Document légal
Accord de traitement des données (DPA)
Dernière mise à jour :
Le présent accord fait partie intégrante des conditions générales d'utilisation. Il précise les obligations respectives de la Clinique (Responsable de traitement) et d'Oulitech (Sous-traitant) lorsque Oulitech traite des données à caractère personnel pour le compte de la Clinique dans le cadre de les plateformes Oulitech.
1. Définitions
- Données : toute donnée à caractère personnel traitée par Oulitech pour le compte de la Clinique via la plateforme.
- Personnes concernées : les patients de la Clinique et, accessoirement, les membres de son personnel.
- Loi applicable : la loi algérienne n° 18-07 du 10 juin 2018 et, lorsque pertinent, le RGPD (UE 2016/679).
2. Objet et durée
Oulitech traite les Données pour la seule finalité d'exécution du service clinique. Le traitement dure aussi longtemps que la Clinique reste cliente, augmenté du délai de restitution et de suppression prévu à l'article 9.
3. Nature des traitements
- collecte par saisie du personnel clinique via l'interface ;
- enregistrement, structuration et conservation en base de données ;
- consultation, modification et suppression par les utilisateurs autorisés ;
- transmission automatisée pour l'envoi de notifications (par exemple rappels de rendez-vous) ;
- archivage, sauvegarde et, in fine, effacement sécurisé.
4. Catégories de données et de personnes concernées
| Catégorie de personnes | Catégories de données |
|---|---|
| Patients | Identité (nom, prénom, date de naissance, genre, numéro national d'identification), coordonnées (téléphone, e-mail, contact d'urgence), données de santé (notes cliniques libres, antécédents saisis, historique des rendez-vous), données relatives aux rendez-vous et à la file d'attente. |
| Personnel de la Clinique | Identité professionnelle, e-mail, téléphone, rôle, permissions, historique de connexion, statut du compte. |
5. Obligations d'Oulitech en qualité de sous-traitant
- ne traiter les Données que sur instruction documentée de la Clinique, dans les limites prévues par le contrat ;
- garantir la confidentialité par des engagements contractuels avec tout membre de son personnel ayant accès aux Données ;
- mettre en œuvre les mesures de sécurité décrites dans notre Déclaration de sécurité ;
- assister la Clinique dans ses obligations de réponse aux demandes des personnes concernées ;
- notifier la Clinique dans les meilleurs délais, et au plus tard sous 72 heures, de toute violation de Données avérée ;
- supprimer ou restituer les Données à la fin de la prestation, selon le choix de la Clinique.
6. Obligations de la Clinique
- disposer d'une base juridique valable pour chaque traitement effectué via la plateforme, et recueillir les consentements requis ;
- informer ses patients du recours à Oulitech comme sous-traitant ;
- configurer correctement les rôles et permissions de son personnel afin de respecter le principe de minimisation des accès ;
- répondre aux demandes d'exercice des droits des patients, en utilisant les outils d'export et de suppression fournis.
7. Sous-traitants ultérieurs (sub-processors)
Toutes les données applicatives (bases de données, sauvegardes, fichiers téléversés) sont hébergées en Algérie.Seuls la diffusion de l'interface web et l'envoi d'e-mails transactionnels reposent sur des prestataires hors territoire national.
| Sous-traitant | Rôle | Données traitées | Localisation |
|---|---|---|---|
| Icosnet (Algérie) | Serveurs applicatifs, bases de données, sauvegardes chiffrées | Ensemble des données patients, cliniques et utilisateurs | Algérie |
| Vercel Inc. (États-Unis) | Diffusion des fichiers statiques de l'interface web | Aucune donnée patient | Hors Algérie |
| Resend Inc. (États-Unis) | Envoi des e-mails de confirmation, de rappel et de notification | Adresse e-mail du destinataire, nom, date et heure du rendez-vous, nom de la Clinique | Hors Algérie |
Oulitech informe la Clinique de tout ajout ou remplacement de sous-traitant ultérieur au moins trente (30) joursavant sa mise en production.
8. Transferts hors du territoire national
Par principe, les données patients et cliniques ne quittent pas le territoire algérien. Seules les deux exceptions listées ci-dessus impliquent un traitement hors d'Algérie, dans un périmètre strictement limité.
9. Restitution et suppression
À la fin du contrat, la Clinique dispose d'un délai de trente (30) jours pour demander l'export de ses Données. Passé ce délai, Oulitech procède à leur suppression des environnements de production dans les trente (30) jours suivants, puis des sauvegardes dans un délai supplémentaire n'excédant pas trente (30) jours.
10. Audit
La Clinique peut demander, une fois par an et moyennant un préavis raisonnable, un audit documentaire des mesures mises en œuvre par Oulitech.
11. Responsabilité
Chaque partie répond des dommages causés par le non-respect de ses propres obligations. La responsabilité d'Oulitechne peut excéder, toutes causes confondues, le montant annuel payé par la Clinique au titre de l'abonnement, sauf en cas de faute lourde ou intentionnelle.
12. Contact
Pour toute question relative au traitement des données : hello@ouli.tech.