Questions fréquemment posées
Qu'est-ce qu'un accord sur le traitement des données ou "DPA" ?
Un accord sur le traitement des données (Data Processing Agreement ou "DPA") est un contrat entre un responsable du traitement des données et un sous-traitant qui décrit les rôles et les responsabilités des parties lorsque des données à caractère personnel sont traitées. Un DPA doit satisfaire à un certain nombre d'exigences afin d'être conforme aux lois applicables en matière de confidentialité des données, y compris au règlement général sur la protection des données de l'UE ("RGPD").
Qu'est-ce qu'un responsable du traitement des données ? Qu'est-ce qu'un sous-traitant ?
Un responsable du traitement des données détermine les objectifs et les moyens de traitement des données personnelles. Un sous-traitant traite les données à caractère personnel pour le compte d'un responsable du traitement des données et uniquement sur instructions documentées de ce dernier.
- Par exemple, les clients d'IDEXX agiront généralement en tant que responsable du traitement des données pour toutes les données personnelles qu'ils fournissent à IDEXX dans le cadre de leur utilisation des produits et services de diagnostic et des solutions logicielles d'IDEXX.
- A son tour, IDEXX agit également de manière indépendante en tant que responsable du traitement des données en ce qui concerne les données à caractère personnel qui nous sont fournies dans le cadre de la vente et de la fourniture de nos produits et services de diagnostic, mais nous agissons en tant que sous-traitant pour certaines solutions logicielles.
Voir " Quels sont les produits et services IDEXX couverts par l’DPA d'IDEXX ? " et " Je commande des produits de diagnostic et des services de laboratoire auprès d'IDEXX. Pourquoi ma relation avec IDEXX ne nécessite-t-elle pas d’DPA ?" Les lois sur la protection des données de certains pays utilisent une terminologie différente de " Responsable du traitement " et de " Sous-traitant " pour décrire les mêmes positions de traitement. Veuillez vous référer aux lois locales sur la protection des données couvertes par l’DPA pour les pays où une terminologie différente est utilisée.
Quels sont les produits et services IDEXX couverts par l’DPA d'IDEXX ?
IDEXX agit en tant que sous-traitant et notre DPA couvre nos activités de traitement pour les solutions logicielles suivantes : Animana, ezyVet, Vet Radar, SmartFlow, VetConnect PLUS, SmartService. Pour plus de détails, veuillez vous référer aux annexes de l’DPA.
Quels sont les pays dont les lois sur la protection des données exigent un DPA ?
Outre le règlement général sur la protection des données (RGPD) de l'UE, plusieurs autres pays disposent de lois similaires sur la protection de la vie privée qui requièrent un DPA. Pour connaître les pays couverts par notre DPA, veuillez consulter la rubrique Lois locales sur la protection des données couvertes par notre DPA.
Si je me trouve dans un pays où un DPA est requis et que j'utilise un produit ou un service IDEXX couvert par l’DPA, comment puis-je conclure un DPA avec IDEXX ?
Notre DPA est incorporé et fait partie des conditions de service d'IDEXX pour le produit ou le service concerné. Veuillez consulter nos conditions de service pour les produits et services concernés, ainsi que les informations relatives à l’DPA sur la page Conditions générales d'IDEXX .
Quelles sont les clauses contractuelles types ?
Les Clauses contractuelles types (" CCS ") sont un mécanisme de transfert de données publié par la Commission européenne qui est utilisé pour le transfert de données à caractère personnel de l'Espace économique européen (EEE) et de la Suisse vers les pays qui, selon l'UE, ne disposent pas de lois adéquates en matière de protection des données, y compris les États-Unis (" pays non adéquats "). Les CCS mises à jour et publiées en 2021 sont incorporées dans notre DPA et font partie de votre accord avec IDEXX pour les produits et services couverts par notre DPA. Les transferts de données à caractère personnel du Royaume-Uni vers des pays non adéquats peuvent être effectués en utilisant les CCS de l'UE sous réserve d'un addendum britannique. En outre, lorsque d'autres pays exigent un mécanisme de transfert contractuel vers des pays non adéquats mais n'ont pas adopté leurs propres clauses, nous nous appuyons sur les CCS de l'UE. Veuillez vous référer aux lois locales sur la protection des données couvertes par l’DPA pour plus de détails sur l'addendum britannique et les autres pays où les CCS de l'UE s'appliquent.
Qu'est-ce qu'un sous-traitant ultérieur ? IDEXX utilise-t-il des sous-traitants ultérieurs ?
Lorsqu'IDEXX fait appel à des prestataires de services tiers en sa qualité de sous-traitant pour les données personnelles de ses clients, les lois applicables en matière de protection de la vie privée qualifient ces tiers de sous-traitants ultérieurs. Les sous-traitants ultérieurs sont des prestataires de services qui ont ou auront potentiellement accès aux données à caractère personnel qu'IDEXX traite pour les clients d'IDEXX et en leur nom. Avant d'engager des sous-traitants ultérieurs, nous procédons à une vérification préalable, y compris une évaluation de la sécurité de ces sous-traitants ultérieurs. Nos sous-traitants ultérieurs sont soumis à des conditions contractuelles qui garantissent qu'ils traitent les données à caractère personnel uniquement dans le but de fournir leurs services à IDEXX et conformément à l'engagement d'IDEXX envers nos clients et aux lois applicables en matière de protection des données. Vous pouvez trouver la liste de nos sous-traitants ultérieurs ici .
Je commande des produits de diagnostic et des services de laboratoire à IDEXX. Pourquoi ma relation avec IDEXX ne nécessite-t-elle pas d’DPA ?
Tous les types de relations avec les clients ne requièrent pas un DPA en vertu des lois applicables en matière de protection de la vie privée. Un responsable du traitement détermine le but et les moyens du traitement des données personnelles. Lorsqu'IDEXX agit en tant que responsable du traitement, un DPA n'est pas nécessaire. Les exemples suivants illustrent les cas où IDEXX peut être considéré comme un responsable du traitement :
- Lorsqu'IDEXX traite des données à caractère personnel dans le cadre de la fourniture de produits de diagnostic, nous déterminons quelles sont les données nécessaires à l'exécution de la commande et nous nous qualifions comme responsable du traitement.
- Dans le cadre de la fourniture de services de tests de référence en laboratoire, IDEXX a en pratique une influence (substantielle) sur les finalités et les moyens essentiels du traitement des données à caractère personnel lors de la préparation, de la réalisation et de la production des résultats du test. Lorsque nos clients des laboratoires de référence soumettent une commande - qui peut inclure des données à caractère personnel - IDEXX traite simplement ces données à caractère personnel afin d'effectuer le test de laboratoire demandé et de fournir le résultat.
En tant que responsable du traitement, nous sommes tenus au regard du RGPD de respecter certaines exigences en matière d'information (article 13) afin de divulguer, entre autres, les finalités de notre traitement, notre intérêt légitime pour le traitement, les droits de la personne concernée et notre base d'adéquation pour le transfert transfrontalier. Nous répondons à ces exigences d'information avec notre politique de confidentialité .
Mon cabinet a développé son propre modèle d’DPA que nous demandons à nos fournisseurs de signer. IDEXX acceptera-t-il mon modèle d’DPA ?
Nous sommes conscients que certains clients ont élaboré leurs propres accords sur le traitement des données/accords de protection des données. Nous comprenons parfaitement que les clients, en tant que responsables du traitement des données, soient préoccupés par le respect de leurs responsabilités en vertu des lois sur la protection des données applicables en ce qui concerne le traitement de leurs données. Pour vous aider à atteindre cet objectif, IDEXX a développé son propre DPA standard. Parce que nous devons nous assurer que nous nous conformons au RGPD d'une manière cohérente et fiable pour l'ensemble de notre clientèle, nous ne sommes pas en mesure d’accepter différents accords DPA avec chacun de nos clients.