Explorer nos produits
Explorer nos produits

Menu Utilitaire

Addendum d’associé commercial

Le présent Addendum d’associé commercial (« AAC ») fait partie de l’Accord du Client avec GoTo et est soumis à ses conditions. En cas de divergence avec l’Accord, le présent AAC remplace toutes les obligations contenues dans l’Accord (y compris dans l’ATD) ; il s’applique uniquement au Traitement par GoTo d’Informations médicales protégées. Le présent AAC entre en vigueur à la date de la dernière signature ci-dessous (« Date d’entrée en vigueur »).

ATTENDU QUE GoTo s’engage à fournir certains Services au Client dans le cadre de l’Accord ; et

ATTENDU QUE le Client a l’intention d’utiliser les Services d’une manière qui pourrait nécessiter le Traitement d’Informations médicales protégées par GoTo dans le cadre des Services ; et

ATTENDU QUE, dans la mesure où cette condition est applicable, les Parties s’engagent à respecter les obligations qui leur incombent en vertu de la Loi HIPAA (Health Insurance Portability and Accountability Act) de 1996, telle que modifiée par la Loi HITECH (Health Information Technology for Economic and Clinical Health Act), Pub. L. 111-5 (collectivement dénommées « Lois HIPAA »), dans leur version en vigueur.

C’EST POURQUOI le présent AAC énonce les conditions du Traitement des Informations médicales protégées, y compris les Informations médicales protégées électroniques. Les Parties ont convenu de ce qui suit :

  1. Définitions
    • 1.1 Définitions générales. Tous les termes figurant dans le présent AAC qui ne sont pas autrement définis dans l’Accord (y compris dans l’ATD) ont la signification qui leur est donnée dans la Réglementation HIPAA.
    • 1.2 Définitions spécifiques. Aux fins du présent AAC, les termes suivants ont la signification indiquée dès lors qu’ils commencent par une lettre capitale :
      • 1.2.1 « Violation » désigne l’acquisition, l’utilisation ou la divulgation d’Informations médicales protégées, ou l’accès à de telles informations, d’une manière qui n’est pas autorisée par les Lois HIPAA et qui compromet la sécurité ou la confidentialité des Informations médicales protégées, à moins que cette acquisition, cette utilisation, cette divulgation ou cet accès ne soit autrement interdit en vertu de la réglementation 45 C.F.R., § 164.402.
      • 1.2.2 « Associé commercial » a la même signification que dans la réglementation 45 C.F.R., § 160.103.
      • 1.2.3 « Entité visée » a la même signification que dans la réglementation 45 C.F.R., § 164.103.
      • 1.2.4 « Ensemble de dossiers désigné » désigne un groupe de dossiers conservés par ou pour le Client en vertu de la réglementation 45 C.F.R., § 164.501 et qui se compose : (i) de systèmes de dossiers d’inscription, de paiement, de règlement des réclamations et de gestion des dossiers ou des soins de santé gérés par ou pour un régime de soins de santé ; ou (ii) de dossiers qui sont utilisés, dans leur intégralité ou en partie, par ou pour le Client afin de prendre des décisions concernant des Individus. Aux fins de la présente section, le terme « dossier » désigne tout élément, toute série ou tout regroupement d’informations contenant des Informations médicales protégées et conservé, collecté, utilisé ou diffusé par ou pour l’Entité visée.
      • 1.2.5 « Informations médicales protégées électroniques » désigne des Informations médicales protégées disponibles dans un format électronique.
      • 1.2.6 « Réglementation HIPAA » désigne la réglementation relative à la protection de la vie privée, à la sécurité, à la notification des violations et à l’application de la loi (réglementation 45 C.F.R., parties 160 et 164).
      • 1.2.7 « Individu » a la même signification que dans la réglementation 45 C.F.R., § 160.103 et inclut les personnes qui ont le statut de représentant personnel, conformément à la réglementation 45 C.F.R., § 164.502 (g).
      • 1.2.8 « Règle de confidentialité » désigne les dispositions Standards for Privacy of Individually Identifiable Health Information de la réglementation 45 C.F.R., parties 160 et 164, sous-parties A et E.
      • 1.2.9 « Informations médicales protégées » a la même signification que dans la réglementation 45 C.F.R., § 160.103, mais se limite aux informations de cette nature fournies par le Client à GoTo dans le cadre de l’Accord.
      • 1.2.10 « Exigé par la loi » a la même signification que dans la réglementation 45 C.F.R., § 164.103.
      • 1.2.11 « Secrétaire » désigne le Secrétaire du ministère de la Santé des États-Unis (HHS) ou son mandataire.
      • 1.2.12 « Règle de sécurité » désigne les normes de sécurité définies dans la réglementation 45 C.F.R., parties 160, 162 et 164.
      • 1.2.13 « Services » désigne les fonctions, activités ou services que GoTo doit fournir au Client conformément aux dispositions de l’Accord.
  2. Rôles des Parties. Dans la mesure où GoTo traite des Informations médicales protégées, (i) GoTo est un Associé commercial du Client ; et (ii) le Client est soit une Entité visée, soit un Associé commercial de niveau supérieur. Si le Client est un Associé commercial de niveau supérieur, alors, dans le cadre de la relation entre les Parties, le Client est responsable de l’exécution des obligations de l’Entité visée énoncées dans le présent AAC ou doit faire en sorte qu’elles soient exécutées, selon le cas.
  3. Utilisations et divulgations autorisées des Informations médicales protégées.
    • 3.1 GoTo peut utiliser ou divulguer des Informations médicales protégées si cette action est raisonnablement nécessaire pour fournir des Services au Client ou si elle est Exigée par la loi.
    • 3.2 GoTo peut utiliser des Informations médicales protégées pour procéder à une gestion et à une administration correctes et pour remplir ses obligations légales. GoTo peut également divulguer des Informations médicales protégées pour procéder à une gestion et à une administration correctes ou pour remplir ses obligations légales, à condition (i) que les divulgations soient Exigées par la loi ; ou (ii) que GoTo obtienne (a) des garanties raisonnables du destinataire des Informations médicales protégées que les Informations médicales protégées resteront confidentielles et seront utilisées ou divulguées uniquement tel qu’Exigé par la loi ou pour la finalité pour laquelle les Informations médicales protégées lui ont été divulguées, et (b) que le destinataire accepte de notifier à GoTo tout cas de violation de la confidentialité des Informations médicales protégées dont il a connaissance.
    • 3.3 GoTo peut dépersonnaliser les Informations médicales protégées conformément à la réglementation 45 C.F.R., § 164.514 (a)-(c) et utiliser et divulguer ces informations aux fins commerciales légitimes de GoTo. Les informations dépersonnalisées ne constituent plus des Informations médicales protégées et ne sont pas soumises au présent AAC.
  4. Obligations de GoTo.
    GoTo s’engage à :
    • 4.1 utiliser ou divulguer des Informations médicales protégées uniquement lorsque cette utilisation ou divulgation est autorisée par l’Accord ou Exigée par la loi.
    • 4.2 demander, utiliser et divulguer le minimum d’Informations médicales protégées nécessaire pour atteindre l’objectif commercial prévu.
    • 4.3 s’abstenir d’utiliser ou de divulguer des Informations médicales protégées d’une manière qui violerait la sous-partie E de la réglementation 45 C.F.R., partie 164 si ces actions étaient effectuées par le Client, sauf si ces utilisations et divulgations sont prévues aux Sections 3.2 et 3.3.
    • 4.4 disposer de garanties administratives, physiques et techniques adaptées, conformément à la sous-partie C de la Règle de sécurité (réglementation 45 C.F.R., partie 164), afin d’empêcher l’utilisation ou la divulgation d’Informations médicales protégées d’une autre manière que celle prévue dans le présent Accord.
    • 4.5 signaler au Client toute utilisation ou divulgation d’Informations médicales protégées non prévue par l’Accord ou tout Incident de sécurité dont il a connaissance. Le Client reconnaît que GoTo subit régulièrement des « Tentatives infructueuses d’incidents de sécurité », telles que des pings et d’autres attaques de diffusion sur le pare-feu de GoTo, des scans de port, des tentatives de connexion infructueuses, des tentatives d’hameçonnage, des dénis de service, et toute association de plusieurs de ces stratégies, qui n’entraînent pas d’utilisation ou de divulgation non autorisées d’Informations médicales protégées ni d’accès non autorisé à de telles informations. Par la présente, GoTo notifie au Client que de telles Tentatives infructueuses d’incidents de sécurité sont susceptibles de se produire, et le Client accepte qu’aucune notification supplémentaire de GoTo ne soit nécessaire.
    • 4.6 s’efforcer raisonnablement d’atténuer, dans la mesure du possible, tout effet préjudiciable résultant d’une utilisation ou d’une divulgation par GoTo d’Informations médicales protégées qui n’est pas autorisée par l’Accord.
    • 4.7 notifier au Client toute Violation d’Informations médicales protégées non sécurisées sans retard indu et, dans tous les cas, dans les délais prévus par la réglementation 45 C.F.R., § 164.410. La notification de GoTo au Client en vertu de la présente Section comprendra, dans la mesure du possible, les informations préconisées par la réglementation 45 C.F.R. § 164.404 (c) (1) (A)-(D), les coordonnées pouvant être utilisées par le Client pour envoyer ses demandes et l’identification de chaque Individu dont les Informations médicales protégées non sécurisées ont fait l’objet d’une acquisition, d’une utilisation, d’une divulgation ou d’un accès effectifs ou raisonnablement craints par GoTo au cours de la Violation. GoTo mettra rapidement à jour sa notification au Client si l’une des informations susmentionnées devenait disponible pour GoTo après sa notification initiale.
    • 4.8 uniquement dans la mesure où GoTo maintient un Ensemble de dossiers désigné au nom du Client qui ne représente qu’une copie de ces Informations médicales protégées et où le Client n’est pas en mesure d’accéder à une telle demande sans l’aide de GoTo, GoTo doit, sur demande écrite du Client, (i) fournir au Client un accès aux Informations médicales protégées dans les délais prévus par la réglementation 45 C.F.R., § 164.524 ; et (ii) apporter aux Informations médicales protégées figurant dans un Ensemble de dossiers désigné toute(s) modification(s) demandée(s) ou acceptée(s) par le Client dans les délais prévus par la réglementation 45 C.F.R., § 164.526, ou prendre d’autres mesures nécessaires pour satisfaire aux obligations du Client en vertu de la réglementation 45 C.F.R., § 164.526.
    • 4.9 conserver et mettre à disposition les informations requises pour fournir un compte rendu des divulgations au Client, dans la mesure où cela est nécessaire pour satisfaire aux obligations du Client (ou de l’Entité visée concernée s’il ne s’agit pas du Client) en vertu de la réglementation 45 C.F.R., § 164.528.
    • 4.10 exiger des sous-traitants qui créent, reçoivent, conservent ou transmettent des Informations médicales protégées au nom de GoTo qu’ils acceptent les mêmes restrictions, conditions et exigences que celles qui s’appliquent à GoTo au sujet de ces informations, conformément à la réglementation 45 C.F.R., §§ 164.502 (e) (1) (ii) et 164.308 (b) (2), le cas échéant.
    • 4.11 mettre à la disposition du HHS, sur demande du Secrétaire, ses pratiques internes, ses livres et ses registres relatifs à l’utilisation et à la divulgation d’Informations médicales protégées par GoTo afin de déterminer la conformité des Parties avec la Réglementation HIPAA ; et
    • 4.12 dans la mesure où les Services de GoTo nécessitent l’exécution par GoTo d’une ou de plusieurs obligations du Client en vertu de la sous-partie E de la réglementation 45 C.F.R., partie 164, se conformer aux exigences de la sous-partie E qui s’appliquent au Client dans le cadre de l’exécution de cette ou de ces obligation(s).
  5. Obligations du Client
    • 5.1 Le Client s’engage à :
      • 5.1.1 ne divulguer à GoTo que le minimum d’Informations médicales protégées raisonnablement nécessaire pour atteindre l’objectif prévu dans le cadre de l’Accord.
      • 5.1.2 ne pas demander à GoTo d’utiliser ni de divulguer des Informations médicales protégées d’une manière qui ne serait pas autorisée par la Réglementation HIPAA si cette utilisation ou divulgation émanait du Client.
      • 5.1.3 notifier à GoTo toute(s) limitation(s) dans son avis de pratiques de confidentialité, conformément à la réglementation 45 C.F.R., § 164.520, dans la mesure où cette limitation peut affecter l’utilisation ou la divulgation d’Informations médicales protégées par GoTo conformément au présent Accord. GoTo prendra des mesures raisonnables sur le plan commercial afin de se conformer à ces limitations.
      • 5.1.4 notifier à GoTo toute modification ou révocation de l’autorisation accordée à un Individu d’utiliser ou de divulguer des Informations médicales protégées, dans la mesure où ces modifications peuvent affecter l’utilisation ou la divulgation d’Informations médicales protégées par GoTo conformément au présent Accord. GoTo accepte de se conformer à ces modifications ou révocations d’autorisation communiquées par le Client, dans la mesure du possible dans le cadre de l’Accord.
      • 5.1.5 notifier à GoTo toute restriction concernant l’utilisation ou la divulgation d’Informations médicales protégées que le Client a acceptée conformément à la réglementation 45 C.F.R., § 164.522, dans la mesure où ces restrictions peuvent affecter l’utilisation ou la divulgation des Informations médicales protégées par GoTo conformément au présent Accord. GoTo se conformera à toute restriction communiquée par le Client, dans la mesure du possible en vertu de l’Accord et de la loi applicable.
    • 5.2 Le Client est seul responsable (i) de sa conformité aux Lois HIPAA ; (ii) de son utilisation des Services uniquement d’une manière conforme aux Lois HIPAA ; et (iii) de s’assurer qu’il dispose de droits suffisants pour divulguer des Informations médicales protégées à GoTo et/ou faire en sorte que GoTo traite les Informations médicales protégées comme le prévoit l’Accord, y compris, sans s’y limiter, en obtenant et en gérant toutes les autorisations ou tous les consentements requis.
  6. Durée et résiliation
    • 6.1 Résiliation automatique. Le présent AAC sera automatiquement résilié sans autre action des Parties (i) à la résiliation ou à l’expiration de l’Accord ; ou (ii) à la fin de la fourniture par GoTo au Client de Services nécessitant le Traitement d’Informations médicales protégées, selon ce qui se produit en premier.
    • 6.2 Résiliation motivée. Si l’une des Parties a connaissance d’une violation substantielle du présent AAC par l’autre Partie, la Partie qui n’a pas violé l’AAC en informe par écrit la Partie qui a violé l’AAC en précisant la nature de la violation et en lui accordant un délai de 30 jours pour y remédier. La Partie qui n’a pas violé l’AAC peut résilier le présent AAC ou, à sa discrétion, l’Accord, si la Partie qui a violé l’AAC n’a pas remédié à la violation de manière satisfaisante pour la Partie qui n’a pas violé l’AAC ou qu’il n’est pas possible d’y remédier. Si le Client est la Partie qui a violé l’AAC, il doit immédiatement cesser de fournir des Informations médicales protégées à GoTo ou de faire en sorte que GoTo traite des Informations médicales protégées par l’intermédiaire des Services. Cette disposition s’ajoute aux dispositions concernant la résiliation de l’Accord.
    • 6.3 Conséquences de la résiliation.
      • 6.3.1 En cas de résiliation ou d’expiration du présent AAC ou de l’Accord pour quelque motif que ce soit, GoTo renverra ou détruira toutes les Informations médicales protégées, conformément à la réglementation 45 C.F.R., § 164.504 (e) (2) (ii) (J), s’il est raisonnablement possible de le faire. Si GoTo détermine que les mesures énumérées précédemment ne sont pas possibles, GoTo (i) informera le Client des motifs qui justifient sa décision ; et (ii) étendra toutes les protections, limitations et restrictions contenues dans le présent AAC à toutes les Informations médicales protégées conservées après la résiliation du présent Accord jusqu’à ce que les Informations médicales protégées soient renvoyées au Client ou détruites.
      • 6.3.2 Nonobstant la Section 6.4.1, après la résiliation du présent AAC ou de l’Accord pour quelque motif que ce soit, GoTo peut conserver toutes les Informations médicales protégées nécessaires à sa propre gestion et à sa propre administration ou à la réalisation de ses obligations légales ; à condition que GoTo n’utilise pas ces Informations médicales protégées à d’autres fins et étende toutes les protections, limitations et restrictions contenues dans le présent AAC à toutes les Informations médicales protégées conservées après la résiliation de cet Accord, et ce, jusqu’à ce que les Informations médicales protégées ne soient plus nécessaires à ces fins. GoTo s’engage à se conformer aux dispositions de la Section 6.4.1.
  7. Divers
    • 7.1 Survivance. Les droits et obligations respectifs de GoTo et du Client en vertu des dispositions des Sections 4.3, 4.5, et 4.9, des Sections 6.3.1 et 6.3.2 et de la Section 7 survivront à la résiliation du présent Accord jusqu’à ce que les Informations médicales protégées soient renvoyées au Client ou détruites.
    • 7.2 Modifications. En plus de se conformer à la disposition relative aux modifications figurant dans l’Accord, les Parties conviennent de prendre les mesures nécessaires pour modifier le présent AAC en temps utile afin de se conformer aux exigences de la Réglementation HIPAA.
    • 7.3 Aucun tiers bénéficiaire. Aucune disposition expresse ou implicite du présent Accord n’est destinée à conférer, ni ne doit conférer, à toute personne extérieure aux Parties et à leurs successeurs ou ayants droit respectifs, des droits, des recours, des obligations ou des responsabilités de quelque nature que ce soit.
    • 7.4 Références en matière de réglementation. Dans le présent AAC, toute référence à un article de la Réglementation HIPAA désigne l’article en vigueur ou dans sa version modifiée.
    • 7.5 Interprétation. Toute ambiguïté issue du présent AAC sera résolue de manière à permettre aux Parties de se conformer à la Réglementation HIPAA.

Dernière mise à jour : novembre 2024 (2024.v1.0)