Définitions
Les définitions juridiques figurant dans le RGPD ne sont pas toujours faciles à comprendre, même pour les professionnels de la confidentialité. Cela apparaît clairement lorsque l'on constate à quel point l'interprétation peut varier dans la jurisprudence et les lignes directrices des autorités et des tribunaux de différents pays, ainsi que dans les arrêts de la Cour de justice de l'Union européenne.
Nous avons rassemblé ci-dessous les termes que nous utilisons le plus fréquemment dans ce centre de confidentialité afin de vous aider à en comprendre la signification. Nous avons inclus non seulement la définition juridique (qui n'est pas toujours très utile), mais également une explication en utilisant d'autres termes ainsi que des exemples.
Si vous souhaitez obtenir plus d'informations, nous vous invitons à consulter le site web d'une autorité de protection des données. Ce lien vous permettra de trouver l'adresse du site web des autorités de protection des données dans l'UE/EEE.
Définition juridique:
Le responsable du traitement des données désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement ou les critères spécifiques pour sa désignation peuvent être prévus par le droit de l'Union ou le droit d'un État membre.
En d'autres termes:
Le responsable du traitement des données est la société Getinge (ou toute autre société ou personne) qui décide pourquoi les données personnelles sont utilisées et de quelle manière. Par exemple, lorsque vous agissez en tant que client et conformément à notre Déclaration de confidentialité client, la société Getinge qui vous vend un produit sera le responsable du traitement de vos données à caractère personnel lorsque les employés de la société Getinge, auprès de laquelle vous avez effectué l'achat, communiqueront avec vous à ce sujet. De la même manière, le client sera le responsable de traitement pour toutes les données traitées par la suite, c'est à dire celle du clients, celles des patients et celles des employés de Getinge. Dans les exemples ci-dessus, le client et Getinge décident séparément de quelles données personnelles sont nécessaires pour communiquer efficacement, de quelle manière elles sont utilisées et pendant combien de temps ces données personnelles seront conservées.
Définition juridique :
Le terme « sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement.
En d'autres termes:
Un sous-traitant est une entreprise (externe ou appartenant au groupe) qui n'a pas le pouvoir décisionnel du responsable du traitement des données, mais qui agit au nom de cette entreprise, conformément aux instructions du responsable du traitement. Un exemple pourrait être un fournisseur de services cloud, fournissant tout type de système informatique utilisé dans un hôpital.
Définition juridique:
Une personne concernée désigne une personne physique identifiée ou identifiable à laquelle se réfèrent les données personnelles.
En d'autres termes:
Vous, ou toute autre personne, en tant qu'individu, dont nous utilisons les données personnelles de quelque manière que ce soit.
Le traitement des données personnelles n'est légal que si le responsable du traitement des données peut démontrer qu'il dispose d'une base légale valide. Cela signifie qu'avant de commencer le traitement des données personnelles, Getinge doit identifier la base légale applicable et s'assurer que les exigences de celle-ci sont remplies. Le RGPD prévoit six bases légales :
a) Consentement - La personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques;
b) Exécution d'un contrat - le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) Obligation légale - le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
d) Intérêts vitaux - le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
e) Intérêt public - le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
f) Intérêt légitime - le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données personnelles, notamment lorsque la personne concernée est un enfant.
Pour Getinge, ce sont principalement les bases légales mentionnées aux points (a) à (c) et (f) qui s'appliquent. Elles sont toutes mentionnées dans nos avis de confidentialité. Vous trouverez ci-dessous de plus amples informations à ce sujet.
Consentement
Le consentement est défini dans le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par un acte positif ou par un refus ou par une action signifiant sans ambiguïté, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
En d'autres termes, cela signifie que nous devons nous assurer que vous avez été correctement informé de ce que nous sommes censés faire avec vos données personnelles et que vous avez donné votre accord clair et volontaire.
Exécution d'un contrat
Cette base légale s'applique si nous devons traiter vos données personnelles afin de remplir nos obligations en vertu du contrat que nous avons conclu avec vous. Par exemple, nous pouvons avoir besoin de vos coordonnées bancaires pour effectuer un paiement suite à l'exécution d'une tâche, nous avons certainement besoin de votre nom et de votre identité pour pouvoir vous identifier en tant que partie au contrat, ainsi que de vos coordonnées afin de communiquer avec vous au sujet du contrat.
Obligation légale
Lorsque nous sommes tenus par la loi de remplir une obligation, cela signifie qu'il peut être nécessaire pour nous de traiter vos données personnelles. Par exemple, si votre nom et votre fonction figurent dans des documents dont nous avons besoin pour remplir nos obligations en vertu des lois et réglementations applicables en matière de dispositifs médicaux, nous conserverons les données personnelles contenues dans ces documents si cela est nécessaire pour nous permettre de remplir nos obligations légales.
Intérêt légitime
Cette base légale est un exercice d'équilibre entre les intérêts du responsable du traitement des données et ceux de la personne concernée. Si Getinge conclut que les intérêts légitimes poursuivis sont supérieurs aux intérêts, droits et libertés de la personne concernée, et si aucune mesure d'atténuation ne peut être prise, cette activité de traitement ne peut pas s'appuyer sur cette base légale.
L'intérêt légitime peut s'appliquer dans différentes situations, telles que l'établissement de relations avec les clients, le marketing direct, la prévention de la fraude, la sûreté et la sécurité.
Définition juridique:
désigne toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à une ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
En d'autres termes:
Les données personnelles peuvent être tout ce qui permet de vous définir en tant qu'individus, soit de manière directe (comme avec votre nom) soit en combinant plusieurs informations. Le fait que les informations soient considérées comme des données personnelles dépend donc du contexte. Un bon exemple est le nom d'une entreprise et son adresse. Ces informations ne sont pas des données personnelles par défaut. Cependant, combinées au nom complet d'un employé et à son titre, elles deviennent des données personnelles, car elles nous indiquent où cette personne travaille (emplacement) et quelle est l'entreprise qui l'emploie. Un autre exemple est un nom. Si le nom n'est pas unique et que vous ne disposez d'aucune information supplémentaire sur cette personne, ce nom ne peut pas être associé à un individu. Cependant, il existe bien sûr des identifiants directs qui suffisent à identifier quelqu'un, tels qu'un numéro d'identification personnel (car celui-ci est lié à un individu).
Autres exemples de données personnelles :
- Coordonnées telles que l'adresse e-mail (si elle comprend par exemple votre nom et celui de votre entreprise) et le numéro de téléphone,
- Âge, taille et poids.
- Les images et les enregistrements sonores de personnes traités par ordinateur peuvent constituer des données personnelles même si aucun nom n'est mentionné.
- Les données cryptées et divers types d'identités électroniques, par exemple les adresses IP et les cookies, sont considérées comme des données personnelles si elles peuvent être liées à des personnes physiques.
- Les informations qui ont été codées, cryptées ou pseudonymisées, mais qui peuvent être reliées à une personne physique au moyen de données complémentaires.
Le terme « déclaration de confidentialité » n'est pas défini dans le RGPD, mais il s'agit d'un nom commun utilisé dans les documents utilisés par les organisations pour informer les personnes concernées du traitement de leurs données personnelles. La communication d'informations, comme dans une déclaration de confidentialité, n'est pas seulement une obligation du RGPD, mais également essentielle pour maintenir la transparence entre les organisations et les personnes concernées. À travers nos avis de confidentialité, nous souhaitons vous informer sur les données personnelles qui sont collectées, les raisons pour lesquelles elles sont collectées, la manière dont elles seront utilisées et les personnes avec lesquelles elles seront partagées.
Définition juridique:
toute opération ou ensemble d'opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
En d'autres termes:
Le traitement désigne toute action effectuée sur des données personnelles. Il peut s'agir de la collecte et du stockage de données, de leur utilisation, de leur partage ou même de leur suppression. Si vous effectuez une action sur des données personnelles, vous les traitez. Le simple fait de donner accès à des données personnelles est également considéré comme un traitement de données personnelles. Voici quelques exemples.
Collecte :
La collecte de données personnelles peut se faire, par exemple, dans le cas de la collecte d'adresses électroniques afin de pouvoir communiquer avec vous et vous envoyer des documents marketing ou d'autres informations sur l'entreprise.
Utilisation :
Au cours du processus mensuel de paie, les données personnelles que vous avez fournies à votre employeur seront utilisées pour pouvoir vous envoyer le paiement de votre salaire sur votre compte bancaire et, éventuellement, la fiche de paie correspondante par e-mail ou par courrier postal directement à votre domicile.
Suppression :
La suppression des données personnelles intervient lorsque celles-ci ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées et stockées à l'origine, et lorsque la période de conservation est arrivée à expiration. Cela peut être le cas si vous devez conserver des documents financiers pendant 10 ans conformément à la législation financière et que cette période est arrivée à expiration.
Partage :
Cela peut se produire si nous devons partager vos données personnelles avec un prestataire de services qui agit en tant que sous-traitant pour Getinge afin de vous accorder l'accès nécessaire à un logiciel ou à des solutions fournis par un tiers.
Enregistrement :
Cela peut être le cas si une personne intervient en tant que conférencier lors d'un webinaire ou d'un autre événement et que l'enregistrement est utilisé pour être partagé avec les participants ou d'autres personnes par la suite.
Chaque État membre désigne une ou plusieurs autorités publiques indépendantes chargées de contrôler l'application du RGPD, afin de protéger vos libertés fondamentales et vos droits en matière de traitement des données à caractère personnel et de faciliter la libre circulation des données à caractère personnel au sein de l'Union européenne.
Comme indiqué sur notre page consacrée à vos droits, vous disposez de certains droits à l'égard d'une organisation, par exemple le droit d'obtenir des informations sur le traitement de vos données personnelles, le droit de faire supprimer vos données personnelles, etc. En outre, vous avez le droit de déposer une plainte directement auprès de l'autorité de contrôle compétente en matière de traitement de vos données personnelles. Vous trouverez sur ce lien les coordonnées des autorités de contrôle dans l'UE/EEE.