Base Document - AstraZeneca Binding Corporate Rules

ASTRAZENECA
Règles d’entreprise
contraignantes
APERÇU
Les règles d’entreprise contraignantes (Binding Corporate Rules, BCR) sont conçues
pour permettre aux multinationales de transférer des données personnelles depuis
l’Espace économique européen (EEE) vers leurs filiales situées en dehors de l’EEE, en
conformité avec les exigences européennes en matière de vie privée et de protection
des données.
Pour obtenir l’homologation de nos BCR, AstraZeneca [nous, nos, notre] a dû démontrer
à un certain nombre d’organismes de régulation du respect de la vie privée que nous
disposions de mécanismes de protection suffisants pour assurer la protection des
données personnelles dans l’ensemble de notre organisation, conformément aux
exigences du groupe de travail établi en vertu de l’Article 29 sur les BCR.
Le processus d’homologation a impliqué un examen des éléments clés de notre
protection de la vie privée, notamment de :
 notre politique globale sur la protection de la vie privée
 notre accord intra-groupe (Intra-Group Agreement, IGA) qui est l’accord signé par les
filiales d’AstraZeneca conférant des effets juridiques aux exigences des BCR
NOS PRINCIPALES EXIGENCES
Dans les pays où elles s’appliquent, les BCR d’AstraZeneca exigent que nous :



utilisions les données personnelles uniquement à des fins précises ;
prenions des mesures pour garantir l’exactitude et la mise à jour des données
personnelles que nous détenons ;
prenions les mesures appropriées contre les risques d’usage illicite et de perte
accidentelle, d’altération ou de destruction des données personnelles.
Vous trouverez d’autres informations sur ces exigences dans notre politique globale sur la
protection de la vie privée.
QUI EST COUVERT ?
Nos BCR couvrent un certain nombre de catégories de données personnelles, notamment :




ressources humaines
professionnels de la santé
patients ; et
fournisseurs
TRANSFERTS INTERNATIONAUX
Les BCR d’AstraZeneca ne se limitent pas seulement aux transferts en provenance de
l’EEE, mais elles ne couvrent pas tous les transferts de données personnelles entre les
filiales d’AstraZeneca.
Nos BCR s’appliqueront aux points suivants :


Les transferts de données personnelles de tout autre pays régissant le traitement
des données personnelles ;
Le traitement consécutif ou le transfert ultérieur de ces données personnelles par
une filiale d’AstraZeneca.
Nos BCR ne s’appliqueront pas aux points suivants :




Lorsqu’une filiale d’AstraZeneca ne traite des données personnelles qu’au nom
d’une entité hors AZ qui contrôle le traitement de ces données personnelles et qui
en est légalement responsable ;
Les données personnelles provenant d’une juridiction où le transfert des données
personnelles n’est pas réglementé, et qui ne sont contrôlées à aucun stade par une
filiale d’AstraZeneca dans une juridiction réglementant ce transfert ;
Les enregistrements de vidéosurveillance (car ceux-ci traversent habituellement
pas les frontières) ; et
Les données sur les employés d’AstraZeneca des entités américaines.
QUELLES SONT LES DONNEES PERSONNELLES QUI PEUVENT ETRE TRANSFEREES ?
Les types de données personnelles susceptibles d’être transférées sont des données que
doit transférer AstraZeneca à des fins professionnelles légitimes, dans le cadre de ses
opérations commerciales. L’avertissement relatif au respect de la vie privée qui vous est
remis au moment de la collecte des données (ou peu après) vous fournira des informations
complémentaires sur les types de données personnelles recueillies par AstraZeneca et sur
leur usage prévu.
QUELLES SONT LES DESTINATIONS DE TRANSFERT POTENTIELLES DES DONNEES
PERSONNELLES ?
Le siège mondial d’AstraZeneca se trouve au Royaume-Uni, et il est donc envisageable
que l’essentiel des transferts de données personnelles en dehors de l’EEE émane de
systèmes contrôlés depuis le Royaume-Uni.
Même si nous pouvons transférer des données personnelles vers l’une de nos filiales, il est
probable que la plupart des transferts s’effectueront vers nos filiales aux États-Unis, en
Chine, en Inde et à Singapour. D’autres détails sur les opérations d’AstraZeneca sont
disponibles sur notre site web AstraZeneca.com.
SECURISATION DE VOS DONNEES PERSONNELLES
La sécurité de vos données personnelles est une priorité pour AstraZeneca et nous
disposons de politiques de sécurité appropriées qui sont destinées à garantir, dans une
mesure aussi large que possible, la sécurité et l’intégrité de toutes nos informations, y
compris vos données personnelles.
L’approche de la sécurité chez AstraZeneca est détaillée sur la page web de nos
politiques globales.
VOS DROITS
Lorsque vos données personnelles sont transférées dans le cadre de nos BCR, vous êtes
en droit de nous demander de veiller à garantir les points suivants :

Transparence : nous vous fournirons des informations sur notre méthode de
traitement de vos données personnelles dans la mesure nécessaire pour garantir
leur traitement équitable. Ces informations seront normalement fournies au moyen
d’un avertissement concernant le respect de la vie privée qui vous est
communiqué au moment où AstraZeneca collecte vos données personnelles, ou
peu après.

Accès : vous pouvez demander à AstraZeneca de pouvoir accéder aux données
personnelles que nous détenons sur vous et AstraZeneca prendra des mesures
pour assurer l’accès aux données personnelles demandées. Il est possible
toutefois que nous ne soyons pas en mesure de vous fournir toutes les
informations demandées. Nous refuserons de communiquer certaines
informations en vertu des lois applicables. Des explications sur l’accès à vos
informations seront détaillées sur l’avertissement relatif au respect de la vie privée
en vigueur chez AstraZeneca qui couvre le traitement des données personnelles.

Rectification et suppression : vous pouvez demander par écrit à AstraZeneca
de rectifier, modifier, supprimer ou suspendre l’utilisation des données
personnelles qu’AstraZeneca détient sur vous, quand ces données personnelles
sont inexactes ou utilisées en violation des BCR. Sauf dans certaines
circonstances et sous réserve du droit applicable, AstraZeneca se conformera à
cette demande. Des explications sur les demandes de rectification, modification
ou suppression seront détaillées sur l’avertissement relatif au respect de la vie
privée en vigueur chez AstraZeneca qui couvre le traitement des données
personnelles.

Droit d’objection : vous pouvez contester la collecte, la conservation ou
l’utilisation de vos données personnelles par AstraZeneca pour des raisons
impérieuses et légitimes.

Traitement automatisé : dans l’éventualité, extrêmement improbable, où nous
traiterions des informations vous concernant de façon entièrement automatisée
qui aurait une incidence notable sur vous, nous vous donnerons l’opportunité de
discuter des produits de ce traitement avant de prendre ces décisions (sauf dans
le cadre déterminé par les lois applicables).
COMMENT FAIRE VALOIR VOS DROITS
Selon le lieu et les circonstances particulières, vous pourrez utiliser les BCR pour faire
valoir vos droits en matière de vie privée par le biais de l’un des régulateurs ayant
approuvé les BCR ou devant un tribunal anglais ou un tribunal de votre ressort.
Vous êtes également en droit d’obtenir une copie de l’IGA sur demande, afin d’examiner
le mécanisme par lequel nous assurons la protection de vos informations et nous vous
accordons des droits exécutoires. Nous pourrions être amenés à rédiger des informations
commercialement sensibles à partir de l’exemplaire de l’IGA que nous vous remettons.
Dans le cadre des BCR, nous avons également convenu qu’il nous incombe de
démontrer notre respect des BCR si vous nous montrez que vous pouvez engager une
procédure à notre encontre. Avant d’exercer ces droits, nous vous demandons de nous
contacter de la manière décrite dans la section « Poser une question/signaler une
situation » ci-dessous pour que nous puissions tenter d’y répondre.
POSER UNE QUESTION/SIGNALER UNE SITUATION
Vous pouvez rectifier, modifier ou supprimer vos données personnelles ou y accéder en
utilisant les coordonnées fournies dans l’avertissement relatif au respect de la vie privée
en vigueur. Vous serez dirigé directement vers le domaine d’activité d’AstraZeneca qui
gère vos données personnelles.
Pour en savoir plus sur les règles d’entreprise contraignantes et vos droits y afférant, ou
communiquer une plainte sur la gestion de vos données personnelles par AstraZeneca,
vous pouvez signaler la situation sur www.AZethics.com dans le cadre du processus de
gestion des plaintes par AstraZeneca.
Vous pouvez également poser vos questions ou signaler la situation par écrit à :
-
[email protected] ; ou
c/o the Chief Privacy Officer, AstraZeneca, Horizon Place, 600 Capability
Green, Luton, Bedfordshire, LU1 3LU, Royaume-Uni
Nous nous efforcerons de répondre et de remédier aux plaintes reçues dans un délai de
6 mois.