Portail juridique monday.com

Last Updated: novembre 24, 2020

Accord de partenariat commercial HIPAA

Last Updated: novembre 24, 2020

ACCORD DE PARTENARIAT COMMERCIAL

Cet Accord de partenariat commercial (« APC ») fait partie de nos Conditions de service (« Accord »), que vous soyez un client existant qui ait accepté l’accord ou un nouveau client qui accepte l’accord maintenant. Vous reconnaissez que vous, en votre propre nom en tant que personne physique et au nom de votre employeur ou d’une autre entité légale (collectivement, « l’Entité Visée » « vous », « votre » ou le « Client ») avez lu et compris et acceptez de vous conformer à cet APC, et que vous concluez un accord juridique contraignant avec monday.com Ltd, propriétaire de monday.com (« monday.com », « nous »,  « notre » ou « fournisseur de service ») afin de reprendre l’accord entre les deux parties concernant les utilisations et/ou les divulgations de la part du Partenaire Commercial des Informations protégées de santé de l’Entité Visée définies dans 45 C.F.R. § 160.103 (« IPS », qui, pour les termes de cet Accord, se rapporte collectivement aux IPS sur tout support, qu’il soit électronique, en papier ou verbal).

Les deux parties seront désignées par « Parties » et chacune étant une « Partie ». Les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est attribuée dans l’Accord ou dans la Loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie et ses règlements d’application, tels qu’ils peuvent être mis à jour de temps à autre (collectivement, « HIPAA »). Vous déclarez et garantissez que vous avez, ou que l’on vous a accordé, le plein pouvoir de lier le Client à cet APC. Si vous ne pouvez pas, ou n’acceptez pas, de vous conformer au présent APC et d’être lié par celui-ci, ou si vous n’avez pas le pouvoir de lier le client ou toute autre entité, veuillez ne pas nous fournir d’IPS. Vous concluez le présent APC en votre nom et, dans la mesure requise par l’HIPAA et les lois et règlements applicables en matière de protection des données, au nom et pour le compte du Client et des sociétés affiliées du Client, si et dans la mesure où vous ou le Client traitez des IPS pour lesquels ces sociétés affiliées sont qualifiées d’« Entité Visée ». Aux fins du présent APC uniquement, et sauf indication contraire, le terme « Entité Visée » inclut vous-même, le client et/ou les sociétés affiliées du client.

Dans le cadre de la fourniture des Services conformément à l’Accord, nous pouvons accéder, utiliser, divulguer et/ou traiter les IPS pour votre compte et/ou celui du Client, en qualité de « Partenaire Commercial ». Les parties conviennent de se conformer aux dispositions suivantes en ce qui concerne les IPS, chacune agissant raisonnablement et de bonne foi. Si vous avez besoin d’une copie signée de cet APC, vous pouvez télécharger cet APC à l’adresse www.monday.com/terms/hipaa-baa , envoyer une copie signée à legal@monday.com et nous vous fournirons une copie contresignée. En cas de conflit entre certaines dispositions du présent APC et les dispositions de l’Accord, les dispositions du présent APC prévaudront sur les dispositions conflictuelles de l’Accord.

Le Partenaire Commercial utilise et/ou divulgue actuellement les IPS de l’Entité Visée afin de fournir les Services, comme décrit plus en détail dans l’Accord entre les Parties ; et en fournissant des Services conformément à l’Accord, le Partenaire Commercial deviendra un partenaire commercial de l’Entité Visée, tel que ce terme est défini dans l’HIPAA, et aura donc des obligations concernant la confidentialité des IPS que le Partenaire Commercial crée pour, ou reçoit de ou au nom du Client.        

1.  Utilisations et divulgations autorisées. Le Partenaire Commercial peut utiliser et divulguer les IPS nécessaires à l’exécution de ses obligations envers l’Entité Visée comme indiqué dans l’Accord ou comme autrement permis ou requis par la loi en vertu de l’HIPAA, à condition que le Partenaire Commercial ne devra pas utiliser ou divulguer les IPS d’une manière qui ne serait pas autorisée si elle était faite par l’Entité Visée. Le Partenaire Commercial peut également :

 (a) utiliser les IPS (i) dans la mesure nécessaire à sa bonne gestion et à son administration, ou (ii) pour exercer ses responsabilités légales ;

 (b) divulguer les IPS à des tiers aux mêmes fins tant que (i) la divulgation est exigée par la loi ou (ii) le Partenaire Commercial obtient des garanties satisfaisantes de la part dudit tiers que les IPS seront conservées de manière confidentielle et utilisées ou divulguées ultérieurement uniquement comme l’exige la loi ou aux fins pour lesquelles elles ont été divulguées et que le tiers notifiera le Partenaire Commercial tous les cas dont il a connaissance dans lesquels la confidentialité des IPS a été violée et

 (c) Le Partenaire Commercial accepte d’utiliser, de divulguer et de demander des IPS conformes aux politiques et procédures minimales nécessaires de l’Entité Visée.

2. Obligations du Partenaire Commercial.

(a) Limitation de la divulgation. Le Partenaire Commercial s’engage à ne pas utiliser ou divulguer les IPS autrement que de la manière autorisée ou requise par les présentes, par tout accord écrit (y compris l’Accord) ou par la loi.

(b) Garanties. Le Partenaire Commercial s’engage à mettre en œuvre des mesures de protection administratives, physiques et techniques qui protègent de manière raisonnable et appropriée la confidentialité, l’intégrité et la disponibilité des IPS qu’il crée, reçoit, stocke, conserve ou transmet pour le compte de l’Entité Visée conformément au présent Accord ou à tout autre accord pertinent, et doit empêcher l’utilisation ou la divulgation des IPS de l’Entité Visée autrement que comme prévu dans le présent Accord ou comme requis par la loi.

(c) Communication des utilisations/divulgations non prévues par l’accord. Le Partenaire Commercial s’engage à signaler à l’Entité Visée toute utilisation ou divulgation des IPS non prévue par les présentes ou par tout accord écrit dont il aurait connaissance.

(d) Limitation. Le Partenaire Commercial s’engage à atténuer, dans la mesure du possible, tout effet néfaste connu du Partenaire Commercial d’une utilisation ou d’une divulgation des IPS par le Partenaire Commercial en violation des exigences du présent Accord.

(e) Utilisation d’agents/sous-traitants. Le Partenaire Commercial accepte de garantir que tout agent, y compris un sous-traitant, à qui le Partenaire Commercial fournirait des IPS reçues de, ou créées ou reçues par, le Partenaire Commercial au nom de l’Entité Visée, accepte des restrictions et des conditions substantiellement similaires à celles qui s’appliquent au Partenaire Commercial en ce qui concerne les IPS. Le Partenaire Commercial, conformément à ses obligations en vertu de l’HIPAA et du présent Accord, est entièrement responsable de garantir qu’il conclut un accord avec ses sous-traitants contenant des obligations non moins restrictives que les termes du présent Accord.

(f) Accès aux IPS. Dans les quinze (15) jours suivant la réception d’une demande écrite de la part de l’Entité Visée concernant une copie des IPS, l’Entité Visée accepte de mettre les IPS demandées à la disposition de l’Entité Visée pour permettre à l’Entité Visée de répondre à une personne qui cherche à inspecter ou copier les IPS, sauf si le Partenaire Commercial considère qu’il existe des motifs raisonnables pour le refus de cette demande conformément au 45 C.F.R.§ 164.524, auquel cas il doit en informer l’Entité Visée en conséquence. Le Partenaire Commercial est tenu de se conformer à la règle de sécurité en ce qui concerne les IPS électroniques, y compris, mais sans s’y limiter, la mise à disposition, sur demande écrite, de copies des IPS sous forme électronique, lorsque les IPS sont stockées sous forme électronique.

(g) Modification des IPS. Dans les quinze (15) jours suivant la réception d’une demande écrite de l’Entité Visée afin d’apporter une modification aux IPS, le Partenaire Commercial effectuera cette modification et informera tout détenteur des IPS connu du Partenaire Commercial qu’une modification a été effectuée, à moins que le Partenaire Commercial ne considère qu’il existe des motifs raisonnables pour refuser cette demande conformément au 45 C.F.R. § 164.526, auquel cas il en informera l’Entité Visée.

(h) Comptabilisation de certaines informations.  Dans les trente (30) jours suivant la réception d’une demande écrite de la part de l’Entité Visée concernant la comptabilité des divulgations d’informations médicales sur une personne, le Partenaire Commercial doit fournir à l’Entité Visée une liste des personnes ou entités auxquelles le Partenaire Commercial a divulgué des informations médicales sur la personne dans les six (6) dernières années, ainsi que les dates des divulgations, raisons et brèves descriptions des divulgations pour permettre à l’Entité Visée de répondre à une personne cherchant à tenir compte des divulgations des informations médicales de la personne concernée. (Voir 45 C.F.R. § 164.528.)

(i) Accès aux registres et aux documents.  Le Partenaire Commercial doit mettre ses pratiques internes, ses registres et ses documents relatifs à l’utilisation et à la divulgation des IPS reçues de, créées par, ou reçues par le Partenaire Commercial au nom de l’Entité Visée, à la disposition, sur demande, du Département américain de la santé et des services sociaux (U.S. Department of Health and Human Services) afin qu’il puisse évaluer la conformité de l’Entité Visée à la Loi de confidentialité.

(j) Obligations du Partenaire Commercial à la résiliation. Le Partenaire Commercial se doit, à la résiliation de tout accord, ou lors d’utilisation et/ou de divulgation des IPS par le Partenaire Commercial, de renvoyer ou de permettre à l’Entité Visée de détruire toutes les IPS reçues, créées ou reçues par le Partenaire Commercial au nom de l’Entité Visée que le Partenaire Commercial conserve sous quelque forme que ce soit dans le cadre du présent Accord par le biais d’une option de suppression fournie par le Partenaire Commercial et de ne conserver aucune copie de ces informations ou, si un tel renvoi ou destruction n’est pas réalisable, d’étendre les protections du présent Accord aux IPS et de limiter d’autres utilisations et divulgations aux fins qui rendent le renvoi ou la destruction des IPS irréalisables.

(k) Communication d’incident de sécurité. Le Partenaire Commercial se doit de signaler à l’Entité Visée tout incident de sécurité dont il aurait connaissance.  (En vertu de l’article 164.304 du 45 C.F.R., un incident de sécurité est défini comme toute tentative non autorisée — réussie ou non — d’accès, d’utilisation, de divulgation ou de destruction d’informations ou d’interférence avec les opérations d’un système d’information.)  Nonobstant ce qui précède, les Parties reconnaissent et conviennent que la présente section constitue une notification de la part du Partenaire Commercial à l’Entité Visée de l’existence et de la survenance continue de tentatives d’Incidents de sécurité toutefois non réussies.  Les Incidents de sécurité non réussis comprennent, mais sans s’y limiter, les pings et autres attaques broadcast sur le pare-feu du Partenaire Commercial, les analyses de ports, les tentatives de connexion infructueuses, les refus de service et toute combinaison des éléments ci-dessus, ou par tout autre mécanisme tant qu’aucun tel incident n’entraîne l’accès, l’utilisation ou la divulgation non autorisés de IPS.

3. Procédures de notification en cas de violation

(c) Communication des utilisations/divulgations non prévues par l’accord. Le Partenaire Commercial accepte de signaler à l’Entité Visée toute violation – y compris, mais sans s’y limiter, toute acquisition, tout accès, toute utilisation ou toute divulgation non autorisés ou non admissibles de renseignements médicaux personnels (sous quelque forme que ce soit) en pleine conformité avec l’HIPAA. Cette notification de toute utilisation ou divulgation présumée non autorisée d’informations médicales (sous quelque forme que ce soit) doit être transmise rapidement à l’Entité Visée par écrit sans retard déraisonnable, mais au plus tard trente (30) jours ouvrables à compter de la date à laquelle le Partenaire Commercial a pris connaissance de ces utilisations ou divulgations présumées non autorisées, ou en faisant preuve d’une diligence raisonnable aurait dû connaître ces utilisations ou divulgations présumées non autorisées.  En outre, en cas d’utilisation ou de divulgation non autorisée des IPS, le Partenaire Commercial doit atténuer, dans la mesure du possible, les effets néfastes de ladite utilisation ou divulgation dont il a ou devrait avoir connaissance.

(b) Instructions pour signaler une d’atteinte. Si une atteinte qui doit être rapporter en vertu de l’HIPAA se produit, le Partenaire Commercial notifiera l’Entité Visée, et dans cette notification, le Partenaire Commercial inclura, sans limitation, dans la mesure du possible, les informations suivantes : (1) une brève description de ce qui s’est passé, y compris la date de l’incident et la date de la découverte de l’incident ; (2) l’identification de chaque individu dont les IPS ont été compromis ou potentiellement compromis ; (3) une description des types d’IPS qui ont été impliqués dans l’incident ; (4) toutes les mesures que les individus devraient prendre pour se protéger des dommages potentiels résultant de l’incident et (5) une brève description de ce que le Partenaire Commercial fait pour enquêter sur l’incident, pour palier à la compromission des PHI, et pour se protéger contre tout autre incident. Si ces informations ne sont pas disponibles au moment de la notification, le Partenaire Commercial travaillera avec l’Entité Visée afin de fournir des informations supplémentaires rapidement par la suite, dès que les informations seront disponibles.

4. Modifications liées à la mise en conformité.

Les Parties reconnaissent que l’HIPAA peut changer ou être clarifié de temps à autre et que les termes du présent accord peuvent devoir être révisés, sur les conseils d’un avocat, afin de rester en conformité avec ces changements ou clarifications, et les Parties acceptent de négocier, de bonne foi, les révisions du ou des termes qui causent la violation ou la non-conformité potentielle ou réelle. Dans le cas où l’une ou l’autre des Parties, agissant raisonnablement, n’est pas en mesure d’accepter des conditions nouvelles ou modifiées nécessaires pour mettre en conformité l’intégralité de l’Accord, l’une ou l’autre des parties peut résilier le présent Accord moyennant un préavis écrit de trente (30) jours à l’autre Partie, ou plus tôt si nécessaire pour empêcher toute non-conformité avec une date butoir ou une date d’entrée en vigueur, ou pour protéger toute IPS en question, ainsi qu’afin d’assurer le respect de toutes les obligations en vertu de l’une de ces procédures, règles, réglementations ou lois.

5. Durée et résiliation.

(a) Durée.  Le présent Accord entrera en vigueur à la Date d’entrée en vigueur indiquée ci-dessus et prendra fin à la résiliation ou à l’expiration de l’Accord et lorsque toutes les IPS fournies par l’une des Parties à l’autre, ou créées ou reçues par le Partenaire Commercial pour le compte du Client seront, conformément à la présente Section, détruites ou renvoyées au Client ou, si les Parties déterminent qu’il n’est pas possible de renvoyer ou de détruire les IPS, les protections seront étendues à ces informations, conformément aux termes du présent Accord.

(b) Résiliation.  Nonobstant toute autre disposition d’un accord, l’une ou l’autre Partie peut immédiatement résilier le présent Accord si l’une ou l’autre Partie, agissant raisonnablement, juge que l’autre Partie a enfreint une condition importante du présent APC et n’a pas remédié à cette violation dans les trente (30) jours suivant sa réception par écrit.  A la fin de l’Accord, ou des utilisations et/ou divulgations des PHI par le Partenaire Commercial, le Partenaire Commercial devra, si possible, retourner ou permettre à l’Entité Visée de détruire toutes les IPS reçues de, créées par, ou maintenues par le Partenaire Commercial au nom de l’Entité Visée que le Partenaire Commercial maintient toujours sous quelque forme que ce soit en relation avec cet APC par une option de suppression automatique fournie par le Partenaire Commercial et ne devra conserver aucune copie de ces informations.

6. Divers.

(a) Intégration et partage. Le service du Partenariat Commercial permet l’intégration, le partage et l’échange d’informations avec des services et des liens de tierce parties (tels que définis dans l’Accord) qui peuvent ou non être conformes à l’HIPAA. Si l’Entité Visée choisit d’utiliser un tel service et/ou des liens tiers, l’Entité Visée est seule responsable de l’échange d’informations, y compris toute IPS entre les services du Partenaire Commercial et la tierce partie. Les fournisseurs de services tiers ne fournissent pas de services au nom de monday.com et ne sont pas des Partenaires Commerciaux de monday.com. monday.com décline expressément toute responsabilité quant à l’utilisation, la divulgation ou toute autre action entreprise par ces fournisseurs de services tiers ou quant à la non-conformité de l’Entité Visée à toute loi, réglementation ou disposition contractuelle applicable relative au partage d’informations, y compris les IPS, avec un tel service tiers.

(b) Audits. Si et dans la mesure où cela est requis pour se conformer à la loi applicable, le Partenaire Commercial doit fournir à l’Entité Visée (et aux régulateurs de l’Entité Visée) l’accès à des heures raisonnables et sur préavis raisonnable ainsi que la coordination avec le personnel du Partenaire Commercial, aux installations dans ou à partir desquelles les services liés aux IPS sont alors fournis, et aux dossiers du Partenaire Commercial et autres informations pertinentes, tout cela dans la mesure où cela est pertinent pour vérifier la conformité du Partenaire Commercial avec ses obligations en vertu du présent Accord. Le Partenaire Commercial fournira toute assistance raisonnablement demandée par l’Entité Visée ou son représentant dans la conduite d’un tel audit.

(c) Absence de tiers bénéficiaire. Rien d’explicite ou d’implicite dans le présent Accord n’est destiné à conférer, et rien ne doit conférer, à toute personne autre que l’Entité Visée, le Partenaire Commercial et leurs successeurs et ayants droit respectifs, des droits, des recours, des obligations ou des responsabilités quelconques.

Le Partenaire Commercial accepte de se conformer à toutes les exigences et d’incorporer les exigences dans ses propres accords dans la mesure où la loi l’exige. Le présent Accord remplace tout Accord antérieur de partenariat commercial HIPAA entre les Parties concernant l’objet du présent Accord.

[Page des signatures]

         EN FOI DE QUOI, les parties ont fait signer et conclu le présent Accord de partenariat commercial qui sera exécuté par leurs représentants dûment autorisés, avec effet à la date d’entrée en vigueur.

AVERTISSEMENT : Cette version est une traduction de la version originale en anglais et elle est fournie uniquement à des fins de commodité. La version originale anglaise est la version officielle et juridiquement contraignante et c’est elle qui prévaudra en cas de divergence.

Donner aux équipes les moyens d'accomplir davantage, ensemble.

Essai gratuit de 14 jours | Aucune carte de crédit requise