Politique de confidentialité
Clinical Trial Media, Inc. (« CTM »)
Politique de confidentialité
Entrée en vigueur le 11 janvier 2021
INTRODUCTION
CTM s’engage à respecter et à protéger votre vie privée.
Cette politique de confidentialité indique la manière dont nous protégeons vos données à caractère personnel, dont nous les utilisons et vous explique vos droits à la vie privée et comment la loi vous protège.
La politique de confidentialité définit notre approche relative à la protection de vos données à caractère personnel dans le monde et nous reconnaissons que différents systèmes juridiques et juridictions s’appliquent :
- Aux États-Unis, la Federal Trade Commission (FTC) a compétence pour notre conformité relative aux données à caractère personnel. Si vous n’êtes pas d’accord avec les conditions de cette politique de confidentialité, veuillez ne pas accéder ni utiliser le site Web ou les services de CTM.
- Dans le reste du monde, différentes règles juridiques s’appliquent et, en particulier, nous utiliserons et protégerons les données à caractère personnel conformément aux règles à appliquer dans l’Espace économique européen (« EEE ») qui a adopté le Règlement général sur la protection des données (« RGPD »), et au Royaume-Uni (« R.-U. »), qui a adopté sa propre version du RGPD. Dans l’EEE ou au R.-U., l’autorité de surveillance nationale aura compétence sur notre mise en conformité dans le pays concerné. Si vous n’êtes pas d’accord avec les conditions de cette politique de confidentialité, veuillez ne pas accéder ni utiliser le site Web ou les services de CTM.
TABLE DES MATIÈRES
- OBJECTIF
- LES DONNÉES QUE NOUS RECUEILLONS À VOTRE SUJET
- COMMENT NOUS RECUEILLONS VOS DONNÉES À CARACTÈRE PERSONNEL
- COMMENT NOUS UTILISONS ET COMMUNIQUONS VOS DONNÉES À CARACTÈRE PERSONNEL
- TRANSFERTS INTERNATIONAUX
- SÉCURITÉ DES DONNÉES
- CONSERVATION DES DONNÉES
- VOS DROITS À LA PROTECTION DES DONNÉES EN VERTU DU RGPD ET DE LA POLITIQUE DE CONFIDENTIALITÉ EN VIGUEUR AU R.-U.
- DROITS À LA VIE PRIVÉE EN CALIFORNIE
- DÉFINITIONS
1. OBJECTIF
Cette politique de confidentialité décrit comment CTM recueille, utilise, traite et protège vos données à caractère personnel et vous informe des choix disponibles pour choisir et gérer vos données à caractère personnel.
Il est important de lire cette politique de confidentialité ainsi que toute autre politique de confidentialité ou avis de traitement équitable que nous sommes susceptibles de fournir lors de la collecte ou du traitement de données à caractère personnel vous concernant, afin que vous sachiez comment et pourquoi nous utilisons vos données. La politique de confidentialité complète les autres mentions et ne vise pas à les remplacer.
1.1 CONTRÔLEUR
La politique de confidentialité est rédigée au nom de CTM. Dès lors, lorsque les termes « nous », « nos » ou « notre » sont mentionnés dans cette politique, nous sommes responsables du traitement de vos données.
Nous avons désigné un responsable de la protection des données chargé des questions liées à la politique de confidentialité. Si vous avez des questions sur la politique de confidentialité, y compris toute demande sur l’exercice de vos droits légaux, veuillez contacter le responsable de la protection des données aux coordonnées ci-dessous.
1.2 COORDONNÉES
Nos coordonnées pour les demandes relatives à la politique de confidentialité et les informations sur les pratiques afférentes sont :
Nom complet de la personne morale : Clinical Trial Media, Inc.
Nom ou titre du responsable de la protection des données : Henry Shinn
Adresse électronique : privacy@clinicaltrialmedia.com
Numéro de téléphone : 001 516 470 0720
Adresse postale : 100 Motor Parkway, Suite 528, Hauppauge, NY 11788, USA
URL : https://clinicaltrialmedia.com/request-form/
1.3 PLAINTES
Vous avez le droit de formuler une plainte à tout moment auprès de l’autorité nationale de surveillance compétente du pays où vous résidez. Pour en savoir plus sur ce droit et pour localiser l’autorité de protection des données compétente, consultez le site de la Commission européenne (https://ec.europa.eu/info/policies/justice-and-fundamental-rights_en) ; si vous êtes au Royaume-Uni, consultez le site de l’Information Commissioner’s Office (« ICO ») (www.ico.org.uk). Si vous êtes aux États-Unis, vous pouvez contacter la Federal Trade Commission des États-Unis. Pour davantage d’informations, consultez https://www.ftc.gov/faq/consumer-protection/submit-consumer-complaint-ftc.
Toutefois, nous aimerions avoir la possibilité de répondre à vos préoccupations avant que vous ne vous adressiez à une des autorités de surveillance nationales, ainsi, nous vous remercions de bien vouloir nous contacter en premier lieu.
1.4 MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITÉ ET VOTRE DEVOIR DE NOUS INFORMER DES CHANGEMENTS DE VOS DONNÉES À CARACTÈRE PERSONNEL
Nous nous réservons le droit de modifier cette politique de confidentialité et nous vous en informerons en actualisant cet avis. Veuillez par conséquent le consulter de temps en temps, en particulier si vous avez des contrats en cours avec nous. Il est important que les données à caractère personnel que nous détenons soient exactes et à jour. Veuillez nous tenir informés des changements de vos données à caractère personnel tant que nous sommes contractuellement liés.
1.5 LIENS DE TIERCES PARTIES
Ce site Web peut inclure des liens, des plug-ins et des applications vers des sites de tierces parties. Cliquer sur ces liens ou activer ces connexions peut autoriser les tierces parties à obtenir ou partager vos données à caractère personnel. Nous ne contrôlons pas ces sites Web tiers et ne sommes pas responsables de leur politique de confidentialité. Lorsque vous quittez notre site Web, nous vous encourageons à lire la politique de confidentialité de tous les sites Web que vous visitez.
2. LES DONNÉES QUE NOUS RECUEILLONS À VOTRE SUJET
Les données ou informations à caractère personnel désignent toutes les informations relatives à une personne identifiée ou identifiable. Toutefois, celles-ci ne comprennent pas les données dont l’identité a été supprimée (données anonymisées).
Nous pouvons recueillir, utiliser, stocker et transférer les catégories différentes de vos données à caractère personnel que nous avons regroupées comme suit :
- Les données d’identité incluent le prénom, le nom de jeune fille, le nom de famille, le nom d’utilisateur ou identifiant similaire, la date de naissance et le sexe.
- Les coordonnées incluent l’adresse de facturation, l’adresse de livraison, l’adresse électronique et les numéros de téléphone.
- Les données financières incluent les données bancaires des clients, des fournisseurs et des agents responsables des paiements que nous recevons et effectuons pour les services que nous fournissons.
- Les données de transaction incluent les données des produits et des services que vous avez reçus ou achetés chez nous et/ou auprès de nos affiliés.
- Les données techniques incluent l’adresse du protocole internet (« IP »), vos données d’identification, le type de navigateur et la version, le réglage du fuseau horaire et le lieu, les types de plug-in du navigateur et les versions, le système et la plateforme d’exploitation et toute autre technologie sur les appareils que vous utilisez pour accéder au site Web.
- Les données de profil incluent votre nom d’utilisateur et le mot de passe, vos achats ou commandes, vos intérêts, préférences, retours d’information et réponses aux études/questionnaires.
- Les données d’utilisation incluent des informations quant à la manière dont vous utilisez notre site Web, nos produits et services.
- Les données de marketing et communication incluent vos préférences quant à la réception d’informations marketing de notre part et/ou de nos affiliés.
- Les données de santé incluent des informations liées à tout aspect de votre santé et/ou des conséquences de la participation à tout essai clinique organisé par nos clients.
Nous pouvons aussi recueillir, utiliser et partager des données agrégées telles que des données statistiques ou démographiques générales prévues à toute fin. Des données agrégées peuvent être tirées de vos données à caractère personnel, mais ne sont pas légalement considérées comme des données à caractère personnel car elles ne révèlent pas directement ou indirectement votre identité. Nous pouvons par exemple agréger vos données d’utilisation pour calculer le pourcentage d’utilisateurs accédant à un paramètre d’un site Web spécifique. Toutefois, si nous combinons ou connectons des données agrégées à vos données à caractère personnel et que cela permet de vous identifier directement ou indirectement, nous traiterons les données combinées comme des données à caractère personnel qui seront utilisées conformément à cette politique de confidentialité.
Outre les données de santé et les études/questionnaires sectoriels ou gouvernementaux auxquels nous sommes tenus de répondre, nous ne recueillons normalement pas de catégories spéciales de données à caractère personnel à votre sujet (cela inclut les données sur vos origines ethniques, religion ou croyances philosophiques, vie sexuelle, orientation sexuelle, opinions politiques et affiliation à un syndicat).
2.1 SI VOUS NE FOURNISSEZ PAS DE DONNÉES À CARACTÈRE PERSONNEL
Dans le cas où vous ne fourniriez pas vos données, lorsque la loi ou les modalités d’un contrat que vous avons conclu avec vous nous obligent à les recueillir, nous risquons de ne pas pouvoir exécuter le contrat que nous avons conclu ou que nous essayons de conclure avec vous (par exemple la prestation de nos services). Dans ce cas, nous risquons de devoir annuler un produit ou un service que nous vous fournissons, mais nous vous en informerons le moment venu.
3. COMMENT NOUS RECUEILLONS VOS DONNÉES À CARACTÈRE PERSONNEL
Nous utilisons différentes méthodes pour recueillir les catégories de données à caractère personnel décrites ci-dessus, notamment :
- Interactions directes. Vous pouvez nous fournir des données à caractère personnel en remplissant un formulaire ou en communiquant avec nous par courrier, courrier électronique, téléphone ou autre. Cela inclut les données à caractère personnel que vous fournissez lorsque vous :
- vous inscrivez en ligne ou autre pour recevoir nos produits ou services ;
- concluez un contrat pour recevoir nos services ; ou
- demandez que l’on vous envoie du contenu marketing.
- Technologies ou interactions automatisées. Lorsque vous consultez notre site Web, nous pouvons automatiquement recueillir des données techniques sur votre équipement, vos activités et habitudes de navigation. Nous recueillons ces données à caractère personnel en utilisant des cookies, les fichiers journaux et autres technologies similaires. Nous pouvons également recevoir des données techniques à votre sujet si vous visitez d’autres sites Web utilisant nos cookies. Ces données agrégées donnent une vue d’ensemble des tendances du nombre de visiteurs et des informations quant aux sections les plus visitées sur le site Web. Nous utilisons ces informations pour déterminer quel type de technologie est disponible sur les ordinateurs des visiteurs afin de mieux les servir en utilisant des technologies plus perfectionnées (par exemple Macromedia Flash). Aucune de ces informations n’est liée aux informations personnelles.
- Nous recueillons passivement et enregistrons les informations suivantes des visiteurs sur notre site :
- Type de navigateur
- Adresse IP
- Nom de domaine
- Heure d’accès
- Système d’exploitation
- Tierces parties ou sources publiquement disponibles. Nous pouvons recevoir vos données à caractère personnel de la part de différentes tierces parties et de sources publiques telles que mentionnées ci-dessous :
- Nous pouvons recevoir des données techniques des parties suivantes :
- fournisseurs de services analytiques tels que Google ;
- réseaux publicitaires ;
- fournisseurs de recherche d’information ;
- portails.
- Nous pouvons recevoir des données techniques des parties suivantes :
- Coordonnées et données de transaction des fournisseurs techniques, des services de paiements et de livraison.
- Données d’identité et coordonnées de courtiers ou d’agrégateurs de données.
- Nous recueillons passivement et enregistrons les informations suivantes des visiteurs sur notre site :
4. COMMENT NOUS UTILISONS ET COMMUNIQUONS VOS DONNÉES À CARACTÈRE PERSONNEL
Nous n’utiliserons vos données à caractère personnel que lorsque la loi nous y autorise. Nous utiliserons habituellement vos données à caractère personnel dans les cas suivants :
- lorsque nous devons exécuter un contrat que nous sommes sur le point de conclure ou avons conclu avec vous ou pour exécuter d’autres obligations légales ;
- lorsque cela est nécessaire dans notre intérêt légitime (ou dans l’intérêt d’une tierce partie) et que vos intérêts et vos droits fondamentaux ne priment pas sur ces intérêts (cela s’applique dans l’EEE et au R.-U.) ;
- lorsque nous devons nous conformer à une obligation légale ou réglementaire.
Dans l’EEE, pour tout envoi direct de communication marketing par courrier électronique ou SMS, nous ne vous les enverrons (i) qu’avec votre consentement exprès ou (ii) si vous êtes un client existant. Vous avez le droit de retirer votre consentement pour le contenu marketing à tout moment en nous contactant.
4.1 OBJECTIFS D’UTILISATION DE VOS DONNÉES À CARACTÈRE PERSONNEL
Nous avons établi une description, sous forme de tableau, des manières dont nous prévoyons d’utiliser vos données à caractère personnel et la base juridique sur laquelle nous nous basons pour le faire. Nous avons également identifié quels étaient nos intérêts légitimes, le cas échéant.
Notez que nous pouvons également traiter vos données à caractère personnel conformément à plusieurs bases juridiques en fonction du besoin spécifique pour lequel nous utilisons vos données. Veuillez nous contacter si vous avez besoin d’informations spécifiques à propos d’une base juridique spécifique que nous utilisons pour traiter vos données à caractère personnel lorsque plusieurs bases sont définies dans le tableau ci-dessous.
Objectif/Activité | Catégorie de données | Base juridique pour traitement incluant la base d’un intérêt légitime |
Pour vous inscrire en tant que nouveau client | (a) identité (b) contact | Exécution d’un contrat avec vous |
Pour traiter et fournir des services et/ou pour exécuter des obligations contractuelles pour vous, y compris percevoir et recouvrer de l’argent qui nous est dû | (a) identité (b) contact (c) finances (d) transaction (e) marketing et communication | (a) exécution d’un contrat avec vous (b) nécessaire pour nos intérêts légitimes (pour recouvrer des fonds qui nous sont dus) |
Pour gérer notre relation avec vous, ce qui comprendra : (a) les notifications des changements des conditions ou de notre politique de confidentialité (b) la demande de rédaction d’un commentaire ou de répondre à une étude ou un questionnaire | (a) identité (b) contact (c) profil (d) marketing et communication | (a) exécution d’un contrat avec vous (b) nécessaire pour nous conformer à une obligation légale (c) nécessaire pour nos intérêts légitimes (pour garder nos données à jour et analyser la manière dont les clients utilisent nos produits/services) |
Pour vous permettre de répondre à une étude ou un questionnaire | (a) identité (b) contact (c) profil (d) utilisation (e) marketing et communication | (a) exécution d’un contrat avec vous (b) nécessaire pour nos intérêts légitimes (pour analyser la manière dont les clients utilisent nos produits/services, les développer et développer nos activités) |
Pour déterminer si vous êtes éligible/si vous pouvez participer à un essai clinique spécifique, à une recherche clinique afférente ou à un programme de soutien clinique de nos clients | (a) identité (b) contact (c) santé | (a) nécessaire pour nos intérêts légitimes pour développer nos produits/services (b) nécessaire afin de nous conformer aux obligations contractuelles de nos clients finaux |
Pour gérer et protéger nos activités et ce site Web (y compris résolution des problèmes, analyse de données, test, maintenance de système, support, établissement de rapports et hébergement de données) | (a) identité (b) contact (c) technique | (a) nécessaire pour nos intérêts légitimes (pour réaliser nos activités, fournir des services administratifs et de gestion, la sécurité du réseau, pour prévenir la fraude et pour réorganiser les activités ou dans le cadre d’un exercice de restructuration du groupe) (b) nécessaire pour nous conformer à une obligation légale (c) nécessaire pour résoudre les litiges |
Pour vous fournir du contenu et des publicités pertinentes et mesurer ou comprendre l’efficacité de la publicité que nous vous proposons | (a) identité (b) contact (c) profil (d) utilisation (e) marketing et communication (f) technique | Nécessaire pour nos intérêts légitimes (pour étudier comment nos clients utilisent nos produits/services afin de les développer, faire croître nos activités et guider notre stratégie marketing) |
Pour utiliser des analyses de données pour améliorer notre site Web, nos produits/services, le marketing, les relations et expériences clients ; fournir des fichiers d’audit pour le consentement | (a) technique (b) utilisation | Nécessaire pour nos intérêts légitimes (pour étudier comment nos clients utilisent nos produits/services, pour garder le site Web à jour et pertinent, pour développer nos activités et guider notre stratégie marketing) |
Pour vous faire des suggestions et des recommandations sur nos biens et services pouvant vous intéresser | (a) identité (b) contact (c) technique (d) utilisation (e) profil | Nécessaire pour nos intérêts légitimes (pour développer nos produits/services et faire croître nos activités) |
Pour nous conformer aux obligations légales, y compris les enquêtes du gouvernement, les ordonnances du tribunal, ou autres procédures légales nécessaires pour éviter les dommages physiques ou financiers ou pour éviter une infraction ou une fraude | (a) identité (b) contact (c) technique (d) utilisation (e) profil | (a) nécessaire pour nos intérêts légitimes (pour protéger nos activités, nos employés, nos clients et le public) (b) nécessaire pour nous conformer à une obligation légale (c) nécessaire pour résoudre les litiges |
4.2 DIVULGATION D’INFORMATIONS AUX TIERCES PARTIES
Nous ne partageons en général pas vos données cliniques à caractère personnel avec d’autres entreprises hors CTM à l’exception de nos clients de confiance et nos fournisseurs de services si nécessaire pour des recherches et des essais.
Nous pouvons partager vos données à caractère personnel avec les parties indiquées ci-dessous aux fins indiquées dans le tableau de la section 4.1 ci-dessus.
- Sous-traitants tiers qui fournissent des services en notre nom et/ou nous aident à vous fournir des services. Si nous utilisons des sous-traitants qui ont accès à vos données à caractère personnel, nous veillons à ce qu’il y ait des modalités contractuelles strictes en place pour garantir que les sous-traitants ne traitent les données que dans la mesure où nous le leur permettons par écrit et qu’il y ait des clauses de protection des données et de confidentialité, formulées dans un langage approprié, dans tous les contrats de ce type.
- Tierces parties à qui nous choisissons de vendre, transférer ou de fusionner une partie de nos activités ou de nos actifs. Nous pourrions également chercher à acquérir d’autres entreprises ou à fusionner nos activités avec elles. Si un changement de contrôle a lieu dans nos activités, les nouveaux propriétaires pourront utiliser vos données à caractère personnel comme indiqué dans la politique de confidentialité.
- Nous pourrons communiquer les informations personnelles aux autorités gouvernementales d’application de la loi ou autres en réponse aux citations en justice ou autres procédures comme demandé par la loi en vigueur ou en cas de dommages physiques ou financiers potentiels, de fraude ou d’infraction.
Nous demandons à toutes les parties de respecter la sécurité de vos données à caractère personnel et de les traiter conformément à la loi. Nous n’autorisons pas les fournisseurs de services tiers à utiliser les données à caractère personnel à leurs propres fins et les autorisons uniquement à traiter les données à caractère personnel à des fins spécifiques et conformément à nos instructions.
Nous ne vendrons pas vos données à caractère personnel à un tiers. Nous n’utilisons et ne communiquons les informations de santé personnelles identifiables (« ISPI ») que dans le cadre strict du minimum de données à caractère personnel nécessaire pour accomplir l’objectif prévu d’une recherche ou d’un essai clinique spécifique, et elles ne sont utilisées que dans le cadre d’activités de pré-sélection pour des projets de recherche clinique. Cela comprend l’utilisation de questionnaires d’étude posant uniquement des questions médicales ou ayant trait à la santé qui sont directement associées au projet de recherche clinique en question tel qu’indiqué dans les protocoles validés.
En règle générale, nous n’utilisons pas nous-mêmes les informations de santé personnelles identifiables, et ne les divulguons pas à des tiers, sauf si nous avons obtenu votre consentement explicite à cet égard.
À titre exceptionnel, nous pouvons divulguer des informations de santé personnelles identifiables lorsqu’une loi ou un règlement nous y oblige. Cela concerne en particulier, mais sans s’y limiter, les situations où nous devons divulguer de telles informations à la demande des autorités publiques pour satisfaire les exigences en matière de sécurité nationale et d’application de la loi. Cela inclut l’utilisation et/ou la divulgation de données dans les cas suivants :
- prévenir ou contrôler les maladies, les blessures ou les handicaps ;
- rendre compte des maladies, des blessures ou des handicaps ;
- aider la surveillance, la recherche ou les interventions en matière de santé publique ;
- rendre compte de cas de maltraitance ou de négligence envers les enfants ou de cas de violence domestique ;
- éviter une menace grave envers un ou des individus ou la santé publique ou la sécurité ;
- pour les coroners et/ou les médecins légistes ou pour le don de tissu ;
- en réponse aux procédures juridiques et aux ordonnances du tribunal ou aux citations ;
- pour les fonctions gouvernementales spécialisées et l’indemnisation des travailleurs ;
- pour les employés qui sont des lanceurs d’alerte ou victimes d’un acte criminel ;
- lorsque nous estimons de bonne foi que divulguer les données est nécessaire pour protéger nos droits ou pour assurer votre sécurité, la sécurité des autres ou pour enquêter sur des cas de fraude.
4.3 CLAUSE D’OPTION DE SORTIE
Vous pouvez nous demander ou demander aux tiers d’arrêter d’envoyer des informations/rappels à tout moment en nous contactant.
Lorsque vous demandez de ne plus recevoir ces informations/messages de rappel, cela ne s’appliquera pas aux données à caractère personnel obtenues suite à l’achat d’un produit/service, l’enregistrement d’une garantie, l’expérience produit/service ou autres transactions.
4.4 COOKIES
Nous utilisons uniquement des cookies pour enregistrer des informations spécifiques aux utilisateurs et les pages qu’ils visitent, l’historique, la gestion et la personnalisation de la session. L’utilisation des cookies permet une meilleure expérience utilisateur lorsque les visiteurs retournent sur le site Web.
Vous pouvez paramétrer votre navigateur pour refuser tous les cookies du navigateur ou certains d’entre eux, ou pour vous alerter lorsque des sites Web utilisent ou accèdent aux cookies. Si vous désactivez ou refusez les cookies, veuillez noter que certaines parties du site Web peuvent devenir inaccessibles ou ne pas fonctionner correctement.
4.4.1 Contrôle des cookies. La déclaration interactive de CTM en matière de cookies indique clairement comment le comportement des utilisateurs est suivi et fournit des contrôles faciles d’utilisation pour donner ou retirer son consentement. L’utilisateur a le contrôle pour empêcher les cookies d’être placés sur son ordinateur jusqu’à ce que le consentement soit activement confirmé.
4.5 CHANGEMENT DE BUT
Nous n’utiliserons vos données à caractère personnel que dans les buts pour lesquels nous les avons recueillies, à moins que nous estimions raisonnablement que nous en ayons besoin pour une autre raison et que cette raison est compatible avec le but initial.
Si nous devons utiliser vos données à caractère personnel à une fin différente, nous vous informerons et vous expliquerons la base juridique qui nous permet de le faire.
Veuillez noter que nous pouvons traiter vos données à caractère personnel à votre insu ou sans votre consentement, conformément aux règles ci-dessus lorsque requis ou autorisé par la loi.
4.6 UTILISATION DE DONNÉES DE SANTÉ AUX ÉTATS-UNIS
La loi sur la Portabilité et la responsabilité de l’assurance maladie (« Health Insurance Portability and Accountability ») de 1996 (« HIPAA ») et les règlements suivants édictés par le Department of Health and Human Services (« DHHS ») aux États-Unis imposent des restrictions sur d’autres organisations (entités couvertes « Covered Entities ») au titre de l’HIPAA selon votre relation avec CTM. Dans le cadre de ses services de recrutement de sujets via centre d’appel pour une de ces organisations, CTM peut être invitée à se conformer à certains aspects de l’HIPAA lors des activités de recherche de sujets.
Bien que CTM ne soit pas une entité couverte telle que définie dans les règles sur la protection de la vie privée de l’HIPAA, nos politiques et nos procédures régissant les droits à la vie privée des participants à la recherche comprises dans cette politique de confidentialité sont compatibles avec celles requises par l’HIPAA pour les entités couvertes et deviendront la norme pour les activités de recherche comprenant les informations personnelles de santé identifiables.
Toutes les informations personnelles de santé identifiables recueillies par CTM en lien avec le recrutement des sujets pour une étude de recherche clinique sont sauvegardées au format électronique et transmises par le biais d’une connexion à un réseau sécurisé à une base de données sécurisée. Les politiques de protection des données de CTM sont conformes aux bonnes pratiques cliniques, ainsi qu’aux normes HIPAA et au RGPD. CTM dispose de politiques de sécurité distinctes pour la sécurité physique, la sécurité du réseau et la sécurité des applications.
5. TRANSFERTS INTERNATIONAUX
Certaines données à caractère personnel peuvent être conservées sur des serveurs aux États-Unis. Cela impliquera le transfert de vos données en dehors de l’Espace économique européen (« EEE ») ou du R.-U. En outre, nous faisons appel à des tierces parties qui disposent de serveurs informatiques situés aux États-Unis hébergeant vos données à caractère personnel. Vous consentez au transfert de vos données à caractère personnel au États-Unis.
Lorsque nous transférons et/ou traitons vos données à caractère personnel en dehors de l’EEE ou du R.-U., nous garantissons que vos données bénéficient d’un niveau de protection similaire en utilisant des contrats spécifiques approuvés par la Commission européenne ou par l’Information Commissioner’s Office (ICO) au Royaume-Uni. Ces contrats offrent à vos données à caractère personnel la même protection qu’en Europe.
6. SÉCURITÉ DES DONNÉES
Nos partenaires d’hébergement tiers et nous-mêmes avons mis en place des mesures de sécurité appropriées pour empêcher vos données à caractère personnel d’être accidentellement perdues, utilisées ou consultées illégalement, modifiées ou divulguées. En outre, nous limitons l’accès à vos données à caractère personnel aux employés, agents, entrepreneurs et autres tiers dont les activités nécessitent de connaître ces données. Ils ne traiteront vos données à caractère personnel qu’à notre demande et sont soumis au devoir de confidentialité.
Nous avons mis en place des procédures pour gérer tout soupçon de violation des données à caractère personnel et nous vous informerons vous et tout organe réglementaire compétent des violations dans les cas où nous serons légalement tenus de le faire.
7. CONSERVATION DES DONNÉES
Nous ne conserverons vos données à caractère personnel que pendant la durée nécessaire pour atteindre les objectifs pour lesquels nous les avons recueillies, y compris pour satisfaire toute obligation juridique, de déclaration et de comptabilité.
Pour déterminer la période de conservation appropriée des données à caractère personnel, nous prenons en compte le volume, la nature et le caractère sensible des données à caractère personnel, le risque potentiel en cas d’utilisation non autorisée ou de divulgation de vos données à caractère personnel, les fins auxquelles nous traitons vos données à caractère personnel et si nous pouvons atteindre ces fins via d’autres moyens, et les obligations légales applicables.
Dans certaines circonstances dans l’EEE et le R.-U., vous pouvez nous demander de supprimer vos données : voir la section ci-dessous intitulée « Vos droits à la protection des données en vertu du RGPD et de la politique de confidentialité en vigueur au R.-U. » pour plus d’informations.
Nous pouvons également anonymiser vos données à caractère personnel (afin que ces données ne permettent pas de vous identifier) à des fins de recherche ou statistique ; dans ce cas, nous pouvons utiliser ces informations indéfiniment sans vous en avertir.
8. VOS DROITS À LA PROTECTION DES DONNÉES EN VERTU DU RGPD ET DE LA POLITIQUE DE CONFIDENTIALITÉ EN VIGUEUR AU R.-U.
Dans certaines circonstances dans l’EEE et au R.-U., vous disposez des droits suivants en vertu des lois de protection des données :
Demande d’accès à vos données à caractère personnel (appelée communément « demande d’accès de la personne concernée »). Cela vous permet de recevoir une copie des données à caractère personnel que nous détenons à votre sujet et de vérifier que nous les traitons en toute légalité.
Demande de rectification des données à caractère personnel que nous détenons à votre sujet. Cela vous permet de faire rectifier les données incomplètes ou inexactes que nous détenons à votre sujet, bien que nous devions toutefois vérifier l’exactitude des nouvelles données que vous nous fournissez.
Demande de suppression de vos données à caractère personnel. Cela vous permet de nous demander de supprimer ou retirer les données à caractère personnel lorsqu’il n’y a pas de bonne raison pour nous de continuer à les traiter. Vous pouvez également nous demander de supprimer ou retirer vos données à caractère personnel si vous avez exercé avec succès votre droit de vous opposer au traitement (voir ci-dessous), si nous avons traité vos données illégalement ou s’il nous est demandé de supprimer vos données à caractère personnel pour nous conformer au droit local. Notez toutefois que nous ne serons pas toujours en mesure de satisfaire votre demande de suppression pour des raisons légales spécifiques que nous vous communiquerons, le cas échéant, au moment de la demande.
Opposition au traitement de vos données à caractère personnel lorsque nous nous basons sur un intérêt légitime (ou celui d’un tiers) et si dans votre situation particulière quelque chose fait que, pour ce motif, vous vous opposez au traitement de vos données, car vous estimez que cela a une incidence sur vos droits fondamentaux et vos libertés. Vous avez également le droit de vous opposer au traitement de vos données à des fins de marketing direct. Dans certains cas, nous pouvons prouver que nous avons des raisons légitimes impérieuses de traiter vos données qui priment sur vos droits et libertés.
Demande de limitation du traitement de vos données à caractère personnel. Cela vous permet de demander à suspendre le traitement de vos données dans les situations suivantes : (a) si vous voulez que nous déterminions l’exactitude des données ; (b) si notre utilisation des données est illégale mais que vous ne voulez pas qu’on les efface ; (c) si vous avez besoin que nous conservions vos données, même si nous n’en avons plus besoin, si vous devez établir, exercer ou défendre vos droits ; ou (d) si vous vous êtes opposé(e) à notre utilisation de vos données mais que nous devons vérifier si nos motifs légitimes priment.
Demande de transfert de vos données à caractère personnel à vous ou à un tiers. Nous vous fournirons à vous ou à un tiers de votre choix, vos données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine. Notez que ce droit ne s’applique qu’aux informations automatisées pour lesquelles vous nous avez initialement donné votre consentement ou si nous avons utilisé les informations afin d’exercer un contrat avec vous.
Retrait de votre consentement à tout moment lorsque nous avons besoin de votre consentement pour traiter vos données à caractère personnel. Toutefois, cela n’affectera pas la légalité de tout traitement réalisé avant le retrait de votre consentement. Si vous retirez votre consentement, nous ne serons plus en mesure de vous fournir certains produits ou services. Nous vous informerons si tel est le cas au moment du retrait de votre consentement.
Si vous souhaitez exercer vos droits mentionnés ci-dessus, veuillez nous contacter.
Dans l’EEE ou au R.-U., vous avez le droit de formuler une plainte à tout moment auprès de l’autorité nationale de surveillance compétente. Par exemple, au Royaume-Uni, l’autorité de surveillance compétente pour les questions de protection des données est l’Information Commissioner’s Office (« ICO ») (www.ico.org.uk). Toutefois, nous aimerions avoir la possibilité de répondre à vos préoccupations avant que vous ne vous adressiez à une des autorités de surveillance nationales, ainsi, nous vous remercions de bien vouloir nous contacter en premier lieu.
Une liste des autorités de surveillance dans l’UE est disponible ici : http://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm.
8.1 AUCUN FRAIS GÉNÉRALEMENT REQUIS
Aucun frais ne vous sera demandé pour accéder à vos données à caractère personnel ou pour exercer vos autres droits.
8.2 INFORMATIONS DONT NOUS POURRIONS AVOIR BESOIN
Nous pourrions vous demander des informations spécifiques pour nous permettre de confirmer votre identité et garantir votre droit d’accès à vos données à caractère personnel (ou pour exercer vos autres droits). Il s’agit d’une mesure de sécurité pour s’assurer que les données à caractère personnel ne soient divulguées à aucune personne n’ayant pas le droit de les recevoir. Nous pouvons également vous contacter pour vous demander davantage d’informations relatives à votre demande d’accélérer notre réponse.
8.3 DÉLAI DE RÉPONSE
Nous essayons de répondre à toutes les demandes légitimes dans un délai de 30 jours ouvrables. Occasionnellement, le délai peut dépasser les 30 jours ouvrables si votre demande est particulièrement complexe ou si vous avez fait plusieurs demandes. Dans ce cas, nous vous tiendrons informé(e).
9. DROITS À LA VIE PRIVÉE EN CALIFORNIE
Si vous êtes résident(e) de Californie, vous disposez des droits suivants en ce qui concerne vos informations personnelles :
- Le droit de savoir quelles informations personnelles nous avons recueillies, utilisées, divulguées ou vendues à votre sujet. Pour soumettre une demande d’informations, veuillez nous contacter. Vous pouvez également désigner un agent autorisé pour faire une demande d’accès aux données en votre nom.
- Le droit de demander la suppression de toute information personnelle que nous avons recueillie à votre sujet. Pour soumettre une demande de suppression, veuillez nous contacter. Vous pouvez également désigner un agent autorisé pour faire une demande de suppression des données en votre nom.
Si vous exercez ces droits et nous soumettez une demande appropriée, nous vérifierons votre identité en vous demandant des informations pour confirmer celle-ci, telles que votre adresse électronique, votre numéro de téléphone, et/ou des informations sur votre compte chez nous. Nous pouvons également utiliser un fournisseur de vérification tiers pour confirmer votre identité. Veuillez noter que nous ne sommes tenus d’honorer de telles demandes que deux fois sur une période de 12 mois.
L’exercice de ces droits n’aura pas d’effet néfaste sur le prix et la qualité de nos biens ou services.
Pour la période de 12 mois avant la date de cette politique de confidentialité, CTM n’a pas vendu de données à caractère personnel que nous avons recueillies à votre sujet et ne compte pas non plus le faire à l’avenir.
10. DÉFINITIONS
EEE et R.-U.
Un intérêt légitime désigne, dans l’EEE ou au R.-U., l’intérêt de notre entreprise à mener et gérer nos activités pour nous permettre de vous offrir le meilleur service/produit, la meilleure expérience et la plus sûre. Nous veillons à estimer et jauger tout impact potentiel sur vous (impact positif et négatif) et vos droits avant de traiter vos données à caractère personnel pour nos intérêts légitimes. Nous n’utilisons pas vos données à caractère personnel pour des activités si l’impact sur vous dépasse nos intérêts (à moins que nous ayons votre consentement ou que la loi ne le requière ou nous y autorise). Vous pouvez obtenir davantage d’informations sur la manière dont nous évaluons nos intérêts légitimes par rapport à tout impact potentiel sur vous pour des activités spécifiques, en nous contactant .
L’exécution d’un contrat désigne le traitement de vos données si cela est nécessaire pour exécuter un contrat auquel vous avez souscrit ou pour prendre des mesures, si vous le demandez, avant de conclure un tel contrat.
Se conformer à une obligation légale ou règlementaire signifie traiter vos données à caractère personnel si nécessaire pour remplir une obligation légale ou règlementaire à laquelle nous sommes soumis.
Le RGPD désigne le Règlement général sur la protection des données de l’Union européenne.
ÉTATS-UNIS
Une entité couverte désigne une institution, une organisation ou autre entité qui est soumise aux règles de la loi sur la portabilité et la responsabilité de l’assurance maladie (« Health Insurance Portability and Accountability Act ») de 1996 (« HIPAA »). Les entités couvertes incluent : (I) un programme de santé, (ii) un centre d’information de santé et (iii) un fournisseur de santé qui transmet toute information de santé personnelle identifiable au format électronique en lien avec une transaction couverte par l’HIPAA.
Information de santé personnelle identifiable désigne toute information, y compris les informations démographiques recueillies sur un individu, qui :
- a trait (a) à l’état ou la santé mentale et physique passée, présente ou future d’une personne ; (b) la prestation de soins de santé à une personne ; ou (c) le paiement passé, présent ou futur pour la prestation de soins de santé à une personne ; et
- identifie la personne ou il y a un motif raisonnable de penser qu’elle peut être utilisée pour identifier la personne ; et
- les informations de santé personnelle identifiables n’incluent pas les dossiers scolaires ou médicaux couverts par la Family Education Rights and Privacy Act ni les dossiers professionnels détenus par CTM en sa qualité d’employeur.
CALIFORNIE
Information personnelle désigne toute information qui identifie, a trait à, décrit, est en mesure raisonnable d’être associée à, ou pourrait être associée directement ou indirectement à un consommateur particulier ou un ménage.
POUR TOUTE JURIDICTION
Tierces parties signifie :
- Prestataires de service agissant en tant que sous-traitants et nous fournissant des services.
- Conseillers professionnels agissant en tant que sous-traitants ou co-responsables du traitement, y compris les avocats, banquiers, auditeurs et assureurs qui nous fournissent des services bancaires, juridiques, comptables, d’assurance et de conseil.
- Régulateurs et autres autorités gouvernementales agissant en tant que sous-traitants ou co-responsables du traitement dans tous les pays dans lesquels nous travaillons et qui requièrent un rapport des activités de traitement dans certaines circonstances.