Logo - Full (Color)
Ignorer et passer au contenu principal

Legal Stuff

Talk legal to me

Conditions d'utilisation des données sensibles

Dernière mise à jour : 18 septembre 2024

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Dernière mise à jour : 18 septembre 2024

La version anglaise de chacun de ces documents régit la relation avec HubSpot. Ces traductions sont fournies à titre indicatif et n’ont aucune valeur juridique. Les versions anglaises de ces documents prévalent et les versions françaises ne sauraient en aucun cas les modifier. Les versions anglaises sont disponibles depuis la page Mentions légales.

VEUILLEZ LIRE ATTENTIVEMENT LES CONDITIONS SUIVANTES.

Les Conditions d'utilisation des données sensibles de HubSpot (« Conditions d'utilisation des données sensibles ») s'appliquent à l'utilisation des Services d'abonnement de HubSpot et des informations considérées comme sensibles en vertu de la loi applicable. En cas de conflit ou de différence avec les autres dispositions de l'Accord, et dans la mesure applicable, les présentes Conditions d'utilisation des données sensibles prévaudront sur les autres dispositions de l'Accord. 

Les termes en majuscules qui sont utilisés dans les présentes et qui n'y sont pas autrement définis ont le sens qui leur est donné dans l'Accord. 

1. DÉFINITIONS

2. SERVICES COUVERTS

3. SERVICES BÊTA COUVERTS

4. CONDITIONS D'UTILISATION

5. EXCLUSION DE GARANTIES

6. DIVERS

ANNEXE I - ACCORD DE PARTENARIAT COMMERCIAL DE HUBSPOT (« Accord de partenariat commercial ») (applicable si l'Utilisateur stocke des Informations de santé protégées qui sont soumises aux termes de l'Health Insurance Portability and Accountability Act, ou HIPAA) 

1.  DÉFINITIONS

1.1 Les « Services bêta couverts » désignent les fonctionnalités disponibles en version bêta dans les Services d'abonnement qui prennent en charge des Données sensibles autorisées et qui sont expressément incluses dans le « Tableau des services bêta couverts » des Conditions d'utilisation des données sensibles.

1.2 Les « Services couverts » désignent les fonctionnalités des Services d'abonnement qui prennent en charge des Données sensibles autorisées et qui sont expressément incluses dans le « Tableau des services couverts » des Conditions d'utilisation des données sensibles.

1.3 Les « Données sensibles autorisées » désignent les informations expressément autorisées dans le « Tableau des services couverts » et le « Tableau des services bêta couverts ».

1.4 Les « Données sensibles prohibées » désignent i) les informations qui appartiennent à une catégorie sensible d'informations en vertu des lois applicables en matière de respect de la vie privée et de protection des données, et qui ne sont pas expressément autorisées en vertu des Données sensibles autorisées, et ii) toute utilisation des Données sensibles autorisées en dehors du cadre des Services couverts ou autrement traitées en dehors du cadre exprès et autorisé des présentes Conditions (par exemple, le stockage de données financières afin de traiter des paiements directement est interdit). 

2.  SERVICES COUVERTS

L'Utilisateur accepte d'utiliser uniquement les Services couverts pour les catégories de Données sensibles autorisées qui sont détaillées dans le « Tableau des services couverts ».

TABLEAU DES SERVICES COUVERTS
Fonctionnalités et données autorisées 

SERVICES COUVERTS

DONNÉES SENSIBLES AUTORISÉES 

 

 

 

 

Les Services d'abonnement Entreprise de HubSpot prennent en charge des Données sensibles autorisées dans les fonctionnalités suivantes :

  • Propriétés d'objets du CRM, y compris la mise à jour manuelle, l'import, l'export, l'API des propriétés et l'API d'import
  • Activités du CRM (notes, e-mails, appels*, tâches, réunions)
  • API des objets du CRM
  • Création de liste
  • Workflows
  • Recherche
  • Reporting
  • Intégrations
  • Formulaires
  • API authentifiée des soumissions de formulaires
  • Pièces jointes du CRM ajoutées manuellement à des fiches d'informations via des notes, des journaux d'appels*, des réunions, des tâches, des e-mails, des formulaires et des propriétés de fichiers sensibles

 

 


* (les journaux d'appels sont autorisés, mais les enregistrements et les transcriptions d'appels comprenant des Données sensibles sont prohibés)
  • Statut de citoyenneté et d'immigration
  • Informations d'identification limitées émises par une autorité gouvernementale (par exemple, numéro de passeport, de permis de conduire ou de pièce d'identité nationale)
Cela n'inclut PAS les numéros émis par une autorité gouvernementale qui servent à accorder l'accès à des informations hautement sensibles, comme des numéros de sécurité sociale ou des identifiants fiscaux.
  • Les quatre derniers chiffres d'un numéro de compte bancaire ou d'une institution financière.

Les numéros de compte entiers ne sont PAS inclus dans les Données sensibles autorisées.
  • Les quatre derniers chiffres du numéro d'une carte de crédit ou de débit

Les numéros de carte entiers et les codes de sécurité (CVC) ne sont PAS inclus dans les Données sensibles autorisées.
  • Historique de paiement (par exemple, paiements dus, paiements en retard, solde restant)
  • Données relatives aux revenus et aux salaires (par exemple, historique des revenus, salaire individuel, fourchette de salaire/données sur le salaire moyen)
  • Sexe
  • Évaluations professionnelles
  • Historique d'emploi
  • Statut de vétéran
  • Données démographiques (par exemple, ethnicité, sexe, âge, religion et orientation sexuelle)
  • Informations sur des enfants qui sont protégées par les lois de protection des données relatives aux enfants applicables (par exemple, âge, niveau scolaire, assiduité à l'école, récompenses, discipline, etc.)

Afin d'écarter tout doute, les Services d'abonnement et les Services couverts qui prennent en charge des Données sensibles ne doivent pas être utilisés par (i) des personnes de moins de 18 ans, (ii) des entités qui gèrent des services en ligne ciblant spécifiquement les enfants, ou (iii) des entités qui font de la publicité ciblée à l'intention des enfants protégés par les lois applicables en matière de protection des données relatives aux enfants.
  • Données de santé, par exemple, des informations sur la condition physique, des informations sur le bien-être et des informations de santé sensibles relatives à des personnes protégées par le RGPD. 
  • Informations de santé protégées soumises au Health Insurance Portability and Accountability Act (HIPAA). Cela inclut les informations de santé aux États-Unis, comme des informations sur les patients, des informations sur les fournisseurs et l'historique médical.

 

3.  SERVICES BÊTA COUVERTS

L'Utilisateur accepte d'utiliser uniquement les Services bêta couverts pour les catégories de Données sensibles autorisées qui sont détaillées dans le « Tableau des services bêta couverts ».  Certains Services bêta couverts peuvent être disponibles pour un nombre limité de clients sélectionnés tels que déterminés par HubSpot. Ils seront désignés comme tels dans le tableau des Services bêta couverts (« les Services bêta couverts »). Pour rappel, les Conditions d'utilisation du Programme bêta de HubSpot s'appliquent à l'ensemble des Services bêta : https://legal.hubspot.com/fr/hubspot-beta-terms

TABLEAU DES SERVICES BÊTA COUVERTS
Fonctionnalités et données autorisées dans les Services bêta

BÊTA

SERVICES COUVERTS

DONNÉES SENSIBLES AUTORISÉES DANS LES SERVICES BÊTA

Les clients disposant d'un Service d'abonnement HubSpot de niveau Entreprise qui participent à la Version bêta des Données hautement sensibles peuvent utiliser les Données sensibles autorisées dans les Services bêta avec les fonctionnalités suivantes :

  • Propriétés d'objets du CRM, y compris la mise à jour manuelle, l'import, l'export, l'API des propriétés et l'API d'import
  • Intégrations
  • API des objets du CRM
  • Formulaires
  • API authentifiée des soumissions de formulaires
  • Pièces jointes du CRM ajoutées manuellement à des fiches d'informations via des notes, des journaux d'appels*, des réunions, des tâches, des e-mails, des formulaires et des propriétés de fichiers sensibles

 

* (les journaux d'appels sont autorisés, mais les enregistrements et les transcriptions d'appels comprenant des Données sensibles sont prohibés)

 



 

 

  • Coordonnées bancaires complètes
  • Numéros de comptes bancaires internationaux (IBAN)
  • Informations fiscales
  • Relevés de comptes bancaires
  • Numéros de sécurité sociale complets 

L'utilisation du Service d'abonnement pour le traitement direct des paiements est strictement prohibée.

VERSION BÊTA PRIVÉE

SERVICES COUVERTS

 DONNÉES SENSIBLES AUTORISÉES DANS LES SERVICES BÊTA PRIVÉS

[Aucun service n'est actuellement disponible en version bêta privée]

4.  CONDITIONS D'UTILISATION

4.1 Utilisation autorisée et prohibée. Les Données sensibles autorisées ne peuvent être utilisées que dans le cadre du Service d'abonnement conformément à ces dispositions, et dans les Fonctionnalités autorisés identifiées dans les Services couverts. Les Données sensibles prohibées ne sont pas autorisées dans les fonctionnalités des Services d'abonnement, y compris dans les Services couverts. Dépasser le cadre autorisé des Conditions d'utilisation des données sensibles peut entraîner la suspension ou la résiliation, conformément aux disposition des Conditions générales d'utilisation du service HubSpot.

4.2 Produits tiers. Si l'Utilisateur décide d'intégrer ou autrement d'utiliser des produits tiers en lien avec les Services d'abonnement, il reconnaît que les Données client hébergées ou traitées par ces produits tiers sont hébergées conformément aux politiques de ces tiers. 

4.3 Obligations de l'Utilisateur. Il incombe à l'Utilisateur d'évaluer et de déterminer si son utilisation des Services d'abonnement répond à ses obligations en matière de conformité. Les obligations de l'Utilisateur incluent également, à ses propres frais, la fourniture de ses propres équipes et ressources (ou de celles de son prestataire de services tiers désigné) pour prendre en charge, au minimum : (i) la gestion et la supervision des Données sensibles dans son compte HubSpot ; (ii) les réponses aux demandes d'accès des personnes concernées aux Données sensibles stockées dans son compte HubSpot ; et (iii) les demandes de renseignements, les obligations ou les autres ordres légitimes émanant d'agents chargés de l'application de la loi en vertu de la loi ou de la réglementation en vigueur.

4.3.1 Identification des Données sensibles autorisées. La fonctionnalité des Services couverts s'appuie sur l'utilisation des propriétés des Données sensibles, et l'Utilisateur accepte : (i) d'identifier de manière adéquate les Données sensibles, et (ii) de traiter uniquement des Données sensibles autorisées dans le cadre des Services couverts et des Services bêta couverts.

4.4 Obligations de HubSpot. HubSpot accepte de continuer à fournir les contrôles de sécurité physiques, administratifs et techniques qui sont reflétés dans les dispositions existantes de l'Accord. Plus d'informations sur les contrôles de sécurité de HubSpot sont disponibles dans le centre de gestion de la confidentialité de HubSpot, à l'adresse https://trust.hubspot.com

4.5 Violations de Données sensibles. HubSpot maintient les procédures et les politiques de gestion des incidents de sécurité détaillées dans la section « Mesures de sécurité » de son Accord sur le traitement des données.  

4.6 Sécurité et avis relatifs à l'Accord de partenariat commercial. HubSpot maintient aussi les procédures et les politiques de gestion des incidents de sécurité détaillées dans la section « Obligations du partenaire commercial » de son Accord de partenariat commercial, et, conformément à ces dispositions, informera l'Utilisateur si l'Accord de partenariat commercial s'applique à lui. 

5. EXCLUSION DE GARANTIES

HUBSPOT NE GARANTIT PAS QUE LES SERVICES COUVERTS RÉPONDRONT AUX EXIGENCES DE L'UTILISATEUR ET/OU QUE LES SERVICES SERONT ININTERROMPUS, OPPORTUNS OU SANS ERREUR. 

6. DIVERS

6.1 Modification des Conditions d'utilisation des données sensibles. HubSpot peut modifier les présentes Conditions d'utilisation des données sensibles pour élargir les Services couverts, les Services bêta couverts ou les Données sensibles autorisées en vertu des présentes sans en informer l'Utilisateur ; les autres mises à jour des présentes seront apportées conformément à l'Accord. L'Utilisateur comprend et accepte que s'il utilise les fonctionnalités soumises aux Conditions d'utilisation des données sensibles après la date de la mise à jour, HubSpot considérera son utilisation continue comme acceptation des Conditions d'utilisation des données sensibles mises à jour.

6.2 Conflit. Toutes les autres dispositions de l'Accord demeurent inchangées. En cas de conflit ou de différence avec les dispositions de l'Accord, et dans la mesure applicable, les présentes Conditions d'utilisation des données sensibles prévaudront sur les autres dispositions de l'Accord. Pour les clients qui stockent des informations de santé protégées soumises à l'HIPAA, l'Accord de partenariat commercial prévaudra sur les dispositions de l'Accord, y compris l'ensemble des autres dispositions des présentes Conditions d'utilisation des données sensibles, dans le cas où il y aurait un tel conflit ou une telle différence. 

6.3 Survie. Les présentes Conditions d'utilisation des données sensibles, et l'Accord de partenariat commercial s'il est applicable, survivront à l'expiration ou à la résiliation de l'Accord.

ANNEXE I - ACCORD DE PARTENARIAT COMMERCIAL DE HUBSPOT 

[Pour obtenir une version .pdf de ce document, veuillez cliquer ici.]

Le présent Accord de partenariat commercial de HubSpot fait partie de l'accord entre HubSpot, Inc. (« Partenaire commercial » ou « HubSpot ») et le Client pour l'utilisation des Services HubSpot applicables auxquels le Client s'est abonné et qui font l'objet d'un Bon de commande, d'un Cahier des charges ou de tout autre contrat passé avec HubSpot (l'« Accord »). Le Partenaire commercial et le Client peuvent être désignés, dans les présentes, chacun comme une « Partie » et ensemble comme les « Parties ».

ÉTANT ATTENDU QUE :

(A) Le Client est une « entité couverte » ou un « associé commercial », conformément aux définitions de l'HIPAA ; à ce titre, il est tenu de se conformer aux exigences de l'HIPAA en matière de confidentialité des Informations de santé protégées.

(B) En ce qui concerne la fourniture des Services HubSpot au Client, les parties prévoient que HubSpot puisse recevoir des Informations de santés protégées pour ou au nom du Client.

(C) En fournissant des services conformément à l'Accord et en créant et/ou en recevant des Informations de santé protégées pour ou au nom du Client, le Partenaire commercial devient un associé commercial ou un sous-traitant du Client, tel que ces termes sont définis par l'HIPAA, et est donc soumis à des obligations concernant la confidentialité des Informations de santé protégées que le Partenaire commercial crée pour le Client, ou reçoit de celui-ci ou en son nom.

(D) Le présent Accord de partenariat commercial de HubSpot s'applique uniquement dans la mesure où le Client est une « entité couverte » ou un « associé commercial », tels que ces termes sont définis par l'HIPAA, et où il partage des Informations de santé protégées avec HubSpot.

1. Définitions.

Aux fins du présent Accord de partenariat commercial de HubSpot, les termes en majuscules ont le sens qui leur est donné ci-dessous. Les termes en majuscules qui sont utilisés, mais pas autrement définis aux présentes, ont le sens qui leur est donné dans l'HIPAA.

a. L'« HIPAA » désigne, collectivement, la disposition relative à la simplification administrative de la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act) adoptée par le Congrès des États-Unis, ainsi que ses règlements d'application (dénommés ci-après « Règles de l'HIPAA »), notamment les règles relatives à la protection de la vie privée, à la notification des violations, à la sécurité et à l'application de la loi, telles que modifiées de temps à autre, notamment par la loi HITECH (Health Information Technology for Economic and Clinical Health) et par les modifications apportées aux règles de confidentialité, de sécurité, d'application et de notification des violations de l'HIPAA en vertu de la loi HITECH (Health Information Technology for Economic and Clinical Health Act) et de la loi sur la non-discrimination en matière d'informations génétiques (Genetic Information Nondiscrimination Act) : Other modifications to the HIPAA Rules; Final Rule (communément appelée Omnibus Final Rule).

b. Les « Services HubSpot » désignent les services de HubSpot auxquels le Client s'est abonné, qui font l'objet d'un Bon de commande, d'un Cahier des charges ou de tout autre contrat écrit, et dont HubSpot a explicitement autorisé l'utilisation par le Client pour traiter des Informations de santé protégées. 

c. Les « Informations de santé protégées » ont le même sens qui est donné aux « Informations de santé protégées » et aux « Informations de santé numériques protégées » dans l'article 160.103 du Titre 45 du CFR (Code des réglementations fédérales) ; étant entendu que, pour les besoins du présent Accord de partenariat commercial, ce terme est limité aux Informations de santé protégées qui sont reçues et conservées par HubSpot de la part ou au nom du Client par l'intermédiaire des Services HubSpot.

d. Le terme « Secrétaire » désigne le Secrétaire du ministère américain de la Santé et des Services sociaux.

e. Les « Informations de santé protégées non sécurisées » sont les Informations de santé protégées qui ne sont pas rendues inutilisables, illisibles ou indéchiffrables pour les personnes non autorisées par le biais d'une technologie ou d'une méthodologie spécifiée par le Secrétaire (par exemple, le chiffrement). Cette définition s'applique aux copies matérielles et électroniques des Informations de santé protégées.

f. Les « Incidents de sécurité infructueux » désignent, sans s'y limiter, les pings et autres attaques par diffusion sur le pare-feu de HubSpot, les analyses de port, les tentatives de connexion infructueuses et les attaques par déni de service, dans la mesure où aucun de ces incidents n'entraîne un accès, une acquisition, une utilisation ou une divulgation non autorisés d'Informations de santé protégées.

2. Obligations du Partenaire commercial. 

a. Utilisation et divulgation d'Informations de santé protégées.

i. Le Partenaire commercial garantit que lui-même, ses agents et ses sous-traitants : (i) n'utiliseront ou ne divulgueront d'Informations de santé protégées que dans le cadre de l'exercice de leurs droits, devoirs et obligations en vertu du présent Accord de partenariat commercial et de l'Accord ; (ii) n'utiliseront ou ne divulgueront d'Informations de santé protégées que dans la mesure autorisée ou requise par le présent Accord de partenariat commercial et l'Accord ou par la loi ; (iii) n'utiliseront ou ne divulgueront pas d'Informations de santé protégées d'une manière qui enfreint les lois fédérales et nationales applicables ou qui enfreindrait ces lois si elles étaient utilisées ou divulguées de cette manière par le Client ; et (iv) n'utiliseront et ne divulgueront que les Informations de santé protégées minimales nécessaires à des fins spécifiques. Le Client accepte que le Partenaire commercial puisse s'appuyer sur les instructions du Client pour déterminer si l'utilisation et la divulgation remplissent cette exigence minimum nécessaire. 

ii. Sous réserve des restrictions énoncées dans le présent Accord de partenariat commercial, le Partenaire commercial peut utiliser les informations qu'il reçoit du Client si cela est nécessaire pour (i) la bonne gestion et administration du Partenaire commercial ; ou (ii) pour exercer le droit et les responsabilités juridiques du Partenaire commercial.

iii. Sous réserve des restrictions énoncées dans le présent Accord de partenariat commercial, le Partenaire commercial pourra divulguer des Informations de santé protégées pour sa bonne gestion et administration, dans la mesure où (1) ces divulgations sont requises par la loi ; ou (2) le Partenaire commercial obtient des garanties raisonnables de la part de la personne ou de l'entité à laquelle les informations sont divulguées qu'elles resteront confidentielles et qu'elles ne seront utilisées ou divulguées que conformément à la loi ou aux fins autorisées par l'Accord avec la personne ou l'entité, et que la personne ou l'entité notifiera le Partenaire commercial des éventuelles violations de la confidentialité des Informations dont elle aurait connaissance. Le Partenaire commercial se conformera, le cas échéant, à la Sous-section C du Titre 45 du CFR, partie 164, relative aux Informations de santé électroniques protégées, pour empêcher l'utilisation ou la divulgation de ces Informations de santé électroniques protégées d'une manière autre que celle que prévue par le présent Accord de partenariat commercial ou l'Accord.

iv. Le Partenaire commercial est autorisé, à des fins d'agrégation de données dans la mesure autorisée par l'HIPAA, à utiliser, divulguer et combiner les Informations de santé protégées créées ou reçues au nom du Client par le Partenaire commercial conformément au présent Accord de partenariat commercial concernant les Informations de santé protégées, tels que définies par le paragraphe 160.103 du Titre 45 du CFR, reçues par le Partenaire commercial en sa qualité d'associé commercial d'autres entités couvertes, afin de permettre des analyses de données liées aux opérations de soins de santé des entités couvertes respectives et/ou du Client.

v. Le Partenaire commercial peut anonymiser, dans le respect des normes de l'HIPAA, toutes les Informations de santé protégées qu'il crée ou reçoit dans le cadre du présent Accord de partenariat commercial. Une fois les Informations de santés protégées anonymisées conformément aux termes du paragraphe 164.514(b) du Titre 45 du CFR, lesdites informations ne sont plus des Informations de santé protégées et ne sont plus soumises aux dispositions du présent Accord de partenariat commercial.

b. Protections. Le Partenaire commercial mettra en œuvre des protections administratives, techniques et physiques appropriées pour protéger la confidentialité des Informations de santé protégées et pour empêcher leur utilisation ou leur divulgation d'une manière incompatible avec le présent Accord de partenariat commercial de HubSpot ou l'Accord. Le Partenaire commercial se conformera, le cas échéant, à la Sous-section C du Titre 45 du CFR, partie 164, relative aux Informations de santé électroniques protégées, pour empêcher l'utilisation ou la divulgation de ces Informations de santé électroniques protégées d'une manière autre que celle que prévue par le présent Accord de partenariat commercial ou l'Accord.

c. Audits et registres. Conformément aux dispositions de l'HIPAA, le Partenaire commercial mettra à la disposition du Secrétaire ses pratiques, livres et registres internes relatifs à l'utilisation et à la divulgation des Informations de santé protégées reçues de la part du Client, ou créées ou reçues par le Partenaire commercial au nom du Client, afin de déterminer si le Client respecte ses obligations découlant de l'HIPAA.

d. Droits d'accès des personnes concernées à leurs Informations de santé protégées.

i. Si le Partenaire commercial conserve des Informations de santé protégées dans un Ensemble de registres dédiés, et afin de permettre au Client de répondre aux demandes d'accès à des Informations de santé protégées effectués par des Personnes concernées, conformément à la Section 164.524 du Titre 45 du CFR, le Partenaire commercial devra, dans les dix (10) jours ouvrables suivant la réception d'une demande écrite du Client, mettre lesdites Informations de santé protégées à la disposition du Client.

1. Si une Personne concernée demande l'accès à ses Informations de santé protégées directement au Partenaire commercial, le Partenaire commercial transférera sa demande au Client sous cinq (5) jours ouvrables.

2. Il incombera au Client de prendre toutes les décisions concernant la validation ou le refus d'une demande d'accès à des Informations de santé protégées par une Personne concernée, et le Partenaire commercial ne prendra aucune décision de ce type. Sauf si la loi l'exige, seul le Client sera responsable de la communication des Informations de santé protégée à une Personne concernée conformément à une telle demande. Tout refus d'accès à des Informations de santé protégées décidée par le Client en vertu de la Section 164.524 du Titre 45 du CFR, et communiquée au Partenaire commercial par le Client, relèvera de la responsabilité du Client, y compris la résolution ou le signalement de tous les appels et/ou plaintes résultant de ces refus.

ii. Si le Partenaire commercial conserve des Informations de santé protégées dans un Ensemble de registres dédiés, et afin de permettre au Client de répondre aux demandes de modification des Informations de santé protégées effectuées par les Personnes concernées, le Partenaire commercial devra, dans les dix (10) jours ouvrables suivant la réception d'une demande écrite du Client, mettre lesdites Informations de santé protégées à la disposition du Client :

1. Si une Personne concernée demande la modification de ses Informations de santé protégées directement au Partenaire commercial, le Partenaire commercial transférera sa demande au Client sous cinq (5) jours ouvrables.

2. Il incombera au Client de prendre toutes les décisions concernant la validation ou le refus d'une demande de modification d'Informations de santé protégées par une Personne concernée, et le Partenaire commercial ne prendra aucune décision de ce type. Tout refus de modification d'Informations de santé protégées décidée par le Client en vertu de la Section 164.526 du Titre 45 du CFR, et communiquée au Partenaire commercial par le Client, relèvera de la responsabilité du Client, y compris la résolution ou le signalement de tous les appels et/ou plaintes résultant de ces refus.

3. Dans les dix (10) jours ouvrables suivant la réception d'une demande du Client visant à modifier les Informations de santé protégées d'une Personne concernée dans l'Ensemble de registres dédiés, le Partenaire commercial incorporera, ou mettra les Informations de santé protégées à la disposition du client afin que celui-ci incorpore, toutes les modifications approuvées, les déclarations de désaccord et/ou les refus dans son Ensemble de registre dédié, conformément à la Section 164.526 du Titre 45 du CFR.

iii. Afin de permettre au Client de répondre aux demandes d'historique de divulgation par des Personnes concernées, conformément à la Section 164.528 du Titre 45 du CFR, le Partenaire commercial devra, dans les dix (10) jours ouvrables suivant la demande écrite du Client, mettre à la disposition du Client lesdites Informations de santé protégées d'une Personne concernée afin qu'il puisse établir l'historique de divulgation. Le Partenaire commercial fournira les informations suivantes au Client : (i) la date de la divulgation ; (ii) le nom de l'entité ou de la personne qui a reçu les Informations de santé protégées, et, si cette information est connue, l'adresse de cette entité ou de cette personne ; (iii) une courte description des Informations de santé protégées divulguées ; et (iv) une courte déclaration évoquant le motif de cette divulgation.

1. Si une Personne concernée demande l'historique de divulgation de ses Informations de santé protégées directement au Partenaire commercial, le Partenaire commercial transférera sa demande au Client sous cinq (5) jours ouvrables.

2. Il incombera au Client de préparer cet historique de divulgation et de le fournir à la Personne concernée.

3. Le Partenaire commercial mettra en place un processus de conservation des données approprié pour lui permettre de se conformer aux exigences du présent Accord de partenariat commercial de HubSpot.

e. Divulgation à des tiers Le Partenaire commercial obtiendra et maintiendra un accord écrit avec chaque sous-traitant ou agent qui a ou aura accès aux Informations de santé protégées, qui sont reçues de, ou créées ou reçues par le Partenaire commercial pour ou au nom du Client, en vertu de l'Accord par lequel ledit sous-traitant ou agent accepte d'être lié par les mêmes normes de restrictions, dispositions et conditions qui s'appliquent au Partenaire commercial en vertu des présentes en ce qui concerne ces Informations de santé protégées.

f. Obligations de signalement.

i. Le Partenaire commercial informera le Client de tout Incident au plus tard dix (10) jours ouvrables après sa découverte par le Partenaire commercial. L'avis d'Incident inclura, dans la mesure où ces informations sont disponibles : (1) l'identité des personnes dont les Informations de santé protégées ont fait l'objet, ou dont on peut raisonnablement estimer qu'elles ont fait l'objet, d'un accès, d'une acquisition ou d'une divulgation durant l'Indicent de sécurité ; (2) la date de cet Incident, si elle est connue, et la date de découverte de l'Incident ; (3) la portée de l'Incident ; et (4) la réponse apportée par le Partenaire commercial à cet Incident.

ii. Si des Informations de santé protégées font l'objet d'une utilisation ou d'une divulgation non conforme aux dispositions du présent Accord de partenariat commercial, mais que cela ne constitue pas un Incident de sécurité, le Partenaire commercial signalera ladite utilisation ou divulgation au Client dans les dix (10) jours ouvrables suivant la date à laquelle le Partenaire commercial prend connaissance de ladite utilisation ou divulgation.

iii. Les Parties reconnaissent que des Incidents de sécurité infructueux peuvent se produire dans le cours normal des activités, et elles stipulent et conviennent que le présent paragraphe constitue un avis du Partenaire commercial au Client pour ces Incidents de sécurité infructueux.

3. Obligations du Client.

a. Demandes autorisées. 

i. Le Client ne demandera pas au Partenaire commercial d'utiliser ou de divulguer des Informations de santé protégées d'une manière qui violerait les lois fédérales et nationales applicables si ladite utilisation ou divulgation était effectuée par le Client.

ii. Le Client respectera toutes les lois et réglementations applicables aux Informations de santé protégées qu'il envoie, ou qu'il demande d'envoyer, au Partenaire commercial.

b. Avis.

i. Le Client informera le Partenaire commercial de toute limitation dans tout avis applicable de pratiques de confidentialité conformément à la Section 164.520 du Titre 45 du CFR, dans la mesure où cette limitation peut affecter l'utilisation ou la divulgation d'Informations de santé protégées par le Partenaire commercial.

ii. Le Client informera le Partenaire commercial de toute modification ou révocation du consentement donné par des Personnes concernées pour utiliser ou divulguer leurs Informations de santé protégées, dans la mesure où ces changements peuvent affecter l'utilisation ou la divulgation d'Informations de santé protégées par le Partenaire commercial.

iii. Le Client informera le Partenaire commercial de toute restriction apportée à l'utilisation ou à la divulgation d'Informations de santé protégées acceptée par le Client conformément à la Section 164.522 du Titre 45 du CFR, dans la mesure où cette restriction peut affecter l'utilisation ou la divulgation d'Informations de santé protégées par le Partenaire commercial.

4. Durée et résiliation.

a. Violation substantielle. Si une Partie prend connaissance d'une violation substantielle de la part de l'autre Partie, la Partie non fautive donnera à la Partie fautive la possibilité de remédier à la situation. Si ladite violation n'est pas résolue à la satisfaction raisonnable de la Partie non fautive dans les vingt (20) jours ouvrables suivant la réception par la Partie fautive d'une notification de ladite violation par la Partie non fautive, la Partie non fautive résiliera, si possible, le présent Accord de partenariat commercial et la ou les parties de l'Accord affectées par la violation. Si une Partie prend connaissance d'une violation substantielle par l'autre Partie, et qu'aucune résolution n'est possible, la Partie non fautive résiliera, si possible, le présent Accord de partenariat commercial et la ou les parties de l'Accord affectées par la violation.

b. Restitution ou destruction des Informations de santé protégées. Si le présent Accord de partenariat commercial est résilié, et quelle qu'en soit la raison, le Partenaire commercial devra :

i. Si cela est déterminé comme étant possible par le Partenaire commercial, restituer ou détruire toutes les Informations de santé protégées reçues de, ou créées ou reçues par le Partenaire commercial pour ou au nom du Client que le Partenaire commercial ou ses sous-traitants et agents conservent sous quelque forme que ce soit, et le Partenaire commercial ne conservera aucune copie desdites informations ; ou

ii. Si le Partenaire commercial détermine que la restitution ou la destruction sont impossibles, étendre les protections du présent Accord de partenariat commercial auxdites Informations, et limiter toute nouvelle utilisation et divulgation à des fins qui rendent impossible la restitution ou la destruction des Informations de santé protégées, auquel cas les obligations du Partenaire commercial en vertu de la présente section 4(b) survivront à la résiliation du présent Accord de partenariat commercial.

5. Généralités

a. Modification. Si l'une des réglementations promulguées en vertu de l'HIPAA est modifiée ou interprétée d'une manière qui rend le présent Accord de partenariat commercial incompatible avec l'HIPAA, les Parties coopéreront de bonne foi pour modifier le présent Accord de partenariat commercial dans la mesure nécessaire pour se conformer à ces modifications ou interprétations.

b. Interprétation Toute ambiguïté dans le présent Accord de partenariat commercial sera résolue de façon à permettre aux Parties de se conformer aux dispositions de l'HIPAA.

c. Indemnisation et limites de responsabilité. Les Parties acceptent et reconnaissent que les dispositions du présent Accord de partenariat commercial relatives aux obligations d'indemnisation et aux limites de responsabilité s'appliqueront et régiront la performance de chaque Partie en vertu du présent Accord de partenariat commercial.

d. Conflit ; Ordre de préséance. En cas de conflit entre les dispositions du présent Accord de partenariat commercial et celles de l'Accord, les dispositions du présent Accord de partenariat commercial prévaudront sur les dispositions contradictoires de l'Accord. Toutes les autres dispositions non contradictoires de l'Accord resteront valables et applicables.