Business Associate Agreement for ShareFile (French)

SHAREFILE
Contrat d'associé commercial
Ce Contrat d'associé commercial (« Contrat BA ») entre en vigueur conformément aux modalités de la
Section 5 du Contrat de service Utilisateur final (« EUSA ») entre le Client (« Entité visée ») et Citrix.
L'Entité visée et Citrix sont des parties du EUSA au titre duquel Citrix distribue des services Sharefile à
l'Entité visée et, en rapport avec lesdits services, ShareFile LLC (« ShareFile » ou « Associé commercial
»), une filiale de Citrix, fournit de tels services et peut recevoir, utiliser et/ou divulguer pour l'Entité visée
ou en son nom certaines Informations médicales protégées concernant des patients de l'Entité visée qui
font l'objet d'une protection conformément aux lois Health Insurance Portability and Accountability Act de
1996 (« HIPAA ») et Health Information Technology for Economic and Clinical Health Act (« HITECH
Act »). Du fait de telles activités, les parties considèrent que ShareFile est l'Associé commercial de l'Entité
visée. L'Entité visée et l'Associé commercial acceptent de se conformer à tous égards aux exigences de
la réglementation HIPAA et de la loi HITECH concernant les relations entre les entités visées et leur
associés commerciaux. L'Entité visée et l'Associé commercial se conforment également aux modifications
apportées aux règles HIPAA sur la vie privée, la sécurité et la mise en vigueur ainsi qu'aux règles
relatives à la notification des violations des lois HITECH (Health Information Technology for Economic and
Clinical Health Act) et GINA (Genetic Information Nondiscrimination Act), qui ont été publiées le 25 janvier
2013.
1. Définitions. Les termes utilisés, mais non définis dans le présent Contrat d'associé commercial, ont
la même signification que les termes énoncés dans la Règle de confidentialité ou la Règle de sécurité.
(a)
Manquement « Manquement » signifie l'acquisition, l'utilisation, la divulgation d'informations
médicales protégées ou l'accès à celles-ci dans un contexte non autorisé au titre de la Règle de sécurité
qui compromet la sécurité ou la confidentialité desdites informations. Le terme « Manquement » exclut ce
qui suit :
(i)
l'acquisition, l'utilisation d'Informations médicales protégées ou l'accès involontaire à
celles-ci par un membre du personnel ou une personne agissant sous l'autorité de
l'Entité visée ou de l'Associé commercial, si cette acquisition, cette utilisation ou cet
accès a été réalisé de bonne foi et dans le cadre des compétences conférées, en
excluant toute autre utilisation ou divulgation dans un contexte non autorisé par la Règle
de confidentialité ;
(ii)
la divulgation involontaire, par une personne autorisée à accéder aux Informations
médicales protégées de l'Entité visée ou de l'Associé commercial, à une autre personne
disposant des mêmes autorisations, si les informations reçues suite à une telle
divulgation ne sont plus utilisées ou divulguées dans un contexte non autorisé par la
Règle de confidentialité ;
(iii)
la divulgation d'Informations médicales protégées lorsque l'Entité visée ou l'Associé
commercial estime de bonne foi qu'une personne non autorisée à laquelle les
informations ont été divulguées ne va pas être en mesure d'en assurer la confidentialité.
Sous réserve des exceptions (i)-(iii) ci-dessus, l'acquisition, l'utilisation, la divulgation d'Informations
médicales protégées ou l'accès à celles-ci dans un contexte non autorisé par la Règle de confidentialité
sont réputés être un Manquement à moins que l'Entité visée ou l'Associé commercial, selon le cas, ne
prouve que les Informations médicales personnelles ont peu de chances d'avoir été compromises en
s'appuyant sur une évaluation du risque liée au minimum aux facteurs suivants :
(i)
la nature et l'étendue des Informations médicales personnelles concernées, y compris
les types d'identificateurs et la probabilité de nouvelle identification ;
(ii)
la personne non autorisée qui a utilisé les Informations médicales protégées ou à
laquelle celles-ci ont été divulguées ;
(iii)
le fait que les Informations médicales protégées ont été ou non réellement acquises ou
visualisées ;
(iv)
la mesure dans laquelle le risque lié aux Informations médicales protégées a été réduit.
(b)
Informations médicales électroniques protégées. Les « Informations médicales
électroniques protégées » désignent les informations médicales protégées qui sont transmises par voie
électronique (telle que définie dans la Règle de sécurité) ou tenues à jour sur un support électronique.
(c)
Règle de confidentialité. « Règle de confidentialité » fait référence aux dispositions
Standards for Privacy of Individually Identifiable Health Information dans la réglementation 45 CFR parties
160 et 164, sous-parties A et E.
(d)
Informations médicales protégées. « Informations médicales protégées » a la même
signification que « informations médicales protégées » dans la réglementation 45 CFR § 160.103, limitées
aux informations reçues par l'Associé commercial de l'Entité visée ou en son nom.
(e)
Secrétaire. « Secrétaire » désigne le Secrétaire du ministère de la santé ou son mandataire.
(f)
Incident lié à la sécurité. « Incident lié à la sécurité » désigne la tentative, réussie ou non,
d'accès non autorisé à des informations, leur utilisation, leur divulgation, leur modification ou leur
destruction, ou l'ingérence dans des opérations d'un système d'information qui permet l'accès à des
Informations médicales protégées.
(g)
Règle de sécurité. « Règle de sécurité » fait référence aux normes Security Standards for the
Protection of Electronic Protected Health Information dans la réglementation 45 CFR partie 164,
sous-partie C.
2. Obligations et activités de l'Associé commercial. L'Associé commercial convient de ce qui suit :
(a)
ne plus utiliser ni divulguer d'Informations médicales protégées autres que celles autorisées ou
requises par le Contrat d'associé commercial ou par la législation ;
(b)
utiliser, divulguer et demander uniquement le minimum d'Informations médicales protégées
nécessaires pour assurer les services pour l'Entité visée ;
(c)
appliquer les mesures de protection appropriées et respecter la Règle de sécurité concernant
les informations électroniques protégées pour éviter l'utilisation ou la divulgation de telles informations
dans des conditions non conformes aux clauses de ce Contrat d'associé commercial ;
(d)
réduire, dans la mesure du possible, les effets négatifs, connus de l'Associé commercial, liés à
l'utilisation ou à la divulgation par lui-même d'Informations médicales protégées en violation des
exigences du Contrat d'associé commercial ou de la Règle de confidentialité ;
(e)
signaler à l'Entité visée toute utilisation ou divulgation d'Informations médicales protégées non
conforme au présent Contrat d'associé commercial dont l'Associé commercial a connaissance, y compris
tout manquement aux Informations médicales protégées non sécurisées et tout incident lié à la sécurité ;
En ce qui concerne toutes les obligations en matière de signalement en vertu de ce contrat BA, les parties
reconnaissent que, étant donné que l'Associé commercial ne connaît pas la nature des données
médicales protégées contenues dans les comptes de l'Entité visée, il ne sera pas possible pour l'Associé
commercial de fournir des informations sur les identités des individus susceptibles d'avoir été affectés, ou
une description du type d'information qui a pu faire l'objet d'un incident de sécurité ou d'une violation.
(f)
conformément à la Règle de confidentialité et à la Règle de sécurité, vérifier que tout agent, y
compris un sous-traitant auquel il fournit des Informations médicales protégées reçues de l'Entité visée,
ou reçues par l'Associé commercial au nom de ladite entité, accepte les mêmes restrictions et conditions
que celles qui s'appliquent à l'Associé commercial ;
(g)
dans la mesure où les Informations médicales protégées se trouvent dans un ensemble
d'enregistrements désigné, rendre ces informations disponibles dans les limites, pour les besoins et de la
manière requis par les réglementations 45 CFR § 164.524 (Access of individuals to Protected Health
Information) et 45 CFR § 164.526 (Amendment of Protected Health Information) et intégrer toute
modification des Informations médicales protégées conformément à la réglementation 45 CFR § 164.526 ;
(h)
dans la mesure où l'Associé commercial doit remplir une ou plusieurs des obligations de
l'Entité visée au titre de la Règle de confidentialité, il doit respecter les exigences de la Règle de
confidentialité qui s'appliquent à l'Entité visée dans l'exercice de ces obligations ;
(i)
rendre les pratiques internes, les livres et les dossiers liés à l'utilisation et la divulgation des
Informations médicales protégées reçues de l'Entité visée ou reçues par l'Associé commercial au nom de
ladite entité disponibles pour le Secrétaire afin de lui permettre de déterminer la conformité de l'Entité
visée avec la Règle de confidentialité ou la Règle de sécurité ;
(j)
documenter de telles divulgations d'Informations médicales protégées et d'informations liées
auxdites divulgations comme cela serait nécessaire pour permettre à l'Entité visée de répondre à une
demande d'une personne concernant un compte rendu des divulgations d'Informations médicales
protégées conformément à la réglementation 45 CFR § 164.528 (Accounting of disclosures of Protected
Health Information) ; Afin d'éviter toute ambiguïté, l'Associé commercial documentera et mettra à votre
disposition les informations requises pour rendre compte des divulgations conformément au 45 CFR
§ 164.528 dont l'Associé commercial a connaissance en cas de demande de l'Entité visée. Étant donné
que l'Associé commercial ne peut pas facilement identifier les individus ou les types de données
médicales protégées incluses aux comptes de l'Entité visée, l'Entité visée sera seule responsable
d'identifier les Individus, le cas échéant, inclus dans les données de l'Entité visée qui ont été divulguées et
de fournir une brève description des données médicales protégées divulguées.
(k)
fournir à l'Entité visée, au moment et d'une manière convenus par les parties, les informations
collectées conformément à la Section 2(i) du présent Contrat d'associé commercial pour permettre à
ladite entité de répondre à une demande d'une personne concernant un compte rendu des divulgations
d'Informations médicales protégées conformément à la réglementation 45 CFR § 164.528.
3. Utilisations et divulgations autorisées par l'Associé commercial.
(a) Dispositions générales relatives à l'utilisation et la divulgation. Sous réserve des clause du
présent Contrat d'associé commercial, l'Associé commercial peut utiliser et divulguer des Informations
médicales protégées pour exercer les fonctions, activités et services pour l'Entité visée ou au nom de
celle-ci, à condition qu'une telle utilisation ou divulgation n'enfreigne pas la Règle de confidentialité si
l'Entité visée en est responsable.
(b) Dispositions spécifiques relatives à l'utilisation et la divulgation. L'Associé commercial
peut utiliser ou divulguer des Informations médicales protégées pour une gestion et une administration
appropriées (par exemple aux fins d'amélioration de la qualité, de test de produits ou services,
d'assistance et de maintenance des systèmes) ; à condition que l'Associé commercial divulgue de telles
Informations médicales protégées uniquement : (i) conformément aux exigences de la loi ou (ii) à des
personnes dont il obtient l'assurance raisonnable que ces informations resteront confidentielles et seront
utilisées ou de nouveau divulguées uniquement selon les exigences de la loi ou aux fins pour lesquelles
elles ont été divulguées, et les personnes notifieront l'Associé commercial de tous les cas portés à leur
connaissance dans lesquels la confidentialité des informations n'a pas été respectée.
(c) Signalement d'infractions à la loi. L'Associé commercial peut utiliser des Informations
médicales protégées pour signaler des infractions à la loi appropriées aux instances fédérales et de l'État
conformément à la réglementation 45 CFR § 164.502 (j)(1).
4. Obligations de l'Entité visée. L'Entité visée convient :
(a)
d'avoir inclus, et d'inclure, dans la Notification de pratiques en matière de confidentialité de
l'Entité visée, une disposition indiquant que l'Entité visée peut divulguer des Informations médicales
protégées pour des soins de santé et aux fins de paiement. Sur demande, l'Entité visée fournira à
l'Associé commercial une copie de la Notification de pratiques en matière de confidentialité de l'Entité
visée ainsi que toutes les modifications apportées à ladite notification ;
(b)
d'avoir indiqué à l'Associé commercial toutes les limitations de la Notification de pratiques en
matière de confidentialité de l'Entité visée dans la mesure où de telles limitations peuvent influer sur
l'exercice des services, par l'Associé commercial, pour l'Entité visée, ou bien sur l'utilisation ou la
divulgation d'Informations médicales protégées ;
(c)
de fournir, suite à une demande raisonnable de l'Associé commercial, des copies de chaque
accord, autorisation ou permission remis par une personne d'utiliser ou de divulguer des Informations
médicales protégées susceptibles d'influer sur l'exercice des services, par l'Associé commercial, pour
l'Entité visée, ou bien sur l'utilisation ou la divulgation d'Informations médicales protégées ;
(d)
d'avoir obtenu, et d'obtenir, de personnes les accords, autorisations et autres permissions (le
cas échéant) nécessaires ou requis par la loi applicable à l'Entité visée pour permettre à l'Associé
commercial et à l'Entité visée de remplir leurs obligations respectives au titre du présent Contrat d'associé
commercial ;
(e)
d'indiquer à l'Associé commercial toute modification ou révocation de l'autorisation accordée à
une personne d'utiliser ou de divulguer des Informations médicales protégées, si de telles modifications
influent sur l'exercice, par l'Associé commercial, des services pour l'Entité visée, ou bien sur l'utilisation ou
la divulgation d'Informations médicales protégées ;
(f)
d'indiquer à l'Associé commercial, sur demande de ce dernier, le nom et les coordonnées du
responsable de la confidentialité désigné par l'Entité visée conformément à la réglementation 45 CFR
§ 164.530.
5. Demandes d'autorisation par l'Entité visée
L'Entité visée ne doit pas demander à l'Associé commercial d'utiliser ou de divulguer des Informations
médicales protégées d'une manière non autorisée au titre de la Règle de confidentialité si l'Entité visée en
est responsable, sauf dans les cas prévus à la Section 3(b) ci-dessus.
6. Durée et résiliation
(a)
Durée.
L'Entité visée est en droit de résilier le présent Contrat d'associé commercial en cas
d'inexécution notable dudit contrat ; à condition que, toutefois, avant une telle résiliation,
l'Entité visée informe l'Associé commercial de l'existence d'une inexécution notable présumée
et lui permette d'y remédier. Si l'Associé commercial ne parvient pas à remédier à
l'inexécution notable dans les trente (30) jours suivant la réception de la notification par écrit,
l'Entité visée peut par la suite résilier immédiatement le présent Contrat d'associé commercial.
(b)
Effet de la résiliation.
(i)
Sauf dans les cas prévus au paragraphe (ii) de cette section, lors de la résiliation du
présent Contrat d'associé commercial pour quelque raison que ce soit, l'Associé
commercial doit renvoyer ou détruire toutes les Informations médicales protégées
reçues de l'Entité visée, ou créées ou reçues par l'Associé commercial au nom de
l'Entité visée, ou convertir lesdites informations dans un format ne permettant pas de les
identifier et conforme à la Règle de confidentialité. Cette disposition s'applique
également aux Informations médicales protégées qui sont détenues par des
sous-traitants ou agents de l'Associé commercial. L'Associé commercial ne doit
conserver aucune copie des Informations médicales protégées.
(ii)
Si l'Associé commercial détermine qu'il est impossible de renvoyer ou de détruire les
Informations médicales protégées, il doit communiquer à l'Entité visée les conditions
ayant rendu ce renvoi ou cette destruction impossible. L'Associé commercial doit
étendre les protections du Contrat d'associé commercial à de telles Informations
médicales protégées et limiter les autres utilisations et divulgations desdites
informations aux fins rendant impossible le renvoi ou la destruction, tant que l'Associé
commercial conserve les Informations médicales protégées. Les parties conviennent
que dans la mesure où l'Associé commercial est tenu, en vertu de la loi, de conserver
des copies des Informations médicales protégées, le renvoi desdites informations sera
réputé impossible et l'Associé commercial sera en droit de conserver lesdites
informations comme la loi l'exige ; à condition, toutefois, que l'Associé commercial
n'utilise ou ne divulgue ces informations que selon les exigences de la loi. Les droits et
obligations de l'Associé commercial conformément à la Section 6 du présent Contrat
d'associé commercial resteront en vigueur après la résiliation dudit contrat.
7. Divers
(a)
Références en matière de réglementation. Dans le présent Contrat d'associé commercial,
une référence à la Règle de confidentialité ou à la Règle de sécurité désigne la section en vigueur ou
modifiée et pour laquelle la conformité est requise.
(b)
Modification. Citrix actualisera ce contrat BA de temps en temps en cas de besoin pour
l'Entité visée ou l'Associé commercial, le cas échéant, afin de respecter les exigences de l'HIPAA, les
normes de protection de la vie privée ou de la sécurité ou l'HITECH Act.
(c)
Interprétation. Toute ambiguïté constatée dans le présent Contrat d'associé commercial sera
résolue dans un sens qui permette à l'Entité visée ou à l'Associé commercial, selon le cas, de se
conformer à la réglementation HIPAA, à la Règle de confidentialité, à la Règle de sécurité ou à la loi
HITECH.
(d)
Absence de bénéficiaire. Il n'existe pas de bénéficiaires tiers du présent Contrat d'associé
commercial, notamment des personnes soumises aux Informations médicales protégées.
(e)
Loi en vigueur. Ce contrat BA sera régi et interprété en vertu des lois internes comme indiqué
dans la Section 10 du EUSA.
(f)
Intégration. Ce Contrat d'associé commercial, tel qu'incorporé dans le EUSA, est le seul
contrat complet entre les parties concernant les obligations au titre de la réglementation HIPAA, de la
Règle de confidentialité, de la Règle de sécurité et de la loi HITECH, et il remplace tous les contrats,
accords et communications antérieurs y afférents. Nonobstant ce qui précède, le EUSA régit toutes les
autres conditions entre les parties, y compris sans limitation les conditions liées aux services fournis, les
obligations de paiement et la limitation de responsabilité au titre des Contrats sous-jacents et du présent
Contrat d'associé commercial.
CTX_code: SF 13/09/13