Politique en matière de protection des données

Notice générale d’information sur la protection des données personnelles

Juillet 2023

Chez Sandoz, nous veillons à la protection de vos données personnelles.

Pour ce faire, nous nous engageons à être transparent vis-à-vis des traitements de données personnelles.

Sandoz est amenée à traiter des informations vous concernant, informations qui constituent des « données à caractère personnel » ou « données personnelles ».

Nous décidons pourquoi et comment un traitement de vos données personnelles est effectué et agissons ainsi comme « responsable du traitement ». Nous pouvons agir seule ou en coordination avec une autre société du groupe Sandoz, qui sera alors « co-responsable du traitement ».

Dans cette notice d’information, « nous » ou « notre » désignent Sandoz.Nous nous assurons que toutes les données personnelles que nous recevons sont protégées et traitées en conformité avec le droit applicable à la protection des données personnelles et avec les politiques et standards du groupe Sandoz.

Dans le cadre de cette notice d’information, les « tiers » désignent : 

I. Les fournisseurs : une personne physique ou morale externe ou entité externe au groupe Sandoz auprès de qui Sandoz s’approvisionne en biens et services. Les fournisseurs sont par exemple :

• Les entreprises sous-traitantes dans la fabrication des produits pharmaceutiques (Contract Manufacturing Organization ou CMO) ;
• Les institutions et leurs collaborateurs en charge de la recherche ou pour le compte de Sandoz, quand Sandoz agit en tant que responsable de traitement et finance la recherche, notamment les collaborateurs des Contract Research Organizations (CROs) et les Academic Research Organizations (AROs) ;
• Les tiers qui détiennent ou distribuent les produits Sandoz (i.e. les services logistiques) lorsque la propriété des produits n’est pas transférée au tiers prestataire de services ;
• Les professionnels de santé lorsqu’ils agissent seulement comme des « tiers », c’est-à-dire quand ils fournissent des biens ou des services contre paiement pour un service qui va au-delà de leur profession de professionnels de santé, tels que les développeurs d’application, les consultants commerciaux/marketing, etc. Dans les autres cas, les professionnels de santé ne sont pas concernés par cette notice d’information.

II. Au sein des activités Business Development & Licensing (BD&L) : tout tiers avec qui un contrat concernant un produit pour lequel une licence de distribution est accordée à Sandoz ;

III. Les distributeurs et les grossistes : tout tiers qui importe et/ou revend dans le cadre de ses propres activités des produits Sandoz (qu’il fasse ou non la promotion de produits spécifiques Sandoz pour le compte de Sandoz)

IV. Les clients : les officines, les établissements de santé privés et publics. Pour plus d’information, vous pouvez consulter la notice d’information spécifique disponible : Notice d’information sur la protection des données personnelles - Professionnel de santé ou intervenant dans le domaine de la santé – Version française et anglaise.

Le but de cette notice d’information est de clarifier la façon dont Sandoz va traiter les données personnelles des représentants et/ou des employés considérés comme des points de contact (personnes concernées) du tiers ou de son sous-contractant (désignés dans cette notice d’information par « vous »).

Nous vous invitons à lire attentivement cette notice d’information. Elle précise les raisons pour lesquelles nous avons besoin de collecter des informations vous concernant, comment elles sont utilisées et protégées, combien de temps elles seront conservées et tous les droits dont vous disposez.  Si vous avez d’autres questions concernant le traitement de vos données personnelles, nous vous invitons à nous contacter à l’adresse email : [email protected].

1. Quelle information avons-nous à votre sujet ?

Nous pouvons collecter diverses catégories de données à caractère personnel vous concernant, y compris :

I. Vos données d’identification et informations d’ordre général (par exemple, nom, prénom, sexe, date et lieu de naissance, nationalité, numéro de la carte d’identité ou du passeport, adresse électronique et/ou adresse postale, numéro de téléphone fixe et/ou mobile et numéro de la plaque d’immatriculation de votre véhicule) ;

II. Des données relatives à votre profession (par exemple, fonctions et titre de votre poste, nom de la société dans laquelle vous travaillez) ;

III. Vos informations de paiement (par exemple, coordonnées bancaires, solvabilité et bilans de santé financière ; informations fiscales telles que le numéro de TVA et autre numéro d’identification fiscale ; informations sur les transactions : livraison et historique de paiement ; informations générales sur vos capacités commerciales et performance opérationnelle lors que vous agissez à titre individuel comme un tiers, par exemple une société unipersonnelle ou entreprise individuelle) ;

IV. Vos données d’identification électronique requises pour la fourniture de produits ou de services à notre société (par exemple, connexion, droit d’accès, mots de passe, numéro de badge, adresse IP, identifiants en ligne/cookies, fichiers de journalisation, date et heure d’accès et de connexion, enregistrement d’images ou de sons tels que les photos de badge, la vidéosurveillance ou les enregistrements sonores et les enregistrements de réunion) ;

V. Données que vous nous fournissez, par exemple quand vous remplissez des formulaires ou quand vous répondez aux questions à l’occasion d’une enquête.

Nous ne collectons pas des données de santé à moins que cela ne soit nécessaire pour mettre en place des aménagements spécifiques pour les personnes en situation de handicap.

Le tiers pour lequel vous travaillez fournira la majorité des données personnelles vous concernant que nous traiterons. Si vous avez l’intention de nous fournir des données personnelles qui concernent d’autres individus (par exemple, vos collègues), vous devez fournir au préalable directement aux individus concernés une copie de cette notice d’information.

2. Pour quelles finalités et sur quel fondement utilisons-nous vos données personnelles ?

2.1 Finalités du traitement

Nous traitons toujours vos données personnelles pour des finalités spécifiques et nous n’effectuons que des traitements de données personnelles qui sont pertinents pour atteindre cette finalité. En particulier, nous traitons vos données personnelles pour les finalités suivantes :

• Gérer les tiers dans le cadre de nos relations ;
• Organiser des appels d’offre, mettre en œuvre des mesures pour préparer ou exécuter des contrats existants, y compris via nos plateformes électroniques et assurer la mise en œuvre de services de signature électronique ;
• Surveiller les activités sur nos sites, notamment la conformité aux politiques applicables, ainsi qu’aux règlementations applicables en matière de santé et de sécurité ;
• Vous donner accès à nos modules de formation vous permettant de nous fournir certains services ;
• Communiquer avec vous pendant la durée du contrat et vous contacter en cas d’urgence ;
• Améliorer la qualité de nos interactions et de nos services en adaptant nos offres à vos besoins spécifiques ;
• Vous envoyer des enquêtes et sondages (par exemple, pour nous aider à améliorer nos futures interactions avec vous) ;
• Gérer nos ressources informatiques, y compris la gestion des infrastructures et la continuité des affaires ;
• Protéger les intérêts économiques de notre société, assurer la conformité de nos activités et notamment : assurer la conformité avec nos politiques internes, le respect de nos obligations fiscales ; assurer le signalement des abus, la gestion des cas allégués d’abus ou agissements frauduleux, mener des activités d’audits et se défendre dans le cadre d’un litige) ;
• Gérer les opérations de fusions et acquisitions impliquant notre société ;
• Conservation des archives et des enregistrements ;
• Facturation et encaissement ;
• Et toute autre finalité imposée par la loi et les autorités.

2.2 Base légale du traitement

Nous traitons vos données personnelles uniquement si ce traitement est justifié et conforme aux dispositions légales en vigueur. Par conséquent, nous traiterons vos données personnelles uniquement si :

• Nous avons obtenu votre consentement préalable ;
• Le traitement est nécessaire à l’exécution d’un contrat auquel vous êtes partie ou à l’exécution de mesures précontractuelles prises à votre demande ; 
• Le traitement est nécessaire au respect de nos obligations légales ou règlementaires ;
• Ou le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons et n’affecte pas indûment vos intérêts ou libertés et droits fondamentaux.

Veuillez noter que quand nous traitons vos données personnelles sur ce dernier fondement, nous cherchons toujours à maintenir un équilibre entre nos intérêts légitimes et votre vie privée. 

Exemples d’« intérêts légitimes » pour lesquels des traitements de données sont effectués :

• Développer une relation professionnelle de proximité et de confiance ;
• Promouvoir les innovations de Sandoz dans le secteur pharmaceutique ;
• Gérer les ressources humaines et financières de Sandoz ; 
• Bénéficier de services rentables (par exemple, nous pouvons choisir certaines plateformes pour traiter des données) ;
• Fournir nos produits et services à nos clients ;
• Prévenir la fraude ou les activités criminelles, les mauvaises utilisations de nos produits ou services et assurer la sécurité de nos systèmes informatiques, nos architectures et nos réseaux ;
• Vendre une partie de nos activités ou nos actifs ou permettre l’acquisition de tout ou partie de nos activités ou actifs par un tiers ;
• Et respecter nos objectifs en matière de responsabilité sociale et organisationnelle.

La plupart du temps, nous traitons vos données personnelles sur une autre base légale que le consentement. Toutefois, si vous avez consenti au traitement de vos données personnelles, vous avez le droit de retirer à tout moment votre consentement. Pour retirer votre consentement ou obtenir davantage d’informations, nous vous invitons à nous contacter (voir la section 6 ci-dessous).

3. Qui a accès à vos données personnelles et à qui sont-elles transférées ?

Nous ne vendons, ne partageons, ne transférons à des tiers aucune autre donnée personnelle vous concernant que celles indiquées dans cette notice d’information.La liste des catégories de destinataires potentiels est la suivante :

• Notre personnel (y compris le personnel, les départements ou les autres sociétés du groupe Sandoz) ;
• Nos agents indépendants ou courtiers (le cas échéant) ;
• Nos autres fournisseurs et prestataires de services qui nous fournissent des services et des produits ;
• Nos prestataires de systèmes d’information, nos prestataires de service Cloud, nos prestataires de bases de données et nos consultants ;
• Nos partenaires commerciaux avec lesquels nous-mêmes ou les sociétés du groupe Sandoz offrent des produits ou des services ;
• Tout tiers à qui nous avons assigné ou transféré nos droits ou obligations ; 
• Et nos conseillers ou avocats dans le cadre d’une vente ou d’un transfert de tout ou partie de nos activités ou actifs.

Les tiers listés ci-dessus sont contractuellement tenus de protéger la confidentialité et la sécurité de vos données personnelles en conformité avec la loi applicable.

Vos données personnelles peuvent aussi être accessibles par, ou transférées à tout organisme de régulation, autorité étatique, juridiction ou organisme public national et/ou international, lorsque nous y sommes contraints par la loi ou les règlements, ou à leur demande.

Les données personnelles vous concernant que nous collectons peuvent aussi être traitées, accessibles ou conservées dans un pays en dehors du pays où Sandoz est située, pays qui peut ne pas offrir le même niveau de protection des données personnelles.

Si nous transférons vos données personnelles à des sociétés situées dans d’autres juridictions, nous nous assurerons de protéger vos données personnelles i) en appliquant le niveau de protection requis par les réglementations de protection des données personnelles et de la vie privée applicables à Sandoz, ii) en agissant conformément à nos politiques internes et standards et, iii) en transférant seulement vos données personnelles sur le fondement des clauses contractuelles types approuvées par la Commission européenne, sauf indication en sens contraire. Vous pouvez demander plus d’informations au sujet des transferts internationaux de données personnelles et obtenir une copie des protections adéquates mises en place en exerçant vos droits comme décrit à la section 6 ci-dessous.

Concernant les transferts de données personnelles aux autres sociétés du groupe, le groupe Sandoz a adopté un contrat intra-groupe relatif au traitement et transfert des données personnelles applicable en cas de transfert de données en dehors de l’Espace Economique Européen (c’est-à-dire, les Etats membres de l’Union européenne ainsi que l’Islande, le Liechtenstein et la Norvège, « EEE »), de la Suisse et du Royaume-Uni. Pour en savoir plus sur ce contrat, vous pouvez écrire à l’adresse email : [email protected].

4. Comment protégeons-nous vos données personnelles ?

Nous mettons en place des mesures de sécurité techniques et organisationnelles pour garantir un niveau de sécurité et de confidentialité adéquat de vos données personnelles. 

Il s’agit de prévenir d’éventuelles destruction, perte, altération, divulgation non autorisée ou accès non autorisé de données personnelles, de manière accidentelle ou illicite, ou tout autre forme illicite de traitement.

5. Combien de temps conservons-nous vos données personnelles ?

Nous conservons vos données personnelles uniquement le temps nécessaire afin d’accomplir la finalité pour laquelle elles ont été collectées ou pour remplir des obligations légales ou règlementaires.

Dans le cadre d’un contrat, la durée de conservation correspond à la durée du contrat que vous-même (ou votre société) avez conclu avec nous, à moins que des obligations légales ou règlementaires n’imposent un délai de conservation plus long ou plus court. A l’issue du délai de conservation, vos données personnelles seront supprimées de nos systèmes actifs.

Les données personnelles collectées et traitées dans le contexte d’un litige sont supprimées ou archivées au moment où i) un accord amiable a été conclu, ii) une décision de justice en dernier ressort a été rendue, ou iii) la demande devient prescrite.

6. Quels sont vos droits et comment les exercer ?

Vous disposez des droits sur vos données dans les conditions et selon les limites autorisées par la réglementation. Ces droits sont ceux de : 

• Être informé : vous pouvez être informé des données personnelles que nous avons à votre sujet et commet nous traitons vos données personnelles ;
• Accéder à l’ensemble de vos données : vous pouvez obtenir des informations relatives au traitement de vos données ainsi qu’une copie de celles-ci ;
• Rectifier et mettre à jour vos données personnelles si vous pensez par exemple qu’une de vos informations est incorrecte, obsolète ou incomplète ;
• Effacer : vous pouvez demander la suppression de vos données personnelles ;
• Demander une limitation des traitements des informations ;
• Vous opposer au traitement de vos données personnelles (pour tout ou partie) ;
• Retirer votre consentement à tout moment pour le traitement de vos données soumis à votre consentement, sans que cela n’affecte la licéité du traitement effectué avant ce retrait ;
• Donner des instructions sur le sort de vos données après votre décès ;
• Demander la portabilité c’est-à-dire que les données personnelles que vous nous avez fournies vous soient restituées ou transférées à une personne de votre choix, dans un format structuré, couramment utilisé et lisible par machine ;
• Vous opposer au traitement de données personnelles effectué dans le cadre d’une décision individuelle automatisée, y compris le profilage : vous pouvez demander une intervention humaine dans toute décision individuelle automatisée en relation avec le traitement de vos données personnelles et quand ce traitement n’est pas fondé sur le consentement, autorisé par la loi ou nécessaire à l’exécution d’un contrat. Toutefois, nous ne traitons pas actuellement les données personnelles pour prendre des décisions individuelles automatisées.

Si vous souhaitez exercer vos droits décrits ci-dessus, merci de remplir le formulaire en cliquant ici. Si vous avez une question, vous pouvez envoyer un email à l’adresse [email protected]. Une photocopie de votre pièce d’identité pourra vous être demandée afin de vous identifier, étant entendu que nous l’utilisons uniquement pour vérifier votre identité et que nous ne conservons pas cette photocopie après vérification de votre identité. Quand vous nous envoyez cette photocopie, veillez à occulter votre photographie et votre numéro national d’immatriculation ou son équivalent.

Si vous n’êtes pas satisfait de la façon dont nous traitons vos données personnelles, vous pouvez adresser une réclamation à notre délégué à la protection des données [email protected], qui étudiera vos demandes.

Le tiers pour lequel vous travaillez est aussi un responsable de traitement de vos données personnelles. Pour exercer vos droits relatifs à la protection des données personnelles, vous devrez contacter ce tiers.

Dans tous les cas, vous avez aussi le droit de déposer plainte auprès des autorités de protection des données compétentes (pour la CNIL : www.cnil.fr).

7. Comment serez-vous informé des changements survenus dans notre notice d’information ?

Vous serez informé de tous futurs changements ou ajouts concernant le traitement de vos données personnelles décrit dans cette notice d’information à travers nos canaux de communication habituels (par exemple, par le biais de nos sites internet).

Contrat intra-groupe relatif au traitement et transfert des données personnelles

Les droits individuels

Sandoz s'est engagée à respecter votre vie privée et à protéger de manière appropriée vos données personnelles lorsqu'elle collecte et partage ces données avec autrui à des fins professionnelles légitimes.

Pour les transferts de données personnelles entre les sociétés de son groupe, Sandoz a adopté un contrat intra groupe relatif au traitement et transfert des données personnelles (auxquelles toutes les entités Sandoz sont parties) afin de garantir que cet échange global de données personnelles est conforme aux lois sur la protection des données personnelles et dans lequel Sandoz s'appuie sur les Clauses contractuelles types approuvées par la Commission Européenne en tant que mécanisme de transfert pertinent pour les transferts de données personnelles en dehors de l'EEE, du Royaume-Uni et de la Suisse.

QUELS SONT LES PRINCIPES APPLICABLES EN MATIÈRE DE PROTECTION DES DONNÉES ?

Les sociétés du groupe Sandoz qui agissent en tant que responsable de traitement doivent se conformer à la législation applicable ainsi qu’aux principes visés par les politiques de Sandoz lorsqu’elles collectent ou traitent des données à caractère personnel. Ces sociétés devront notamment :

• Collecter et traiter vos informations personnelles par des moyens honnêtes et légaux ;
• Traiter vos données personnelles uniquement pour des finalités professionnelles ou réglementaires spécifiques et légitimes et ne pas les utiliser ultérieurement à d’autres fins ;
• Si la législation locale l'exige, vous informer du transfert de vos informations et, si nécessaire, obtenir votre consentement ;
• Conserver vos données personnelles sous une forme exacte, complète et, si nécessaire, à jour ;
• Conserver vos données personnelles uniquement pour une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées, sauf en cas de décision impérative spécifique qui justifierait une durée de conservation différente ;
• Préserver la confidentialité de vos informations personnelles et prendre des mesures de sécurité appropriées et raisonnables en vue de les protéger contre les accès non autorisés, les pertes ou détériorations accidentelles, les abus, ainsi que la modification et la suppression non autorisées.

Les sociétés du groupe Sandoz peuvent divulguer vos données personnelles à des tiers, par exemple à des prestataires de services, à des fins informatiques ou administratives. Les sociétés du groupe Sandoz divulgueront vos données personnelles à ces tiers exclusivement sur la base de clauses contractuelles offrant des garanties suffisantes afin d’assurer la sécurité des données personnelles communiquées.

QUELS SONT MES DROITS ?

Si vous êtes un collaborateur, un client, un partenaire d'affaires de Sandoz ou toute autre personne dont Sandoz collecte et traite les données personnelles dans l'Union européenne ou en Suisse, vous disposez des droits suivants :

• Vous pouvez demander à Sandoz de vous informer sur la collecte et l'utilisation de vos données personnelles par Sandoz et demander à Sandoz d’assurer la portabilité de vos données conformément à la législation en vigueur ;
• Vous pouvez demander à Sandoz de corriger, d'effacer ou de bloquer vos données personnelles si elles sont incomplètes ou inexactes ;
• Vous pouvez vous opposer au traitement de vos données personnelles, demander la limitation de ce traitement, et demander à Sandoz de ne pas traiter ultérieurement vos données si vous avez des raisons légitimes pour ce faire.
• Vous pouvez demander à examiner les décisions prises via le traitement automatique de vos données personnelles, si vous êtes affecté de manière significative par de telles décisions.

COMMENT PUIS-JE EXERCER DES DROITS ?

Si vos données personnelles ont été transférées à une société du groupe Sandoz située dans un pays hors Union européenne et autre que la Suisse qui n'offre pas un niveau de protection adéquat et si vous pensez que vos données personnelles ont été traitées en violation de la législation applicable en matière de protection des données personnelles, vous pouvez :

• Déposer plainte auprès du Délégué à la Protection des Données du Groupe, désigné par Sandoz conformément à l’article 37 du RGPD, à l’adresse email suivante : [email protected]. 
• Si vous êtes employé, vous pouvez aussi vous adresser à votre Responsable de la Protection des Données Local. Votre plainte fera l'objet d'une enquête conformément aux procédures internes.
• Déposer plainte auprès de l'autorité de protection des données, la Commission Nationale Informatique et Libertés, ou auprès des tribunaux français ou du pays de l'Union européenne à partir duquel vos données personnelles ont été transférées.