Avenant à l'accord de partenariat lié à la loi HIPAA

Version: 22 décembre 2022

Le présent Avenant à l'accord de partenariat lié à la Loi HIPAA (l'"Avenant à l'accord de partenariat") est conclu entre Google et le client qui accepte les présentes conditions (le "Client"). Il complète, modifie et est intégré dans le ou les Accord(s) (défini(s) ci-dessous) uniquement à l'égard des Services couverts (définis ci-dessous). Le présent Avenant à l'accord de partenariat entrera en vigueur à la date à laquelle le Client aura cliqué pour l'accepter ou à laquelle les parties seront autrement parvenues à un accord le concernant.

Le présent Avenant à l'accord de partenariat ne peut être valide et effectif qu’à la condition qu’un Accord de partenariat ait déjà été établi côté client. Avec l'Accord, le présent Avenant à l'accord de partenariat régit les obligations respectives de chaque partie concernant les Données de santé protégées (définies ci-dessous).

Vous déclarez et garantissez que (i) vous disposez de l'autorité juridique pour engager le Client vis-à-vis du présent Avenant à l'accord de partenariat, (ii) vous avez lu et compris le présent Avenant à l'accord de partenariat et (iii) vous acceptez ledit Avenant à l'accord de partenariat au nom du Client. Si vous ne disposez pas de l'autorité juridique nécessaire pour engager le Client ou que vous n'acceptez pas les présentes modalités, veuillez ne pas signer ni cliquer pour accepter les présentes conditions du présent Avenant à l'accord de partenariat.

Les termes commençant par une majuscule, mais non définis dans le présent Accord de partenariat, ont la signification respective qui leur est attribuée dans (a) la section sur la simplification administrative de la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996, la loi sur la technologie de l'information de santé pour la santé économique et clinique et les règlements d'application de ces lois, tels que modifiés de temps en temps (ci-après "HIPAA") ou(b) le ou les Contrats.

"Accord(s)" : le ou les accord(s) écrit(s) entre Google et le Client pour la fourniture des Services couverts, ce ou ces accord(s) pouvant prendre la forme de conditions d'utilisation en ligne.

"Services couverts" : Looker Studio, mais n'inclut pas Looker Studio Pro.

"Utilisateurs finaux" a la signification définie par l'Accord.

"Google" désigne l'Entité Google qui est partie à l'Accord ou aux Accords.

Entité Google désigne Google LLC, Google Ireland Limited ou toute autre Société affiliée de Google LLC.

"Guide de mise en application de la Loi HIPAA" : guide d'information mis à disposition par Google et décrivant comment les Services couverts peuvent être configurés par le Client dans le cadre de ses efforts de mise en conformité avec la Loi HIPAA. Le Guide de mise en application de la loi HIPAA pour les Services couverts est disponible à l'adresse suivante: https://cloud.google.com/looker/docs/studio/looker-studio-hipaa-implementation-guide.

"Données de santé protégées" ou "PHI" a la signification définie par la loi HIPAA et, pour les besoins du présent Avenant à l'accord de partenariat, se limite aux Données de santé protégées appartenant aux Données du Client auxquelles Google a accès via les Services couverts dans le cadre de l'utilisation autorisée des Services couverts par le Client.

  1. Définitions :
  2. Applicabilité :
    1. Le présent Avenant à l'accord de partenariat s'applique dans la mesure où le Client agit en tant qu'Entité soumise à la Loi HIPAA ou en tant que Partenaire pour créer, recevoir, gérer ou transmettre des Données de santé protégées via un Service couvert et dans la mesure où Google, en conséquence, est considéré, en vertu de la Loi HIPAA, comme agissant en tant que Partenaire ou Sous-traitant du Client. Le Client reconnaît que le présent Accord de non-divulgation ne s'applique pas (i) à tout autre produit, service ou fonctionnalité Google qui n'est pas un Service couvert ; ni (ii) à toute Données de santé protégées que le Client crée, reçoit, gère ou transmet en dehors des Services couverts (y compris l'utilisation par le Client de ses outils de stockage hors connexion ou sur site ou d'applications tierces).
    2. Une référence dans le présent Avenant à l'accord de partenariat à une section de la Loi HIPAA désigne la section telle qu'elle est susceptible de faire l'objet de modifications de temps en temps.
  3. Utilisation et divulgation des Données de santé protégées.
    1. Google peut utiliser et divulguer des Données de santé protégées uniquement (i) comme l'autorisent ou l'exigent les Accords et/ou le présent Avenant à l'accord de partenariat ou (ii) comme l'exige la loi.
    2. Google peut utiliser et divulguer des Données de santé protégées pour sa bonne gestion et administration, et afin de s'acquitter de ses responsabilités légales, à condition que toute divulgation de Données de santé protégées à de telles fins ne puisse avoir lieu que: (1) si la loi l'y oblige ; ou (2) si Google obtient des assurances écrites raisonnables de la personne à qui les Données de santé protégées seront divulguées, selon lesquelles elles seront tenues confidentielles, utilisées ou divulguées ultérieurement uniquement si la loi l'y oblige ou pour la finalité pour laquelle elles ont été divulguées, et que Google sera informé de toute violation ou incident de sécurité.
    3. Dans la mesure requise par les exigences "minimales nécessaires" de la Loi HIPAA, Google ne demandera, n'utilisera et ne divulguera que la quantité minimale de Données de santé protégées nécessaire pour atteindre l'objectif de la demande, de l'utilisation ou de la divulgation de ces données.
    4. Dans la mesure où Google accepte par écrit de s'acquitter de toutes les obligations du Client en vertu de la Règle de confidentialité de la Loi HIPAA, Google doit se conformer aux exigences de la Règle de confidentialité de la Loi HIPAA qui s'appliquent au Client lors de l'exécution de ces obligations.
  4. Obligations du Client
    1. Il incombe au Client de décider si ses Utilisateurs finaux sont autorisés ou non à partager, à divulguer, à créer et/ou à utiliser des Données de santé protégées dans le cadre des Services couverts.
    2. Le Client ne demandera pas que Google ou les Services couverts utilisent ou divulguent des Données de santé protégées d'une manière qui ne serait pas autorisée par la Loi HIPAA si ces actions étaient réalisées par le Client (si le Client est une Entité soumise à la Loi HIPAA) ou par l'Entité soumise à la Loi HIPAA dont le Client est un Partenaire (sauf si cela est expressément autorisé par la Loi HIPAA pour un Partenaire), à l'exception des cas prévus à la Section 3 du présent Avenant à l'accord de partenariat.
    3. Lorsque le Client divulgue à Google des Données de santé protégées, il doit fournir la quantité minimale de Données de santé protégées nécessaire à la réalisation de l'objectif de Google.
    4. Pour les Utilisateurs finaux qui utilisent les Services couverts en relation avec les Données de santé protégées, le Client utilisera les contrôles disponibles au sein des Services, y compris ceux détaillés dans le Guide de mise en application de la Loi HIPAA, pour s'assurer que leur utilisation des Données de santé protégées est limitée aux Services couverts. Le Client reconnaît et convient que le Guide de mise en application de la Loi HIPAA est fourni par Google uniquement à titre d'information concernant les options de configuration du Client, et que le Client est seul responsable de s'assurer que son utilisation des Services couverts, ainsi que celle de ses Utilisateurs finaux, est conforme à la Loi HIPAA.
    5. Le Client garantit qu'il a obtenu et qu'il obtiendra toutes les autorisations et/ou autres permissions légales requises en vertu de la Loi HIPAA et/ou de toute autre loi applicable pour divulguer des Données de santé protégées à Google. En cas de modification ou de révocation de l'autorisation donnée par une Personne physique d'utiliser ou de divulguer des Données de santé protégées, il incombe au Client de gérer son utilisation des Services couverts en conséquence afin de mettre à jour et/ou de supprimer ces données dans les Services couverts.
  5. Mesures de protection. Google et le Client utiliseront chacun des mesures de protection raisonnables et appropriées pour empêcher l'utilisation ou la divulgation des Données de santé protégées, sauf si le présent Avenant à l'accord de partenariat l'autorise ou l'exige. En outre, Google doit mettre en œuvre des mesures de protection administratives, physiques et techniques qui protègent de manière raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des Données de santé protégées transmises ou conservées sur des supports électroniques (les "Données de santé électroniques") qu'il crée, reçoit, conserve ou transmet au nom du Client. Google doit se conformer aux dispositions applicables de la Règle de sécurité de la Loi HIPAA en ce qui concerne les Données électroniques de santé protégées.
  6. Obligations de signalement et obligations connexes.
    1. Google informera sans délai le Client (i) de tout Incident de sécurité dont Google a connaissance, sous réserve de la Section 6(c) ; et (ii) de toute Violation découverte par Google, à condition que toute notification de la Violation soit effectuée rapidement et sans délai déraisonnable, au plus tard dans les 60 jours calendaires suivant la découverte. Les notifications effectuées en vertu de la présente section décriront, dans la mesure du possible, les détails de toute Violation, y compris les mesures prises pour atténuer les risques et les mesures que Google recommande au Client de prendre pour remédier à la Violation.
    2. Google enverra toutes les notifications applicables à l'adresse e-mail de notification fournie par le Client dans l'Accord (et/ou via l'interface utilisateur du service applicable) ou en communiquant directement avec le Client.
    3. Nonobstant la section 6(a), la section 6(c) sera considérée comme une notification au Client indiquant que Google reçoit régulièrement des tentatives infructueuses d'accès, d'utilisation, de divulgation, de modification ou de destruction non autorisés d'informations, ou d'interférence avec le fonctionnement général des systèmes d'information de Google et des Services couverts. Le Client reconnaît et accepte que même si de tels événements constituent un Incident de sécurité, Google ne sera pas tenu de fournir un avis en vertu du présent Avenant à l'accord de partenariat concernant de telles tentatives infructueuses autres que la présente Section 6(c).
    4. Google prendra des mesures raisonnables pour atténuer, dans la mesure du possible, tout effet néfaste (dont Google a connaissance) d'une utilisation ou d'une divulgation de Données de santé protégées par Google qui contreviendrait au présent Avenant à l'accord de partenariat.
    5. Google signalera au Client toute utilisation ou divulgation de Données de santé protégées non autorisée en vertu du présent Avenant à l'accord de partenariat dont Google aura connaissance.
  7. Sous-traitants. Google conclura un accord écrit répondant aux exigences de l'article 45 C.F.R. alinéas 164.504(e) et 164.314(a)(2), selon le cas, avec chaque Sous-traitant qui crée, reçoit, gère ou transmet des Données de santé protégées au nom de Google. Google veillera à ce que l'accord écrit avec chaque Sous-traitant oblige celui-ci à se conformer aux restrictions et conditions qui assurent le même niveau substantiel de protection des Données de santé protégées que le présent Avenant à l'accord de partenariat.
  8. Accès et modification. Le Client reconnaît et accepte qu'il est seul responsable de la forme et du contenu des Données de santé protégées qu'il gère dans les Services couverts, y compris s'il gère ces Données de santé protégées dans un Ensemble d'enregistrements désignés dans les Services couverts. Google fournira au Client l'accès à ses Données de santé protégées via les Services couverts afin que le Client puisse respecter ses obligations en vertu de la loi HIPAA concernant les droits d'accès et de modification des Personnes physiques, mais n'aura aucune autre obligation envers le Client ou toute Personne physique concernant les droits accordés aux Personnes physiques par la loi HIPAA concernant les Ensembles d'enregistrements désignés, y compris les droits d'accès ou de modification des Données de santé protégées. Le Client est responsable de la gestion de son utilisation des Services couverts afin de répondre de manière appropriée à de telles demandes de Personnes physiques.
  9. Compte rendu des divulgations. Google documentera les divulgations de Données de santé protégées par Google et fournira un compte rendu de ces divulgations au Client dans la mesure requise d'un Partenaire en vertu de la Loi HIPAA et conformément aux exigences applicables à un Partenaire en vertu de la Loi HIPAA.
  10. Disponibilité des registres et accès aux documents. Dans la mesure requise par la loi et sous réserve des droits d'accès des clients aux avocats applicables, Google mettra à la disposition du Secrétaire du Département américain de la Santé et des Services sociaux (le "Secrétaire") ses pratiques internes, ses livres et ses registres concernant l'utilisation et la divulgation des Données de santé protégées reçues du Client, ou créées ou reçues par Google pour le compte du Client, afin que le Secrétaire puisse déterminer la conformité avec le présent Avenant à l'accord de partenariat.
  11. Expiration et cessation.
    1. Le présent Avenant à l'accord de partenariat fera l'objet d'une cessation à la première des deux dates suivantes : (i) à la cessation autorisée conformément à la Section 11(b) ci-dessous, ou (ii) à l'expiration ou à la cessation de tous les Accords en vertu desquels le Client a accès à un Service couvert.
    2. Si l'une des parties commet une Violation substantielle du présent Avenant à l'accord de partenariat, la partie qui ne commet pas de Violation peut mettre fin au présent Avenant à l'accord de partenariat moyennant un préavis écrit de 15 jours adressé à la partie en Violation, à moins qu'il ne soit remédié à la Violation dans le délai de 15 jours. Si une remédiation en vertu de la présente Section 11(b) n'est pas raisonnablement possible, la partie qui ne commet pas de Violation peut immédiatement mettre fin au présent Avenant à l'accord de partenariat. Si ni la cessation ni la remédiation ne sont raisonnablement possibles en vertu de la présente Section 11(b), la partie qui ne commet pas de Violation peut signaler la Violation au Secrétaire, sous réserve de tous les privilèges juridiques applicables.
    3. Si le présent Avenant à l'accord de partenariat fait l'objet d'une cessation avant le ou les Accord(s), le Client peut continuer à utiliser les Services conformément aux Accords, mais doit supprimer toute Donnée de santé protégée qu'il gère dans les Services couverts et cesser de créer, recevoir, gérer ou transmettre à Google de telles Données de santé protégées.
  12. Restitution/Destruction des informations. À la fin des Accords, Google renverra ou détruira toutes les Données de santé protégées reçues du Client, ou créées ou reçues par Google pour le compte du Client. Toutefois, si un tel renvoi ou une telle destruction n'est pas possible, Google étendra les protections du présent Avenant à l'accord de partenariat aux Données de santé protégées non renvoyées ni détruites, et limitera les utilisations et divulgations ultérieures aux fins qui rendent le renvoi ou la destruction des Données de santé protégées impossibles.
  13. Modifications apportées au présent Avenant à l'accord de partenariat. Google est susceptible de modifier de temps en temps les conditions du présent Avenant à l'accord de partenariat (y compris les URL qui y sont référencées et leur contenu). Toute modification de ce type sera indiquée à l'URL concernée (ou toute autre URL que Google peut être amené à fournir de temps à temps) ou dans l'interface utilisateur du Service couvert concerné. Les modifications apportées aux présentes Conditions d'utilisation (y compris au contenu des URL) ne s'appliqueront pas de façon rétroactive et entreront en vigueur 14 jours après leur publication, à l'exception de celles apportées aux URL, qui entreront en vigueur immédiatement.
  14. Divers.
    1. Application après la résiliation. Les dispositions des Sections 12 (Restitution/Destruction des informations) et 14 (Dispositions diverses) continueront à s'appliquer après la cessation ou l'expiration du présent Avenant à l'accord de partenariat.
    2. Conséquences de l'Avenant. En cas de conflit entre le présent Avenant à l'accord de partenariat et le reste du ou des Accord(s), le présent Avenant à l'accord de partenariat prévaudra. Le présent Avenant à l'accord de partenariat est soumis à la section "Loi applicable" du ou des Accords. Sauf modification ou avenant explicite dans le cadre du présent Avenant à l'accord de partenariat, les conditions du ou des Accord(s) restent en vigueur.

Versions précédentes

16 novembre 2020