Conditions générales de vente

Mise à jour au 21.03.2025

Stipulations Générales

1. Objet

Les présentes conditions générales de vente (ci–après, « CGV ») ont pour objet de régir la fourniture par la société Eyesoft de services comprenant la vente ou la location d’un casque de réalité virtuelle, la vente d’accessoires, l’installation et la mise en service d’un logiciel dans les casques VR, la mise à disposition d’une plateforme de gestion et d’un logiciel, l’assistance technique(ci–après, les « Services ») réservés aux orthoptistes, ophtalmologues et centre de soins (ci–après, le ou les « Clients ») afin d’être utilisés pour la mesure du champ visuel des patients des Clients (ci–après, les « Patients »).

Les Services sont fournis par la société Eyesoft dont le siège social est situé 12 bis rue Léon Jouhaux 33140 Villenave d’Ornon, inscrite au RCS de Bordeaux sous le numéro 833 515 026 (ci–après, « Eyesoft »).

Les présentes CGV prévalent sur toutes autres conditions générales ou particulières des Clients.

2. Acceptation et modification des CGV

Les présentes CGV s’appliquent, sans restriction ni réserve, à toute commande de Casque, d’Accessoires, Location ou souscription d’un service (ci–après, la « Commande ») faite par le Client.

Le Client s’engage à prendre connaissance des CGV avant toute Commande, étant précisé que le fait de passer commande d’un Casque, d’Accessoires et/ou de souscrire à un service, devra être obligatoirement précédé de l’acceptation des CGV d’Eyesoft, de sorte que les CGV seront opposables au Client.

Eyesoft se réserve le droit de modifier les CGV à tout moment, notamment afin que celles–ci reflètent toujours les fonctionnalités des Services. Toutefois, la version des CGV applicables à la Commande est la version en vigueur au jour de la passation de la Commande.

3. Définitions

« Abonnement » : Désigne l’abonnement mensuel payant souscrit par le Client lors de la Commande en contrepartie de la fourniture de Services par Eyesoft.

« Accessoire » : Désigne un accessoire du Casque vendu par Eyesoft.

« Casque » : Désigne le casque de réalité virtuelle, ainsi que ses contrôleurs, fournis par Eyesoft dans le cadre des Services. Ledit Casque est loué par le Client. « CGV » : Désigne les présentes Conditions Générales de Vente, constituées des Stipulations Générales et Spéciﬁques.

« Client » : Désigne tout client de Eyesoft qui procède à une Commande.

« Commande » : Désigne la Location du Casque dans le cadre de l’offre Eyesoft-Oculera (en ce inclus la période d’essai), la souscription d’un Abonnement et la commande éventuelle d’un Accessoire par le Client.

« Données » : Désignent les données à caractère personnel relatives à un Patient identifié ou identifiable au sens de la Loi Informatique et Libertés et du RGPD. « Eyesoft » : Désigne la société Eyesoft.

« Location » désigne la location (gratuite pendant la période d’essai ou payante) souscrite par le Client lors de la Commande en contrepartie de la fourniture des Services par EYESOFT. La location peut s’effectuer par l’intermédiaire d’EYESOFT ou d’un des organismes financiers partenaires, selon les modalités en vigueur au moment de la souscription.

« Logiciel » : Désigne le logiciel de mesure du champ visuel orthoptique édité par Oculera et fourni par Eyesoft dans le cadre des Services et intégré au Casque.

« Loi Informatique et Libertés » : Désigne la loi n°78–17 du 6 janvier 1978 relative à l’Informatique, aux Fichiers et aux Libertés telle que modifiée. « Oculera » : Désigne la société Oculera, société de droit turc, enregistrée auprès du registre de commerce d’Ankara sous le numéro 454615 et dont le siège social est situé à Ostim OSB Mah. 100. Yıl Bul. No: 55e İç Kapı No: 14 Yenimahalle/Ankara. Oculera est l’éditrice du Logiciel.

« Partie(s) » : Désigne(nt) individuellement ou collectivement la ou les parties aux présentes CGV.

« Patient(s) » : Désigne(nt) les utilisateurs du Casque et du Logiciel.

« Plateforme » : Désigne la plateforme de suivi et de gestion des Patients éditée par Oculera et fournie par Eyesoft dans le cadre des Services.

« Prix » : Désigne le prix des Services selon l’offre sélectionnée par le Client.

« RGPD » : Désigne le Règlement européen sur la protection des données n°2016/679 du 27 avril 2016.

« Services » : Désignent les services fournis par Eyesoft tels que détaillés dans les Stipulations Générales et Spécifiques.

« Site » : Désigne le site internet < https://www.eyesoft.fr/>.

4. Description des Services

Dans le cadre des présentes, Eyesoft fournit au Client les Services détaillés au sein des Stipulations Spécifiques, en particulier pour l’offre sélectionnée par le Client.

Les Services peuvent comprendre :

✓ La fourniture d’un Casque et/ou de ses Accessoires ;
✓ L’installation d’un logiciel dans les Casques ;
✓ La mise à disposition du Logiciel;
✓ La mise à disposition de la Plateforme ;
✓ La mise en service et la formation à l’utilisation du Casque et du Logiciel

Le Client est informé et reconnaît que le Logiciel constitue un dispositif médical de classe II.a.

Le Client pourra fournir aux Patients le Casque, l’Accessoire et le Logiciel intégré afin de procéder à la mesure du champ visuels au sein des locaux du Client.

Le Client est informé que l’utilisation des Services nécessite une connexion internet et un réseau Wifi stable ainsi que d’un ordinateur.

Le Client s’engage à prendre connaissance des Stipulations Spécifiques, en particulier celles applicables à l’offre sélectionnée.

5. Commande des Services, du Casque et des Accessoires

Le Client qui souhaite obtenir les Services procède à la Commande auprès des équipes commerciales d’Eyesoft.

Lors de la Commande, le Client s’engage à fournir les informations suivantes nécessaires pour la bonne fourniture des Services :

✓ Son identité : carte d’identité ;
✓ Ses coordonnées : nom, prénom, adresse e–mail, adresse postale, numéro de téléphone ;
✓ Ses informations professionnelles : SIRET/SIREN ;
✓ Ses informations bancaires (empreinte bancaire) ;
✓ Attestation responsabilité civile professionnelle.

La Commande du Casque dans le cadre des offres de services et des Accessoires s’effectue par e–mail auprès d’Eyesoft. Eyesoft fait parvenir au Client un bon de la Commande (comportant la désignation des produits, quantité, prix) ainsi que les présentes CGV dont le Client conserve une copie.

La signature électronique du bon de Commande par le Client constitue un engagement ferme et définitif du Client de procéder à la Commande. Eyesoft fait parvenir au Client une confirmation de sa Commande.

6. Dépôt de garantie

Le Client est informé qu’une caution d’un montant de neuf cents euros (900€) TTC est exigée lors de la Commande avant tout envoi du Casque. La caution se matérialise par un relevé d’empreinte bancaire du Client conservé par EYESOFT durant la période d’essai et/ou la durée de l’Abonnement.

L’empreinte bancaire est supprimée dans un délai de dix (10) jours maximum à compter de la réception du Casque et sous réserve de son bon état de fonctionnement vérifié par EYESOFT, conformément à l’article « Réception du Casque » des CGV.

Le Client s’engage à transmettre à EYESOFT ses coordonnées bancaires actualisées en cas d’expiration de sa carte bancaire pendant la durée de l’Abonnement.

7. Fourniture du Casque et des Accessoires

7.1. Description du Casque et des Accessoires

Dans le cadre des Services, Eyesoft loue un ou plusieurs Casques et ses Accessoires, et/ou vend des Accessoires au Client dans les conditions prévues aux présentes.

Le Casque est un casque de réalité virtuelle disposant des caractéristiques détaillées au sein des Stipulations Spécifiques.

Les Accessoires sont disponibles à l’achat auprès des équipes Eyesoft..

7.2. Conditions d’utilisation du Casque

Dans le cadre des Services, le Client s’engage à lire, respecter, et à faire respecter par les Patients, les conditions d’utilisation du Casque ci-dessous, à :

✓ Ne pas exposer les lentilles optiques du Casque à la lumière directe du soleil. Le Client reconnaît que l’exposition à la lumière directe du soleil pendant moins d’une minute peut causer des dégâts sous forme de tache jaune sur l’écran. Le Client s’engage à prendre des précautions supplémentaires lors des conditions de forte luminosité (utilisation proche d’une fenêtre ou d’une forte source d’éclairage direct);
✓ Protéger les lentilles optiques pendant l’utilisation et le stockage du Casque afin d’éviter que des objets ne rayent les lentilles ;
✓ Recharger le casque régulièrement (y compris lorsqu’il n’est pas utilisé pendant une période de plus d’un mois), et dès l’apparition du message d’alerte de niveau de batterie faible ;
✓ Ne pas faire fonctionner le Casque à un volume trop élevé pendant une période prolongée. Le Client reconnaît qu’un volume trop élevé peut endommager l’ouïe du Patient ;
✓ Faire une pause toutes les 30 minutes en cas d’utilisation prolongée et ne pas faire plus d’une session par jour par Patient. Une utilisation prolongée peut causer des étourdissements ou de la fatigue oculaire ;
✓ Arrêter immédiatement d’utiliser le Casque en cas d’anomalies visuelles (diplopie et distorsion de la vue, inconfort ou douleur oculaire, etc.), transpiration excessive, nausées, vertiges, palpitations, désorientation, perte d’équilibre, etc ;
✓ S’assurer d’avoir suffisamment d’espace pour éviter les accidents, en particulier en cas d’utilisation du Casque en intérieur ;
✓ Ne pas utiliser le Casque près des escaliers, des fenêtres, des sources de chaleur ou d’autres zones dangereuses ;
✓ Utiliser le Casque en position assise et sur une assise stable ;
✓ Utiliser les exercices de fusion uniquement sur les Patients en correspondance cortico–rétinienne normale ;
✓ Ne pas utiliser sur les Patients atteints d’épilepsie.

Pour une meilleure expérience, il est recommandé d’utiliser la manette incluse. Toutefois, le Patient peut utiliser les boutons du Casque pour effectuer des opérations de base.

Les Patients amétropes peuvent utiliser le Casque avec leur correction (lunettes ou lentilles de contact) conformément aux instructions au sein des conditions d’utilisation du Casque.

Ce produit n’est pas recommandé pour les Patients de moins de 8 ans. Les enfants de plus de 8 ans ne doivent utiliser le Casque que sous la surveillance d’un adulte.

Le Client est invité à prendre connaissance, le cas échéant, des conditions d’utilisation particulières mentionnées dans les Stipulations Spécifiques applicables à l’offre sélectionnée.

7.3. Conformité– Livraison et Garantie

7.3.1. Conformité du Casque et des Accessoires

Eyesoft s’engage à mettre à disposition un Casque en bon état de fonctionnement, sans défaut, dans le cadre d’une utilisation prévue en rapport avec le Logiciel et la Plateforme, conforme aux spécifications techniques et qui respecte la réglementation applicable, notamment en matière de sécurité.

Le Patient s’engage à respecter les conditions d’usage définies par Eyesoft. Toute autre utilisation du Casque non prévue engendre l’annulation de la garantie.

Si un modèle de Casque ou d’Accessoire est en rupture de stock, Eyesoft se réserve le droit de le remplacer par un modèle aux fonctionnalités équivalentes.

7.3.2. Livraison

Le Casque loué ou l’Accessoire acheté sera livré au Client, par transporteur type Colissimo suivi et contre signature, à l’adresse mentionnée lors de la Commande.

À la réception du Casque ou de l’Accessoire, le Client s’engage à l’inspecter, vérifier son état, et signaler toute réserve au livreur, notamment en signant les documents adéquats mis à sa disposition par ledit livreur.

En cas de réserves, le Client en informera également Eyesoft dans les meilleurs délais à l’adresse : contact@eyesoft.fr.

Les délais de livraison mentionnés lors de la Commande sont indicatifs et sous réserve de la disponibilité du Casque ou de l’Accessoire au jour de la Commande.

7.3.3 Garantie

La garantie s’applique pour le Casque uniquement et prend effet à compter de la livraison, pour la durée de l’Abonnement Eyesoft s’engage, pendant la durée de garantie visée ci–dessus, à remplacer le Casque défectueux par un autre Casque équivalent conforme aux présentes dans les meilleurs délais, sauf en cas de force majeure telle que définie par la loi (article 1218 du Code civil). La garantie n’est pas applicable dans les cas où la défaillance est due à :

✓ Une casse ou panne liée à un non–respect des conditions d’utilisation du Casque par le Client et les Patients,
✓ La modification du Casque,
✓ Le Casque n’a pas été installé, rechargé, utilisé, réparé ou entretenu conformément aux instructions fournies.

Dans le cas où la garantie ne serait pas applicable, les frais de remplacement ou de réparation du Casque défectueux seront supportés par le Client et prélevés du dépôt de garantie.

Le Client retournera le Casque à Eyesoft à l’adresse suivante : Eyesoft, 12 rue Dumonteil – 33000 Bordeaux. Le Client reconnaît que les frais d’envoi de retour sont à sa charge.

8. Installation et mise en service

8.1. Installation du Logiciel

Dans le cadre des Services, Eyesoft met à disposition du Client un Casque prêt à être utilisé incluant les étapes suivantes :

✓ La configuration du Casque et mise à niveau du firmware ;
✓ L’installation et la configuration du Logiciel ;
✓ Les vérifications de sécurité et de bon fonctionnement du Logiciel

8.2. Mise en service

Dans le cadre des Services, Eyesoft fournit au Client un accompagnement personnalisé pour la mise en service comprenant :

✓ La création d’un compte client permettant d’utiliser le Logiciel en lien avec la Plateforme.

9. Mise à disposition du Logiciel

9.1. Description du Logiciel

Dans le cadre des Services, Eyesoft met un Logiciel embarqué dans un Casque permettant la mesure du champ visuel à disposition du Client pendant toute la durée de l’Abonnement.

Le Client est invité à prendre connaissance des Stipulations Spécifiques afin de connaître les particularités du Logiciel dans le cadre des différentes offres.

9.2. Licence d’utilisation du Logiciel

Eyesoft concède au Client, à titre non exclusif, non transférable, un droit d’utilisation du Logiciel en code objet et ce, pour la durée des présentes CGV, pour le territoire français et pour les besoins internes du Client aux fins de mesure du champ visuel.

Toute utilisation du Logiciel non expressément autorisée au titre des présentes CGV est interdite. À ce titre et notamment, le Client s’interdit de :

✓ Mettre tout ou partie du Logiciel à la disposition de tiers, même gratuitement, et ce, de quelque manière que ce soit,
✓ Permettre l’utilisation du Logiciel par toute personne autre que les Patients,
✓ Divulguer tout ou partie du Logiciel à toute personne autre que les Patients,
✓ Traiter les données de tiers au moyen du Logiciel à l’exclusion des données des Patients,
✓ Imprimer, transférer, transmettre ou afficher tout ou partie du Logiciel sauf pour les besoins du Client,
✓ Modifier/adapter le Logiciel et/ou fusionner tout ou partie du Logiciel dans d’autres programmes informatiques, notamment en vue de le rendre conforme à sa destination, dans la mesure où Oculera se réserve expressément le droit de procéder aux corrections, adaptations et modifications nécessaires,
✓ Compiler le Logiciel, le décompiler, le désassembler, le traduire, l’analyser, procéder au reverse–engineering ou tenter d’y procéder,
✓ écrire, faire écrire, créer, faire développer, tout programme informatique dérivé du Logiciel,
✓ Altérer, enlever, dissimuler ou modifier toute information indiquant le titulaire des droits de propriété intellectuelle afférents au Logiciel.

Eyesoft garantit, pendant une période de 30 jours à compter de sa livraison au Client, que le Logiciel fonctionne correctement. La seule responsabilité d’Eyesoft au titre de la garantie consiste à donner la possibilité au Client de télécharger à nouveau le Logiciel au sein du disque dur du Casque.

Eyesoft est libérée de toute obligation au titre de la garantie prévue ci–dessus si les dysfonctionnements ne sont pas imputables au Logiciel.

Eyesoft ne consent aucune autre garantie expresse, tacite ou légale quant au fonctionnement du Logiciel. Eyesoft ne garantit pas que le Logiciel est exempt d’erreurs ou de risques d’interruption.

10. Mise à disposition de la Plateforme

Dans le cadre de l’offre Eyesoft-Oculera, le Client reconnaît qu’il doit nécessairement disposer d’un Abonnement à l’offre Eyesoft-Oculera afin d’avoir accès à la Plateforme. À défaut, le Client ne pourra utiliser les Services de l’offre Eyesoft-Oculera.

10.1. Description de la Plateforme

Dans le cadre des Services, Eyesoft met une Plateforme de suivi et des Patients à disposition du Client pendant toute la durée de l’Abonnement.

La Plateforme est fournie en mode SAAS et accessible par internet à l’adresse https://oculera.health

Cette Plateforme permet de :

✓ Consulter et modifier ses informations personnelles (nom, prénom, profession, adresse e– mail, rôle, adresse postale) ;
✓ Réinitialiser son mot de passe ;
✓ Gérer les fonctionnalités de mesure du champ visuel
✓ Gérer les fonctionnalités de suivi des évolutions des mesures de champ visuel ;
✓ Gérer les Patients et en particulier leur suivi (séances, évolutions, durée…).

Eyesoft crée le compte sur la Plateforme pour le compte du Client. Le Client s’engage à fournir des informations exactes et à jour au sein de la Plateforme.

Le Client est informé qu’Oculera se réserve le droit de modifier à tout moment la Plateforme pour la bonne fourniture des Services.

10.2. Droit d’utilisation de la Plateforme

Les CGV ne confèrent au Client aucun titre ou droit de propriété sur la Plateforme ou tout élément la composant (logiciels, structure de base de données, marques, logos graphismes, textes), à l’exception d’un droit d’utilisation de la Plateforme en contrepartie du paiement de l’Abonnement.

Le droit d’utilisation est concédé uniquement au Client, pour la France, dans les limites décrites dans les présentes CGV et à la durée de celles–ci.

Le droit concédé est personnel, non exclusif, non transmissible et non cessible.

Le Client ne pourra copier, modifier, notamment en décompilant, altérer, adapter, notamment en traduisant, arranger et plus généralement modifier tout ou partie de la Plateforme. Il ne pourra pas non plus la reproduire de façon permanente ou provisoire en tout ou partie, par tout moyen et sous toute forme.

Sont soumis à la licence du présent article toute correction, mise à jour ou nouvelle version de la Plateforme.

10.3. Limitations de l’utilisation de la Plateforme

Le Client s’engage notamment à :

✓ Ne pas perturber le fonctionnement de la Plateforme ;
✓ Ne pas extraire, réutiliser, stocker, reproduire, représenter ou conserver, directement ou indirectement, sur un support quelconque, par tout moyen, et sous quelque forme que ce soit, tout ou partie de la Plateforme qui constitue une base de données protégée par la loi.

Le Client reconnaît qu’il est fortement recommandé de ne pas stocker sur la Plateforme de contenu contenant des données sensibles (par exemple des informations concernant la santé, l’origine raciale ou ethnique, les opinions religieuses).

10.4. Sécurité du compte sur la Plateforme

L’identifiant et le mot de passe déterminé par Oculera permettant au Client d’accéder à son compte sur la Plateforme sont strictement confidentiels et personnels.

Le Client est seul responsable de l’utilisation qui pourrait être faite de l’identifiant et de son mot de passe ou de son compte et se porte garant de leur caractère confidentiel, et par suite, de toute utilisation qui pourra être faite de son compte.

En tout état de cause, le Client s’engage à informer immédiatement Eyesoft de toute utilisation qu’il n’aurait pas autorisée et de toute atteinte à la confidentialité ou sécurité de ses données d’identification.

Si, par la faute du Client, il est fait une utilisation non autorisée de ses identifiants, le Client sera exclusivement responsable de tout acte résultant de l’utilisation détournée de la Plateforme ou des Services. Eyesoft ne pourra en aucun cas être tenue responsable de toute perte ou de tout dommage résultant d’un non–respect des obligations du Client stipulées au présent article.

11. Durée

Les présentes CGV sont conclues pour toute la durée de la Commande et/ou de l’Abonnement, ou le cas échéant de la période d’essai.

11.1. Période d’essai gratuite applicable à l’offre Eyesoft-Oculera uniquement

Dans le cadre l’offre Eyesoft-Oculera uniquement, le Client dispose d’une période d’essai gratuite de trente (30) jours à compter de la réception du Casque afin d’essayer les Services.

Durant cette période d’essai, le Client recevra l’offre de Location de la part de l’organisme financier partenaire ou d’EYESOFT.

Dans le cas où le Client ne souhaite pas souscrire un Abonnement au terme de la période d’essai, il en informe EYESOFT par e-mail à l’adresse contact@eyesoft.fr et s’engage dans ce cas à restituer le Casque dans les conditions prévues à l’article « Restitution du Casque ».

L’absence de restitution du Casque dans un délai de quinze (15) jours après la fin de la période d’essai, entraîne l’encaissement par EYESOFT de la garantie de neuf cents euros TTC (900€), ce que le Client reconnait et accepte sans réserve.

11.2. Durée de l’Abonnement

11.2.1. Durée initiale

Les services proposés par Eyesoft sont accessibles par Location, avec un engagement de douze (12) ou trente–six (36) mois, auprès d’Eyesoft directement ou via un organisme financier partenaire d’Eyesoft.

Les modalités (accord, montant) seront présentées et convenues entre EYESOFT et le Client, et l‘organisme de leasing partenaire le cas échéant, au moment du choix de financement par le Client.

La période de Location débute à la date de signature (i) du bon de Commande avec EYESOFT ou (ii) du contrat avec le partenaire financier d’EYESOFT.

11.2.2. Reconduction automatique de l’Abonnement et dénonciation

Au terme de la durée initiale, le contrat sera reconduit tacitement pour des durées identiques à celle prévue dans le contrat initial, selon les modalités tarifaires et de règlement en vigueur au moment du renouvellement.

La dénonciation du contrat pourra intervenir à l’initiative de l’une ou l’autre des Parties à l’issue de la durée initiale du contrat, puis à chaque date anniversaire de la reconduction du contrat et, sous réserve de la notification de l’autre Partie par e-mail. Le Client fera parvenir un e-mail à EYESOFT à l’adresse suivante : service@eyesoft.fr.

La dénonciation devra être notifiée moyennant le respect d’un préavis de deux (2) mois, et emportera application des stipulations prévues à l’article « Modalités de fin du contrat ». Dans le cas d’un contrat avec l’organisme financier partenaire, le contrat pourra être renouvelé et/ou dénoncé de la même manière, auprès d’EYESOFT.

Le Client a la possibilité de résilier par anticipation l’Abonnement dans les conditions définies à l’article « Résiliation par anticipation »

12. Résiliation

12.1 Résiliation pour manquement de l’une des Parties

En cas de manquement par l’une ou l’autre des Parties à ses obligations au titre des présentes CGV, l’autre Partie adressera à la Partie défaillante une mise en demeure, par lettre recommandée avec demande d’avis de réception de remédier au manquement.

Si cette mise en demeure est restée infructueuse trente (30) jours à compter de la réception de celle–ci, la Partie pourra prononcer la résiliation de plein droit du contrat, sans autre formalité que l’envoi à la Partie défaillante, d’une seconde lettre recommandée avec demande d’avis de réception.

Par exception, Eyesoft se réserve la faculté de résilier de plein droit les CGV sans notification préalable ni indemnité dans le cas où le Client ou un de ses Patients porte atteinte de quelque manière que ce soit à l’intégrité du Casque, du Logiciel ou de la Plateforme, ainsi qu’aux droits de propriété intellectuelle d’Oculera.

En cas de résiliation de l’Abonnement pour manquement du Client, l’ensemble des sommes payées restent acquises à Eyesoft, qui facturera l’ensemble des redevances restant dues jusqu’à la fin de l’Abonnement, immédiatement exigibles à la date de résiliation effective.

En cas de résiliation, le Client s’engage à respecter les conséquences de la fin des CGV telles que mentionnées à l’article « Conséquences de la fin de la Location ».

12.2. Résiliation anticipée par le Client

Le Client dispose de la possibilité de résilier le contrat pour convenance après une période de douze (12) mois à compter de la date du début de la Location, moyennant le paiement de frais de résiliation.

Le Client notifiera la résiliation à EYESOFT par e-mail : service@eyesoft.fr. La résiliation sera effective après l’expiration d’un délai de préavis d’un (1) mois à compter de la réception de la notification.

En cas de résiliation anticipée, le Client devra verser à EYESOFT une indemnité correspondant à dix pour cent (10%) du montant total des loyers restant dû jusqu’au terme du contrat. Cette indemnité sera payée dans un délai de trente (30) jours date de facturation.

Le Client reconnaît que cette indemnité forfaitaire représente un dédommagement raisonnable des préjudices subis par EYESOFT en raison de cette résiliation anticipée après la période de douze (12) mois.

13. Modalités de fin de la Location

13.1 Conséquence de la fin de la Location

Au terme de la Location, et ce quelle qu’en soit la cause, le Client s’engage à :

✓ Régler toutes les sommes dues à Eyesoft ou à l ‘organisme de leasing partenaire en contrepartie de la fourniture des Services, toute créance devenant immédiatement exigible ;
✓ Cesser toute utilisation du Casque et du Logiciel,
✓ Régler le cas échéant les frais de résiliation anticipée qui sont immédiatement exigible ;
✓ Restituer le Casque dans les conditions définies ci-après ;
✓ Cesser toute utilisation de la Plateforme. En conséquence, il appartient au Client de sauvegarder les données stockées sur la Plateforme préalablement à la cessation de l’Abonnement. Toutefois, le Client pourra contacter Eyesoft afin d’exporter et transmettre les données stockées sur la Plateforme au plus tard avant la fin de la cessation de l’Abonnement.

13.2 Restitution du Casque et des Accessoires

La restitution du Casque et des Accessoires auprès d’EYESOFT est à la charge du Client.

Il est recommandé de conserver l’emballage d’origine du Casque afin de garantir la meilleure protection de celui–ci pour l’envoi de restitution.

En cas de restitution d’un Casque non fonctionnel ou détérioré, EYESOFT se réserve le droit de facturer au Client le prix des réparations correspondantes et le prix correspondant aux Accessoires non restitués. EYESOFT fera parvenir au Client une facture détaillant les réparations réalisées ainsi que leur coût et prélèvera en conséquence tout ou partie du montant de la garantie.

En cas de non-restitution du Casque par le Client dans un délai de trente (30) jours à compter de la fin de la Location ou de quinze (15) jours à compter de la fin de la période d’essai non suivie d’une Location, EYESOFT prélèvera sur la garantie une somme de neuf cents (900) euros TTC au Client.

14. Prix – Modalités de paiement

14.1. Prix

Le Prix payé par le Client à Eyesoft, ou à l’un de ses organismes financiers partenaires en contrepartie de la fourniture des Services correspond aux tarifs en vigueur au moment de la Commande.

Le Prix est ferme et définitif.

Le Client reconnaît que les Accessoires sont payés séparément.

Le Prix ne comprend pas les coûts liés à l’équipement (ordinateur ou tablette pour accéder à la Plateforme) et aux communications électroniques (internet, wifi), nécessaires à l’utilisation des Services, lesdits coûts étant à la charge du Client.

14.2. Modalités de paiement

14.2.1. Modalités de paiement

La Location est facturée mensuellement par EYESOFT ou l’un des organismes financiers partenaires d’EYESOFT à compter de la date de signature (i) du bon de Commande avec EYESOFT ou (ii) du contrat avec le partenaire financier d’EYESOFT.

La durée de l’engagement de la Location est de douze (12) ou trente-six (36) mois à compter de la date de signature (i) du bon de Commande avec EYESOFT ou (ii) du contrat avec le partenaire financier d’EYESOFT, et le paiement du prix sera effectué conformément aux modalités précisées dans les contrats desdits organismes ou dans le bon de Commande.

14.2.3. Modalités de paiement des Accessoires

Chaque Accessoire acheté fait l’objet d’une facturation unique.

Dans le cadre de l’achat d’un Accessoire, le paiement du Prix sera effectué par virement bancaire / carte bancaire / prélèvement SEPA dans un délai de trente (30) jours à compter de la réception de la facture.

14.2.4. Modification des coordonnées bancaires

En cas de modification de ses coordonnées bancaires, le Client s’engage à en informer Eyesoft dans les meilleurs délais.

14.2.5. Retard de paiement – Pénalités

Le défaut de paiement à l’échéance des factures entraînera de plein droit et sans qu’une mise en demeure préalable ne soit nécessaire, l’application d’un intérêt sur les sommes échues égal à trois fois le taux d’intérêt légal ainsi que le paiement d’une pénalité de 40 euros pour frais de recouvrement.

En cas de défaut de paiement du Client conformément aux présentes, Eyesoft se réserve le droit de suspendre les Services jusqu’au complet paiement du Prix.

15. Responsabilité

15.1. Responsabilité concernant les Services

Eyesoft ne saurait être tenue responsable :

✓ D’autres faits que ceux relatifs à la fourniture des Services ;
✓ D’une inexécution d’une obligation à la charge d’Eyesoft au titre des présentes CGV causée par un manquement d’un prestataire du Client, du Client ou d’un Patient ;

Le Client est informé et reconnaît que :

✓ Le Logiciel est un dispositif médical de classe II.a au sens du Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux,
✓ L’utilisation du Logiciel a pour seul objet d’aider le Client à assister les Patients dans l‘évaluation de leur champ visuel.

Eyesoft indique que le contenu de la Plateforme peut faire l’objet de correctifs et toute évolution jugée nécessaire et qu’elle est susceptible d’être modifiée ou faire l’objet de mises à jour.

Eyesoft s’organise pour que la Plateforme soit disponible 24 heures/24, 7 jours/7. Toutefois, l’accès à tout ou partie de la Plateforme peut être interrompu, de façon temporaire pour des raisons de maintenance visant le bon fonctionnement de la Plateforme, sans préavis et sans que cette interruption puisse donner droit à une quelconque indemnité pour le Client.

En tout état de cause, Eyesoft ne saurait être tenue responsable du non–fonctionnement, d’une impossibilité d’accès ou de dysfonctionnements de la Plateforme imputables à un équipement non adapté, au comportement du Client ou d’un Patient, au fait imprévisible et insurmontable d’un tiers ou à un cas de force majeure, à des dysfonctionnements des services du fournisseur d’accès du Client, à ceux du réseau Internet. EYESOFT ne peut garantir l’exhaustivité des Services ou l’absence de modification par un tiers (intrusion, virus).

Le Client déclare accepter les caractéristiques et les limites d’Internet

15.2. Limitation de responsabilité

La responsabilité d’Eyesoft ne pourra être engagée que pour les dommages directs subis par le Client, résultant d’un manquement à ses obligations contractuelles telles que définies aux présentes.

Le Client renonce donc à demander réparation à Eyesoft à quelque titre que ce soit, de :

✓ Dommages indirects tels que le manque à gagner, la perte de chance, le préjudice commercial ou financier,
✓ La perte ou la corruption de données ou interruption ou perte d’activité,
✓ L’augmentation de frais généraux la perte de revenus, de bénéfices, de clientèle ou de ventes ou d’économies prévues trouvant leur origine ou étant la conséquence de l’exécution des présentes CGV.

Le Client est seul responsable des dommages causés aux tiers, et notamment les Patients, et des conséquences des réclamations ou actions qui pourraient en découler.

En tout état de cause, la responsabilité d’Eyesoft ne pourra pas dépasser le montant payé par le Client à Eyesoft pour la fourniture des Services.

16. Confidentialité

Chaque Partie s’engage à considérer comme confidentielles les informations écrites ou verbales, de toute nature, recueillies dans le cadre de l’exécution des présentes CGV, en particulier les données techniques, juridiques, commerciales et financières, le savoir–faire et plus généralement les informations relatives aux activités des Parties.

En conséquence, les Parties s’engagent à ne pas communiquer ni divulguer ces informations à qui que ce soit, sauf aux membres de leur personnel qui devront en avoir exclusivement et nécessairement connaissance pour l’exécution des présentes CGV.

Les Parties s’interdisent d’utiliser lesdites informations confidentielles de l’autre Partie à d’autres fins que pour l’exécution des présentes CGV.

Chaque Partie prendra toutes dispositions pour assurer le respect de cet engagement par son personnel et garantira l’autre Partie d’un tel respect.

En conséquence, les Parties s’engagent à ce que leurs salariés, sous–traitants, prestataires et plus généralement toute personne qui aurait accès aux informations confidentielles de l’autre Partie soient tenus à une obligation de confidentialité au moins équivalente à celle contenue dans les présentes CGV. L’obligation de confidentialité ne s’applique pas aux informations pour lesquelles la Partie qui les a reçues rapporterait la preuve que :

✓ L’information était en sa possession avant qu’elle la reçoive de l’autre Partie,
✓ L’information était dans le domaine public avant qu’elle la reçoive de l’autre Partie,
✓ L’information a été légalement reçue d’un tiers qui ne la tenait pas directement ou indirectement de l’autre Partie,
✓ L’information a été développée indépendamment par la Partie.

L’obligation de confidentialité ne s’applique pas non plus à l’égard des autorités administratives, judiciaires et fiscales, ainsi que des experts comptables, commissaires aux comptes et avocats, ces derniers étant tenus par le secret professionnel envers leurs clients.

L’obligation de confidentialité subsistera pendant une durée d’un (1) an après le terme des présentes CGV.

17. Propriété intellectuelle – Garanties

17.1. Propriété intellectuelle

Le Client reconnaît qu’Eyesoft est titulaire de droits de propriété intellectuelle, notamment des droits d’auteur, des marques ou des dessins et modèles afférents au Site, et qu’elle en demeure et demeurera respectivement la seule propriétaire.

Le Client reconnaît que le Logiciel et la Plateforme sont la propriété d’Oculera. Le Client s’interdit, en conséquence, de porter atteinte, sous quelque forme et à quelque titre que ce soit et sur quelque support que ce soit, aux droits de propriété intellectuelle dont Eyesoft ou Oculera est titulaire.

Ainsi et plus particulièrement, le Client s’interdit de déposer et/ou céder lesdits droits de propriété intellectuelle, notamment les marques, d’en disposer de quelque façon que ce soit ou de concéder à tout tiers des droits de quelque nature que ce soit la concernant.

17.2. Garanties

Eyesoft garantit au Client qu’elle est autorisée à concéder des droits sur le Logiciel ou la Plateforme.

Eyesoft garantit au Client une jouissance libre et paisible des droits concédés.

Eyesoft garantit le Client contre tout trouble, toute action en revendication intentée par des tiers qui soutiendraient que le Logiciel ou la Plateforme viole ses droits de propriété intellectuelle.

Eyesoft déclare qu’il n’existe, à sa connaissance, aucune action en justice, en demande ou en défense, relative au Logiciel ou à la Plateforme.

Nonobstant les autres droits d’EYESOFT, en cas de condamnation définitive ou de transaction consécutive à une contestation, interdisant toute exploitation de tout ou partie du Logiciel ou de la Plateforme, Eyesoft s’efforcera, à ses frais d’obtenir le droit d’exploitation, pour le Client ou de procéder à toute modification du Logiciel ou de la Plateforme aux fins de les rendre non contestables.

Si aucune de ces mesures n’est réalisable, il est expressément convenu que le Client pourra résilier les CGV.

18. Données personnelles

18.1. Obligations d’Eyesoft en tant que responsable de traitement

Dans le cadre de la fourniture des Services, Eyesoft, responsable du traitement, met en œuvre un traitement de Données concernant le Client aux fins de gestion, de suivi, de facturation de l’Abonnement et des Services de manière générale.

Données concernées :

✓ Coordonnées du Client : nom, prénom, adresse e–mail, adresse postale, numéro de téléphone, carte d’identité
✓ Informations professionnelles : SIRET/SIREN
✓ Coordonnées bancaires : Carte bancaire ou RIB ;
✓ Autre : attestation responsabilité civile professionnelle.

Ces Données sont conservées sur des serveurs dans l’Union Européenne. Ces Données seront conservées pendant le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte. Conformément à la Loi Informatique et Libertés et au RGPD, le Client dispose d’un droit d’accès, de limitation, de rectification, de portabilité, d’opposition et de suppression des Données le concernant. Le Client dispose enfin du droit de définir des directives définissant la manière dont il entend que soient exercés, après ses décès, ces droits. Le Client peut exercer ces droits en adressant un courrier à Eyesoft 12 rue Dumonteil 33000 Bordeaux ou un email à contact@eyesoft.fr et en joignant une copie recto-verso de sa pièce d’identité, ou tout autre moyen permettant de justifier de son identité. Le Client dispose du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

18.2. Obligations d’Oculera en tant que sous–traitant

Dans le cadre de la fourniture des Services, Oculera est amenée à agir en tant que sous–traitant des données personnelles du Client au sens de la Loi Informatique et Libertés et du RGPD.

Le Client reconnaît être responsable de traitement de Données au sens de la Loi Informatique et Libertés et du RGPD. En conséquence, le Client s’engage à se conformer à la réglementation en vigueur applicable en matière de protection des Données.

Oculera procèdera au traitement des Données au nom et pour le compte du Client. À ce titre, Oculera s’engage à respecter les obligations prévues au contrat de sous-traitance de données annexé aux présentes (Annexe 1).

19. Force majeure

La responsabilité des Parties ne saurait être recherchée si elles sont retardées ou empêchées d’exécuter une obligation résultant des présentes CGV en raison d’un cas de force majeure.

Sont considérés comme des cas de force majeure, outre ceux habituellement retenus par la jurisprudence des cours et tribunaux français : les guerres, troubles sociaux (grèves ou situations de lock–out), attentats, intempéries, épidémies, tremblement de terre, inondations, dégâts des eaux, incendies, blocage des moyens de communication, de transport ou d’approvisionnement, etc…

Dès la découverte du cas de force majeure, la Partie qui souhaite s’en prévaloir notifiera celui–ci à l’autre Partie par lettre recommandée avec demande d’avis de réception.

Les présentes CGV seront alors suspendues pendant toute la durée de cet évènement.

Si la durée de la suspension est supérieure à un (1) mois, les présentes CGV pourront être résiliées de plein droit par l’une des Parties après notification par lettre recommandée avec demande d’avis de réception, et sans indemnité de part et d’autre.

20. Référence commerciale

Sauf mention contraire expresse du Client, le Client autorise expressément Eyesoft à citer le nom du Client à titre de référence commerciale et notamment sur le Site.

21. Intuitu personae

Les CGV étant conclues intuitu personae, le Client ne peut céder, transférer ou sous–traiter tout ou partie de ses droits et obligations au titre des présentes CGV, sans l’accord préalable et écrit d’Eyesoft.

22. Signature électronique

Les Parties conviennent expressément que les présentes CGV sont signées par des moyens électroniques et constituent l’original des CGV, lequel prévaut entre les Parties. Les Parties conviennent expressément que, conformément à l’article 1366 du Code civil, l’accord signé électroniquement constitue une preuve ayant la même valeur probante qu’un accord au format papier comportant une signature manuscrite et lui confèrent date certaine.

En conséquence, les Parties reconnaissent que les CGV sont valablement exécutoires, et les Parties s’engagent par la présente à ne pas contester la recevabilité, la validité, la force exécutoire ou la valeur probante de la version électronique du présent document. Ces stipulations s’appliquent à toute modification future des CGV que les Parties pourraient être amenées à signer.

La solution de signature électronique est fournie par le prestataire de services [OneFlow] fournissant, conformément à l’article 1367 du Code civil, un procédé fiable d’identification garantissant le lien de la signature avec l’acte auquel elle s’attache.

23. Stipulations diverses

Les Parties sont indépendantes et agissent en leur propre nom et sous leur seule responsabilité. Les Parties sont des professionnels.

Dans l’hypothèse où l’un des termes des CGV serait considéré comme illégal ou inopposable par une décision de justice les autres stipulations resteraient valables.

Le fait pour l’une des Parties de ne pas exercer un droit ou de ne pas exiger de l’autre Partie qu’elle se conforme strictement et à tout moment aux présentes CGV ne pourra jamais être considéré comme étant une renonciation à s’en prévaloir.

Toutes les notifications des Parties devront être adressées au siège social de l’autre Partie, et sous forme de lettre recommandée avec demande d’avis de réception, ou remises contre récépissé.

Les registres informatisés d’EYESOFT et la signature électronique des CGV par le Client seront considérés par les Parties comme preuve des communications, commandes, paiements et transactions intervenus entre les Parties.

24. Loi applicable et litige

Les CGV sont conclues en langue française et soumises à la loi française.

En cas de litige entre Eyesoft et le Client découlant de la formation, l’interprétation, l’exécution et/ou la fin du contrat, et après une tentative de recherche d’une solution amiable, compétence expresse est attribuée au tribunal compétent de Bordeaux, nonobstant pluralité de défendeurs ou appel en garantie, même pour les procédures d’urgence ou les procédures conservatoires ou en référé ou par requête.

Stipulations Spécifiques Eyesoft-Oculera

Dans le cadre des présentes, Eyesoft fournit au Client les Services suivants :

✓ La mise à disposition du Logiciel embarqué dans le Casque pendant toute la durée de l’Abonnement ;
✓ La mise à disposition de la Plateforme pendant toute la durée de l’Abonnement ;
✓ L’installation du Logiciel dans le Casque ;
✓ L’assistance technique pendant toute la durée de l’Abonnement ;
✓ La mise en service et la formation à l’utilisation du Casque et du Logiciel

Le Client reconnaît et accepte que les Services sont fournis ensemble. Le Client ne peut limiter l’Abonnement à l’un des Services

Le Casque est un casque de réalité virtuelle disposant des caractéristiques suivantes :

✓ Casque PICO :
✓ Série Neo 3 Pro Eye ;
✓ Modèle A7H10

Le Casque est associé à deux manettes de contrôle : Modèle C1710.

Eyesoft se réserve le droit de faire évoluer les caractéristiques du Casque de réalité virtuelle afin d’améliorer la qualité du Service ou de son dispositif.

Conformément aux conditions d’utilisation du Casque, ce dernier dispose d’un « mode de protection des yeux », certifié par TUV Rheinland (Allemagne), qui peut protéger les yeux en réduisant la lumière bleue dans les trois canaux de couleur à l’aide d’algorithmes logiciels. L’écran du Casque apparaît jaunâtre dans ce mode et les Patients peuvent activer/désactiver cette fonctionnalité dans « Paramètres » > « Luminosité » > « Mode Protection des yeux ».

Le Client s’engage à respecter les conditions d’utilisation prévues par Eyesoft. Tout mésusage pourrait entraîner l’annulation de la garantie.

Annexe 1 – Contrat de sous-traitance de données entre Oculera et le Client (DPA)

DATA PROCESSING AGREEMENT

This Data Processing Agreement, including its Schedules, (“DPA”) forms part of the existing agreement(s) between the healthcare and/or social care organization that uses Oculera’s Software Products (“Customer”) and Oculera, a joint stock company incorporated and registered under the laws of the Republic of Türkiye with a company registration number 454615 before Ankara Trade Registry Directorate whose registered office is at Ostim OSB Mah. 100. Yıl Bul. No: 55e İç Kapı No: 14 Yenimahalle/Ankara, or Oculera’s authorized distributors, covering Customer’s use of Oculera’s Software Products (the “Agreement”) to reflect the parties’ agreement regarding the Processing of Customer Personal Data. Oculera and Customer are individually a “Party” and, collectively, the “Parties.” The Parties acknowledge that Oculera’s Software Products may have been purchased through the channels of Oculera’s authorized distributors in the EU, and therefore, the Agreement itself may have been signed by and between Oculera’s authorized distributors and Customer. In this case, the Parties still accept that this DPA forms part of the Agreement and will be applied for the provision of the Services.

In the framework of the performance of the Agreement, Oculera may Process Personal Data on behalf of Customer. This DPA regulates the provision and use of Personal Data and ensures both Oculera and the Customer meet their obligations under the Data Protection Law. Therefore, the Parties agree to comply with the following provisions with respect to any Personal Data, each acting reasonably and in good faith.

How to Execute this DPA:

This DPA consists of two parts: the main body of the DPA, and Schedules 1, 2 and 3.
This DPA has been pre-signed on behalf of Oculera. Please note that the contracting entity under the Agreement may be a different entity to Oculera.
To complete this DPA, Customer must:
1. Complete the information in the signature box and sign (with wet signature or e-signature) on page ten (10).
2. Send the signed DPA to Oculera by e-mail to privacy@oculera.health indicating, if applicable, the Customer’s Account Number (as set out on the applicable Oculera Order Form or invoice).

Except as otherwise expressly provided in the Agreement, this DPA will become legally binding upon receipt by Oculera of the validly completed DPA at this email address.

For the avoidance of doubt, signature of the DPA on page ten (10) shall be deemed to constitute signature and acceptance of the Standard Contractual Clauses.

1. Definitions

The following terms have the meanings set forth below. All capitalized terms not defined in this DPA will have the meanings set forth in the Agreement.

“Account Data” means Personal Data relating to Customer’s relationship with Oculera, including: (i) Users’ (patients’) account information (e.g. name, email address, or Oculera’s account ID (•); (ii) billing and contact information of individual(s) associated with Customer’s Oculera account (e.g. billing address, email address, or name); (iii) Users’ device and connection information (e.g. IP address); and (iv) content/description of technical support requests (excluding attachments) alongside with the Support Entitlement Number (SEN).

“Affiliate” means any entity that directly or indirectly controls, is controlled by, or is under common control with the subject entity. “Control,” for purposes of this definition, means direct or indirect ownership or control of more than 50% of the voting interests of the subject entity.

“Authorized Affiliate” means any of Customer’s Affiliate(s) which (i) is subject to the data protection laws and regulations of the European Union, the European Economic Area and/or their member states, Switzerland and/or the United Kingdom, and (ii) is permitted to use the Services pursuant to the Agreement but has not signed its own Order Form and is not a “Customer” as defined under the Agreement;

“Controller” means the entity which determines the purposes and means of the Processing of Personal Data.

“Customer” means the entity that executed the Agreement together with its Affiliates (for so long as they remain Affiliates) which have signed Order Forms. For the purposes of this DPA only, and except where indicated otherwise, the term “Customer” shall include Customer and its Authorized Affiliates.

“Customer Personal Data” means Personal Data contained in Customer Data and/or Customer materials that Oculera Processes under the Agreement solely on behalf of Customer. For clarity, Customer Personal Data includes any Personal Data included in the attachments provided by Customer or its Users (patients) in any technical support requests.

“Data Protection Laws” means all laws and regulations, including European Data Protection Laws, applicable to a Party in its use or provision of the Services, in connection with the Processing of Personal Data under the Agreement.

“Data Subject” means the identified or identifiable natural person to whom Personal Data relates.

« European Data Protection Laws » means data protection laws applicable in Europe, including: (i) the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (« GDPR ») and applicable national implementations of GDPR and/or (ii) Law no. 78-17 of January 6, 1978 “Loi Informatique et Libertés” as amended in each case, as may be amended, superseded or replaced.

“Personal Data” means information about an identified or identifiable natural person, or which otherwise constitutes “personal data”, “personal information”, “personally identifiable information” or similar terms as defined in Data Protection Laws.

“Personal Data Breach” means any breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Personal Data Processed by Oculera or its Sub-processors of which Oculera becomes aware.

“Processor” means the entity which Processes Personal Data on behalf of the Controller.

“Processing” (and “Process”) means any operation or set of operations which is performed on Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

“Services” means the provision of certain Software Products by Oculera to the Customer from time to time, including products currently offered and those offered in the future by virtue of the Agreement.

“Sensitive personal data” means Personal Data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation.

“Sub-processor” means any third party (inc. Oculera Affiliates) engaged by Oculera to Process Customer Personal Data.

“Usage Data” means Personal Data relating to or obtained in connection with the use, performance, operation, support or use of the Software Products. Usage Data may include event name (i.e. what action Users performed), event timestamps, browser information, and diagnostic data. For clarity, Usage Data does not include Customer Personal Data.

2. Scope and Term

2.1. Roles of the Parties.

Customer Personal Data. Oculera will Process Customer Personal Data as Customer’s Processor in accordance with Customer’s instructions as outlined in Section 3.4.
Account Data. Oculera will Process Account Data as a Controller for the following purposes: (i) to provide and improve Oculera’s Software Product; (ii) to manage the Customer relationship (communicating with Customer and Users in accordance with their account preferences, responding to Customer inquiries and providing technical support, etc.), (iii) to facilitate security, fraud prevention, performance monitoring, business continuity and disaster recovery; (iv) to carry out regulatory requirements and (v) to carry out core business functions such as accounting, billing, and filing taxes.
Usage Data. Oculera will Process Usage Data as a Controller for the following purposes: (i) to provide, optimize, secure, and maintain Oculera’s Software Products; (ii) to optimize user experience; and (iii) to inform Oculera’s business strategy.

2.2. Term of the DPA. The term of this DPA coincides with the term of the Agreement and terminates upon expiration or earlier termination of the Agreement (or, if later, the date on which Oculera ceases all Processing of Customer Personal Data).

3. Processing of Personal Data

3.1. Customer’s Processing of Personal Data. Customer shall, in its use of the Services, Process Personal Data in accordance with the requirements of the Data Protection Laws, including but not limited to any applicable requirement to provide notice to Data Subjects of the use of Services as Processor. Customer specifically acknowledges and agrees that its use of the Services will not violate the rights of any Data Subject, including those that have opted-out from sales or other disclosures of Personal Data, to the extent applicable under Data Protection Laws.

3.2. Oculera’s Processing of Personal Data. Oculera shall treat Customer Personal Data as Confidential Information. Oculera shall ensure personnel authorized to Process Customer Personal Data are bound by written (or statutory) obligations of confidentiality. Oculera shall only Process Customer Personal Data on behalf of Customer and in accordance with documented instructions of Customer’s for the following purposes: (i) to provide and improve the Software Products; (ii) Processing in accordance with the Agreement and applicable Order Form(s); (iii) Processing initiated by Users (patients) in their use of the Services; and (iv) Processing to comply with other documented reasonable instructions provided by Customer (e.g., via email) where such instructions are consistent with the terms of the Agreement. Oculera will Process Customer Personal Data in compliance with applicable Data Protection Laws, provided however that Oculera shall not be in violation of this contractual obligation in the event that Oculera’s Processing of Customer Personal Data in non-compliance with Data Protection Laws is due to Customer.

3.4. Details of the Processing. The Parties acknowledge and agree that with regard to the Processing of Customer Personal Data, Customer is the Controller, Oculera is the Processor and that Oculera or its Affiliates engaged in the Processing of Personal Data will engage Sub-processors pursuant to the requirements set forth in Schedule 2 (Sub-processors) below. The subject-matter of Processing of Customer Personal Data by Oculera is the performance of the Services pursuant to the Agreement. The nature and purpose of the Processing, the types of Personal Data and categories of Data Subjects Processed under this DPA are further specified in Schedule 1 (Details of the Processing) to this DPA.

3.5 Customer Instructions. Oculera will Process Customer Personal Data only on documented instructions from Customer, including with regard to transfers of such Customer Personal Data to a third country or an international organisation, unless required to do so by Data Protection Laws to which Oculera is subject; in such a case, Oculera shall inform Customer of that legal requirement before Processing, unless that law prohibits such information on important grounds of public interest. For the avoidance of doubt, Customer’s instructions for the Processing of Personal Data shall comply with Data Protection Laws. Oculera will promptly inform Customer if it becomes aware that Customer’s Processing instructions infringe Data Protection Laws. Customer shall have sole responsibility for the accuracy, quality, and legality of Customer Personal Data and the means by which Customer acquired the Customer Personal Data.

4. Rights of Data Subjects

4.1. Data Subject Requests. Taking into account the nature of the Processing, Oculera shall, to the extent legally permitted and to the extent Oculera has been able to identify that the request comes from a Data Subject whose Personal Data was submitted to the Services by Customer, promptly notify Customer if Oculera receives a request from Data Subject in relation to the exercise of any Data Subject’s rights (including rights of access, right to rectification, erasure (including the right to be forgotten), restriction of Processing, object to the Processing, data portability or its right not to be subject to an automated individual decision making, right to define general or specific guidelines on the retention, erasure and disclosure of their personal data after their death ; each such request being a “Data Subject Request”). Oculera will confirm to the Data Subject that it has passed the request to the Customer, but Oculera shall not handle or execute the Data Subject Request. Each Party shall maintain a record of Data Subject Requests, the decisions made and any information that was exchanged.

4.2 Taking into account the nature of the Processing, Oculera shall assist Customer by providing appropriate and necessary technical and organizational measures, insofar as this is possible, for the fulfilment of Customer’s obligation to respond to a Data Subject Request under Data Protection Laws.

5. Oculera Personnel

5.1. Confidentiality, Reliability and Limitation of Access. Oculera shall ensure that its personnel engaged in the Processing of Customer Personal Data are informed of the confidential nature of the Personal Data, have received appropriate training on their responsibilities and have executed written confidentiality agreements. Oculera shall ensure that such confidentiality obligations survive the termination of the personnel engagement. Oculera take commercially reasonable steps to ensure the reliability of any Oculera personnel engaged in the Processing of Customer Personal Data. Oculera shall ensure that Oculera’s access to Customer Personal Data is limited to those personnel performing Services in accordance with the Agreement, any applicable Order Form(s) and Documentation.

5.2. Data Protection Officer. Oculera has appointed a data protection officer for Oculera and its Affiliates. The appointed person can be reached at privacy@oculera.health.

6. Sub-Processors

6.1. Appointment of Sub-processors. Customer acknowledges and agrees that Oculera may engage third-party Sub-processors in connection with the provision of the Services and by entering into this DPA, Customer provides general authorization for Oculera to engage Sub-processors to Process Customer Personal Data. Oculera shall (i) enter into a written agreement with each Sub-processor containing data protection obligations not less protective than those in this DPA with respect to the protection of Customer Personal Data to the extent applicable to the nature of the product or/and services provided by such Sub-processor (ii) remain liable to Customer if such Sub-processor fails to fulfill its data protection obligations with regard to the relevant Processing activities under the Agreement.

6.2. List of Current Sub-processors and Notification of New Sub-processors. Attached hereto as Schedule 2 is a current list of Sub-processors for the Services. Such Sub-processors list shall include the identities of those Sub-processors, their country of location as well as the type of Processing they perform. Customer hereby consents to these Sub-processors, their locations and processing activities as it pertains to their Personal Data. Oculera will notify Customer of a new Sub-processor(s) (which may be via email, a posting, or notification on an online portal for Oculera’s services or other reasonable and lawful means), at least thirty (30) days before authorizing any new Sub-processor(s) to Process Personal Data in connection with the provision of the applicable Services.

6.3. Objection Right for New Sub-processors. Customer may object to Oculera’s use of a new Sub-processor by notifying Oculera promptly in writing by contacting privacy@oculera.health within five (5) business days after receipt of Oculera’s notice. In the event that Customer objects to a new Sub-processor on reasonable grounds relating to the protection of Personal Data, as permitted in the preceding sentence, Oculera will use reasonable efforts to make available to Customer a change in the Services or recommend a commercially reasonable change to Customer’s configuration or use of the Services to avoid Processing of Personal Data by the objected-to new Sub-processor without unreasonably burdening Customer. If Oculera is unable to make available such change within a reasonable period of time, which shall not exceed sixty (60) days, Customer may terminate the applicable Order Form(s) with respect only to those Services which cannot be provided by Oculera without the use of the objected-to new Sub-processor, by providing written notice to Oculera. Oculera will refund to Customer any prepaid fees covering the remainder of the term of such Order Form(s) following the effective date of termination with respect to such terminated Services, without imposing a penalty for such termination on Customer.

7. Deletion and Return of Personal Data

7.1. During Subscription Term. During the Subscription Term, Customer and its Users (patients) may, through the features of the Software Product, access, retrieve or delete Customer Personal Data.

7.2. Post Termination. Following expiration or termination of the Agreement, Oculera must, in accordance with the Documentation, delete all Customer Personal Data. Notwithstanding the foregoing, Oculera may retain Customer Personal Data (i) as required by Data Protection Laws or (ii) in accordance with its standard backup or record retention policies, provided that, in either case, Oculera will maintain the confidentiality of, and otherwise comply with the applicable provisions of this DPA with respect to retained Customer Personal Data and not further Process it except as required by Data Protection Laws.

8. Security and Audits

8.1. Controls for the Protection of Customer Data. Oculera has implemented and will maintain appropriate technical and organizational measures designed to protect the security, confidentiality, integrity and availability of Customer Personal Data and protect against Security Incidents as set forth in the Oculera’s technical and organizational security measures (“Security Measures”) attached hereto as Schedule 3. Customer is responsible for reviewing the information made available by Oculera relating to data security and making an independent determination as to whether the Services meet Customer’s requirements and legal obligations under Data Protection Laws. Customer acknowledges that the Security Measures are subject to technical progress and development and that Oculera may update or modify such document from time to time provided that such updates and modifications do not result in a material decrease of the overall security of the Services during a subscription term of the Software Product.

8.2. Security incidents. Oculera maintains security incident management policies and procedures specified in the Security Measures and shall notify Customer without undue delay and, where feasible, no later than forty-eight (48) hours after becoming aware of a Personal Data Breach. Oculera shall provide information to Customer necessary to enable Customer to comply with its obligations under Data Protection Laws in relation to such Personal Data Breach. The content of such communication to Customer will (i) include the nature of Processing and the information available to Oculera, and (ii) take into account that under applicable Data Protection Laws, Customer may need to notify regulators or individuals of the following: (a) a description of the nature of the Personal Data Breach including, where possible, the categories and approximate number of individuals concerned and the categories and approximate number of Personal Data records concerned; (b) a description of the likely consequences of the Personal Data Breach; and (c) a description of the measures taken or proposed to be taken to address the Personal Data Breach, including, where appropriate, measures to mitigate its possible adverse effects. Oculera shall make commercially reasonable efforts to identify the cause of such Personal Data Breach and take those steps as Oculera deems necessary and reasonable in order to remediate the cause of such Personal Data Breach to the extent the remediation is within Oculera’s reasonable control. The obligation to remediate the cause of a Personal Data Breach shall not apply to Personal Data Breaches that are caused by Customer or Customer’s Users.

8.3. On-site Audits. Only to the extent Customer cannot reasonably satisfy Oculera’s compliance with this DPA or where required by Data Protection Laws or a regulatory authority, Customer, (or Customer’s independent, third-party auditor that is not a competitor of Oculera and that is subject to confidentiality obligations substantially similar to those set forth in the Agreement) may, at Customer’s expense, conduct audits (including inspections) during the term of the Agreement to assess Oculera’s compliance with the terms of this DPA. Any such audit must (i) be limited to the facilities operated by Oculera; (ii) be conducted during Oculera’s regular business hours, with reasonable advance written notice of at least sixty (60) calendar days (unless Data Protection Laws or a regulatory authority requires a shorter notice period); (iii) not exceed 1 (one) business day; (iv) occur no more than once every twelve (12) months; (v) restrict its findings to only information relevant to Customer and (vi) be in way that Customer shall promptly notify Oculera with information regarding any non-compliance discovered during the course of such audit.

9. Assistance and Cooperation Obligations

9.1. Third Party Requests. Oculera shall maintain appropriate measures to protect Customer Personal Data in accordance with the requirements of Data Protection Laws, including by implementing appropriate technical and organizational measures to protect Customer Personal Data against any interference that goes beyond what is necessary in a democratic society to safeguard national security, defense and public security. If Oculera receives a legally binding request to access Customer Personal Data from a public authority, Oculera shall, unless otherwise legally prohibited, promptly notify Customer including a summary of the nature of the request. To the extent Oculera is prohibited by law from providing such notification, Oculera shall use commercially reasonable efforts to obtain a waiver of the prohibition to enable Oculera to communicate as much information as possible, as soon as possible. Further, Oculera shall challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful. Oculera shall pursue possibilities of appeal. When challenging a request, Oculera shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the Customer Personal Data requested until required to do so under the applicable procedural rules. Oculera agrees it will provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request. Oculera shall promptly notify Customer if Oculera becomes aware of any direct access by a public authority to Customer Personal Data and provide information available to Oculera in this respect, to the extent permitted by law. For the avoidance of doubt, this DPA shall not require Oculera to pursue action or inaction that could result in civil or criminal penalty for Oculera such as contempt of court. Oculera certifies that Oculera (i) has not purposefully created back doors or similar programming for the purpose of allowing access to the Services and/or Customer Personal Data by any public authority; (ii) has not purposefully created or changed its business processes in a manner that facilitates access to the Services and/or Customer Personal Data by any public authority; and (iii) at the Effective Date is not currently aware of any national law or government policy requiring Oculera to create or maintain back doors, or to facilitate access to the Services and/or Customer Personal Data, to keep in its possession any encryption keys or to hand-over the encryption key to any third party.

9.2. Data Protection Impact Assessment. Upon Customer’s request, and taking into account the nature of the applicable Processing, Oculera shall provide Customer with reasonable cooperation and assistance needed to fulfill Customer’s obligation under the GDPR to carry out a data protection impact assessment (and also consultations with regulatory authorities) related to Customer’s use of the Services, to the extent Customer does not otherwise have access to the relevant information, and to the extent such information is available to Oculera. Oculera shall provide reasonable assistance to Customer in the cooperation or prior consultation with the Supervisory Authority (as defined in the GDPR) in the performance of its tasks relating to this Section 9.2 of this DPA, to the extent required under the GDPR.

9.3. Infringing Instructions. Oculera shall immediately inform the Customer if, in its opinion, an instruction infringes GDPR.

10. Data Transfer Mechanisms

10.1. Data Transfers. As of the Effective Date of this DPA, with regard to any transfers of Personal Data under this DPA from the European Union, the European Economic Area and/or their member states to countries which do not ensure an adequate level of data protection within the meaning of Data Protection Laws of the foregoing territories, to the extent such transfers are subject to such Data Protection Laws, Oculera makes available the following transfer mechanism(s) which shall apply, in the order of precedence as set out below, if applicable:

Any valid transfer mechanism pursuant to Chapter V “Transfers of personal data to third countries or international organizations” of the GDPR permitting transfer of EU Personal Data outside the EU to which Oculera would subscribe, certify or participate in.
The Standard Contractual Clauses (hereinafter “SCC”) are hereby incorporated into this DPA by reference as follows:
1. Customer is the “data exporter” and Oculera is the “data importer”.
2. Module One (Controller to Controller) applies where Oculera is Processing Account Data or Usage Data.
3. Module Two (Controller to Processor) applies where Customer is a Controller of Customer Personal Data and Oculera is Processing Customer Personal data as a Processor.
4. Module Three (Processor to Processor) applies where Customer is a Processor of Customer Personal Data and Oculera is Processing Customer Personal Data as another Processor.
5. By entering into this DPA, each Party (including the Authorized Affiliates) is deemed to have signed the SCCs as of the commencement date of the Agreement.
For each Module, where applicable:
1. In Clause 7, the optional docking clause does not apply.
2. In Clause 9, Option 2 applies, and the time period for prior notice of Sub-processor changes is stated in Section 6 (Sub- processors) of this DPA.
3. In Clause 11, the optional language does not apply.
4. In Clause 17, Option 1 applies, and the EU SCCs are governed by the laws of France.
5. In Clause 18(b), disputes will be resolved before the courts of Paris, France
6. The Appendix of SCCs is populated as follows:
  - ✓ The information required for Annex I(A) is located in the Agreement and/or relevant Orders.
  - ✓ The information required for Annex I(B) is located in Schedule 1 (Details of Processing) of this DPA.
  - ✓ The competent supervisory authority in Annex I(C) will be determined in accordance with the Data Protection Laws; and
  - ✓ The information required for Annex II is located here.
In the event of any conflict or inconsistency between this DPA and the SCC, the SCC shall prevail.
Schedule2 of this DPA represents Customer’s express consent regarding existing and new Sub-processors.

11. Miscellaneous

11.1. Amendments. Notwithstanding anything else to the contrary in the Agreement and without prejudice to the ‘Customer Instructions’ or ‘Security’ sections of this DPA, we reserve the right to make any updates and changes to this DPA.

11.2. Severability. If any individual provisions of this DPA are determined to be invalid or unenforceable, the validity and enforceability of the other provisions of this DPA will not be affected.

11.3. Limitation of Liability. Each Party’s and all of its Affiliates’ liability, taken together in the aggregate, arising out of or related to this DPA, and all DPAs between Authorized Affiliates and Oculera, whether in contract, tort or under any other theory of liability, is subject to the ‘Limitation of Liability’ section of the Agreement, and any reference in such section to the liability of a party means the aggregate liability of that party and all of its Affiliates under the Agreement and all DPAs together.

For the avoidance of doubt, Oculera and its Affiliates’ total liability for all claims from Customer and all of its Authorized Affiliates arising out of or related to the Agreement and all DPAs shall apply in the aggregate for all claims under both the Agreement and all DPAs established under the Agreement, including by Customer and all Authorized Affiliates, and, in particular, shall not be understood to apply individually and severally to Customer and/or to any Authorized Affiliate that is a contractual party to any such DPA.

11.4. Governing Law and Dispute Resolution. The governing law for shall be the law that is designated in the Governing Law section of the Agreement. Each Party irrevocably agrees that the courts of Paris, France shall have exclusive jurisdiction to settle any dispute or claim (including non-contractual disputes or claims) arising out of or in connection with this Data Processing Agreement, or its subject matter or formation.

12. Legal Effect

This DPA shall only become legally binding between Customer and Oculera when the formalities steps set out in the section “How to Execute this DPA” above have been fully completed.

List of Schedules:

✓ Schedule 1: Details of Processing
✓ Schedule 2: List of Sub-Processors as of the Effective Date
✓ Schedule 3: Oculera’s Technical and Organizational Security Measures

The Parties’ authorized signatories have duly executed this DPA:

CUSTOMER Signature: Full Name: Print Name: Title: Date:	OCULERA Signature: Full Name: Print Name: Title: Date:

Schedule 1 : Details of Processing

Description	Details
Categories of Data Subjects whose Personal Data is Processed:	Customer may submit Personal Data to the Services, the extent of which is determined and controlled by Customer in its sole discretion, and which include Personal Data relating to the Users (patients).
The frequency of the Transfer:	Continuous.
Categories of Personal Data Processed:	(i) Account Data, (ii) Usage Data and (iii) Customer Personal Data
Nature of the Processing:	Oculera will Process Customer Personal Data in order to provide the Software Products and related support and advisory Services in accordance with the Agreement, including this DPA. Customer Personal Data, therefore, may be subject to the following Processing activities: (i) Collection, storage, and other Processing necessary to provide, maintain and improve the Services provided to Customer pursuant to the Agreement. (ii) Making available of Personal Data by automated means in accordance with the Agreement (including this DPA) and/or as compelled by applicable laws. (iii) Controller may disclose patient data to Oculera when receiving technical support and from time-to-time Oculera’s technical team may have access to patient data when they are fixing a technical issue for example via remote support, which may include screen sharing. (iv) Compilation of anonymized statistics about the use of Oculera’s platform, such as the use of its functions by its Users/patients. These statistics may be used for Oculera’s own analytics and improvement purposes.
Purpose(s) of the Processing:	(i) Customer Personal Data: Oculera will Process Customer Personal Data as Processor in accordance with Customer’s instructions as set out in Section 3.4 (Customer Instructions). (ii) Account Data and Usage Data: Oculera will Process Account Data and Usage Data for the limited and specified purposes outlined in Section 1.1 (Roles of the Parties).
Duration of Processing:	(i) Customer Personal Data: Oculera will Process Customer Personal Data for the term of the Agreement as outlined in Section 6 (Deletion and Return of Customer Personal Data). (ii) Account Data and Usage Data: Oculera will Process Account Data and Usage Data only as long as required (a) to provide Products and related support and advisory Services to Customer in accordance with the Agreement; (b) for Oculera’s legitimate business purposes outlined in Section 1.1 (Roles of the Parties); or (c) by applicable Law(s).
Type of Personal Data	Personal Data (relating to Users (patients) of the Controller): Patient demographic details (name; date of birth; gender) Mobile phone number Email address ‍Personal Data (relating to healthcare and/or social care professionals): Name Email address Mobile phone number Affiliated organisations Job role Sensitive Personal Data Content of the communications with – or regarding – User (patients) sent via the Services (which may contain data concerning health). Social security number relating to the user. Other types of data, including third party data, (which may include data concerning health that may from time to time be required to provide the Services) Account Data and Usage Data as described in the Section 1 (Definitions).
Transfers to (Sub-) processors:	Oculera will transfer Customer Personal Data to Sub-processors as permitted in Section 6 (Sub- processors).

Schedule 2 : Sub-Processors

A Sub-processor is a third-party organization which:

(i) Oculera depends on to help deliver the Services,

(ii) will potentially have access to or process Customers’ or its users’ (patients’) Personal Data.

Oculera engages different types of Sub-processors to perform different functions in Services.

Oculera undertakes to use commercially reasonable selection process by which it evaluates the security, privacy and confidentiality practices of proposed Sub-processors that will or may have access to or otherwise process Customer Personal Data.

To help Oculera deliver the Services, Oculera engages Sub-processors. By agreeing to the DPA, the Customer agrees all of these Sub-Processors listed below may have access to the Customer Personal Data.

Name	Nature and Purpose	Geographical Location	Applicable Features
Amazon Web Services	Oculera controls access to the infrastructure that uses to store and Process the data on the platform. Oculera use AWS’s secure cloud hosting service to securely store and process Customer Personal Data. AWS regions used are located in the Frankfurt Germany, for both live and backup environments. AWS is certified as Health Data Hosting provider.	Germany, Frankfurt	All
Google LLC	Google is Oculera’s email provider. All requests Oculera receive or address via @oculera.health email addresses are processed through their services.	US	E-mail, video, infrastructure

Schedule 3 : Oculera’s Technical and Organizational Security Measures

1. Introduction

The aim of this document is to provide high-level information to our Customers regarding Oculera’s commitment to security and data protection. Oculera is aiming to achieve and maintain the trust of our Customers. Our goal is to be as transparent as possible with our Customers in offering security and protections to meet and exceed expectations in today’s computing world.

Oculera’s CTO is responsible for the overall security of the Services, including oversight and accountability.

Infrastructure. Oculera’s contracts with third-party hosting providers such as Amazon Web Services include industry-standard information protection requirements.

Third-Party Architecture. Oculera may use one or more third-party content delivery networks to provide the Services and to optimize content delivery via the Services. Content items to be served to Customers or users, such as images or attachments uploaded to the Services, may be cached with such content delivery networks to expedite transmission. Information transmitted across a content delivery network may be accessed by that content delivery network solely to enable these functions.

2. Policy and Personnel Security

Oculera has a documented information security policy that all employees must read and acknowledge. This policy is reviewed and updated annually. Security policy development, maintenance, and issuance is the responsibility of the Oculera’s Security Team.

At Oculera, all employees sign a non-disclosure agreement at induction. Additionally, Oculera carries out background checks of its employees as part of employment process. All employees are informed of, and agree to comply with, Oculera’s security policy and practices as a part of their initial onboarding. System administrators, developers and other users with privileged access receive special and ongoing training and are subjected to additional background screening.

3. Physical and Environmental Security

Physical and environmental security: Access to Oculera facilities is controlled by 24-hour security and are under 24-hour video surveillance. Additionally, all Oculera offices are protected by locked access.

Data centers and servers are managed and controlled by our cloud hosting providers. Oculera’s employees has not access to any of these date centers. Oculera hosts the Oculera Services with outsourced Amazon Web Services in their Europe (Frankfurt) EU-Central-1region. Details regarding the security practices & controls applicable to these facilities can be found at their websites: AWS: https://aws.amazon.com/security/.

Authentication: We implement a uniform password policy for our Customer products. Customers who interact with the Software Product via the user interface must authenticate before accessing non-public customer data.

Security Logs: All Oculera systems used in the provision of the Oculera Services, including firewalls, routers, network switches, and operating systems log information to their respective system log facility in order to enable security reviews and analysis.

4. Access Control

Oculera maintains an inventory of essential information assets such as servers, databases, and information. All Customer Data is classified as Confidential by Oculera. Oculera has implemented and will maintain a comprehensive set of formal policies, controls, and practices for the appropriate access control and protection of Customer Data, which include:

✓ Access management policy addressing access control standards, including the framework and the principles for user provisioning.
✓ User provisioning for the access to Oculera systems and infrastructure based on the relevant job role and on the least privilege principle that is enforced through the authentication processes.
✓ Strict role-based access controls for Oculera staff, allowing access to Customer Data only on a need-to-know basis.
✓ Use of technical controls such as virtual private network (VPN) and multi-factor authentication (MFA) where relevant based on information classification.
✓ Oculera’s HR onboarding and off-boarding processes handle provisioning and de-provisioning of accounts and access.
✓ API IP Whitelisting – Defines the range of IP addresses from which a customer’s users can access the Oculera API to prevent unauthorized third parties from accessing the Oculera Services.
✓ All requests on the Oculera Dashboard have cross-site request forgery (CSRF) protection. All web services use encrypted HTTPS for all traffic and disallow all HTTP traffic via HTTP Strict Transport Security (“HSTS”).
✓ Failed login attempts are recorded and an account is locked out with the owner notified after multiple failed attempts.

5. Policies and Logging

Oculera’s Services are operated in accordance with the following procedures to enhance security:

✓ User passwords are never transmitted or stored in clear text.
✓ Oculera uses industry-standard methods to determine password validity.
✓ Oculera keeps audit logs for all access to production servers.
✓ Server access is controlled via Amazon Web Services Identity and Access Management.
✓ Logs are stored in a secure centralized host to prevent tampering.
✓ Passwords are not logged under any circumstances.
✓ All access to Customer dashboard accounts by Oculera employees must be done through an internal service that is accessible via a 2-factor VPN only.
✓ As part of Oculera’s Security Policy, employees may not store any Customer Data on removable media.

6. Intrusion Detection and Information Security Incident Management

Oculera monitors system, user, and file behavior across its infrastructure using a host-based Intrusion Detection System (IDS). Intrusion Detection alerts are monitored by the Security and Development teams 24/7. Additionally, Oculera may analyze data collected by users’ web browsers (e.g., device type, screen resolution, time zone, operating system version, browser type and version, system fonts, installed browser plug-ins, enabled MIME types, etc.) for security purposes, including to detect compromised browsers, to prevent fraudulent authentications, and to ensure that the Oculera Services function properly.

Unauthorized web requests and API calls are logged and automatically alert Oculera’s engineering team.

Oculera maintains written and regularly audited security incident management policies and procedures, including an Incident Response Plan to be enacted in the event of an incident.

7. Audit and Accountability

Oculera has implemented and will maintain a comprehensive set of formal policies, controls, and practices for proper auditing and accountability purposes, which include:

✓ Comprehensive logging standards as part of Oculera’s policy management framework, with annual reviews and senior management approvals.
✓ Secure forwarding and storage of relevant system logs to a centralized log platform of the cloud infrastructure with read-only access.
✓ Monitoring of security audit logs to detect unusual activity, with established processes for reviewing and addressing anomalies.
✓ Regular updates to the logging scope of information and system events for Software Products and related infrastructure in order to address new features and changes.
✓ Utilizing time sync services from relevant cloud service providers (e.g. AWS) for reliable timekeeping across all deployed instances.

8. System Patching and Configuration Management

Oculera has implemented and will maintain a comprehensive set of formal policies, controls, and practices for appropriate configuration management, which include:

✓ Change management policies covering the risk management for all internal and external asset changes, reviewed annually.
✓ Standard procedures for change management applicable to encryption and cryptography for the secure handling of data (e.g. encryption keys) according to its security classification.
✓ A centralized internal policy program categorising the global policies into different domains including annual review, and senior management approval of the program.
✓ Stringent policies encompassing (i) encryption, (ii) cryptography, (iii) endpoint management, and (iv) asset tracking inline with industry standards.
✓ Established baselines and standards for change control that require testing documentation prior to implementation and authorized approval.
✓ A strict post-implementation testing and approval process for emergency changes to the code.

9. Risk Assesment, Vulnerability Management and Third-Party Penetration Testing

Oculera has implemented and will maintain a comprehensive set of formal policies, controls, and practices for a robust Information Security Management System, which include:

✓ A comprehensive risk management program for identifying, assessing, and addressing various risks to support informed risk management decisions.
✓ A policy program aligning company-wide policies with ISO 27001 and other relevant standards to mitigate associated risks.
✓ Oculera’s infrastructure and applications are continuously scanned by a Vulnerability Management System. Alerts are monitored by our Security Team and addressed at least monthly by the Oculera Security Team. Oculera also maintains a list membership to various CVE vulnerability mailing lists. Patches and ‘critical’ and ‘high’ vulnerabilities are remediated no later than 30 days following discovery. Oculera also uses static code analysis tools during the build process to perform static security analysis.
✓ Processes and metrics for reporting vulnerability management activities.
✓ Thorough security evaluations, including independent external and internal audits
✓ Oculera undergoes a third-party penetration test of the Oculera Services on an annual basis.

10. Media Protection

Oculera has implemented and will maintain a comprehensive set of formal policies, controls, and practices to ensure the protection of media (internal and external), which include:

✓ Using reliable 3rd party services (e.g. AWS) to operate the physical infrastructure for processing Customer Data as a Sub-processor.
✓ Sanitization and degaussing of used equipment by the 3rd party cloud service providers, including hard drives with Customer Data in line with industry standards (e.g. ISO 27001).
✓ Full disk encryption using industry standards (e.g. AES-256) employed for data drives on servers and databases storing Customer Data, and on endpoint devices.
✓ Unattended workspaces are required to have no visible confidential data, aligning with the secure workplace guidance.

11. Malware Prevention

Oculera adopts the principle of least privilege for all accounts running application or database services. Proper change management ensures that only authorized packages are installed via a package management system containing only trusted software, and that software is never installed manually.

All Oculera employee computers have virus scanners installed and updated definitions sent out from a central device management platform.

12. Planning

Oculera has implemented and will maintain a comprehensive set of formal policies, controls, and practices for appropriate planning of business operations, which include:

✓ Active monitoring and documentation by legal and compliance teams on regulatory obligations.
✓ A detailed system security plan with comprehensive documentation on system boundaries and product descriptions.
✓ Communication to internal users and customers about significant changes to key products and services.
✓ Periodic reviews and updates of the security management program.

13. Personal Data Processing and Transparency

Oculera has implemented and will maintain a comprehensive set of formal policies, controls, and practices for the compliance of personal data processing in line with Data Protection Laws, which include:

✓ A global privacy compliance program for reviewing and adapting to data protection laws including necessary safeguards and processes.
✓ Maintaining an internal personal data processing policy with clear definitions of personal data categories, processing purposes, and processing principles.
✓ Detailed standards for processing of various categories of personal data covering the topics such as processing principles, applicable legal basis, retention, destruction etc.
✓ An established method to create pseudonymised data sets using industry standard practices and appropriate technical and organisational measures governing the systems capable of remapping pseudonymous identifiers.
✓ Transparent privacy policies for its users and customers, as well as internal guidelines for employees.
✓ Comprehensive compliance documentation, including but not limited to (i) processing activities, (ii) privacy impact assessments, (iii) transfer impact assessments, (iv) consents, and (v) data processing agreements with customers and vendors.
✓ Secure development practices across all development lifecycle stages, focusing on security and data protection from the initial design phase.
✓ Respecting the individual’s rights to access, correct, and delete their personal data in line with relevant data protection laws.

14. Data Encryption

Oculera uses in Services industry-accepted encryption practices to protect Customer Personal Data and communications during transmissions between a Customer’s network and the Services, including 256-bit TLS Certificates and 4096-bit RSA public keys at a minimum.

Oculera audits the TLS ciphers used in connection with the provision of the Services with third-party security auditors to ensure that anonymous or weak ciphers are not used. These audits also confirm that the Services do not allow client renegotiation, support downgrade attack protection and forward secrecy.

Data shipped to Amazon Web Services is encrypted in transit and at-rest using AES-256 encryption via Amazon’s managed encryption key process.

15. Blocking Third Party Access

Oculera’s Services have not been designed to include any backdoors or similar functionality that would allow the government or any third parties to access Customer Peronal Data*. *We do not voluntarily provide any government or other third party with encryption keys, or any other way to break our encryption.

16. Contacts

Oculera’s Security Team can be reached by emailing privacy@oculera.health.