Notice d’information sur la protection des données personnelles - Recherche, étude ou évaluation dans le domaine de la santé

Juillet 2023

Cette notice d’information sur la protection des données personnelles s’adresse à tous les professionnels intervenant dans le cadre de nos projets de recherche, étude ou évaluation dans le domaine de la santé. Elle s’adresse aux médecins investigateurs (investigateur principal, investigateur secondaire, co-investigateur) et au personnel du site investigateur (infirmiers, pharmaciens ou techniciens), dont les données personnelles pourraient être traitées au cours d’une recherche, d’une étude ou d’une évaluation sponsorisée par Sandoz.

Pour les professionnels de santé, cette notice d’information vient en complément de la notice générale d’information accessible sur la page : Notice d’information sur la protection des données personnelles - Professionnel de santé ou intervenant dans le domaine de la santé – Version française et anglaise.

Sandoz, en tant que société du groupe Sandoz, traite des informations vous concernant, informations qui constituent des « données à caractère personnel » et nous portons une grande attention à la protection de vos données personnelles et de votre vie privée.

Sandoz, en tant que promoteur d’une étude dans laquelle vous intervenez, décide pourquoi et comment un traitement de vos données personnelles est effectué et agit ainsi comme « responsable du traitement ». Elle peut agir seule ou en coordination avec notamment une autre société du groupe Sandoz, qui sera alors « co-responsable du traitement ». Dans cette notice d’information, « nous » ou « notre » désignent Sandoz.

Nous vous invitons à lire attentivement cette notice d’information. Elle précise les raisons pour lesquelles nous avons besoin de collecter vos données, comment elles sont utilisées et protégées, combien de temps elles seront conservées et tous les droits dont vous disposez.  

Si vous avez d’autres questions concernant le traitement de vos données personnelles, nous vous invitons à nous contacter en écrivant à : [email protected].

1. Quelle information avons-nous à votre sujet ?

Les informations que nous détenons à votre sujet sont fournies par vous directement, par nos partenaires (c’est-à-dire, les personnes morales pour lesquelles vous travaillez), par des tiers (par exemple, la société IQVIA, les autorités ou les organismes de santé), ou bien obtenues à travers des sources fiables accessibles au public (telles que PubMed, Clinical Trials.gov ou les sites internet des hôpitaux et universités).

Nous pouvons collecter diverses catégories de données à caractère personnel vous concernant, y compris :

• Identité : nom, prénom(s), sexe, coordonnées professionnelles postales, électroniques et téléphoniques, coordonnées bancaires, le cas échéant numéro d'identification dans le répertoire partagé des professionnels de santé ;
• Formation-diplôme(s) ;
• Vie professionnelle : notamment cursus professionnel, mode et type d’exercice, éléments nécessaires à l'évaluation des connaissances dont vous disposez pour réaliser la recherche, étude ou évaluation dans le domaine de la santé ;
• Montant des indemnités et rémunérations perçues ;
• Collaboration à d'autres projets de recherche, étude ou évaluation dans le domaine de la santé ;
• Historique des accès et des connexions aux données médicales des personnes participant à une recherche, étude ou évaluation dans le domaine de la santé (eCRF ou autres outils dédiés au traitement de données ou à la conduite de l’étude à laquelle vous participez).

Si vous avez l’intention de nous fournir des données personnelles qui concernent d’autres individus (par exemple, vos collègues), vous devez leur fournir directement, ou par le biais de leur employeur, une copie de cette notice d’information.

2. Pour quelles finalités et sur quel fondement utilisons-nous vos données personnelles ?

2.1. Base légale du traitement

Nous traitons vos données personnelles uniquement si ce traitement est justifié et conforme aux dispositions légales en vigueur. Par conséquent, nous traiterons vos données personnelles uniquement si :

• Le traitement est nécessaire à l’exécution d’un contrat auquel vous êtes partie ou à l’exécution de mesures précontractuelles prises à votre demande ; 
• Le traitement est nécessaire au respect de nos obligations légales ou règlementaires ;
• Ou le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons et n’affecte pas indûment vos intérêts ou libertés et droits fondamentaux.

Veuillez noter que quand nous traitons vos données personnelles sur ce dernier fondement, nous cherchons toujours à maintenir un équilibre entre nos intérêts légitimes et votre vie privée. 

Exemples d’« intérêts légitimes » pour lesquels des traitements de données sont effectués :

• Assurer un recensement des professionnels de santé qui pourraient intervenir dans une recherche ou assurer un suivi des professionnels de santé ayant participé à une recherche ; 
• Développer une relation de proximité et de confiance avec les professionnels de santé.

Si vous souhaitez davantage d’informations, nous vous invitons à nous contacter (voir la section 6 ci-dessous).

2.2. Finalités du traitement

Nous traitons toujours vos données personnelles pour des finalités spécifiques et nous n’effectuons que des traitements de données personnelles qui sont pertinents pour atteindre cette finalité. En particulier, nous traitons vos données personnelles pour les finalités suivantes :

• La mise en place et la réalisation d’un projet de recherche, étude ou évaluation dans le domaine de la santé ; 
• Assurer la preuve des transactions et assurer les publications requises par nos obligations de transparence et nos obligations liées au dispositif d’encadrement des avantages ;
• Assurer la traçabilité et le suivi des signalements de pharmacovigilance ; 
• Et, toute autre finalité imposée par la loi et les autorités, notamment nos obligations légales tirées du Règlement européen n°536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE.

A noter : les données à caractère personnel des professionnels intervenant dans la recherche peuvent alimenter d’autres traitements de données à caractère personnel mis en œuvre par le responsable de traitement et relatifs à la gestion des ressources humaines et de la formation.

3. Qui a accès à vos données personnelles et à qui sont-elles transférées ?

Dans le cadre de nos activités et pour les mêmes finalités mentionnées ci-dessus, vos données personnelles peuvent être accessibles ou transférées aux catégories de destinataires suivants, dans la mesure où ils justifient d’un besoin pour accomplir ces finalités :

• Notre personnel (y compris le personnel, les départements ou les autres sociétés du groupe Sandoz), et notamment les personnes chargées des affaires réglementaires et de l’enregistrement des recherches auprès des autorités ;
• Nos fournisseurs et prestataires de services ;
• Les professionnels intervenant dans la recherche et les personnels agissant sous leur responsabilité ;
• Nos prestataires de systèmes d’information, nos prestataires de service Cloud, nos prestataires de bases de données et nos consultants ;
• Le personnel d’autorités sanitaires et d’autorités publiques légalement habilité, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication ;
• Le personnel habilité agissant sous la responsabilité de l’organisme d’assurance garantissant la responsabilité civile du promoteur ;
• Tout tiers à qui nous avons assigné ou transféré nos droits ou obligations.

Les tiers listés ci-dessous sont contractuellement tenus de protéger la confidentialité et la sécurité de vos données personnelles en conformité avec la loi applicable.

Vos données personnelles peuvent aussi être accessibles par, ou transférées à tout organisme de régulation, autorité étatique, juridiction ou organisme public national et/ou international, lorsque nous y sommes contraints par la loi ou les règlements, ou à leur demande.

Ainsi, certaines de vos données personnelles seront rendues publiques à travers le portail de l’Union européenne, aussi appelé le Clinical Trial Information System (CTIS), pour en savoir plus rendez-vous sur cette page : https://www.ema.europa.eu/en/documents/other/data-protection-notice-regarding-personal-data-processing-clinical-trials-information-system-ctis_en.pdf; ou à travers des portails nationaux lorsque cela est imposé par la règlementation locale applicable.

Les données personnelles vous concernant que nous collectons peuvent aussi être traitées, accessibles ou conservées dans un pays en dehors du pays où Sandoz est située, pays qui peut ne pas offrir le même niveau de protection des données personnelles.

Si nous transférons vos données personnelles à des sociétés situées dans d’autres juridictions, nous nous assurerons de protéger vos données personnelles i) en appliquant le niveau de protection requis par les réglementations de protection des données personnelles et de la vie privée applicables à Sandoz, ii) en agissant conformément à nos politiques internes et standards et iii) en transférant seulement vos données personnelles sur le fondement des clauses contractuelles types approuvées par la Commission européenne, sauf indication en sens contraire. 

Concernant les transferts de données personnelles aux autres sociétés du groupe, le groupe Sandoz a adopté un contrat intra-groupe relatif au traitement et transfert des données personnelles applicable en cas de transfert de données en dehors de l’Espace Economique Européen (c’est-à-dire, les Etats membres de l’Union européenne ainsi que l’Islande, le Liechtenstein et la Norvège, « EEE »), de la Suisse et du Royaume-Uni. Pour en savoir plus sur ce contrat, vous pouvez écrire à l’adresse email : [email protected].

Vous pouvez demander plus d’informations au sujet des transferts internationaux de données personnelles et obtenir une copie des protections adéquates mises en place en exerçant vos droits comme décrit à la section 6 ci-dessous.

4. Comment protégeons-nous vos données personnelles ?

Nous avons mis en place des mesures techniques et organisationnelles afin de garantir un niveau approprié de sécurité et de confidentialité à vos données personnelles.

Ces mesures prennent en compte :

1. L’état de l’art des technologies ;
2. Le coût de leur mise en œuvre ;
3. La nature des données ; 
4. Et le risque du traitement.

L’objectif est de protéger vos données de la destruction ou de l’altération de manière accidentelle ou illicite, de la perte accidentelle, divulgation ou accès non autorisé et d’autres formes illicites de traitement.

De plus, quand nous traitons vos données personnelles, nous :

• Collectons et traitons uniquement les données personnelles qui sont adéquates, pertinentes et non excessives, en vue de poursuivre les finalités déterminées indiquées ci-dessus ; 
• Pouvons vous demander de confirmer l’exactitude des données personnelles que nous détenons à votre sujet. Vous êtes aussi invité à nous informer de façon spontanée de tout changement dans votre situation personnelle afin que nous puissions nous assurer que vos données personnelles soient mises à jour. 

5. Combien de temps conservons-nous vos données personnelles ?

Nous conservons vos données personnelles uniquement le temps nécessaire afin d’accomplir la finalité pour laquelle elles ont été collectées ou pour remplir des obligations légales ou règlementaires.

6. Quels sont vos droits et comment les exercer ?

Vous disposez des droits sur vos données dans les conditions et selon les limites autorisées par la réglementation. Ces droits sont ceux de : 

• Accéder à l’ensemble de vos données : vous pouvez obtenir des informations relatives au traitement de vos données ainsi qu’une copie de celles-ci ;
• Rectifier et mettre à jour vos données personnelles si vous pensez par exemple qu’une de vos informations est incorrecte, obsolète ou incomplète, le droit de demander leur correction ou leur mise à jour ;
• Effacer : vous pouvez demander la suppression de vos données personnelles ;
• Demander une limitation du traitement des données personnelles ;
• Vous opposer au traitement de vos données personnelles (pour tout ou partie) ;
• Donner des instructions sur le sort de vos données après votre décès ;
• Demander la portabilité c’est-à-dire que les données personnelles que vous nous avez fournies vous soient restituées ou transférées à une personne de votre choix, dans un format structuré, couramment utilisé et lisible par machine.

Si vous souhaitez exercer vos droits décrits ci-dessus, merci de remplir le formulaire en cliquant ici. Si vous avez une question, vous pouvez envoyer un email à l’adresse [email protected]. Une photocopie de votre pièce d’identité pourra vous être demandée afin de vous identifier, étant entendu que nous l’utilisons uniquement pour vérifier votre identité et que nous ne conservons pas cette photocopie après vérification de votre identité. Quand vous nous envoyez cette photocopie, veillez à occulter votre photographie et votre numéro national d’immatriculation ou son équivalent.

Si vous n’êtes pas satisfait de la façon dont nous traitons vos données personnelles, vous pouvez adresser une réclamation à notre délégué à la protection des données [email protected], qui étudiera vos demandes.

Dans tous les cas, vous avez aussi le droit de déposer plainte auprès des autorités de protection des données compétentes (pour la CNIL : www.cnil.fr).

7. Comment serez-vous informé des changements survenus dans notre notice d’information ?

Vous serez informé de tous futurs changements ou ajouts concernant le traitement de vos données personnelles décrit dans cette notice d’information à travers nos canaux de communication habituels (par exemple, par email ou par le biais de nos sites internet).