thérapeutique numérique, moveUP soutient les organisations des sciences de la vie et les professionnels de la santé pour mettre en œuvre des parcours de santé numérique avancés. La suite intégrée de services et d'applications moveUP (collectivement désignée sous le nom de "Solution"), fournit des informations complètes et renforce la prise de décision clinique tout au long du parcours du patient. En adaptant le traitement et la rééducation aux besoins de chaque patient, la solution vise à contribuer à des soins de santé fondés sur la valeur. En outre, moveUP offre des services de réadaptation professionnelle grâce à une équipe de professionnels de la santé.
  1. Le Partenaire est une entité active dans le secteur de la santé qui exploite la Solution de moveUP dans son cadre opérationnel, en intégrant des thérapies numériques avancées dans son modèle de prestation de soins de santé. Ce partenariat (le " Partenariat ") est régi par un accord de services (l'" Accord principal ") qui précise les obligations et responsabilités respectives des Partis dans le cadre de leur relation professionnelle.  
  1. Dans le cadre du partenariat, les partis traiteront et échangeront des données à caractère personnel. Les partis souhaitent donc conclure la présente Charte, dans le but de délimiter leurs responsabilités respectives en ce qui concerne les principes et les obligations énoncés dans la législation applicable en matière de protection des données, y compris le GDPR. La présente Charte annule et remplace tout accord ou arrangement antérieur entre les partis à ce sujet, y compris tout accord de traitement des données antérieur exécuté entre les parties conformément à l'article 28 du GDPR.  
  1. DESCRIPTION DES RÔLES ET ACTIVITÉS DE TRAITEMENT
  1. Catégories de données à caractère personnel échangées et traitées par les partis :  
  • Les données d'identification et de contact, telles que le prénom, le nom, l'adresse du domicile, la date de naissance, le sexe, le numéro de téléphone et l'adresse électronique ;
  • Informations sur les soins de santé, telles que les symptômes, les traitements, les maladies, les antécédents médicaux, les informations sur le mode de vie du patient ;
  • Les informations relatives à la réadaptation, telles que les plans de traitement, les rapports d'avancement, les commentaires des patients et les résultats des interventions thérapeutiques.
  1. Catégories de personnes concernées par les données à caractère personnel :
  • Patients du partenaire
  • Le cas échéant : les professionnels de la santé employés ou contractés par le partenaire
  • Le cas échéant : d'autres personnes impliquées dans les soins du patient, si la loi l'exige ou le permet.
  1. Finalités de l'échange et du traitement des données à caractère personnel par les partis :

Les partis garantissent qu'ils n'échangeront et ne traiteront les données à caractère personnel que pour assurer la bonne exécution du partenariat dans le cadre de l'accord principal et conformément aux dispositions de la présente charte. Le traitement à toute autre fin nécessite un accord écrit préalable entre les partis.  

En particulier, les partis échangeront et traiteront des données à caractère personnel aux fins suivantes

  • Fournir et adapter les services de santé aux besoins individuels des patients, y compris le diagnostic, le traitement et la réadaptation ;  
  • Suivi des progrès et des résultats des patients ;  
  • Soutenir la prise de décision clinique ;  
  • Effectuer des tâches administratives liées aux soins et à la réadaptation des patients, telles que la prise de rendez-vous, l'appel des patients pour les informer de la solution, la gestion des dossiers des patients ;  
  • Mener des activités de recherche et de développement pour améliorer la solution et ses applications, y compris au moyen d'analyses agrégées, d'informations fondées sur des données, de rapports et de publications occasionnelles, à tout moment en conformité et en compatibilité avec les finalités premières du traitement.
  1. Rôles et responsabilités des partis en matière de protection des données :
  1. Lorsque, conformément à l'accord principal, la solution est exploitée par le partenaire parallèlement aux services de réadaptation de moveUP, de sorte que le personnel spécialisé de moveUP participe activement au processus de réadaptation des patients du partenaire (ci-après dénommé "scénario 1"), les rôles et qualifications des parties en vertu du GDPR sont les suivants :
  • Les deux partis agissent en tant que responsables du traitement, déterminant toutes deux les finalités et les moyens du traitement des données à caractère personnel.  
  1. Lorsque, conformément à l'Accord principal, la Solution est exploitée par le Partenaire sans services de rééducation concomitants de moveUP, de sorte que le personnel dédié de moveUP ne participe pas au processus de rééducation des patients du Partenaire (ci-après dénommé "Scénario 2"), les rôles et qualifications des Parties en vertu du GDPR sont les suivants :
  • moveUP agit en tant que processeur. En tant que Responsable de traitement, moveUP traite les Données Personnelles pour le compte du Partenaire, conformément aux instructions fournies par le Partenaire et aux termes de la présente Charte et de l'Accord Principal.
  • Le Partenaire agit en tant que contrôleur. En tant que Responsable de traitement, le Partenaire détermine les finalités et les moyens du traitement des Données Personnelles via la Solution, en donnant des instructions à moveUP concernant le traitement de ces données conformément aux termes de la présente Charte et de l'Accord Principal.
  • Les dispositions complémentaires de la section 10 de la présente Charte s'appliquent aux activités de traitement effectuées dans le cadre du présent scénario 2.
  1. Les partis conviennent de s'informer mutuellement dans les meilleurs délais de tout changement susceptible d'affecter leurs rôles en vertu du GDPR, comme indiqué dans la présente section.
  1. Pour éviter toute ambiguïté, la présente Charte ne s'applique pas au traitement des Données Personnelles par un Parti qui intervient avant, après ou indépendamment de l'exécution du Partenariat, telles que les activités de traitement relatives à la fourniture des services indépendants respectifs de chaque Parti à la Personne Concernée. Ainsi, sans limitation, la présente Charte ne s'applique pas au traitement des Données Personnelles par moveUP dans le but de créer des comptes d'utilisateurs pour les applications au sein de la Solution, ou de fournir les services directs de moveUP aux patients sans instruction ou coopération avec le Partenaire.  
  1. RESPECT DE LA LÉGISLATION  
  1. Les deux partis s'engagent expressément à respecter les dispositions de la législation applicable en matière de protection des données, y compris, mais sans s'y limiter, le GDPR, et à ne pas faire ou s'abstenir de faire quoi que ce soit qui puisse amener l'autre parti à enfreindre la législation applicable en matière de protection des données.
  1. Les deux partis s'aident mutuellement à respecter les obligations qui leur incombent en vertu de la législation applicable en matière de protection des données, en tenant compte de la nature du traitement et des informations dont ils disposent.
  1. MESURES TECHNIQUES ET ORGANISATIONNELLES  
  1. Pendant la durée de la présente Charte, les deux Partis adoptent et maintiennent les mesures techniques et organisationnelles appropriées de manière à ce que le traitement et la configuration technique de l'Application soient conformes aux exigences de la législation applicable en matière de protection des données et que la protection des droits de la Personne concernée soit garantie. En particulier, les deux partis prennent les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du GDPR et en tenant compte des rôles et responsabilités respectifs tels que définis à la section 2 de la présente Charte. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier de la nature du traitement et des risques liés au traitement, notamment les risques de destruction accidentelle ou illégale, de perte, d'altération, de divulgation non autorisée des données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou d'accès non autorisé à ces données.  
  1. Les parties peuvent engager des (sous-)traitants pour traiter les données à caractère personnel aux fins énoncées dans la présente charte. Dans ce cas, les partis
  • n'engage ce (sous-)traitant que s'il fournit des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que son traitement réponde aux exigences de la législation applicable en matière de protection des données ;
  • veiller à ce que les dispositions contractuelles nécessaires soient établies conformément à la législation sur la protection des données, y compris l'article 28 du GDPR.
  1. Chaque parti peut se réserver le droit, après notification écrite préalable, de suspendre et/ou de résilier la charte pour une durée indéterminée si l'autre parti n'est plus en mesure de fournir des mesures techniques et organisationnelles proportionnées au risque de traitement. Après cette notification, les deux partis veillent à coopérer de bonne foi pour répondre aux préoccupations soulevées par le parti notifiant.
  1. COMPORTEMENT À L'ÉGARD DES ORGANISMES PUBLICS NATIONAUX ET DES AUTORITÉS JUDICIAIRES
  1. Les partis s'informent mutuellement dans les meilleurs délais de toute demande, ordonnance, enquête ou assignation qui leur est adressée par une autorité gouvernementale ou judiciaire nationale compétente et qui implique la communication des données à caractère personnel traitées par le parti ou ses sous-traitants ou de toute donnée et/ou information relative à ce traitement par le parti ou ses sous-traitants.
  1. DROITS DES PERSONNES CONCERNÉES
  1. Si l'un des partis reçoit une demande ou une plainte d'une personne concernée concernant une activité de traitement pour laquelle l'autre parti agit en tant que responsable du traitement, il en informe rapidement l'autre parti par écrit et transmet la demande ou la plainte sans y répondre lui-même, sauf si le droit applicable l'exige. Le parti qui transmet la demande ou la plainte déploie des efforts raisonnables pour s'assurer que la demande ou la plainte est transmise avec exactitude et rapidité, mais il n'est pas responsable des erreurs ou des omissions dans le processus de transmission.
  1. Les partis conviennent de fournir toute assistance et information raisonnable demandée par l'autre parti en ce qui concerne l'obligation de ce parti de traiter et de gérer une demande ou une plainte émanant de personnes concernées et ayant trait à l'objet de la présente charte.  
  1. Pour éviter toute ambiguïté, la responsabilité de gérer une demande ou une plainte des personnes concernées concernant leurs droits relatifs aux données à caractère personnel traitées dans le cadre du partenariat et de communiquer sa décision à la personne concernée demeure à tout moment la propriété du parti respectif agissant en tant que responsable du traitement en ce qui concerne la demande.  
  1. VIOLATION DE DONNÉES PERSONNELLES
  1. En cas de violation de données à caractère personnel en rapport avec l'objet de la présente charte, le parti qui a subi la violation de données à caractère personnel s'engage à notifier l'autre partie sans délai après en avoir pris connaissance, si et dans la mesure où cette violation de données à caractère personnel peut affecter les opérations et/ou les activités de traitement (ou toute partie de celles-ci) qui se déroulent sous le contrôle de l'autre parti. Le Parti notifiant peut expurger toute information incluse dans sa notification si cela est nécessaire pour protéger ses secrets d'affaires ou d'autres informations confidentielles, mais elle doit fournir un résumé significatif permettant à l'autre Parti d'évaluer l'impact et/ou les conséquences négatives potentielles de la violation de données à caractère personnel sur ses propres opérations et/ou activités de traitement.
  1. Dans le cas décrit à l'article 7.1, les partis veillent à coopérer de bonne foi pour atténuer les conséquences négatives potentielles d'une telle violation de données à caractère personnel. À cette fin, les partis conviennent de bonne foi d'un plan d'action, en tenant compte du rôle de chaque parti, des exigences fixées par la législation applicable en matière de protection des données, ainsi que des informations et des capacités techniques et organisationnelles dont dispose chacun des partis.
  1. Pour éviter toute ambiguïté, la décision de notifier l'autorité de contrôle compétente et/ou la ou les personne(s) concernée(s) reste à tout moment la seule responsabilité du parti agissant en tant que contrôleur en ce qui concerne les données à caractère personnel concernées par la violation de données à caractère personnel.
  1. TRANSFERTS INTERNATIONAUX
  1. Les Partis conviennent que les Données à caractère personnel peuvent être transférées et/ou conservées par un destinataire situé en dehors de l'Espace économique européen (EEE) vers des pays pour lesquels une décision d'adéquation a été adoptée par la Commission européenne. En l'absence de décision d'adéquation, tout transfert sera régi par les termes d'un accord contenant des clauses contractuelles types telles que publiées dans la Décision de la Commission européenne du 4 juin 2021 (Décision 2021/914 (UE), ou par d'autres mécanismes prévus par le GDPR.
  1. CONFIDENTIALITÉ  
  1. Les deux partis s'engagent à traiter les données à caractère personnel et leur traitement (y compris les termes de la présente Charte) avec la plus grande confidentialité. Les Partis garantissent la confidentialité entre elles par des mesures qui ne sont pas moins restrictives que celles utilisées pour protéger leur propre matériel confidentiel, y compris les données à caractère personnel.  
  1. Chaque parti garantit que toute personne autorisée par elle à traiter les données à caractère personnel s'est engagée à respecter la confidentialité ou est liée par une obligation légale appropriée de confidentialité.  
  1. OBLIGATIONS ADDITIONNELLES DE MOVEUP AGISSANT EN TANT QUE PROCESSEUR 
  1. Les dispositions de la présente section 10 ne sont applicables que si et dans la mesure où des données à caractère personnel sont consultées et traitées par moveUP agissant en qualité de sous-traitant, comme indiqué à l'article 2.4.2 de la présente Charte. En cas de conflit ou d'incohérence entre la présente section 10 et les autres dispositions de la présente Charte, les termes de la présente section 10 prévaudront.
  1. moveUP agissant en tant que sous-traitant ne traite les données personnelles que sur la base (i) des instructions écrites du partenaire agissant en tant que contrôleur et en tout état de cause conformément aux activités de traitement énoncées à la section 2 de la présente charte, ou (ii) des obligations légales auxquelles moveUP est soumis. Dans ce dernier cas, moveUP notifie au Partenaire cette obligation légale avant le Traitement, à moins que la législation n'interdise une telle notification pour des raisons importantes d'intérêt public. Le Partenaire peut unilatéralement apporter des modifications limitées aux instructions. moveUP doit être consulté avant toute modification importante des instructions et les deux parties doivent accepter toute modification affectant les principales dispositions de la présente Charte ou de l'Accord principal. moveUP doit rapidement informer le Partenaire s'il estime qu'une instruction viole la législation applicable en matière de protection des données.
  1. moveUP aidera le partenaire, par l'application et/ou l'utilisation de mesures techniques et organisationnelles appropriées, dans la mesure du possible et compte tenu de la nature du traitement, à assurer le respect des obligations respectives du partenaire en vertu des articles 32 à 36 du GDPR.
  1. moveUP met à la disposition du partenaire toutes les informations raisonnables nécessaires et permet des audits, y compris des inspections, par la ou les autorités de surveillance dont le partenaire relève, afin de vérifier le respect par moveUP de la présente charte et de la législation sur la protection des données.

moveUP effectue périodiquement des audits et des évaluations internes et/ou externes afin d'assurer la conformité avec les mesures de sécurité organisationnelles et techniques pertinentes. moveUP supporte les coûts de ces audits. Les certificats validant ces audits et évaluations sont disponibles sur le site web de moveUP. A la demande du Partenaire, moveUP fournira les rapports d'audit pertinents (en omettant les informations confidentielles).

Le partenaire ne peut procéder à des audits supplémentaires que s'il peut démontrer des motifs justifiables, et dans les circonstances suivantes :

  • Une fois tous les 5 ans, pour une durée maximale de 2 jours ouvrables, pendant les heures d'ouverture normales de moveUP ; ou
  • en réponse à une violation effective de données à caractère personnel, uniquement si cette violation n'a pas été notifiée et si aucune mesure corrective n'a été démontrée ; ou  
  • Si les certificats de conformité valides et pertinents, qui étaient en place au début de cet accord, ne sont plus disponibles.

Le Partenaire prend toutes les mesures appropriées pour minimiser les entraves que cet audit supplémentaire pourrait causer au fonctionnement quotidien de moveUP ou à la Solution et aux autres services fournis par moveUP. Le Partenaire supportera le coût de tout audit supplémentaire au sens du présent article, sauf si l'audit révèle que moveUP n'a manifestement pas respecté la présente Charte et/ou la législation sur la protection des données, auquel cas moveUP supportera le coût de cet audit.

  1. Après la résiliation de la présente Charte conformément à l'article 11.1 et en dérogation à l'article 11.2 de la présente Charte, moveUP devra, au choix du Partenaire, supprimer ou renvoyer toutes les données personnelles au Partenaire, et supprimer les copies existantes, à moins que la loi applicable n'exige un stockage supplémentaire des données personnelles. Nonobstant, il est entendu que moveUP peut conserver des ensembles de données dépersonnalisées à des fins légitimes de recherche et de développement secondaires, à condition que ces ensembles de données ne puissent pas être utilisés pour ré-identifier des individus.
  1. DURÉE DU TRAITEMENT  
  1. La présente Charte reste en vigueur pendant toute la durée du Partenariat. En cas de violation de la présente Charte ou des dispositions de la législation applicable en matière de protection des données par un Parti, chaque Parti peut demander à l'autre Parti de suspendre le traitement des données à caractère personnel.  
  1. Après la résiliation de la présente Charte conformément à l'article 11.1 et sans préjudice de l'article 10.5 de la présente Charte, chaque parti, en sa qualité de responsable du traitement, est indépendamment responsable de l'effacement des données conformément à ses politiques respectives de conservation des données, sauf accord contraire explicite entre les partis.
  1. RESPONSABILITÉ POUR LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
  1. L'un ou l'autre parti n'est responsable des dommages causés par le traitement de données à caractère personnel que si elle n'a pas respecté ses obligations au titre de la présente Charte ou de la législation applicable en matière de protection des données.  
  1. Un parti est responsable (que ce soit sur le plan contractuel ou délictuel (y compris par défaut) ou de quelque manière que ce soit en relation avec la présente charte, y compris pour faute grave) de tout manquement avéré qui lui est imputable. La responsabilité des Partis pour tout manquement dans le cadre de la présente Charte est limitée aux dommages prévisibles, directs et personnels, à l'exclusion des dommages consécutifs (même si elles ont été informées de la possibilité de tels dommages consécutifs ou si le risque de tels dommages consécutifs était raisonnablement prévisible), où l'on entend par " dommages consécutifs " :  les dommages ou pertes qui ne résultent pas directement et immédiatement d'une violation contractuelle et/ou non contractuelle du contrat, mais plutôt indirectement et/ou au fil du temps, y compris, mais sans s'y limiter, la perte de revenus, l'interruption ou la stagnation des opérations commerciales, l'augmentation des frais de personnel et/ou le coût des licenciements de personnel, les dommages consistant en ou résultant de réclamations de tiers, l'absence d'économies ou d'avantages escomptés et la perte de données, de bénéfices, de temps ou de revenus, la perte de commandes, la perte de clients, l'augmentation des frais généraux, les conséquences d'une grève, quelles que soient les causes de ces dernières.  
  1. S'il apparaît que les deux partis sont responsables des dommages causés par le traitement des données à caractère personnel, les deux partis seront responsables et paieront des dommages-intérêts, conformément à leur part individuelle de responsabilité dans les dommages causés par le traitement. En tout état de cause, la responsabilité totale de chaque partie par cause de dommage est limitée à 50 000,00 € par année civile. En aucun cas, un parti ne sera tenu responsable si il peut prouver qu'il n'est pas à l'origine de l'événement ou la cause du dommage.
  1. MODIFICATIONS DE LA CHARTE
  1. moveUP peut modifier la présente Charte à tout moment et s'engage à garantir que toute modification sera conforme aux principes éthiques et à la législation applicables, telle que la législation applicable en matière de protection des données. Les modifications prendront effet trente (30) jours après leur publication par le biais d'une notification écrite. Si le Partenaire ne souhaite pas accepter les modifications apportées à la présente Charte, il a le droit de résilier la présente Charte par lettre recommandée au plus tard à la date d'entrée en vigueur des conditions modifiées. Ceci aura pour conséquence que moveUP ne pourra plus offrir la Solution au Partenaire. Une fois la date d'effet passée, le Partenaire sera considéré comme ayant tacitement accepté les modifications. Le Partenaire peut toujours trouver la version la plus récente de cette Charte sur le site web de moveUP.
  1. MÉDIATION ET COMPÉTENCE
  1. La présente Charte est interprétée selon le droit belge et les règles de conflit de lois ne s'appliquent pas.
  1. Chaque parti convient que si la personne concernée introduit une demande de dommages-intérêts à son encontre en vertu de la présente charte, elle acceptera la décision de la personne concernée :
  • Soumettre le litige à la médiation d'une personne indépendante ;
  • Soumettre le litige à un tribunal compétent.
  1. Les partis conviennent que le choix de la personne concernée n'affecte pas les droits substantiels ou procéduraux de la personne concernée de demander réparation conformément à d'autres dispositions du droit national ou international applicable.
  1. Tout litige entre les partis concernant les termes de la présente charte sera soumis aux tribunaux compétents de Gand.

Annexe I : DÉFINITIONS

Aux fins de la présente Charte, les termes suivants, commençant par une majuscule, ont la signification suivante :

Contrôleur

La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel effectué sous son autorité ;

Législation sur la protection des données

Désigne l'ensemble de la législation, des réglementations et des orientations applicables en matière de protection des données et de la vie privée, y compris, sans s'y limiter, le règlement (UE) 2016/679 ("GDPR") (tel que modifié ou réadopté de temps à autre et y compris toute législation de remplacement ou subordonnée) ;  

Personne concernée

Une personne physique identifiée ou identifiable ;  

Accord principal
A la signification qui lui est donnée à l'article 1.2 ;

Partenariat
A la signification qui lui est donnée à l'article 1.2 ;

Données personnelles

Toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ;

Violation de données personnelles

une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d'une autre manière, ou l'accès à ces données ;

Processeur

Une personne physique ou morale, une autorité publique, une agence ou tout autre organisme autorisé à traiter les données personnelles au nom du contrôleur ;

Solution

A la signification qui lui est donnée à l'article 1.1 ;

Autorité de surveillance

Une autorité publique indépendante établie par un État membre conformément à l'article 51 du GDPR.

Politique de confidentialitéPolitique en matière de cookiesmoveUP & SécuritéCertificat ISO27001Certificat ISO13485Charte de confidentialité