Politique de confidentialité et sécurité des données

 

1. PREAMBULE

Le traitement des données personnelles s’est considérablement accru depuis deux décennies dans tous les domaines professionnels et est devenu un enjeu commercial et économique majeur pour les entreprises.

Afin d’encadrer le traitement exponentiel de ces données, le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est entré en application en mai 2018.

Il permet à l’Union Européenne de se doter d'une législation uniforme et actualisée en matière de protection des données.

Le traitement des données personnelles est au cœur de l’activité de conduite d’essais clinique de la société Eurofins OPTIMED qui collecte et traite au quotidien des données de santé dans le cadre de ses études.

Eurofins OPTIMED accorde une importante fondamentale à la protection des données personnelles qui est placée au cœur de ses priorités.

Ce document a pour objectif de décrire la politique mise en place par Eurofins OPTIMED afin de garantir la sécurité des données personnelles traitées dans le cadre de son activité et satisfaire pleinement aux exigences du Règlement Général sur la protection des données.

 

2. DEFINITIONS

Pour les besoins et la compréhension du présent document, les termes et définitions suivants s’appliquent :

Commission Nationale Informatiques et libertés (CNIL)
Autorité publique indépendante désignée par un Etat membre pour effectuer des contrôles conformément à l’article 51 RGPD.

Données personnelles
Information concernant toute personne physique identifiée ou identifiable directement ou indirectement par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique ou sociale.

Responsable de traitement
Entité qui détermine, en tant que personne morale, seule ou avec d’autres, les finalités et les moyens du traitement des données personnelles.

Risque
Combinaison de la probabilité d’un événement et de ses conséquences.

Sous-traitant
Prestataire ou délégataire qui traite des données personnelles pour le compte du responsable de traitement.

Traitement
Opération ou ensemble d’opérations réalisées sur les données personnelles de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, alignement ou combinaison, la suppression, la restriction ou la destruction.

Violation des données personnelles
Incident de sécurité entraînant la destruction accidentelle ou illicite, la perte, l’altération, la divulgation ou l’accès non autorisé aux données personnelles transmises, conservées ou traitées d’une autre façon.

 

3. CADRE DE LA POLITIQUE

3.1 Cadre légal, réglementaire et politiques du Groupe Eurofins

La politique de protection des données personnelles au sein d’Eurofins OPTIMED s’inscrit dans le respect des textes de référence suivants :

• Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD ».
• Loi n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, dite Loi Informatique et Libertés.
• Délibération no 2018-153 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) et abrogeant la délibération no 2016-262 du 21 juillet 2016.
• Les Bonnes Pratiques Cliniques (BPC).
• L’article 226-13 du code pénal relatif aux sanctions en cas de non-respect du secret professionnel.
• Les procédures internes du Groupe EUROFINS à savoir « The Eurofins Group Code of Ethics », « The Eurofins Group Privacy Policy » et « The Eurofins Guidelines for Personal Data Protection ».

3.2 Objectifs

La présente politique présente la manière selon laquelle Eurofins OPTIMED collecte, traite, utilise et protège les données personnelles dans le cadre de son activité professionnelle.

Les engagements déclinés dans ce document témoignent des obligations d’Eurofins OPTIMED en tant que Responsable de traitement (Controller) concernant les Données Personnelles de collectées via ce site et enregistrées dans sa base de données ;

Chaque traitement de Données Personnelles est enregistré dans un registre des traitements tenu régulièrement à jour. Ce registre renseigne notamment :

• Les finalités de traitement ;
• Les catégories de personnes concernées et de Données personnelles traitées
• Les destinataires des Données Personnelles et les transferts de données hors de l’UE ;
• Les supports de collecte et de conservation des Données Personnelles ;
• Les durées de conservation.

Cette Politique de protection des Données Personnelles est susceptible d’être modifiée ou complétée à tout moment par Eurofins OPTIMED afin d’être mise en conformité avec toute évolution législative ou règlementaire.

La présente Politique est complétée de procédures et processus opérationnels internes.

3.3 Engagements

Eurofins OPTIMED s’engage à mettre en œuvre toutes les mesures nécessaires afin de garantir la protections des Données Personnelles traitées dans le cadre de son activité de conduite d’essais cliniques.

Eurofins OPTIMED s’engage notamment à :

1. traiter les Données Personnelles de manière licite, loyale et transparente au regard des personnes concernées ;
2. ne collecter des Données Personnelles que pour des finalités déterminées, explicites et légitimes, et à ne pas les traiter ultérieurement d'une manière incompatible avec ces finalités ;
3. respecter le principe de minimisation des Données en ne collectant que les Données Personnelles adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
4. garantir l’exactitude des Données Personnelles collectées et, si nécessaire, de les tenir à jour ;
5. conserver les Données Personnelles pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Ces durées sont définies dans le registre des traitements;
6. garantir une sécurité appropriée des Données Personnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.

 

4. ORGANISATION ET RESPONSABILITES

4.1 Organisation

La mise en œuvre de la protection des Données Personnelles au sein d’Eurofins OPTIMED se décline selon les axes suivants :

1. Un registre des traitements recensant l’ensemble des Données Personnelles traitées par Eurofins OPTIMED.
2. La conduite d’une analyse d’impact sur les traitements pour lesquels Eurofins OPTIMED est responsable de traitement ou co-responsable de traitement (sur demande du client).
3. La formation du personnel
4. La mise en place et le respect de nos SOP et procédures internes
5. Un descriptif détaillé des Mesures techniques et organisationnelles en place dans l’entreprise afin de garantir la protection des Données Personnelles.

Ce dispositif est en outre régulièrement revu et mis à jour afin de l’adapter aux évolutions de nos activités et de la règlementation.

4.2 Responsabilités

Conformément aux dispositions du RGPD, Eurofins OPTIMED a nommé un délégué à la protection des données déclaré auprès de la CNIL.

Ses principales missions sont, conformément à l’article 39 du Règlement 2016/679 :

1. Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et  
   d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;
2. Contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant;
3. dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 du règlement 2016/679;
4. coopérer avec l'autorité de contrôle;
5. faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

En particulier, le Délégué coordonne la rédaction et la revue des registres des activités de traitement. Il veille à ce que les moyens mis en œuvre pour assurer la protection des données restent efficients et adaptés au risque.

 

5. TRAITEMENT DES DONNEES PERSONNELLES

5.1 Base juridique du traitement

Chaque traitement de données personnelles effectué par Eurofins OPTIMED est fondé sur une base juridique détaillée dans le registre des traitements :

• Consentement de la personne concernée par le traitement ;
• Base contractuelle : contrats avec les clients et les fournisseurs / contrats de travail des salariés ;
• Base légale : respect des obligations prévues par la législation en vigueur ;
• Intérêt légitime : réalisation des études et gestion des salariés ;

5.2 Types de traitement et finalités des traitements

Le traitement des Données Personnelles par Eurofins OPTIMED répond aux finalités suivantes :

• Gestion du site internet
• Gestion des demandes de contact
• Exécution des dispositions légales, fiscales et réglementaires.

Eurofins OPTIMED ne collecte que les Données strictement nécessaires à la finalité déterminée et les traite de manière loyale et licite.

 

6. MESURE DE SECURITE ET GESTION DES VIOLATIONS

6.1 Mesures de sécurité

Eurofins OPTIMED détermine et met en œuvre les moyens nécessaires à la protection des traitements des Données à caractère Personnel pour éviter tout accès par un tiers non autorisé et prévenir toute perte, altération et divulgation non autorisées de ces Données. Ces mesures sont détaillées dans le fichier « Mesures techniques et organisationnelles ».

1. Eurofins OPTIMED dispose de procédures à des fins de prévention :
   - Charte Informatique
   - Gestion des habilitations qui détermine les règles d’accès et de confidentialité applicables aux Données Personnelles traitées
   - Application de procédures d’utilisation des systèmes d’informations et ressources informatiques
   - Sensibilisation et formation des collaborateurs au RGPD et aux procédures en vigueur.
2. Procédures à des fins de correction :
   Eurofins OPTIMED a mis en place trois procédures principales visant à corriger d’éventuelles failles dans le dispositif de protection des Données Personnelles :
   - SOP CAPA 
   - SOP GEN 549 : Gestion de crise et plan de continuité d’activité
   - SOP INF 609 : Sécurité des réseaux
   - SOP INF 646 : Stratégie de sauvegarde informatique
   - Form INF 805 : Vérification de la salle serveur

En outre, Eurofins OPTIMED assure des audits périodiques des processus en place et réalise des analyses d’impact afin de renforcer la sécurité de ses procédures.

6.2 Notification des incidents

Toute violation des Données Personnelles susceptible d’engendrer un risque pour les droits et les libertés des personnes physiques est considérée comme un incident majeur.

Eurofins OPTIMED en qualité de responsable de traitement, s’engage à notifier à la CNIL, tout incident de cette nature dans les 72 heures au plus tard après en avoir eu connaissance et dans les meilleurs délais à la personne concernée.

En cas de recours à la sous-traitance, Eurofins OPTIMED s’assure que ses partenaires intègrent le processus de notification d’incident à leurs procédures afin de disposer de toutes les informations nécessaires et fournir une réponse complète aux autorités compétentes.

 

7. TRANSFERT DES DONNEES PERSONNELLES

Les Données Personnelles dont Eurofins OPTIMED est responsable de traitement peuvent être transmises à des clients ou des sous-traitants uniquement pour le compte et selon les instructions d’Eurofins OPTIMED.

Les Données Personnelles dont Eurofins OPTIMED est sous-traitant peuvent être transmises à des tiers uniquement pour le compte et sur instruction du Responsable de traitement.

Eurofins OPTIMED s’assure au préalable que ses sous-traitants présentent des garanties de sécurité suffisantes avant tout transfert de Données personnelles.

Le transfert s’opère selon les dispositions prévues par un Accord de protection des Données Personnelles (DPA) conclu entre les parties qui en précise les modalités.

Dans le cas d’un transfert de Données au sein du Groupe Eurofins, un accord de transfert des Données est mis en place sur la base d’un modèle de contrat validé par le Groupe Eurofins.

Dans le cas d’un transfert de Données en dehors de l’Union Européennes et à destination d’un pays ne présentant pas les garanties de sécurité adéquates, les clauses types de la commission européenne seront annexées à l’Accord de protection des Données.

Enfin, des sociétés extérieures, partenaires d’Eurofins OPTIMED, peuvent être destinataires des Données ainsi que différents organismes privés ou publics.

En outre, Eurofins OPTIMED est tenu de répondre favorablement à toute demande de transfert de Données Personnelles émanant des Autorités de contrôle (CNIL, ACPR etc.).

Les outils de transfert de Données Personnelles sont détaillés dans les Mesures techniques et organisationnelles.

 

8. PROCEDURE RELATIVE A L’EXERCICE DES DROITS DES PERSONNES

Eurofins OPTIMED s’engage à informer les personnes dont les Données Personnelles sont traitées de façon concise, transparente et aisément accessible sur la finalité sont traitées de façon concise, transparente et aisément accessible sur la finalité des traitements concernant les Données Personnelles, les destinataires de ces traitements, la durée de conservation des informations collectées ainsi que leurs droits.

Eurofins OPTIMED met tout en œuvre afin de faciliter l’exercice des droits des personnes à savoir :

• droit d’accès aux Données collectées
• droit de rectification
• droit à l’effacement
• droit à la limitation du traitement
• droit à la portabilité des Données
• droit d’opposition

Eurofins OPTIMED déploie les moyens nécessaires pour assurer aux personnes concernées l’exercice de leurs droits lorsqu’elles en font la demande.

Les droits indiqués ci-dessus peuvent être exercés par courriel à [email protected] ou par voie postale à :

EUROFINS OPTIMED
Délégué-référent à la Protection des Données
1 rue des Essarts, 
38610 GIERES

Une réponse sera apportée dans un délai d’un mois maximum après la réception de la demande.