Mis à jour : décembre 2023
Pour le groupe Roche et ses collaborateurs, le droit à la vie privée est un droit fondamental. Nous attachons beaucoup d’importance à la confidentialité et la protection des données personnelles que vous nous confiez, qui sont précieuses pour développer des traitements et des solutions de diagnostic innovantes au service des patients.
C’est pourquoi notre politique de protection et d’utilisation responsable des données à caractère personnel est intégrée dans le Code de conduite du groupe Roche et appliquée dans le cadre de nos activités au quotidien.
Les « données à caractère personnel »se définissent comme toute information se rapportant à une personne physique identifiée ou identifiable, comme son nom, ses coordonnées, son sexe, son numéro de sécurité sociale, son image, ses données biométriques ou génétiques.
Le « traitement de données » se définit par toute opération effectuée sur des données à caractère personnel, qu’elle soit effectuée ou non à l’aide de procédés automatisés. Un traitement englobe tout ce qui peut être fait avec des données, tel que la collecte, l’enregistrement, la conservation, la modification, l’extraction, l’utilisation, la transmission, la diffusion, l’effacement ou la destruction de données à caractère personnel.
Au sein du Groupe Roche, nous nous engageons à collecter et à utiliser les données dans le respect du droit applicable, d’une manière juste et légitime, et à toujours respecter la vie privée des personnes afin de mériter leur confiance. A ce titre, nous nous conformons aux exigences de la Loi Informatique et Libertés du 6 janvier 1978 modifiée et du Règlement (UE) relatif à la protection des personnes physiques à l’égard des données à caractère personnel et à leur libre circulation du 27 avril 2016 (ci-après le « Règlement »).
Par cette Charte de protection des données personnelles, Roche Diagnostics France s’engage, en tant que Responsable de Traitement pour les traitements dont nous avons déterminé la finalité et les moyens, à traiter vos données personnelles avec tout le soin requis et exclusivement pour les finalités pour lesquelles elles ont été collectées, conformément aux principes de Roche, au Règlement et plus largement à toutes les dispositions légales en vigueur en France. Pour en savoir plus sur le traitement de vos données personnelles lorsque Roche Diagnostics France agit en qualité de Responsable de traitement, nous vous invitons à consulter plus spécifiquement le paragraphe 2 ci-dessous.
Lorsque Roche Diagnostics France installe un système chez l’un de ses clients, les données traitées par ce système relèvent de la responsabilité du client et sont gérées par sa propre politique de données personnelles. Si nous sommes amenés à traiter certaines de ces données pour le compte du client, nous agirons en qualité de sous-traitant de données personnelles, uniquement sur instructions, et dans le respect des obligations de confidentialité et de sécurité qui nous incombent à ce titre, notre intervention étant alors encadrée contractuellement. Pour en savoir plus sur le traitement des données personnelles lorsque Roche Diagnostics France agit en qualité de sous-traitant pour le compte de l’un de ses clients, nous vous invitons à consulter plus spécifiquement le paragraphe 3 ci-dessous.
Roche Diagnostics France agit en qualité de Responsable de traitement lorsque vous nous communiquez des données à caractère personnel dans le cadre de traitements dont nous avons déterminé la finalité et les moyens. C’est le cas notamment lorsque vous consultez nos sites internet, que vous vous inscrivez à nos newsletters, ou que vous nous adressez une demande sur l’un de nos formulaires de contact.
Les données à caractère personnel communiquées par un patient à un de nos clients ne nous sont pas communiquées directement, elles relèvent de la responsabilité du client en question, agissant en qualité de responsable de traitement. Si nous étions amenés à avoir accès à ces données dans le cadre d’une maintenance par exemple, cela serait exclusivement en qualité de sous-traitant du client et encadré contractuellement avec lui (voir paragraphe 3 ci-après).
Vos données sont collectées et utilisées uniquement pour des fins explicites, légitimes et portées à votre connaissance.
Les finalités de chaque traitement de vos données personnelles sont décrites et définies au moment de la collecte de vos données. Une description des traitements mis en oeuvre vous sera fournie lorsque vous renseignerez des données personnelles afin que vous compreniez clairement les raisons pour lesquelles nous les collectons et les utilisons.
Pour en savoir plus sur la politique de Roche en matière de respect de la vie privée et de protection des données personnelles lorsque vous consultez les sites Roche ou que nous vous adressons des emails, nous vous invitons à lire notre Politique en matière de respect de la vie privée- Sites Internet et communications en ligne de Roche présente sur l’ensemble de nos sites (la « Politique en matière de respect de la vie privée »).
Par ailleurs, certains traitements de données personnelles sont nécessaires dans le cadre de notre activité de fournisseur de produits et services dans le domaine de la santé, notamment les coordonnées de contacts chez nos clients (nom, prénom, email professionnel, numéro de téléphone professionnel). Roche Diagnostics France ne collecte jamais de données personnelles sans l’accord de ses clients ; les finalités de chaque traitement sont alors définies par un document ayant une valeur contractuelle.
Les finalités principales pour lesquelles vos données sont collectées sont les suivantes :
Nous nous engageons à traiter vos données personnelles dans le strict respect de ces finalités. Ces dernières ont été portées à la connaissance de notre Organisation de Protection des Données Personnelles qui les a inscrites dans son registre des traitements.
Nous ne collectons que des données pertinentes et nécessaires.
Les données personnelles que nous collectons sont uniquement les données nécessaires à la réalisation des finalités des traitements mis en oeuvre. Nous nous engageons à ne pas collecter plus de données que nécessaire.
Cas de la collecte de données personnelles sur nos sites Web ou via nos communications
Pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles via nos sites Web ou dans le cadre de nos communications, nous vous invitons à vous reporter à notre Politique en matière de respect de la vie privée, accessible sur tous nos sites Web.
Lorsque vos données personnelles sont utilisées, la base juridique sur laquelle repose le traitement de vos données peut être :
Seules les personnes habilitées ont accès à vos données.
L’accès à vos données personnelles est strictement limité au personnel dûment habilité de Roche Diagnostics France et de ses éventuels prestataires lorsque cela s’avère nécessaire. Ces personnes sont celles qui, de par leurs fonctions, sont légitimes à accéder à vos données dans le cadre de la réalisation du service dont vous avez souhaité bénéficier (exemple : pour permettre l’utilisation correcte d’un service). Ces destinataires peuvent le cas échéant être situés en dehors de l’Union Européenne. Il peut s’agir par exemple :
En tout état de cause, vos données personnelles ne seront jamais vendues, partagées, communiquées ou transférées sous quelle que forme que ce soit à un tiers non identifié pour ses propres usages, notamment commerciaux ou marketing.
Vos données sont conservées uniquement le temps nécessaire.
Vos données personnelles sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles vous les avez communiquées à Roche Diagnostics France, afin de répondre à vos besoins, puis placées en archivage intermédiaire pour nous permettre de remplir nos obligations légales, comptables et fiscales et/ou à tout le moins pendant le délai de prescription applicable.
Vos données sont sécurisées.
Roche Diagnostics France protège vos données à caractère personnel en mettant en place des moyens de sécurisation physique et organisationnelle afin d’empêcher des accès non autorisés, un usage impropre, la divulgation, la perte ou de la destruction de vos données personnelles.
Pour les utilisateurs de nos sites Web
Pour en savoir plus sur la sécurité des sites Roche nous vous invitons à vous reporter à notre Politique en matière de respect de la vie privée présente sur l’ensemble des Sites Roche.
Vous avez le contrôle sur vos données.
En vertu de la législation applicable, vous pouvez exercer les droits listés ci-après :
Nous pourrons le cas échéant vous demander en premier lieu de nous fournir des éléments permettant de justifier de votre identité. Toute transmission de notre part au titre de l’exercice des droits énoncés ci-dessous sera faite à titre gracieux, sauf caractère manifestement infondé ou répétitif.
Les droits dont vous bénéficiez sont les suivants :
Lorsque Roche Diagnostics France installe un système chez l’un de ses clients, les données traitées par ce système relèvent de la responsabilité du client et sont gérées par sa propre politique de données personnelles.
Si nous sommes amenés à traiter certaines de ces données pour le compte du client, nous agissons en qualité de sous-traitant de données personnelles, uniquement sur instructions, et dans le respect des obligations de confidentialité et de sécurité qui nous incombent à ce titre.
Lorsque l’un de nos matériels est installé chez le client, il est possible que nous ayons accès à certaines données personnelles des patients.
Le client, en sa qualité de responsable de traitement, s’engage à respecter, et faire respecter par ses salariés ou sous-traitants, les exigences légales concernant la protection des Données personnelles lors de leur collecte et traitement (notamment information préalable de la personne dont les données sont collectées et recueil de son consentement le cas échéant, exercice des droits individuels tels que droit d’accès, de rectification ou de suppression).
Lorsque le client transmet des données personnelles de patients à Roche Diagnostics France il ne transmet que les données strictement nécessaires à l’exécution des prestations de Roche Diagnostics France définies dans la documentation contractuelle.
Pour sa part, Roche Diagnostics France s’engage à ne traiter les Données personnelles accessibles par le biais des logiciels ou transmises par le client que pour l’exécution des services visés dans la documentation contractuelle conclue avec le client, à savoir notamment l’installation du matériel, la formation, l’assistance, la maintenance, la désinstallation ou le support téléphonique ainsi que plus généralement tout service en lien avec l’activité du laboratoire, et uniquement si ce traitement est nécessaire. Par ailleurs Roche Diagnostics France peut être amenée à collecter et traiter les Données personnelles accessibles par le biais des logiciels ou transmises par le client, aux fins de répondre à ses obligations légales et réglementaires.
Les données personnelles relatives aux patients et opérateurs auxquelles Roche Diagnostics France peut avoir accès dans le cadre des prestations mentionnées ci-dessus sont celles strictement nécessaires à la réalisation du diagnostic.
Les données sont collectées et traitées en exécution du contrat portant notamment sur l’installation et la maintenance du matériel, afin de pouvoir réaliser les prestations.
Roche Diagnostics France s’engage à respecter et à faire respecter par ses salariés ou éventuels sous-traitants les réglementations relatives à la protection des données personnelles en vigueur, notamment en termes de sécurité et protection des données.
Lorsque, au cours de sa mission, Roche Diagnostics France a accès à des données personnelles, ces dernières sont traitées en toute confidentialité et ne sont pas divulguées à une quelconque personne non autorisée. Les salariés de Roche Diagnostics France, du Groupe Roche ou des éventuels sous-traitants qui ont à traiter des données personnelles sont tenus par une obligation de confidentialité, sont informés des réglementations et dispositions applicables à la protection des données personnelles et sont tenus de les respecter.
Ainsi, les accès à nos locaux sont sécurisés, une authentification forte est demandée pour accéder à notre système d’information, l’ensemble des flux de messagerie électronique et des supports physiques (tels que les smartphones, les disques durs, les serveurs de messagerie) de Roche Diagnostics France sont encryptés.
La liste des sous-traitants, avec lesquels Roche Diagnostics France contracte, peut être communiquée au client sur demande. En cas de changement de sous-traitant, Roche Diagnostics France en informe le client dans le cadre de la gestion de sa relation contractuelle.
Les données personnelles ainsi traitées dans l’exécution des prestations de Roche Diagnostics France sont conservées pendant la durée nécessaire à la réalisation des prestations puis détruites.
Les données personnelles utilisées dans le cadre de l’amélioration des produits de Roche Diagnostics France sont pseudonymisées.
Lorsqu’une action de vigilance a eu lieu, les données sont conservées pendant 20 ans à compter de la clôture du dossier de vigilance.
Les droits individuels des personnes concernées par les traitements sont exercés auprès du client, responsable du traitement. Nous nous engageons à remonter sans délai au client les demandes éventuelles de personnes concernées qui seraient faites directement auprès de Roche Diagnostics France et à aider notre client à y répondre.
En cas de violation de données personnelles portée à sa connaissance, Roche Diagnostics France a mis en place une procédure afin de faire remonter toute information utile en sa possession, notamment les mesures de sécurité mises en place, et d’aider ses clients, responsables de traitement, à réagir rapidement et notamment notifier cette violation à la CNIL si nécessaire.
Chez Roche, nous avons mis en place une organisation de la protection des données au niveau global et local pour protéger la vie privée, garantir la conformité au Règlement Général sur la Protection des Données de l’Union Européenne et aux dispositions légales locales applicables et répondre aux questions que vous pouvez avoir ou auxquelles nos collaborateurs sont confrontés.
Ce peut être pour traiter vos demandes ou celles des patients concernant leurs données mais également en cas de suspicions de failles de sécurité susceptible d’avoir des conséquences sur les données personnelles.
Chez Roche Diagnostics France, le Data Protection Officer met en oeuvre les politiques et procédures globales du groupe Roche en relation avec la CNIL, conseille la filiale et contrôle le respect par Roche Diagnostics France du Règlement Général sur la Protection des Données de l’Union Européenne et de la législation Française en la matière.
Il est chargé de faire appliquer les procédures destinées à protéger les données personnelles.
Pour Roche Diagnostics France, le Data Protection Officer est votre point de contact principal pour toutes les questions et problèmes liés aux données personnelles. Vous pouvez le contacter :
Les procédures que Roche met en oeuvre au niveau global et local garantissent la protection et le respect des données de chacun, au quotidien et partout dans le monde.
Elles sont destinées :
Pour nous, la protection et la confidentialité des données personnelles sont primordiales et passent par la responsabilisation de chacun.
Nous considérons que la mise en oeuvre d’un programme de formation systématique permettant à chacun d’entre nous de connaître sa responsabilité en matière de protection des données personnelles est un élément essentiel du respect des réglementations par Roche de par le monde. Un tel programme de sensibilisation de nos collaborateurs est ainsi déployé au sein de Roche