Business Associate Agreement for ShareFile (French)
Transcription
Business Associate Agreement for ShareFile (French)
SHAREFILE Contrat d'associé commercial Ce Contrat d'associé commercial (« Contrat BA ») entre en vigueur conformément aux modalités de la Section 5 du Contrat de service Utilisateur final (« EUSA ») entre le Client (« Entité visée ») et Citrix. L'Entité visée et Citrix sont des parties du EUSA au titre duquel Citrix distribue des services Sharefile à l'Entité visée et, en rapport avec lesdits services, ShareFile LLC (« ShareFile » ou « Associé commercial »), une filiale de Citrix, fournit de tels services et peut recevoir, utiliser et/ou divulguer pour l'Entité visée ou en son nom certaines Informations médicales protégées concernant des patients de l'Entité visée qui font l'objet d'une protection conformément aux lois Health Insurance Portability and Accountability Act de 1996 (« HIPAA ») et Health Information Technology for Economic and Clinical Health Act (« HITECH Act »). Du fait de telles activités, les parties considèrent que ShareFile est l'Associé commercial de l'Entité visée. L'Entité visée et l'Associé commercial acceptent de se conformer à tous égards aux exigences de la réglementation HIPAA et de la loi HITECH concernant les relations entre les entités visées et leur associés commerciaux. L'Entité visée et l'Associé commercial se conforment également aux modifications apportées aux règles HIPAA sur la vie privée, la sécurité et la mise en vigueur ainsi qu'aux règles relatives à la notification des violations des lois HITECH (Health Information Technology for Economic and Clinical Health Act) et GINA (Genetic Information Nondiscrimination Act), qui ont été publiées le 25 janvier 2013. 1. Définitions. Les termes utilisés, mais non définis dans le présent Contrat d'associé commercial, ont la même signification que les termes énoncés dans la Règle de confidentialité ou la Règle de sécurité. (a) Manquement « Manquement » signifie l'acquisition, l'utilisation, la divulgation d'informations médicales protégées ou l'accès à celles-ci dans un contexte non autorisé au titre de la Règle de sécurité qui compromet la sécurité ou la confidentialité desdites informations. Le terme « Manquement » exclut ce qui suit : (i) l'acquisition, l'utilisation d'Informations médicales protégées ou l'accès involontaire à celles-ci par un membre du personnel ou une personne agissant sous l'autorité de l'Entité visée ou de l'Associé commercial, si cette acquisition, cette utilisation ou cet accès a été réalisé de bonne foi et dans le cadre des compétences conférées, en excluant toute autre utilisation ou divulgation dans un contexte non autorisé par la Règle de confidentialité ; (ii) la divulgation involontaire, par une personne autorisée à accéder aux Informations médicales protégées de l'Entité visée ou de l'Associé commercial, à une autre personne disposant des mêmes autorisations, si les informations reçues suite à une telle divulgation ne sont plus utilisées ou divulguées dans un contexte non autorisé par la Règle de confidentialité ; (iii) la divulgation d'Informations médicales protégées lorsque l'Entité visée ou l'Associé commercial estime de bonne foi qu'une personne non autorisée à laquelle les informations ont été divulguées ne va pas être en mesure d'en assurer la confidentialité. Sous réserve des exceptions (i)-(iii) ci-dessus, l'acquisition, l'utilisation, la divulgation d'Informations médicales protégées ou l'accès à celles-ci dans un contexte non autorisé par la Règle de confidentialité sont réputés être un Manquement à moins que l'Entité visée ou l'Associé commercial, selon le cas, ne prouve que les Informations médicales personnelles ont peu de chances d'avoir été compromises en s'appuyant sur une évaluation du risque liée au minimum aux facteurs suivants : (i) la nature et l'étendue des Informations médicales personnelles concernées, y compris les types d'identificateurs et la probabilité de nouvelle identification ; (ii) la personne non autorisée qui a utilisé les Informations médicales protégées ou à laquelle celles-ci ont été divulguées ; (iii) le fait que les Informations médicales protégées ont été ou non réellement acquises ou visualisées ; (iv) la mesure dans laquelle le risque lié aux Informations médicales protégées a été réduit. (b) Informations médicales électroniques protégées. Les « Informations médicales électroniques protégées » désignent les informations médicales protégées qui sont transmises par voie électronique (telle que définie dans la Règle de sécurité) ou tenues à jour sur un support électronique. (c) Règle de confidentialité. « Règle de confidentialité » fait référence aux dispositions Standards for Privacy of Individually Identifiable Health Information dans la réglementation 45 CFR parties 160 et 164, sous-parties A et E. (d) Informations médicales protégées. « Informations médicales protégées » a la même signification que « informations médicales protégées » dans la réglementation 45 CFR § 160.103, limitées aux informations reçues par l'Associé commercial de l'Entité visée ou en son nom. (e) Secrétaire. « Secrétaire » désigne le Secrétaire du ministère de la santé ou son mandataire. (f) Incident lié à la sécurité. « Incident lié à la sécurité » désigne la tentative, réussie ou non, d'accès non autorisé à des informations, leur utilisation, leur divulgation, leur modification ou leur destruction, ou l'ingérence dans des opérations d'un système d'information qui permet l'accès à des Informations médicales protégées. (g) Règle de sécurité. « Règle de sécurité » fait référence aux normes Security Standards for the Protection of Electronic Protected Health Information dans la réglementation 45 CFR partie 164, sous-partie C. 2. Obligations et activités de l'Associé commercial. L'Associé commercial convient de ce qui suit : (a) ne plus utiliser ni divulguer d'Informations médicales protégées autres que celles autorisées ou requises par le Contrat d'associé commercial ou par la législation ; (b) utiliser, divulguer et demander uniquement le minimum d'Informations médicales protégées nécessaires pour assurer les services pour l'Entité visée ; (c) appliquer les mesures de protection appropriées et respecter la Règle de sécurité concernant les informations électroniques protégées pour éviter l'utilisation ou la divulgation de telles informations dans des conditions non conformes aux clauses de ce Contrat d'associé commercial ; (d) réduire, dans la mesure du possible, les effets négatifs, connus de l'Associé commercial, liés à l'utilisation ou à la divulgation par lui-même d'Informations médicales protégées en violation des exigences du Contrat d'associé commercial ou de la Règle de confidentialité ; (e) signaler à l'Entité visée toute utilisation ou divulgation d'Informations médicales protégées non conforme au présent Contrat d'associé commercial dont l'Associé commercial a connaissance, y compris tout manquement aux Informations médicales protégées non sécurisées et tout incident lié à la sécurité ; En ce qui concerne toutes les obligations en matière de signalement en vertu de ce contrat BA, les parties reconnaissent que, étant donné que l'Associé commercial ne connaît pas la nature des données médicales protégées contenues dans les comptes de l'Entité visée, il ne sera pas possible pour l'Associé commercial de fournir des informations sur les identités des individus susceptibles d'avoir été affectés, ou une description du type d'information qui a pu faire l'objet d'un incident de sécurité ou d'une violation. (f) conformément à la Règle de confidentialité et à la Règle de sécurité, vérifier que tout agent, y compris un sous-traitant auquel il fournit des Informations médicales protégées reçues de l'Entité visée, ou reçues par l'Associé commercial au nom de ladite entité, accepte les mêmes restrictions et conditions que celles qui s'appliquent à l'Associé commercial ; (g) dans la mesure où les Informations médicales protégées se trouvent dans un ensemble d'enregistrements désigné, rendre ces informations disponibles dans les limites, pour les besoins et de la manière requis par les réglementations 45 CFR § 164.524 (Access of individuals to Protected Health Information) et 45 CFR § 164.526 (Amendment of Protected Health Information) et intégrer toute modification des Informations médicales protégées conformément à la réglementation 45 CFR § 164.526 ; (h) dans la mesure où l'Associé commercial doit remplir une ou plusieurs des obligations de l'Entité visée au titre de la Règle de confidentialité, il doit respecter les exigences de la Règle de confidentialité qui s'appliquent à l'Entité visée dans l'exercice de ces obligations ; (i) rendre les pratiques internes, les livres et les dossiers liés à l'utilisation et la divulgation des Informations médicales protégées reçues de l'Entité visée ou reçues par l'Associé commercial au nom de ladite entité disponibles pour le Secrétaire afin de lui permettre de déterminer la conformité de l'Entité visée avec la Règle de confidentialité ou la Règle de sécurité ; (j) documenter de telles divulgations d'Informations médicales protégées et d'informations liées auxdites divulgations comme cela serait nécessaire pour permettre à l'Entité visée de répondre à une demande d'une personne concernant un compte rendu des divulgations d'Informations médicales protégées conformément à la réglementation 45 CFR § 164.528 (Accounting of disclosures of Protected Health Information) ; Afin d'éviter toute ambiguïté, l'Associé commercial documentera et mettra à votre disposition les informations requises pour rendre compte des divulgations conformément au 45 CFR § 164.528 dont l'Associé commercial a connaissance en cas de demande de l'Entité visée. Étant donné que l'Associé commercial ne peut pas facilement identifier les individus ou les types de données médicales protégées incluses aux comptes de l'Entité visée, l'Entité visée sera seule responsable d'identifier les Individus, le cas échéant, inclus dans les données de l'Entité visée qui ont été divulguées et de fournir une brève description des données médicales protégées divulguées. (k) fournir à l'Entité visée, au moment et d'une manière convenus par les parties, les informations collectées conformément à la Section 2(i) du présent Contrat d'associé commercial pour permettre à ladite entité de répondre à une demande d'une personne concernant un compte rendu des divulgations d'Informations médicales protégées conformément à la réglementation 45 CFR § 164.528. 3. Utilisations et divulgations autorisées par l'Associé commercial. (a) Dispositions générales relatives à l'utilisation et la divulgation. Sous réserve des clause du présent Contrat d'associé commercial, l'Associé commercial peut utiliser et divulguer des Informations médicales protégées pour exercer les fonctions, activités et services pour l'Entité visée ou au nom de celle-ci, à condition qu'une telle utilisation ou divulgation n'enfreigne pas la Règle de confidentialité si l'Entité visée en est responsable. (b) Dispositions spécifiques relatives à l'utilisation et la divulgation. L'Associé commercial peut utiliser ou divulguer des Informations médicales protégées pour une gestion et une administration appropriées (par exemple aux fins d'amélioration de la qualité, de test de produits ou services, d'assistance et de maintenance des systèmes) ; à condition que l'Associé commercial divulgue de telles Informations médicales protégées uniquement : (i) conformément aux exigences de la loi ou (ii) à des personnes dont il obtient l'assurance raisonnable que ces informations resteront confidentielles et seront utilisées ou de nouveau divulguées uniquement selon les exigences de la loi ou aux fins pour lesquelles elles ont été divulguées, et les personnes notifieront l'Associé commercial de tous les cas portés à leur connaissance dans lesquels la confidentialité des informations n'a pas été respectée. (c) Signalement d'infractions à la loi. L'Associé commercial peut utiliser des Informations médicales protégées pour signaler des infractions à la loi appropriées aux instances fédérales et de l'État conformément à la réglementation 45 CFR § 164.502 (j)(1). 4. Obligations de l'Entité visée. L'Entité visée convient : (a) d'avoir inclus, et d'inclure, dans la Notification de pratiques en matière de confidentialité de l'Entité visée, une disposition indiquant que l'Entité visée peut divulguer des Informations médicales protégées pour des soins de santé et aux fins de paiement. Sur demande, l'Entité visée fournira à l'Associé commercial une copie de la Notification de pratiques en matière de confidentialité de l'Entité visée ainsi que toutes les modifications apportées à ladite notification ; (b) d'avoir indiqué à l'Associé commercial toutes les limitations de la Notification de pratiques en matière de confidentialité de l'Entité visée dans la mesure où de telles limitations peuvent influer sur l'exercice des services, par l'Associé commercial, pour l'Entité visée, ou bien sur l'utilisation ou la divulgation d'Informations médicales protégées ; (c) de fournir, suite à une demande raisonnable de l'Associé commercial, des copies de chaque accord, autorisation ou permission remis par une personne d'utiliser ou de divulguer des Informations médicales protégées susceptibles d'influer sur l'exercice des services, par l'Associé commercial, pour l'Entité visée, ou bien sur l'utilisation ou la divulgation d'Informations médicales protégées ; (d) d'avoir obtenu, et d'obtenir, de personnes les accords, autorisations et autres permissions (le cas échéant) nécessaires ou requis par la loi applicable à l'Entité visée pour permettre à l'Associé commercial et à l'Entité visée de remplir leurs obligations respectives au titre du présent Contrat d'associé commercial ; (e) d'indiquer à l'Associé commercial toute modification ou révocation de l'autorisation accordée à une personne d'utiliser ou de divulguer des Informations médicales protégées, si de telles modifications influent sur l'exercice, par l'Associé commercial, des services pour l'Entité visée, ou bien sur l'utilisation ou la divulgation d'Informations médicales protégées ; (f) d'indiquer à l'Associé commercial, sur demande de ce dernier, le nom et les coordonnées du responsable de la confidentialité désigné par l'Entité visée conformément à la réglementation 45 CFR § 164.530. 5. Demandes d'autorisation par l'Entité visée L'Entité visée ne doit pas demander à l'Associé commercial d'utiliser ou de divulguer des Informations médicales protégées d'une manière non autorisée au titre de la Règle de confidentialité si l'Entité visée en est responsable, sauf dans les cas prévus à la Section 3(b) ci-dessus. 6. Durée et résiliation (a) Durée. L'Entité visée est en droit de résilier le présent Contrat d'associé commercial en cas d'inexécution notable dudit contrat ; à condition que, toutefois, avant une telle résiliation, l'Entité visée informe l'Associé commercial de l'existence d'une inexécution notable présumée et lui permette d'y remédier. Si l'Associé commercial ne parvient pas à remédier à l'inexécution notable dans les trente (30) jours suivant la réception de la notification par écrit, l'Entité visée peut par la suite résilier immédiatement le présent Contrat d'associé commercial. (b) Effet de la résiliation. (i) Sauf dans les cas prévus au paragraphe (ii) de cette section, lors de la résiliation du présent Contrat d'associé commercial pour quelque raison que ce soit, l'Associé commercial doit renvoyer ou détruire toutes les Informations médicales protégées reçues de l'Entité visée, ou créées ou reçues par l'Associé commercial au nom de l'Entité visée, ou convertir lesdites informations dans un format ne permettant pas de les identifier et conforme à la Règle de confidentialité. Cette disposition s'applique également aux Informations médicales protégées qui sont détenues par des sous-traitants ou agents de l'Associé commercial. L'Associé commercial ne doit conserver aucune copie des Informations médicales protégées. (ii) Si l'Associé commercial détermine qu'il est impossible de renvoyer ou de détruire les Informations médicales protégées, il doit communiquer à l'Entité visée les conditions ayant rendu ce renvoi ou cette destruction impossible. L'Associé commercial doit étendre les protections du Contrat d'associé commercial à de telles Informations médicales protégées et limiter les autres utilisations et divulgations desdites informations aux fins rendant impossible le renvoi ou la destruction, tant que l'Associé commercial conserve les Informations médicales protégées. Les parties conviennent que dans la mesure où l'Associé commercial est tenu, en vertu de la loi, de conserver des copies des Informations médicales protégées, le renvoi desdites informations sera réputé impossible et l'Associé commercial sera en droit de conserver lesdites informations comme la loi l'exige ; à condition, toutefois, que l'Associé commercial n'utilise ou ne divulgue ces informations que selon les exigences de la loi. Les droits et obligations de l'Associé commercial conformément à la Section 6 du présent Contrat d'associé commercial resteront en vigueur après la résiliation dudit contrat. 7. Divers (a) Références en matière de réglementation. Dans le présent Contrat d'associé commercial, une référence à la Règle de confidentialité ou à la Règle de sécurité désigne la section en vigueur ou modifiée et pour laquelle la conformité est requise. (b) Modification. Citrix actualisera ce contrat BA de temps en temps en cas de besoin pour l'Entité visée ou l'Associé commercial, le cas échéant, afin de respecter les exigences de l'HIPAA, les normes de protection de la vie privée ou de la sécurité ou l'HITECH Act. (c) Interprétation. Toute ambiguïté constatée dans le présent Contrat d'associé commercial sera résolue dans un sens qui permette à l'Entité visée ou à l'Associé commercial, selon le cas, de se conformer à la réglementation HIPAA, à la Règle de confidentialité, à la Règle de sécurité ou à la loi HITECH. (d) Absence de bénéficiaire. Il n'existe pas de bénéficiaires tiers du présent Contrat d'associé commercial, notamment des personnes soumises aux Informations médicales protégées. (e) Loi en vigueur. Ce contrat BA sera régi et interprété en vertu des lois internes comme indiqué dans la Section 10 du EUSA. (f) Intégration. Ce Contrat d'associé commercial, tel qu'incorporé dans le EUSA, est le seul contrat complet entre les parties concernant les obligations au titre de la réglementation HIPAA, de la Règle de confidentialité, de la Règle de sécurité et de la loi HITECH, et il remplace tous les contrats, accords et communications antérieurs y afférents. Nonobstant ce qui précède, le EUSA régit toutes les autres conditions entre les parties, y compris sans limitation les conditions liées aux services fournis, les obligations de paiement et la limitation de responsabilité au titre des Contrats sous-jacents et du présent Contrat d'associé commercial. CTX_code: SF 13/09/13