Conditions Générales d'Utilisation

1. Préambule

En acceptant les présentes Conditions Générales d’Utilisation (CGU), l’Utilisateur certifie être parfaitement informé des droits et obligations qu’elles entrainent à son égard, en tant qu’Utilisateur du bouquet de services de l’espace numérique régional de santé (ENRS).

Chaque Utilisateur de l’ENRS, est présumé l’utiliser uniquement dans le cadre de l’exercice de sa profession et en conformité avec la réglementation qui l’encadre.

L’Utilisateur est le seul responsable de la gestion de son compte et s’engage à respecter les droits liés à son profil.

L’Utilisateur est également informé que ses actions sur la plateforme sont tracées et horodatées afin de garantir la sécurité et la confidentialité des données traitées.

2. Objet des Conditions Générales d’Utilisation

Les présentes Conditions Générales d’Utilisation (CGU) ont pour objet de décrire les conditions d’utilisation et les règles de bon usage du bouquet de services de l’ENRS mises en oeuvre par Normand’e-Santé (NeS).

Elles définissent les droits et obligations de l’Utilisateur du bouquet de services de l’ENRS, dans le respect de la législation et de la règlementation en vigueur en matière de télémédecine, notamment la loi n°2009-879 du 21 juillet 2009 et son décret d’application n°2010-1229 du 19 octobre 2010).

Pour poursuivre la navigation et accéder au bouquet de services, l’Utilisateur s’engage à respecter l’ensemble des règles de ces Conditions Générales d’Utilisation (CGU) ainsi que le secret professionnel inhérent à sa fonction.

Toute modification des Conditions Générales d’Utilisation (CGU) fera l’objet d’une nouvelle validation et acceptation de sa part.

3. Définitions

« CGU » : Désigne les présentes conditions générales d’utilisation
« Données à caractère personnel » : Toute information se rapportant à une personne physique identifiée ou identifiable, au sens du règlement UE 2016/679 relatif à la protection des données (RGPD).
« Données de santé » : Données à caractère personnel comprenant l’ensemble des données se rapportant à l’état de santé d’une personne concernée, y compris la prestation de service de soin de santé, et qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée, au sens du règlement UE 2016/679 relatif à la protection des données (RGPD).
« ENRS » : L’Espace Numérique Régional de Santé en tant que système d’information de santé régional se définit comme un espace cohérent de Services dématérialisés. Cet espace est porté institutionnellement par l’Agence Régionale de Santé et NeS en est la maîtrise d’ouvrage. Ces services numériques sont accessibles via le Portail Norm’Uni. L’ENRS respecte le cadre d’interopérabilité et les référentiels nationaux promus notamment par l’Agence du numérique en santé (ANS), tout en répondant aux besoins régionaux de santé, pour contribuer in fine à améliorer la prise en charge de l’Usager.
« Incidents » : désigne toute panne, dysfonctionnement, erreur, bogue ou blocage de tout ou partie de l’un quelconque des services, et/ou toute indisponibilité, et/ou dégradation des performances, perturbant ou interrompant l’accès et/ou l’utilisation des services et/ou des données, et/ou se manifestant par des erreurs dans le traitement et/ou la restitution des données traitées.
« Maintenance corrective » : Ensemble des actions assurées pour corriger un Incident imputable aux services.
« Maintenance évolutive » : Mises à jour visant à apporter des évolutions fonctionnelles aux Services. « Portail » : Désigne le site web permettant à l’Utilisateur d’accéder au bouquet de services de l’ENRS fournis par l’Agence Régionale de Santé Normandie et NeS,
« Traitement de données à caractère personnel » : désigne une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).
« Responsable de Traitement » : Au regard du RGDP, le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement de données, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.
« Sous-traitant » : Au regard du RGPD, le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.
« Services » : Désignent l’ensemble des activités de e-santé portés et mis à disposition par NeS et reposant sur le socle de l’ENRS. Ces services incluent notamment les systèmes d’information de santé, les services des systèmes d’information de santé partagé et les services de télémédecine. Ils sont soit en accès public (sites internet), soit en accès restreint via des mécanismes d’authentification.
« Usager » : Désigne toute personne physique faisant l’objet d’une prise en charge par des professionnels de santé libéraux et hospitaliers, des établissements de santé sanitaires et médicosociaux, des acteurs de la prévention et de l’éducation thérapeutique, situés sur le territoire Normand.
« Utilisateurs » : Toute personne possédant un compte d’accès au bouquet de Services de l’ENRS Normand, selon son profil, dans les conditions des présentes, ayant expressément accepté les présentes CGU et bénéficiant à ce titre des Services et de l’utilisation du Portail Norm’Uni.

4. Règles d’accès au bouquet de services de l’ENRS

4.1. Référent contractuel

Les Utilisateurs qui ne sont pas rattachés à une structure adhérente de NeS sont réputés être le référent contractuel à contacter pour le traitement des incidents ayant un impact sur les données de santé hébergées par NeS.

4.2. Droit d’accès aux services

Les services ne peuvent être utilisés que par des Utilisateurs habilités pour l’accès à un ou plusieurs services de l’ENRS et formés à l‘utilisation.

Les accès sont attribués en fonction des rôles et des responsabilités des utilisateurs, avec une gestion centralisée des identités pour faciliter l'attribution et la révocation des accès.

Les modalités techniques d’accès aux services sont précisées dans les présentes CGU et doivent être lues et validées numériquement par tout Utilisateur avant de pouvoir accéder aux services.

L’Utilisateur est ainsi invité à lire et à valider les CGU lors de sa première connexion sur le portail Norm’Uni, et après chaque modification de ces dernières.

4.3. Accès aux données de santé à caractère personnel

4.3.1. Modalités d’accès

L’Utilisateur, pour accéder à des données de santé, doit utiliser sa Carte de Professionnel de Santé (e-CPS / CPS) ou CPx nominative, strictement personnelle, qui s’accompagne d’un code PIN confidentiel de 4 chiffres.

Identification électronique par Pro Santé Connect : Pro Santé Connect est un téléservice mis en oeuvre par l’Agence du Numérique en Santé (ANS) contribuant à simplifier l’identification électronique des professionnels intervenant en santé. L’utilisateur peut se connecter grâce à son application mobile e-CPS ou sa carte CPS, avec un lecteur de cartes et les composants nécessaires.

A défaut de carte CPx, l’Utilisateur peut accéder aux Services en authentification forte par login et mot de passe de 14 caractères minimum comprenant au moins une majuscule, une minuscule, un chiffre et un caractère spécial (#, :, $, @, *, x%x) couplé d’un mot de passe à usage unique envoyé par mail ou SMS (authentification forte). Ce mot de passe peut être changé à l’initiative de l’utilisateur mais NeS n’impose pas de délai de renouvellement (conformément aux recommandations de la CNIL).

Ces modes d’authentification permettent un accès à l’ensemble des services y compris les services ne contenant pas de données de santé.

4.3.2. Journalisation des accès

Tous les accès aux données seront enregistrés dans des journaux d’audit sécurisés. Ces journaux seront examinés régulièrement pour détecter toute activité non autorisée ou suspecte.

4.3.3. Procédure de révocation des accès

Les révocations des accès sont assurées selon les modalités suivantes :

Révocation Immédiate : En cas de départ d'un employé ou de changement de rôle nécessitant une modification des accès, NeS s’engage à révoquer les droits d’accès en temps réel pour prévenir tout accès non autorisé.
Contrôles Périodiques : Des contrôles réguliers seront effectués pour s’assurer que les droits d’accès sont à jour et que les personnes non autorisées n’aient pas accès aux données de santé à caractère personnel.

4.3.4. Sécurisation des accès à distance

Tout accès à distance aux données de santé à caractère personnel est réalisé au moyen de dispositifs de sécurité conformes aux exigences réglementaires et normatives en vigueur, incluant notamment l’usage de mécanismes de chiffrement et de tunnels sécurisés (VPN), de manière à prévenir tout risque d’accès non autorisé, d’altération ou de divulgation des données.

4.3.5. Sensibilisation des Utilisateurs

NeS fournit une formation régulière à ses utilisateurs sur les pratiques sécuritaires et les procédures relatives à la gestion des accès aux données de santé à caractère personnel.

4.4. Accès aux données à caractère personnel autres que de santé

Pour tout accès en dehors du périmètre de la donnée de santé, il est possible de s’authentifier par un login et un mot de passe de 8 caractères minimum comprenant au moins une majuscule, une minuscule, un chiffre et un caractère spécial (#, :, $, @, *, x%x).

Les identifiants sont personnels et confidentiels. A ce titre, l’Utilisateur des Services s'engage à ne pas les divulguer. L’Utilisateur est le seul responsable de l’utilisation de son compte personnel.

Ainsi, toute connexion aux Services via l'utilisation de ces Identifiants est réputée effectuée par le titulaire.

De manière générale, l’Utilisateur contribue à son niveau à la sécurité générale relative à l’utilisation des Services de l’ENRS.

En cas d’anomalie ou de dysfonctionnement, l’Utilisateur doit suspendre l’utilisation des Services de l’ENRS et le signaler sans délai à NeS via l’adresse suivante : enrs@normand-esante.fr (Par exemple des messages d’erreur inhabituels ou un comportement curieux ou incompréhensible des Services de l’ENRS...).

5. Perte des identifiants

En cas de perte ou de vol de ses Identifiants, l’Utilisateur devra en aviser NeS à l’adresse enrs@normand-esante.fr, dans les plus brefs délais et suivre la procédure de renouvellement de ses identifiants décrite ci-après. Dans tous les cas, la responsabilité de NeS ne pourra être engagée.

Aucun Administrateur de NeS n’est habilité à demander à l’Utilisateur la communication de son mot de passe par courrier électronique ou par téléphone, quel qu’en soit le motif.

L’utilisation frauduleuse des Identifiants pour accéder aux Services peut causer un préjudice et entraîner des poursuites.

Selon l’article 323-1 du Code Pénal : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 100 000 € d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de cinq ans d'emprisonnement et de 150 000 € d’amende (…) ».

5.1. Procédure en cas de perte de son login

En cas de perte de son login, l’Utilisateur devra se rapprocher de NeS afin qu’il puisse rechercher ledit login et lui communiquer.

Une vérification sera effectuée par nom, prénom, adresse mail et le cas échéant, numéro de professionnel national (RPPS, Adeli, …).

5.2. Procédure en cas de perte de son mot de passe

En cas de perte de son mot de passe, l’Utilisateur pourra en demander la réinitialisation au niveau de la page de connexion aux Services de l’ENRS, l’Utilisateur clique sur l’item « mot de passe oublié ».

Il saisit son login et répond à la question de sécurité (renseignée lors du processus d’inscription).

Il reçoit par email un mot de passe provisoire. L’email ne comprend que le mot de passe à l’exclusion de tout autre identifiant.

Dans ce cas, à la 1ère connexion avec ce mot de passe provisoire, l’Utilisateur est invité à recréer un nouveau mot de passe personnalisé. Il pourra ensuite accéder de nouveau à la plateforme.

6. Droits et Obligations de NeS

6.1. Qualité de Service

NeS met tout en oeuvre pour délivrer des services de qualité et maintenir une disponibilité maximale.

Toutefois, la responsabilité de NeS ne saurait être engagée en cas d'interruption, d'indisponibilité partielle ou totale des Services mis à disposition. Il n’est pas prévu de pénalités en cas de manquement.

6.2. Disponibilité

NeS s’engage à fournir à l’Utilisateur un taux de disponibilité de service de 99% (Fuseau Horaire : Paris, France).

Les Services de l’ENRS sont accessibles 7 jours sur 7 et 24 heures sur 24, à l'exception :

D'un événement relevant d’un cas de force majeure,
Des opérations de maintenance dans les conditions prévues ci-après.

La Disponibilité de la plateforme régionale sera mesurée mensuellement et mise à disposition sur le portail adhérent. Ce taux est calculé comme suit :

Taux de disponibilité d’accès aux services de Norm’Uni, déduction faite du calcul du temps de non-accessibilité des applications (provoquées par un dysfonctionnement lié à l’infrastructure régionale ou à son réseau).

Ce taux de disponibilité exclus :

Le calcul du temps de non-accessibilité des applications, provoquées par l’Utilisateur lui-même, à l’infrastructure de son établissement ou son environnement de travail,
Toutes les périodes de maintenance planifiées et notifiées à l’avance à l’Utilisateur.

6.3. Suspension des services pour maintenance corrective et évolutive

NeS s’engage en cas de maintenance programmée sur l’ENRS, à la notifier au moins 3 jours avant sa réalisation, par mail auprès des Utilisateurs.

En cas d’interruption involontaire des Services, NeS s’engage à assurer, hors cas de force majeure telle que cette notion est définie par la jurisprudence, un rétablissement de ceux-ci sous 48 heures ouvrées.

Les maintenances programmées seront effectuées en dehors des créneaux horaires 9h00 – 18h00 en semaine.

En cas de maintenance d’urgence, incident bloquant des fonctionnalités essentielles des Services ou mettant en danger la sécurité des données, NeS informera les Utilisateurs dans les meilleurs délais.

6.3.1. Maintenance corrective

Au titre de la maintenance corrective, dès qu’un Utilisateur constate un défaut de fonctionnement d’un Service, auquel il n’a pas été possible de remédier dans le cadre du support technique en ligne, celui-ci confirme aussitôt l’incident par courriel à l’adresse support@normand-esante.fr ou au 02.50.53.70.01.

A compter de la réception de l’information et des précisions qu’elle contient, NeS procède dans les meilleurs délais à un test pour analyser le défaut, et mettre en oeuvre une correction ou une solution de contournement dont les Parties conviennent préalablement à la mise en place.

Anomalie : selon le niveau d’urgence de l’anomalie relevée, NeS s’engage à tout mettre en oeuvre pour faire corriger l’anomalie dans les meilleurs délais.

En cas de demande de support, notamment par voie téléphonique, des données peuvent être collectées par NeS afin de vérifier qu’il s’agit d’un interlocuteur légitime. Par exemple l’adresse mail peut être demandée dans le cadre de cette vérification.

6.3.2. Maintenance évolutive

La maintenance évolutive a pour objet l’amélioration graphique, l’amélioration ou l’ajout de nouvelles fonctionnalités, l’amélioration des dispositifs de sécurité, ainsi que la mise en conformité avec d’éventuelles évolutions de la législation, de la règlementation ou des recommandations.

Celle-ci est réalisée sans aucune intervention des Utilisateurs.

Ces évolutions sont mises à disposition de l'ensemble des Utilisateurs des services.

6.4. Garantie en cas de défaillance

De par sa complexité, l’ENRS ne peut pas être exempt d’erreurs.

NeS assure ou fait assurer la réparation de toute anomalie, incident, erreur ou défaut de conception technique, de réalisation et/ou de fonctionnement des progiciels et de l’architecture réseau ne permettant pas une utilisation conforme à la description des services et relevant de la responsabilité de NeS.

L’Utilisateur, constatant des anomalies, incidents, erreurs ou défauts de conception technique, de réalisation et/ou de fonctionnement affectant les Services de l’ENRS, s’engage à les remonter à NeS sans délai, qui se chargera de les notifier auprès de ses prestataires.

Dans le cadre de ses engagements de continuité de service, NeS met en oeuvre les moyens nécessaires pour assurer la reprise de l’activité de l’Utilisateur en cas d’incident majeur ou de sinistre affectant les systèmes informatiques.

À ce titre, les objectifs suivants sont définis :

RPO (Recovery Point Objective) : 24 heures
NeS s’engage à ce qu’en cas de restauration des données suite à un incident, la perte maximale admissible de données ne dépasse pas une période de 24 heures. Cela signifie que les sauvegardes sont réalisées de manière à garantir que les données ne seront pas plus anciennes que 24 heures au moment de la reprise.
RTO (Recovery Time Objective) : 72 heures
NeS s’engage à rétablir les services critiques dans un délai maximal de 72 heures à compter de la déclaration de l’incident. Ce délai inclut les opérations de diagnostic, restauration des systèmes, et remise en production des services essentiels.

Ces objectifs sont fournis à titre d’engagements de moyens et sont valables sous réserve de la collaboration effective de l’Utilisateur, notamment pour la validation des procédures de reprise et la fourniture des éléments nécessaires à la restauration des services.

6.5. Modification ou évolution des mesures techniques

Avant de procéder à des modifications ou évolutions, NeS évalue systématiquement les impacts potentiels sur le niveau et la qualité de service en adéquation avec les garanties définies dans les présentes CGU. Cette évaluation fait l’objet d’une note de synthèse partagée dans la rubrique « Base documentaire » du portail adhérent.

L’Utilisateur est donc informé que NeS peut, à tout moment, faire évoluer ses services du fait des évolutions réglementaires, législatives et techniques ou en raison de l’évolution des demandes, sous réserve de respecter un préavis raisonnable tenant compte de l’importance des évolutions envisagées qui ne pourra être inférieur à 30 jours.

Toutes les modifications et évolutions seront documentées de manière détaillée et feront l’objet d’une modification des présentes CGU, s’il y a lieu. Après mise en oeuvre des modifications, NeS surveillera les performances et le respect des niveaux de service pour s'assurer que les exigences contractuelles soient maintenues.

Au regard du grand nombre d’Utilisateurs, en cas de modifications ou d’évolution qui ne respecteraient pas les niveaux de services et de disponibilités précisés au §6.1 - Qualité de service et au §6.2 - Disponibilité ou encore les garanties précisées au §6.4 – Garantie en cas de défaillance, l’accord préalable d’un comité exécutif exceptionnel serait demandé (il n’est pas envisageable pour NeS de recueillir l’accord de chaque Utilisateur).

6.6. Publicité et dignité professionnelle

NeS s'interdit d'user de tout procédé qui serait de nature à mettre les Utilisateurs en manquement avec les règles déontologiques de la profession en matière de publicité, ou encore porterait atteinte à la dignité professionnelle.

7. Droits et Obligations de l’Utilisateur

7.1. Droits de l’Utilisateur

De manière générale, le professionnel de santé Utilisateur dispose d’un droit d’accès au télédossier de l’Usager dont il a la charge et à ce titre, accède à l’extraction de l’ensemble des données des fiches de liaison de ce dernier, afin de lui permettre de les intégrer à son système d’information professionnel et d’en assurer le stockage et l’archivage, conformément aux dispositions de l’article L. 1111-8 du code de la santé publique.

7.2. Obligations générales

L’Utilisateur s'engage à utiliser les Services de l’ENRS en professionnel précautionneux. Il s’interdit d’utiliser les Services de l’ENRS à d’autres fins que celles prévues dans les présentes Conditions Générales d’Utilisation (CGU).

7.3. Respect des bonnes pratiques de Cybersécurité

L’Utilisateur s’engage à veiller à la sécurité de son propre environnement avant toute connexion au portail d’accès Norm’Uni dans le respect des prérequis communiquer pour le bon usage des Services de l’ENRS.

À cette fin, l’Utilisateur s’engage notamment à respecter les bonnes pratiques suivantes :

Maintenir à jour régulièrement son système d’exploitation et l’ensemble de ses logiciels,
Utiliser une solution antivirus/antimalware active et actualisée,
Activer un pare-feu personnel,
Choisir des mots de passe robustes et uniques, protégés par un gestionnaire de mots de passe le cas échéant,
Verrouiller son poste de travail lorsqu’il ne se trouve pas devant son poste de travail,
Ne jamais transmettre ses identifiants à des tiers.

Le non-respect de ces bonnes pratiques de cybersécurité relève de la seule responsabilité de l’Utilisateur et peut limiter ou exclure toute garantie ou assistance de NeS en cas d’incident.

7.4. Référencement des données de santé via l’Identité Nationale de Santé (INS)

Conformément à l’article R. 1111-8-7 du Code de la santé publique, le référencement des données de santé au moyen de l’Identité Nationale de Santé (INS) est obligatoire depuis le 1er janvier 2021.

L’INS doit être qualifiée selon les modalités définies dans le Référentiel INS v2.1, approuvé par l’arrêté du 12 décembre 2024.

La qualification de l’identité repose sur :

L’application des bonnes pratiques d’identitovigilance,
La validation de l’identité de l’usager conformément au Référentiel National d’Identitovigilance (RNIV) (vérification des dires du patients avec le justificatif d’identité à haut niveau de confiance)
La récupération ou vérification de l’INS via le téléservice INSi, conformément au Guide d’implémentation INS v3.0.

l’INS qualifiée est obligatoire pour alimenter le Dossier Médical Partagé (DMP) de Mon Espace Santé du patient.

Sauf cas réglementaire d’anonymat, l’usager ne peut s’opposer au référencement de ses données avec son INS. Le non-respect des référentiels précités peut engager la responsabilité des professionnels et entraîner des sanctions administratives ou pénales.

7.5. Obligation d’information

L’Utilisateur s’engage à informer NeS des modifications qu'il souhaite ou souhaiterait voir opérer sur le ou les Services de l’ENRS qu’il utilise (6.3.1. Maintenance corrective).

7.6. Publication

Sous réserve du respect d’éventuelles obligations de confidentialité et de ne pas constituer une divulgation au sens du code de la propriété intellectuelle, l’Utilisateur peut librement effectuer des publications, après avoir informé NeS de cette intention.

Toute publication doit mentionner le nom du Service de l’ENRS concerné et celui de NeS.

Dans l'hypothèse d'une publication sur internet, les droits sont concédés pour le monde entier.

7.7. Assurances

Les utilisateurs (professionnels de santé) qui participent à un acte de télémédecine doivent être en situation d’exercice légal de leur profession et couverts par une assurance en responsabilité civile professionnelle.

Bien que la télémédecine soit entrée dans le droit commun depuis septembre 2018, il est recommandé aux utilisateurs qui réalisent des actes de télémédecine d’en informer leur assureur afin de s’assurer que leur contrat d’assurance en responsabilité civile professionnelle, prévoit des garanties spécifiques à leur pratique de la télémédecine.

8. Propriété Intellectuelle

La structure générale de l’ENRS et de ses Services est la propriété exclusive de NeS et/ou de ses prestataires, et fait l'objet d'une protection légale au titre de la propriété intellectuelle (droits d'auteur, bases de données, logiciels, marques, etc…)

Toute reproduction ou représentation totale ou partielle de l’ENRS et de ses Services par une personne physique ou morale, par quelque procédé que ce soit, sans l'autorisation expresse de NeS est interdite et constituerait un acte de contrefaçon sanctionné notamment par les articles L. 335-2 et suivants du code de la propriété intellectuelle.

Toute reproduction totale ou partielle des marques et logos de l’ENRS et de ses Services réalisés sans l’autorisation expresse de NeS est interdite en application des articles L. 713-2 et suivants du Code de la propriété intellectuelle.

Toutefois, NeS reconnaît à l’Utilisateur, le droit simple non exclusif et non transférable d’utiliser pleinement les Services de l’ENRS.

NeS autorise l’Utilisateur à reproduire et personnaliser la documentation qu’elle fournit, tels qu’un guide utilisateur, un support de formation, en autant d’exemplaires que nécessaire, par tous procédés et sur tous supports.

NeS garantit à l’Utilisateur la jouissance pleine et entière, et libre de toute servitude, des droits concédés.

Cette concession de droits d’usage des services et de reproduction de la documentation n’entraîne aucunement l’acquisition d’autres droits.

9. Protection des données à caractère personnel

La mise en oeuvre des services de l’ENRS nécessite le traitement de données à caractère personnel au sens du Règlement (UE) 2016/679 Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés modifiée du 6 janvier 1978, désignée ci-après la Règlementation.

NeS s’engage à faire de la protection des données à caractère personnel une priorité pour la mise en oeuvre des Services de l’ENRS. A ce titre, NeS garantit le respect des principes de « privacy by design » (protection dès la conception) et « privacy by default » (protection par défaut) pour la mise en oeuvre des Services de l’ENRS.

9.1. Responsabilités

L’instruction n° SG/DSSIS/2017/8 du 10 janvier 2017 relative à l’organisation à déployer pour la mise en oeuvre de la stratégie d’e-santé en région définit le rôle des Groupements Régionaux d’Appui au Développement de la e-Santé (GRADeS).

NeS a été identifié comme GRADeS de la région Normandie par l’ARS de Normandie. A ce titre, NeS est chargé de la mise en oeuvre de la politique d’intérêt général en matière d’e-santé en Normandie.

Ainsi, NeS a la qualité de responsable de traitement au sens de la Règlementation concernant le déploiement du bouquet de Services de l’ENRS.

Plus précisément, NeS est responsable de traitement strictement en ce qui concerne l’exploitation du système d’information régional, c’est-à-dire la mise en oeuvre, la conception, l’ergonomie et le déploiement du bouquet de services de l’ENRS.

En outre, les Services de l’ENRS sont utilisés dans le domaine de la santé et engendre à ce titre le traitement de données de santé à caractère personnel.

Par conséquent, NeS garantit prendre toutes les mesures nécessaires à la sécurité des données de santé à caractère personnel et ne revendique aucun droit de propriété sur ces données.

A ce titre, NeS a réalisé des déclarations de traitement auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle compétente à savoir :

Déclaration de conformité n°2043711 du 13 mars 2017 concernant la plateforme de télémédecine Therap-e,
Demande d’autorisation n°1976594 du 30 mai 2017 concernant le DCC,
Demande d’autorisation n°2142180 du 5 avril 2018 concernant le SCAD IC.

Les Utilisateurs demeurent responsables des traitements de données à caractère personnel qu’ils réalisent et notamment les traitements des données liées à la prise en charge de leurs Usagers.

Dans ce contexte, NeS est positionné en tant que tiers technologique fournisseur de services. A ce titre, NeS est considéré comme Sous-traitant des Utilisateurs pour les traitements mis en oeuvre dans le cadre de la prise en charge des Usagers nécessitant l’utilisation du bouquet de Services de l’ENRS.

Les présentes clauses ont pour objet de préciser les rôles et obligations respectifs de NeS et des Utilisateurs des Services de l’ENRS Normand et d’informer ces derniers :

De la manière dont NeS traite, en qualité de Responsable de traitement, les données à caractère personnel de l’Utilisateur, collectées dans le cadre de l’exploitation desdits services,
Des conditions dans lesquelles NeS traite, en qualité de Sous-traitant de l’Utilisateur, lorsque ce dernier est responsable de traitement, les opérations de traitement de données à caractère personnel liées à la prise en charge des Usagers.

9.2. Obligations de NeS

NeS s’engage à :

Traiter les données à caractère personnel collectées dans le cadre strict et nécessaire de l’exécution des présentes Conditions Générales d’Utilisation (CGU),
Traiter les données conformément aux instructions documentées du responsable de traitement. Les instructions sont notamment contenues par les demandes des Utilisateurs dans les services de l’ENRS,
Prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des données à caractère personnel et, notamment, empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Plus généralement à mettre en oeuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle, l’altération, la diffusion ou l’accès non autorisé, notamment lorsque le traitement comporte des transmissions de données à caractère personnel dans un réseau, ainsi que, contre toute forme de traitement illicite. Etant précisé que ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par les traitements et la nature des données à caractère personnel à protéger,
Ne pas concéder, louer, céder ou autrement communiquer à une autre personne tout ou partie des données à caractère personnel, même à titre gratuit,
Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu des présentes Conditions Générales d’Utilisation (CGU) :
- S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
- Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
Prendre en compte, s’agissant des services de l’ENRS, les principes de protection des données dès la conception et de protection des données par défaut.

9.3. Obligations de l’Utilisateur

L’Utilisateur s’engage à :

Se conformer, en matière de sécurité et de confidentialité des systèmes d’information et des données à caractère personnel, aux normes techniques et aux bonnes pratiques au regard de l’état de l’art du moment,
Respecter les mesures techniques et organisationnelles mises en oeuvre par NeS et ses Sous-traitants,
Prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la confidentialité et la sécurité des données, et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Plus généralement, mettre en oeuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite,
Informer immédiatement par écrit NeS de toute modification, changement ou autre fait, notamment en matière de sécurité, le concernant et pouvant avoir un impact sur le traitement des données,
Prendre en compte toute mise à jour, correction, suppression ou autres modifications communiquées par NeS concernant le traitement,
S’assurer que les personnes ayant accès aux données à caractère personnel soient soumises au secret professionnel de par leur statut, et à défaut à une obligation écrite de confidentialité et de sécurité appropriée,
Délivrer l’information, et recueillir le consentement de l’Usager lorsque celui-ci est nécessaire,
Veiller à la sécurité et la confidentialité des données vis-à-vis de ses prestataires et/ou de ses Sous-traitants intervenant sur les postes de travail accédant au service et/ou au système d’information dédié,
Adopter une politique de sécurité du système d'information : inventorier les éventuelles menaces et vulnérabilités qui pèsent sur le système, élaborer et mettre à jour régulièrement les règles de sécurité.

Afin de contrôler et de garantir le respect de ces obligations, NeS assure la traçabilité des accès et des actions (authentification des Utilisateurs, horodatage, actions effectuées sur les données et documents du dossier Usager informatisé des services).

En cas de non-respect des dispositions précitées, la responsabilité de l’Utilisateur pourra être engagée sur la base des dispositions des articles L. 226-16 et suivants du code pénal, ainsi que des articles L. 323-1 et suivants dudit code.

De plus, NeS pourra procéder à la fermeture du compte, en cas de violation du secret professionnel ou de non-respect des dispositions précitées.

Enfin, l’Utilisateur, en tant que responsable du traitement relatif à la gestion administrative et médicale de ses Usagers, s’engage à avoir accompli les démarches nécessaires à la mise en place du traitement.

Dans le cadre de l’utilisation des Services à des fins d’évaluations médico-économique et/ou de recherche, l’Utilisateur sera également considéré comme responsable de ces traitements, et s’engage à ce titre à réaliser les formabilités préalables auprès de la CNIL.

9.4. Description des traitements dont NeS est Responsable de Traitement

9.4.1. Finalité des traitements

NeS est responsable de traitement strictement en ce qui concerne l’exploitation, c’est-à-dire la mise en oeuvre, la conception, l’ergonomie et le déploiement du bouquet de Services de l’ENRS.

A ce titre, NeS met en oeuvre des traitements de données à caractère personnel ayant pour principales finalités :

D’assurer l’authentification des Utilisateurs,
De permettre aux Utilisateurs d’accéder à l’ensemble des solutions régionales sans devoir s’authentifier une deuxième fois,
De décrire et de gérer les habilitations des Utilisateurs,
D’assurer une traçabilité de l’ensemble des actions effectuées,
De produire des statistiques simples relatives à l’usage du Portail par les professionnels.

9.4.2. Base légale des traitements

Le traitement des données est justifié par l’intérêt légitime du GCS (article 6 - 1f du RGPD) dont l’une des missions consiste à assurer la sécurité des outils numériques régionaux mis à disposition des acteurs de santé.

9.4.3. Nature des traitements

La nature des opérations réalisées sur les données est technique. NeS agit en tant que tiers technologique, fournisseur de services en matière d’e-santé.

9.4.4. Catégories de personnes concernées

Les catégories de personnes concernées sont :

Les Utilisateurs eux-mêmes, pour tout ce qui a trait à leur utilisation du bouquet de Services de l’ENRS.

9.4.5. Données traitées

NeS collecte et traite les données personnelles suivantes relatives à l’Utilisateur :

Données d’identification de la personne : noms de famille et d’usage, prénoms, civilité, sexe, date et lieu de naissance, numéro d’identification technique de l’utilisateur,
Coordonnées personnelles ou professionnelles auxquelles le professionnel souhaite être joint : adresse postale, adresse de messagerie électronique, numéro de téléphone mobile,
Données décrivant l’exercice de la profession : profession, catégorie de professionnel, identité d’exercice,
Activités et structures d’exercice :
- Genre d’activité ;
- Mode d’exercice, fonction (rôle dans la structure),
- Coordonnées professionnelles : coordonnées de la structure d’exercice ou d’emploi (adresse postale, adresse de messagerie électronique, téléphone),
- Structure d’exercice ou d’emploi : numéros SIREN/SIRET ou FINESS, activité, secteur d’activité santé, catégorie juridique.

Dans le portail permettant la saisie et l’enregistrement des données concernant les professionnels, sont collectées et conservées les données à caractère personnel suivantes :

Données relatives aux personnels habilités, au sein des autorités d’enregistrement, à valider l’inscription d’un professionnel : identifiant, liste d’habilitation,
Données liées à l’utilisation du portail d’enregistrement : historique de navigation, adresse IP de l’utilisateur, numéro d’identification technique de l’utilisateur.

9.4.6. Destinataires des données

Les destinataires de ces données sont :

Collaborateurs de NeS en charge de l’administration de la Plateforme régionale e-santé, de la gestion des comptes et du support utilisateur
Utilisateurs auxquels vous partagez un dossier, document ou un répertoire
Hébergeur certifié de données de santé
Fournisseur de la Plateforme régionale e-santé pour la maintenance et l’infogérance de la Plateforme.

Aucun transfert hors UE n’est réalisé.

Les données de connexion des Utilisateurs font l’objet d’un traitement par l’Agence régionale de santé Normandie et NeS afin de garantir les accès, la sécurité et la confidentialité des Données traitées, ainsi que des statistiques d’usage.

9.5. Description des traitements pour lesquels NeS peut être Sous-traitant

NeS est autorisé à traiter, pour le compte de l’Utilisateur les données à caractère personnel des usagers que l’utilisateur prend en charge dans le cadre de l’utilisation des Services de l’ENRS.

9.5.1. Finalité des traitements

La finalité des traitements consiste exclusivement à la prise en charge de ses Usagers, par l’Utilisateur, par l’intermédiaire des Services de l’ENRS.

9.5.2. Base légale des traitements

Le traitement des données est justifié par :

Le consentement de l’Usager (article 6 – 1a du RGPD),
La sauvegarde des intérêts vitaux de l’Usager (article 6 – 1d du RGPD),

9.5.3. Nature des traitements

La nature des opérations réalisées sur les données est technique. NeS agit en tant que tiers technologique, fournisseur de services en matière d’e-santé.

9.5.4. Catégories de personnes concernées

Les catégories de personnes concernées sont :

Les Usagers, pris en charge par l’Utilisateur des services de l’ENRS

9.5.5. Données traitées

Concernant les Usagers, sont traitées :

Des données d’identification,
Des données de connexion,
Des données de santé.

9.5.6. Destinataires des données

L’utilisateur (professionnel de santé), dans le cadre de son activité professionnelle de soignant,
Les équipes de support en cas d’incidents ou d’anomalies à résoudre.

9.6. Droit d’information et consentement des personnes concernées

Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données et de recueillir leur consentement.

NeS s’engage à délivrer une note d’information et/ou consentement pour les services de l’ENRS.

9.6.1. Droit d’information et consentement des Utilisateurs

Nes est Responsable de Traitement en ce qui concerne le déploiement du bouquet de Services de l’ENRS. A ce titre, NeS collecte des données concernant les Utilisateurs afin de leur donner accès aux services de l’ENRS.

Toute utilisation des Services suppose la consultation et l’acceptation des présentes CGU, ainsi que de leurs modifications, par l’Utilisateur (validation à la première utilisation et après chaque modification, voir article 4.1).

L’Utilisateur est également informé que pour garantir la sécurité et la confidentialité des données traitées, chaque action est tracée et horodatée en reprenant son identité, ses actions effectuées sur les données et documents associés.

9.6.2. Droit d’information et consentement des Usagers

L’Utilisateur est responsable de traitement en ce qui concerne les traitements de données liés à la prise en charge de ses Usagers.

L’obligation d’information et, le recueil du consentement relèvent de la responsabilité exclusive de l’Utilisateur traitant des Données à caractère personnel dans le cadre de la prise en charge des usagers.

L’Utilisateur informe l’Usager des informations suivantes :

L’identité des Responsables de traitement et des Sous-traitants,
Les finalités du traitement,
La possibilité pour l’Usager de revenir à tout moment sur son consentement,
La durée de conservation des données,
L’existence des droits de la personne concernée (voir §9.7).

L’Utilisateur recueille le consentement éclairé de l’Usager pour l’utilisation des services de l’ENRS, notamment en ce qui concerne :

Le traitement opéré via le portail de ses données de santé et le cas échéant, au partage avec d’autres professionnels n’appartenant pas à la même équipe de soins au sens de l’article L. 1110-12 du Code de la santé publique, pour le cas des applications permettant ce partage,
Les modalités d’hébergement de ses données de santé à caractère personnel et les modalités d’accès et de transmission de ces données.

Le recueil du consentement doit être effectué préalablement à :

L’inclusion dans un parcours de santé,
La réalisation d’un acte de télémédecine.

L’Utilisateur garde une trace écrite de ce consentement.

9.7. Exercice des droits des personnes

Conformément à la réglementation sur la protection des données, et notamment le règlement européen sur la protection des données et la loi Informatique et Libertés modifiée, NeS s’assure de l’effectivité de l’exercice des droits des Utilisateurs, en tant que Responsable de traitement, mais également, le cas échéant, des Usagers, en tant que Sous-traitant de l’Utilisateur.

À tout moment, l’Utilisateur ou l’Usager, peut sur simple demande accompagnée d’un justificatif d’identité, réclamer l’exercice des droits suivants :

Droit d’accès : droit d’obtenir la confirmation que les données sont ou ne sont pas traitées ainsi qu’un certain nombre d’informations sur les traitements effectués, étant entendu que ces informations sont explicitées dans la présente politique de protection des données personnelles.
Droit de rectification : droit d’obtenir la rectification de ses données personnelles lorsqu’elles sont inexactes ou incomplètes.
Droit à l’effacement (« droit à l’oubli ») : droit d’obtenir l’effacement de ses données personnelles lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou que l’Utilisateur s’oppose au traitement de ses données personnelles. Le droit à l’effacement n’est pas opposable dans les cas prévus à l’article 17.3 du RGPD. Par ailleurs, l’Utilisateur reconnaît et accepte que ce droit ne lui est pas ouvert tant qu’il souhaite utiliser le Portail et bénéficier des outils numériques régionaux, ces données personnelles étant nécessaires au Groupement pour la gestion des accès au Portail.
Droit à la limitation du traitement : droit d’obtenir la limitation du traitement de ses données personnelles notamment lorsque l’Utilisateur conteste leur exactitude, lorsque leur délai de conservation est arrivé à son terme mais que l’utilisateur a encore besoin de conserver ces données personnelles pour la constatation, l’exercice ou la défense d’un droit en justice.
Droit d’opposition : droit de s’opposer à tout moment, pour des raisons tenant à sa situation personnelle, aux traitements de ses données personnelles basés sur l’intérêt légitime du Groupement, à moins que ce dernier ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, les droits et libertés de l’Utilisateur, ou pour la constatation, l’exercice ou la défense de droits en justice.
Droit d’introduire une réclamation : droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) si l’Utilisateur considère que ses droits ne sont pas respectés.
Droit de définir les directives relatives au sort de ses données personnelles post-mortem.

9.7.1. Exercice des droits des Utilisateurs

Les Utilisateurs peuvent exercer leurs droits directement auprès de NeS, par courrier électronique (dpo@normand-esante.fr).

NeS tient un registre des demandes effectuées par les Utilisateurs.

9.7.2. Exercice des droits des Usagers

Si l’Usager souhaite exercer un de ses droits, l’Utilisateur doit accéder à sa demande dans les meilleurs délais.

NeS et l’Utilisateur s’engagent à répondre à toute demande d’Usager de la santé s’inscrivant dans le cadre de l’exercice des droits listés ci-dessus.

Les Usagers exercent leur droit auprès des professionnels (Utilisateurs), qui en cas d’impossibilités ou de difficultés techniques, en informe NeS, par courrier électronique (dpo@normand-esante.fr), qui fera droit à la demande de l’Usager.

Lorsque les Usagers exercent auprès de NeS des demandes d’exercice de leurs droits, NeS adresse ces demandes, dès réception, aux Utilisateurs concernés. NeS s’efforce, en coopération avec ces derniers, de répondre aux demandes dans les meilleurs délais.

En cas de non-respect par l’Utilisateur de son obligation, NeS ne pourra être tenu responsable.

9.8. Hébergement des données des Usagers

9.8.1. Périmètre HDS de NeS

NeS atteste qu'il a obtenu les certifications nécessaires pour l'Hébergement de Données de Santé (HDS), conformément aux réglementations en vigueur, à la date du 6 juin 2025 et ce, pour une durée de trois (3) ans.
Le périmètre de certification de NeS comprend :

La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé,
La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé,
La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé,
La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information,
L'administration et l'exploitation du système d'information contenant les données de santé.

9.8.2. Périmètre de la prestation HDS

NeS, en tant qu’hébergeur de données de santé, garantit à l’Utilisateur la conformité du service d’hébergement aux dispositions légales et réglementaires prévues par le Code de la Santé Publique concernant l’hébergement de données de santé.

NeS assure ainsi :

L’hébergement sécurisé d’applications de santé et la sauvegarde de données de Santé,
Le maintien en condition opérationnelle et la sécurité des moyens de traitement.

9.8.3. Description des prestations concernées

Les services ainsi assurés comprennent :

La mise à disposition, supervision et maintenance de plateformes constituées d’un ensemble de serveurs (physiques ou virtuels) et de services mutualisés (NAS, proxy, etc…),
La fourniture des moyens de connexion aux plateformes pour les personnels de l’Utilisateur,
La mise en place des sauvegardes et de la supervision de l’ensemble des plateformes,
La maintenance de sécurité des OS de ces plateformes,
La traçabilité par la collecte de logs techniques.

NeS s'engage à garantir la disponibilité, l'intégrité et la confidentialité des données conformément aux normes et autres exigences réglementaires applicables.

L’Utilisateur a la possibilité d’auditer NeS à des fins de contrôle (se référer au §9.15 Audit de conformité).

9.8.4. Lieux d’hébergement des données

Le portail d’accès Norm’Uni et les Services qu’il contient sont hébergés sur les serveurs de notre Sous-traitant, certifié hébergeur de données de santé (HDS). Toutes les informations relatives à ce dernier sont disponibles dans le tableau des garanties HDS (annexe1).

L’utilisateur demeure responsable de la bonne conservation des éléments qu’il extrait des services fournis par NeS ainsi que des éléments liés à ses patient. Il est responsable des mesures de sécurité devant protéger ces données.

9.9. Sous-traitance

9.9.1. Le recours à des Sous-traitants ultérieurs

NeS, en tant que Sous-traitant, peut lui-même faire appel à des Sous-traitants, désignés alors Sous-traitant « ultérieur », pour mener des activités de traitement spécifiques.

L’Utilisateur peut faire la demande auprès de NeS des sous-traitants ultérieurs intervenants dans le traitement lié aux services de l’ENRS.

Le Sous-traitant ultérieur est tenu de respecter les obligations des présentes Conditions Générales d’Utilisation (CGU) pour le compte et selon les instructions du responsable de traitement.

Il appartient à NeS de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Règlementation.

Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, NeS demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre Sous-traitant de ses obligations.

9.9.2. Principaux Sous-traitants de NeS

Les principaux sous-traitants auxquels NeS fait appel au titre de la présente convention sont mentionnés dans le tableau des garanties HDS (Annexe 1).

9.10. Notification des violations de données à caractère personnel

NeS notifie les Utilisateurs de toute violation des données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par tout moyen. Cette notification est accompagnée de toute documentation utile afin de permettre aux Utilisateurs, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées.

NeS, en tant que responsable de traitement sur le déploiement des services de l’ENRS, s’engage à notifier, si nécessaire, à la CNIL toute violation de données liées aux services de l’ENRS.

9.11. Analyse d’impact

NeS, en tant que responsable de traitement sur le déploiement des services de l’ENRS, s’engage à réaliser les analyses d’impact sur la vie privée dans des délais appropriés.

Ces analyses d’impact concernant les services de l’ENRS seront mises à disposition des Utilisateurs afin que ceux-ci complètent leur propre analyse d’impact pour les traitements dont ils demeurent responsables et dont NeS est Sous-traitant.

9.12. Mesures de sécurité

NeS s’engage à mettre en oeuvre les mesures de sécurité suivantes :

La pseudonymisation et le chiffrement des données à caractère personnel dès lors que cela est rendu possible par les finalités du traitement.
Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement.
Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

NeS s’engage à mettre en oeuvre les mesures de sécurité prévues par les référentiels HDS et de l’ANS et notamment la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).

9.13. Délégué à la protection des données

NeS a nommé un délégué à la protection des données conformément à la Règlementation joignable à l’adresse dpo@normand-esante.fr ou au 02.50.53.70.00.

9.14. Documentation

NeS met à la disposition des Utilisateurs la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections par les Utilisateurs ou un autre auditeur qu’ils ont mandaté.

9.15. Audits de conformité

9.15.1. Audits techniques

Si ressources spécifiques à l’Utilisateur :

L’Utilisateur pourra faire procéder, au maximum une (1) fois par an et selon les modalités énoncées ci-dessous, à un audit sur les ressources qui lui sont spécifiquement mises à disposition. Les frais de l’audit seront intégralement pris en charge par l’Utilisateur.

Si ressources mutualisées :

En cas de ressources mutualisées, NeS se chargera de réaliser un audit technique en cas de demande de l’Utilisateur.

Les Parties conviennent que, si au moment de la demande d’un Utilisateur, un audit lié à une précédente demande a déjà été réalisé sur la même année, le rapport émis à la suite de cet audit pourra être transmis en réponse à cette nouvelle demande.

L’Utilisateur devra informer NeS de son intention de faire procéder à un audit avec un préavis raisonnable d’au moins trente (30) jours ouvrés. L’audit devra avoir lieu pendant les horaires normaux de bureau et sans perturber la bonne marche de NeS.

L’Utilisateur peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant sélectionné ensemble par les Parties et qui, en tout état de cause, ne doit pas être un concurrent de NeS. Cet auditeur doit être soumis à une obligation de confidentialité.

NeS mettra en place les moyens raisonnables pour permettre à l’auditeur de mener à bien son audit.

A l’issue de cet audit, l’Utilisateur pourra rédiger ou faire rédiger par un tiers auditeur un rapport d’audit, listant les points de non-conformité aux présentes dispositions et à la réglementation sur la protection des données relevés lors de l’audit.

NeS s’engage à mettre en place toute mesure appropriée et raisonnable pour régulariser les points de non-conformité dans les trois cents soixante-cinq (365) jours qui suivront la réception du rapport, à ses frais sauf s’il s’agit de mesures spécifiques à l’Utilisateur.

NeS se réserve le droit de refuser la réalisation de l’audit demandé par l’Utilisateur si cet audit n’est pas mené conformément aux dispositions de cette clause.

9.15.2. Audits de certification HDS

Enfin, l’Utilisateur a la possibilité d’obtenir le dernier rapport d’audit de certification HDS obtenu, sur demande transmise par courrier recommandé avec accusé de réception, ou par mail à l’adresse : contact@normand-esante.fr

9.15.3. Audits RGPD par le DPO de l’Utilisateur

L’Utilisateur pourra faire procéder au maximum une (1) fois par an et selon les modalités énoncées ci-dessous, à un audit de NeS.

Ces modalités spécifiques ont vocation à tenir compte du nombre importants d’Utilisateurs, et ont pour objectif d’éviter que les services de NeS ne se trouvent saturés par un trop grand nombre de demandes d’audit concomitantes.

L’Utilisateur peut décider de procéder lui-même à l’audit via son DPO interne ou de mandater un DPO externe sélectionné ensemble par les Parties. Le DPO doit être soumis à une obligation de confidentialité et de neutralité.

NeS mettra en place les moyens raisonnables pour permettre au DPO de mener à bien son audit.

NeS s’accorde le droit de refuser la réalisation de l’audit demandé par le L’Utilisateur si cet audit n’est pas mené conformément aux dispositions de cette clause.

9.16. Conservation des données

NeS s’engage à conserver les données selon les durées de conservation définies pour chaque Service.

En tout état de cause, NeS s’engage à ne pas conserver les données pour une durée excessive compte de tenu de la finalité du traitement.

La conservation des données de santé des Usagers est du ressort des professionnels de santé (Utilisateurs).

9.17. Souveraineté des données

Les activités certifiées Hébergeur de Données de Santé (HDS) de Normand'e-Santé n’impliquent aucun transfert de données de santé à caractère personnel vers un pays tiers à l’Espace Économique Européen.

Les prestations proposées par NeS n’impliquent pas d’accès à distance depuis un pays qui ne fait pas partie de l’Espace Economique Européen (EEE).

NeS, ainsi que ses Sous-traitants intervenant dans la prestation d’hébergement, ne sont pas soumis à la législation d’un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD.

10. Responsabilités

NeS est responsable pour tout dommage causé par l’exécution des Services de l’ENRS, à condition que soit rapportée la preuve d’un dommage à sa charge, un préjudice subi et un lien de causalité entre le préjudice et le dommage causé.

L’Utilisateur est responsable de tout dommage causé aux tiers, consécutif à une utilisation de l’ENRS non conforme à sa destination et aux procédures d’utilisation, sauf si ce dommage résulte d'un vice caché ou d’une faute imputable à un tiers, ainsi que de tout manquement aux obligations prévues par les présentes CGU, de même que celles en découlant, au titre de l’obligation de bonne foi.

11. Modalités de paiement

Le pack adhérent fait partie de la contribution annuelle, supportée par la structure adhérente à NeS.

Si l’Utilisateur choisi de bénéficier, du pack complémentaire et/ou d’options qui ne sont pas inclus dans ce pack adhérent, il devra s’acquitter des coûts supplémentaires.

L’accès au pack complémentaire, permettant l’utilisation de fonctionnalités telles que :

L’accès aux Dispositifs Médicaux Connectés (stéthoscope, otoscope, ECG, dermatoscope…),
Alimentation du DMP intégré,
Paiement en ligne sécurisé par Carte bleue,
Ou bien encore l’envoi des Feuilles de Soins Electronique,

implique une souscription préalable pour pouvoir en bénéficier.

Pour toute demande d’accès, n’hésitez pas à contacter le support NeS :

02.50.53.70.01 ou support@normand-esante.fr

En cas de demande au support, notamment par voie téléphonique, des données peuvent être collectées par NeS afin de vérifier qu’il s’agit bien du bon interlocuteur. Par exemple l’adresse mail peut être demandée dans le cadre de cette vérification.

Les sommes seront à verser par le bénéficiaire pour le compte de NeS sur présentation de facture sur le compte ouvert au nom de Crédit Coopératif dont les coordonnées sont précisées ci-après :

Domiciliation : Crédit Coopératif CAEN
Nom du titulaire du compte : GCS NORMAND’E-SANTE
Code Banque : 42559
Code Guichet : 10000
N° de compte : 08022198979
Clé RIB : 83
Numéro de compte bancaire International (IBAN) : FR76 4255 9100 0008 0221 9897 983
CODE BIC : CCOPFRPPXXX

12. Durée et fin du droit d’accès

Le droit d’accès est accordé pour une durée indéterminée.

Les droits de l’Utilisateur peuvent être supprimés par NeS :

En raison de son départ de la structure adhérente ou du retrait d’adhésion de ladite structure aux Services régionaux,
D’une utilisation frauduleuse,
De comportements déviants ou anormaux,
De non-respect des règles contenues dans les présentes Conditions Générales d’Utilisation (CGU).

Les droits de l’Utilisateur peuvent être supprimés par NeS en raison de son départ de la structure utilisatrice du Service, d’une utilisation frauduleuse, de comportements déviants ou anormaux, et de manière générale, en cas de non-respect des règles contenues dans la charte Utilisateur plateforme, de la présente charte ou de la Convention signée entre NeS et la Structure adhérente.

En cas de rattachement à une structure externe (ex : CPTS), les Utilisateurs sont informés que la résiliation de sa convention de mise à disposition des services ENRS par la structure de rattachement, ou par NeS en cas de manquements, entraine également la résiliation de tous les comptes Utilisateurs qui y sont rattachés.

Les comptes Utilisateurs seront immédiatement désactivés.

En outre, les comptes Utilisateurs inactifs pendant treize (13) mois consécutifs seront également désactivés.

Pour des raisons de sécurité et de traçabilité, les comptes désactivés ne sont définitivement supprimés que douze (12) mois après leur désactivation.

12.1. Suppression en cas d’injonction des autorités sanitaires

En cas de demande de cessation d’un Service ordonnée par une autorité sanitaire, les présentes CGU seront résiliées de plein droit entre les Parties, sans formalité préalable, à la date de cessation du Service exigée par l’autorité sanitaire, ou à défaut de cette date, dans le respect des délais fixés par l’autorité sanitaire.

12.2. Suppression en cas de redressement ou de liquidation judiciaire

En cas de mise en redressement judiciaire ou liquidation judiciaire de l’autre Partie :

NeS se réserve la possibilité de supprimer le compte de l’Utilisateur après notification de son intention par courrier recommandé avec accusé de réception (ou courrier électronique avec AR)
L’Utilisateur peut demander la suppression de son compte par courrier recommandé avec accusé de réception.

13. Réversibilité et sort des données

NeS a l’obligation d’accompagner le processus de réversibilité dans les conditions définies ci-après, avant d’effacer ou de faire effacer les données.

Au terme de la prestation de services relatifs au traitement de ces données, NeS s’engage, selon le choix exprimé par l’Utilisateur :

À détruire toutes les données à caractère personnel

À renvoyer toutes les données à caractère personnel à l’Utilisateur

À renvoyer les données à caractère personnel au nouveau Sous-traitant désigné par l’Utilisateur.

L’Utilisateur notifie son choix, par tout moyen, à NeS qui dispose de trente (30) jours calendaires (durée indicative qui peut être modifiée à la discrétion des parties) pour s’exécuter.

Dans le cas où l’Utilisateur aurait choisi le renvoi des données personnelles, que cela soit à lui-même ou à un autre Sous-traitant, le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de NeS. Une fois détruites, NeS doit justifier par écrit de la destruction dans les sept (7) jours qui suivent.

Si l’Utilisateur souhaite changer d’opérateur pour l’hébergement de son équipement, NeS ne pourra en aucun cas s’opposer à ce changement.

L’Utilisateur est tenu de prévenir NeS deux (2) mois à l’avance de ce changement, par lettre recommandée avec accusé de réception. Il ne pourra toutefois pas réclamer une indemnisation ou un remboursement quelconque.

Dans ce cas, NeS devra apporter son assistance technique à l’Utilisateur ou au tiers désigné, pour lui permettre de récupérer les données sauvegardées.

Durant cette phase, NeS transmettra à l’Utilisateur ou au futur prestataire l’ensemble des documents en sa possession mis au point dans le cadre de la prestation d’hébergement, lui permettant la bonne exécution du contrat.

Les données seront transférées sous un délai de deux (2) mois à l’Utilisateur ou au prestataire de son choix, dans un format lisible et exploitables à des fins de portabilité des données de santé.

14. Liens hypertextes

14.1. Liens mis en place par l’utilisateur

Les liens hypertextes mis en place par l’utilisateur dans le cadre du portail en direction d’autres ressources présentes sur le réseau Internet, et notamment vers ses partenaires, devront faire l’objet d’une autorisation préalable, écrite et expresse de NeS.

NeS ne saurait être responsable quant au contenu des informations fournies sur ces ressources présentes sur le réseau au titre de l’activation des liens hypertextes.

En aucun cas, cette autorisation ne pourra être qualifiée de convention implicite d’affiliation.

En toute hypothèse, les liens hypertextes renvoyant au portail devront être retirés à première demande NeS.

14.2. Liens mis en place par NeS

De convention expresse, NeS ne pourra encourir aucune responsabilité vis-à-vis de l’utilisateur, du fait du lien hypertexte pointant sur des sites tiers, ni des activités de l’utilisateur en lien avec ces sites tiers.

15. Stipulations générales

15.1. Bonne foi

Les parties conviennent d’exécuter leurs obligations avec une parfaite bonne foi.

15.2. Sincérité

Les parties déclarent sincères les présents engagements.

À ce titre, elles déclarent ne disposer d’aucun élément à leur connaissance qui, s’il avait été communiqué, aurait modifié le consentement de l’autre partie.

15.3. Intégralité

Les présentes CGU expriment l’intégralité des obligations des parties.

Aucune condition générale ou spécifique d’une des parties ne pourra s’intégrer au présent document contractuel.

15.4. Titres

En cas de difficultés d’interprétation résultant d’une contradiction entre l’un quelconque des titres figurant en tête des clauses et l’une quelconque des clauses, les titres seront déclarés inexistants.

15.5. Nullité

Si une ou plusieurs stipulations des présentes CGU sont tenues pour non valides ou déclarées comme telles en application d’une loi, d’un règlement ou à la suite d’une décision passée en force de chose jugée d’une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

15.6. Tolérance

Les parties conviennent réciproquement que le fait pour l’une des parties de tolérer une situation n’a pas pour effet d’accorder à l’autre partie des droits acquis.

De plus, une telle tolérance ne peut être interprétée comme une renonciation à faire valoir les droits en cause.

15.7. Survivance

Les articles déclarés comme survivants après la fin des présentes, quelles que soient les modalités de cessation telles qu’arrivée du terme ou rupture contractuelle, continuent à s’appliquer jusqu’au terme de leur objet particulier. Il en est ainsi notamment des articles Responsabilité et Propriété intellectuelle.

15.8. Indépendance des parties

Aucune des parties ne peut prendre un engagement au nom et pour le compte de l’autre partie.

En outre, chacune des parties demeure seule responsable de ses actes, allégations, engagements, prestations, produits et personnels.

15.9. Preuve et convention de preuve

L’acceptation en ligne des conditions générales par voie électronique a entre les parties la même valeur probante que l’accord sur support papier.

NeS a mis en place les moyens techniques nécessaires pouvant démontrer les actions des Utilisateurs.

Il est donc convenu sauf erreur manifeste, que les données contenues dans les systèmes d'information de NeS ou de ses prestataires ont force probante quant aux éléments de preuves relatifs aux accès et aux informations résultantes du traitement informatique de la plateforme.

Ainsi, les éléments considérés constituent des preuves et s’ils sont produits comme moyens de preuve par NeS dans toute procédure contentieuse ou autre, ils seront recevables, valables et opposables entre les parties de la même manière, dans les mêmes conditions et avec la même force probante que tout document qui serait établi, reçu ou conservé par écrit.

15.10. Langue

La langue faisant foi est le français.

Si les présentes conditions générales viennent à faire l'objet d'une traduction en langue étrangère, la langue française prévaudra sur toute autre traduction au cas de contestation, litige, difficulté d'interprétation ou d'exécution des présentes conditions et de façon plus générale concernant les relations existant entre les parties.

16. Litiges

Les présentes Conditions Générales d’Utilisation (CGU) sont soumises à la loi française. Toute difficulté d'interprétation ou d'exécution relève exclusivement des juridictions françaises compétentes. La nullité d'une ou plusieurs des dispositions de la présente charte pour quelle que cause que ce soit, n'entraîne pas la nullité des autres dispositions. Les Parties conviennent que les différends qui viendraient à se produire à la suite ou à l’occasion de la présente charte, faute de pouvoir être réglés à l’amiable, seront soumis aux tribunaux compétents.

ANNEXE 1 – TABLEAU DES GARANTIES HDS

Cliquez pour agrandir