Conditions Générales d'Utilisation (CGU) - Service DocNote

Les présentes Conditions Générales de Vente (CGV) régissent l’accès et l’utilisation de la solution DocNote (ci-après le Service) proposée par Gilson GmbH, ayant son siège à Baarermattstrasse 8B, 6340 Baar, Suisse, immatriculée au Registre du commerce suisse sous le numéro CH-170.4.018.382-0 (ci-après DocNote).

Le Client reconnaît utiliser le Service exclusivement dans le cadre de ses activités professionnelles et institutionnelles.

1. Définitions

• Client : toute personne morale ou physique, agissant à titre professionnel, souscrivant au Service.

• Utilisateur : toute personne autorisée par le Client à accéder au Service (les accès sont nominatifs et strictement personnels).

• Données : ensemble des informations traitées via le Service, incluant les données personnelles sensibles au sens de l’art. 5 let. c de la Loi fédérale sur la protection des données (LPD révisée, en vigueur depuis le 1er septembre 2023), notamment les données sur la santé.

• Incident de Sécurité : toute violation suspectée ou avérée entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation non autorisée de Données ou l'accès non autorisé à celles-ci.

• Commande : document contractuel (devis, contrat-cadre) précisant l’offre, le périmètre et les niveaux de service (SLA).

• Accord de Traitement des Données (ATD / DPA) : annexe encadrant les obligations LPD et les Mesures Techniques et Organisationnelles (MTO).

2. Champ d’application et hiérarchie

2.1 Hiérarchie des documents

En cas de contradiction, l’ordre de priorité est :
a) la Commande (et son SLA),
b) l’ATD/DPA,
c) les présentes CGV.

2.2 Exclusion des conditions du Client

Les conditions générales d’achat ou autres conditions du Client sont expressément exclues, sauf acceptation écrite expresse de DocNote.

3. Licence, description du Service et limites d’utilisation

3.1 Droits d’utilisation: DocNote concède au Client un droit d’utilisation du Service personnel, non exclusif, non cessible et limité à la durée du contrat.

Le Client s’interdit notamment :

• de partager les comptes Utilisateurs,

• de procéder à de l’ingénierie inverse (reverse engineering),

• de tenter de contourner les mesures de sécurité.

3.2 Outil d’assistance

Le Service est un logiciel SaaS d’assistance à la documentation médicale. Il ne constitue pas un dispositif médical à finalité diagnostique.

3.3 Validation humaine obligatoire

Les modèles d’IA peuvent générer des omissions ou inexactitudes. Le Client a l’obligation stricte de valider médicalement tout document produit avant son utilisation clinique ou son intégration au dossier patient.

4. Sécurité, traçabilité et accès aux Données

4.1 Mesures Techniques et Organisationnelles (MTO)

DocNote maintient des MTO documentées et conformes à l’état de l’art pour les données de santé. L’architecture garantit une séparation logique (isolation) stricte des Données entre les clients.

4.2 Chiffrement et authentification

Les Données sont chiffrées en transit et au repos. L’authentification multifacteur (MFA) est imposée pour tout accès impliquant des données de santé.

Par exception, lorsque le Client met en place une authentification unique (SSO) sous son contrôle, celle-ci peut se substituer au MFA de DocNote, à condition d’offrir un niveau de sécurité au moins équivalent, tel que défini dans la Commande ou l’ATD/DPA.

4.3 Principe du “Need-to-Know”

Par défaut, aucun collaborateur de DocNote n’a accès aux Données en clair (notamment les flux audio). L’accès n’est autorisé que :

• sur instruction documentée du Client,

• pour une durée limitée,

• avec une stricte traçabilité (journalisation des accès administrateurs).

4.4 Environnements

DocNote garantit une séparation stricte entre les environnements de production et de test. Aucune donnée réelle de santé n’est utilisée pour les tests ou le débogage.

5. Obligations du Client et consentement audio

5.1 Base légale

Le Client garantit disposer des bases légales nécessaires (LPD) pour traiter les Données via le Service.

5.2 Enregistrement

En cas de captation audio, le Client est responsable de l’information du patient. DocNote intègre des fonctionnalités facilitant la transparence (par exemple : indicateurs visuels d’enregistrement, suspension “push-to-talk”).

6. Secret professionnel médical (art. 321 CP)

6.1 Statut et engagements

DocNote agit en qualité d’auxiliaire du Client (art. 321 CP).

6.2 Cascade

Tout collaborateur ou sous-traitant de DocNote ayant potentiellement accès à l’infrastructure est lié par un accord de confidentialité renforcé et est expressément instruit des sanctions pénales liées à la violation du secret médical, valables même après la fin du contrat.

7. Protection des Données (LPD) et localisation

7.1 Rôles

Le Client est Responsable du traitement ; DocNote est Sous-traitant.

7.2 Localisation Suisse et encadrement des accès

DocNote garantit que l’intégralité des Données au sens du présent contrat est hébergée physiquement en Suisse (stockage de production et sauvegardes).

Tout accès à distance aux Données en clair par les équipes de DocNote depuis l’étranger est strictement interdit.

Par “Données en clair”, il faut entendre toute Donnée rendue intelligible, y compris lors d’opérations de support, d’administration, de consultation, d’export, ou via des journaux applicatifs contenant des Données.

Les mécanismes de gestion des clés et secrets sont organisés de manière à empêcher tout déchiffrement ou reconstitution de Données en clair depuis l’étranger.

Les sous-traitants et outils tiers traitant des Données (y compris télémétrie et logs) sont documentés dans l’ATD.

7.3 Assistance au Client

DocNote s’engage à assister le Client pour :

• répondre aux demandes d’exercice des droits des patients,

• réaliser des analyses d’impact (DPIA),

• documenter la conformité de l’institution.

8. Notification d’Incident de Sécurité

8.1 Procédure

En cas d’Incident de Sécurité, DocNote s’engage à notifier le contact sécurité désigné par le Client par une alerte initiale sans délai injustifié (et au plus tard dans les 24h après en avoir pris connaissance).

8.2 Contenu et assistance

L’alerte sera suivie d’un rapport enrichi incluant :

• la nature de l’incident,

• les Données concernées,

• les mesures d’atténuation,

• les indicateurs de compromission (IoC) disponibles.

DocNote assistera activement le Client pour évaluer le risque et, si nécessaire, notifier le Préposé fédéral à la protection des données et à la transparence (PFPDT).

9. Sous-traitance

9.1 Périmètre

DocNote recourt à des sous-traitants (infrastructure Cloud, outils de support, maintenance) dont la liste exhaustive est annexée à l’ATD.

DocNote privilégie des partenaires hébergés en Suisse et disposant de certifications de sécurité reconnues (par exemple : ISO 27001, et le cas échéant ISO 27017 ou ISO 27018, ou certification équivalente reconnue).

9.2 Évolution

Tout ajout ou changement de sous-traitant est notifié avec un préavis de 30 jours, laissant au Client un droit d’opposition fondé sur des motifs légitimes de sécurité ou de conformité.

9.3 Conséquence de l’opposition

En cas d’opposition justifiée du Client et d’impossibilité pour DocNote de maintenir le sous-traitant précédent ou de proposer une alternative conforme, le Client peut résilier la Commande concernée sans pénalité, avec effet à la date d’entrée en vigueur du changement.

10. Propriété intellectuelle et entraînement IA

10.1 Propriété

Le Client reste l’unique propriétaire de ses Données. DocNote détient les droits sur son Service.

10.2 Interdiction d’entraînement

DocNote s’interdit formellement d’utiliser les Données réelles, textuelles ou audios du Client pour entraîner (training) ou affiner (fine-tuning) des modèles d’IA.

Tout recours à un modèle d’IA tiers requiert :

• sa mention dans l’ATD,

• des garanties strictes de non-réutilisation des Données,

• des garanties strictes de localisation en Suisse.

10.3 Données statistiques

Seules des métadonnées d’usage strictement et irréversiblement anonymisées (de sorte qu’elles ne constituent plus des données personnelles au sens de la LPD) peuvent être exploitées par DocNote à des fins d’amélioration de la performance technique.

11. Continuité de Service et facturation

11.1 Disponibilité

Les engagements de disponibilité (SLA) sont définis dans la Commande.

11.2 Défaut de paiement

Le non-paiement entraîne une mise en demeure. En cas de non-résolution après un délai de grâce de 30 jours, DocNote se réserve le droit de suspendre le Service.

Toutefois, afin de ne pas compromettre la continuité des soins, l’accès aux Données antérieures sera maintenu au minimum en mode lecture seule ou via une fonction d’export.

12. Réversibilité et cycle de vie des Données

12.1 Export

À la fin du contrat, le Client dispose de 60 jours pour exporter ses Données dans un format standard (par exemple : JSON, PDF).

12.2 Suppression

Passé ce délai, les Données de production sont supprimées de manière irréversible. Sur demande, DocNote peut fournir une attestation de suppression.

Les Données contenues dans les sauvegardes (backups) sont protégées par des mesures de sécurité strictes et seront automatiquement détruites à l’issue de leur cycle de rétention standard (défini dans l’ATD).

En cas d’obligation légale, de demande d’une autorité compétente ou de litige, DocNote peut conserver certaines Données pour la durée strictement nécessaire, avec restriction d’accès et mesures renforcées, conformément à l’ATD/DPA.

13. Responsabilité

13.1 Plafond standard

Sous réserve de l’article 13.2, la responsabilité de DocNote pour les dommages directs est limitée aux montants payés par le Client durant les 12 mois précédant l’incident.

DocNote exclut les dommages indirects ou liés à une erreur médicale due à un défaut de relecture par le Client.

13.2 Exceptions

Le plafonnement ne s’applique pas en cas :

• de dol,

• de faute grave,

• de violation avérée du secret professionnel médical (art. 321 CP),

• de violation des obligations de sécurité prévues aux présentes CGV et à l’ATD/DPA entraînant une fuite de Données.

14. Audit

14.1 Droit d’audit

Le Client peut, moyennant un préavis de 30 jours, mandater un audit (maximum 1/an).

Pour limiter l’impact opérationnel, DocNote peut proposer de fournir des rapports d’audits tiers indépendants récents (par exemple : pentests, ISO 27001) afin de réduire le périmètre de l’audit sur site, sans pour autant supprimer le droit d’audit du Client.

14.2 Cas exceptionnels

La limite d’un audit par an et le délai de préavis ne s’appliquent pas en cas d’Incident de Sécurité majeur ou de suspicion fondée d’une violation grave de la LPD.

15. Confidentialité générale

15.1 Obligation

Outre les Données, les Parties s’engagent à garder strictement confidentielles toutes les informations commerciales, techniques ou financières échangées dans le cadre du contrat, pendant toute sa durée et pour les 5 ans suivant sa résiliation.

16. Modifications, droit applicable et for juridique

16.1 Modifications

DocNote peut modifier unilatéralement les CGV pour des évolutions mineures (préavis 30 jours).

Toute modification substantielle impactant à la baisse la sécurité, la localisation, le secret médical ou les prix requiert l’accord exprès du Client. En cas de refus, le Client peut résilier sans pénalité.

16.2 Droit et for

Droit matériel suisse exclusif. For exclusif à Genève.