Le respect de la protection de vos données personnelles est un impératif majeur pour Venipharm.
Le laboratoire Venipharm (« Venipharm », « nous ») s’engage, conformément à la réglementation en vigueur, à protéger les informations relatives aux personnes physiques identifiées ou identifiables (« Données à caractère personnel ») que nous pouvons être conduits à traiter dans le cadre de nos activités et lors d’interactions avec vous.
La présente politique définit les conditions de collecte, d’utilisation, de divulgation et de conservation par Venipharm de Données à caractère personnel vous concernant et rappelle les droits dont vous disposez en application de la réglementation en vigueur que vous pouvez faire valoir auprès de Venipharm en lien avec l’utilisation de ces données.
1. Base légale
Tout traitement de Données à caractère personnel mis en oeuvre par Venipharm est réalisé conformément :
- Au Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD»);
- A la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « Loi Informatique et Libertés ») modifiée.
Chaque traitement repose sur une base légale :
- Le consentement de la personne concerné par un acte positif ;
- La préparation et, le cas échant, l’exécution des contrats avec les tiers ;
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
Aucune collecte des données personnelles n’est effectuée à votre insu et sans que vous en ayez été informé.
2. Les Données à caractère personnel que nous collectons
Nous collectons des Données à caractère personnel provenant notamment des différentes catégories de personnes suivantes :
- Les représentants et préposés de nos prestataires, fournisseurs, partenaires, clients, notamment des professionnels de santé, dans le cadre de la gestion des contrats
- Les patients et les professionnels de santé dans le cadre de nos obligations de pharmacovigilance
- Les candidats à un poste
3. Finalités des Traitements et données à caractère personnel recueillies
Les Données à caractère personnel sont collectées par Venipharm en tant que Responsable du Traitement pour les seules finalités déterminées, explicites et légitimes suivantes :
- Gestion des contrats
- Gestion des activités de vigilance sanitaire et d’information médicale (« Pharmacovigilance »)
- Gestion des recrutements
Ces données ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.
Pour chaque Traitement, Venipharm s’engage à ne traiter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (Minimisation des données).
Venipharm s’engage à ce que les données traitées soient exactes, et si nécessaire, tenues à jour, et à prendre toute mesure raisonnable pour les effacer ou les rectifier lorsqu’elles sont inexactes (Exactitude).
Venipharm en sa qualité de Responsable du Traitement est le destinataire des données. Seuls les employés habilités de Venipharm, et le cas échéant ses sous-traitants (prestataires ou fournisseurs) auront accès aux données collectées dans la limite de leurs attributions respectives.
a. Gestion des contrats
Dans le cadre de la gestion des contrats, les Données à caractère personnel traitées par Venipharm sont utilisées à des fins de conclusion et d’exécution des contrats, de gestion des activités commerciales (information et support, propositions commerciales, gestion des commandes, gestion des réclamations, facturation), de gestion des paiements, de gestion des comptes clients, et le cas échéant dans un but de publication dans le cadre de la transparence des liens d’intérêt afin de respecter les articles L.1453-1 et R.1453-2 et suivants et D.1453-1 du Code de la Santé Publique.
Dans ce cadre, les Données à caractère personnel traitées par Venipharm concernant ses prestataires, fournisseurs, partenaires et clients sont constituées essentiellement des données d’identification (nom, prénom, adresse email et numéro de téléphone) de leurs préposés avec lesquels Venipharm interagit, ainsi que les échanges et interactions (courriels et autres messages électroniques, rapports d’activités, comptes rendus, documentation commerciale et de paiement) entre Venipharm et ces préposés.
b. Gestion des cas de pharmacovigilance
Dans le cadre de nos activités de Pharmacovigilance, il nous revient conformément à la réglementation en vigueur lorsque vous nous notifiez un événement sanitaire survenu lors de l’utilisation d’un produit Venipharm (effet indésirable, réaction inattendue…) de collecter et de traiter certaines de vos Données à caractère personnel.
Cette collecte peut être réalisée :
- par téléphone au +33 1 47 11 04 47
- via l’adresse suivante : pharmacovigilance@venipharm.com
Les Données à caractère personnel collectées par Venipharm sont décrites dans le référentiel de la commission nationale informatique et liberté (« CNIL ») relatif aux traitements de données à caractère personnel mis en oeuvre à des fins de gestion des vigilances sanitaires. Cela inclut le nom, l’âge ou la date de naissance, l’adresse e-mail, le numéro de téléphone, l’adresse postale, la profession ainsi que les informations de santé.
Leur utilisation et leur partage sont réalisés uniquement à des fins de pharmacovigilance, c'est-à-dire pour la détection, l'évaluation, la compréhension et la prévention des effets indésirables ou de tout autre problème lié au médicament.
Venipharm en sa qualité de responsable de traitement est le destinataire de vos Données à caractère personnel. Seuls les employés habilités de Venipharm impliqués dans l’activité de Pharmacovigilance y auront accès dans la limite de leurs attributions respectives.
Venipharm pourra transmettre vos Données à caractère personnel aux prestataires à qui Venipharm a sous-traité les activités de Pharmacovigilance en Europe étant toutefois précisé que vos données feront l'objet d'une pseudonymisation avant leur transfert : seuls les initiales, les coordonnées, le sexe, l'âge et les données de santé sont transmis.
Venipharm et ses prestataires de Pharmacovigilance ont signé un contrat encadrant strictement la protection des données personnelles conformément à la Loi Applicable.
Conformément à la réglementation en vigueur, Venipharm et les prestataires de Pharmacovigilance ont l'obligation de déclarer les informations de pharmacovigilance pertinentes aux autorités de santé à l'échelle mondiale (incluant des pays pouvant avoir un niveau de protection des données différent de celui de l'Union Européenne). Les déclarations transmises incluent une description des évènements, et uniquement des données personnelles limitées sur les patients : âge, date de naissance, sexe, initiales et données de santé pertinentes.
c. Gestion des recrutements
Dans le cadre de ses activités de recrutement, Venipharm traite des données à caractère personnel concernant les candidats nécessaires au traitement de leur(s) candidature(s). Les données concernées sont les données d’identification et coordonnées du candidat, son Curriculum Vitae, les courriers, courriels et documents transmis par les candidats, les dates et résultats d'entretiens, le positionnement salarial, les suites données à la candidature, type et durée de contrat proposé.
4. Durée de conservation des données à caractère personnel
Dans le cadre de gestion des cas de pharmacovigilance, dans la mesure où les déclarations concernant les évènements indésirables sont primordiales en termes de santé publique, les données sont conservées en base active au minimum 10 ans après l'expiration de l'autorisation de mise sur le marché. Elles seront ensuite archivées en archivage intermédiaire pendant la durée légale ou réglementaire applicable à chaque vigilance sanitaire.
Pour toute autre situation, les données sont conservées au maximum 3 ans après la dernière interaction que Venipharm a eue avec vous.
5. Notification de violation des données à caractère personnel
Venipharm se charge de notifier à l’autorité de contrôle compétente (CNIL), les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Venipharm communique, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
6. Sécurisation des données
Venipharm s’engage à mettre en oeuvre les mesures de sécurité techniques et organisationnelles nécessaires garantissant un niveau de sécurité adapté au risque, incluant notamment :
a. Sécurisation du réseau
Un protocole de sécurisation des flux entre le réseau informatique de Venipharm et le réseau internet est en place. Le protocole WPA2 est utilisé pour les réseaux Wi-Fi. L’accès au réseau Venipharm à distance (VPN) est sécurisé avec un identifiant et un mot de passe.
b. Sécurisation des sites internet
Le protocole TLS est utilisé.
c. Sécurisation des serveurs
L’accès aux outils et aux interfaces d’administration est restreint aux personnes habilitées. Les profils d’habilitation sont définis par système informatisé pour chaque collaborateur. La gestion des habilitations du personnel aux différents serveurs est en place avec une revue annuelle des habilitations.
d. Sécurisation des postes informatiques
Une authentification des utilisateurs est réalisée avec un identifiant et un mot de passe comportant des chiffres, des lettres, majuscules et caractères spéciaux. Une réinitialisation du mot de passe est effectuée tous les 3 mois. Le nombre de tentatives d’accès est limité, et un blocage se déclenche automatiquement en cas d’échec. Un verrouillage automatique des cessions est en place après un temps d’inactivité. Les mises à jour régulières de l’antivirus, pare-feu sont installée. Un accord de l’utilisateur est validé avant toute intervention à distance sur son poste.
e. Sauvegarde des données et continuité d’activité
Une sauvegarde régulière des données est effectuée : sauvegarde journalière sur disque dur externe et sauvegarde hebdomadaire externe cryptée chez un prestataire spécialisé. Un test de restauration complète du serveur à partir des sauvegardes est réalisé tous les 3 mois.
f. Sécurisation des documents de travail
Un mot de passe est en place sur certains fichiers pour ouverture et modifications. Une pseudonymisation des documents est en place. L’accès aux outils et aux interfaces d’administration est restreint aux personnes habilitées. Cependant, bien que nous prenions des mesures pour protéger vos Données à caractère personnel, nous ne pouvons garantir que les Données à caractère personnel que nous traitons resteront sécurisées.
g. Sensibilisation et formation du personnel
Le personnel manipulant les données est sensibilisé aux exigences du RGPD, à la confidentialité et à la sécurisation des données, au travers de sensibilisation interne, de procédure interne, de note interne et de rappels par email.
7. Vos droits
Conformément à la réglementation en vigueur, vous disposez d’un droit d’accès, de rectification et de suppression de vos données ainsi que de directives post-mortem. Vous pouvez également demander la limitation du traitement.
Vous disposez d’un droit d’opposition au traitement de vos données lorsque celui-ci est fondé sur l’intérêt légitime. Enfin, vous disposez d’un droit à la portabilité de vos données (lorsque le traitement est fondé sur l’exécution d’un contrat ou le consentement) et pouvez demander le retrait de votre consentement.
Néanmoins, par exception à ce qui précède, dans la mesure où le traitement mis en oeuvre à des fins de gestion des vigilances sanitaires est fondé sur le respect d’une obligation légale, les personnes concernées par la collecte des données (personnes exposées à l’événement sanitaire indésirable, personne ayant notifié l’événement sanitaire indésirable et professionnel de santé ayant suivi la personne concernée par l’événement) ne disposent ni du droit d’opposition, ni du droit à l’effacement des données, ni du droit à la portabilité des données. Les personnes concernées en sont informées préalablement.
8. Contact/Réclamation
Pour exercer vos droits et nous interroger sur le traitement de vos données personnelles, vous pouvez déposer une réclamation par écrit auprès de notre délégué à la protection des données personnelles à l'adresse électronique suivante : dpo@venipharm.fr.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à l’Autorité de contrôle compétente.