Fournisseur de services, Fournisseur de données
Coordonnées
Le service Pro Santé Connect est fourni en ligne par l'Agence du Numérique en Santé (ANS), Groupement d'intérêt public prévu à l’article L.1111-24 du code de santé publique, dont le siège social est situé au 2 – 10 Rue d’Oradour-sur-Glane - 75015 PARIS et dont le numéro de SIREN est : 187 512 751 et le numéro de téléphone est : 01 58 45 32 50.
Cette version des Conditions Générales remplace toutes les versions antérieures.
Définitions
Auditeur : désigne l’ANS ou toute(s) personne(s) au choix de l’ANS, apportant les garanties de sécurité et de confidentialité à l’état de l’art, pour réaliser un audit.
Conditions Générales d’Utilisation/CGU : désignent les présentes conditions générales d’utilisation qui définissent les conditions d’utilisation de Pro Santé Connect par le Fournisseur de services et le Fournisseur de données.
Fournisseur de services : désigne toute personne morale immatriculée dans l’Union européenne, proposant un service numérique aux Utilisateurs et habilitée à utiliser Pro Santé Connect conformément aux CGU.
Fournisseur de données : désigne toute personne morale immatriculée dans l’Union européenne, fournissant à des Fournisseurs de services ou des Fournisseurs de données, des données supplémentaires à celles du Jeton, relatives aux Utilisateurs et habilitée à utiliser Pro Santé Connect conformément aux CGU.
Jeton : désigne un jeton d’authentification fourni par l’ANS permettant au Fournisseur de services et au Fournisseur de données de vérifier l’identité de l’Utilisateur.
Pro Santé Connect : désigne le téléservice Pro Santé Connect décrit à l’article 2 des présentes.
Référentiel : désigne le document dénommé « référentiel Pro Santé Connect » accessible à l’adresse https://industriels.esante.gouv.fr/produits-et-services/pro-sante-connect/referentiel-psc. Ce document, décrit les exigences à respecter par les Fournisseurs de services et les Fournisseurs de données. Il apporte également certaines préconisations.
Service Numérique : désigne un service numérique en santé proposé par le Fournisseur de services et nécessitant l’authentification en ligne des Utilisateurs.
Utilisateur : désigne un professionnel des secteurs sanitaire, médico-social et social enregistré au répertoire santé qui s’authentifie avec Pro Santé Connect pour accéder au(x) Service(s) Numérique(s).
Article 1. Objet
Les CGU ont pour objet de définir les conditions et les modalités dans lesquelles le Fournisseur de services ou le Fournisseur de données peut implémenter Pro Santé Connect et l’utiliser.
Article. 2 Description de Pro Santé Connect
Pro Santé Connect est un fédérateur de fournisseurs d’identité en ligne. Il permet au Fournisseur de services de déléguer à Pro Santé Connect l’authentification des Utilisateurs quand ces derniers souhaitent accéder aux Services Numériques. Il permet également au Fournisseur de services et au Fournisseur de données de vérifier l’identité de l’Utilisateur.
Il offre une manière simple, sécurisée et unifiée aux Utilisateurs de se connecter à tous les Services Numériques.
Pro Santé Connect est un fédérateur de fournisseurs d’identité au standard OpenID. Il accepte comme moyens d’authentification la carte CPS et la e-CPS qui est une application smartphone. Afin de permettre l’authentification formelle, les traits d’identités classiques (nom, prénom, adresse, date de naissance, …) et l’identité sectorielle (profession, savoir-faire, situation d’exercice, …) des Utilisateurs sont transmis par OpenID Connect au Fournisseur de services et au Fournisseur de données. Ces éléments sont fournis par l’annuaire santé de l’ANS et incorporé dans le jeton OpenId Connect.
Pro Santé Connect, lui permet, au-delà de la simple authentification, de gérer tout ou partie de son contrôle d’accès aux Services Numériques.
Article 3. Accès à Pro Santé Connect
Pour utiliser Pro Santé Connect, le Fournisseur de services ou le Fournisseur de données doit faire sa demande d’accès sur https://api.gouv.fr/les-api/api-pro-sante-connect puis remplir le formulaire en ligne accessible sur https://industriels.esante.gouv.fr/produits-services/pro-sante-connect.
Lors de cette demande, il devra transmettre les documents indiqués à l’article 2.4 du Référentiel via ce formulaire et accepter les CGU et le Référentiel.
La demande du Fournisseur de services ou du Fournisseur de données est analysée par l’ANS. L’étude de cette demande est opérée selon les critères définis dans les CGU et dans le Référentiel.
L’ANS vérifie notamment que l’objet du service proposé par le Fournisseur de services ou le Fournisseur de données est conforme aux CGU et au Référentiel.
Lorsque sa demande est acceptée par l’ANS, le Fournisseur de services ou le Fournisseur de données peut accéder :
- au bac à sable afin de réaliser les tests nécessaires à l’implémentation de Pro Santé Connect à son service ;
- une fois l’implémentation sur le bac à sable testée et validée, à l’espace production afin de réaliser l’implémentation de Pro Santé Connect à son Service Numérique.
Cette implémentation permet au Fournisseur de services de déléguer l’authentification des Utilisateurs à Pro Santé Connect.
Cette implémentation permet au Fournisseur de services et au Fournisseur de données de vérifier l’identité de l’Utilisateur de Pro Santé Connect.
Le Fournisseur de services ou le Fournisseur de données peut également demander à bénéficier d’une assistance technique de la part de l’ANS en écrivant à l’adresse suivante prosanteconnect.editeurs@esante.gouv.fr
Article 4. Evolution des CGU et du Référentiel
L’ANS pourra faire évoluer les CGU et/ou le Référentiel afin notamment de prendre en compte toute évolution légale, jurisprudentielle, économique et/ou technique.
Le Fournisseur de services ou le Fournisseur de données sera informé de la nouvelle version des CGU et/ou du Référentiel applicable à Pro santé Connect et de sa date d’entrée en vigueur par tout moyen tel que notamment par courrier électronique.
En cas de refus du Fournisseur de services ou du Fournisseur de données de la nouvelle version des CGU ou du Référentiel, il a la possibilité de résilier les CGU à Pro Santé Connect, préalablement à la date d’entrée en vigueur de cette nouvelle version dans les conditions définies à l’article 12.1 des présentes.
En continuant à utiliser Pro Santé Connect après la date d’entrée en vigueur de la nouvelle version des CGU et/ou du Référentiel, le Fournisseur de services ou le Fournisseur de données sera réputé avoir accepté cette nouvelle version.
Le Fournisseur de services ou le Fournisseur de données s’engage à prendre connaissance régulièrement des présentes CGU et du Référentiel et à en respecter le contenu.
Article 5. Engagements du Fournisseur de services et du Fournisseur de données
Le Fournisseur de services ou le Fournisseur de données s’engage à respecter l’ensemble des obligations qui lui incombent en application des CGU et du Référentiel pendant toute la durée de son utilisation de Pro Santé Connect.
Il s’engage notamment à remplir les conditions et exigences indiquées dans les CGU et dans le Référentiel et à respecter la législation applicable.
Le Fournisseur de services ou le Fournisseur de données doit être client OpenID Connect.
Dans le cas, où le Service Numérique ne serait plus conforme à une de ces exigences ou que le Fournisseur de services ou que le Fournisseur de données ne remplirait plus une des conditions indiquées dans les CGU ou dans le Référentiel, il s’engage à prévenir immédiatement l’ANS en envoyant un mail à l’adresse suivante : prosanteconnect.editeurs@esante.gouv.fr
Le Fournisseur de services ou le Fournisseur de données s’engage à ne pas porter atteinte ou tenter de porter atteinte à l’intégrité, au fonctionnement ou à la sécurité du système d’information à la base du fonctionnement de Pro Santé Connect.
Le Fournisseur de services ou le Fournisseur de données s’engage, pour quelque raison que ce soit, à ne pas faire usage de tout Robot, lorsqu'il utilise Pro Santé Connect, à l’exception des robots utiles à la gestion d’accessibilité.
Est considéré comme un « Robot », tout outil logiciel (tels que notamment Loadrunner, Winrunner, Silk performer, Rational Robot, QALoad et WebLOAD) conçu pour émuler automatiquement les actions d’un utilisateur humain utilisé pour la saisie des données, la migration de données, les tests de chargement, les tests de rendement, le contrôle de rendement, la mesure de rendement et/ou les « stress test ».
Le Fournisseur de services s’engage à utiliser le Jeton transmis par l’ANS uniquement pour l’authentification, ou pour la vérification de l’identité de l’Utilisateur ou pour la transmission de ce Jeton à un Fournisseur de données.
Le Fournisseur de données s’engage à utiliser le Jeton transmis par l’ANS uniquement pour vérification de l’identité de l’Utilisateur ou pour la transmission de ce Jeton à un autre Fournisseur de données.
Le Fournisseur de données s’engage à ne transmettre des données qu’à des Fournisseurs de services ou à des Fournisseurs de données lui ayant préalablement transmis un jeton validé par l’ANS.
En cas de manquement du Fournisseur de services ou du Fournisseur de données aux présentes CGU, au Référentiel ou à la législation applicable, l’ANS se réserve le droit, sans préavis ni mise en demeure, de supprimer ou de désactiver unilatéralement, le compte du Fournisseur de services ou du Fournisseur de données concerné conformément à l’article 12.2 des CGU.
Article 6. Engagements de l’ANS
L’ANS met tout en œuvre pour assurer un fonctionnement régulier et une disponibilité permanente de Pro Santé Connect. Celui-ci est néanmoins mis à disposition du Fournisseur de services ou du Fournisseur de données « en l’état », sans garantie de l’absence d’erreurs, de périodes d’indisponibilité, de failles ou de défauts.
Pro Santé Connect est homologué conformément au Référentiel Général de Sécurité (RGS).
L'ANS s'efforce de garantir une disponibilité du service telle qu’affichée à l’adresse suivante https://esante.gouv.fr/produits-services/referentiel-pro-sante-connect/engagements-pro-sante-connect. L'ANS communiquera au Fournisseur de service et au Fournisseur de données le taux de disponibilité réel du service. Cette communication se fera par tous les moyens à la convenance de l'ANS.
Un niveau d’indisponibilité du service inférieur à celui que s’efforce de garantir l’ANS ne donne lieu à aucune compensation financière entre l'ANS et le Fournisseur de service, ni entre l’ANS et Fournisseur de données.
L’ANS pourra procéder à toutes opérations de test, contrôle et/ou maintenance selon un calendrier qu’elle détermine librement. L’ANS préviendra le Fournisseur de services ou le Fournisseur de données avant la date de réalisation d’une telle opération par tous moyens à sa convenance.
Article 7. Propriété intellectuelle
L’ensemble des contenus et logiciels mis à la disposition du Fournisseur de services ou du Fournisseur de données par l’ANS à l’occasion de la fourniture de Pro Santé Connect, ainsi que les éléments qui le composent (outils, bases de données, interfaces graphiques, nom de domaine, images, textes, vidéos, sons) sont protégés au titre du Code de la Propriété Intellectuelle. Les CGU n’opèrent aucun transfert de propriété au profit du Fournisseurs de services ou du Fournisseur de données sur ces éléments.
En conséquence, le Fournisseur de services ou le Fournisseur de données s’interdit formellement d’utiliser la technologie ou le contenu de la base de données de l’ANS ainsi que les informations détenues par l’ANS pour d’autres objets que ceux prévus dans les CGU.
L’ANS concède au Fournisseur de services ou au Fournisseur de données, pour la durée prévue à l’article 10 et pour le monde entier, un droit non-exclusif, non-cessible et non-transférable d’utilisation des fonctionnalités de Pro Santé Connect, pour les seuls besoins d’authentifier les Utilisateurs lorsqu’ils souhaitent accéder au(x) Service(s) Numérique(s) et de vérifier l’identité des Utilisateurs.
Étant précisé que le droit d’utilisation concédé au Fournisseur de services comprend le droit pour tout Utilisateur, autorisé par le Fournisseur de services, à utiliser Pro Santé Connect pour s’authentifier afin d’accéder au(x) Service(s) Numérique(s).
Le Fournisseur de services ou le Fournisseur de données garantit à l’ANS qu’il est titulaire de tous les droits de propriété intellectuelle et autorisations nécessaires pour pouvoir utiliser et implémenter Pro Santé Connect.
Article 8. Protection des données à caractère personnel
8.1 - Traitement relatif à gestion des Utilisateurs
Le Fournisseur de services ou le Fournisseur de données est responsable vis-à-vis des Utilisateurs des traitements de données à caractère personnel que celui-ci met en œuvre dans le cadre de ses activités.
Le Fournisseur de services ou le Fournisseur de données doit en sa qualité de responsable de traitement, se conformer aux dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), de la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, aux délibérations et aux recommandations de la Commission Nationale Informatique et Libertés (ci-après dénommés la « Législation »).
Le Fournisseur de services ou le Fournisseur de données s’engage à mettre en œuvre des mesures techniques et organisationnelles afin d’assurer la sécurité des données personnelles des Utilisateurs.
Le Fournisseur de services s’engage à traiter les données personnelles des Utilisateurs transmises par Pro Santé Connect uniquement pour la fourniture des Services Numériques.
Le Fournisseur de données s’engage à traiter les données personnelles des Utilisateurs transmises par Pro Santé Connect uniquement pour vérifier l’identité des Utilisateurs à Pro Santé Connect.
Notamment, Le Fournisseur de services ou le Fournisseur de données s’engage, lorsqu’il traite des données de santé, à assurer leur confidentialité et leur intégrité, et à faire uniquement appel à des hébergeurs agréés ou certifiés conformément au décret n°2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel.
Le Fournisseur de services ou le Fournisseur de données s’engage également à avoir fait les formalités nécessaires auprès de la CNIL si nécessaire.
Le Fournisseur de services ou le Fournisseur de données s’engage à informer les Utilisateurs du traitement et de la transmission de leurs données à l’ANS et/ou à des tiers conformément à la Législation. Ces informations pourront être délivrées par exemple dans sa politique de confidentialité.
En outre, conformément à la Législation, le Fournisseur de services ou le Fournisseur de données s’engage à mettre en place les mesures nécessaires pour garantir l’effectivité des droits des Utilisateurs.
8.2 - Traitement relatif à la gestion des fournisseurs
Les données personnelles relatives aux Fournisseurs de services ou aux Fournisseurs de données collectées dans le cadre de l’accès à Pro Santé Connect sont traitées par l’ANS en qualité de responsable de traitement, pour la gestion des Fournisseurs de services et des Fournisseurs de données et l’exécution des CGU, ainsi que la gestion du contentieux et du précontentieux.
Tout ou partie de ces données peuvent être transmises aux services internes de l’ANS, ainsi qu’à des prestataires externes, notamment informatiques.
Les données concernées sont conservées par l’ANS pour la stricte durée de la relation contractuelle, sans préjudice des dispositions législatives ou réglementaires propres à certaines catégories de données imposant une durée de conservation particulière ou la suppression de ces données. Aux termes de ces périodes, les données seront archivées de manière sécurisée pour les durées nécessaires de conservation et/ou de prescription résultant des dispositions législatives ou réglementaires applicables.
Le traitement est nécessaire à l’exécution des CGU conformément à l’article 6 du RGPD.
Les personnes concernées par le traitement de leurs données à caractère personnel sont informées qu’elles bénéficient d’un droit d’accès, de rectification et, le cas échéant, d’un droit à la portabilité et à l’effacement de leurs données, ainsi que d’opposition au traitement ou à sa limitation, et enfin, du droit de définir des directives post mortem.
Les personnes concernées peuvent exercer leurs droits en adressant une demande :
- par courrier postal, à l’adresse suivante : ANS, Délégué à la Protection des Données, 2 – 10 Rue d’Oradour-sur-Glane — 75015 PARIS,
- par email à l’adresse dpo@esante.gouv.fr
Si la personne concernée estime que ses droits n’ont pas été respectés, elle a la possibilité de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une réclamation.
Article 9. Responsabilité – Garantie
Le Fournisseur de services ou le Fournisseur de données est responsable de tout manquement aux CGU, au Référentiel et du non-respect de la législation applicable qui lui est imputable. En cas de manquement de sa part, la suppression ou la désactivation de son accès à Pro Santé Connect se fera dans les conditions prévues à l’article 12.2 des CGU.
Le Fournisseur de services ou le Fournisseur de données garantit l’ANS et le ministère chargé de la Santé contre toutes conséquences financières directes ou indirectes résultant d'une action, recours, oppositions, revendication, ou d'une réclamation exercée à l'encontre de l’ANS et/ ou du ministère chargé de la Santé par un Utilisateur ou un tiers du fait d’un manquement par le Fournisseur de services ou le Fournisseur de données à la législation applicable, aux dispositions des CGU ou au Référentiel.
En conséquence de la présente garantie le Fournisseur de services ou le Fournisseur de données s’engage à régler directement à l’auteur de la réclamation toutes les sommes qui seraient exigées de l’ANS et/ou du ministère chargé de la Santé et à intervenir sur demande de l’ANS, à toutes les instances engagées contre le l’ANS et/ou du ministère chargé de la Santé.
La garantie porte notamment sur tous dommages et intérêts auxquels seraient condamnés l’ANS et/ou le ministère chargé de la Santé, et s’étend aux frais de justice éventuels, y compris les frais irrépétibles et les frais d’avocats.
L’ANS ne pourra en aucun cas être tenue pour responsable :
- de toute utilisation frauduleuse de Pro Santé Connect, sauf à ce qu’il soit prouvé que l’utilisation frauduleuse résulte d’une négligence ou d’une faute intentionnelle de l’ANS ;
- de toute interruption ou restriction d’accès à Pro Santé Connect, du fait d’opérations de maintenance, de mises à niveau ou de modification de Pro Santé Connect ;
- des éventuels préjudices indirects qui seraient subis par le Fournisseur de services ou le Fournisseur de données ou les Utilisateurs ;
- de tout préjudice subi par le Fournisseur de services ou le Fournisseur de données ou un tiers qui résulterait d’une utilisation de Pro Santé Connect non conforme aux CGU ou au Référentiel ;
- de tout manquement à ses obligations prévues aux CGU ou au Référentiel qui serait dû ou trouverait son origine dans un cas fortuit ou un cas de force majeure tel que défini par la jurisprudence. Sont également considérés comme des cas de force majeure les grèves totales ou partielles, internes ou externes à l’ANS, ainsi que le blocage et/ou les dysfonctionnements des réseaux de télécommunications, d’électricité ou informatiques.
Article 10. Durée
Sous réserve des cas de résiliation indiqués ci-après, le Fournisseur de services ou le Fournisseur de données adhère aux CGU à partir de la date de son raccordement pour une durée indéterminée.
Article 11. Audits
L’ANS peut à tout moment pendant la durée des CGU et sans qu’il soit nécessaire d’en justifier les raisons auprès du Fournisseur de services ou du Fournisseur de données, réaliser ou faire réaliser par tout Auditeur un audit de l’utilisation de Pro Santé Connect par le Fournisseur de services ou le Fournisseur de données. Ces audits seront réalisés sur pièces.
Ces audits peuvent être déclenchés à tout moment par l’ANS, notamment lorsque l’ANS identifie des manquements aux obligations indiquées dans les CGU et/ ou dans le Référentiel ou en cas du non-respect de la législation applicable.
La mission d'audit a pour finalité de s'assurer du respect par le Fournisseur de services ou le Fournisseur de données des obligations qui lui incombent au titre des CGU, du Référentiel et de la législation applicable.
Ces audits peuvent donc porter sur :
- l’utilisation de Pro Santé Connect ;
- les informations de raccordement fournies à l’ANS par le Fournisseur de services ou le Fournisseur de données ;
- le respect des CGU ;
- le respect du Référentiel ;
- le respect de la législation applicable.
Le Fournisseur de services ou le Fournisseur de données s'engage à :
- collaborer de bonne foi et sans réserve avec l’Auditeur;
- faciliter l'accès de l’Auditeur à tout document ou information permettant la bonne réalisation de l’audit ;
- répondre à toute question pertinente au regard de l’objet et de l’exécution de l’audit ;
- accorder l’accès à tous les outils et moyens nécessaires à l’exécution de l’audit.
Notamment, l’Auditeur transmettra au Fournisseur de services ou au Fournisseur de données la liste des documents et dossiers dont il souhaite la mise à disposition. Le Fournisseur de services ou le Fournisseur de données s’engage à répondre dans les délais indiqués par l’Auditeur aux demandes de renseignements formulées par l’Auditeur au vu des pièces communiquées.
A l’issue des audits, un rapport d’audit est établi par l’Auditeur.
A l’issu du contrôle, le Fournisseur de services ou le Fournisseur de données s'engage expressément, à ses frais, à mettre en œuvre les mesures correctives nécessaires validées par les Parties dans un délai convenu entre les Parties.
Si le Fournisseur de services ou le Fournisseur de données ne met pas en œuvre les mesures correctives nécessaires validées par les Parties dans le délai indiqué ci-dessus, l’ANS a la faculté de supprimer ou de désactiver Pro Santé Connect pour manquement dans les conditions indiquées à l’article 12.2 des présentes.
Le temps passé par le personnel du Fournisseur de services ou du Fournisseur de données, pour la participation aux audits et à la mise en place des mesures correctives, reste à la charge du Fournisseur de services ou du fournisseur de données.
Article 12. Résiliation, suppression ou désactivation de l’accès à Pro Santé Connect
12.1 - Résiliation par le Fournisseur de services ou le Fournisseur de données
Le Fournisseur de services ou le Fournisseur de données peut résilier les CGU. Sa décision doit être notifiée par courrier à l’adresse prosanteconnect.editeurs@esante.gouv.fr
Sa demande sera exécutée à la date spécifiée dans le courrier de résiliation ou à défaut après un délai de 15 jours à compter de la réception par l’ANS de cette notification.
A compter de la date de la résiliation, le Fournisseur de services ou le Fournisseur de données s’engage à ne plus utiliser Pro Santé Connect et retirer toute référence à Pro Santé Connect sur leur Service Numérique.
12.2 - Suppression ou désactivation par l’ANS
En cas de manquement du Fournisseur de services ou du Fournisseur de données aux CGU et/ou au Référentiel ou en cas du non-respect de la législation applicable, l’ANS se réserve le droit de supprimer ou de désactiver Pro Santé Connect. Cette décision pourra être prise sans délai, sans préavis et sans indemnité au bénéfice du Fournisseur de services ou du Fournisseur de données.
Dans tous les cas, l’ANS peut supprimer ou désactiver unilatéralement Pro Santé Connect pour un motif d’intérêt général ou de sécurité. L’ANS en informe dans les meilleurs délais et par les moyens qui lui semble les plus adaptés, le Fournisseur de services ou le Fournisseur de données.
Cette décision ne pourra donner lieu à aucune indemnité au bénéfice du Fournisseur de services ou du Fournisseur de données.
Article 13. Loi applicable et tribunaux compétents
Les présentes conditions générales d’utilisation sont régies par la loi française. Tout litige résultant de leur application relèvera de la compétence des tribunaux français.