Annexe sur le Partenaire commercial en vertu de la loi HIPAA
Dernière mise à jour le 20/11/2020.
L’Annexe sur le partenariat commercial en vertu de la loi HIPAA (la présente « Annexe à la loi HIPAA ») complète les Conditions générales de service (ci-après, les « Conditions ») de Mailgun. Cette Annexe à la loi HIPAA définit les droits et responsabilités de chacun et chacune d’entre nous au regard des informations médicales protégées telles qu’elles sont définies dans la Loi américaine sur la portabilité et la responsabilité en assurance santé de 1996 et les règlements y afférents promulgués ultérieurement, y compris la Loi HITECH et la Règle Omnibus, chacune étant susceptible de modification en temps voulu (ci-après collectivement, la « loi HIPAA »). L’Annexe à la loi HIPAA s’appliquera uniquement pour le cas et dans la mesure où Mailgun satisfait, vis-à-vis de vous et s’agissant de l’utilisation que vous faites des services Mailgun, à la définition du Partenaire commercial donnée à l’article 45, paragraphe 160.103, du Code américain des règlements fédéraux, ou de toute disposition applicable qui le remplacerait.
1. Définitions. Aux fins de la présente Annexe à la loi HIPAA, les termes commençant par une majuscule ont le sens prévu ci-après :
« Partenaire commercial » désigne la société Mailgun Technologies, Inc., qui a son siège dans l’État américain du Delaware, pour son propre compte et pour le compte de ses sociétés affiliées (toute entité détenue par ou sous contrôle commun avec l’une de ses entités, y compris, mais sans s’y limiter, Mailgun Technologies SAS et Mailjet SAS).
« CFR » désigne le Code des règlements fédéraux.
« Individu » a la même signification que le terme « individu » visé à l’article 45, paragraphe 160.103, du CFR et inclut toute personne répondant aux conditions du représentant personnel aux termes de l’article 45, paragraphe 164.502(g), du CFR.
« Règle de confidentialité » a le sens des Normes de confidentialité des informations médicales identifiables individuellement visés à l’article 45, parties 160 et 164, sous-parties A et E, du CFR.
« Informations médicales protégées » a la même signification que le terme « informations médicales protégées » visées à l’article 45, paragraphe 160.103, des CFR, en se limitant aux informations communiquées par vous ou en votre nom au Partenaire commercial.
« Comme l’exige la loi » a la même signification que l’expression « comme l’exige la loi » visée à l’article 45, paragraphe 164.103, des CFR.
« Règle de sécurité » a le sens des Normes de sécurité relatives à la protection des informations médicales électroniques protégées visées à l’article 45, partie 160 et sous-parties A et C de la partie 164, des CFR.
« Ministre » a le sens du ministre de la Santé et des Services à la personne ou de son représentant / sa représentante.
2. Obligations et activités du Partenaire commercial.
(a) Le Partenaire commercial ne doit pas utiliser ou divulguer d’autres renseignements médicaux protégés que ceux autorisés ou requis par la présente Annexe à la loi HIPAA ou autorisés ou exigés par la loi.
(b) Le Partenaire commercial accepte de fournir les mesures de protection physiques, techniques et administratives décrites dans les conditions et les autres parties du Contrat, y compris les mesures de protection sélectionnées par vous et décrites dans un Bon de Commande. Si, dans le cadre de la présente Annexe à la loi HIPAA, le Partenaire commercial accepte d’exécuter l’une de vos obligations en vertu de la Règle de confidentialité, alors il se conformera aux exigences de la Règle de confidentialité applicable à une telle obligation.
(c) Le Partenaire commercial accepte d’atténuer, dans la mesure où cela est commercialement raisonnable et raisonnablement réalisable, tout effet néfaste existant à sa connaissance d’une utilisation ou d’une divulgation des informations médicales protégées, par lui-même ou ses agents ou sous-traitants en violation des exigences de cette Annexe à la loi HIPAA.
(d) Dans les cinq jours ouvrables suivant sa prise de connaissance, le Partenaire commercial accepte de vous signaler (i) les incidents de sécurité (tels que définis dans l’article 45, paragraphe 164.304 des CFR et comme décrits ci-dessous), (ii) la violation des informations médicales non sécurisées (telle que définie dans l’article 45, paragraphe 164,402 des CFR), ou (iii) l’accès, l’acquisition, l’utilisation ou la divulgation des informations médicales protégées en violation de la présente Annexe à la loi HIPAA.
Les deux parties reconnaissent la probabilité d’un nombre important de tentatives vaines ou infructueuses d’accès aux services de Mailgun, ce qui rend une exigence de signalement en temps réel irréalisable pour les deux parties. Les parties reconnaissent que la capacité du Partenaire commercial à signaler l’activité du système, y compris les incidents de sécurité, est limitée par les services que vous avez achetés (et ne s’étend pas aux réseaux ou systèmes exploités par des tiers dans le cadre d’une connectivité Internet générale).
Le Partenaire commercial ne s’engage aucunement à signaler les incidents liés à la sécurité du réseau qui surviennent sur le réseau géré par Mailgun, mais qui n’impliquent pas directement vos données client. Les parties conviennent que les exemples suivants sont des exemples d’incidents de sécurité infructueux qui, lorsqu’ils n’entraînent pas l’accès, l’utilisation, la divulgation, la modification ou la destruction non autorisés d'informations médicales protégées, ne doivent pas être signalés par le Partenaire commercial : pings contre des dispositifs de réseau, balayages de ports, tentatives de connexion à un système ou à une base de données avec un mot de passe ou un nom d’utilisateur non valide, détection de logiciels malveillants.
En fonction de votre utilisation des services, ils peuvent inclure la transmission d’emails en texte brut de manière non sécurisée via l’Internet public. Le Partenaire commercial n’a nullement l’obligation de surveiller ou de tenter de surveiller l’accès à ces emails, y compris s’ils sont stockés ou potentiellement consultés par des tiers lors d’activités ordinaires de transmission d’emails.
(e) Le Partenaire commercial accepte d’obtenir de tout agent, y compris un sous-traitant auquel il fournit des informations médicales protégées, des garanties raisonnables de son respect des mêmes restrictions et conditions qui s’appliquent au Partenaire commercial en vertu de la présente Annexe à la loi HIPAA en ce qui concerne ces informations. Ceci ne s’applique pas aux intermédiaires et fournisseurs tiers qui sont impliqués dans la transmission, le routage, le stockage ou la réception d’emails qui sont inhérents à la livraison des services de Mailgun.
(f) Toutes les informations médicales protégées conservées par le Partenaire commercial pour vous seront mises à votre disposition dans un délai et d’une manière qui vous permettent raisonnablement de vous conformer aux exigences en vertu de l’article 45, paragraphe 164.524 des CFR. Le Partenaire commercial n’est pas tenu de fournir ces informations directement à un individu ou à une personne autre que vous.
(g) Toutes les informations médicales protégées et autres informations conservées par le Partenaire commercial pour vous seront mises à votre disposition dans un délai et d’une manière qui vous permettent raisonnablement de vous conformer aux exigences en vertu de l’article 45, paragraphe 164.526 des CFR.
(h) Le Partenaire commercial accepte de mettre ses pratiques internes, ses rapports et ses registres à la disposition du Secrétaire, à une date et d’une manière désignées par ce dernier, afin qu’il détermine votre conformité à la Règle de confidentialité ; à condition, toutefois, que le temps encouru par le Partenaire commercial pour se conformer à une telle demande, qui dépasse ses paramètres normaux de service à la clientèle, vous soit facturé au taux horaire standard en vigueur du Partenaire commercial pour les services supplémentaires.
(i) Vous reconnaissez que le Partenaire commercial n’est pas tenu par la présente Annexe à la loi HIPAA de divulguer des informations médicales protégées à des individus ou à toute personne autres que vous, et qu’il ne prévoit donc pas de conserver la documentation d’une telle divulgation comme décrit dans l’article 45, paragraphe 164.528, des CFR. Si le Partenaire commercial procède à une telle divulgation, il doit la documenter de la même manière que si vous deviez répondre à une demande d’un individu pour une comptabilisation des divulgations, conformément à l’article 45, paragraphes 164.504(e)(2)(ii)(G) et 164.528, des CFR, et doit vous fournir cette documentation rapidement à votre demande. Si une demande de comptabilisation est adressée directement au Partenaire commercial, ce dernier doit, sous deux jours ouvrables, vous transmettre cette demande.
3. Utilisations et divulgations autorisées pour le Partenaire commercial.
Sauf limitation contraire prévue dans la présente Annexe sur la loi HIPAA ou une autre partie du présent Contrat, le Partenaire commercial peut utiliser ou divulguer des informations médicales protégées afin d’exécuter des fonctions, activités ou services pour vous ou en votre nom, comme prévu par le Contrat, à condition que cette utilisation ou divulgation ne constitue par une violation de la Règle de confidentialité si elle est de votre fait.
4. Clauses spécifiques d’utilisation et de divulgation.
Sauf disposition contraire dans la présente Annexe à la loi HIPAA ou toute autre partie du Contrat, le Partenaire commercial peut :
(a) utiliser les informations médicales protégées pour la gestion et l’administration appropriées de ses activités ou pour assumer ses responsabilités juridiques ;
(b) divulguer les informations médicales protégées pour la gestion et l’administration appropriées de ses activités, à condition que (i) les divulgations soient requises par la loi ou (ii) le Partenaire commercial obtienne des assurances raisonnables de la personne à qui les renseignements sont divulgués qu’elles resteront confidentielles et qu’elles seront utilisées ou divulguées ultérieurement uniquement dans les cas prévus par la loi ou aux fins pour lesquelles elles ont été divulguées à la personne, et la personne informera le Partenaire commercial de toute situation dont elle a connaissance dans laquelle la confidentialité des renseignements a été violée ; et
(c) utiliser les informations médicales protégées pour signaler les violations de la loi aux autorités fédérales et nationales compétentes, conformément à l’article 45, paragraphe 164.502(j)(1), des CFR.
5. Vos obligations.
5.1 Vous devez prévenir le Partenaire commercial de :
(a) toute limitation prévue dans l’avis sur vos pratiques en matière de confidentialité conformément à l’article 45, paragraphe 164.520, du CFR dans la mesure où ce changement est susceptible d’affecter l’utilisation ou la divulgation, par le Partenaire commercial, des renseignements médicaux protégés ;
(b) toute modification ou révocation de l’autorisation par un Individu d’utiliser ou de divulguer des informations médicales protégées, dans la mesure où ce changement est susceptible d’affecter l’utilisation ou la divulgation, par le Partenaire commercial, des informations médicale protégées ; et
(c) toute restriction visant l’utilisation ou la divulgation des informations médicales protégées à laquelle vous avez consenti en vertu de l’article 45, paragraphe 164.522 du CFR, dans la mesure où cette restriction est susceptible d’affecter l’utilisation ou la divulgation, par le Partenaire commercial, des informations médicales protégées.
5.2 Vous consentez à ne pas demander au Partenaire commercial d’utiliser, de transmettre ni de divulguer des informations médicales protégées de quelque manière que ce soit qui ne serait pas autorisée aux termes des Règles de confidentialité ou de sécurité si cela est de votre fait.
5.3 Vous consentez, dans le cadre de vos obligations en matière de sécurité, à mettre en œuvre et à conserver les moyens de protection idoines nécessaires au respect par vous des Règles de sécurité et de confidentialité qui s’appliquent à vous-même et à l’utilisation que vous faites des Services Mailgun. Cela inclut, sans s’y limiter : (i) la mise en œuvre de mesures de protection raisonnables requises en vertu de l’article 45, paragraphe 164,530(c) des CFR, (ii) la limitation raisonnable du volume ou du type d’informations divulguées par le biais des Services Mailgun, (iii) la possibilité pour des individus d’utiliser d’autres méthodes électroniques sécurisées pour recevoir des communications confidentielles de votre part, (iv) la vérification de l’adresse du destinataire et sa bonne saisie dans les Services Mailgun avant d’utiliser les Services Mailgun pour transmettre des renseignements médicaux protégés, (v) y compris une déclaration de confidentialité informant le destinataire de la nature non sécurisée de l’email et la communication des coordonnées d’une personne à qui un destinataire pourra signaler un message mal acheminé, et (vi) le chiffrement des informations médicales protégées transmis par le biais des Services Mailgun le cas échéant ou exigé par la Règle de sécurité (par exemple, par l’utilisation du chiffrement sur les pièces jointes, boîtes à outils PGP ou S/MIME).
5.4 Vous reconnaissez et comprenez que les Services Mailgun comprennent la transmission d’emails en texte brut non chiffrés sur l’Internet public et les réseaux ouverts. Les Données client que vous téléchargez sur les Services Mailgun ne sont pas chiffrées par le Partenaire commercial et sont conservées (et transmises) de la manière dont vous les avez vous-même fournies. Vous êtes responsable du chiffrement de toute donnée sensible utilisée par vous en lien avec les Services Mailgun. Les emails envoyés à l’aide des Services Mailgun peuvent ne pas être sécurisés, peuvent être interceptés par d’autres utilisateurs de l’Internet public et peuvent être conservés et divulgués par des tiers (tels que le service d’emailing d’un destinataire) qui n’ont aucune obligation envers le Partenaire commercial en ce qui concerne le traitement de ces communications. Bien que les Services Mailgun prennent en charge le protocole TLS, le contenu sera transmis même si le destinataire ne prend pas lui aussi en charge le protocole TLS, ce qui entraînera une transmission non chiffrée. Vous confirmez avoir clairement rendu compte de ces aspects des Services Mailgun à vos clients et utilisateurs finaux comme il convient, et obtenu d’eux un consentement complet et adéquat quant à l’utilisation de leurs informations médicales protégées de la manière dont vous utilisez les Services Mailgun.
6. Durée et résiliation du contrat.
(a) Les conditions de la présente Annexe à la loi HIPAA s’appliquent pendant toute la durée de votre utilisation des services de Mailgun faisant l’objet d’un Bon de commande valide, ainsi qu’après la résiliation de ce Bon de commande, jusqu’à ce que toutes les informations médicales protégées soient détruites ou retournés à vous ou à votre représentant.
(b) Si le Partenaire commercial enfreint significativement les conditions de la présente Annexe à la loi HIPAA, vous pouvez mettre fin aux services Mailgun associés sans frais de résiliation anticipée ni autre pénalité.
(c) À votre demande (quel qu’en soit le motif), le Partenaire commercial doit détruire toutes les informations médicales protégées en sa possession. Cette clause s’applique à toutes les informations médicales protégées possédées par les sous-traitants ou agents du Partenaire commercial, ainsi que par le Partenaire commercial lui-même. Le Partenaire commercial ne doit conserver aucune copie des informations médicales protégées. Si le Partenaire commercial estime que la destruction des informations médicales protégées est irréalisable, il doit rapidement vous informer des conditions qui rendent cette destruction impossible. Le Partenaire commercial doit étendre les protections du présent Contrat à ces informations médicales protégées et limiter les utilisations et divulgations ultérieures de ces dernières aux fins qui rendent la destruction irréalisable, aussi longtemps qu’il conserve ces informations médicales protégées. Cette section n’exige pas du Partenaire commercial qu’il sépare les informations médicales protégées des autres informations conservées sur ses serveurs.
7. Divers.
(a) Modification. Chacun de nous consent à prendre des mesures, si cela est raisonnablement nécessaire, pour modifier la présente Annexe à la loi HIPAA en temps voulu dans la mesure nécessaire pour que vous puissiez satisfaire aux exigences de ladite loi ou aux modifications qui pourraient y être apportées le cas échéant, à la condition toutefois que si l’une de ces modifications accroît matériellement le coût du service fourni au Partenaire commercial en vertu du Contrat, le Partenaire commercial puisse résilier le Contrat après un préavis de trente (30) jours.
(b) Survie du Contrat. Le Contrat continuera, après résiliation, de produire ses effets quant à nos droits et devoirs respectifs aux termes de la présente Annexe à la loi HIPAA.
(c) Interprétation. Toute ambiguïté dans la présente Annexe relative au Partenaire commercial fera l’objet d’une résolution pour vous permettre de respecter la loi HIPAA et la Règle de confidentialité.
Dernière mise à jour le 20/11/2020.