Accord sur le Traitement des Données (DPA)
MedCopilot est une application développée par l’éditeur de logiciels Oscar & Caroline, société par actions simplifiée au capital de 133 992 euros, immatriculée au RCS de Versailles sous le numéro 942 141 995, dont le siège social est situé au 1 avenue du Belvédère 78100 Saint-Germain-en-Laye, représentée par son représentant légal en exercice, le docteur Adrien Serey.
Préambule
Le présent document est annexé et fait partie intégrante des Conditions Générales d’Utilisation (les « CGU ») du service MedCopilot.
Dans le cadre de la fourniture du Service (tel que défini dans les CGU), MedCopilot est le Sous-traitant amené à traiter des Données à Caractère Personnel de chaque utilisateur, et notamment des Données de Santé, pour le compte et sur instruction du Responsable de Traitement.
Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant MedCopilot s’engage à effectuer les opérations de traitement de Données à Caractère Personnel définies ci-après, conformément à l’Article 28 du Règlement (UE) 2016/679 (le « RGPD »).
Article 1 : Objet de l’accord
Le présent Accord régit le traitement des Données à Caractère Personnel (telles que définies en Annexe 1) confiées par le Responsable de Traitement au Sous-traitant pour l’exécution du Service.
Article 2 : Description du traitement
Le Sous-traitant est autorisé à traiter pour le compte du Responsable de Traitement les Données à Caractère Personnel nécessaires pour fournir le Service. Les détails de ce traitement (finalités, types de données, personnes concernées, durée) sont décrits en Annexe 1 du présent Accord.
Article 3 : Obligations du sous-traitant MedCopilot
Le Sous-traitant s’engage à :
Confidentialité
Veiller à ce que les personnes autorisées à traiter les Données à Caractère Personnel soient soumises à une obligation légale ou contractuelle de confidentialité. Le Sous-traitant applique une politique de « Eyes-Off » : aucune personne physique de l’équipe MedCopilot n’est autorisée à accéder au contenu des données de santé (matière clinique ou synthèses), sauf demande expresse et ponctuelle du Responsable de Traitement pour des besoins de support technique documentés.
Sécurité des données (Art. 32 RGPD)
Mettre en œuvre toutes les mesures techniques et organisationnelles (les « TOMs ») appropriées pour garantir un niveau de sécurité adapté au risque, telles que décrites en Annexe 2 du présent Accord. Cela inclut notamment l’hébergement des Données de Santé sur une infrastructure certifiée Hébergeur de Données de Santé (HDS) en France.
Sous-traitance ultérieure (Art. 28.2 et 28.4 RGPD)
Ne pas engager de sous-traitant ultérieur sans l’autorisation écrite, spécifique ou générale, préalable du Responsable de Traitement.
En signant le présent Accord, le Responsable de Traitement donne une autorisation générale pour l’engagement des sous-traitants ultérieurs listés en Annexe 3.
Le Sous-traitant s’engage à informer le Responsable de Traitement de tout ajout ou remplacement de sous-traitant ultérieur par écrit (ex: email) au moins trente (30) jours à l’avance, donnant ainsi au Responsable de Traitement la possibilité d’émettre des objections.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
Exercice des droits des personnes concernées (Patients)
Aider le Responsable de Traitement, dans la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
Note importante : Les Parties reconnaissent que la politique de suppression automatique et définitive des Données de Santé après 192 heures (telle que décrite en Annexe 1) rendra impossible l’exercice de ces droits (accès, rectification, portabilité) via l’interface MedCopilot au-delà de ce délai. Le Responsable de Traitement gérera ces demandes via son propre système (DPI).
Assistance au responsable de traitement
Aider le Responsable de Traitement à garantir le respect de ses obligations au titre des Articles 32 à 36 du RGPD (Sécurité, Notification de violation, AIPD), compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant.
Notification des violations de données
Notifier au Responsable de Traitement toute violation de Données à Caractère Personnel dans les meilleurs délais après en avoir pris connaissance et en tout état de cause dans les quarante-huit (48) heures suivant la constatation de cette violation de Données à Caractère Personnel.
Dans de telles circonstances, le Sous-traitant s’engage à partager au moins les informations suivantes avec le Responsable de traitement :
- l’identité et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès de qui plus d’informations peuvent être obtenues ;
- la nature de la violation de données personnelles, y compris les catégories de personnes concernées et les catégories de Données à Caractère Personnel concernées ;
- une description des mesures que le Responsable de traitement pourrait prendre pour en atténuer les éventuelles conséquences négatives de la violation de Données à Caractère Personnel ;
- les conséquences de la violation de Données à Caractère Personnel pour les personnes concernées ;
- les mesures proposées ou prises par le Sous-traitant pour remédier à la violation de Données à Caractère Personnel.
Dans tous les cas, les deux Parties s’engagent à coopérer activement et le Responsable de traitement devra d’abord approuver toute communication au public et/ou notification officielle à l’autorité compétente ou aux personnes concernées au sujet de cette violation potentielle ou effective de Données à Caractère Personnel.
Sort des données
Conformément à la mesure de minimisation décrite en Annexe 1, le Sous-traitant supprime automatiquement et définitivement toutes les Données de Santé 192 heures après leur génération. Le Responsable de Traitement reconnaît qu’il lui appartient d’extraire et de sauvegarder les synthèses dans son propre système (DPI) avant l’expiration de ce délai. Passé ce délai, le Sous-traitant sera dans l’incapacité technique de restaurer lesdites données.
Audit
Le droit d’audit s’exerce prioritairement par la communication de rapports récents (Certifications HDS, SOC2 ou synthèses de pentests).
Non-entraînement des modèles
Le Sous-traitant s’engage formellement à ce que les Données à Caractère Personnel traitées pour le compte du Client ne soient en aucun cas utilisées par MedCopilot, ni par ses sous-traitants ultérieurs (notamment Google Cloud), pour l’entraînement, l’amélioration ou le « fine-tuning » de modèles d’intelligence artificielle.
Article 4 : Obligations du responsable de traitement (Le client)
Le Responsable de Traitement s’engage à :
Licéité du traitement
Garantir qu’il dispose de la base légale appropriée (notamment l’Article 9.2.h du RGPD) pour collecter et traiter les Données de Santé de ses patients via le Service.
Information des personnes concernées
Assumer son obligation d’information (Articles 13 et 14 du RGPD) envers ses patients concernant l’utilisation du Service MedCopilot pour le traitement de leurs données.
Validation clinique
Reconnaître que MedCopilot est un outil d’aide à la rédaction (Non-Dispositif Médical) et que le Responsable de Traitement conserve l’entière responsabilité des imports effectués, de l’analyse et de la validation clinique finale ,de l’exactitude et de la pertinence de toute synthèse générée.
Instructions
Le Client reconnaît être informé que les technologies d’IA peuvent générer des résultats inexacts ou biaisés (phénomène dit d’hallucination). Il incombe au Client de vérifier systématiquement chaque synthèse générée.
Article 5 : Entrée en vigueur et droit applicable
Le présent Accord entre en vigueur à la date de souscription au Service par le Responsable de Traitement et reste en vigueur pour la durée des CGU. L’Accord est régi par le droit français. Tout litige sera de la compétence exclusive des tribunaux de Versailles (France).
Annexe 1 : Description du traitement
Objet du traitement : Fourniture du service d’assistance à la rédaction de synthèses médicales par IA (MedCopilot).
Nature des opérations : Collecte de matière clinique, transcription de dictée vocale (traitement en flux sans stockage persistant de l’audio), analyse par IA, génération de synthèse, stockage temporaire sécurisé (HDS), et suppression automatisée.
Finalité(s) : Aider le professionnel de santé (Responsable de Traitement) à structurer l’information et à générer des projets de synthèses cliniques.
Durée du traitement : La durée du contrat (CGU). Toutefois, la durée de traitement et de conservation de tout jeu de Données de Santé est strictement limitée à 192 heures à compter de sa génération, après quoi il est définitivement supprimé.
Données statistiques d’usage : Le Sous-traitant peut traiter des données statistiques d’utilisation (métadonnées, temps de réponse, fréquence d’usage) à des fins d’amélioration du service, sous réserve que ces données soient strictement anonymisées et ne permettent aucune réidentification des patients ou des praticiens.
Types de données à caractère personnel traitées :
- Données d’état civil du patient : Nom, prénom (tels que présents dans les documents).
- Données de Santé (Article 9 RGPD) : Toute donnée de santé contenue dans la matière clinique importée (PDF, images, textes) ou dictée (fichiers audio et transcriptions) par le Responsable de Traitement (ex: diagnostics, antécédents, traitements, comptes-rendus, notes).
Catégories de personnes concernées : Les patients du Responsable de Traitement.
Annexe 2 : Liste des sous-traitants ultérieurs autorisés
Le Responsable de Traitement est informé et autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants :
Sous-traitant ultérieur | Finalité | Pays |
Google Cloud (GCP) | Fourniture de l’infrastructure HDS et des modèles d’IA (Vertex AI / Gemini) | France & Europe |
Claranet | Infogérance, maintenance et support de l’infrastructure HDS | France |
PayZen (Lyra Group) | Gestion sécurisée des paiements et abonnements (Données bancaires uniquement) | France |
Encadrement des transferts hors-UE : Bien que l’hébergement soit situé en France, les transferts techniques vers les États-Unis (flux audio en temps réel et métadonnées) sont régis par le Data Processing Addendum (DPA) de Google Cloud et les Clauses Contractuelles Types (CCT). Conformément à la Section 6 du DPA, nous conservons la pleine maîtrise des durées de conservation et de suppression des données. Ces traitements font l’objet d’une isolation logique (cloisonnement) et d’un chiffrement garantissant un niveau de protection conforme à la réglementation européenne
Mesures techniques et organisationnelles de sécurité
Le Sous-traitant met en œuvre les mesures de sécurité suivantes :
Hébergement : Infrastructure certifiée Hébergeur de Données de Santé (HDS), située exclusivement en France.
Chiffrement :
- En transit : Chiffrement systématique de tous les flux par TLS 1.2 ou supérieur
- Au repos : Chiffrement des bases de données et des espaces de stockage (AES-256).
Contrôle d’accès :
- Authentification forte (2FA) obligatoire pour les utilisateurs par code unique émis sur email nominatif.
- Politique de mots de passe robustes.
- Accès administrateur (personnel MedCopilot et Coreoz/Claranet) restreint et tracétraçé.
Minimisation (Mesure de sécurité principale) :
- Suppression automatique et définitive de toutes les Données de Santé (imports, transcriptions, synthèses) après 192 heures.
- Audio non stocké : Les flux audio de la dictée vocale sont transcrits en temps réel – speech-to-text- et immédiatement supprimés (seul le texte est traité).
Sécurité applicative : Pare-feu applicatif (WAF),
Traçabilité : Journalisation des accès (logs) et des actions sur la plateforme, conservés 1 an.