Chez Merck & Co., Inc., Rahway, NJ, États-Unis, qui opère en dehors des États-Unis et du Canada sous le nom de MSD et qui comprend, sans toutefois s’y limiter, les entités Merck Sharp & Dohme LLC et Intervet, Inc., notre mission qui vise à sauver et à améliorer des vies s’étend au respect de la vie privée et à la protection des données personnelles.
Date de révision : 14 août 2023
Date d’entrée en vigueur : 14 août 2023
Nous nous efforçons de mener nos activités dans le respect de nos valeurs en matière de protection de la vie privée et des données personnelles, car nous croyons qu’elles témoignent de notre engagement inébranlable envers des pratiques éthiques et responsables. Nous reconnaissons que l’innovation et les nouvelles technologies entraînent une évolution continue des risques, attentes et lois ; c’est pourquoi nous respectons les normes de responsabilité concernant la confidentialité et visons à adapter rapidement notre manière de les appliquer en réponse à cette évolution.
La présente politique définit nos normes mondiales de gestion et de protection des données personnelles par ou pour le compte de notre Compagnie, indépendamment du pays d’où elles proviennent ou vers lequel les données personnelles sont transférées. Elle décrit nos principaux engagements en faveur de la conformité à notre certification APEC Cross-Border Privacy Rules,, de nos règles d’entreprise contraignantes (« BCR ») approuvées dans l’Union européenne (Les BCR de MSD sont référencées dans la catégorie BCR approuvé avent le RGPD (« pre-GDPR approvals »)), et notre autocertification au programme UE-États-Unis de Cadre de Protection des Données (« Data Privacy Framework » ou « DPF »), l’extension britannique au DPF et le programme Suisse-États-Unis de Cadre de Protection des Données.
Notre société se conforme au programme UE-États Unis de Cadre de Protection des Données (« EU-US DPF »), à l’extension britannique au EU-US DPF et au programme Suisse-États-Unis de Cadre de Protection des Données (« Suisse-US DPF ») tels que définis par le Département du Commerce des États-Unis. Nous avons certifié au Ministère du Commerce des États-Unis que nous adhérions aux principes du Cadre de Protection des données UE-États-Unis en ce qui concerne le traitement des données personnelles reçues de l’Union européenne sur le fondement du EU-US DPF et des données personnelles reçues du Royaume-Uni (et de Gibraltar) en vertu de l’extension britannique au UE-US DPF. Nous avons certifié au Département du commerce des États-Unis que nous adhérions aux principes du Cadre de Protection des données Suisse-États-Unis en ce qui concerne le traitement des données personnelles reçues de Suisse sur le fondement du Suisse-US DPF. En cas de conflit entre les termes de la présente politique et les principes UE-US DPF et/ou Suisse-US DPF, les principes de ce Cadre de Protection Des Données prévaudront. Pour en savoir plus sur le programme de Cadre de Protection des Données et pour consulter notre certification, veuillez visiter le site https://www.dataprivacyframework.gov/.
Cette politique s’applique à nos opérations dans tous les pays, à toutes nos activités impliquant des données à caractère personnel dans toutes les filiales et divisions (y compris par tout successeur à notre entreprise), notamment, mais sans s’y limiter, à nos activités de recherche, de fabrication, de commercialisation, de support administratif et aux transferts de données nécessaires à la réalisation de ces activités, notamment, mais sans s’y limiter :
- Recherche et fabrication : évaluer les besoins et opportunités en matière d’innovation médicale et dans le secteur de la santé ; lancer, gérer et financer des études de recherche ; évaluer et engager des chercheurs, des membres du comité d’éthique et scientifique, et des partenaires commerciaux pour soutenir nos travaux de recherche et le développement de nos produits ; sélectionner des travaux de recherche ; évaluer la sécurité, l’efficacité et la qualité de nos produits à l’étude et commercialisés ; respecter les obligations en matière de sécurité et de qualité de nos produits, notamment gérer et signaler les événements indésirables et les réclamations liées à la qualité des produits ; déposer un dossier d’approbation et enregistrer nos produits auprès des autorités réglementaires en matière de santé ; et respecter les exigences légales, réglementaires ou éthiques ;
- Commercialisation : évaluer les marchés pour nos produits ; faire de la publicité, commercialiser, vendre, distribuer et livrer nos produits ; communiquer et collaborer avec les clients professionnels de santé, payeurs de soins de santé, patients et autres utilisateurs finaux de nos produits, ainsi que les soignants des utilisateurs de nos produits ; parrainer et organiser des évènements ; collaborer avec des partenaires et les évaluer pour soutenir nos activités commerciales ; et respecter les exigences légales, réglementaires ou éthiques ;
- Support Administratif : recruter, embaucher, gérer, développer, communiquer avec, et rémunérer les collaborateurs ; gérer les avantages pour les collaborateurs et les personnes à leur charge ; réaliser des évaluations des talents et de la performance des collaborateurs ; fournir des formations et d’autres programmes d’apprentissage et de développement ; gérer les procédures disciplinaires et de réclamation des collaborateurs ; gérer les problèmes en matière d’éthique et de confidentialité et mener des enquêtes ; gérer et sécuriser nos actifs physiques et virtuels et nos infrastructures ; se fournir et payer pour des biens et services ; respecter nos engagements en matière d’environnement, de santé et de sécurité et autres responsabilités d’entreprise ; collaborer avec les médias ; et respecter les exigences légales, réglementaires ou éthiques.
La présente politique s’applique à toutes les personnes concernées par les informations que nous traitons, notamment, mais sans s’y limiter, aux professionnels de la santé et autres clients ; aux anciens collaborateurs et aux collaborateurs potentiels et actuels, et aux personnes à leur charge, patients, soignants, chercheurs et participants aux études de recherche, membres du comité d’éthique et scientifique, partenaires commerciaux, investisseurs et actionnaires, représentants du gouvernement et autres parties prenantes.
Tous les employés et les cadres dirigeants de l’entreprise ont des responsabilités fondamentales en matière de protection des données personnelles qu’ils doivent respecter.
Nous reconnaissons que les erreurs et mauvais jugements involontaires liés à la protection des données personnelles peuvent entraîner des risques pour les individus ainsi que des risques de conformité, financiers, opérationnels et de réputation pour la Compagnie. Nous fournirons la formation appropriée sur la présente Politique à tous les employés ainsi qu’au personnel ayant un accès permanent ou régulier à des données personnelles, étant impliqué dans la collecte de données ou dans le développement d’outils utilisés pour traiter des données personnelles. Tous les collaborateurs de notre Compagnie, et autres personnes traitant des données personnelles pour notre Compagnie, doivent comprendre et remplir leurs obligations conformément à la présente politique et aux lois en vigueur.
Nos valeurs et normes en matière de protection de la vie privée et des données personnelles
Nous respectons nos valeurs de protection de la vie privée et des données personnelles dans tout ce que nous faisons impliquant des individus, y compris la façon dont nous appliquons nos standards protection de la vie privée et des données personnelles. Nos quatre valeurs de protection de la vie privée et des données personnelles sont les suivantes :
Respect | Confiance | Prévenir les préjudices | Se conformer |
---|---|---|---|
Nous reconnaissons que les préoccupations en matière de protection de la vie privée et des données personnels sont souvent liées à l’essence même de notre identité, à la façon dont nous voyons le monde et à la façon dont nous nous définissons. C’est pourquoi nous nous efforçons de respecter les points de vue et les intérêts des individus et des communautés et d’être justes et transparents dans la façon dont nous utilisons et partageons les données à leur sujet. | Nous savons que la confiance est essentielle à notre succès, c’est pourquoi nous nous efforçons d’établir et de garder la confiance de nos clients, employés, patients et autres parties prenantes dans la façon dont nous respectons la vie privée et protégeons les informations sur les personnes. | Nous comprenons que l’utilisation abusive de données personnelles peut causer des préjudices tangibles et intangibles pour les individus, c’est pourquoi nous cherchons à prévenir les atteintes physiques, financières, à la réputation et autres types de dommages à la vie privée et aux données personnelles des individus. | Nous comprenons que les lois et les règlements ne peuvent pas toujours suivre le rythme de l’évolution rapide des technologies, des flux de données et des changements associés aux attentes et aux risques en matière de protection de la vie privée et des données personnelles, c’est pourquoi nous nous efforçons de respecter à la fois l’esprit et la lettre des lois et règlementations sur la protection de la vie privée et des données personnelles de manière à assurer une cohérence et une efficacité opérationnelle dans toutes nos activités mondiales. |
- Nous intégrons nos standards de protection de la vie privée et des données personnelles dans toutes les activités, processus, technologies et relations avec les tiers qui utilisent des données personnelles. Nous intégrons des contrôles dans nos processus et technologies en accord avec nos valeurs et standards de protection de la vie privée et des données personnelles et à la loi en vigueur. Nos 8 principes de protection de la vie privée et des données personnelles énoncés ci-dessous résument nos standards et nos exigences fondamentales pour les processus, les activités et leurs technologies connexes au plus haut niveau.
Principe de confidentialité
Nos principaux engagements
1. Nécessité – Avant de recueillir, utiliser ou partager des données personnelles, nous définissons et documentons la finalité légitime spécifique à laquelle ces données sont nécessaires.
- Nous déterminons et documentons la durée de conservation pendant laquelle les données personnelles sont nécessaires aux finalités définies et aux exigences légales applicables.
- Nous ne recueillons, n’utilisons ou ne partageons pas plus de données personnelles que nécessaire et ne les conservons pas dans un format lisible plus longtemps que nécessaire aux finalités définies et aux exigences légales applicables.
- Nous rendons les données anonymes lorsque les exigences de l’entreprise nécessitent de conserver ces informations sur l’activité ou le processus pendant une période plus longue.
- Nous veillons à ce que ces exigences, liées au principe de nécessité, soient intégrées aux technologies connexes et qu’elles sont communiquées aux tiers qui interviennent dans l’activité ou le processus.
2. Loyauté – Nous ne traitons pas les données personnelles de manière déloyale pour les personnes concernées.
- Nous déterminons si la collecte, l’utilisation ou tout autre traitement proposé de données personnelles présente ou non des risques probables et/ou élevés de préjudice tangible ou intangible pour les individus conformément à notre valeur de confidentialité Prévenir les préjudices.
- Si la nature des données, le type de personne ou l’activité présente un risque probable et/ou élevé de préjudices tangibles ou intangibles pour les individus, nous nous assurons que le risque est compensé par un avantage pour ces personnes ou pour notre mission consistant à sauver et améliorer des vies, et minimisé par les mesures, garanties et mécanismes que nous avons mis en place.
- Lorsque le risque semble l’emporter sur les avantages pour les individus, nous appliquons les mesures de sécurité et de protection les plus pertinentes, nous informons les personnes concernant ce fait et nous sollicitons l’avis de l’autorité de régulation compétente lorsque cela est requis.
- Nous ne traitons les informations sensibles qu’avec le consentement explicite des individus, tel qu’expressément requis ou expressément autorisé par la loi en vigueur,
- Lorsque le risque semble l’emporter sur les avantages pour les individus, nous documentons l’analyse des risques et concevons les mécanismes nécessaires pour minimiser les risques autant que possible.
3. Transparence – Nous ne traitons aucune donnée personnelle d’une manière ou pour une finalité qui ne soit pas transparente.
- Toutes les personnes concernées dont les données personnelles sont traitées conformément à cette Politique ont droit à une copie de celle-ci. Nous ferons des copies de la présente politique disponible en ligne sur https://www.msdprivacy.com/index.html. Le Bureau mondial de la protection de la vie privée et des données personnelles (« Global Privacy Office », ou « GPO ») fournira des copies électroniques et/ou papier de la présente Politique sur demande aux adresses indiquées ci-dessous.
- Lorsque des informations personnelles sont collectées directement auprès d’individus, nous les informons, avant de recueillir les données et via un notice d’information claire, précise et facilement accessible ou tout autre moyen similaire, (1) de l’entité ou des entités chargées du traitement, (2) des informations de contact de notre Chief Privacy Officer et/ou Délégué à Protection des Données (« Data Privacy Officer » ou « DPO »), (3) des données personnelles qui seront recueillies, (4) des finalités pour lesquelles elles seront utilisées, (5) de la base juridique de notre traitement, (6) des personnes avec qui elles seront partagées, notamment toute demande de divulgation de données personnelles émise par les autorités gouvernementales dans un cadre légal, (7) si nous allons ou non transférer les données personnelles vers d’autres pays, incluant les pays concernés si possible, et la manière de le faire, (8) de la durée pendant laquelle ces données seront conservées ou les critères selon lesquels nous définirons cette durée, (9) de la manière dont il est possible de poser une question, de soulever un problème ou d’exercer ses droits liés à ses données personnelles, (10) de la manière dont il est possible de retirer un consentement qui avait été auparavant donné, (11) de leur droit à déposer une plainte auprès d’une autorité de contrôle, (12) de toute obligation de fournir les données personnelles et les conséquences si cette obligation n’est pas respectée, (13) de toute prise de décision automatisée, y compris du profilage, que nous pourrons mettre en place, et (14) d’un lien vers la présente Politique, si possible et si nécessaire. Nos notices d’information complètes pour un grand nombre de nos parties prenantes sont disponibles en ligne sur http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html.
- Lorsque des données personnelles sont obtenues par le biais de l’observation, de capteurs ou de moyens indirects, il peut ne pas être possible de fournir une notice d’information directement à la personne concernée au moment de la collecte des données. Dans de tels cas, nous assurons la transparence à la personne par d’autres moyens, tels que l’affichage ou l’impression sur l’appareil ou les documents associés à l’appareil qui obtiendront les données.
- Lorsque des données personnelles sont recueillies via un site Web, une application mobile ou une autre application ou ressource en ligne, nous appliquons les normes spécifiques à la technologie définies dans notre Politique globale de protection de la vie privée et des données personnelles sur Internet et notre engagement sur le suivi en ligne et les cookies afin de garantir le respect des exigences de transparence conformément à la présente politique.
- Lorsque des données personnelles sont recueillies auprès d’autres sources et pas nécessairement à la demande de notre société, avant d’obtenir les données, nous vérifions par écrit que le fournisseur de données a informé les personnes des façons et des fins auxquelles notre société a l’intention d’utiliser les renseignements. Si une vérification écrite ne peut être obtenue de la part du fournisseur de données, nous utiliserons uniquement celles-ci de manière anonyme, ou avant d’utiliser les données personnelles, nous informerons les individus concernés via une notice d’information ou tout autre moyen similaire (1) de l’entité ou des entités chargées du traitement, (2) des informations de contact de notre Chief Privacy Officer et/ou Délégué à Protection des Données (« Data Privacy Officer » ou « DPO »), (3) quelles informations notre société prévoit d’utiliser, (4) des finalités pour lesquelles notre société compte les utiliser, (5) de la base légale de notre traitement, (6) des personnes avec lesquelles notre société les partagera, (7) si nous allons ou non transférer les données personnelles à d’autres pays, incluant les pays concernés si possible, et la manière de le faire, (8) de la durée pendant laquelle notre société compte les conserver ou les critères selon lesquels nous définirons cette durée, (9) de la manière dont il est possible de poser une question, de soulever un problème ou d’exercer ses droits liés à ses données personnelles, (10) de la manière dont il est possible de retirer un consentement qu’elles avaient auparavant donné, (11) de leur droit à déposer une plainte auprès d’une autorité de contrôle, (12) de toute obligation de fournir les données personnelles et les conséquences si cette obligation n’est pas respectée, (13) de toute prise de décision automatisée, y compris du profilage, que nous pourrons mettre en place, et (14) d’un lien vers la présente politique, si possible et si nécessaire.
- Nous garantissons que les mécanismes de transparence nécessaires, notamment, si possible, les mécanismes soutenant les demandes de droits individuels, sont intégrés aux technologies connexes, et que les tiers intervenant dans l’activité ou le processus ne traitent pas les informations sur les personnes de manière contradictoire avec la notice d’information ou autres moyens vérifiables informant les individus de l’utilisation que nous, et les autres personnes travaillant pour nous, en ferons
- Lorsque nous sollicitons le consentement, nous obtenons et documentons la preuve du consentement dans nos systèmes.
4. Limitation de la finalité – Nous utilisons les données personnelles uniquement en conformité avec les principes de nécessité et de transparence.
- Si de nouvelles finalités légitimes sont identifiées pour des données personnelles précédemment recueillies, soit nous obtenons le consentement de l’individu pour la nouvelle utilisation des données personnelles, soit nous nous assurons que les nouvelles finalités soient compatibles notamment avec une finalité matériellement similaire à des finalités décrites dans une notice d’information ou autre mécanisme de transparence précédemment transmis à l’individu. Nous déterminerons la comptabilité en fonction de (1) tout lien entre les fins originales et la nouvelle finalité proposée, (2) les attentes raisonnables de l’individu, (3) la nature des données personnelles, (4) les conséquences du traitement ultérieur pour l’individu, et (5) les garanties que nous avons mises en place.
- Nous n’appliquons pas ce principe aux informations rendues anonymes ou lorsque nous utilisons des données personnelles uniquement à des fins de recherche scientifique et (1) qu’un Comité d’examen déontologique, ou un autre examinateur compétent, a déterminé que le risque d’une telle utilisation est acceptable au regard de la protection des données personnelles et des droits des individus, (2) que nous avons mis en place les garanties appropriées pour assurer la minimisation des données et (3) que les données personnelles sont pseudonymisées et (4) que toutes les autres lois en vigueur sont respectées.
- Nous veillons à ce que les restrictions de la limitation de la finalité soient intégrées à tout système d’information que nous utilisons, notamment les systèmes avec des capacités de reporting et de partage de données en aval.
5. Qualité des données – Nous nous assurons que les données personnelles sont exactes, complètes et cohérentes avec leur utilisation prévue.
- Nous nous assurons que des mécanismes de révision périodique des données soient intégrés à nos systèmes d’information afin de valider l’exactitude des données par rapport aux systèmes sources et en aval.
- Nous nous assurons que les données sensibles soient validées comme étant exactes et à jour avant leur utilisation, évaluation, analyse, rapport ou autre traitement présentant un risque de préjudice pour les personnes si des données inexactes ou n’étant plus à jour étaient utilisées.
- Lorsque notre Compagnie ou des tiers travaillant pour notre Compagnie apportent des modifications aux données personnelles, nous nous assurons que ces modifications soient communiquées aux personnes concernées en temps utile dans la mesure du possible.
6. Sécurité – Nous mettons en œuvre des dispositifs de protection des données personnelles et des données sensibles contre la perte, l’utilisation abusive et l’accès non autorisé, la divulgation, la modification ou la destruction.
- Nous avons mis en œuvre un programme complet de sécurité des données et nous réalisons des contrôles de sécurité basés sur la sensibilité de ces données et sur le niveau de risque de l’activité, en tenant compte des meilleures pratiques technologiques actuelles et du coût de la mise en œuvre. Nos politiques de sécurité fonctionnelle incluent, mais sans s’y limiter, des règles sur la continuité opérationnelle et la reprise des activités, le chiffrage des données, la gestion de l’identification et de l’accès, la classification des informations, la gestion des violations de données, le contrôle de l’accès au réseau, la sécurité physique et la gestion des risques.
7. Transfert de données – En tant que responsables, nous préservons les méthodes de protection de la confidentialité pour les données personnelles lorsqu’elles sont transférées vers ou à partir d’autres organisations ou au-delà des frontières nationales.
(1) Nous transférons des données personnelles au sein de notre Compagnie si les conditions suivantes sont remplies :
- le partage est nécessaire au respect de la finalité pour laquelle les données personnelles sont recueillies à l’origine ou de tout autre intérêt légitime de la société, et
- a finalité pour laquelle elles seront partagées, et le fait qu’elles seront partagées, sont conformes à la notice d’information donnée ou à tout autre mécanisme de transparence auparavant fourni à l’individu au moment où les données personnelles ont été recueillies à l’origine et lorsque celle-ci a donné son consentement lorsque nécessaire,
- lorsque l’une des filiales de notre Compagnie agit exclusivement pour le compte d’une autre de nos filiales dans le traitement des données personnelles,
- lorsque la loi l’exige, ces filiales de notre société signeront un accord interne relatif au traitement des données conformément au Principe 8 de la présente Politique,
- lorsque l’infrastructure informatique requiert un tel transfert, à condition que toutes les mesures de sécurité de d’organisation appropriées de l’organisation soient en place pour rendre ce transfert conforme.
(2) Nous ne transférons des informations personnelles ou permettons à des tiers de les traitées si les conditions suivantes sont respectées. Nous sommes également tenus de veiller à ce que les tiers que nous engageons respectent ces exigences :
- Si le rôle du tiers est de traiter les données personnelles pour ou au nom de notre Compagnie, avant de lui fournir des données personnelles ou de l’engager, nous : (1) réalisons une vérification préalable en matière de protection des données personnelles en matière de protection de la vie privée et des données personnelles et les risques associés à ces tiers, (2) établissons un contrat avec les tiers stipulant qu’ils traiteront les données personnelles uniquement conformément aux instructions de notre société, et à la présente politique, y compris, mais sans s’y limiter, aux 8 Principes de protection de la vie privée et des données personnelles et les autres règles énoncées dans la présente Politique, ainsi que les lois en vigueur, qu’ils informeront rapidement notre Compagnie de toute violation de données, y compris toute incapacité à se conformer aux règles énoncées dans la présente Politique et les lois en vigueur applicables, et coopéreront à la prompte résolution de incident avéré de même qu’à traiter et honorer les demandes de droits individuels énoncés à la Section 2 ci-dessous, qu’il n’engageront aucune autre société pour traiter les données personnelles sans notre autorisation écrite et sans mettre en place un contrat imposant des obligations équivalentes en matière de protection des données, qu’ils supprimeront ou nous renverront toutes les données personnelles après avoir fini de nous fournir les services ou à notre demande, et qu’ils autoriseront notre société à auditer et à surveiller leurs pratiques pendant la durée du traitement afin de respecter ces exigences. De plus, si le tiers traite des données personnelles provenant d’un pays ou territoire dont la loi limite le transfert de données personnelles, nous nous assurerons que le transfert vers le tiers est conforme aux exigences de transfert transfrontalier de données décrites dans la section (3) ci-dessous
- Si le rôle du tiers est de fournir des données personnelles à notre société, nous nous assurons, avant de récupérer ces dernières, que les exigences de transparence en matière de collecte de données personnelles provenant d’autres sources (et pas uniquement à la demande de notre société) soient respectées, et nous exigeons un engagement contractuel du tiers attestant qu’il ne viole aucune loi ni aucun droit des tiers en fournissant ces données personnelles à notre Compagnie.
- Si le rôle du tiers est de recevoir des données de notre Compagnie à des fins de traitement ne relevant pas d’une demande spécifique de notre société, nous nous assurons, avant de fournir ces informations au tiers, qu’elles sont anonymisée, et nous exigeons l’assurance du tiers qu’elles seront utilisées uniquement aux fins définies dans le contrat, conformément aux lois en vigueur, et qu’elles ne feront l’objet d’aucune tentative de réidentification.
- Si le transfert à un tiers est nécessaire pour protéger les intérêts légitimes de l’individu ou ceux de la Compagnie, nous sommes susceptibles de transférer les données : (1) aux fins de prévenir la fraude ou de faire appliquer ou de protéger les droits et biens de la société, (2) pour la protection de la sécurité personnelle de nos employés ou de tiers dans nos établissements, et (3) pour protéger nos actifs en prenant les mesures correctives de sécurité si nous suspectons raisonnablement qu’une activité illégale ou qu’une faute grave a eu lieu.
- Si le tiers est la cible d’une tentative d’acquisition ou fait l’objet d’une participation majoritaire de notre Compagnie, (1) avant de conclure tout accord visant à l’acquisition de ce dernier ou à une participation majoritaire de notre société, nous effectuons un contrôle préalable de leur protection des données personnelles, afin d’évaluer les pratiques en la matière ainsi que les risques liés à l’acquisition de ce tiers ou participation majoritaire dans ce dernier, et (2), nous établissons un accord sur le transfert des données précisant les conditions générales selon lesquelles les données personnelles peuvent être divulguées, ainsi que les obligations respectives de notre société et du tiers.
- Si le rôle du tiers est l’acquisition de tout ou partie de l’activité de notre Compagnie, avant de partager quelconque donnée personnelle en lien avec la cession d’une partie de l’activité de notre société, (1) nous établissons un accord sur le transfert de données précisant les conditions générales selon lesquelles des données personnelles peuvent être communiquées à l’acheteur, telles que les limitations de l’usage des données personnelles et la conformité aux règles établies par cette Politique et les lois en vigueur, (2) nous examinons tous les éléments concernant les individus avant tout partage afin d’évaluer les exigences en la matière, (3) nous exigeons un consentement à partager des données personnelles ou des données sensibles conformément aux principes de la présente Politique en termes de transparence et de limitation de la finalité, et (4) nous exigeons que les tiers informent rapidement notre Compagnie de tout incident lié à la protection des données, tel que toute incapacité à respecter cette Politique ou les lois en vigueur, et travaillent à la prompte résolution de tout Incident avéré ou arrêtent le traitement des données personnelles..
(3) Nous transférons des données personnelles dans des pays étrangers, y compris aux États-Unis d’Amérique, via ou au nom de notre Compagnie conformément à la présente Politique. Nous appliquerons cette Politique aux transferts de données personnelles émanant de tout autre pays ou territoire dont la législation restreint leur transfert, en plus de respecter toutes les exigences imposées par ces lois (y compris l’utilisation de tout mécanisme requis pour les transferts transfrontaliers vers des pays n’ayant pas les mêmes normes de protection des données que le pays d’origine).
8. Si la loi l’autorise – Nous ne traitons les données personnelles que si les exigences des lois en vigueur sont respectées.
- Bien que les 7 autres principes, ainsi que les exigences relatives aux droits individuels décrits ci-dessous, visent à garantir le respect des lois applicables à notre activité en termes de protection de la vie privée et des données personnelles, certains pays peuvent avoir des exigences supplémentaires que nous devons également respecter, y compris, mais sans s’y limiter, à ce qui suit :
1) Lorsque requis, nous obtiendrons des formes de consentement spécifiques pour certains traitements de données personnelles, notamment, mais sans s’y limiter, l’approbation du traitement par des instances représentatives du personnel et autres syndicats ;
2) Si nécessaire, nous enregistrons le traitement des données personnelles auprès de l’autorité de réglementation compétente chargée de la protection de la vie privée, ou nous chercherons à obtenir l’approbation de celle-ci ;
3) Le cas échéant, nous accordons des droits (par exemple, d’accès et de rectification) plus larges que ceux définis dans la présente Politique ;
4) Si nécessaire, nous limitons davantage les périodes de conservation des données personnelles ; et
5) Le cas échéant, nous établissons des accords contenant des clauses contractuelles spécifiques, y compris des accords sur le transfert de données transfrontalier à des tiers.
6) Si nécessaire, nous divulguerons des données personnelles afin de satisfaire à des demandes légales émises par des pouvoirs publics, y compris pour respecter des exigences en matière de sécurité nationale ou d’application des lois.
En cas de conflit entre la présente Politique et une loi applicable, le standard garantissant la plus grande protection des individus prévaudra.
- Nous répondrons promptement aux demandes d’individus visant à accéder, modifier, corriger ou supprimer leurs données personnelles ou à s’opposer au traitement de ces dernières ou d’exercer d’autres droits relatifs à celles-ci.
- Droits d’accès, de correction, de suppression et autres droits – En vertu des lois en vigueur dans la plupart des pays où nous opérons, tout individu peut accéder aux données personnelles le concernant, et modifier, corriger ou supprimer ces dernières lorsqu’elles sont inexactes, incomplètes ou obsolètes. Nous honorons toutes les demandes d’accès, de rectification et de suppression des données personnelles des individus conformément à la Section 3a ci-dessous. Si une demande d’accès, de correction ou de suppression est régie par une loi en vigueur offrant une plus grande protection des individus, nous veillerons à ce que les exigences supplémentaires de cette loi soient respectées. Dans certains pays, les personnes peuvent avoir d’autres droits s’agissant des données personnelles les concernant, tels que le droit de limiter le traitement, de s’opposer au traitement (voir également section 2b ci-dessous) et de faire porter leurs données personnelles vers un autre prestataire de service. Nous honorerons l’exercice de ces droits relatifs aux données conformément aux lois en vigueur. Certains droits tels que la suppression peuvent être soumis à certaines restrictions conformément à d’autres exigences réglementaires ou à la nécessité de se conformer à des déclarations requises à l’échelon local, auquel cas nous vous informerons de ces restrictions le cas échéant.
- Choix – Conformément à nos valeurs de « respect » et de « confiance », nous honorons les demandes individuelles d’opposition au traitement des données personnelles, y compris, mais sans s’y limiter, le désengagement d’une activité ou d’un programme auquel l’individu avait accepté de participer, le traitement des données personnelles le concernant à des fins de marketing direct, de communications ciblées, et toute évaluation ou décision le concernant susceptible de lui porter atteinte de manière significative, et dépendante de l’automatisation ou d’algorithmes.
- Sauf là où la loi l’interdit, nous pouvons refuser le choix de l’individu si la demande empêche la capacité de notre Compagnie : (1) à se conformer à une loi ou à une obligation éthique, notamment lorsque nous sommes tenus de divulguer des données personnelles afin de satisfaire à des demandes légales émises par des autorités publiques, y compris pour respecter des exigences en matière de sécurité nationale ou d’application des lois, (2) à effectuer une enquête, de présenter ou de contester des réclamations, et (3) d’exécuter des contrats, de gérer des relations ou de s’engager dans d’autres activités commerciales conformes aux principes de transparence et de limitation de la finalité, et dont le lancement est tributaire des données en question. En cas de refus d’une demande, conformément à la présente politique, nous nous réservons 15 jours ouvrés pour justifier et communiquer la décision au demandeur.
- Nous répondrons et ferons remonter rapidement toutes les questions, plaintes et problèmes de protection de la vie privée et des données personnelles, ainsi que les incidents susceptibles de porter atteinte à la confidentialité ou à la sécurité des données.
- Tout individu dont nous traitons les données personnelles dans le cadre de la présente politique peut à tout moment soulever une question, une plainte ou un problème à notre Compagnie, y compris une demande pour obtenir la liste de toutes les filiales de notre société régies par la présente politique. Nous attendons de nos collaborateurs et de tous ceux qui travaillent pour le compte de notre Compagnie qu’ils préviennent sans délai leur direction s’ils estiment qu’une loi applicable peut les empêcher de se conformer à la présente politique. Toute question, plainte ou préoccupation soulevée par un individu, ou tout notification fournie par un collaborateur ou toute autre personne travaillant pour le compte de notre société, doit être adressé au Bureau mondial de la protection de la vie privée et des données personnelles (Global Privacy Office) :
- Par courriel pour les personnes résidant dans l’Espace Economique Européen (EEE) à : euprivacydpo@msd.com
- Ou autrement par courriel à : msd_privacy_office@msd.com
- Par courrier postal à : Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
- Les employés et les sous-traitants sont tenus d’informer rapidement le Global Privacy Office, ou le responsable de la protection de la vie privée et des données personnelles désigné pour leur secteur d’activité, de toute question, plainte ou préoccupation liée aux pratiques de notre Compagnie en matière de protection de la vie privée et des données personnelles.
- Le Global Privacy Office examinera et enquêtera, ou travaillera avec le Bureau de l’éthique, des affaires juridiques et/ou de la conformité (« Office of Ethics, Legal and/or Compliance »), pour enquêter sur toutes les questions, plaintes ou préoccupations liées aux pratiques de notre Compagnie, qu’elles soient reçues directement des employés ou d’autres personnes ou par l’intermédiaire de tiers, y compris, mais sans s’y limiter, les organismes de réglementation, les agents d’accréditation et autres autorités gouvernementales. Nous répondrons à la personne ou à l’entité à l’origine de la question ou de la préoccupation dans un délai de trente (30) jours calendaires, sauf si une loi ou le demandeur tiers exige une réponse dans un délai plus court ou si les circonstances (enquête d’un gouvernement extérieur par exemple) nécessitent un délai plus long, auquel cas l’individu ou le demandeur tiers devra en être informé par écrit dès que possible dès que possible de la nature générale des circonstances ayant contribué au retard.
- Le bureau mondial de la protection de la vie privée et des données personnelles, en coordination avec le service juridique et le service de la conformité, coopérera en réponse à toute demande, inspection ou enquête d’une autorité de réglementation de la protection des données personnelles.
-
Pour toute plainte ne pouvant être résolue entre notre Compagnie et l’individu qui l’a soulevée, notre Compagnie s’engage à suivre la procédure de règlement des litiges ci-après dans le cadre de l’examen et la résolution des litiges régis par la présente Politique. Toutefois, à tout moment, les individus résidant dans l’EEE ou ceux dont les données personnelles sont régies par la législation européenne relative à la protection des données personnelles et transférées en dehors de l’EEE, peuvent à tout moment s’appuyer sur le critère 3.f. ci-dessous :
- Pour tout litige impliquant le transfert de données personnelles relatives aux activités de ressources humaines dans le cadre d’un statut d’employé de l’EEE et du Royaume-Uni vers les États-Unis, notre société s’engage à collaborer avec les autorités européennes ou britanniques compétentes en matière de protection des données.
- Pour tout litige impliquant le transfert de données personnelles relatives aux activités de ressources humaines dans le cadre d’un statut d’employé de la Suisse vers les États-Unis, notre société s’engage à collaborer avec le FDPIC suisse (préposé fédéral à la protection des données).
- Pour tout litige impliquant le transfert de données personnelles qui est régit par la conformité de notre société aux règles de confidentialité transfrontalières règles de confidentialité transfrontalières (« CBPR ») de la Coopération Economique Asie-Pacifique (« APEC ») entre les économies de l’APEC, notre société a accepté la résolution des différends par notre agent d’accréditation : BBB National Programs. Pour plus d’informations sur le périmètre de notre participation, ou pour soumettre une demande de confidentialité par l’intermédiaire des programmes nationaux BBB,veuillez cliquer sur le sceau officiel situé au bas de cette page.
- Pout tout litige impliquant le transfert de données personnelles liées à des activités qui ne relèvent aux ressources humaines par le biais du programme UE-US DPF, notre société a accepté la résolution des litiges (recours gratuit) par un mécanisme de recours indépendant nommé Data Privacy Framework Services, exploité par BBB National Programs. Si vous ne recevez pas d’accusé de réception de votre plainte en temps opportun ou si votre plainte n’est pas traitée de manière satisfaisante, veuillez consulter https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumerspour obtenir de plus amples informations et déposer une plainte.
- Pour tout litige découlant du programme UE-États-Unis Data Privacy Framework (DPF), de l’extension du Royaume-Uni au DPF et du programme Suisse-États-Unis. Le programme Data Privacy Framework qui n’est pas résolu par les étapes décrites dans cette section, sous certaines conditions, les individus peuvent invoquer l’arbitrage exécutoire pour certaines réclamations résiduelles non résolues par d’autres mécanismes de recours. Voir https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
- Tout individu résidant dans l’EEE, ou tout individu dont les données personnelles sont soumises à la loi sur la protection des données de l’EEE et transférées en dehors de l’EEE, et pour lesquelles des données sont traitées conformément à la présente Politique, ont le droit, en vertu de cette présente Politique, à tout moment, contraindre les tiers bénéficiaires à respecter les exigences de cette politique, y compris le droit d’intenter une action judiciaire pour obtenir réparation en cas de violation de ses droits en vertu de la présente politique (tel qu’énoncé à la section 2 ci-dessus) et le droit de recevoir une indemnité pour dommages-intérêts résultant d’une telle violation. Les personnes résidant dans l’EEE ou tout individu dont les données personnelles sont soumises à la loi sur la protection des données de l’EEE et transférées en dehors de l’EEE (par souci de clarté, y compris aux États-Unis), peuvent déposer une réclamation ou une plainte en vertu de la présente Politique, contre la filiale de la Compagnie responsable de l’exportation des données personnelles hors de l’EEE, devant :
- La juridiction de l’exportateur de données situé dans l’EEE, ou
- La juridiction du pays où se trouve notre Délégué Européen à la Protection des Données (ou EU DPO), ou
- Les autorités compétentes en matière de protection des données (en particulier dans l’État membre de leur résidence habituelle, de leur lieu de travail ou du lieu de l’infraction présumée), ou
- Notre Autorité Principale de Protection des Données, qui ont instruites nos BCR : l’Autorité de Protection des Données belge (APD).
- Notre Compagnie répondra à la personne ou à l’entité qui a soulevé la question, la plainte ou la préoccupation à notre Compagnie dans les trente (30) jours calendaires, sauf si une loi ou le tiers demandeur exige une réponse dans un délai plus court ou à moins que les circonstances exigent un délai plus long, auquel cas la personne ou le tiers demandeur sera informé par écrit.
- Tout individu dont nous traitons les données personnelles dans le cadre de la présente politique peut à tout moment soulever une question, une plainte ou un problème à notre Compagnie, y compris une demande pour obtenir la liste de toutes les filiales de notre société régies par la présente politique. Nous attendons de nos collaborateurs et de tous ceux qui travaillent pour le compte de notre Compagnie qu’ils préviennent sans délai leur direction s’ils estiment qu’une loi applicable peut les empêcher de se conformer à la présente politique. Toute question, plainte ou préoccupation soulevée par un individu, ou tout notification fournie par un collaborateur ou toute autre personne travaillant pour le compte de notre société, doit être adressé au Bureau mondial de la protection de la vie privée et des données personnelles (Global Privacy Office) :
- Nous sommes responsables du respect de nos valeurs et de nos standards en matière de protection de la vie privée et des données personnelles.
- La filiale de notre Compagnie responsable d’une action qui donne lieu à un incident de protection des données personnelles ou à un incident de sécurité justifié est financièrement responsable du montant de toute demande de dommages-intérêts, d’amende ou de pénalité découlant de l’incident de protection des données personnelles ou de l’incident de sécurité.
- En coordination avec et sous la direction du Global Privacy Office, le Délégué européen à la Protection des Données (ou EU DPO) est chargé de veiller à ce que les mesures nécessaires soient prises pour traiter toute violation présumée de la présente politique par les filiales de notre Compagnie en dehors de l’EEE affectant des individus résidant au sein de l’EEE, ou des individus dont les données personnelles sont régies par la législation européenne relative à la protection des données et transférées en dehors de l’EEE. Le cas échéant, il incombera à Merck, Sharp & Dohme (Europe) Inc., USA -Belgium Branch (filiale belge « MSD Europe ») de payer les amendes, pénalités ou dommages-intérêts aux dits individus pour les violations de la présente Politique. Avec le soutien du bureau mondial de protection de la vie privée et des données personnelles (« Global Privacy Office », « GPO ») et de la filiale de notre Compagnie, en dehors de l’EEE, responsable de la violation présumée, le Délégué Européen à la Protection des Données sera chargé de démontrer que notre Compagnie n’est pas responsable de la violation présumée. Lorsqu’une autre filiale de notre Compagnie est responsable de l’action qui a nécessité l’amende, la pénalité ou l’octroi de dommages-intérêts, cette filiale peut être tenue de rembourser rapidement à MSD Europe tout montant payé par MSD Europe. Si une filiale de notre société en dehors de l’EEE enfreint la présente Politique, les tribunaux ou les Autorités de Protection des Données de l’EEE seront compétents et la personne affectée aura les droits et recours contre la filiale de la Compagnie responsable de l’exportation des données personnelles hors de l’EEE, comme indiqué à la section 3.f. ci-dessus.
- En coordination avec et sous la direction du Global Privacy Office, Merck Sharp & Dohme LLC est responsable de veiller à ce que les mesures nécessaires soient prises pour traiter toute violation présumée de la présente Politique affectant les personnes résidant en dehors de l’EEE et, le cas échéant, de payer les amendes, pénalités ou dommages-intérêts accordés pour les violations de la présente Politique affectant les personnes résidant en dehors de l’EEE ou les personnes sur lesquelles les informations personnelles ne sont pas soumises à la loi sur la protection des données de l’EEE. Lorsqu’une autre filiale de notre Compagnie est responsable de l’action qui a nécessité l’amende, la pénalité ou l’octroi de dommages-intérêts, cette filiale peut être tenue de rembourser rapidement Merck Sharp & Dohme LLC pour tout montant payé par Merck Sharp & Dohme LLC.
- La filiale de notre Compagnie responsable d’une action qui donne lieu à un incident de protection des données personnelles ou à un incident de sécurité justifié est financièrement responsable du montant de toute demande de dommages-intérêts, d’amende ou de pénalité découlant de l’incident de protection des données personnelles ou de l’incident de sécurité.
Contrôle et surveillance
Afin de garantir aux organismes de réglementation et aux autres parties prenantes que notre Compagnie assume la responsabilité de son engagement envers des pratiques éthiques et responsables en matière de protection de la vie privée et des données personnelles, la Compagnie maintient un groupe de gouvernance de contrôle et de surveillance étendu, dirigé par un responsable de la protection de la vie privée et des données personnelles (« Chief Privacy Officer » ou « CPO ») avec un bureau mondial de la protection de la vie privée et des données personnelles (Global Privacy Office, GPO) dédié, un Délégué Européen à la Protection des Données (EU DPD ou EU DPO) désigné, des DPD nationaux lorsque la loi ou les autorités locales l’exigent, et des Référents à la Protection des données locaux (Privacy Stewards). Ceux-ci qui sont nommés par les dirigeants locaux et qui jouent un rôle de liaison entre le Global Privacy Office et les zones organisationnelles dans lesquelles ils opèrent.
Notre Compagnie s’appuiera sur les agents d’accréditation auxquels elle doit rendre compte en vertu des lois, pour périodiquement contrôler sa conformité aux exigences de la présente Politique et desdites lois, y compris aux Règles de Confidentialité Transfrontalières de la Coopération Economique pour l’Asie-Pacifique.
En complément des revues de conformité gérées par le Global Privacy Office, des équipes d’audit et d’assurance internes et externes mèneront des audits de conformité pour vérifier que la Compagnie adhère à la présente Politique, y compris à toutes politiques, procédures, standards et directives assujetties à la présente Politique. Des plans d’actions correctives et préventives seront élaborés et mis en œuvre afin de traiter les écarts observés par les équipes d’audit et d’assurance. Les résultats du Programme d’audit sera communiqué au CPO, au DPO et au GPO, qui sont chargés de les déclarer, tel que décrit dans la présente Politique.
Les autorités de protection de la vie privée et des données personnelles qui ont approuvé cette Politique ou qui ont compétence sur les pratiques de notre Compagnie en vertu de cette Politique ont le droit de contrôler notre conformité à celle-ci. Nous nous conformerons aux conseils de ces autorités compétentes en ce qui concerne l’interprétation et l’application de la présente Politique.
Termes que vous devez connaître
- Anonymisé. Information personnelle ayant été altérée, tronquée, effacée ou modifiée de façon à ne plus pouvoir identifier, repérer ou contacter une personne de manière irréversible, que ce soit seule ou en la combinant à d’autres informations.
- Loi. Toutes les lois, règles, réglementations et ordonnances d’opinions applicables ayant force de loi dans tout pays dans lequel notre Compagnie opère ou dans lequel les données personnelles sont traitées par ou au nom de notre Compagnie. Cela inclut tous les cadres de protection de la vie privée et des données personnelles en vertu desquels notre Compagnie a été approuvée ou certifiée, y compris les Règles d’Entreprise Contraignantes de l’UE (« BCR »), les règles transfrontalières de confidentialité (« CBPR ») de la Coopération Economique Asie-Pacifique (« APEC »), le programme du Cadre de Protection des données (« DPF ») UE-États-Unis, l’extension britannique au DPF et le programme Suisse-États-Unis de Cadre de Protection des Données – sous les pouvoirs d’enquête et d’application de la Federal Trade Commission des États-Unis.
- Notre entreprise. Merck & Co., Inc., Rahway, NJ, États-Unis, ses successeurs, filiales et divisions dans le monde entier, à l’exclusion des coentreprises auxquelles notre société est partie.
- Données personnelles. Toute donnée relative à une personne identifiée ou identifiable, y compris les données qui identifient une personne ou qui pourraient être utilisées pour identifier, localiser, suivre ou contacter une personne. Les informations personnelles comprennent à la fois des informations directement identifiables telles qu’un nom, un numéro d’identification ou un titre de poste unique, et des informations indirectement identifiables telles que la date de naissance, l’identifiant unique d’un appareil mobile ou portable, un numéro de téléphone ainsi que des données codées par clé, des identifiants en ligne tels que les adresses IP ou toute activité, comportement ou préférence personnelle pouvant être collectée pour fournir des services ou des produits.
- Incident concernant la protection de la vie privée et des données personnelles. Une violation de cette politique ou des lois de protection de la vie privée ou des données personnelles. La détermination de savoir si un incident concernant la protection de la vie privée et des données personnelles s’est produit et s’il doit être élevé au rang de violation de données personnelles doit être prise par le bureau mondial de la protection de la vie privée et des données personnelles (GPO), le département de gestion et sécurité des technologies de l’information (ITRMS) et le bureau du conseil général.
- Traitement. Toute opération ou tout ensemble d’opérations effectué sur les informations concernant une personne, par des moyens automatiques ou non, y compris, mais sans s’y limiter, la collecte, l’enregistrement, l’organisation, le stockage, l’accès, l’adaptation, la modification, la récupération, la consultation, l’utilisation, l’évaluation, l’analyse, la remontée, le partage, la divulgation, la diffusion, la transmission, la publication, l’harmonisation, l’association, le blocage, la suppression, l’effacement ou la destruction.
- Violation de données. Une violation de la sécurité menant à la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès à des données personnelles (ou violation présumée par notre société). L’accès à des données personnelles par notre Compagnie ou pour le compte de celle-ci, sans intention d’enfreindre la présente politique ne constitue pas une violation des données personnelles, à condition que les données personnelles consultées soient ensuite utilisées et communiquées à des fins autorisées par la présente Politique.
- Information sensible. Tout type d’information sur une personne qui présente un risque inhérent de préjudice potentiel aux individus, y compris les informations définies par la loi comme étant sensibles, y compris, mais sans s’y limiter, les informations concernant la santé, la génétique, la biométrique, l’origine, l’appartenance ethnique, la religion, les opinions ou croyances politiques ou philosophiques, les antécédents criminels, les informations de géolocalisation précises, les numéros de comptes bancaires ou autres comptes financiers, les numéros d’identification alloués par les autorités gouvernementales, les enfants mineurs, les pratiques sexuelles, l’orientation sexuelle, l’affiliation à des syndicats, l’assurance, les avantages de sécurité sociale ou autres avantages alloués par un employeur ou un gouvernement.
- Tiers. Toute entité, association ou personne juridique qui n’est pas détenue par notre Compagnie, ou dans laquelle notre Compagnie n’a pas de participation majoritaire, ou qui n’est pas employée par notre Compagnie. Sauf disposition contraire de la présente Politique, il ne peut être exigé à aucune filiale ou division de notre Compagnie de se soumettre aux exigences d’un tiers au titre de la présente Politique, car toutes les filiales ou divisions sont tenues de traiter les informations sur les individus dans le respect de la présente Politique, y compris dans des circonstances où l’une de nos filiales assiste une ou plusieurs autres filiales de notre Compagnie dans le traitement des informations.
Modifications apportées à la présente politique
Cette politique peut être modifiée de temps à autre, conformément aux exigences de la loi applicable. Un avis sera affiché sur la page Web relative à la protection de la vie privée et des données personnelles de notre Compagnie (https://www.msdprivacy.com/) pendant 60 jours lors de tout changement significatif de la Politique.