Accord de Traitement des Données (DPA)

Le présent Accord de Traitement des Données (« DPA ») explique, en langage clair, la manière dont CLARUS® (« كلاروس ») traite les données à caractère personnel pour le compte de votre laboratoire lorsque vous utilisez notre Système d'Information de Laboratoire. Il est rédigé pour vous donner confiance : vous conservez le contrôle de vos données, nous agissons uniquement selon vos instructions documentées, et nous nous tenons aux normes de sécurité internationales et propres au secteur de la santé reconnues.

Le présent DPA fait partie intégrante des Conditions d'Utilisation de CLARUS® (« Conditions ») et y est incorporé par référence. Il prend effet le 2026-06-26 et s'applique aussi longtemps que CLARUS® traite des données à caractère personnel pour votre laboratoire. Les termes commençant par une majuscule utilisés mais non définis ici ont le sens qui leur est donné dans les Conditions.

Parce que les laboratoires manipulent des informations sensibles relatives aux patients, nous avons conçu cet accord pour qu'il soit précis et substantiel plutôt que générique. Lorsqu'un concept est résumé dans le corps du texte, le détail technique et organisationnel contraignant est exposé dans l'Annexe figurant à la fin.

1.Portée et relation avec les Conditions

Le présent DPA régit l'ensemble du traitement des données à caractère personnel que CLARUS® effectue pour et au nom de votre laboratoire (« vous », « le Client ») dans le cadre de la fourniture du Système d'Information de Laboratoire CLARUS® et des services associés (les « Services »). Il s'applique aux données à caractère personnel saisies dans les Services, générées par ceux-ci ou transmises par leur intermédiaire — y compris les données des patients et les données de santé — quel que soit le modèle de déploiement (cloud, hybride ou hors ligne).

Le présent DPA constitue une partie intégrante des Conditions. En acceptant les Conditions, ou en utilisant les Services, vous et CLARUS® acceptez d'être liés par le présent DPA. En cas de conflit direct entre le présent DPA et le corps général des Conditions sur le sujet du traitement des données à caractère personnel, le présent DPA prévaut dans la mesure de ce conflit ; à tous autres égards, les Conditions continuent de s'appliquer pleinement.

Le présent DPA reflète les meilleures pratiques mondiales en matière d'accords de traitement des données, adaptées à un public régional (MENA et Afrique) et au secteur de la santé. Il est conçu pour fonctionner aux côtés de, et non pour diminuer, tout droit impératif de protection des données ou de protection des consommateurs dont vous ou les personnes concernées disposez en vertu du droit applicable.

2.Rôles des parties — Responsable du traitement et Sous-traitant

S'agissant des données des patients et des données de santé traitées par l'intermédiaire des Services, votre laboratoire est le RESPONSABLE DU TRAITEMENT et CLARUS® est le SOUS-TRAITANT. En tant que Responsable du traitement, vous déterminez les finalités et les moyens du traitement des données des patients, vous êtes responsable de la licéité de ce traitement, et vous êtes responsable d'établir une base juridique valable (y compris, le cas échéant, le consentement du patient) et de fournir toute information aux personnes concernées.

En tant que Sous-traitant, CLARUS® traite les données des patients uniquement selon vos instructions documentées et jamais pour ses propres fins. CLARUS® ne vend pas les données des patients, ne les utilise pas pour entraîner des modèles à des fins étrangères, et ne les combine pas avec des données provenant d'autres sources, sauf dans la stricte mesure nécessaire à la fourniture des Services que vous avez configurés.

Pour une catégorie limitée de données — à savoir les informations de compte, de facturation et d'administration du laboratoire et de ses utilisateurs autorisés — CLARUS® agit en tant que Responsable du traitement indépendant (par exemple, pour gérer votre abonnement, sécuriser la plateforme, se conformer à ses propres obligations légales et prévenir la fraude). Ce traitement limité est régi par la Politique de Confidentialité de CLARUS®. Les obligations de Sous-traitant prévues par le présent DPA s'appliquent aux données des patients et aux données de santé décrites aux Sections 3 et 4.

• Client (le laboratoire) = Responsable du traitement des données des patients et des données de santé.
• CLARUS® = Sous-traitant des données des patients et des données de santé, agissant selon des instructions documentées.
• CLARUS® = Responsable du traitement indépendant uniquement pour ses propres données de compte, de facturation, de sécurité et de conformité.

3.Objet, durée, nature et finalité du traitement

Objet. L'objet du traitement est constitué des données à caractère personnel soumises aux Services ou générées en leur sein dans le cadre de l'exploitation d'un laboratoire médical — y compris l'enregistrement des patients, la prescription d'analyses, le suivi des échantillons, les résultats, la production de rapports et les flux de travail cliniques et opérationnels associés.

Durée. Le traitement se poursuit pendant la durée de votre abonnement et pendant toute fenêtre d'exportation ou de clôture convenue par la suite, après quoi les données sont supprimées ou restituées conformément à la Section 11. CLARUS® ne conservera pas les données des patients au-delà de ce qui est nécessaire pour fournir les Services ou pour satisfaire à une obligation légale.

Nature et finalité. La nature du traitement comprend la collecte, l'enregistrement, la structuration, la conservation, la consultation, la transmission (y compris via les interfaces HL7, ASTM et FHIR), l'affichage et — à la résiliation — la suppression ou la restitution. La finalité consiste uniquement à fournir, sécuriser, maintenir et prendre en charge les Services et à permettre à votre laboratoire d'offrir des services de diagnostic à ses patients. CLARUS® traite les données uniquement dans la mesure nécessaire à ces finalités et conformément à vos instructions.

4.Catégories de personnes concernées et de données à caractère personnel

Le traitement au titre du présent DPA concerne les catégories suivantes de personnes concernées : les patients du laboratoire ; le personnel du laboratoire et les utilisateurs autorisés des Services ; ainsi que les médecins prescripteurs ou traitants et autres professionnels de santé dont les coordonnées sont enregistrées en lien avec les prescriptions et les résultats.

Les catégories de données à caractère personnel comprennent les données d'identification et de contact (par exemple le nom, les identifiants, la date de naissance, le sexe, l'adresse, le téléphone, l'e-mail), les données de prescription et de visite, les données d'échantillon et d'accession, et — de façon la plus significative — les données de SANTÉ relevant de catégories particulières telles que les prescriptions d'analyses, les résultats de diagnostic, les observations cliniques et les informations médicales associées. Les données peuvent également inclure le rôle et les informations d'accès du personnel ainsi que les coordonnées et les détails de référencement des médecins.

Parce que les Services traitent régulièrement des données de santé relevant de catégories particulières, CLARUS® applique à ces données des garanties renforcées, y compris les mesures techniques et organisationnelles exposées à la Section 6 et dans l'Annexe. Vous, en tant que Responsable du traitement, êtes responsable de vous assurer que vous disposez d'une base juridique appropriée pour le traitement de ces données de santé.

• Patients — identifiants, données démographiques et données de santé relevant de catégories particulières (prescriptions, résultats, observations cliniques).
• Personnel du laboratoire / utilisateurs — identité, métadonnées d'identifiants, rôle, et informations d'accès/d'audit.
• Médecins prescripteurs — nom, coordonnées et lien de référencement/de prescription.

5.Obligations de CLARUS® en tant que Sous-traitant

CLARUS® ne traitera les données des patients que selon vos instructions documentées, y compris en ce qui concerne les transferts internationaux, sauf si une obligation légale à laquelle CLARUS® est soumis l'oblige à agir ; dans ce cas, CLARUS® vous informera, lorsque la loi le permet, de cette exigence légale avant de procéder au traitement. Vos instructions sont données par l'intermédiaire des Conditions, du présent DPA, de la configuration du produit que vous choisissez, et de toute instruction écrite complémentaire que vous fournissez. Si CLARUS® estime qu'une instruction enfreint le droit applicable en matière de protection des données, il vous en informera sans retard injustifié.

CLARUS® veille à ce que le personnel autorisé à traiter les données des patients soit lié par des obligations de confidentialité appropriées (contractuelles ou légales) qui survivent à la fin de son engagement, et à ce que l'accès soit limité aux personnes qui en ont besoin pour fournir ou prendre en charge les Services. Le personnel reçoit une formation adaptée à son rôle sur la protection des données, la sécurité et la sensibilité particulière des données de santé.

CLARUS® mettra en œuvre et maintiendra les mesures techniques et organisationnelles décrites à la Section 6 et dans l'Annexe, vous prêtera assistance comme indiqué aux Sections 8 et 9, et mettra à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent DPA comme décrit à la Section 12.

• Traiter uniquement selon des instructions documentées ; signaler les instructions estimées illicites.
• Lier tout le personnel ayant accès par des obligations de confidentialité et un accès au moindre privilège.
• Fournir une formation à la protection des données et à la sécurité fondée sur les rôles, en mettant l'accent sur les données de santé.
• Maintenir les mesures de sécurité, la réponse aux violations et les obligations d'assistance prévues par le présent DPA.

6.Mesures de sécurité — Résumé

CLARUS® met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé — en tenant compte de l'état de l'art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, de même que du risque accru lié aux données de santé relevant de catégories particulières.

Un résumé de ces mesures comprend le chiffrement en transit et au repos, une isolation stricte par locataire, un contrôle d'accès fondé sur les rôles avec le moindre privilège, une journalisation d'audit complète, l'authentification à deux facteurs, des sauvegardes chiffrées avec capacité de reprise après sinistre, et un programme structuré de gestion des vulnérabilités. La description complète et contraignante est exposée dans l'Annexe (Mesures Techniques et Organisationnelles).

CLARUS® réexamine et, le cas échéant, met à jour ces mesures au fil du temps afin de maintenir un niveau de sécurité adapté à l'évolution des risques. Toute mise à jour maintiendra ou améliorera le niveau global de protection et ne réduira pas matériellement la sécurité des Services pendant la durée de votre abonnement.

7.Sous-traitants ultérieurs

Vous accordez une autorisation générale à CLARUS® d'engager des sous-traitants ultérieurs pour soutenir la fourniture des Services. CLARUS® engage chaque sous-traitant ultérieur dans le cadre d'un contrat écrit qui impose des obligations de protection des données au moins aussi protectrices que celles du présent DPA, et CLARUS® demeure pleinement responsable envers vous de l'exécution des obligations de ses sous-traitants ultérieurs.

Les catégories de sous-traitants ultérieurs actuellement engagés comprennent les fournisseurs d'hébergement cloud et d'infrastructure, les fournisseurs de paiement et de facturation, et les fournisseurs de communication (par exemple, e-mail, SMS ou messagerie utilisés pour les notifications). CLARUS® limite les données partagées avec chaque sous-traitant ultérieur à ce qui est nécessaire à la fonction concernée.

CLARUS® vous donnera un préavis de tout ajout ou remplacement envisagé d'un sous-traitant ultérieur qui traite des données de patients, par les méthodes décrites dans les Conditions ou par un canal de notification désigné. Vous pouvez vous opposer à un nouveau sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données dans le délai de préavis ; les parties s'efforceront de bonne foi de résoudre l'objection, et si celle-ci ne peut être résolue, vous pouvez, à titre de recours, résilier les Services concernés conformément aux Conditions.

• Hébergement cloud et infrastructure (environnements isolés par locataire).
• Traitement des paiements et de la facturation.
• Communications (notifications par e-mail / SMS / messagerie).
• Préavis des changements affectant les données des patients, assorti d'un droit documenté d'objection.

8.Assistance pour les demandes des personnes concernées

Les personnes concernées (par exemple les patients, le personnel ou les médecins) peuvent disposer, en vertu du droit applicable, de droits d'accès, de rectification, d'effacement, de limitation, de portabilité ou d'opposition au traitement de leurs données à caractère personnel. En tant que Responsable du traitement, vous êtes responsable de répondre à ces demandes.

Compte tenu de la nature du traitement, CLARUS® vous prêtera assistance par des mesures techniques et organisationnelles appropriées — et par l'intermédiaire des outils en libre-service disponibles dans les Services — afin de vous permettre de remplir votre obligation de répondre à de telles demandes. Lorsque vous n'êtes pas en mesure de traiter une demande au moyen des outils du produit, CLARUS® fournira une assistance supplémentaire raisonnable.

Si CLARUS® reçoit une demande directement d'une personne concernée relative aux données qu'il traite pour votre compte, CLARUS® n'y répondra pas directement (si ce n'est pour en accuser réception lorsque cela est approprié) mais vous transmettra, sans retard injustifié, la demande afin que vous puissiez y répondre en tant que Responsable du traitement.

9.Notification des violations de données à caractère personnel

CLARUS® maintient des procédures de surveillance, de détection et de réponse aux incidents conçues pour identifier et contenir les violations de données à caractère personnel. Si CLARUS® a connaissance d'une violation de données à caractère personnel affectant les données de patients qu'il traite pour votre compte, il vous le notifiera sans retard injustifié, avec pour objectif de vous notifier dans les 72 heures suivant la prise de connaissance de la violation.

La notification décrira, dans la mesure connue et à mesure que les informations deviennent disponibles, la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés, les conséquences probables, et les mesures prises ou proposées pour remédier à la violation et en atténuer les effets. CLARUS® fournira des informations complémentaires par étapes lorsqu'elles ne peuvent pas toutes être fournies en une seule fois.

CLARUS® coopérera avec vous et prendra des mesures raisonnables pour vous aider dans votre enquête, l'atténuation et la remédiation de la violation, et pour appuyer toute notification que vous êtes tenu d'effectuer auprès d'une autorité de contrôle ou des personnes concernées. La notification d'une violation ne constitue pas une reconnaissance de faute ou de responsabilité.

10.Transferts internationaux et garanties

Les Services règlent la facturation en livre égyptienne (EGP) et sont exploités principalement pour des laboratoires de la région MENA (avec l'Égypte comme marché principal), du Golfe, du Maghreb et d'Afrique. Selon le modèle de déploiement que vous choisissez et l'emplacement de l'infrastructure engagée, les données à caractère personnel peuvent être traitées dans, ou transférées vers, des juridictions autres que celle où se trouve votre laboratoire.

Lorsque CLARUS® transfère des données à caractère personnel au-delà des frontières, il veillera à ce qu'un mécanisme de transfert ou une garantie appropriée reconnu par le droit applicable soit en place — tel qu'une reconnaissance d'adéquation, des clauses contractuelles types ou des protections contractuelles équivalentes, et des mesures techniques supplémentaires (y compris le chiffrement en transit et au repos et l'isolation par locataire) — de sorte que la protection accordée aux données les accompagne.

Lorsque votre déploiement exige une résidence des données dans un pays ou une région spécifique, CLARUS® hébergera et traitera les données des patients en conséquence, lorsque cela est pris en charge par votre forfait et votre configuration. Les transferts vers des sous-traitants ultérieurs sont soumis aux garanties décrites à la Section 7.

11.Suppression ou restitution des données à la résiliation

Vous êtes propriétaire de vos données, et CLARUS® s'engage à n'imposer aucun verrouillage. Tout au long de votre abonnement et pendant la fenêtre d'exportation décrite ci-dessous, vous pouvez exporter vos données dans des formats ouverts et interopérables — y compris HL7 et FHIR — de sorte que vous ne soyez jamais prisonnier de la plateforme.

À l'expiration ou à la résiliation des Services, CLARUS® procédera, à votre choix, à la restitution des données à caractère personnel et/ou à leur suppression. CLARUS® prévoit une fenêtre d'exportation définie après la résiliation (telle qu'indiquée dans les Conditions ou votre commande) pendant laquelle vous pouvez récupérer vos données avant leur suppression. Une fois la fenêtre d'exportation fermée, CLARUS® supprimera les données à caractère personnel des systèmes actifs et, en temps voulu, des sauvegardes conformément à son cycle de rotation des sauvegardes, sauf lorsque la conservation est requise par la loi.

Sur demande, CLARUS® confirmera par écrit que la suppression a été effectuée conformément à la présente Section. Les données conservées uniquement pour satisfaire à une obligation légale continueront d'être protégées par les mesures du présent DPA aussi longtemps qu'elles sont conservées, et ne seront traitées qu'à cette seule fin.

12.Audits et démonstration de la conformité

CLARUS® mettra à votre disposition les informations raisonnablement nécessaires pour démontrer le respect du présent DPA, y compris, lorsqu'ils sont disponibles, des résumés d'évaluations indépendantes, des certifications, des résultats de tests d'intrusion, et des descriptions de ses contrôles de sécurité et des mesures figurant dans l'Annexe.

Lorsque ces informations ne suffisent pas à vos besoins raisonnables de conformité, CLARUS® autorisera et contribuera à des audits, y compris des inspections, menés par vous ou par un auditeur indépendant que vous mandatez. Les audits seront menés sur préavis écrit raisonnable, au plus une fois par an sauf lorsque cela est exigé par une autorité de contrôle ou à la suite d'une violation de données à caractère personnel, pendant les heures ouvrables, et d'une manière qui ne compromet pas la sécurité, la confidentialité ou la disponibilité des données des autres clients.

Les parties supporteront chacune leurs propres coûts d'un audit, conviendront à l'avance et de bonne foi de la portée et du calendrier, et traiteront toutes les constatations d'audit comme confidentielles. Tout auditeur tiers doit être lié par des obligations de confidentialité appropriées et ne doit pas être un concurrent de CLARUS®.

13.Annexe — Mesures Techniques et Organisationnelles

La présente Annexe expose les mesures techniques et organisationnelles que CLARUS® maintient pour protéger les données à caractère personnel, avec des garanties renforcées pour les données de santé relevant de catégories particulières. Ces mesures sont contraignantes et sont résumées à la Section 6. CLARUS® peut mettre à jour des mesures individuelles au fil du temps à condition que le niveau global de protection soit maintenu ou amélioré.

Les mesures ci-dessous fonctionnent ensemble comme une défense en couches couvrant la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement, ainsi que la capacité à rétablir l'accès aux données en temps opportun après un incident.

• Chiffrement en transit — données protégées par un chiffrement de transport robuste et conforme aux normes du secteur entre les clients, la plateforme et les intégrations (HL7 / ASTM / FHIR).
• Chiffrement au repos — données des patients et données de santé chiffrées sur les supports de stockage à l'aide d'algorithmes robustes et conformes aux normes du secteur et de clés gérées.
• Isolation par locataire — les données de chaque laboratoire sont logiquement isolées de sorte qu'un locataire ne puisse pas accéder aux données d'un autre locataire.
• Contrôle d'accès fondé sur les rôles et moindre privilège — l'accès est accordé par rôle sur la base du besoin d'en connaître, régulièrement réexaminé et réduit au minimum.
• Journalisation d'audit — les événements pertinents pour la sécurité et les accès aux données des patients sont journalisés afin de soutenir la traçabilité, la surveillance et l'investigation.
• Authentification à deux facteurs (2FA) — prise en charge et configurable pour renforcer l'authentification des accès privilégiés et des utilisateurs.
• Sauvegardes chiffrées et reprise après sinistre — les sauvegardes sont chiffrées, effectuées régulièrement et testées, avec une capacité documentée de reprise après sinistre pour rétablir le service et les données.
• Gestion des vulnérabilités — application continue de correctifs, tests de sécurité (y compris des évaluations périodiques), et processus structuré de triage et de remédiation des vulnérabilités.
• Contrôles relatifs au personnel et à l'organisation — obligations de confidentialité, attribution/retrait des droits selon le moindre privilège, et formation à la sécurité et à la protection des données adaptée aux rôles.

14.Analyses d'impact relatives à la protection des données et consultation préalable

Dans la mesure où les Services impliquent de manière habituelle des données de santé relevant de catégories particulières, votre traitement peut nécessiter la réalisation d'une analyse d'impact relative à la protection des données (DPIA). Compte tenu de la nature du traitement et des informations dont CLARUS® dispose, CLARUS® vous apportera une assistance raisonnable afin de soutenir toute DPIA que vous menez ainsi que toute consultation préalable que vous devez engager auprès d'une autorité de contrôle.

Cette assistance comprend la description des opérations de traitement concernées, des mesures techniques et organisationnelles exposées dans la section relative à la sécurité et dans l'Annexe, ainsi que des catégories de sous-traitants ultérieurs et des flux de données en cause — afin que vous, en qualité de Responsable du traitement, puissiez évaluer et documenter les risques liés au traitement.