Base Document - AstraZeneca Binding Corporate Rules
Transcription
Base Document - AstraZeneca Binding Corporate Rules
ASTRAZENECA Règles d’entreprise contraignantes APERÇU Les règles d’entreprise contraignantes (Binding Corporate Rules, BCR) sont conçues pour permettre aux multinationales de transférer des données personnelles depuis l’Espace économique européen (EEE) vers leurs filiales situées en dehors de l’EEE, en conformité avec les exigences européennes en matière de vie privée et de protection des données. Pour obtenir l’homologation de nos BCR, AstraZeneca [nous, nos, notre] a dû démontrer à un certain nombre d’organismes de régulation du respect de la vie privée que nous disposions de mécanismes de protection suffisants pour assurer la protection des données personnelles dans l’ensemble de notre organisation, conformément aux exigences du groupe de travail établi en vertu de l’Article 29 sur les BCR. Le processus d’homologation a impliqué un examen des éléments clés de notre protection de la vie privée, notamment de : notre politique globale sur la protection de la vie privée notre accord intra-groupe (Intra-Group Agreement, IGA) qui est l’accord signé par les filiales d’AstraZeneca conférant des effets juridiques aux exigences des BCR NOS PRINCIPALES EXIGENCES Dans les pays où elles s’appliquent, les BCR d’AstraZeneca exigent que nous : utilisions les données personnelles uniquement à des fins précises ; prenions des mesures pour garantir l’exactitude et la mise à jour des données personnelles que nous détenons ; prenions les mesures appropriées contre les risques d’usage illicite et de perte accidentelle, d’altération ou de destruction des données personnelles. Vous trouverez d’autres informations sur ces exigences dans notre politique globale sur la protection de la vie privée. QUI EST COUVERT ? Nos BCR couvrent un certain nombre de catégories de données personnelles, notamment : ressources humaines professionnels de la santé patients ; et fournisseurs TRANSFERTS INTERNATIONAUX Les BCR d’AstraZeneca ne se limitent pas seulement aux transferts en provenance de l’EEE, mais elles ne couvrent pas tous les transferts de données personnelles entre les filiales d’AstraZeneca. Nos BCR s’appliqueront aux points suivants : Les transferts de données personnelles de tout autre pays régissant le traitement des données personnelles ; Le traitement consécutif ou le transfert ultérieur de ces données personnelles par une filiale d’AstraZeneca. Nos BCR ne s’appliqueront pas aux points suivants : Lorsqu’une filiale d’AstraZeneca ne traite des données personnelles qu’au nom d’une entité hors AZ qui contrôle le traitement de ces données personnelles et qui en est légalement responsable ; Les données personnelles provenant d’une juridiction où le transfert des données personnelles n’est pas réglementé, et qui ne sont contrôlées à aucun stade par une filiale d’AstraZeneca dans une juridiction réglementant ce transfert ; Les enregistrements de vidéosurveillance (car ceux-ci traversent habituellement pas les frontières) ; et Les données sur les employés d’AstraZeneca des entités américaines. QUELLES SONT LES DONNEES PERSONNELLES QUI PEUVENT ETRE TRANSFEREES ? Les types de données personnelles susceptibles d’être transférées sont des données que doit transférer AstraZeneca à des fins professionnelles légitimes, dans le cadre de ses opérations commerciales. L’avertissement relatif au respect de la vie privée qui vous est remis au moment de la collecte des données (ou peu après) vous fournira des informations complémentaires sur les types de données personnelles recueillies par AstraZeneca et sur leur usage prévu. QUELLES SONT LES DESTINATIONS DE TRANSFERT POTENTIELLES DES DONNEES PERSONNELLES ? Le siège mondial d’AstraZeneca se trouve au Royaume-Uni, et il est donc envisageable que l’essentiel des transferts de données personnelles en dehors de l’EEE émane de systèmes contrôlés depuis le Royaume-Uni. Même si nous pouvons transférer des données personnelles vers l’une de nos filiales, il est probable que la plupart des transferts s’effectueront vers nos filiales aux États-Unis, en Chine, en Inde et à Singapour. D’autres détails sur les opérations d’AstraZeneca sont disponibles sur notre site web AstraZeneca.com. SECURISATION DE VOS DONNEES PERSONNELLES La sécurité de vos données personnelles est une priorité pour AstraZeneca et nous disposons de politiques de sécurité appropriées qui sont destinées à garantir, dans une mesure aussi large que possible, la sécurité et l’intégrité de toutes nos informations, y compris vos données personnelles. L’approche de la sécurité chez AstraZeneca est détaillée sur la page web de nos politiques globales. VOS DROITS Lorsque vos données personnelles sont transférées dans le cadre de nos BCR, vous êtes en droit de nous demander de veiller à garantir les points suivants : Transparence : nous vous fournirons des informations sur notre méthode de traitement de vos données personnelles dans la mesure nécessaire pour garantir leur traitement équitable. Ces informations seront normalement fournies au moyen d’un avertissement concernant le respect de la vie privée qui vous est communiqué au moment où AstraZeneca collecte vos données personnelles, ou peu après. Accès : vous pouvez demander à AstraZeneca de pouvoir accéder aux données personnelles que nous détenons sur vous et AstraZeneca prendra des mesures pour assurer l’accès aux données personnelles demandées. Il est possible toutefois que nous ne soyons pas en mesure de vous fournir toutes les informations demandées. Nous refuserons de communiquer certaines informations en vertu des lois applicables. Des explications sur l’accès à vos informations seront détaillées sur l’avertissement relatif au respect de la vie privée en vigueur chez AstraZeneca qui couvre le traitement des données personnelles. Rectification et suppression : vous pouvez demander par écrit à AstraZeneca de rectifier, modifier, supprimer ou suspendre l’utilisation des données personnelles qu’AstraZeneca détient sur vous, quand ces données personnelles sont inexactes ou utilisées en violation des BCR. Sauf dans certaines circonstances et sous réserve du droit applicable, AstraZeneca se conformera à cette demande. Des explications sur les demandes de rectification, modification ou suppression seront détaillées sur l’avertissement relatif au respect de la vie privée en vigueur chez AstraZeneca qui couvre le traitement des données personnelles. Droit d’objection : vous pouvez contester la collecte, la conservation ou l’utilisation de vos données personnelles par AstraZeneca pour des raisons impérieuses et légitimes. Traitement automatisé : dans l’éventualité, extrêmement improbable, où nous traiterions des informations vous concernant de façon entièrement automatisée qui aurait une incidence notable sur vous, nous vous donnerons l’opportunité de discuter des produits de ce traitement avant de prendre ces décisions (sauf dans le cadre déterminé par les lois applicables). COMMENT FAIRE VALOIR VOS DROITS Selon le lieu et les circonstances particulières, vous pourrez utiliser les BCR pour faire valoir vos droits en matière de vie privée par le biais de l’un des régulateurs ayant approuvé les BCR ou devant un tribunal anglais ou un tribunal de votre ressort. Vous êtes également en droit d’obtenir une copie de l’IGA sur demande, afin d’examiner le mécanisme par lequel nous assurons la protection de vos informations et nous vous accordons des droits exécutoires. Nous pourrions être amenés à rédiger des informations commercialement sensibles à partir de l’exemplaire de l’IGA que nous vous remettons. Dans le cadre des BCR, nous avons également convenu qu’il nous incombe de démontrer notre respect des BCR si vous nous montrez que vous pouvez engager une procédure à notre encontre. Avant d’exercer ces droits, nous vous demandons de nous contacter de la manière décrite dans la section « Poser une question/signaler une situation » ci-dessous pour que nous puissions tenter d’y répondre. POSER UNE QUESTION/SIGNALER UNE SITUATION Vous pouvez rectifier, modifier ou supprimer vos données personnelles ou y accéder en utilisant les coordonnées fournies dans l’avertissement relatif au respect de la vie privée en vigueur. Vous serez dirigé directement vers le domaine d’activité d’AstraZeneca qui gère vos données personnelles. Pour en savoir plus sur les règles d’entreprise contraignantes et vos droits y afférant, ou communiquer une plainte sur la gestion de vos données personnelles par AstraZeneca, vous pouvez signaler la situation sur www.AZethics.com dans le cadre du processus de gestion des plaintes par AstraZeneca. Vous pouvez également poser vos questions ou signaler la situation par écrit à : - [email protected] ; ou c/o the Chief Privacy Officer, AstraZeneca, Horizon Place, 600 Capability Green, Luton, Bedfordshire, LU1 3LU, Royaume-Uni Nous nous efforcerons de répondre et de remédier aux plaintes reçues dans un délai de 6 mois.