Charte générale de protection des données personnelles

Mis à jour :   février 2021.

 

1. Notre engagement

 

Pour le groupe Roche et ses collaborateurs, le droit à la vie privée est un droit fondamental. Nous attachons beaucoup d’importance à la confidentialité et la protection des données personnelles que vous nous confiez, qui sont précieuses pour développer des traitements et des solutions de diagnostic innovantes au service des patients.

C’est pourquoi notre politique de protection et d’utilisation responsable des données à caractère personnel est intégrée dans le Code de conduite du groupe Roche et appliquée dans le cadre de nos activités au quotidien.

Les « données à caractère personnel »se définissent comme toute information se rapportant à une personne physique identifiée ou identifiable, comme son nom, ses coordonnées, son sexe, son numéro de sécurité sociale, son image, ses données biométriques ou génétiques.

Le « traitement de données » se définit par toute opération effectuée sur des données à caractère personnel, qu’elle soit effectuée ou non à l’aide de procédés automatisés. Un traitement englobe tout ce qui peut être fait avec des données, tel que la collecte, l’enregistrement, la conservation, la modification, l’extraction, l’utilisation, la transmission, la diffusion, l’effacement ou la destruction de données à caractère personnel.

Au sein du Groupe Roche, nous nous engageons à collecter et à utiliser les données dans le respect du droit applicable, d’une manière juste et légitime, et à toujours respecter la vie privée des personnes afin de mériter leur confiance. A ce titre, nous nous conformons aux exigences de la Loi Informatique et Libertés du 6 janvier 1978 modifiée et du Règlement (UE) relatif à la protection des personnes physiques à l’égard des données à caractère personnel et à leur libre circulation du 27 avril 2016 (ci-après le « Règlement »).

Par cette Charte de protection des données personnelles, Roche Diagnostics France s’engage, en tant que Responsable de Traitement pour les traitements dont nous avons déterminé la finalité et les moyens, à traiter vos données personnelles avec tout le soin requis et exclusivement pour les finalités pour lesquelles elles ont été collectées, conformément aux principes de Roche, au Règlement et plus largement à toutes les dispositions légales en vigueur en France. Pour en savoir plus sur le traitement de vos données personnelles lorsque Roche Diagnostics France agit en qualité de Responsable de traitement, nous vous invitons à consulter plus spécifiquement le paragraphe 2 ci-dessous.

Lorsque Roche Diagnostics France installe un système chez l’un de ses clients, les données traitées par ce système relèvent de la responsabilité du client et sont gérées par sa propre politique de données personnelles. Si nous sommes amenés à traiter certaines de ces données pour le compte du client, nous agirons en qualité de sous-traitant de données personnelles, uniquement sur instructions, et dans le respect des obligations de confidentialité et de sécurité qui nous incombent à ce titre, notre intervention étant alors encadrée contractuellement. Pour en savoir plus sur le traitement des données personnelles lorsque Roche Diagnostics France agit en qualité de soustraitant pour le compte de l’un de ses clients, nous vous invitons à consulter plus spécifiquement le paragraphe 3 ci-dessous.

 

2. Notre politique de gestion des données personnelles en qualité de responsable de traitement

 

2.1 Qui sommes-nous ?

Roche Diagnostics France agit en qualité de Responsable de traitement lorsque vous nous communiquez des données à caractère personnel dans le cadre de traitements dont nous avons déterminé la finalité et les moyens. C’est le cas notamment lorsque vous consultez nos sites internet, que vous vous inscrivez à nos newsletters, ou que vous nous adressez une demande sur l’un de nos formulaires de contact. Les données à caractère personnel communiquées par un patient à un de nos clients ne nous sont pas communiquées directement, elles relèvent de la responsabilité du client en question, agissant en qualité de responsable de traitement. Si nous étions amenés à avoir accès à ces données dans le cadre d’une maintenance par exemple, cela serait exclusivement en qualité de sous-traitant du client et encadré contractuellement avec lui (voir paragraphe 3 ci-après). 

 

2.2 Comment collectons-nous vos données et à quelles fins ?

Vos données sont collectées et utilisées uniquement pour des fins explicites, légitimes et portées à votre connaissance. 

Les finalités de chaque traitement de vos données personnelles sont décrites et définies au moment de la collecte de vos données. Une description des traitements mis en œuvre vous sera fournie lorsque vous renseignerez des données personnelles afin que vous compreniez clairement les raisons pour lesquelles nous les collectons et les utilisons.

Pour en savoir plus sur la politique de Roche en matière de respect de la vie privée et de protection des données personnelles lorsque vous consultez les sites Roche ou que nous vous adressons des emails, nous vous invitons à lire notre Politique en matière de respect de la vie privée- Sites Internet et communications en ligne de Roche présente sur l’ensemble de nos sites (la « Politique en matière de respect de la vie privée »).

Par ailleurs, certains traitements de données personnelles sont nécessaires dans le cadre de notre activité de fournisseur de produits et services dans le domaine de la santé, notamment les coordonnées de contacts chez nos clients (nom, prénom, email professionnel, numéro de téléphone professionnel). Roche Diagnostics France ne collecte jamais de données personnelles sans l’accord de ses clients ; les finalités de chaque traitement sont alors définies par un document ayant une valeur contractuelle.

Les finalités principales pour lesquelles vos données sont collectées sont les suivantes :

  • Gestion de notre relation client via notre CRM et fourniture des produits ou services pour lesquels vous nous sollicitez ;
  • Mise à disposition d’un service client dans le cadre de l’assistance clients ;
  • Envoi de communications commerciales ciblées dans les conditions autorisées par le droit applicable, ou gestion de notre liste d’opposition si vous avez demandé à ne pas recevoir de prospection commerciale ;
  • Formation des Clients ;
  • Conformité à des obligations légales et réglementaires applicables (ex : obligations à la charge de Roche Diagnostics France en matière de transparence (Loi RSS) …) ;
  • Prévention et détection des fraudes, et gestion des incidents de sécurité ;
  • Gestion des éventuels litiges.

Nous nous engageons à traiter vos données personnelles dans le strict respect de ces finalités. Ces dernières ont été portées à la connaissance de notre Organisation de Protection des Données Personnelles qui les a inscrites dans son registre des traitements.

 

2.3 Quelles catégories de données sont collectées ?

Nous ne collectons que des données pertinentes et nécessaires.

Les données personnelles que nous collectons sont uniquement les données nécessaires à la réalisation des finalités des traitements mis en œuvre. Nous nous engageons à ne pas collecter plus de données que nécessaire.

 

Cas de la collecte de données personnelles sur nos sites Web ou via nos communications 

Pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles via nos sites Web ou dans le cadre de nos communications, nous vous invitons à vous reporter à notre Politique en matière de respect de la vie privée, accessible sur tous nos sites Web.

 

2.4 Sur quelle base juridique repose notre utilisation de vos données personnelles ?

Lorsque vos données personnelles sont utilisées, la base juridique sur laquelle repose le traitement de vos données peut être :

  • Votre consentement, lorsque vous vous inscrivez à une newsletter, ou nous adressez une demande d’information en remplissant notre formulaire de contact ;
  • L’exécution d’un contrat ou les actes préparatoires à la conclusion d’un contrat, lorsque nous collectons les coordonnées d’un contact afin de négocier et finaliser la vente de l’un de nos produits par exemple ;
  • Notre intérêt légitime, lorsque vous êtes déjà client chez nous et que nous vous adressons des informations relatives aux nouveaux produits Roche analogues à ceux que vous avez acquis, ou dans le cadre de la conservation des données en base archive afin de nous permettre de lutter contre la fraude ou de défendre nos intérêts dans l’éventualité d’un contentieux ;
  • L’exécution d’obligations légales ou réglementaires, notamment dans le cadre de notre obligation de vigilance.

 

2.5 Qui est destinataire de vos données ?

Seules les personnes habilitées ont accès à vos données.

L’accès à vos données personnelles est strictement limité au personnel dûment habilité de Roche Diagnostics France et de ses éventuels prestataires lorsque cela s’avère nécessaire. Ces personnes sont celles qui, de par leurs fonctions, sont légitimes à accéder à vos données dans le cadre de la réalisation du service dont vous avez souhaité bénéficier (exemple : pour permettre l’utilisation correcte d’un service). Ces destinataires peuvent le cas échéant être situés en dehors de l’Union Européenne. Il peut s’agir par exemple :

  • D’une filiale ayant signé un contrat d’échange de données au sein du groupe Roche, lequel contrat garantit à Roche Diagnostics France, que cette filiale respecte la réglementation relative à la protection des données personnelles et les obligations de Roche Diagnostics France prises en la matière ;
  • De nos prestataires habilités et déterminés, tels que nos agences de marketing/Communication et de promotion, les tiers requis pour vous livrer un produit ou fournir un service, les fournisseurs de services tiers tels que les fournisseurs d’hébergement de sites Web, les fournisseurs d’analyses de sites Web, nos partenaires économiques, lorsque ce transfert est requis pour répondre aux finalités du traitement ;
    Chaque transfert de données personnelles est encadré par des dispositions contractuelles, et nous exigeons des destinataires qu’ils n’agissent que conformément à nos instructions et au droit en vigueur, et qu’ils prennent toutes les mesures techniques et organisationnelles afin de garantir la confidentialité, l’intégrité et la sécurité de vos données personnelles ;
  • De la maison mère de notre Groupe, F. Hoffmann-La Roche, située en Suisse, pays reconnu par la Commission européenne comme offrant un niveau de protection adéquat à celui de l’Union Européenne. Ce transfert est également encadré par un contrat de transfert de données ;
  • Plus généralement, vos données personnelles peuvent le cas échéant être transmises à des institutions, organismes publics, autorités administratives ou judiciaires, lorsqu’ils nous demandent de leur divulguer vos informations.

En tout état de cause, vos données personnelles ne seront jamais vendues, partagées, communiquées ou transférées sous quelle que forme que ce soit à un tiers non identifié pour ses propres usages, notamment commerciaux ou marketing.

 

2.6 Combien de temps sont conservées vos données ?

Vos données sont conservées uniquement le temps nécessaire.

Vos données personnelles sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles vous les avez communiquées à Roche Diagnostics France, afin de répondre à vos besoins, puis placées en archivage intermédiaire pour nous permettre de remplir nos obligations légales, comptables et fiscales et/ou à tout le moins pendant le délai de prescription applicable.

 

2.7 Comment sont sécurisées vos données ?

Vos données sont sécurisées.

Roche Diagnostics France protège vos données à caractère personnel en mettant en place des moyens de sécurisation physique et organisationnelle afin d’empêcher des accès non autorisés, un usage impropre, la divulgation, la perte ou de la destruction de vos données personnelles.

Pour les utilisateurs de nos sites Web

Pour en savoir plus sur la sécurité des sites Roche nous vous invitons à vous reporter à notre Politique en matière de respect de la vie privée présente sur l’ensemble des Sites Roche.

 

2.8 Quels sont vos droits sur les données personnelles que vous transférez à Roche et comment nous contacter ?

Vous avez le contrôle sur vos données.

En vertu de la législation applicable, vous pouvez exercer les droits listés ci-après :

  • en vous adressant à meylan.privacy@roche.com,
  • ou par courrier à :
    Roche Diagnostics France
    Data Protection Officer
    2 avenue du Vercors
    CS60059 38242 Meylan Cedex

Nous pourrons le cas échéant vous demander en premier lieu de nous fournir des éléments permettant de justifier de votre identité. Toute transmission de notre part au titre de l’exercice des droits énoncés ci-dessous sera faite à titre gracieux, sauf caractère manifestement infondé ou répétitif.

Les droits dont vous bénéficiez sont les suivants :
 

  • Droit de rectification :

Nous nous engageons à traiter dans les meilleurs délais vos demandes de correction en cas d’inexactitude des données personnelles que nous détenons sur vous.
 

  • Droit à l’effacement (« droit à l’oubli ») :

Nous nous engageons à traiter, dans les meilleurs délais les demandes d’effacement partiel ou total de vos données, dans les conditions de l’article 17 du Règlement Général sur la Protection des Données de l’Union Européenne.
 

  • Droit d’opposition :

Nous nous engageons à prendre en compte vos demandes de cesser les traitements de vos données, sauf motifs légitimes et impérieux pour le traitement qui prévaudraient sur vos droits et libertés, ou pour l’exercice ou la défense de droits en justice.

Concernant la prospection commerciale, vous disposez d’un droit d’opposition à tout moment, sans avoir à le motiver, que vous pouvez notamment exercer en cliquant sur le lien de désinscription présent dans chacune de nos newsletters ou sollicitations.
 

  • Droit de retrait du consentement :

Lorsque la base légale du traitement est votre consentement, vous pouvez retirer ce consentement. 
 

  • Droit d’accès :

Sous réserve de certaines conditions, vous pouvez obtenir des informations concernant le traitement de vos données ainsi qu’une copie de vos données à caractère personnel en cours de traitement.
 

  • Droit à la limitation du traitement :

Nous nous engageons à traiter vos demandes de limitation du traitement, dans les conditions de l’article 18 du Règlement Général sur la Protection des Données de l’Union Européenne. Dans ce cas, nous conservons vos données mais ne les traitons plus sauf votre consentement, ou pour la constatation, l’exercice ou la défense de droits en justice.
 

  • Droit à la portabilité des données :

Nous nous engageons, à votre demande, à vous fournir les données à caractère personnel que vous nous avez communiquées dans un format structuré, couramment utilisé et lisible par machine. Ce droit à la portabilité s’applique uniquement aux données que vous avez fournies, lorsque le traitement est fondé sur votre consentement ou sur un contrat et qu’il est effectué à l’aide de procédés automatisés.
 

  • Droit à la « mort numérique » :

Conformément à la Loi pour une République Numérique, vous pouvez nous communiquer des directives relatives à la conservation, l’effacement et la communication des données personnelles vous concernant après votre décès. Ces directives peuvent être confiées à un « tiers de confiance numérique » certifié par la CNIL, lorsqu’elles sont générales, ou au responsable de traitement lorsqu’elles sont spécifiques à un traitement. A défaut de personne désignée, vos héritiers auront la possibilité d’exercer certains droits, notamment le droit d’accès, pour les besoins du règlement de la succession, et le droit d’opposition pour procéder à la clôture de vos comptes.
 

  • Droit d’introduire une réclamation auprès de la CNIL :

En cas de difficulté concernant les traitements de vos données personnelles que nous réalisons, nous vous invitons en premier lieu à nous contacter. Si vous estimez que vos droits n’ont pas été respectés, vous pouvez introduire une réclamation auprès de la CNIL.

 

3. Notre politique de gestion des données personnelles en qualité de sous-traitant de données personnelles

 

Lorsque Roche Diagnostics France installe un système chez l’un de ses clients, les données traitées par ce système relèvent de la responsabilité du client et sont gérées par sa propre politique de données personnelles.

Si nous sommes amenés à traiter certaines de ces données pour le compte du client, nous agissons en qualité de sous-traitant de données personnelles, uniquement sur instructions, et dans le respect des obligations de confidentialité et de sécurité qui nous incombent à ce titre.

 

3.1. Comment collectons-nous les données et à quelles fins ?

Lorsque l’un de nos matériels est installé chez le client, il est possible que nous ayons accès à certaines données personnelles des patients.

Le client, en sa qualité de responsable de traitement, s’engage à respecter, et faire respecter par ses salariés ou sous-traitants, les exigences légales concernant la protection des Données personnelles lors de leur collecte et traitement (notamment information préalable de la personne dont les données sont collectées et recueil de son consentement le cas échéant, exercice des droits individuels tels que droit d’accès, de rectification ou de suppression).

Lorsque le client transmet des données personnelles de patients à Roche Diagnostics France il ne transmet que les données strictement nécessaires à l’exécution des prestations de Roche Diagnostics France définies dans la documentation contractuelle.

Pour sa part, Roche Diagnostics France s’engage à ne traiter les Données personnelles accessibles par le biais des logiciels ou transmises par le client que pour l’exécution des services visés dans la documentation contractuelle conclue avec le client, à savoir notamment l’installation du matériel, la formation, l’assistance, la maintenance, la désinstallation ou le support téléphonique ainsi que plus généralement tout service en lien avec l’activité du laboratoire, et uniquement si ce traitement est nécessaire. Par ailleurs Roche Diagnostics France peut être amenée à collecter et traiter les Données personnelles accessibles par le biais des logiciels ou transmises par le client, aux fins de répondre à ses obligations légales et réglementaires.

 

3.2. Quelles sont les données collectées ?

Les données personnelles relatives aux patients et opérateurs auxquelles Roche Diagnostics France peut avoir accès dans le cadre des prestations mentionnées ci-dessus sont celles strictement nécessaires à la réalisation du diagnostic.

 

3.3. Quels sont les engagements de Roche Diagnostics France en matière de sécurité dans le traitement de ces données ?

Les données sont collectées et traitées en exécution du contrat portant notamment sur l’installation et la maintenance du matériel, afin de pouvoir réaliser les prestations.

Roche Diagnostics France s’engage à respecter et à faire respecter par ses salariés ou éventuels sous-traitants les réglementations relatives à la protection des données personnelles en vigueur, notamment en termes de sécurité et protection des données.

Lorsque, au cours de sa mission, Roche Diagnostics France a accès à des données personnelles, ces dernières sont traitées en toute confidentialité et ne sont pas divulguées à une quelconque personne non autorisée. Les salariés de Roche Diagnostics France, du Groupe Roche ou des éventuels sous-traitants qui ont à traiter des données personnelles sont tenus par une obligation de confidentialité, sont informés des réglementations et dispositions applicables à la protection des données personnelles et sont tenus de les respecter.

Ainsi, les accès à nos locaux sont sécurisés, une authentification forte est demandée pour accéder à notre système d’information, l’ensemble des flux de messagerie électronique et des supports physiques (tels que les smartphones, les disques durs, les serveurs de messagerie) de Roche Diagnostics France sont encryptés. 

La liste des sous-traitants, avec lesquels Roche Diagnostics France contracte, peut être communiquée au client sur demande. En cas de changement de sous-traitant, Roche Diagnostics France en informe le client dans le cadre de la gestion de sa relation contractuelle.

 

3.4. Combien de temps sont conservées les données ?

Les données personnelles ainsi traitées dans l’exécution des prestations de Roche Diagnostics France sont conservées pendant la durée nécessaire à la réalisation des prestations puis détruites.

Les données personnelles utilisées dans le cadre de l’amélioration des produits de Roche Diagnostics France sont pseudonymisées.

Lorsqu’une action de vigilance a eu lieu, les données sont conservées pendant 20 ans à compter de la clôture du dossier de vigilance.

 

3.5. Quels sont les droits individuels des personnes concernées sur les données ?

Les droits individuels des personnes concernées par les traitements sont exercés auprès du client, responsable du traitement. Nous nous engageons à remonter sans délai au client les demandes éventuelles de personnes concernées qui seraient faites directement auprès de Roche Diagnostics France et à aider notre client à y répondre.

 

3.6. Que se passe-t-il en cas de violation de données personnelles ?

En cas de violation de données personnelles portée à sa connaissance, Roche Diagnostics France a mis en place une procédure afin de faire remonter toute information utile en sa possession, notamment les mesures de sécurité mises en place, et d’aider ses clients, responsables de traitement, à réagir rapidement et notamment notifier cette violation à la CNIL si nécessaire.

 

4. Organisation de la protection des données personnelles chez Roche

 

Chez Roche, nous avons mis en place une organisation de la protection des données au niveau global et local pour protéger la vie privée, garantir la conformité au Règlement Général sur la Protection des Données de l’Union Européenne et aux dispositions légales locales applicables et répondre aux questions que vous pouvez avoir ou auxquelles nos collaborateurs sont confrontés.

Ce peut être pour traiter vos demandes ou celles des patients concernant leurs données mais également en cas de suspicions de failles de sécurité susceptible d’avoir des conséquences sur les données personnelles.

Chez Roche Diagnostics France, le Data Protection Officer met en œuvre les politiques et procédures globales du groupe Roche en relation avec la CNIL, conseille la filiale et contrôle le respect par Roche Diagnostics France du Règlement Général sur la Protection des Données de l’Union Européenne et de la législation Française en la matière.

Il est chargé de faire appliquer les procédures destinées à protéger les données personnelles.

Pour Roche Diagnostics France, le Data Protection Officer est votre point de contact principal pour toutes les questions et problèmes liés aux données personnelles. Vous pouvez le contacter :

  • en vous adressant à meylan.privacy@roche.com,
  • ou par courrier à :
    Roche Diagnostics France
    Data Protection Officer
    2 avenue du Vercors
    CS60059 38242 Meylan Cedex

 

5. Procédures Roche de protection des données

 

Les procédures que Roche met en œuvre au niveau global et local garantissent la protection et le respect des données de chacun, au quotidien et partout dans le monde.

Elles sont destinées :

  • A permettre aux personnes concernées d’exercer leurs droits en matière de respect de la vie privée et à traiter leur demande dans le mois qui suit, quelle que soit la localisation des solutions impliquées dans le traitement.
  • A garantir le traitement des violations de données personnelles dans les 72 heures après avoir eu connaissance d’un incident, lorsque la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
  • A prendre en compte la protection des données personnelles au moment de la conception, et par défaut, de tous nos nouveaux produits et services traitant des données à caractère personnel.

 

6. La sensibilisation et la formation à la protection des données personnelles chez Roche

 

Pour nous, la protection et la confidentialité des données personnelles sont primordiales et passent par la responsabilisation de chacun.

Nous considérons que la mise en œuvre d’un programme de formation systématique permettant à chacun d’entre nous de connaître sa responsabilité en matière de protection des données personnelles est un élément essentiel du respect des réglementations par Roche de par le monde.

Un tel programme de sensibilisation de nos collaborateurs est ainsi déployé au sein de Roche.