Avis relatif à la langue officielle

Ce document est fourni en anglais en tant que seule version officielle et juridiquement contraignante. Toute version traduite est proposée à titre informatif uniquement et n'a aucune valeur juridique. En cas de divergence entre une traduction et la version anglaise, la version anglaise prévaudra.

Voir la version officielle en anglais

Avenant Services HIPAA

March 20, 2026

Le présent Avenant Services HIPAA (« Avenant ») s'applique uniquement aux Clients ayant conclu un Accord d'Associé Commercial (« BAA ») avec Vilulia. Le présent Avenant est incorporé et fait partie intégrante des Conditions d'Utilisation et de tout Bon de Commande relatif aux Services éligibles HIPAA. En cas de conflit entre le présent Avenant et les Conditions d'Utilisation sur des questions relatives aux Services éligibles HIPAA, le présent Avenant prévaut.

Responsabilité partagée en matière de conformité HIPAA : Vilulia s'engage à fournir une plateforme sécurisée et éligible HIPAA et à maintenir les garanties techniques et organisationnelles requises d'un Associé Commercial. La conformité HIPAA complète exige également que les Clients remplissent leurs propres obligations en tant qu'Entités Couvertes ou Associés Commerciaux, y compris la configuration des accès, la formation du personnel et la gouvernance des PHI. Le présent Avenant décrit comment la responsabilité est partagée entre les parties.

1. Utilisation Éligible HIPAA

Les Services incluent des configurations éligibles HIPAA conçues pour accompagner les Clients soumis à des obligations HIPAA. Les PHI ne peuvent être téléversées ou traitées qu'en relation avec les flux de travail et les configurations que Vilulia désigne comme éligibles HIPAA (par exemple, les fonctionnalités explicitement étiquetées HIPAA Basic ou HIPAA Enhanced dans le Bon de Commande applicable). Le Client est responsable de s'assurer que ses flux de travail et configurations spécifiques sont appropriés à ses obligations de conformité HIPAA. Si vous n'êtes pas certain qu'un flux de travail particulier est éligible HIPAA, contactez vilulia.com/contact avant de téléverser des PHI.

2. Engagements de Vilulia pour les Plans Éligibles HIPAA

Pour les Clients disposant de plans éligibles HIPAA avec un BAA exécuté, Vilulia s'engage à :

  • Maintenir des garanties techniques conformes à la Règle de Sécurité HIPAA, y compris le chiffrement en transit et au repos, la journalisation d'audit et les contrôles d'accès.
  • Limiter l'accès aux PHI au personnel qui en a besoin pour fournir les services et qui est lié par des obligations de confidentialité.
  • Signaler les Violations de PHI Non Sécurisées dans les 72 heures suivant leur découverte, tel que décrit dans le BAA.
  • Imposer des obligations de protection des données équivalentes aux sous-traitants ayant accès aux PHI.
  • Accompagner le Client dans ses obligations d'accès, de modification et de comptabilité des divulgations, tel que décrit dans le BAA.
  • Ne pas utiliser les PHI pour entraîner des modèles d'IA ni à toute autre fin que la fourniture des Services.

3. Responsabilités du Client

La conformité HIPAA est une responsabilité partagée. Le Client est responsable de :

  • Déterminer quelles PHI sont téléversées vers les Services et s'assurer qu'elles sont limitées à ce qui est nécessaire pour le flux de travail prévu.
  • Configurer les accès utilisateurs, rôles, permissions et politiques d'authentification (y compris l'activation de l'AMF lorsque disponible).
  • S'assurer que les membres de son personnel reçoivent une formation HIPAA appropriée et sont soumis à des sanctions en cas de violation.
  • Maintenir la sécurité des terminaux, réseaux et identifiants utilisés pour accéder aux Services.
  • Vérifier et configurer la conservation, les paramètres de partage, les exportations et toute intégration externe afin de prévenir toute divulgation non autorisée.
  • Notifier Vilulia dans les meilleurs délais de toute compromission suspectée d'identifiants ou de tout accès non autorisé aux Services.

4. Résumé des Responsabilités Partagées

Domaine Responsabilité de Vilulia Responsabilité du Client
Sécurité de l'infrastructure Chiffrement, contrôles d'accès, journalisation d'audit, surveillance Activation de l'AMF, sécurité des identifiants, sécurité des terminaux
Gouvernance des PHI Traitement des PHI uniquement tel que permis par le BAA Détermination des PHI à téléverser ; minimisation du périmètre des PHI
Personnel Formation et engagement du personnel de Vilulia ayant accès aux PHI Formation et sanctions du propre personnel du Client
Réponse aux violations Détection, signalement dans les 72 heures et atténuation des violations Notification à Vilulia de toute compromission suspectée d'identifiants ; coopération dans l'enquête
Configuration Fourniture de configurations et contrôles éligibles HIPAA Configuration appropriée des accès, du partage et des intégrations

5. Niveaux de Service HIPAA

Si le Client souscrit des niveaux de service HIPAA, ces niveaux incluent des garanties, configurations, journalisations et engagements de support supplémentaires au-delà du plan standard. Les éléments inclus et les éventuelles exclusions sont décrits dans le Bon de Commande applicable et la documentation produit. Contactez vilulia.com/contact pour obtenir des détails sur le contenu de chaque niveau.

6. Incidents Imputables au Client

Vilulia met en œuvre et maintient les garanties décrites dans le présent Avenant et le BAA. Toutefois, Vilulia n'est pas responsable des incidents de sécurité ou des manquements à la conformité résultant principalement de : la mauvaise configuration des contrôles d'accès ou des permissions par le Client ; la compromission d'identifiants contrôlés par le Client ; le partage non autorisé par le propre personnel du Client ; les défaillances de sécurité sur les appareils ou réseaux contrôlés par le Client ; ou le non-respect par le Client des recommandations de sécurité de Vilulia. Lorsqu'un incident résulte d'une combinaison de facteurs, les parties coopéreront pour évaluer la cause et la réponse appropriée.

7. Suspension ; Atténuation des Risques

Vilulia peut suspendre immédiatement l'accès lié à HIPAA lorsque la poursuite de l'exploitation présenterait un risque en matière de sécurité ou de conformité, y compris en cas de compromission suspectée, d'utilisation abusive ou d'activité anormale. Vilulia notifiera le Client dans les meilleurs délais après toute suspension et collaborera avec le Client pour rétablir l'accès à l'issue de mesures de remédiation raisonnables. Vilulia ne suspendra pas l'accès HIPAA pour des raisons sans rapport avec la sécurité ou la conformité sans fournir un préavis et une possibilité de remédiation conformément aux Conditions d'Utilisation.

Des questions sur ce document ?

Notre équipe juridique est à votre disposition pour toute question.

Contacter l'équipe juridique