Politique globale de transferts transfrontaliers de données personnelles

Date de révision : 1er mai 2022
Date d’entrée en vigueur : 1er mai 2022

Nous nous efforçons d’exercer nos activités dans le respect de nos valeurs de confidentialité, car nous pensons qu’elles témoignent de notre engagement inébranlable envers des pratiques éthiques et responsables. Nous reconnaissons que l’innovation et les nouvelles technologies entraînent une évolution continue des risques, attentes et lois ; c’est pourquoi nous respectons les normes de responsabilité concernant la confidentialité et visons à adapter rapidement notre manière de les appliquer en réponse à cette évolution.

La présente politique définit nos normes mondiales de gestion et de protection des données personnelles par ou pour le compte de notre société , indépendamment du pays d’où elles proviennent ou vers lequel les Données personnelles sont transférées. Elle décrit nos principaux engagements pour le respect des Règles de confidentialité transfrontalières de l’APEC, de nos règles d’entreprise contraignantes (Binding Corporate Rules – « BCRs »), qui ont été approuvées par l’Union européenne, ainsi que du Privacy Shield établi entre l’Europe et les États-Unis et du Privacy Shield établi entre la Suisse et les États-Unis. Elle s’applique à nos opérations dans tous les pays, à toutes nos activités impliquant des données à caractère personnel dans toutes les filiales et divisions (y compris par tout successeur à notre entreprise), notamment, mais sans s’y limiter, à nos activités de recherche, de fabrication, commerciales, de soutien administratif et aux transferts de données nécessaires à la réalisation de ces activités, notamment, mais sans s’y limiter :

• Recherche et fabrication:évaluer les besoins et opportunités en matière d’innovation médicale et dans le secteur de la santé ; lancer, gérer et financer des études de recherche ; évaluer et engager des chercheurs, des membres du comité d’éthique et scientifique, et des partenaires commerciaux pour soutenir nos travaux de recherche et le développement de nos produits ; sélectionner des travaux de recherche ; évaluer la sécurité, l’efficacité et la qualité de nos produits à l’étude et commercialisés ; respecter les obligations en matière de sécurité et de qualité de nos produits, notamment gérer et signaler les événements indésirables et les réclamations liées à la qualité des produits ; déposer un dossier d’approbation et enregistrer nos produits auprès des autorités réglementaires en matière de santé ; et respecter les exigences légales, réglementaires ou éthiques ;
• Commerciales :évaluer les marchés pour nos produits ; faire de la publicité, commercialiser, vendre, distribuer et livrer nos produits ; communiquer et collaborer avec les clients professionnels de santé, payeurs de soins de santé, patients et autres utilisateurs finaux de nos produits, ainsi que les soignants des utilisateurs de nos produits ; parrainer et organiser des évènements ; collaborer avec des partenaires et les évaluer pour soutenir nos activités commerciales ; et respecter les exigences légales, réglementaires ou éthiques ;
• Soutien administratif : recruter, embaucher, gérer, développer, communiquer avec, et rémunérer les collaborateurs ; gérer les avantages pour les collaborateurs et les personnes à leur charge ; réaliser des évaluations des talents et de la performance des collaborateurs ; fournir des formations et d’autres programmes d’apprentissage et de développement ; gérer les procédures disciplinaires et de réclamation des collaborateurs ; gérer les problèmes en matière d’éthique et de confidentialité et mener des enquêtes ; gérer et sécuriser nos actifs physiques et virtuels et nos infrastructures ; se fournir et payer pour des biens et services ; respecter nos engagements en matière d’environnement, de santé et de sécurité et autres responsabilités d’entreprise ; collaborer avec les médias ; et respecter les exigences légales, réglementaires ou éthiques.

La présente politique s’applique à toutes les personnes concernées par les informations que nous traitons, notamment, mais sans s’y limiter, aux professionnels de la santé et autres clients ; aux anciens collaborateurs et aux collaborateurs potentiels et actuels, et aux personnes à leur charge, patients, soignants, chercheurs et participants aux études de recherche, membres du comité d’éthique et scientifique, partenaires commerciaux, investisseurs et actionnaires, représentants du gouvernement et autres parties prenantes.

Tous les collaborateurs et cadres dirigeants de la société doivent assumer des responsabilités fondamentales en matière de confidentialité.

Nous reconnaissons que les erreurs involontaires et mauvais jugements liés à la protection des informations à caractère personnel peuvent entraîner des risques pour les individus et des risques de conformité, financiers, opérationnels et de réputation pour la société. Nous fournirons la formation appropriée sur la présente Politique à tous les employés ainsi qu’au personnel ayant un accès permanent ou régulier à des Données personnelles, étant impliqué dans la collecte de données ou dans le développement d’outils utilisés pour traiter des Données personnelles. Tous les collaborateurs de notre société, et autres personnes traitant des informations à caractère personnel pour notre société, doivent comprendre et remplir leurs obligations conformément à la présente politique et aux Lois en vigueur.

Nos valeurs et règles en matière de confidentialité

Nous défendons nos valeurs de confidentialité dans toutes nos actions impliquant des personnes, notamment notre manière d’appliquer nos normes relatives à la protection de la vie privée. Nos quatre valeurs de confidentialité sont les suivantes :

Respect	Confiance	Prévention des préjudices	Conformité
Nous reconnaissons que les préoccupations relatives à la vie privée sont souvent liées à l’essence même de notre identité, notre manière de voir le monde et notre manière de nous définir, c’est pourquoi nous nous efforçons de respecter les points de vue et les intérêts des individus et des communautés et d’être justes et transparents dans notre manière d’utiliser et de partager les informations sur ces personnes.	Nous savons que la confiance est indispensable à notre réussite, c’est pourquoi nous nous efforçons d’établir et de garder celle de nos clients, collaborateurs, patients et autres partenaires dans notre manière de respecter la vie privée et de protéger les données à caractère personnel.	Nous comprenons qu’une utilisation abusive de données à caractère personnel peut causer des préjudices à la fois tangibles et intangibles aux individus, nous cherchons donc à éviter les préjudices physiques, financiers, de réputation et autres aux individus.	Nous comprenons que les lois et réglementations ne peuvent pas toujours suivre le rythme de l’évolution rapide des technologies, flux de données, et des changements associés aux attentes et aux risques pour la vie privée, c’est pourquoi nous nous efforçons de respecter l’esprit et la lettre des lois et réglementations de manière à assurer une cohérence et une efficacité opérationnelle dans toutes nos activités mondiales.

1. Nous intégrons nos normes de confidentialité à tous les processus, toutes les activités, technologies et relations avec les tiers utilisant des données personnelles. Nous intégrons des contrôles dans nos processus et technologies en accord avec nos valeurs et normes de confidentialité et la Loi en vigueur. Nos 8 principes de confidentialité définis ci-dessous résument nos normes de confidentialité et exigences fondamentales pour les processus, activités et leurs technologies connexes au plus haut niveau.

   Principes de confidentialité	Nos engagements fondamentaux
   1. Nécessité – Avant de recueillir, utiliser ou partager des données personnelles, nous définissons et documentons la finalité légitime spécifique à laquelle ces données sont nécessaires.	Nous déterminons et documentons la durée de conservation pendant laquelle les données personnelles sont nécessaires aux finalités définies et aux exigences légales applicables. Nous ne recueillons, n’utilisons ou ne partageons pas plus de données personnelles que nécessaire et ne les conservons pas dans un format lisible plus longtemps que nécessaire aux finalités définies et aux exigences légales applicables. Nous rendons les données anonymes lorsque les exigences de l’entreprise nécessitent de conserver ces informations sur l’activité ou le processus pendant une période plus longue. Nous garantissons que ces exigences liées au principe de nécessité sont intégrées aux technologies connexes et qu’elles sont communiquées aux tiers qui interviennent dans l’activité ou le processus.
   2. Loyauté – Nous ne traitons pas les données personnelles de manière déloyale envers les personnes concernées.	Nous déterminons si la collecte, l’utilisation ou tout autre traitement proposé de données personnelles présente ou non des risques probables et/ou élevés de préjudice tangible ou intangible pour les individus conformément à notre valeur de confidentialité Prévenir les préjudices. Si la nature des données, le type de personne ou l’activité présente un risque probable et/ou élevé de préjudices tangibles ou intangibles pour les individus, nous nous assurons que le risque est compensé par un avantage pour ces personnes ou pour notre mission consistant à sauver et améliorer des vies, et minimisé par les mesures, garanties et mécanismes que nous avons mis en place. Lorsque le risque semble l’emporter sur les avantages pour les individus, nous appliquons les mesures de sécurité et de protection les plus pertinentes, nous informons les personnes concernant ce fait et nous sollicitons l’avis de l’autorité de régulation compétente lorsque cela est requis. Nous traitons uniquement les données sensibles avec le consentement explicite des individus, tel qu’expressément requis ou autorisé par la loi en vigueur. Lorsque le risque semble l’emporter par rapport aux avantages pour les individus, nous documentons l’analyse des risques et concevons les mécanismes requis afin de minimiser les risques autant que possible.
   3. Transparence – Nous ne traitons aucune donnée personnelle d’une manière ou pour une finalité non transparente.	Tous les individus concernés dont les données personnelles sont traitées conformément à cette Politique ont droit à une copie de celle-ci. Nous ferons des copies de la présente politique disponible en ligne sur https://www.msdprivacy.com/index.html. Le Bureau de la confidentialité (Global Privacy Office) fournira des copies électroniques et/ou papier de la Politique sur demande aux adresses listées. ci-dessous. Lorsque des données personnelles sont recueillies directement auprès des individus, nous les informons, avant de recueillir les données et via un notice d’information claire, précise et facilement accessible ou tout autre moyen similaire, (1) de l’entité ou des entités chargées du traitement, (2) des informations de contact de notre responsable en chef de la confidentialité et/ou du responsable régional/local de la confidentialité des données, (3) des informations qui seront recueillies, (4) des finalités pour lesquelles elles seront utilisées, (5) de la base juridique de notre traitement, (6) des personnes avec qui elles seront partagées, notamment toute demande de divulgation des Données personnelles émise par les autorités gouvernementales dans un cadre légal, (7) si nous allons ou non transférer les Données personnelles à d’autres pays, incluant les pays concernés si possible, et la manière de le faire, (8) de la durée pendant laquelle elles seront conservées ou les critères selon lesquels nous définirons cette durée, (9) de la manière dont il est possible de poser une question, de soulever un problème ou d’exercer ses droits liés à ses Données personnelles, (10) de la manière dont il est possible de retirer un consentement qu’ils avaient auparavant donné, (11) de leur droit à déposer une plainte auprès d’une autorité de contrôle, (12) de toute obligation de fournir les Données personnelles et les conséquences si cette obligation n’est pas respectée, (13) de toute prise de décision automatisée, y compris du profilage, que nous pourrons mettre en place, et (14) d’un lien vers la présente politique, si possible et si nécessaire. Nos notices d’information complètes pour un grand nombre de nos partenaires sont disponibles en ligne sur http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html. Lorsque des données personnelles sont obtenues par le biais de l’observation, de capteurs ou de moyens indirects, il n’est pas toujours possible de fournir une notice d’information à l’individu au moment où les informations sont recueillies. Dans ce cas, nous garantissons la transparence à l’individu par d’autres moyens tels qu’une annonce ou une notice sur le dispositif ou le matériel associé au dispositif qui obtiendra les informations. Lorsque des données personnelles sont recueillies via un site Web, une application mobile ou une autre application ou ressource en ligne, nous appliquons les normes spécifiques à la technologie définies dans notre Politique globale de protection des données personnelles sur Internet et notre Politique mondiale de suivi en ligne afin de garantir le respect des exigences de transparence conformément à la présente politique. Lorsque des données personnelles sont recueillies auprès d’autres sources et pas nécessairement à la demande de notre société, avant d’obtenir les informations, nous vérifions par écrit que le fournisseur de données a informé les individus des manières et finalités selon lesquelles notre société a l’intention d’utiliser les données. Si une vérification écrite ne peut être obtenue de la part du fournisseur de données, nous utilisons uniquement celles-ci de manière anonyme, ou avant d’utiliser les données personnelles, nous informons les individus concernés via une notice d’information ou tout autre moyen similaire (1) de l’entité ou des entités de notre société chargées du traitement des informations, (2) des informations de contact de notre responsable en chef de la confidentialité (Chief Data Officer) et/ou du responsable régional/local de la confidentialité des données (Data Protection Officer), (3) des données que notre société compte utiliser, (4) des finalités pour lesquelles notre société compte les utiliser, (5) de la base juridique de notre traitement, (6) des personnes avec qui notre société les partagera, (7) si nous allons ou non transférer les Données personnelles à d’autres pays, incluant les pays concernés si possible, et la manière de le faire, (8) de la durée pendant laquelle notre société compte les conserver ou les critères selon lesquels nous définirons cette durée, (9) de la manière dont il est possible de poser une question, de soulever un problème ou d’exercer ses droits liés à ses Données personnelles, (10) de la manière dont il est possible de retirer un consentement qu’ils avaient auparavant donné, (11) de leur droit à déposer une plainte auprès d’une autorité de contrôle, (12) de toute obligation de fournir les Données personnelles et les conséquences si cette obligation n’est pas respectée, (13) de toute prise de décision automatisée, y compris du profilage, que nous pourrons mettre en place, et (14) d’un lien vers la présente politique, si possible et si nécessaire. Nous garantissons que les mécanismes de transparence nécessaires, notamment, si possible, les mécanismes soutenant les demandes de droits individuels, sont intégrés aux technologies connexes, et que les tiers intervenant dans l’activité ou le processus ne traitent pas les informations sur les personnes de manière contradictoire avec la notice d’information ou autres moyens vérifiables informant les individus de l’utilisation que nous, et les autres personnes travaillant pour nous, en ferons. Lorsque nous sollicitons le consentement, nous obtenons et documentons la preuve du consentement dans nos technologies connexes.
   4. Limitation de la finalité – Nous utilisons les données personnelles uniquement en conformité avec les principes de nécessité et de transparence.	Si de nouvelles finalités légitimes sont identifiées pour des données personnelles précédemment recueillies, soit nous obtenons le consentement de l’individu pour la nouvelle utilisation des Données personnelles, soit nous nous assurons que les nouvelles finalités soient compatibles notamment avec une finalité matériellement similaire à des finalités décrites dans une notice d’information ou autre mécanisme de transparence précédemment transmis à l’individu. Nous déterminerons la comptabilité en fonction de (1) tout lien entre les fins originales et la nouvelle finalité proposée, (2) les attentes raisonnables de l’individu, (3) la nature des Données personnelles, (4) les conséquences du traitement ultérieur pour l’individu, et (5) les garanties que nous avons mises en place. Nous n’appliquons pas ce principe aux informations rendues anonymes ou lorsque nous utilisons des Données personnelles uniquement à des fins de recherche scientifique et (1) qu’un Comité d’examen déontologique, ou un autre examinateur compétent, a déterminé que le risque d’une telle utilisation est acceptable au regard de la protection des données personnelles et des droits des individus, (2) que nous avons mis en place les garanties appropriées pour assurer la minimisation des données et (3) que les Données personnelles sont pseudonymisées et (4) que toutes les autres Lois en vigueur sont respectées. Nous garantissons que les restrictions de la limitation de la finalité sont intégrées à toute technologie connexe, notamment aux capacités de rapport et au partage de données en aval.
   5. Qualité des données – Nous nous assurons que les Données personnelles sont exactes, complètes et cohérentes avec leur utilisation prévue.	Nous nous assurons que les mécanismes de révision périodique des données sont intégrés aux technologies connexes afin de valider l’exactitude des données par rapport aux systèmes sources et en aval. Nous nous assurons que les données sensibles sont validées comme étant exactes et à jour avant leur utilisation, évaluation, analyse, rapport ou autre traitement présentant un risque de préjudice pour les personnes si des données inexactes ou n’étant plus à jour étaient utilisées. Lorsque notre société ou des tiers travaillant pour notre société apportent des modifications aux Données personnelles, nous nous assurons que ces modifications sont communiquées aux personnes concernées en temps utile dans la mesure du possible.
   6. Sécurité – Nous mettons en œuvre des dispositifs de protection des Données personnelles et des données sensibles contre la perte, l’utilisation abusive et l’accès non autorisé, la divulgation, la modification ou la destruction.	Nous avons mis en œuvre un programme complet de sécurité des informations et nous réalisons des contrôles de sécurité basés sur la sensibilité des informations et sur le niveau de risque de l’activité, en tenant compte des meilleures pratiques technologiques actuelles et du coût de la mise en œuvre. Nos politiques de sécurité fonctionnelle incluent, mais sans s’y limiter, des règles sur la continuité opérationnelle et la reprise des activités, le chiffrage des données, la gestion de l’identification et de l’accès, la classification des informations, la gestion des violations de données, le contrôle de l’accès au réseau, la sécurité physique et la gestion des risques.
   7. Transfert de données – En tant que responsables, nous préservons les méthodes de protection de la confidentialité pour les Données personnelles lorsqu’elles sont transférées vers ou à partir d’autres organisations ou à travers les frontières.	(1) Nous transférons des Données personnelles au sein de notre société si les exigences suivantes sont respectées : (1) le partage est nécessaire au respect de la finalité pour laquelle les Données personnelles sont recueillies à l’origine ou de tout autre intérêt légitime de la société, et (2) la finalité pour laquelle elles seront partagées, et le fait qu’elles seront partagées, sont conformes à l’information donnée ou à tout autre mécanisme de transparence auparavant fourni à la personne au moment où les Données personnelles ont été recueillies à l’origine et lorsque celle-ci a donné son consentement lorsque nécessaire, (3) lorsque l’une des filiales de notre société agit exclusivement pour le compte d’une autre de nos filiales dans le traitement des Données personnelles, (4) lorsque la Loi l’exige, ces filiales de notre société signeront un accord interne relatif au traitement des données conformément au Principe 8 de la présente Politique.(5) lorsque l’infrastructure informatique requiert un tel transfert, à condition que toutes les mesures de sécurité appropriées de l’organisation soient en place pour rendre ce transfert conforme. (2) Nous transférons des Données personnelles ou permettons à des tiers de les traiter uniquement si les exigences suivantes sont respectées. Nous sommes également tenus de veiller à ce que les tiers que nous engageons respectent ces exigences : Si le rôle du tiers est de traiter des Données personnelles pour ou au nom de notre société, avant de lui fournir les Données personnelles ou de l’engager, nous : (1) réalisons une vérification préalable de la protection des données personnelles afin d’évaluer les pratiques en matière de confidentialité et les risques liés à ces tiers, (2) établissons un contrat avec les tiers stipulant qu’ils traiteront les Données personnelles uniquement conformément aux instructions de notre société, et à la présente politique, y compris, mais sans s’y limiter, aux 8 Principes de confidentialité et autres règles définies dans la présente politique, et aux Lois en vigueur, qu’ils informeront rapidement notre société de tout Incident de confidentialité, tel que toute incapacité à respecter cette Politique ou les Lois en vigueur, ou violation de données, et travailleront à la prompte résolution de tout Incident avéré de même qu’à faire respecter les droits individuels énoncés dans la Section 2 ci-dessous, qu’il n’engageront aucune autre société pour traiter les Données personnelles sans notre autorisation écrite et sans mettre en place un contrat imposant des obligations équivalentes en matière de protection des données, qu’ils supprimeront ou nous renverront toutes les Données personnelles après avoir fini de nous fournir les services ou à notre demande, et qu’ils autoriseront notre société à auditer et à surveiller leurs pratiques pendant la durée du traitement afin de respecter ces exigences. De plus, si le tiers traite des Données personnelles provenant d’un pays ou territoire dont la Loi limite le transfert de Données personnelles, nous nous assurerons que le transfert au tiers est conforme aux exigences de transfert transfrontalier de données décrites dans la section (3) ci-dessous. Si le rôle du tiers est de fournir des Données personnelles à notre société, nous nous assurons, avant de récupérer ces dernières, que les exigences de transparence en matière de collecte de Données personnelles provenant d’autres sources (et pas uniquement à la demande de notre société) sont respectées, et nous exigeons un engagement contractuel du tiers attestant qu’il ne viole aucune Loi ni aucun droit des tiers en fournissant ces Données personnelles à notre société. Si le rôle du tiers est de récupérer des informations de notre société à des fins de traitement ne relevant pas d’une demande spécifique de notre société, nous nous assurons, avant de fournir ces informations au tiers, qu’elles sont anonymes, et nous exigeons l’assurance du tiers qu’elles seront utilisées uniquement aux fins définies dans le contrat, conformément aux lois en vigueur, et qu’elles ne feront l’objet d’aucune tentative de réidentification. Si le transfert à un tiers est requis pour protéger les intérêts légitimes de la personne ou de la société, nous sommes susceptibles de transférer les données : (1) aux fins de prévenir la fraude ou de faire appliquer ou de protéger les droits et biens de la société, (2) pour la protection de la sécurité personnelle de nos employés ou de tiers dans nos établissements, et (3) pour protéger nos biens en prenant les mesures correctives de sécurité si nous suspectons raisonnablement qu’une activité illégale ou qu’une faute grave a eu lieu. Si le tiers est la cible d’une tentative d’acquisition ou fait l’objet d’une participation majoritaire de notre société, (1) avant de conclure tout accord visant à l’acquisition de ce dernier ou à une participation majoritaire de notre société, nous effectuons un contrôle préalable de leur protection des données personnelles, afin d’évaluer les pratiques en la matière ainsi que les risques liés à l’acquisition de ce tiers ou participation majoritaire dans ce dernier, et (2), nous établissons un accord sur le transfert des données précisant les conditions générales selon lesquelles les Données personnelles peuvent être divulguées, ainsi que les obligations respectives de notre société et du tiers. Si le rôle du tiers est l’acquisition de tout ou partie de l’activité de notre société, , avant de partager quelconque donnée personnelle en lien avec la cession d’une partie de l’activité de notre société, (1) nous établissons un accord sur le transfert de données précisant les conditions générales selon lesquelles des Données personnelles peuvent être communiquées à l’acheteur, telles que les limitations de l’usage des Données personnelles et la conformité aux règles établies par cette Politique et les Lois en vigueur, (2) nous examinons tous les éléments concernant les personnes avant tout partage afin d’évaluer les exigences en la matière, (3) nous exigeons un consentement à partager des Données personnelles ou des Informations sensibles conformément aux principes de la présente politique en termes de transparence et de limitation de la finalité, et (4) nous exigeons que les tiers informent rapidement notre société de tout Incident de confidentialité, tel que toute incapacité à respecter cette Politique ou les Lois en vigueur, et travaillent à la prompte résolution de tout Incident avéré ou arrêtent le traitement des Données personnelles. (3) Nous transférons des Données personnelles dans des pays étrangers, y compris aux États-Unis d’Amérique, via ou au nom de notre société conformément à la présente Politique. Nous appliquerons cette Politique aux transferts de Données personnelles émanant de tout autre pays ou territoire dont la législation restreint leur transfert, en plus de respecter toutes les exigences imposées par ces Lois (y compris l’utilisation de tout mécanisme requis pour les transferts transfrontaliers vers des pays n’ayant pas les mêmes normes de protection des données que le pays d’origine).
   8. Si la loi l’autorise – Nous ne traitons les Données personnelles que si les exigences des lois en vigueur sont respectées.	Bien que les sept autres principes de confidentialité, ainsi que les exigences relatives aux droits individuels décrits ci-dessous, visent à garantir le respect des lois applicables à notre activité en termes de confidentialité et de protection des données, certains pays peuvent avoir des exigences supplémentaires que nous devons également respecter, y compris, mais sans s’y limiter, à ce qui suit : 1) si nécessaire, nous exigeons des formes de consentement spécifiques pour certains traitements de Données personnelles, notamment, mais sans s’y limiter, l’approbation du traitement par des comités d’entreprise et autres syndicats ; 2) si nécessaire, nous enregistrons le traitement des Données personnelles auprès de l’autorité de réglementation compétente chargée de la protection de la vie privée, ou nous chercherons à obtenir l’approbation de celle-ci ; 3) si nécessaire, nous accordons des droits (par exemple, d’accès et de rectification) plus larges que ceux définis dans la présente politique ; 4) si nécessaire, nous limitons davantage les périodes de conservation des Données personnelles ; et 5) si nécessaire, nous établissons des accords contenant des clauses contractuelles spécifiques, y compris des accords sur le transfert de données transfrontalier à des tiers. 6) si nécessaire, nous divulguerons des informations personnelles afin de satisfaire à des demandes légales émises par des pouvoirs publics, y compris pour respecter des exigences en matière de sécurité nationale ou d’application des lois. En cas de conflit entre la présente politique et une loi applicable, la norme garantissant la plus grande protection des individus prévaut.

2. Nous répondrons promptement aux demandes individuelles visant à accéder, modifier, corriger ou supprimer des Données personnelles ou à s’’opposer au traitement de ces dernières ou d’exercice de droits relatifs à celles-ci.
   1. Accès, modification, suppression et autres droits – En vertu des Lois en vigueur dans la plupart des pays où nous opérons, tout individu peut accéder aux Données personnelles le concernant, et modifier, corriger ou supprimer ces dernières si elles sont inexactes, incomplètes ou obsolètes. Nous honorons toutes les demandes d’accès, de rectification et de suppression des Données personnelles des individus conformément à la section 3a ci-dessous. Si une demande d’accès, de rectification ou de suppression est régie par une Loi en vigueur offrant une plus grande protection des individus, nous veillerons à ce que les exigences supplémentaires de cette loi soient respectées.
      Dans certains pays, les personnes peuvent avoir d’autres droits s’agissant des Données personnelles les concernant, tels que le droit de limiter le traitement, de s’opposer au traitement (voir également section 2b ci-dessous) et de faire transférer leurs données à un autre prestataire de service. Nous honorerons l’exercice de ces droits relatifs aux données conformément aux Lois en vigueur. Certains droits tels que la suppression peuvent être soumis à certaines restrictions conformément à d’autres exigences réglementaires ou à la nécessité de se conformer à des déclarations requises à l’échelon local, auquel cas nous vous informerons de ces restrictions le cas échéant
   2. Choix – Conformément à nos valeurs de « respect » et de « confiance », nous honorons les demandes individuelles d’opposition au traitement des Données personnelles, y compris, mais sans s’y limiter, le désengagement d’une activité ou d’un programme auquel l’individu avait accepté de participer, le traitement des Données personnelles le concernant à des fins de marketing direct, de communications ciblées, et toute évaluation ou décision le concernant susceptible de lui porter atteinte de manière significative, et dépendante de l’automatisation ou d’algorithmes.
      1. Sauf là où la Loi l’interdit, nous pouvons refuser le choix de l’individu si la demande empêche notre société : (1) de se conformer à une Loi ou à une obligation éthique, notamment lorsque nous sommes tenus de divulguer des informations personnelles afin de satisfaire à des demandes légales émises par des pouvoirs publics, y compris pour respecter des exigences en matière de sécurité nationale ou d’application des lois, (2) d’effectuer une enquête, de présenter ou de contester des réclamations, et (3) d’exécuter des contrats, de gérer des relations ou de s’engager dans d’autres activités commerciales conformes aux principes de transparence et de limitation de la finalité, et dont le lancement est tributaire des données en question. En cas de refus d’une demande, conformément à la présente politique, nous nous réservons 15 jours ouvrés pour justifier et communiquer la décision au demandeur.
3. Nous répondrons et ferons remonter rapidement toutes les questions, plaintes et problèmes de confidentialité, ainsi que les incidents susceptibles de porter atteinte à la confidentialité ou à la sécurité des données.
   1. Tout individu dont nous traitons les Données personnelles dans le cadre de la présente politique peut à tout moment soulever une question, une plainte ou un problème à notre société, y compris une demande pour obtenir la liste de toutes les filiales de notre société régies par la présente politique. Nous attendons de nos collaborateurs et de tous ceux qui travaillent pour le compte de notre société qu’ils préviennent sans délai leur direction s’ils estiment qu’une Loi applicable peut les empêcher de se conformer à la présente politique. Toute question, plainte ou préoccupation soulevée par un individu, ou tout avis fourni par un collaborateur ou toute autre personne travaillant pour le compte de notre société, doit être adressé au Bureau de la confidentialité (Global Privacy Office) :
      1. Par courriel pour les personnes résidant dans l’Espace économique européen (EEA) : euprivacydpo@msd.com
      2. Ou par courriel :msd_privacy_office@msd.com
      3. Par courrier : Merck & Co., Inc., Privacy Office, UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, États-Unis 19454.
   2. Les collaborateurs et sous-traitants sont tenus d’informer sans délai le Bureau de la confidentialité (Global Privacy Office), ou le responsable de la confidentialité (Privacy Steward) désigné dans leur secteur d’activité, pour toute question, plainte ou préoccupation liée aux pratiques de notre société en matière de protection des données personnelles.
   3. Le Global Privacy Office examinera, ou collaborera avec le Bureau d’éthique, le Département juridique et/ou de conformité, en vue d’examiner les questions, plaintes ou problèmes liés aux pratiques de notre société en matière de protection des données personnelles que les collaborateurs et d’autres personnes lui soumettent directement ou par l’intermédiaire d’un tiers, y compris, mais sans s’y limiter, des organismes de réglementation, des agents et autres autorités gouvernementales tenus de le faire. Nous répondrons à la personne ou à l’entité à l’origine de la question ou de la préoccupation dans un délai de trente (30) jours civils, sauf si une Loi ou le demandeur tiers exige une réponse dans un délai plus court ou si les circonstances (enquête d’un gouvernement extérieur par exemple) nécessitent un délai plus long, auquel cas l’individu ou le demandeur tiers devra en être informé par écrit dès que possible, compte tenu de la nature générale des circonstances contribuant au retard.
   4. Le Global Privacy Office, en coordination avec le Département juridique et de conformité, s’engage à coopérer pour répondre à toute demande de renseignements, d’inspection ou d’enquête d’une autorité de réglementation de la protection des données personnelles.
   5. Pour toute plainte ne pouvant être résolue entre notre société et l’individu qui l’a soulevée, notre société s’engage à suivre la procédure de règlement des litiges ci-après dans le cadre de l’examen et la résolution des litiges régis par la présente politique. Cependant, les individus résidant dans l’EEE ou ceux dont les Données personnelles sont régies par la législation européenne relative à la protection des données et transférées en dehors de l’EEE, peuvent à tout moment s’appuyer sur la norme 3.f. norme ci-dessous :
      1. pour tout litige impliquant le transfert de Données personnelles relatives aux activités de ressources humaines dans le cadre d’un statut d’employé de l’EEE et du Royaume-Uni vers les États-Unis, notre société s’engage à collaborer avec les autorités européennes compétentes en matière de protection des données ;
      2. pour tout litige impliquant le transfert de Données personnelles relatives aux activités de ressources humaines dans le cadre d’un statut d’employé de la Suisse vers les États-Unis, notre société s’engage à collaborer avec le FDPIC suisse (préposé fédéral à la protection des données) ;
      3. pour tout litige impliquant le transfert de Données personnelles en respectant la conformité de notre société aux Règles de confidentialité transfrontalières (« CBPR ») de la Coopération économique pour l’Asie-Pacifique (« APEC »), au sein des pays de l’APEC, le transfert de Données personnelles relatives aux activités de ressources non-humaines sous l’égide du Privacy Shield établi entre l’Europe et les États-Unis et entre la Suisse et les États-Unis, régissant les transferts de données personnelles entre les États-Unis et respectivement l’Europe et la Suisse, notre société adhère au processus de résolution des litiges, mis en place par notre fournisseur de résolution de litiges basé aux États-Unis (sans frais) sur https://feedback-form.truste.com/watchdog/request.
      4. Pour tout litige relatif au Privacy Shield établi entre l’Europe et les États-Unis et entre la Suisse et les États-Unis, qui n’est pas résolu grâce aux étapes décrites dans cette section, les individus peuvent avoir recours à un arbitrage exécutoire conformément aux procédures établies par le Privacy Shield Panel dans le cadre du Privacy Shield établi entre les États-Unis et l’Union européenne et entre la Suisse et les États-Unis.
   6. Tout individu résidant dans l’EEE, ou individu dont les Données personnelles sont régies par la législation européenne relative à la protection des données et transférées en dehors de l’EEE, dont les Données personnelles sont traitées conformément à la présente politique, peut à tout moment, en vertu de la présente, contraindre les tiers bénéficiaires à respecter les exigences de cette politique (tel qu’établi dans la section 2 ci-dessus), et peut également intenter une action judiciaire pour obtenir réparation en cas de violation de ses droits et exiger des dommages résultant d’une telle violation. Tout individu résidant dans l’EEE ou individu dont les Données personnelles sont régies par la législation européenne sur la protection des données et sont transférées en dehors de l’EEE (y compris aux États-Unis), peut présenter une réclamation ou une plainte en vertu de la présente politique contre la filiale de la société responsable de l’exportation de Données personnelles en dehors de l’EEE devant :
      1. la juridiction où l’exportateur est situé dans l’EEE ou
      2. la juridiction du pays où notre délégué européen à la protection des données (DPO) est situé, ou
      3. les Autorités de protection des données personnelles compétentes (en particulier dans l’État membre de sa résidence habituelle, de son lieu de travail ou de l’endroit de la violation présumée), ou
      4. notre autorité de protection des données personnelles qui a prescrit nos Règles contraignantes d’entreprise (BCR) : la CNIL.
   7. Notre société répondra à l’individu ou à l’entité à l’origine de la question, de la réclamation ou de la préoccupation dans un délai de trente (30) jours civils, sauf si une Loi ou le demandeur tiers exige une réponse dans un délai plus court ou si les circonstances nécessitent un délai plus long, auquel cas l’individu ou le demandeur tiers devra en être informé par écrit.
4. Nous sommes tenus de faire respecter nos valeurs et normes en matière de confidentialité.
   1. Toute filiale de notre société responsable d’une violation de données assumera la responsabilité financière du montant des réclamations de dommages-intérêts, amendes ou pénalités découlant de cet incident.
      1. En coordination et sous la direction du Global Privacy Office, le délégué européen à la protection des données est chargé de veiller à ce que les mesures nécessaires soient prises pour traiter toute violation présumée de la présente politique par les filiales de notre société en dehors de l’EEE affectant des individus résidant au sein de l’EEE, ou des individus dont les Données personnelles sont régies par la législation européenne relative à la protection des données et transférées en dehors de l’EEE. Le cas échéant, il incombera à Merck, Sharp & Dohme (Europe) Inc. USA (filiale belge « MSD Europe ») de régler les amendes, pénalités ou dommages-intérêts accordés aux dits individus en cas de violation de la présente politique. Avec l’appui du Global Privacy Office et de la filiale étrangère de notre société responsable de la violation présumée, le Délégué européen à la protection des données (DPO) devra démontrer que notre société n’est pas responsable de ladite violation. Si une autre filiale de notre société est responsable de l’action entrainant l’amende, la pénalité ou les dommages-intérêts, elle pourra être tenue de rembourser promptement MSD Europe pour tout montant payé par MSD Europe. Si une filiale de notre société hors de l’EEE viole la présente Politique, les tribunaux ou autorités en charge de la protection des données dans l’EEE seront compétents et les personnes concernées auront les droits et recours contre la filiale de la société responsable de l’exportation des Données personnelles en dehors de l’EEE tel qu’établi dans la section 3.f. ci-dessus.
      2. En coordination et sous la direction du Global Privacy Office, Merck Sharp & Dohme LLC. est chargée de veiller à ce que les mesures nécessaires soient prises pour traiter toute violation présumée de la présente politique affectant des individus résidant en dehors de l’EEE, ou des individus dont les Données personnelles ne sont pas régies par la législation européenne relative à la protection des données et, le cas échéant, de régler les amendes ou dommages-intérêts accordés aux dits individus en cas de violation de la présente politique. Si une autre filiale de notre société est responsable de l’action entraînant l’amende, la pénalité ou les dommages-intérêts, elle pourra être tenue de rembourser promptement Merck Sharp & Dohme LLC. pour tout montant payé par Merck Sharp & Dohme LLC.

Contrôle et encadrement

Afin de garantir aux organismes de réglementation et aux autres parties prenantes que notre société assume la responsabilité de son engagement sur les pratiques en matière de confidentialité éthique et responsable, la société maintient un large groupe de gouvernance pour le contrôle et la surveillance, dirigé par un responsable en chef de la confidentialité(Chief Privacy Officer) disposant d’un Bureau de la confidentialité global (Global Privacy GPO), un Délégué à la protection des données désigné pour l’UE (DPO) ou pour le pays lorsque la loi ou les autorités locales l’exigent, et de landesspezifische Datenschutzbeauftragte (DPO’s) und spezielle Référents à la Protection des données locaux (Privacy Stewards)dédiés, qui sont nommés par les dirigeants et qui jouent un rôle de liaison entre le Global Privacy Office et les zones organisationnelles dans lesquelles ils opèrent.

Notre société comptera sur les Agents de responsabilité en termes de confidentialité auxquels elle doit rendre compte en vertu des Lois, pour périodiquement contrôler sa conformité aux exigences de la présente politique et desdites lois, y compris aux Règles de confidentialité transfrontalières de la Coopération économique pour l’Asie-Pacifique.

En complément des audits gérés par le Global Privacy Office, des équipes d’audit et d’assurance internes et externes mèneront des vérifications de la conformité pour vérifier que la société adhère à la présente Politique, y compris à toutes politiques, procédures, normes et directives assujetties à la présente Politique. Des plans d’actions correctives et préventives seront élaborés et mis en œuvre afin de traiter les écarts observés par les équipes d’audit et d’assurance. Les résultats du Programme d’audit sera communiqué au responsable en chef de la confidentialité, au DPO et au Bureau de confidentialité et de protection des données, qui sont chargés de les signaler, tel que décrit dans la présente Politique.

Les autorités de protection des données et de la confidentialité qui ont approuvé la présente Politique ou qui ont compétence sur les pratiques de la société en vertu de la présente Politique jouissent du droit de contrôler notre conformité à cette dernière. Nous respecterons les conseils desdites autorités compétentes concernant l’interprétation et l’application de la présente politique.

Les termes que vous devez connaître

• Anonymisé. Information personnelle ayant été altérée, tronquée, effacée ou modifiée de façon à ne plus pouvoir identifier, repérer ou contacter une personne de manière irréversible, que ce soit seule ou en la combinant à d’autres informations.
• Données personnelles. Toute donnée relative à un individu identifié ou identifiable, y compris les données qui identifient un individu ou qui peuvent être utilisées pour identifier, localiser, suivre ou contacter un individu. Les Données personnelles comprennent à la fois les informations directement identifiables telles que le nom, le numéro d’identification ou un intitulé de poste unique, et les informations indirectement identifiables telles que la date de naissance, un identifiant unique d’appareil mobile ou portable, un numéro de téléphone ou des données codées, des identifiants en ligne tels que les adresses IP ou les activités personnelles, comportements ou préférences qui auraient été recueillis pour fournir des services ou des produits.
• Incident de confidentialité. Infraction à la présente politique ou à une Loi sur la confidentialité ou sur la protection des données, et qui peut entraîner une Violation de données. Toute décision visant à établir si un Incident de confidentialité est survenu et s’il doit être élevé au statut de violation des données personnelles doit être prise par le Bureau de la confidentialité MSD Global, la Gestion et sécurité des risques sur la technologie des informations (Information Technology Risk Management and Security, ITRMS) et le Bureau du conseil général.
• Violation des données personnelles. Une violation de la sécurité menant à la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès à des Données personnelles (ou violation présumée par notre société). L’accès à des Données personnelles par notre société ou pour le compte de celle-ci, sans intention d’enfreindre la présente politique ne constitue pas une violation des données personnelles, à condition que les Données personnelles consultées soient ensuite utilisées et communiquées à des fins autorisées par la présente politique.
• Informations sensibles. Tout type d’information sur une personne qui présente un risque inhérent de préjudice potentiel aux individus, y compris les informations définies par la loi comme étant sensibles, y compris, mais sans s’y limiter, les informations concernant la santé, la génétique, la biométrique, l’origine, l’appartenance ethnique, la religion, les opinions ou croyances politiques ou philosophiques, les antécédents criminels, les informations de géolocalisation précises, les numéros de comptes bancaires ou autres comptes financiers, les numéros d’identification alloués par les autorités gouvernementales, les enfants mineurs, les pratiques sexuelles, l’orientation sexuelle, l’affiliation à des syndicats, l’assurance, les avantages de sécurité sociale ou autres avantages alloués par un employeur ou un gouvernement.
• Loi. Toutes les lois, règles, réglementations en vigueur ainsi que les directives ou opinions ayant force de loi dans tout pays où notre société opère ou dans lequel des informations personnelles sont traitées par notre société ou pour le compte de celle-ci. Ceci comprend tous les cadres en matière de confidentialité en vertu desquels notre société a été approuvée ou certifiée, y compris les Règles d’entreprise contraignantes de l’Union européenne (« BCR »), les Règles de confidentialité transfrontalières(« CBPR ») de la Coopération économique pour l’Asie-Pacifique (« APEC »), le Privacy Shield établi entre les États-Unis et l’Union européenne et entre la Suisse et les États-Unis sous l’égide de la Federal Trade Commission américaine
• Notre société. Merck & Co., Inc., Rahway, NJ, USA, connue sous le nom de MSD en dehors des Etats-Unis et du canada, ses successeurs, ses filiales et ses divisions à travers le monde, à l’exception des coentreprises auxquelles la société est liée en tant que partie.
• Tiers. Toute entité, association ou personne juridique qui n’est pas détenue par notre société, ou dans laquelle notre société n’a pas de participation majoritaire, ou qui n’est pas employée par notre société. Sauf disposition contraire de la présente politique, il ne peut être exigé à aucune filiale ou division de notre société de se soumettre aux exigences d’un tiers au titre de la présente politique, car toutes les filiales ou divisions sont tenues de traiter les informations sur les personnes dans le respect de la présente politique, y compris dans des circonstances où l’une de nos filiales assiste une ou plusieurs autres filiales de notre société dans le traitement des informations.
• Traitement. Toute opération ou tout ensemble d’opérations effectué sur les informations concernant une personne, par des moyens automatiques ou non, y compris, mais sans s’y limiter, la collecte, l’enregistrement, l’organisation, le stockage, l’accès, l’adaptation, la modification, la récupération, la consultation, l’utilisation, l’évaluation, l’analyse, la remontée, le partage, la divulgation, la diffusion, la transmission, la publication, l’harmonisation, l’association, le blocage, la suppression, l’effacement ou la destruction.

Modifications de la Politique

La présente politique peut être modifiée de temps à autre, dans le respect des exigences de la Loi en vigueur. Un avis sera publié sur la page Web de notre société concernant la confidentialité (https://www.msdprivacy.com) durant 60 jours lors de tout changement significatif de la Politique.