Règles d'entreprise contraignantes

Un niveau de protection des données adéquat et uniforme

Fresenius doit respecter de nombreuses lois relatives à la protection des données à travers le monde. Ces règles d’entreprise contraignantes (BCR) définissent un niveau de protection des données uniforme et adéquat. Cela a pour but de permettre un échange interne de données à caractère personnel entre les différentes entités composant Fresenius. 
 

Valables dans le monde entier

Les BCR valent pour les entités Fresenius suivantes :
-    Fresenius Kabi AG, toutes les filiales / succursales incluses 
-    Fresenius Digital Technology (FDT)
-    Fresenius SE & Co. KGaA

Valables pour certaines activités

Les BCR s’appliquent aux activités de traitement de données à caractère personnel suivantes : 
-    Toutes les activités exercées par des entités européennes
-    Les activités des entités non européennes :
•    lorsqu’elles collectent des données à caractère personnel au nom d’une entité Fresenius européenne ou 
•    lorsqu’elles collaborent avec une entité Fresenius européenne 
•    lorsqu’elles réceptionnent des données à caractère personnel transmises par des entités européennes
•    lorsqu’elles collectent des données à caractère personnel relatives à des personnes situées au sein de l’Union européenne afin de leur proposer des biens et des services.
Les BCR s’appliquent à la fois aux traitements sur papier et aux traitements informatisés. 
Les BCR valent pour tous les traitements permettant la recherche structurée de données à caractère personnel.

Les BCR définissent le standard minimum

Si une quelconque loi locale relative à la protection des données requiert l’application de règles plus strictes ou supplémentaires dans le cadre du traitement de données à caractère personnel, elle doit être respectée en sus des règles internes de Fresenius. 

Si une loi locale contredit les dispositions des BCR, Le délégué à la protection des données (Data Protection Officer - DPO) doit en être informé. Le DPO passera en revue l’impact de la loi concernée et solutionnera le conflit. 

Si une autorité demande à une entité de révéler des données à caractère personnel d'une manière allant à l’encontre des exigences établies par les BCR, Le DPO doit en être informé. Le DPO en informera alors l’autorité de contrôle allemande.

Les BCR sont contraignantes pour l’ensemble de notre organisation et de nos employés 

Les BCR doivent être observées et sont contraignantes pour :
-    Toutes les entités : elles ont signé un contrat 
-    Tous les employés : ils ont le devoir de suivre les procédures de l’entreprise comme cela est stipulé dans leur contrat de travail.
Les organisations et les personnes physiques peuvent disposer de droits liés à ces obligations. 
Les sanctions potentielles résultant de violations faites aux dispositions des BCR sont identiques à celles appliquées en cas de violations faites à n’importe quelle autre procédure.

Le groupe Fresenius a établi un service interne de protection des données et assigné les rôles et responsabilités qui suivent :

-    Le délégué à la protection des données (Data Protection Officer - DPO) suit, i.e. contrôle et supervise, l’application des BCR, des lois locales, des règles et des procédures. Le DPO est habilité à mener des audits, des passages en revue, et des enquêtes. Le DPO fait également office de point de contact entre l’entreprise et les autorités de protection des données en Europe. Ses coordonnées sont :

Data Protection Officer :
Else-Kröner-Str. 1
61352 Bad Homburg v.d.H.
Allemagne

Ou par e-mail :

Pour Fresenius SE et FDT :         
dataprotectionofficer@fresenius.com

Pour les entités Fresenius Kabi :
dataprotectionofficer@fresenius-kabi.com

-    Le conseiller local à la protection des données (Local Data Protection Advisor - LDPA) assiste et conseille les employés locaux et les responsables opérationnels de traitement s'ils ont des questions ou des préoccupations relatives à la protection des données. Si la situation l’exige, le LDPA apporte, sur demande, son aide au DPA et au DPO, par exemple dans leur tâche de monitoring (surveillance/contrôle) et leurs contacts avec les autorités de contrôle (en cas de soucis linguistiques etc.).

-    Le conseiller à la protection des données (Data Protection Advisor - DPA) assigne des tâches d’assistance et de conseil aux LDPA et est en charge du système de gestion de la protection des données. Si la situation l’exige, le DPA apporte, sur demande, son aide au DPO, par exemple dans sa tâche de monitoring (surveillance/contrôle) et ses contacts avec les autorités de contrôle (en cas de soucis linguistiques etc.).
 

Lorsque nous traitons des données à caractère personnel, nous sommes tenus de suivre plusieurs principes afin de protéger les droits et libertés fondamentales des individus selon les dispositions prévues par les BCR. Chaque entité doit observer les principes suivants dans le cadre du traitement de données à caractère personnel : 
 

Principe 1 : la licéité

Vous devez pouvoir présenter un motif légal documenté au moment de la collecte, de l’utilisation, et du traitement de données à caractère personnel. Il existe une liste limitative de ces motifs légaux. Quelques exemples sont : 
-    le traitement des données à caractère personnel est nécessaire à l’exécution d’un contrat passé avec l’individu (par exemple un contrat de travail ou de vente)
-    l’individu a donné son autorisation/consentement
-    les intérêts légitimes de Fresenius sont plus importants que les conséquences négatives possibles pour les individus concernés
-    le devoir de satisfaire à d’autres obligations légales, p. ex. dans le cadre de lois fiscales, d’exigences en matière de pharmacovigilance, ou d’exigences en matière de qualité.

Certaines catégories spéciales de données, telles que les données relatives à la santé, nécessitent des motifs légaux supplémentaires.

Si des lois locales requièrent des dispositions supplémentaires ou divergentes, ces dernières doivent également être observées (par exemple, dans certains cas, cela vaut pour les données des employés).
 

Principe 2 : la transparence et la loyauté
 

Traitez les données à caractère personnel de manière loyale et transparente. Informez les individus concernés avant et au moment de la collecte et de l’utilisation de leurs données à caractère personnel sur les points suivants : 
-    qui en est responsable et comment entrer en contact avec nous
-    quelles données sont collectées
-    comment les données sont collectées
-    pourquoi nous avons besoin de ces données (finalité)
-    avec quels organismes ces données seront partagées
-    si ces données seront partagées avec d’autres pays
-    pendant combien de temps les données seront conservées
-    motif légal de la collecte et de l’utilisation de ces données, en fournissant une explication à ce sujet (voir principe 1)
-    si les individus concernés sont profilés
-    si nous prenons une quelconque décision au moyen de méthodes automatisées
-    si les données doivent être fournies et de ce qui arrivera si elles ne le sont pas
-    coordonnées du DPO et de l’autorité de contrôle
-    droits dont jouissent les individus concernés.

Toutes ces informations doivent être fournies de manière claire, exhaustive, et dans un format facile d’accès, via un langage concis et clair. 

Principe 3 : la limitation de la finalité

N’utilisez les données à caractère personnel qu’aux fins spécifiées, explicites, et légitimes pour lesquelles elles ont été collectées. En faire une autre utilisation n’est pas autorisé, à moins que l’autre utilisation en question soit en accord avec la finalité initiale et/ou que des mesures supplémentaires soient prises.

Les finalités de traitement supplémentaire étant généralement considérées comme étant en accord avec la finalité initiale sont : 
-    l’archivage ;
-    des audits internes ; 
-    des enquêtes

Le (L)DPA sera en mesure de vous guider quant au caractère autorisé ou non autorisé du changement de finalité. Si le changement de finalité est permis, les individus concernés doivent être informés dudit changement.

Principe 4 : la minimisation des données

Ne collectez et n’utilisez des données à caractère personnel que dans la mesure nécessaire à la finalité définie telle qu’elle a été communiquée à l’individu concerné. Cela implique de s’assurer que les données à caractère personnel collectées sont cohérentes, pertinentes, et non excessives au vu de la finalité.

Principe 5 : l’exactitude

Assurez-vous que les données à caractère personnel collectées sont exactes et à jour. Des procédures doivent être mises en place pour assurer la suppression, la correction, ou la mise à jour de données inexactes ou incomplètes sans délai.

Principe 6 : la limitation des durées de conservation

Ne conservez pas les données à caractère personnel plus longtemps que cela n’est nécessaire pour leur finalité, à moins que cela ne soit requis par la loi. Dans un tel cas, l’accès aux données concernées doit être soumis à des restrictions. Supprimez ou anonymisez les données à caractère personnel s’il n’existe plus aucun motif légal ou aucune finalité.

Principe 7 : la sécurité, l’intégrité, et la confidentialité

Prenez les mesures techniques et organisationnelles nécessaires afin de protéger les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation, ou l’accès non-autorisé (par exemple via des rôles appropriés & un système de droits, des sauvegardes, des restaurations, ou encore le cryptage des données). 

Lorsque vous mettez en œuvre de telles mesures, il est nécessaire de prendre en compte les risques auxquels l’individu peut être exposé. La sécurité des systèmes informatiques doit être évaluée en prenant ces risques en compte lors de leur installation et leur maintenance. 

Documentez et signalez au service de protection des données toute faille dans la sécurité qui pourrait résulter en un risque pour les individus concernés. En fonction de la situation, de telles failles doivent également être portées à l’attention de l’autorité de contrôle, des individus concernés, et d’autres services.

Principe 8 : la responsabilisation

Soyez en mesure de prouver votre respect des BCR. Ceci est possible via la création et la mise à jour de la documentation appropriée, par exemple : 
-    des comptes rendus des activités de traitement 
-    des comptes rendus des mesures techniques et organisationnelles mises en œuvre pour satisfaire aux principes de protection de données et prévenir les risques ou y remédier
-    des comptes rendus d’évaluation et de contrôle des risques en matière de protection de données

Engagement de Sous-traitants

Ne commissionnez des sous-traitants pour le traitement des données que s’ils sont en mesure de fournir des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées de telle manière que leur méthode de traitement des données satisfera aux exigences de nos BCR et à celles de lois locales concernant la protection des données. Cela doit être garanti via un contrat de protection des données signé par l’entité concernée et le sous-traitant.

Transferts (ultérieurs) de données à caractère personnel 

Mettez en œuvre des mesures permettant la protection adéquate des processus de transfert des données à caractère personnel à d’autres organisations situées hors de l’EEE en accord avec ces BCR. Cela peut être fait via l’acceptation mutuelle, avec l’organisation concernée, de clauses contractuelles standard telles qu’elles sont adoptées par la Commission européenne.

Evaluation des risques en matière de protection des données

L’exécution d’une évaluation des risques liés à la protection des données est requise pour chaque activité de traitement des données. Cette évaluation est une procédure formelle visant à déterminer l’impact de l’activité sur les droits et les libertés des personnes respectivement concernées par les données.

Les impossibilités de contrôle, l’absence d’efficacité du contrôle, et tout risque potentiel doivent être signalés et documentés. Des mesures techniques et organisationnelles correctives permettant de réduire les risques doivent être mises en œuvre avant que l’activité de traitement de données ne puisse être commencée.

Evaluation de l'impact en matière de protection des données 

Si les résultats de l’évaluation des risques liés à la protection des données suggèrent un risque élevé, une analyse d'impact (Data Protection Impact Assessment - DPIA) doit être effectuée. L’avis du DPO sera sollicité.

Si la DPIA identifie un risque élevé lié à une activité de traitement de données spécifique, des mesures adéquates visant à l’atténuer devront être mises en œuvre avant que l’activité de traitement ne débute. Si la DPIA révèle toujours un risque élevé après la mise en œuvre de telles mesures, l’autorité de contrôle concernée devra être consultée avant que les données ne soient traitées.

Les individus doivent avoir la possibilité d’exercer leurs droits (droits des personnes concernées par les données) :

-    Le droit d’accès aux données à caractère personnel : L’individu concerné peut demander à avoir accès aux données à caractère personnel traitées par Fresenius le concernant ou/et à être informé à leur sujet (par exemple la finalité du traitement, les catégories de données à caractère personnel concernées, leurs destinataires, leurs durées de conservation, ou encore si un système de prise de décisions automatisé est utilisé).

-    Le droit de rectification des données à caractère personnel : L’individu peut demander la correction de données à caractère personnel inexactes ou incomplètes.

-    Le droit de suppression des données à caractère personnel : L’individu peut demander que ses données à caractère personnel soient effacées, hormis si celles-ci doivent être conservées pour un motif légitime, tel qu’une obligation légale de conservation. 

-    Le droit de limiter le traitement des données à caractère personnel : L’individu peut demander la limitation du traitement de ses données à caractère personnel si leur exactitude est contestée ou si le traitement n’est pas licite (par exemple si ces données ne sont plus nécessaires pour les finalités visées).

-    Le droit d’obtenir des données à caractère personnel sous un format transférable : L’individu peut demander à obtenir ses données à caractère personnel sous un format communément utilisé et lisible par machine dans le cas où les conditions suivantes sont remplies : 
•    Des données à caractère personnel ont été fournies par l’individu 
•    La licéité du traitement a pour base le consentement de l’individu ou l’existence d'une relation contractuelle avec ce dernier
•    Le traitement est effectué via des moyens automatisés.

-    Le droit de s’opposer au traitement des données à caractère personnel : L’individu peut, en raison de sa situation personnelle, s'opposer au traitement de ses données à caractère personnel sur la base d'un intérêt légitime ou public. Une telle requête devra être soumise à une évaluation. L’individu peut également s’opposer à être le sujet d’activités de marketing direct ou de profilage. Le traitement devra alors être stoppé. 

-    Le droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé des données : L’individu a le droit de ne pas être le sujet d’un système de prise de décisions automatisé (profilage inclus), ce qui pourrait avoir des effets légaux ou de nature similaire sur lui, à moins que :
•    Cela ne soit nécessaire pour entrer dans une relation contractuelle avec l’entité concernée ou pour que cette dernière ne satisfasse au contrat entre l’individu et elle
•    Ceci ne soit basé sur le consentement explicite de l’individu

Accès aux BCR

Les BCR doivent être mises à la disposition des individus d’une manière appropriée. Les BCR seront publiées sur Internet et sur l’intranet. 

Les individus peuvent également avoir accès aux BCR en prenant contact avec leur DPO ou avec tout membre du service de protection des données. 

Traitement des plaintes liées aux BCR

Chaque individu a le droit de :
-    Signaler une violation des BCR, des lois locales relatives à la protection des données, des ordres donnés par des autorités de contrôle, des politiques et directives internes, ou d’engagements individuels volontaires relatifs à la protection des données
-    De faire valoir ses droits individuels
-    De faire valoir tout autre droit prévu par les BCR.

Une plainte de cette nature peut être soumise via téléphone, e-mail, lettre, ou à l’oral auprès du DPO concerné, du (L)DPA concerné, ou de la hotline Compliance. 

Si la plainte est considérée comme étant justifiée, l’entité agira en conséquence et de manière appropriée afin de remédier au problème et en informera l’individu concerné dans un délai d'un mois. 

Responsabilités et application des dispositions

Les individus affectés ou ayant subi des dommages en conséquence du traitement de leur données à caractère personnel disposent du droit de faire valoir ces éléments des BCR et d’être, le cas échéant, indemnisés sur ordre d’une cour de justice compétente.

S’il est prouvé que des violations ont été commises par des parties établies en dehors de l’UE/EEE, Fresenius SE endossera les responsabilités relatives à tout dommage causé aux individus concernés. L’entité à l’origine du dommage devra fournir son assistance dans une mesure raisonnable à Fresenius SE pour répondre à de telles plaintes ou requêtes dans un délai convenable.

Coopération avec les autorités de contrôle

Il est attendu de chaque entité qu’elle coopère avec les autorités de contrôle, qu’elle se conforme à leurs recommandations en matière d'interprétation de ces BCR, et qu’elle accepte d’être assujettie à des audits menés par les autorités de contrôle concernées.

Formation

Chaque entité fera, de manière obligatoire, participer ses employés à des formations relatives aux BCR et à la protection des données, qui seront répétées de manière régulière. Une formation générale doit au minimum être fournie une fois tous les 2 ans à tous les employés pour lesquels elle est pertinente. De plus, une formation spécifique à certains rôles (p.ex. au sein des ressources humaines ou du service achats) est fournie en prenant en compte les besoins spécifiques de certains postes/certaines personnes.

Audits

Toutes les parties s’engageront à être régulièrement soumises à des audits (planifiés ou ad hoc) afin d’évaluer et de contrôler leur conformité aux BCR et de mettre en œuvre des mécanismes adéquats et suffisants dans le but de remédier aux situations de non-conformité aux BCR rencontrées par une entité. Le service de protection des données donnera suite à tout audit afin de déterminer si les actions correctives proposées ont été mises en œuvre de manière appropriée et de documenter tous les résultats, qui seront ajoutés au rapport d’audit. Chaque entité mettra ses rapports d’audit à la disposition des autorités de contrôle sur demande. 

Mise à jour des BCR

Toutes les parties passeront en revue les lois locales relatives à la protection des données et indiqueront si des changements doivent être effectués dans les BCR. Fresenius peut modifier les BCR si nécessaire. Toute modification significative des BCR devra être signalée sans délai à chaque entité et à l’autorité de contrôle. Toute autre modification moins importante des BCR sera également signalée aux parties dès que cela sera possible.

Dans le cas où une entité cesse d’adhérer aux BCR (c. à d. via la résiliation ou l’échéance d’un accord intra-groupe respectif), cette entité devra 

-    soit rendre toutes les données à caractère personnel à toute partie qui les aura transmises, soit, 
-    en accord avec les règles locales de conservation des données, détruire toutes les données à caractère personnel de cette nature, soit 
-    mettre en œuvre des mesures de protection suffisantes pour des données à caractère personnel de cette nature (p. ex. en signant des clauses contractuelles standards).