Le présent accord relatif au traitement des données à caractère personnel (ci-après dénommé « DPA ») s'applique aux données à caractère personnel des patients qui, dans le cadre des activités faisant l'objet du contrat, sont fournies au Groupe Sweden & Martina, même de manière fortuite, sauf accord écrit contraire.
Conformément à l'article 28 du règlement UE 679/2016 (dit RGPD), pour traiter ces données à caractère personnel, le Groupe Sweden & Martina (au sens de la définition de « groupe d'entreprises » visée à l'article 4.19 du règlement UE 679/2016, en la personne de la société mère Sweden & Martina S.p.A., numéro de TVA 00401550280) doit être désigné comme responsable du traitement.

Par le présent accord, l'utilisateur, agissant au nom du responsable du traitement, désigne le groupe Sweden & Martina comme sous-traitant au sens de l'article 28 du RGPD, pour les traitements décrits dans le tableau ci-dessous, dont la durée est fonctionnellement liée, et l'autorise de manière générale à désigner d'autres sous-traitants.

Par souci de simplicité, le Responsable du traitement sera ci-après désigné par le terme « Client » et le groupe Sweden & Martina par le terme « Sous-traitant ».

Traitement	Gestion des services demandés entre : · aligneurs * · pièces fabriquées par CAO/FAO · implantologie guidée * · grilles occlusales · gestion des commandes First-Fit · iuxta-osseux
Durée	Durée de la relation contractuelle avec Sweden & Martina
Nature	Opérations nécessaires à la réalisation de cette finalité, notamment : consultation, traitement et utilisation
Objectifs	Conception et fabrication d'aligneurs dentaires* Conception et fabrication de produits à l'aide de la technologie CAO/FAO Conception et fabrication de facettes, de gabarits chirurgicaux et de modèles Conception et fabrication de grilles occlusales Production iuxta-osseuse
Type de données à caractère personnel	Données générales ; Données relatives à la santé

*Traitement effectué par Sweden & Martina S.p.A. uniquement pour le compte de clients exerçant la profession dentaire

Catégories de personnes concernées	Patients
Transferts de données à caractère personnel vers des pays hors UE/EEE	Le traitement des données à caractère personnel (par exemple, la mémorisation, l'archivage et la conservation des données sur ses propres serveurs ou dans le cloud) est limité au territoire des pays membres de l'Union européenne, avec une interdiction expresse de les transférer vers des pays tiers qui ne garantissent pas (ou en l'absence de) un niveau de protection adéquat, c'est-à-dire en l'absence des mesures de protection prévues par le règlement UE 2016/679 (pays tiers jugé adéquat par la Commission européenne, BCR de groupe, clauses contractuelles types, consentement des personnes concernées, etc.)
Mesures de sécurité techniques et organisationnelles	Les mesures de sécurité prévues à l'article 32 du RGPD sont mises en œuvre ; elles sont jugées adéquates compte tenu de l'état de la technique et des coûts de mise en œuvre, ainsi que de la nature, de l'objet, du contexte et des finalités du traitement, ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes concernées

 

Dans le cadre des activités de traitement décrites, Sweden & Martina S.p.A. s'engage à :

• traiter les données à caractère personnel uniquement sur instruction écrite du Client, y compris en cas de transfert de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union ou le droit national auquel le responsable du traitement est soumis l'exige ; dans ce cas, le Responsable informe sans délai le Client de cette obligation légale avant le traitement, à moins que le droit n'interdise cette information pour des raisons impérieuses d'intérêt public ;
• veiller à ce que les personnes autorisées à traiter des données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée ;
• assister le donneur d'ordre, dans la mesure du possible, en mettant en place des mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, afin de mettre en place et de maintenir à jour un système de sécurité adéquat ;
• mettre à la disposition du donneur d'ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent accord, après accord sur les aspects économiques, techniques et organisationnels ;
• assister les personnes concernées qui présentent des demandes relatives à l'exercice de leurs droits, en informant sans délai le donneur d'ordre de ces demandes. En particulier, si le sous-traitant traite des données faisant l'objet d'une demande de portabilité, il s'engage à assister le donneur d'ordre en mettant en œuvre des mesures techniques et organisationnelles appropriées afin de répondre à cette demande ;
• aider le Client à garantir le respect de l'obligation de notification d'une violation des données à caractère personnel à l'autorité de contrôle, conformément aux articles 33 et 34 du règlement (UE) n° 679/2016. En cas de violation des données à caractère personnel, le Responsable en informe le Client sans retard injustifié et, en tout état de cause, dans un délai de 36 heures à compter du moment où il a pris connaissance de la violation ;
• assister le Client dans les activités liées à l'analyse d'impact relative à la protection des données et à la consultation préalable (articles 35 et 36 du règlement UE 2016/679), en tenant compte de la nature du traitement et des informations dont dispose le Responsable ;
• faire signer au sous-traitant supplémentaire éventuellement désigné un accord respectant les mesures techniques et organisationnelles prévues par le présent accord ;
• limiter les domaines de circulation et de traitement des données à caractère personnel (par exemple, la stockage, l'archivage et la conservation des données sur ses propres serveurs ou dans le cloud) aux pays membres de l'Union européenne, avec l'interdiction expresse de les transférer vers des pays tiers qui ne garantissent pas (ou en l'absence de) un niveau de protection adéquat, c'est-à-dire en l'absence des mesures de protection prévues par le règlement UE 2016/679 (pays tiers jugé adéquat par la Commission européenne, BCR de groupe, clauses contractuelles types, consentement des personnes concernées, etc.) ;
• effacer ou restituer, au choix du responsable du traitement, toutes les données à caractère personnel relatives au traitement et effacer les copies existantes (sauf si le droit de l'Union ou des États membres prévoit la conservation des données), dès la conclusion ou la résiliation du présent accord.

 

Le donneur d'ordre est tenu de :

• ne pas communiquer de données à caractère personnel qui ne sont pas nécessaires à l'accomplissement des tâches confiées au responsable ;
• informer immédiatement et de manière exhaustive le responsable dès que vous constatez des erreurs et/ou des irrégularités dans le traitement des données effectué par ce dernier ;
• soutenir, dans la mesure du possible, la défense du responsable du traitement dans le cas où une personne concernée engagerait une action à son encontre en vue d'obtenir réparation du préjudice subi, conformément à l'article 82 du RGPD ;
• mettre à la disposition du responsable un interlocuteur auquel s'adresser pour toute question relative à la protection des données découlant du présent acte de désignation ou s'y rapportant de quelque manière que ce soit ;
• décharger le Responsable de toute responsabilité, même indirecte (y compris d'éventuels préjudices d'image), qui pourrait découler de l'adoption de mesures particulières imposées par le Client lui-même pour le traitement des données à caractère personnel ;
• fournir aux personnes concernées les informations relatives au traitement des données à caractère personnel, conformément aux articles 13 et 14 du RGPD, au moment de la collecte des données.

 

Toute modification du présent accord ne sera valable et contraignante que si elle résulte d'un acte écrit ou d'une communication écrite, y compris par voie électronique. Si certaines dispositions du présent accord s'avéraient invalides ou inapplicables, la validité et l'applicabilité des autres dispositions n'en seraient pas affectées.

 

Dernière mise à jour : M222 rev. 9 – 20 février 2026