Les présentes Conditions Générales d'Utilisation (ci-après, les « CGU ») ont pour objet de définir les modalités d'utilisation du service intitulé « Dispose » (ci-après, le « Service ») accessible sur le site https://dispose.aphp.fr, et permettant le partage et le stockage de documents.

L’attention de l'Utilisateur est attirée sur les précautions d’usage de l’outil en présence de fichiers contenant des Données personnelles, dont le partage et le stockage obéissent à des conditions strictes (cf. article « Conditions particulières pour le stockage et le partage des Données personnelles » ci-dessous).

Il est rappelé que l’utilisation d’outils tels que OneDrive, WeTransfer, Google Drive ou autres outils similaires non sécurisés est totalement prohibée.

2. Définitions

« Données personnelles » : désigne toute donnée se rapportant à une personne physique directement identifiable (nom, prénom, image) ou indirectement identifiable (coordonnées téléphoniques, adresse postale NIR, APH, etc..), en ce inclus les Données de santé.

« Données personnelles de santé » ou « Données de santé » : désigne les données personnelles relatives à la santé physique ou mentale d'une personne qui révèlent des informations sur l'état de santé de cette personne (ex. antécédents, handicap, risque de maladie, traitement clinique, etc.). Les Données de santé sont des Données personnelles.

3. Acceptation

L’utilisation du Service est subordonnée à l'acceptation sans réserve et au respect par l'Utilisateur (i) des présentes CGU ainsi que (ii) de l’annexe n°16 du règlement intérieur de l’AP-HP (accessible depuis le site intranet de l’AP-HP).

L’AP-HP peut modifier les présentes CGU à tout moment. Une notification sera adressée à l’utilisateur en cas de modification substantielle. En tout état de cause les CGU en vigueur sont consultables à tout moment et peuvent être téléchargées et/ou imprimées.

4. Contenu du service

4.1. Description

Dispose est un service de stockage et partage temporaire de fichiers en ligne, sécurisé et confidentiel, accessible par le réseau internet.

A partir de son espace personnel qu’il gère de manière autonome, chaque Utilisateur a la possibilité de stocker de manière temporaire et/ou de partager des fichiers avec des personnes identifiées en générant un lien permettant de les télécharger.

La taille de ces fichiers est limitée à 2 Go par fichier. Le nombre de fichiers que chaque Utilisateur peut partager est illimité.

Le Service est sécurisé. La navigation est assurée exclusivement via le protocole sécurisé https. Les mots de passe sont chiffrés avant leur stockage. Les fichiers sont stockés chiffrés avec l’algorithme AES 256.

4.2. Accès au Service

Pour utiliser le Service, l’Utilisateur doit disposer d’un compte valide dans l’annuaire ACTIVE DIRECTORY de l’AP-HP. Pour tout renseignement, il peut s’adresser au service informatique local de l’AP-HP dont il relève.

Pour accéder au Service, l’Utilisateur émet une demande d’accès au Centre de Support Unifié de l’AP-HP. L'Utilisateur atteste que les informations qu'il fournit sont exactes, complètes et à jour et s'engage à faire le nécessaire pour qu'elles le restent.

Dans le cas où les informations fournies sont fausses, incomplètes ou obsolètes, l’AP-HP se réserve le droit de suspendre ou de fermer le compte de l'Utilisateur définitivement ou provisoirement.

Pour accéder au Service, l'Utilisateur devra utiliser ses identifiants et mot de passe d’accès à l’annuaire ACTIVE DIRECTORY. L'identifiant et le mot de passe sont à caractère confidentiel et personnel. L'Utilisateur s'engage ainsi à ne pas les divulguer à un tiers sous quelque forme que ce soit ou à quelque titre que ce soit et à nous informer de toute utilisation par un tiers non autorisé ainsi que de toute atteinte à la sécurité qui pourrait en résulter. L'Utilisateur est le seul responsable de la conservation confidentielle de ces informations et de toute utilisation qui pourrait en être faite.

L'Utilisateur peut à tout moment demander à l’administrateur du Service la suppression de son compte en s’adressant au Centre de Support Unifié. La fermeture du compte n’entraîne pas la suppression définitive de tous les fichiers qui lui sont rattachés : il appartient à l’Utilisateur de s’assurer de la suppression de tous les fichiers (en s’assurant du respect de la continuité d’activité) avant de demander la fermeture de son compte ou avant son départ de l’AP-HP.

4.3. Partage de fichiers via un lien

L’utilisateur qui souhaite créer un lien pour partager avec une personne extérieure à l’AP-HP des fichiers quelle que soit leur nature (contenant des Données personnelles ou pas), doit impérativement exiger la saisie d’un mot de passe par les destinataires du lien avant que ces derniers puissent récupérer les fichiers partagés via l’outil.

Par défaut les liens de partage permettent un téléchargement pour une durée de 30 jours. Il est expressément demandé aux Utilisateurs de systématiquement modifier le paramètre par défaut des 30 jours pour ne créer des liens d’une validité que de 7 jours maximum.

Il est préconisé à l’Utilisateur de préciser au(x) destinataire(s) que les documents seront disponibles durant une durée égale à 7 jours avant suppression définitive.

4.4. Conditions particulières pour le stockage et le partage des Données personnelles

Le traitement des Données personnelles présente un risque important pour les droits et libertés des patients concernés, et d’autant plus lorsqu’il s’agit de Données de santé.

Pour les besoins de leurs missions, les Utilisateurs souhaitant stocker temporairement ou partager des fichiers contenant des Données personnelles sont autorisées à utiliser le Service DISPOSE à condition de (conditions cumulatives) :

- En cas de stockage temporaire de fichiers contenant des données personnelles :

o Chiffrer au préalable les fichiers contenant des données personnelles à l’aide de 7ZIP (ou d’un outil similaire) avec un mot de passe solide

o Supprimer de l’outil les données une fois la finalité atteinte : le stockage ne peut être que temporaire, il est interdit de conserver indéfiniment et sans motif des données personnelles.

- En cas de partage avec un lien de fichiers contenant des données personnelles:

o Chiffrer au préalable les fichiers contenant des données personnelles à l’aide de 7ZIP (ou d’un outil similaire) avec un mot de passe solide qui devra être transmis aux destinataires via un canal de communication distinct

o Paramétrer la durée de validité du lien à 7 jours maximum (l’outil prévoit 30 jours par défaut)

o Partager le lien généré avec un mot de passe qui devra être transmis aux destinataires via un canal de communication distinct

o Supprimer de l’outil les données dès confirmation de la réception par le(s) destinataire(s) et en tout état de cause dans les 7 jours après l’envoi du lien. En effet, l’expiration ou la suppression d’un lien de partage n’entraine pas pour autant la suppression des fichiers partagés avec ledit lien : la suppression relève donc de la responsabilité exclusive de l’utilisateur, en charge de la bonne gestion des données présentes sur son espace personnel.

S’agissant spécifiquement du partage de Données de Santé par les personnels médicaux (PM), les textes imposent l’utilisation d’une messagerie sécurisée certifiée (la messagerie « MSSanté »), permettant de garantir la confidentialité et la sécurité des Données de santé ainsi échangées, dans le respect du secret médical. A l’inverse, l’utilisation d’une messagerie non sécurisée ne chiffrant pas les Données de santé porte atteinte au secret et engage la responsabilité individuelle de son auteur. Les PM doivent donc utiliser en priorité MSSanté.

5. Obligations et responsabilités de l'utilisateur

5.1. Obligations

L'Utilisateur s'engage, lors de l'utilisation du Service à ne pas enfreindre respecter le règlement intérieur de l’AP-HP et en particulier la charte informatique, la réglementation française et internationale en vigueur. A cet effet, il s'engage notamment à ne pas partager et à ne pas diffuser via le Service des fichiers (liste non limitative) :

- Ayant un caractère illicite ou procédant d'activités à caractère illicite. A ce titre, l'Utilisateur s'interdit plus particulièrement le partage de fichiers favorisant l'apologie des crimes contre l'humanité, l'incitation à la haine raciale, l’homophobie, le sexisme, la pornographie, l'incitation à la violence, ainsi que les atteintes à la dignité humaine,

- Ne respectant pas les droits de tiers tels que, notamment, le droit à l'image le droit à la vie privée, le droit de la propriété intellectuelle,

- Contraires à l'ordre public et aux bonnes mœurs,

- Ne respectant pas les dispositions du RGPD et de la loi Informatique et Libertés du 6 janvier 1978 et/ou les prescriptions de la CNIL.

Si l'Utilisateur venait à ne pas respecter cette règle, le fichier en question pourra être signalé aux autorités appropriées avec lesquelles nous coopérerons en leur communiquant les informations nécessaires sur l'Utilisateur, le fichier illicite et sur les personnes qui auraient pu accéder et télécharger le fichier.

5.2. Responsabilités

L'Utilisateur est responsable de l'utilisation de son identifiant et de son mot de passe. Toutes connexions au Service et transmissions de document en utilisant son identifiant et son mot de passe seront réputées avoir été effectuées par lui-même.

Chaque Utilisateur est responsable (i) des fichiers enregistrés et partagés avec son espace temporaire personnel et (ii) de la suppression en temps utiles de ces fichiers (pour rappel, la désactivation d’un lien de partage n’entraine pas la suppression des fichiers échangées).

L'Utilisateur est exclusivement et seul responsable des dommages et préjudices de toute nature, matériels ou immatériels, directs et indirects causés à des tiers et à l’AP-HP du fait de l'utilisation non conforme du Service (par exemple, dommage causé par l’absence de suppression en temps utile des Données partagées).

Par ailleurs, l'Utilisateur s'engage à informer l’AP-HP de tout contenu présumé contraire aux présentes conditions et/ou manifestement illicite.

L'Utilisateur s'engage à répondre à toute demande d'information l’AP-HP par l'intermédiaire de l'adresse e-mail qu'il aura indiqué lors de la création de son compte ou celle mis à disposition par l’AP-HP.

L’Utilisateur s’engage à garantir l’AP-HP contre toute action qui serait engagée à son encontre, ou toute plainte qui serait déposée contre elle du fait de l'utilisation du Service dans des conditions qui ne seraient pas conformes aux présentes. Cette garantie couvre toute somme que l’AP-HP serait tenue de verser à quelque titre que ce soit, y compris les honoraires d'avocat et frais de justice reconnus ou prononcés.

6. Restriction d'accès et suspension de service

En cas de manquement de la part de l'Utilisateur aux présentes CGU, l’AP-HP se réserve le droit et ce, sans préavis et sans préjudice de toute action judiciaire ou disciplinaire qui pourrait être intentée par l’AP-HP et de tous dommages et intérêt qui pourraient être réclamés à l'Utilisateur :

- De lui bloquer à tout moment et avec effet immédiat l'accès au Service et à son compte,

- De supprimer son compte ainsi que les fichiers partagés/échangés sur les serveurs,

- De supprimer et de mettre hors ligne tout fichier qu’elle estimerait non-conforme, ou bien dont l'usage qui en est fait n'est pas estimé conforme aux présentes conditions et/ou aux lois françaises et internationales en vigueur.

7. Limitation de responsabilité de l’AP-HP

L’AP-HP ne saurait être tenue pour responsable des contenus communiqués par les Utilisateurs par l'intermédiaire du Service. L’AP-HP n’offre aucune garantie à l'utilisation du Service. Le Service ne peut être utilisé qu’à des fins professionnelles.

L'utilisation du Service n'est assortie d'aucune garantie quelle qu'elle soit. L’AP-HP ne garantit en aucune façon que le service de partage en ligne soit de nature à satisfaire les besoins et les attentes de l'Utilisateur et ne peut être tenue pour responsables de tout dommage direct ou indirect et notamment tout préjudice commercial, moral ou financier découlant de l'utilisation du du Service ou de l'impossibilité de l’utiliser.

La responsabilité de l’AP-HP ne saurait être engagée à quelque titre que ce soit, et sans que cette liste ne soit limitative, en cas de modification, suspension ou interruption du Site et/ou du Service.

En règle générale, il est possible d'avoir accès au Service 24 heures sur 24 et 7 jours sur 7 mais l’AP-HP ne garantit pas que l'accès au Service ne sera pas interrompu, qu’il n'aura pas de virus ou tout autre composant nuisible. L’AP-HP peut ainsi être amenée à interrompre de manière programmée ou pas le Site et/ou le Service pour des raisons de maintenance ou en cas de force majeure. L’AP-HP n’est pas tenue de notifier et de prévenir l'Utilisateur de cette interruption. Cette interruption ne peut en aucun cas engager la responsabilité de l’AP-HP et n'ouvre droit à aucune indemnité.

L’AP-HP a mis en place plusieurs procédures et outils afin de protéger les fichiers de l'Utilisateur, dont l'utilisation d'un protocole https et le chiffrement des fichiers et des mots de passe stockés. L’AP-HP ne peut être tenue pour responsable si malgré ces précautions de sécurité les fichiers de l'Utilisateur étaient interceptés, copiés, modifiés, endommagés ou détruits. C’est la raison pour laquelle l’Utilisateur doit supprimer les fichiers enregistrés sur son espace Utilisateur une fois la finalité atteinte.

L’AP-HP ne sera pas responsable envers un Utilisateur ou envers tout tiers pour tout dommage quelle que soit sa cause, sa nature ou ses conséquences, y compris toute perte financière, perte de programmes ou de données subies ou occasionnée par le système informatique de l'Utilisateur ou tout autre système.

8. Données personnelles des Utilisateurs du Service

Le présent article concerne les données personnelles propres aux Utilisateurs et non les données personnelles qu’ils peuvent être amenés à stocker ou partager dans le cadre du Service.

Le Service et le traitement des données personnelles des Utilisateurs est inscrit au registre général des traitements de l’AP-HP (responsable de traitement) conformément à la réglementation applicable (RGPD et Loi Informatique et Libertés du 6 janvier 1978). La base légale du traitement par l’AP-HP est l’intérêt légitime.

Les données liées à l’identité et aux coordonnées professionnelles des Utilisateurs (nom, prénom, APH, mail) sont collectées pour permettre l’utilisation du Service, pendant la durée de l’emploi de l’Utilisateur au sein de l’AP-HP. Les données de connexion au service sont également collectées à des fins de sécurité, de protection et de vérification du bon accès et usage des ressources informatiques, pendant une durée d’un an.

Les données personnelles des Utilisateurs sont destinées aux services supports de la DSI de l’AP-HP et autres tiers autorisés, le cas échéant. L’éditeur de l’outil (HITACHI VANTARA, situé aux USA) est également susceptible d’avoir accès aux mails professionnels des Utilisateurs dans le cadre de la gestion commerciale, mais n’a en revanche jamais accès (et ne peut pas y avoir accès) aux contenus partagés ou stockés par l’Utilisateur.

L'Utilisateur dispose d'un droit d'accès, de modification, et de suppression des données personnelles le concernant, qui peut être exercé à l'adresse suivante : contact.dispose@aphp.fr.

En cas de difficulté dans l’exercice de ses droits, l’Utilisateur peut saisir la Délégué à la Protection des Données de l’AP-HP à l’adresse suivante : protection.donnees.dsi@aphp.fr.

Enfin il est précisé que des cookies sont utilisés afin d'assurer au mieux la qualité du Service et d'établir des statistiques : un cookie est utilisé pour authentifier la session du navigateur et un autre pour lutter contre le vol de session. S'il le souhaite, l'Utilisateur peut refuser les cookies en modifiant les paramètres de son navigateur internet.

9. Droits de propriété intellectuelle

Toute copie totale ou partielle en dehors de l'utilisation normale du Site, est soumise à l'autorisation écrite l’Assistance Publique - Hôpitaux de Paris sous peine de poursuites. Chacun des éléments qui le compose, (notamment son architecture générale, son contenu, les images, les sons, les vidéos, les bases de données, les signes distinctifs, etc.) est protégé par des droits de propriété intellectuelle.

L'Utilisateur est autorisé à sauvegarder ou à imprimer les présentes CGU.

10. Loi applicable

Les présentes CGU sont soumises au droit français. Tous litiges auxquels les présentes CGU concernant tant leur validité, leur interprétation, leur exécution, leur résiliation, leurs conséquences et leurs suites devront faire l'objet d'une tentative de règlement amiable. A défaut de règlement amiable, les litiges seront soumis à la compétence des tribunaux de Paris.

11. Mentions légales

Conformément à la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique :

- Le Site et le Service sont la propriété de l’Assistance publique-hôpitaux de Paris (AP-HP), inscrite au répertoire SIREN sous le numéro 267 500 452, dont le siège social est situé 55, boulevard Diderot – CS 22305 75610 Paris cedex 12, Téléphone : 01 40 27 30 00.

- Le directeur de la publication est : M. Raphaël Beaufret, Directeur des Services Numériques de l’AP-HP (+33 1 40 27 30 00).

- L’hébergement est assuré par la Direction des Services Numériques de l’Assistance Publique Hôpitaux de Paris.

Il est possible de prendre contact par courriel à l’adresse suivante : contact.dispose@aphp.fr