Politique De Confidentialité

La présente Politique de confidentialité a pour but d’informer les Utilisateurs de l’utilisation des Données Personnelles lorsqu’ils utilisent la plateforme OTOREMOTE.

ARTICLE 1
- DEFINITIONS

Abonné : personne physique ou morale ayant souscrit un abonnement auprès d’OTOREMOTE pour accéder aux services proposés par OTOREMOTE.
‍
Assistant : personne physique autorisée par le Manager de l’Abonné à bénéficier d’un accès restreint à son compte en ce qui concerne la programmation des rendez-vous.
‍
Audioprothésiste : Centre d’audition ou audioprothésiste exerçant en tant que salarié, ou en prestation de service, ayant signé les conditions générales de vente.
‍
Destinataire : La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.
‍
Donnée Personnelle : Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
‍
Donnée de santé : Toute donnée à caractère personnel concernant la santé, incluant les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. Cette définition englobe certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.
‍
Fichier : Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
HDS : Hébergeur de données de santé.
‍
LIL : Loi dite « Informatiques et Libertés » n°78-17 du 6 janvier 1978.
‍
Manager : personne physique désignée par l’Abonné, qui le représente et qui a un rôle d’administrateur du compte de l’Abonné. Le Manager peut être un Audioprothésiste ou non.
‍
ORL : ORL exerçant à titre libéral.
‍
Utilisateur(s) :  désignent de manière indifférenciée les Managers, les Assistants, les audioprothésistes salarié(s) ou en prestation de service de l’abonné, personne morale ou audioprothésiste exerçant à titre individuel ou ORL utilisant tous la plateforme OTOREMOTE.
‍
Responsable de traitement : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
‍
RGPD : Règlement Général sur le Protection des Données du 27 avril 2016.
‍
Sous-traitant : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
‍
Traitement : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
‍
Violation de données personnelles : Violation de sécurité, entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

ARTICLE 2
- ACCEPTATION DE LA POLITIQUE DE CONFIDENTIALITE

Lors de votre 1^ère connexion, vous devez prendre connaissance de la présente politique de confidentialité et les accepter en cochant la case prévue à cet effet.

Dans l’hypothèse où la politique de confidentialité serait modifiée, vous devrez en prendre connaissance et cocher la case prévue à cet effet lors de toute nouvelle connexion postérieure à l’entrée en vigueur de la politique de confidentialité modifiée.

Cependant, la collecte et le traitement des Données Personnelles sont traitées en conformité avec la Politique de confidentialité en vigueur au moment de ladite collecte

ARTICLE 3
- OTOREMOTE, EN QUALITE DE RESPONSABLE DE TRAITEMENT

3.1. Données Personnelles collectées, finalités et bases légales

3.2. Durée de conservation des Données Personnelles

3.3. Destinataire des Données Personnelles
Les destinataires sont :
‍
- La société OTOREMOTE ;
- La société AZNETWORK, sous-traitant certifié HDS chargé de l’hébergement des données de santé ;
- STRIPE : prestataire de paiement
- PRO SANTE CONNECT (ANS) : service d’identification et de connexion via la carte CPS ou e-CPS de l’audioprothésiste, CPE de l’Assistant et de l’ORL.
‍
En tout état de cause, l’Utilisateur est informé qu’aucune Donnée Personnelle le concernant ne fait l’objet de communication à des sociétés commerciales, régies publicitaires ou de manière générale toute société intervenant dans le domaine publicitaire.

Aucune Donnée Personnelle n’est partagée ou communiquée sans l’accord de l’Utilisateur en dehors des destinataires listés ci-dessus.
‍
3.4. Lieu d’hébergement
La plateforme OTOREMOTE est hébergée en France auprès d’un Hébergeur certifié en données de santé (Aznetwork).
Les données partagées avec les destinataires listés à l’article 3.3. sont hébergées en France et dans l’Union Européenne.
‍
3.5. Vos droits
3.5.1. Droit d’accès (article 15 du RGPD)
Vous avez le droit d’obtenir la confirmation que des données personnelles vous concernant sont ou ne sont pas traitées.

Dans l’hypothèse où les données sont traitées, vous avez un droit d’accès à ces données et aux informations suivantes :
‍
a. Les finalités du traitement ;
‍
b. Les catégories de données personnelles concernées ;
‍
c. Les destinataires ou catégories de destinataires auxquels les données ont été communiquées ou vont être communiquées ;
‍
d. Si cela est possible, la durée de conservation envisagée des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
‍
e. L’existence du droit de demander la rectification ou l’effacement des données, ou une limitation du traitement ou du droit de vous opposer au traitement ;
‍
f.Le droit d’introduire une réclamation auprès de la CNIL en tant qu’autorité de contrôle ;
‍
g. Lorsque les données personnelles ne sont pas collectées auprès de vous directement, toute information disponible à la source ;
‍
h.L’existence d’une prise de décision automatisée, y compris le profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour vous.

Une copie des données faisant l’objet du traitement vous sera fournie.
Le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire que vous demanderiez pourra vous être demandé.
‍
Si vous demandez une copie des données par la voie numérique, celle-ci vous sera fournie sous une forme numérique d’usage courant à moins que vous demandiez qu’il en soit autrement.
‍
Enfin, le droit d’obtenir une copie des données personnelles ne doit pas porter atteinte aux droits et libertés d’autrui.
‍
3.5.2. Droit de rectification (article 16 du RGPD)
Vous disposez de la faculté de demander la rectification de vos données qui seraient inexactes, dans les meilleurs délais.

Vous disposez aussi de la faculté d’obtenir que les données personnelles incomplètes vous concernant soient complétées y compris en fournissant une déclaration supplémentaire.
‍
3.5.3. Droit à l’effacement (article 17 du RGPD)
Vous disposez du droit à l’effacement de vos données personnelles dans les meilleurs délais lorsque l’un des motifs suivants s’applique :
‍
a. Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
‍
b. Vous retirez votre consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement concerné. Le retrait du consentement vaut pour l’avenir ;
‍
c. Vous exercez votre droit d’opposition et il n’existe pas de motif légitime impérieux pour le traitement ;
‍
d. Les données personnelles ont fait l’objet d’un traitement illicite ;
‍
e. Les données personnelles doivent être effacées pour respecter une obligation légale.

Vous êtes informé que le droit à l’effacement peut ne pas s’appliquer si le traitement est nécessaire pour respecter une obligation légale ou à la constatation, à l’exercice ou à la défense de droits en justice.
‍
3.5.4. Droit à la limitation du traitement (article 18 du RGPD)
Vous disposez de la faculté de demander la limitation du traitement de vos données personnelles lorsque l’un des éléments suivants s’applique :

a. Vérification de vos données après une contestation de votre part sur l’exactitude de vos données personnelles ;
‍
b. Le traitement est illicite et vous vous opposez à l’effacement de vos données personnelles et exigez la limitation de leur utilisation ;
‍
c. OTOREMOTE n’a plus besoin des données personnelles vous concernant pour le traitement mais les données sont nécessaires pour vous pour la constatation, l’exercice ou la défense de droits en justice ;
‍
d. Vous vous êtes opposés au traitement et OTOREMOTE vérifie le point de savoir si les motifs légitimes poursuivis par OTOREMOTE prévalent sur vos motifs légitimes.
‍
3.5.5. Droit à la portabilité des données (article 20 du RGPD)
Vous avez la faculté de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine lorsque :
‍
a. Le traitement est fondé sur le consentement ou sur un contrat ;
‍
b. Et le traitement est effectué à l’aide de procédés automatisés.
‍
Les données personnelles concernées sont celles fournies/saisies par l’audioprothésiste et l’ORL.
Dans le cadre de l’exercice de ce droit, vous avez le droit d’obtenir que vos données personnelles soient transmises directement à un autre responsable de traitement lorsque cela est techniquement possible.
‍
Le droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers.
‍
3.5.6. Droit d’opposition (article 21 du RGPD)
En application du droit d’opposition, vous disposez du droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de données personnelles fondé sur les intérêts légitimes d’OTOREMOTE.
‍
Les données personnelles ne seront plus traitées sauf s’il est démontré que des motifs légitimes et impérieux pour le traitement existent et prévalent sur vos intérêts et vos droits et libertés ou pour la constatation, l’exercice ou la défense de droits en justice.
‍
3.5.7. Sort des données personnelles post-mortem
En application de la loi, vous disposez de la faculté de définir vos directives relatives à la conservation, à l’effacement et à la communication de vos données personnelles en cas de décès.
‍
Vous pouvez nous communiquer vos directives ou bien les enregistrer auprès d’un tiers de confiance numérique certifié. Vous pouvez donc désigner la personne de votre choix qui sera chargée d’exécuter vos directives. A défaut, il s’agira de vos héritiers.
‍
OTOREMOTE respectera naturellement les directives et s’engage à détruire les données personnelles après leur communication à la personne désignée, le cas échéant, sauf dans l’hypothèse où OTOREMOTE devrait conserver tout de même ces données personnelles en raison d’une obligation légale ou à des fins probatoires.
‍
3.6. Comment exercer vos droits
3.6.1. Modalités d’exercice des droits
Pour toutes demandes concernant les données personnelles traitées par OTOREMOTE, vous pouvez adresser vos demandes aux adresses suivantes :
‍
- Par courrier : OTOREMOTE – 21, rue Thyde Monnier – 13011 Marseille.
- Par courrier électronique : support@otoremote.fr
‍
OTOREMOTE pourra vous demander la copie de votre pièce d’identité en cas de doute sur votre identité.
‍
3.6.2. Délai de réponse
OTOREMOTE dispose d’un délai d’un (1) mois pour vous répondre à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois compte tenu de la complexité et du nombre de demandes. OTOREMOTE en informera la personne concernée dans le mois de sa demande.
‍
Dans l’hypothèse de l’exercice de votre droit de suppression ou bien de votre droit à l’effacement, vous êtes informé que OTOREMOTE pourra être amenée à conserver les données personnelles vous concernant sous la forme d’un archivage avant suppression des données.

Vous disposez en outre du droit d’introduire une réclamation auprès de la CNIL, autorité de contrôle (www.cnil.fr).

ARTICLE 4
- OTOREMOTE, EN QUALITE DE SOUS-TRAITANT DE L’ORL (RESPONSABLE DE TRAITEMENT) ET DE L’AUDIOPROTHESISTE (RESPONSABLE DE TRAITEMENT)

4.1. Liste des traitements
4.1.1. Traitements réalisés pour le compte de l’AUDIOPROTHESISTE

‍Traitement n°1

‍Traitement n°2

‍Traitement n°3

‍Traitement n°4

‍Traitement n°5

‍Traitement n°6

‍Traitement n°7

‍Traitement n°8

‍Traitement n°9

4.1.2. Traitements réalisés pour le compte de l’ORL
‍
Traitement n°1

Traitement n°2

Traitement n°3

Traitement n°4

Traitement n°5

Traitement n°6

Traitement n°7

4.2. Liste des sous-traitants ultérieurs

4.3. Obligations générales du sous-traitant OTOREMOTE
OTOREMOTE s’engage à :
‍
→ traiter les Données Personnelles uniquement pour les seules finalités qui font l’objet de la sous-traitance.
‍
→ traiter les données conformément aux instructions documentées de l’Audioprothésiste et/ou de l’ORL. Si OTOREMOTE considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition légale relative à la protection des Données Personnelles, il en informera immédiatement l’Audioprothésiste et/ou de l’ORL. En outre, si OTOREMOTE est tenue de procéder à un transfert de données personnelles vers un pays tiers ou à une organisation internationale en vertu du droit de l’union européenne et du droit français, il devra informer l’Audioprothésiste et/ou de l’ORL de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
‍
En tout état de cause, OTOREMOTE s’engage à ne pas transférer de données de santé hors de l’Union Européenne.
‍
→ Ne traiter en aucun cas les données personnelles pour son compte ou pour le compte d’un tiers à l’exception des Utilisateurs de la plateforme OTOREMOTE.
‍
→ Garantir la sécurité et la confidentialité des Données Personnelles traitées pour le compte des Utilisateurs.
‍
→ Veiller à ce que les personnes autorisées à traiter les Données Personnelles :
‍
                    - s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
                    - reçoivent la formation nécessaire en matière de protection de Données Personnelles.
‍
→ Inscrire à son registre, conformément aux dispositions 2 à 4 de l’article 30 du RGPD, les traitements de données qu’il effectue pour le compte de l’Utilisateur.
‍
→ Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut. A cette fin, il s’engage notamment à ce que ceux-ci soient nativement conçus ou paramétrables pour pouvoir répondre à l’exercice des droits des personnes à l’aide des fonctionnalités adaptées, pour limiter les données traitées conformément aux finalités poursuivies, pour permettre une ségrégation des Utilisateurs en fonction de leur besoin d’accéder aux données, pour assurer une traçabilité des accès aux données ou pour déterminer les durées de conservation des données et assurer leur mise en œuvre.
‍
4.4. Exercice des droits par les personnes concernées
OTOREMOTE s’engage à coopérer avec diligence avec l’Audioprothésiste et/ou de l’ORL pour permettre l’exercice des droits des personnes concernées, à s'acquitter de son obligation de donner suite à toute demande reçue de la part des personnes concernées d'exercer leurs droits ou de l'autorité de contrôle compétente, dans un délai raisonnable.
‍
ll est précisé qu'il appartient à l’Utilisateur de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Afin de faciliter la communication de l’information, OTOREMOTE met à disposition de l’Utilisateur un document d'information et de consentement pour les patients, personnes concernées par les opérations de traitement, au moment de la collecte des données.

Si un patient soumet une demande d'exercice de ses droits directement auprès d’OTOREMOTE, OTOREMOTE transmettra lesdites demandes à l’Audioprothésiste et/ou de l’ORL dans les meilleurs délais et au plus tard quatre (4) jours ouvrés après réception de la demande.

Dans l’hypothèse où cela concernerait le dossier médical, OTOREMOTE s’engage à transmettre la demande dans un délai maximum de 48 heures à compter de la réception de la demande afin que l’Audioprothésiste et/ou de l’ORL puisse répondre dans le délai légal de huit (8) jours après la demande.
‍
4.5. Sort des données
Le sort des données est fixé dans le cadre du DPA signé avec l’Audioprothésiste d’une part, et l’ORL, d’autre part.
‍
4.6. Archivage des données
OTOREMOTE s’engage à ne conserver de Données Personnelles que pour les stricts besoins de la Plateforme OTOREMOTE et, en dehors des cas dans lesquels il existe une obligation d'archivage, s’engage à supprimer sans délai les données à caractère personnel qui ne sont plus nécessaires. Les données archivées devront être supprimées sans délai lorsque le motif justifiant leur archivage n’a plus raison d’être.  

Lorsqu’il existe une obligation d’archivage, que celle-ci découle d’une obligation légale ou règlementaire, d’un engagement contractuel spécifique ou d’une mesure destinée à répondre des obligations de résilience du système d’information d’OTOREMOTE, les données à caractère personnel sont archivées dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions ou dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.
‍
4.7. Sous-traitance
OTOREMOTE pourra faire appel à un autre sous-traitant pour mener des activités de traitement spécifiques. Dans ce cas, OTOREMOTE en informera préalablement et par écrit l’Audioprothésiste et/ou de l’ORL de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.

Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. l’Audioprothésiste ou de l’ORL concerné disposera d’un délai de QUINZE (15) jours à compter de la date de réception de cette information pour présenter ses objections.
‍
En tout état de cause, le sous-traitant ultérieur est tenu de respecter les obligations contractuelles prévues dans les CGV pour les Audioprothésistes et les CGU pour les ORL. Il appartient à OTOREMOTE de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.

Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, OTOREMOTE demeure pleinement responsable de l’exécution par l’autre sous-traitant de ses obligations.
‍
4.8. Violations de Données Personnelles
Dans l’hypothèse d’une violation de données personnelles, OTOREMOTE s’engage à informer l’AUDIOPROTHESISTE, l’ORL, sans délai et au plus tard dans les 24 heures après en avoir pris connaissance accompagnée de toute documentation utile afin de lui permettre, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées, le cas échéant.
‍
Cette information sera formalisée par courrier électronique contenant :
‍
→ la description de la nature de la violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données Personnelles concernés ;  
‍
→ La description des conséquences probables de la violation de Données Personnelles ;
‍
→ La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de Données

Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
‍
4.9. Mesures de sécurité
OTOREMOTE s’engage à mettre en œuvre les mesures de sécurité suivantes :
‍
- Hébergement des données chez un Hébergeur certifié de Données de Santé (HDS).
‍
- Authentification à deux facteurs (2FA) : L’authentification d’un utilisateur est un enjeu important, pour s’assurer qu’un attaquant ne puisse pas usurper le compte d’un médecin ou d’un audioprothésiste. En plus du mot de passe de l’utilisateur, un autre facteur d’authentification qu’est la validation d’une carte CPS (Carte de Professionnels de Santé) via le service Pro Santé Connect est mise en place.
‍
- Entropie de mots de passe : un mot de passe contenant un minimum de 12 caractères incluant minuscules, majuscules, chiffres et caractères spéciaux sera demandé aux utilisateurs pour limiter les attaques par brute force.
‍
- Hash de mots de passe : Les mots de passe ne seront pas stockés en clair en base de données : seul un hash cryptographique sera conservé. Même si la base de données vient à être dérobée, l’attaquant n’aura ainsi pas accès aux mots de passe.

- Gestion des permissions utilisateurs : Le back-end implémentera une gestion des permissions qui sera différente selon les profils d’utilisateurs, afin qu’un compte ne puisse accéder qu’aux données qu’il a renseigné.

- Requêtes authentifiées par JWT (Json Web Tokens) : il s’agit de jetons qui sont mis en place après la connexion d’un utilisateur, et qui permettent de gérer de façon sécurisée l’authentification des utilisateurs du côté back-end (standard RFC 7519). Ils sont signés, ce qui empêche les attaques de type “man-in-themiddle”. Ils sont autosuffisants, c’est-à-dire que le serveur OTOREMOTE n’aura pas besoin de stocker l’état des sessions pour vérifier l’authenticité des jetons, cela facilitera aussi la mise en place d’une architecture stateless (ce qui permet une meilleure évolutivité).

- Isolation des services : Les différents services hébergés seront le plus possible isolés les uns des autres, soit dans des instances différentes, soit sur des serveurs différents (notamment pour le site vitrine Wordpress), afin de limiter les risques de propagation en cas de faille de sécurité.

- HTTPS : l’intégrité des échanges entre la plateforme et tous les acteurs de la plateforme sera maintenue et aucune interception ne pourra avoir lieu. Le protocole HTTPS permet de chiffrer le transit d’informations sur le réseau pour éviter les attaques du type Man In The Middle.

- Chiffrement de bout en bout : notre solution de visioconférence / prise en main à distance permet de chiffrer de bout en bout les communications : les informations sont chiffrées au point de départ par l’utilisateur, puis déchiffrées uniquement par le destinataire final, les données restent donc intègres (impossible d’intercepter la visioconférence avec une attaque Man-in-the-middle).

- Paramétrage de l’application de visioconférence (JITSI) bureau pour ne fonctionner qu’avec le serveur auto-hébergé de OTOREMOTE.

- Autorisation pour la prise en main à distance : La prise en main à distance n’est possible que si l’application bureau OTOREMOTE est ouverte et si la demande de prise en main depuis cette même application est acceptée.

- Limitation des droits lors de la prise en main : La prise en main à distance ne permet d’accéder qu’aux applications nécessitant les droits de base, les fonctionnalités nécessitant les droits administrateurs (comme l’exécution de code, l’installation de logiciels, la désactivation d’antivirus) ne seront pas disponibles.

- Mise à jour de sécurité des librairies utilisées : Les différentes librairies utilisées devront être régulièrement mises à jour pour limiter les failles de sécurité nouvellement découvertes. Pour ce cas d’usage, les librairies intégrées dans l’application feront l’objet d’une étude approfondie pour étudier leur niveau de maintenance et de sécurité.

- Clause de confidentialité et sur la protection des données personnelles dans les contrats des sous-traitants.

- Protection des ordinateurs des collaborateurs d’OTOREMOTE par mot de passe, pare-feu et antivirus.

- Firewall : joue un rôle essentiel pour protéger les services hébergés sur le serveur, toutes les tentatives d’intrusion et les accès non autorisés seront bloqués via le filtrage du trafic réseau entrant et sortant. Ainsi nous garantissons une continuité des opérations et augmentons le niveau de confiance vis-à-vis des données sensibles hébergées par nos services. L’accès à la base de données de production sera notamment bloqué pour toutes les adresses, et ne sera accessible que depuis l’API.
‍
4.10. Obligations du responsable de traitement
Le Responsable de traitement s’engage à :
‍
- Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant.  
- Veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant.
- Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.
‍
A la demande du Responsable de traitement, OTOREMOTE fournira l’ensemble des documents, données et informations concernant les traitements faisant l’objet de la sous-traitance et sa conformité à la législation sur les Données Personnelles.
‍
Si les éléments communiqués s’avèrent insuffisants pour permettre au Responsable de traitement que les obligations prévues par le RGPD ainsi que la législation française sur les données personnelles sont remplies, OTOREMOTE et le Responsable de traitement se réuniront pour convenir :
‍
- Des conditions techniques ;
- Des conditions sécuritaires ;
- Des conditions financières pour un audit dans les locaux d’OTOREMOTE.
‍
Le Responsable de traitement est, par ailleurs, informé que l’audit ne doit pas affecter la confidentialité et la sécurité des données des autres clients d’OTOREMOTE.
‍
En tout état de cause, l’ensemble des documents qui seraient communiqués par OTOREMOTE sont confidentiels. Ils ne pourront, le cas échéant, être communiqués qu’à la CNIL, autorité de contrôle.
‍
Il est expressément prévu que l’audit pourra être réalisé une fois par année contractuelle.
Cet audit pourra être réalisé par le Responsable de traitement ou un tiers de son choix à la condition que ce tiers ne soit pas en concurrence avec les activités réalisées par OTOREMOTE.
‍
Le tiers devra signer, au préalable, un accord de confidentialité qui sera rédigé et transmis par OTOREMOTE.
Les frais relatifs à cet audit seront pris en charge par le Responsable de traitement.
‍
Le Responsable de traitement devra informer OTOREMOTE de son intention de réaliser un audit au moins DIX (10) jours avant la date d’audit souhaitée. L’audit se passera aux heures habituelles de bureau.