Nous contacter
Try it for free
Nous contacter

N’hésitez pas à nous écrire ! Faites-nous part de vos besoins et un membre de notre équipe vous contactera dans les plus brefs délais. Si vous avez besoin d'aide sur le produit, vous pouvez nous contacter à l'adresse suivante : support@nabla.com. Si vous n'êtes pas un organisme de santé, vous pouvez nous contacter à l'adresse suivante : contact@nabla.com

This data is used by Nabla to answer your contact request. Learn more.
Ces données sont utilisées par Nabla pour répondre à votre requête. En savoir plus.

ACCORD SUR LA PROTECTION DES DONNÉES – NABLA

Dernière mise à jour : 15/05/2025.

PREAMBULE

NABLA Technologies SAS NABLA ») est une société par actions simplifiée, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 838 878 155, ayant son siège social au 22 rue Chapon, 75003 Paris. 

NABLA a développé une solution logicielle intégrant des fonctionnalités d’intelligence artificielle, notamment dédiée à la génération automatisée de comptes rendus médicaux (la « Solution »). Cette Solution est accessible sous forme d’extension web ou d’application, et ses caractéristiques sont détaillées dans la documentation technique fournie par NABLA.

Dans le cadre du contrat conclu entre NABLA et le CLIENT (le « Contrat »), la Solution est mise à disposition :

  • Soit directement au bénéfice d’un professionnel de santé, utilisateur de la Solution ;
  • Soit par l’intermédiaire d’un partenaire, qui intègre la Solution dans une offre plus large à destination de professionnels de santé.

En conséquence, NABLA est susceptible de traiter, pour le compte du CLIENT, des données à caractère personnel, y compris des données de santé, dans les conditions suivantes :

  • en qualité de sous-traitant, lorsque le CLIENT est un professionnel de santé agissant en tant que responsable du traitement ;
  • en qualité de sous-traitant ultérieur (ou sous-traitant de second rang), lorsque le CLIENT agit pour le compte d’un responsable du traitement, en tant que sous-traitant principal.

Dans les deux cas, NABLA agit en tant que sous-traitant au sens de l’article 4.8 du RGPD, et s’engage à respecter l’ensemble des obligations qui en découlent que ce soit en qualité de sous-traitant direct ou de sous-traitant de second rang.

Le présent accord sur la protection des données (« l’Accord ») a donc pour objet de définir les conditions dans lesquelles NABLA s’engage à réaliser les opérations de traitement de données personnelles dans le cadre de l’exécution du Contrat, et s’applique entre les Parties afin d’assurer la conformité aux dispositions de l’article 28 du RGPD.

Les traitements concernés par le présent Accord sont décrits en Annexe 2. En cas d’évolution desdits Traitements au cours de l’exécution du Contrat, les Parties conviennent de mettre à jour l’Annexe 2, ce qui vaudra avenant au présent Accord et au Contrat. 

Les Parties conviennent également de traiter les Données à caractère personnel collectées, échangées, produites, administrées et hébergées dans le cadre du Contrat conformément à la Réglementation et aux dispositions du présent Accord.

Enfin, les Parties déclarent :  

  • qu’elles connaissent les obligations issues de la Réglementation ;
  • qu’elles disposent de toutes les compétences nécessaires et des ressources financières suffisantes afin de mettre en œuvre et de respecter l’intégralité des obligations issues de la Réglementation pour toutes les prestations réalisées en exécution du Contrat. 
  • DEFINITIONS

Les termes reproduits ci-dessous seront entendus au sein des présentes dispositions tels que définis à l’article 4 du RGPD :

« Accord »

:

le présent accord sur la protection des données, comme indiqué en entête des présentes, ainsi que ses éventuels annexes et avenants ;

« Autorité de contrôle »

:

L’autorité de contrôle compétente en France est la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité administrative indépendante chargée de réguler l’utilisation des données personnelles. 

« Destinataire »

:

La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de Données à caractère personnel, qu’il s’agisse ou non d’un Tiers ;

« Données à caractère personnel »

:

Toute information se rapportant à une personne physique identifiée ou identifiable (dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

« Données concernant la santé » ou « Donnée de santé »

:

Les Données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ;

«   Finalité du traitement »

:

Objectifs des traitements définis en Annexe 2 du présent Accord ; 

« Règlementation»

:

ensemble des textes légaux et réglementaires applicables en France et dans l’Union Européenne en matière de protection des Données Personnelles et en particulier le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après désigné le « RGPD »), et la Loi n° 78-17 du 6 janvier 1978 modifiée telle qu’elle existe et sera modifiée pendant la durée du Contrat (ci-après désignée la « Loi LIL ») 

« RESPONSABLE DE TRAITEMENT »

:

Personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement. L’Annexe 1 du présent Accord liste les différents Responsables de traitement.

« SOUS-TRAITANT » ou « SOUS-TRAITANT de rang 1 »

:

Personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du RESPONSABLE DE TRAITEMENT ; l’Annexe 1 du présent Accord liste les différents Sous-traitants.

« SOUS-TRAITANT de rang 2 » ou « SOUS-TRAITANT ultérieur »

:

Sous-traitant recruté par un SOUS-TRAITANT pour mener des activités de traitement spécifiques pour le compte dudit RESPONSABLE DE TRAITEMENT ; l’Annexe 1 du présent Accord liste les différents Sous-traitants de rang 2. 

« Traitement de Données à caractère personnel » ou « Traitement »

:

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction au sens de l’article 4.2 du RGPD. Les Traitements sont décrits en Annexe 1 au présent Accord et, plus généralement, au Contrat conclu entre les Parties ;

Les termes commençant par une majuscule, lorsqu’ils ne sont pas expressément définis dans cet Article, ont le sens qui leur est attribué dans le Contrat.

  1. OBJET DE L’ACCORD

Le présent Accord a pour objet de définir les conditions dans lesquelles NABLA, en qualité de sous-traitant ou de sous-traitant de second rang, s’engage à effectuer, pour le compte du CLIENT, les opérations de Traitement de Données à caractère personnel nécessaires à l’exécution du Contrat et détaillés en Annexe 2.

Cet Accord s’applique quels que soient :

  • le statut du CLIENT (professionnel de santé ou partenaire intégrateur) ;
  • la position contractuelle de NABLA (sous-traitant ou sous-traitant de second rang) ;
  • le mode d’accès ou de mise à disposition de la Solution (intégrée, embarquée ou autonome).
  1. DOCUMENTS CONTRACTUELS ET MODALITES D’ACCEPTATION

Les relations contractuelles entre les Parties sont régies par le Contrat dont le présent Accord fait partie intégrante.

L’invalidité d’une disposition de l’un des documents contractuels précités, jugée par un tribunal compétent n'affectera pas pour autant la validité des autres documents.

Toute renonciation à l’une des dispositions du présent Accord ou de l’un quelconque des documents contractuels entre les Parties ne peut valoir renonciation définitive à l’ensemble du document concerné et aux autres documents contractuels.

Les Parties conviennent que le présent Accord pourra être mis à jour, notamment en cas d’évolution des Traitements confiés à NABLA par le CLIENT. Toute mise à jour fera l’objet d’une notification ou d’une publication par tout moyen approprié, et deviendra opposable au CLIENT dix (10) jours après sa notification ou sa publication.

Les Parties reconnaissent que l'acceptation de l’Accord par voie électronique a entre les Parties la même valeur probante qu'un accord signé sur support papier.

  1. ENTRÉE EN VIGUEUR ET DURÉE

Le présent Accord entre en vigueur à compter de la date de signature du Contrat, et est conclu pour la durée du Contrat.

Les obligations définies au présent Accord qui ont un fondement légal au sein de la Réglementation, perdurent à l’issue de la durée du présent Accord, jusqu’à la prescription légale de toute action en responsabilité susceptible d’être engagée sur le fondement de la Réglementation.

  1. DESCRIPTION DES TRAITEMENTS

NABLA est expressément autorisé par le CLIENT à traiter, pour le compte de ce dernier, les Données à caractère personnel nécessaires à la fourniture des opérations spécifiées dans le Contrat et à l’Annexe 2 du présent Accord. 

A cet égard, l’Annexe 2 « Description du/des Traitement(s) » précise

  • L‘objet et la nature de chaque Traitement,
  • La/les finalités de chaque Traitement,
  • Les catégories de Traitements confiés à NABLA, 
  • La base légale assurant la licéité de chaque Traitement,
  • Les catégories de Données à caractère personnel traitées,
  • Les durées de conservation des Données à caractère personnel,
  • Les catégories de Personnes concernées,
  • Les informations relatives à la sous-traitance ultérieure,
  • Les informations relatives aux transferts hors de l’Union européenne (UE).

Lorsque le Traitement nécessite une formalité auprès d’une Autorité de Contrôle locale, le CLIENT, représentant le cas échéant le RESPONSABLE DE TRAITEMENT qui en a la responsabilité exclusive, s’engage à fournir à NABLA toute copie des formalités et des récépissés et le cas échéant des autorisations délivrées par cette autorité de contrôle locale.

  1. RÔLE DE NABLA

Selon les modalités d’accès à la Solution, NABLA peut intervenir : 

  • En qualité de sous-traitant, lorsque le CLIENT est un professionnel de santé utilisant directement la Solution ; 
  • En qualité de sous-traitant de second rang, lorsque le CLIENT est un partenaire qui intègre la Solution dans une offre à destination d’un professionnel de santé, lequel agit en tant que responsable du traitement.

  1. OBLIGATIONS DE NABLA

NABLA s’engage à :

  • Ne traiter les données personnelles que pour la ou les seule(s) finalité(s) qui fait/font l’objet du Contrat ;
  • Traiter les Données à caractère personnel conformément aux instructions documentées du CLIENT. Si NABLA considère qu’une instruction constitue une violation de la Réglementation, NABLA en informe immédiatement le CLIENT ;
  • Garantir la confidentialité des Données à caractère personnel traitées dans le cadre du Contrat ;
  • Mettre en œuvre l’ensemble des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences de la Réglementation et garantisse la protection des droits de la personne concernée ;
  • Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu du Contrat et du présent Accord s’engagent à respecter la confidentialité et reçoivent la formation nécessaire en matière de protection des Données à caractère personnel ;
  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

  1. SOUS-TRAITANCE ULTÉRIEURE

NABLA peut utiliser des SOUS-TRAITANTS ultérieurs pour réaliser les traitements de données personnelles confiés par le CLIENT. 

Dans ce cadre, NABLA s’engage à : 

  • Imposer aux SOUS-TRAITANTS ultérieurs des obligations de confidentialité et de sécurité au moins équivalentes à celles convenues dans le cadre de l’Accord ; 
  • S’assurer que le(s) SOUS-TRAITANT(s) ultérieurs présentent les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin que le Traitement réponde aux exigences du RGPD et des réglementations applicables. Si le(s) SOUS-TRAITANT(s) ultérieurs ne remplissent pas leurs obligations en matière de protection des données, NABLA demeure pleinement responsable devant le CLIENT de l’exécution par le(s) SOUS-TRAITANT(s) ultérieurs de ses obligations ;
  • Informer, par tout moyen, le CLIENT de tout ajout ou remplacement d’un SOUS-TRAITANT ultérieur. Le CLIENT disposera d’un délai de dix (10) jours calendaires à partir de la notification pour présenter ses objections sur un motif valable relatif à la protection des Données personnelles. A défaut d’objection du CLIENT dans ce délai, le SOUS-TRAITANT ultérieur sera considéré comme accepté par le CLIENT, sous réserve de l’établissement d’un contrat de sous-traitance ultérieur imposant des obligations de confidentialités et de sécurité au moins équivalentes à celles de l’Accord avant le transfert des Données au SOUS-TRAITANT ultérieur. 

Dans le cas où le CLIENT s’oppose à la désignation d’un SOUS-TRAITANT ultérieur dans les conditions décrites ci-dessus, chacune des Parties pourra résilier le Contrat avec un préavis d’un (1) mois suivant les modalités dudit Contrat. D’ores et déjà le CLIENT accepte le recours aux sous-traitants identifiés dans l’Annexe 1.

  1. EXERCICE DES DROITS DES PERSONNES CONCERNEES

Il appartient au RESPONSABLE DE TRAITEMENT de fournir aux personnes concernées les informations prévues aux articles 12 et suivants du RGPD, notamment en ce qui concerne les traitements réalisés par l’intermédiaire de la Solution. 

Dans la mesure du possible, NABLA s’engage à assister le CLIENT dans le respect de ses obligations relatives à l’exercice des droits des personnes concernées (droit d’accès, de rectification, d’effacement, de limitation, d’opposition, etc.) 

En cas de demande directe reçue de la part d’une personne concernée, NABLA s’engage à la transmettre sans délai au CLIENT, à l’adresse électronique que ce dernier aura préalablement communiquée.

Une procédure de gestion de l’exercice des droits est convenue entre les Parties et visée en Annexe 3 du présent Accord.

  1. NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL

NABLA notifie au CLIENT toute violation de Données à caractère personnel dans un délai maximum de 48 heures à compter de la découverte de la violation en adressant à l’adresse électronique fournie par le CLIENT, les informations suivantes :

  • Description de la nature de la Violation de Données à caractère personnel (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés) ;
  • Description des conséquences probables de la Violation de Données à caractère personnel ;
  • Description des mesures prises ou proposées pour remédier à la violation de données à caractère personnel.

Cette notification est accompagnée de toute documentation utile afin de permettre au CLIENT, si nécessaire, de notifier cette violation à l’Autorité de contrôle.

Compte tenu de la nature du Traitement et des informations à sa disposition, NABLA aide également le CLIENT à notifier les Violations de Données à caractère personnel aux Personnes concernées.

  1. AIDE DU RESPONSABLE DE TRAITEMENT, PAR LE SOUS-TRAITANT, A S’ACQUITTER DE SES OBLIGATIONS

NABLA s’engage à collaborer avec le CLIENT pour lui permettre de satisfaire aux obligations prévues par la Réglementation, et notamment à : 

  • Fournir l’assistance nécessaire à l’élaboration des notifications aux Autorités de contrôle et, le cas échéant, des communications aux personnes concernées ; 
  • Contribuer, sur demande du CLIENT, à la réalisation d’analyses d’impact relative à la protection des données principalement pour ce qui concerne l’identification des mesures de protection en place ou prévue pour le Traitement ;
  • Accompagner, le cas échéant, le CLIENT pour la réalisation de la demande d’autorisation préalable auprès de la CNIL ou de l’Autorité de contrôle compétente.

  1. MESURES DE SECURITE

NABLA s’engage mettre en œuvre les mesures techniques et organisationnelles de sécurité adéquates à la protection du Traitement et des Données.

NABLA s’engage : 

  • Maintenir ces moyens tout au long de l’exécution du Contrat et à défaut, en informer immédiatement le CLIENT ; 
  • En tout état de cause, en cas de changement des moyens visant à assurer la sécurité des données traitées, les remplacer par des moyens d’une performance au moins équivalente. 

Par ailleurs, les moyens mis en œuvre par NABLA pour assurer la sécurité des données personnelles comprennent notamment le recours à un hébergeur certifié, ce que le CLIENT autorise. Le CLIENT s’engage à cet égard à respecter et à faire respecter strictement, le cas échéant, par les utilisateurs les mesures de sécurité définies par cet hébergeur, en ce compris notamment l’accès par authentification forte aux Données.

  1. SORT DES DONNEES

Au terme des prestations relatives au Traitement, NABLA s’engage, sur demande et au choix du CLIENT à restituer les Données à caractère personnel au CLIENT de façon sécurisée ou à défaut d’effacer toutes les Données à caractère personnel.

  1. REUTILISATION

En raison des investissements financiers, matériels et humains substantiels réalisés par NABLA pour le développement et la mise à jour de la Solution, NABLA souhaite pouvoir réutiliser les Données traitées dans le cadre du Contrat, sous forme anonymisée à des fins d’amélioration continue de la Solution.

À cette fin, et sous réserve de l’autorisation expresse préalable du RESPONSABLE DU TRAITEMENT, NABLA est autorisée à procéder à l’anonymisation des données visées à l’Annexe 2 du présent Accord, dans le respect des exigences du Règlement (UE) 2016/679 (RGPD).

Il est expressément convenu que seul le RESPONSABLE DU TRAITEMENT décide des retranscription et comptes rendus de consultation qu’il souhaite transmettre à NABLA et donc soumettre à anonymisation. L’anonymisation ne pourra être réalisée par NABLA qu’à la suite d’une instruction claire émanant du RESPONSABLE DU TRAITEMENT. Une fois dûment anonymisés, ces retranscriptions et comptes rendus de consultation pourront être librement réutilisés par NABLA à des fins d’amélioration de la Solution.

Le CLIENT déclare avoir évalué et validé la compatibilité de ces usages, au regard de la Réglementation applicable, avec les finalités initiales des traitements de données réalisés dans le cadre du présent Contrat, et ce conformément aux conditions prévues au présent Accord.

Enfin, le CLIENT s’engage à informer les personnes concernées de la possibilité d’anonymisation de leurs données à des fins de réutilisation.

  1. REGISTRE DES ACTIVITES DE TRAITEMENT

NABLA déclare tenir par écrit un registre de toutes les activités de Traitement effectuées pour le compte du CLIENT, conformément à l’article 30.2 du RGPD. 

Le CLIENT s’engage à communiquer à NABLA toutes les informations nécessaires à la bonne tenue de ce registre. 

  1. AUDITS ET CONTROLES

NABLA s’engage à mettre à la disposition du CLIENT toutes les informations nécessaires pour démontrer le respect de ses obligations de conformité à la Réglementation et au présent Accord, et pour permettre la réalisation d’audits, y compris des inspections, par le CLIENT ou un autre auditeur mandaté par le CLIENT et contribuer à ces audits. 

Le CLIENT sur son initiative se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect de ses obligations par NABLA. Toute non-conformité à la Réglementation et/ou au présent Accord fera l’objet sur simple notification du CLIENT d’un plan d’actions correctives à la charge de NABLA qui devra être mis en place dans les 21 (vingt et un) jours maximum. 

NABLA s’engage à notifier dans les meilleurs délais au CLIENT, tout contrôle ou notification de quelque nature que ce soit qui lui est adressée par l’Autorité de contrôle ou par une Personne concernée et impliquant directement ou indirectement les Traitements décrits au présent Accord, à suivre strictement toutes les instructions du CLIENT et à collaborer avec l’Autorité de contrôle, et avec le CLIENT.

Si le SOUS-TRAITANT reçoit une injonction, une demande, un mandat ou tout autre document exigeant ou visant à obliger la production de Données à caractère personnel (y compris, par, exemple, par des questions orales, des interrogatoires, des demandes d’information ou de documents au cours de procédures légales, d’assignations, d’enquêtes civiles, d’inspection réglementaire ou autres procédures similaires), le SOUS-TRAITANT informera immédiatement le CLIENT sauf si la Réglementation applicable en dispose autrement, et en tout état de cause au plus tard dans les deux (2) jours ouvrés. 

  1. CONFIDENTIALITE – SECRET DES AFFAIRES – SECRET PROFESSIONNEL

NABLA est soumis au secret le plus absolu comprenant la confidentialité, le secret professionnel et le secret des affaires (ci-après le « Secret ») sur les Traitements incluant notamment des Données à caractère personnel, mis en œuvre dans le cadre de la fourniture des prestations. 

NABLA s’engage, (i) pendant la durée du Contrat et pour une durée de dix (10) ans compter de sa cessation pour quelque cause que celle-ci intervienne, sous réserve que le CLIENT lui ait confié une mission de conservation des données, (ii) pendant toute la durée de cette mission de conservation, à garder le caractère Secret de toutes Données à caractère personnel et, en conséquence : 

  • à ne communiquer les Données à caractère personnel qu’aux membres de son personnel qui sont dans la nécessité de le connaitre pour l’exécution du présent Accord ;
  • à prendre les mesures qu’il prend lui-même à l’égard de ses propres informations confidentielles pour en empêcher la publication ou la divulgation à des Tiers.

De manière générale, NABLA garantit respecter le Secret le plus absolu, dans les mêmes conditions, de toutes informations qui seraient parvenues à sa connaissance ou à l’un des membres de son personnel. 

  1. DÉLÉGUÉ À LA PROTECTION DES DONNÉES 

Chacune des Parties communique à l’autre Partie le nom et les coordonnées de son délégué à la protection des données s’il en a désigné un conformément à l’article 37 du RGPD. 

Les coordonnées du délégué à la protection des données de Nabla sont : dpo@nabla.com 

  1. LOI ET ATTRIBUTION DE COMPÉTENCE

L’Accord est régi par la loi française.

POUR TOUT DIFFÉREND SURVENANT ENTRE ELLES AU SUJET DE L’INTERPRÉTATION OU DE L’EXÉCUTION DU CONTRAT ET APRÈS UNE TENTATIVE DE CONCILIATION AMIABLE, COMPETENCE EXPRESSE EST ATTRIBUEE AU TRIBUNAL DE COMMERCE DE PARIS NONOBSTANT PLURALITÉ DE DÉFENDEURS OU APPEL EN GARANTIE, MÊME POUR LES PROCÉDURES D’URGENCE OU LES PROCEDURES CONSERVATOIRES, EN RÉFÉRÉ OU SUR REQUÊTE.

ANNEXE 1 – IDENTIFICATION ET RÔLE DES PARTIES

La présente Annexe vise à identifier, pour chaque scénario, le rôle des parties au sens de la Réglementation. 

  1. NABLA EN QUALITE DE SOUS-TRAITANT 

Acteur

Rôle

CLIENT (Professionnel de santé – Utilisateur de la Solution) 

Responsable du traitement (détermine les finalités et les moyens du traitement, notamment l’usage de la Solution) 

NABLA (fournisseur de la Solution) 

Sous-traitant (fournit la Solution et réalise les opérations de traitements pour le compte du Professionnel de santé)

  1.  NABLA EN QUALITÉ DE SOUS-TRAITANT DE SECOND RANG 

Acteur

Rôle

Professionnel de santé (Utilisateur final) 

Responsable du traitement (détermine les finalités et les moyens du traitement)  

CLIENT (Partenaire de NABLA)

Sous-traitant (met la Solution à disposition du Professionnel de santé)

NABLA 

Sous-traitant de second rang (réalise les opérations pour le compte du CLIENT)  

  1. SOUS-TRAITANTS ULTÉRIEURS DE NABLA

Dans les deux cas identifiés ci-avant, NABLA a également recours aux sous-traitants suivants : 

Société

Produit

Finalité / traitement

Google Ireland Ltd

Google Cloud

Hébergement de données de santé au sens de l’article L1111-8 CSP pour les 6 niveaux de services

Microsoft Ireland Operations Ltd

Speech, GPT3 et GPT4

Traitement automatique du langage

Traitement automatique d’enregistrement audio – reconnaissance vocale

ANNEXE 2 - DESCRIPTION DU/DES TRAITEMENT(S)

  • DESCRIPTION DU TRAITEMENT

  • Catégories de personnes concernées 

Les catégories de personnes concernées dont les données à caractère personnel font l’objet d’un traitement sont les suivantes : 

  • Les patients pris en charge par les utilisateurs de la Solution ; 
  • Les utilisateurs de la Solution, uniquement lorsque NABLA intervient en tant que sous-traitant de second rang et que ces données sont nécessaires à la fourniture du service.
  • Catégories de données à caractère personnel traitées

Données relatives aux patients

  • Données administratives (nom, prénom, date de naissance etc.) ; 
  • Données de santé (symptômes, antécédents médicaux, diagnostics, traitements, prescriptions, etc.) ; 
  • Données relatives à la vie personnelle (habitude de vie, situation, familiale, etc.) ; 
  • Plus généralement, toute information que le patient peut partager lors d’un examen médical.  

Données relatives aux utilisateurs de la Solution (uniquement si la Solution est intégrée et mise à disposition via un partenaire)

  • Données administratives des utilisateurs du CLIENT ; 
  • Données techniques (données de connexion, d’usage et de localisation dans le cadre de l’utilisation de la Solution).
  • Nature du traitement 

La nature des traitements réalisés sur les données à caractère personnel sont les suivants : collecte, accès, enregistrement, utilisation, anonymisation le cas échéant, structuration, hébergement, destruction. 

  • Finalités pour lesquelles les données à caractère personnel sont traitées pour le compte du responsable du traitement 

Les Traitements de données personnelles réalisés par NABLA pour le compte du CLIENT ont pour objet la fourniture des services prévus au Contrat et notamment la génération automatisée de comptes rendus médicaux ainsi que la mise à disposition technique et sécurisée de la Solution. 

  • Base légale 

Il appartient au RESPONSABLE DU TRAITEMENT de déterminer la base légale appropriée pour la mise en œuvre du/ des traitement(s). A cet égard, le RESPONSABLE DU TRAITEMENT peut se prévaloir de l’un des fondements suivants : 

  • Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis (article 6(1)(c) du RGPD) ; ou
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée (article 6(1)(d) du RGPD) ; ou
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement (article 6(1)(f) du RGPD). 

Par ailleurs, le traitement de données de santé est possible puisque le responsable du traitement peut se prévaloir des articles 9.2.h) et 9.3 du RGPD.   

  • Durée de conservation

Les Données des patients sont conservées par défaut pendant 14 jours sauf si les Parties conviennent d’une durée de conservation différente ou si le CLIENT fixe une durée de conservation plus longue ou plus courte dans les paramètres de la Solution. 

Les données des utilisateurs professionnels (applicables uniquement en cas de sous-traitance de second rang) sont conservées pendant la durée du Contrat, puis archivées ou supprimées selon les instructions du CLIENT, en conformité avec la Réglementation.

  • Transfert des données personnelles 

Les Données ne sont, en règle générale, pas traitées ou transférées hors de l’Union européenne. Cependant dans le cas où des informations personnelles sont transférées en dehors de l’Union européenne, NABLA s’assure que le pays tiers concerné dispose d'un niveau de protection jugé adéquat par la Commission européenne au regard de la réglementation européenne (RGPD). Lorsque cela n’est pas le cas, NABLA s’assure que le transfert est réalisé conformément aux Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ou les Autorités de contrôle, dont la CNIL en France, afin de garantir la protection de ces informations

  • Mesures techniques et organisationnelles visant à garantir la sécurité des données 

Les mesures techniques et organisationnelles mises en œuvre sont décrites aux adresses suivantes : https://www.nabla.com/fr/security et  https://trust.nabla.com/ 

ANNEXE 3 – PROCÉDURE DE GESTION DES EXERCICE DE DROITS

En application du Chapitre III du RGPD, le CLIENT doit faciliter l’exercice des droits conférés à la personne concernée.

Pour cela, le CLIENT communique aux personnes concernées les modalités leur permettant de formuler une demande d’accès à leurs données à caractère personnel ou d’exercice de leur droit de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données, d’opposition.

Le CLIENT pourra demander l’aide de NABLA pour répondre aux demandes d’exercice de leurs droits par les personnes concernées. Dans ce cadre, il est dès à présent convenu entre les Parties que le CLIENT garantit qu’il a bien vérifié l’identité du demandeur pour s’assurer que le demandeur est bien fondé à accéder aux données à caractère personnel ou à exercer un droit.

Lorsque le CLIENT aura vérifié l’identité du demandeur et qu’il est bien titulaire du compte, il transmettra le cas échéant la requête à NABLA en utilisant l’adresse dpo@nabla.com.

NABLA examinera la demande d’exercice de droit et répondra sans tarder et au plus tard dans un délai maximum d’un mois à compter de sa réception.

Au besoin, ce délai pourra être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. NABLA informera directement la personne concernée ou le CLIENT, au choix du CLIENT de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.

Si NABLA ne donne pas suite à la demande formulée par la personne concernée, Nabla informe celle-ci ou le CLIENT, au choix du CLIENT, sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande, éventuellement prolongé de deux mois si NABLA a informé la personne concernée ou le CLIENT d’une telle prolongation, des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

NABLA informera le CLIENT de la réponse apportée à la personne concernée s'il en fait la demande.

Aucun paiement n’est exigé pour répondre aux demandes de la personne concernée. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, NABLA peut cependant :

  • exiger du CLIENT le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations ou prendre les mesures demandées ; ou
  • refuser de donner suite à ces demandes.