Fonctionnalités Tarifs Référence API À propos
Se connecter Inscription

Accord de partenaire commercial (BAA)

v1.0 — En vigueur depuis mars 2026

Morlivo, une marque de Stelica Ventures LLC, une société à responsabilité limitée du Texas ("Morlivo", "Business Associate"), s'engage à protéger les Protected Health Information (PHI) conformément à la Health Insurance Portability and Accountability Act de 1996 (HIPAA), telle que modifiée par le HITECH Act. Le présent Business Associate Agreement ("BAA") régit la relation entre Morlivo et nos clients ("Covered Entity") en ce qui concerne la gestion des PHI. Les références à "Morlivo" ou "Morlivo.ai" désignent Stelica Ventures LLC opérant sous le nom commercial Morlivo.ai.

1. Portée et objectif

Le présent Business Associate Agreement ("BAA") complète et fait partie intégrante du contrat de service entre l'Entité couverte et l'Associé commercial. Il établit les conditions selon lesquelles l'Associé commercial peut créer, recevoir, conserver ou transmettre des informations de santé protégées ("PHI") pour le compte de l'Entité couverte dans le cadre des services de traduction, de transcription et de traitement linguistique fournis par Morlivo (les "Services").

Les parties reconnaissent que l'Associé commercial peut accéder, utiliser ou divulguer des informations de santé protégées ("PHI") dans le cadre de la fourniture des Services, et le présent BAA énonce les obligations de l'Associé commercial à l'égard de ces PHI conformément aux dispositions applicables de la HIPAA, du HITECH Act et de leurs règlements d'application (collectivement, les "HIPAA Rules").

2. Utilisations et divulgations autorisées

Le partenaire commercial peut utiliser ou divulguer PHI uniquement :

  • Si nécessaire pour exécuter les services décrits dans le contrat de service sous-jacent.
  • Comme l'exige la loi, y compris, mais sans s'y limiter, les divulgations requises par le secrétaire du ministère américain de la Santé et des Services sociaux.
  • Pour la bonne gestion et l'administration du Partenaire Commercial, à condition que toute divulgation soit requise par la loi ou que le Partenaire Commercial obtienne des assurances raisonnables de tout tiers que les informations seront conservées de manière confidentielle.
  • Fournir des services d'agrégation de données relatifs aux opérations de soins de santé de l'entité couverte, si cela est expressément autorisé dans le contrat de service.

Le Business Associate ne doit pas utiliser ni divulguer des PHI d'une manière qui violerait les règles HIPAA si cela était fait par la Covered Entity, sauf si cela est expressément permis dans ce BAA. Le Business Associate ne doit pas utiliser les PHI à des fins de marketing, vendre des PHI, ni utiliser les PHI à des fins de souscription.

3. Mesures de protection

Le Business Associate doit mettre en place et maintenir des mesures de sauvegarde administratives, physiques et techniques qui protègent de manière raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des PHI, y compris les PHI électroniques (ePHI), comme l'exige la HIPAA Security Rule. Ces mesures incluent, sans s'y limiter :

  • Chiffrement des ePHI au repos à l'aide d'AES-256 et en transit à l'aide de TLS 1.2 ou supérieur.
  • Contrôles d'accès basés sur les rôles limitant l'accès PHI au personnel autorisé uniquement.
  • Journalisation d'audit complète de tous les accès et modifications de PHI.
  • Évaluations régulières des risques et analyse des vulnérabilités.
  • Formation du personnel sur les exigences HIPAA et sensibilisation à la sécurité.
  • Les procédures d'élimination sécurisées pour PHI ne sont plus nécessaires pour les Services.

Le Business Associate doit veiller à ce que tout agent, y compris les sous‑traitants, à qui il fournit des PHI accepte les mêmes restrictions et conditions qui s'appliquent au Business Associate en vertu de ce BAA, conformément à 45 CFR § 164.502(e)(1)(ii).

4. Notification de violation

Le Business Associate doit signaler à la Covered Entity toute utilisation ou divulgation de PHI non permise par ce BAA dont il a connaissance, y compris toute violation de PHI non sécurisées telle que définie dans 45 CFR § 164.402. Le Business Associate doit fournir cette notification sans retard déraisonnable et en aucun cas plus de trente (30) jours calendaires après la découverte de la violation.

La notification comprendra, dans la mesure du possible :

  • Identification de chaque personne dont le PHI non garanti a été, ou est raisonnablement soupçonné d'avoir été, consulté, acquis, utilisé ou divulgué.
  • Une description de la nature de la violation, y compris les types de PHI impliqués.
  • La date de la Brèche et la date de sa découverte.
  • Une description des mesures prises par le Business Associate pour enquêter et atténuer la violation et prévenir de futurs événements.
  • Coordonnées des personnes qui peuvent fournir des détails supplémentaires.

5. Durée et résiliation

Le présent BAA prend effet à la date de sa signature et restera en vigueur pendant la durée du contrat de service sous-jacent, sauf résiliation anticipée telle que prévue aux présentes.

Chaque partie peut résilier ce BAA si elle détermine que l'autre partie a violé une clause substantielle de ce BAA. La partie non défaillante doit fournir à la partie défaillante un avis écrit de la violation et accorder trente (30) jours pour y remédier. Si la correction n'est pas réalisable, la partie non défaillante peut immédiatement résilier à la fois ce BAA et le contrat de service sous‑jacent.

À la résiliation, l'Associé commercial devra, au choix de l'Entité couverte, restituer ou détruire l'ensemble des PHI reçues de l'Entité couverte ou créées pour son compte. Si la restitution ou la destruction n'est pas possible, l'Associé commercial étendra les protections prévues par le présent BAA à ces PHI et limitera les utilisations et divulgations ultérieures aux finalités rendant la restitution ou la destruction impossibles.

6. Obligations de l'entité couverte

  • L'entité couverte doit informer l'associé commercial de toute limitation dans son avis de pratiques de confidentialité qui peut affecter l'utilisation ou la divulgation par l'associé commercial de PHI.
  • L'entité couverte doit informer le partenaire commercial de tout changement ou révocation de l'autorisation par un individu d'utiliser ou de divulguer PHI, dans la mesure où ces changements peuvent affecter les utilisations et divulgations autorisées du partenaire commercial.
  • L'entité couverte ne doit pas demander à l'associé commercial d'utiliser ou de divulguer PHI d'une manière qui violerait les règles HIPAA.

7. Dispositions diverses

Le présent BAA est régi et interprété conformément au droit fédéral applicable, y compris les HIPAA Rules. Toute ambiguïté dans le présent BAA sera interprétée de façon à permettre le respect des HIPAA Rules. Le présent BAA constitue l'intégralité de l'accord entre les parties en ce qui concerne son objet et remplace tous les accords antérieurs, qu'ils soient écrits ou oraux, relatifs au même objet.

Demander un BAA

Pour demander un Business Associate Agreement, contactez notre équipe conformité. Nous travaillerons avec vous pour conclure un BAA adapté aux besoins de votre organisation.

Contacter l'équipe de conformité Demander un modèle BAA