Chez Organon, notre mission de fournir des solutions de santé ingénieuses qui permettent aux gens de vivre une meilleure vie s’étend au respect de la vie privée des personnes et à la protection des données personnelles.

Date de révision : 1er février 2021
Date d’entrée en vigueur : 1er juin 2021

Nous nous efforçons d’exercer nos activités dans le respect de nos principes de confidentialité, car nous pensons qu’elles témoignent de notre engagement inébranlable envers des pratiques de traitement des données éthiques et responsables. Nous reconnaissons que l’innovation et les nouvelles technologies entraînent une évolution continue et nous visons à adapter rapidement notre manière d’appliquer nos principes de confidentialité en réponse à cette évolution.

La présente politique définit nos normes mondiales de gestion et de protection des données personnelles lorsque nous transférons celles-ci par-delà les frontières par ou pour le compte de notre Société, indépendamment du pays d’où elles proviennent ou vers lequel les Données personnelles sont transférées. Elle décrit nos principaux engagements pour le respect de nos Règles de confidentialité transfrontalièresde l’APEC. Elle s’applique à nos opérations dans tous les pays, notamment aux transferts de données nécessaires à la réalisation de ces activités. Cette politique s’applique également à toutes les personnes concernées par les informations que nous traitons, notamment, mais sans s’y limiter, aux professionnels de la santé et autres clients ; aux anciens collaborateurs et aux collaborateurs potentiels et actuels, et aux personnes à leur charge, patients, soignants, chercheurs et participants aux études de recherche, membres du comité d’éthique et scientifique, partenaires commerciaux, investisseurs et actionnaires, représentants du gouvernement et autres parties prenantes.

Tous les collaborateurs et cadres dirigeants de la société doivent assumer des responsabilités fondamentales en matière de confidentialité.

Nous reconnaissons que les erreurs involontaires et mauvais jugements liés à la protection des informations à caractère personnel peuvent entraîner des risques potentiels pour les individus, et des risques de conformité, financiers, opérationnels et de réputation pour la société. Nous fournissons la formation appropriée sur la présente Politique aux employés ainsi qu’au personnel ayant un accès permanent ou régulier à des Données personnelles, étant impliqué dans la collecte de données ou facilitant le développement d’outils utilisés pour traiter des Données personnelles. Tous les collaborateurs de notre Société, et autres personnes traitant des informations à caractère personnel pour notre Société, doivent comprendre et remplir leurs obligations conformément à la présente politique et aux Lois en vigueur.

Nos valeurs et règles en matière de confidentialité

Nous défendons nos valeurs de confidentialité dans toutes nos actions. Nos quatre valeurs de confidentialité sont les suivantes :

Respect

Confiance

Prévention des préjudices

Conformité

Nous reconnaissons que les convictions relatives à la vie privée sont souvent liées à l’essence même de notre identité, notre manière de voir le monde et notre manière de nous définir, c’est pourquoi nous nous efforçons de respecter les points de vue et les intérêts des individus et des communautés et d’être justes et transparents dans notre manière d’utiliser et de partager les informations sur ces personnes.

Nous savons que la confiance est indispensable à notre réussite, c’est pourquoi nous nous efforçons d’établir et de garder celle de nos clients, collaborateurs, des patients de l’étude et autres partenaires dans notre manière de respecter la vie privée et de protéger les données à caractère personnel.

Nous comprenons qu’une utilisation abusive de données à caractère personnel peut causer un préjudice à la fois tangibles et intangibles aux individus, nous cherchons donc à éviter les risques de préjudices à la sécurité physique, financiers, de réputation et autres aux individus.

Nous comprenons que les lois et réglementations ne peuvent pas toujours suivre le rythme de l’évolution rapide des technologies, flux de données, et des changements associés aux attentes et aux risques pour la vie privée, c’est pourquoi nous nous efforçons de respecter l’esprit et la lettre des lois et réglementations de manière à assurer une cohérence et une efficacité opérationnelle dans toutes nos activités mondiales.

  1. Nous intégrons nos normes de confidentialité aux processus, activités, technologies et relations avec les tiers utilisant des données personnelles. Nous intégrons des contrôles dans nos processus et technologies en accord avec nos valeurs et normes de confidentialité et la Loi en vigueur. Nos huit (8) principes de confidentialité définis ci-dessous résument nos normes de confidentialité et exigences fondamentales pour les processus, activités et leurs technologies connexes au plus haut niveau.

    Principes de confidentialité

    Nos engagements fondamentaux

    1. Nécessité — Avant de recueillir, utiliser ou partager des données personnelles, nous définissons et documentons la finalité légitime spécifique à laquelle ces données sont nécessaires.

    • Nous déterminons quelles Données personnelles sont nécessaires et la durée de leur conservation aux finalités définies et aux exigences légales applicables. Nous documentons notre détermination. Nous ne recueillons, n’utilisons ou ne partageons pas plus de données personnelles que nécessaire et ne les conservons pas dans un format lisible plus longtemps que nécessaire aux finalités définies et aux exigences légales applicables.
    • Nous rendons les données anonymes ou nous les dépersonnalisons lorsque les besoins de l’entreprise nécessitent de conserver les données sur l’activité ou le processus impliquant des Données personnelles pendant une période plus longue. Nous garantissons que ces exigences liées au principe de nécessité sont intégrées aux technologies connexes et qu’elles sont communiquées aux tiers qui interviennent dans l’activité ou le processus.

    2. Loyauté – Nous traitons les données personnelles de manière loyale envers les personnes concernées.

    • Nous déterminons si la collecte, l’utilisation ou tout autre traitement proposé de données personnelles présente des risques raisonnablement probables ou élevés de préjudice tangible ou intangible pour les individus conformément à notre valeur de confidentialité Prévenir les préjudices.
    • Si la nature des données, le type de personne ou l’activité présente un risque raisonnablement probable et/ou élevé de préjudices tangibles ou intangibles pour les individus, nous nous assurons que le risque est compensé par un avantage pour ces personnes ou pour notre mission consistant à sauver et améliorer des vies, et minimisé par les mesures, garanties et mécanismes que nous avons mis en place.
    • Lorsque le risque semble l’emporter sur les avantages pour les individus, nous appliquons les mesures de sécurité et de protection les plus pertinentes, nous informons les personnes concernant ce fait, et nous sollicitons l’avis de l’autorité de régulation compétente comme il y a lieu.
    • Nous traitons uniquement les données sensibles avec le consentement explicite des individus, tel qu’expressément requis ou autorisé par la loi en vigueur.
    • Lorsque le risque semble l’emporter par rapport aux avantages pour les individus, nous documentons l’analyse des risques et nous mettons en œuvre des dispositifs de protection afin de minimiser les risques autant que possible.

    3. Transparence – Nous traitons les données personnelles d’une manière ou pour une finalité qui est résolument transparente aux personnes auxquelles se rapportent les données.

    • Tous les individus concernés dont les données personnelles sont traitées conformément à cette Politique ont droit à une copie de celle-ci. Nous ferons des copies de la présente politique disponible en ligne sur www.organon.com/privacy et nous fournirons des copies électroniques et/ou papier de la Politique sur demande à l’adresse listée ci-dessous.
    • Lorsque des données personnelles sont recueillies directement auprès des individus, nous les informons, avant de recueillir les données et via un notice d’information claire, précise et facilement accessible ou tout autre moyen similaire ; (1) de l’entité ou des entités chargées du traitement ; (2) des informations de contact de notre responsable en chef de la confidentialité et/ou du responsable régional/local de la confidentialité des données ; (3) des informations qui seront recueillies ; (4) des finalités pour lesquelles elles seront utilisées ; (5) de la base juridique de notre traitement des données ; (6) des personnes avec qui elles seront partagées, notamment toute demande de divulgation des Données personnelles émise par les autorités gouvernementales dans un cadre légal ; (7) si nous allons ou non transférer les Données personnelles à d’autres pays, incluant l’identité des pays concernés si possible, et la manière de le faire ; (8) de la durée pendant laquelle les données seront conservées ou les critères selon lesquels nous définirons cette durée ; (9) de la manière dont chacun peut poser une question, soulever un problème ou exercer ses droits liés à ses Données personnelles ; (10) de la manière dont il est possible de retirer un consentement qu’ils avaient auparavant donné ; (11) de leur droit à déposer une plainte auprès d’une autorité de contrôle ; (12) de toute obligation de fournir les Données personnelles et les conséquences si cette obligation n’est pas respectée ; (13) de toute décision automatisée, y compris du profilage, qui serait prise ; et (14) d’un lien vers la présente politique, si possible et si nécessaire. Nos notices d’information complètes pour un grand nombre de nos partenaires sont disponibles en ligne sur https://www.organon.com/privacy/contact/.
    • Lorsque des données personnelles sont obtenues par le biais de l’observation, de capteurs ou de moyens indirects, il n’est pas toujours possible de fournir une notice d’information à l’individu au moment où les informations sont recueillies. Dans ce cas, nous garantissons la transparence à l’individu par d’autres moyens tels qu’une annonce ou une notice sur le dispositif ou le matériel associé au dispositif qui obtiendra les informations.
    • Lorsque des données personnelles sont recueillies via un site Web, une application mobile ou une autre application ou ressource en ligne, nous appliquons les normes spécifiques à la technologie définies dans notre Politique globale de protection des données personnelles sur Internet et notre Politique mondiale de suivi en ligne afin de garantir le respect des exigences de transparence conformément à la présente politique.
    • Lorsque des données personnelles sont recueillies auprès d’autres sources et pas nécessairement à la demande de notre Société, avant d’obtenir les informations, nous vérifions par écrit que le fournisseur de données a informé les individus des manières et finalités selon lesquelles notre Société a l’intention d’utiliser les données. Si une vérification écrite ne peut être obtenue de la part du fournisseur de données, nous utilisons uniquement celles-ci de manière anonyme ou dépersonnalisées, ou avant d’utiliser les données personnelles, nous informons les individus concernés via une notice d’information ou tout autre moyen similaire (1) de l’entité ou des entités de notre Société chargées du traitement des informations, (2) des informations de contact de notre responsable en chef de la confidentialité (Chief Data Officer) et/ou du responsable régional/local de la confidentialité des données (Data Protection Officer), (3) des données que notre société compte utiliser, (4) des finalités pour lesquelles notre Société compte les utiliser, (5) de la base juridique de notre traitement, (6) des personnes avec qui notre Société les partagera, (7) si nous allons ou non transférer les Données personnelles à d’autres pays, incluant l’identité des pays concernés si possible, et la manière de le faire, (8) de la durée pendant laquelle notre Société compte les conserver ou les critères selon lesquels nous définirons cette durée, (9) de la manière dont il est possible de poser une question, de soulever un problème ou d’exercer ses droits liés à ses Données personnelles, (10) de la manière dont il est possible de retirer un consentement qu’ils avaient auparavant donné, (11) de leur droit à déposer une plainte auprès d’une autorité de contrôle, (12) de toute obligation de fournir les Données personnelles et les conséquences si cette obligation n’est pas respectée, (13) de toute décision automatisée, y compris du profilage, qui serait prise, et (14) d’un lien vers la présente politique, si possible et si nécessaire.
    • Nous garantissons que les mécanismes de transparence nécessaires, notamment, si possible, les mécanismes soutenant les demandes de droits individuels, sont intégrés aux technologies connexes, et que les tiers intervenant dans l’activité ou le processus ne traitent pas les informations sur les personnes de manière contradictoire avec la notice d’information ou autres moyens vérifiables informant les individus de l’utilisation que nous, et les autres personnes travaillant pour nous, en ferons.
    • Lorsque nous sollicitons le consentement, nous obtenons et documentons la preuve du consentement dans nos technologies connexes.

    4. Limitation de la finalité – Nous utilisons les données personnelles uniquement en conformité avec les principes de nécessité et de transparence.

    • Si de nouvelles finalités légitimes sont identifiées pour des données personnelles précédemment recueillies, soit nous obtenons le consentement de l’individu pour la nouvelle utilisation des Données personnelles, soit nous nous assurons que les nouvelles finalités soient compatibles notamment avec une finalité matériellement similaire à des finalités décrites dans une notice d’information ou autre mécanisme de transparence précédemment transmis à l’individu. Nous déterminerons la comptabilité en fonction de (1) tout lien entre les fins originales et la nouvelle finalité proposée, (2) les attentes raisonnables de l’individu, (3) la nature des Données personnelles, (4) les conséquences du traitement ultérieur pour l’individu, et (5) les garanties que nous avons mises en place.
    • Nous n’appliquons pas ce principe aux informations dépersonnalisées ou rendues anonymes ou lorsque nous utilisons des Données personnelles uniquement à des fins de recherche scientifique et (1) qu’un Comité d’examen déontologique, ou un autre examinateur compétent, a déterminé que le risque d’une telle utilisation est acceptable au regard de la protection des données personnelles et des droits des individus, (2) que nous avons mis en place les garanties appropriées pour assurer la minimisation des données et (3) que les Données personnelles sont rendues anonymes et (4) que toutes les autres Lois en vigueur sont respectées. Nous garantissons que les restrictions de la limitation de la finalité sont intégrées à toute technologie connexe, notamment aux capacités de rapport et au partage de données en aval.

    5. Qualité des données – Nous nous efforçons de maintenir le caractère exact, complet et actuel des Données personnelles en cohérence avec leur utilisation prévue.

    • Nous nous assurons que les mécanismes de révision périodique des données sont intégrés aux technologies connexes afin de valider l’exactitude des données par rapport aux systèmes sources et en aval.
    • Nous nous assurons que les données sensibles sont validées comme étant exactes et à jour avant leur utilisation, évaluation, analyse, rapport ou autre traitement présentant un risque de préjudice pour les personnes si des données inexactes ou n’étant plus à jour étaient utilisées.
    • Lorsque notre Société ou des tiers travaillant pour notre Société apportent des modifications aux Données personnelles, nous nous assurons que ces modifications sont communiquées aux personnes concernées en temps utile, dans la mesure du possible.

    6. Sécurité – Nous mettons en œuvre des dispositifs de protection des Données personnelles et des données sensibles contre la perte, l’utilisation abusive et l’accès non autorisé, la divulgation, la modification ou la destruction.

    • Nous avons mis en œuvre un programme complet de sécurité des informations et nous mettons en œuvre des dispositifs de sécurité basés sur la nature et la sensibilité des informations et sur le niveau de risque de l’activité, en tenant compte des meilleures pratiques technologiques actuelles et du coût de la mise en œuvre. Nos politiques de sécurité fonctionnelle incluent, mais sans s’y limiter, des règles sur la continuité opérationnelle et la reprise des activités, le chiffrage des données, la gestion de l’identification et de l’accès, la classification des informations, la gestion des violations de données, le contrôle de l’accès au réseau, la sécurité physique et la gestion des risques.

    7. Transfert de données – Nous sommes responsables, de la préservation des méthodes de protection de la confidentialité pour les Données personnelles lorsqu’elles sont transférées vers ou à partir d’autres organisations ou au-delà des frontières.

    (1) Nous transférons des Données personnelles au sein de notre Société si les exigences suivantes sont respectées :

    (a) le partage est nécessaire au respect de la finalité pour laquelle les Données personnelles sont recueillies à l’origine ou de tout autre intérêt légitime de la Société, et (b) la finalité pour laquelle elles seront partagées, et le fait qu’elles seront partagées, sont conformes à l’information donnée ou à tout autre mécanisme de transparence auparavant fourni à la personne au moment où les Données personnelles ont été recueillies à l’origine et lorsque celle-ci a donné son consentement lorsque nécessaire, (c) lorsque l’une des filiales de notre Société agit exclusivement pour le compte d’une autre de nos filiales dans le traitement des Données personnelles, (d) lorsque la Loi l’exige, ces filiales de notre Société signeront un accord interne relatif au traitement des données conformément au Principe 8 de la présente Politique ou ;(e) lorsque l’infrastructure informatique requiert un tel transfert, à condition que toutes les mesures de sécurité appropriées de l’organisation soient en place pour rendre ce transfert conforme.

    (2) Nous transférons des Données personnelles ou permettons à des tiers de les traiter uniquement si les exigences suivantes sont respectées et nous confirmons que les tiers respectent ces exigences :

    • Si le rôle du tiers est de traiter des Données personnelles pour ou au nom de notre Société, avant de lui fournir les Données personnelles ou de l’engager, nous : (1) réalisons une vérification préalable de la protection des données personnelles afin d’évaluer les pratiques en matière de confidentialité et les risques liés aux dits tiers, (2) établissons un contrat avec les tiers stipulant qu’ils (i) traiteront les Données personnelles uniquement conformément aux instructions de notre Société, et à la présente politique, y compris, mais sans s’y limiter, aux huit (8) Principes de confidentialité et autres règles définies dans la présente politique, et aux Lois en vigueur ; (ii) qu’ils informeront rapidement notre Société de tout Incident de confidentialité, tel que toute incapacité à respecter cette Politique ou les Lois en vigueur, ou violation de données, et travailleront à la prompte résolution de tout Incident avéré de même qu’à faire respecter les droits individuels énoncés dans la Section 2 ci-dessous ; (iii) qu’ils n’engageront aucune autre Société pour traiter les Données personnelles sans notre autorisation écrite et sans mettre en place un contrat imposant des obligations équivalentes en matière de protection des données ; (iv) qu’ils supprimeront ou nous renverront de manière sécurisée toutes les Données personnelles après avoir fini de nous fournir les services ou à notre demande ou selon nos instructions ; et (v) qu’ils autoriseront notre Société à auditer et à surveiller leurs pratiques afin de respecter ces exigences pendant la durée du traitement. De plus, si le tiers traite des Données personnelles provenant d’un pays ou territoire dont la Loi limite le transfert de Données personnelles, nous nous assurerons que le transfert au tiers est conforme aux exigences de transfert transfrontalier de données décrites dans la section (3) ci-dessous.
    • Si le rôle du tiers est de fournir des Données personnelles à notre Société, nous nous assurons, avant de récupérer ces dernières, que les exigences de Transparence en matière de collecte de Données personnelles provenant d’autres sources (et pas uniquement à la demande de notre Société) sont respectées, et nous exigeons un engagement contractuel du tiers attestant qu’il ne viole aucune Loi ni aucun droit des tiers en fournissant ces Données personnelles à notre Société.
    • Si le rôle du tiers est de récupérer des informations de notre société à des fins de traitement ne relevant pas d’une demande spécifique de notre Société, nous nous assurons, avant de fournir ces informations au tiers, qu’elles sont anonymes ou dépersonnalisées, et nous exigeons l’assurance du tiers qu’elles seront utilisées uniquement aux fins spécifiques définies dans le contrat, conformément aux Lois en vigueur, et qu’elles ne feront l’objet d’aucune tentative de ré-identification.
    • Si le transfert à un tiers est requis pour protéger les intérêts légitimes de la personne ou de la Société, nous sommes susceptibles de transférer les données : (1) aux fins de prévenir la fraude ou de faire appliquer ou de protéger les droits et biens de la Société, (2) pour la protection de la sécurité personnelle de nos employés ou de tiers dans nos établissements, et (3) pour protéger nos biens en prenant les mesures correctives de sécurité si nous suspectons raisonnablement qu’une activité illégale ou qu’une faute grave a eu lieu.
    • Si le tiers est la cible d’une tentative d’acquisition ou fait l’objet d’une participation majoritaire de notre Société , (1) avant de conclure tout accord visant à l’acquisition de ce dernier ou à une participation majoritaire de notre Société, nous effectuons un contrôle préalable de leur protection des données personnelles, afin d’évaluer les pratiques en la matière ainsi que les risques liés à l’acquisition de ce tiers ou participation majoritaire dans ce dernier, et (2), nous établissons un accord sur le transfert des données précisant les conditions générales selon lesquelles les Données personnelles peuvent être divulguées, ainsi que les obligations respectives de notre société et du tiers.
    • Si le rôle du tiers est l’acquisition de tout ou partie de l’activité de notre Société, avant de partager quelconque donnée personnelle en lien avec la cession d’une partie de l’activité de notre société, (1) nous établissons un accord sur le transfert de données précisant les conditions générales selon lesquelles des Données personnelles peuvent être communiquées à l’acheteur, telles que les limitations de l’usage des Données personnelles et la conformité aux règles établies par cette Politique et les Lois en vigueur, (2) nous examinons tous les éléments concernant les personnes avant tout partage afin d’évaluer les exigences en la matière, (3) nous exigeons un consentement à partager des Données personnelles ou des Informations sensibles conformément aux principes de la présente politique en termes de transparence et de limitation de la finalité, et (4) nous exigeons que les tiers informent rapidement notre société de tout Incident de confidentialité, tel que toute incapacité à respecter cette Politique ou les Lois en vigueur, et travaillent à la prompte résolution de tout Incident avéré ou arrêtent le traitement des Données personnelles.

    (3) Nous transférons des Données personnelles dans des pays étrangers, y compris aux États-Unis d’Amérique (USA) où notre Société a son siège social, via ou au nom de notre Société conformément à la présente Politique. Nous appliquerons cette Politique aux transferts de Données personnelles émanant de tout autre pays ou territoire dont la législation restreint leur transfert, en plus de respecter toutes les exigences imposées par ces Lois (y compris l’utilisation de tout mécanisme requis pour les transferts transfrontaliers vers des pays n’ayant pas les mêmes normes de protection des données que le pays d’origine).

    8. Si la loi l’autorise – Nous ne traitons les Données personnelles que si les exigences des Lois en vigueur sont respectées.

    • Bien que les sept (7) autres principes de confidentialité, ainsi que les exigences relatives aux droits individuels décrits ci-dessous, visent à garantir le respect des lois applicables à notre activité en termes de confidentialité et de protection des données, certains pays peuvent avoir des exigences supplémentaires que nous devons également respecter, y compris, mais sans s’y limiter, à ce qui suit :

      1) si nécessaire, nous exigeons des formes de consentement spécifiques pour certains traitements de Données personnelles, notamment, mais sans s’y limiter, l’approbation du traitement par des comités d’entreprise et autres syndicats ;

      2) si nécessaire, nous enregistrons le traitement des Données personnelles auprès de l’autorité de réglementation compétente chargée de la protection de la vie privée, ou nous chercherons à obtenir l’approbation de celle-ci ;

      3) si nécessaire, nous accordons des droits (par exemple, d’accès et de rectification) plus larges que ceux définis dans la présente politique ;

      4) si nécessaire, nous limitons davantage les périodes de conservation des Données personnelles ; et

      5) si nécessaire, nous établissons des accords contenant des clauses contractuelles spécifiques, y compris des accords sur le transfert de données transfrontalières à des tiers.

      6) si nécessaire, nous divulguerons des informations personnelles afin de satisfaire à des demandes légales émises par des pouvoirs publics, y compris pour respecter des exigences en matière de sécurité nationale ou d’application des lois.

      En cas de conflit entre la présente politique et une loi applicable, la norme garantissant la plus grande protection des individus prévaut.

  2. Nous répondrons promptement aux demandes individuelles visant à accéder, modifier, corriger ou supprimer des Données personnelles ou à s’’opposer au traitement de ces dernières ou d’exercice de droits relatifs à celles-ci.
    1. Accès, modification, suppression et autres droits – En vertu des Lois en vigueur dans la plupart des pays où nous opérons, tout individu peut accéder aux Données personnelles le concernant, et modifier, corriger ou demander la suppression de celles-ci si elles sont inexactes, incomplètes ou obsolètes. Nous honorons toutes les demandes d’accès, de rectification et de suppression des Données personnelles des individus conformément à la section 3a ci-dessous et dans les limites autorisées par la loi. Si une demande d’accès, de rectification ou de suppression est régie par une Loi en vigueur offrant une plus grande protection des individus, nous veillerons à ce que les exigences supplémentaires de cette loi soient respectées. Dans certains pays, les personnes peuvent avoir d’autres droits s’agissant des Données personnelles les concernant, tels que le droit de limiter le traitement, de s’opposer au traitement (voir également section 2 b ci-dessous) et de faire transférer leurs données à un autre prestataire de service. Nous honorerons l’exercice de ces droits relatifs aux données conformément aux Lois en vigueur. Certains droits tels que la suppression peuvent être soumis à certaines restrictions conformément à d’autres exigences réglementaires ou légales ou à la nécessité de se conformer avec les rapports de conformité à l’échelon local ; auquel cas nous vous informerons de ces restrictions le cas échéant.
    2. Choix – Conformément à nos valeurs de « respect » et de « confiance », nous honorons les demandes individuelles d’opposition au traitement des Données personnelles, y compris, mais sans s’y limiter, le désengagement d’une activité ou d’un programme auquel l’individu avait accepté de participer, le traitement des Données personnelles le concernant à des fins de marketing direct, de communications ciblées, et toute évaluation ou décision le concernant susceptible de lui porter atteinte de manière significative, et dépendante de l’automatisation ou d’algorithmes.
      1. Sauf là où la Loi l’interdit, nous pouvons refuser le choix de l’individu si la demande particulière empêche notre Société : (1) de se conformer à une Loi ou à une obligation éthique, notamment lorsque nous sommes tenus de divulguer des informations personnelles afin de satisfaire à des demandes légales émises par des pouvoirs publics, y compris pour respecter des exigences en matière de sécurité nationale ou d’application des lois, (2) d’effectuer une enquête, de présenter ou de contester des réclamations, et (3) d’exécuter des contrats, de gérer des relations ou de s’engager dans d’autres activités commerciales conformes aux principes de transparence et de limitation de la finalité, et dont le lancement est tributaire des données en question. En cas de refus d’une demande, conformément à la présente politique, nous nous réservons quinze (15) jours ouvrés pour justifier et communiquer la décision au demandeur sauf indication contraire de la législation locale.
  3. Nous répondrons et ferons remonter rapidement toutes les questions, plaintes et problèmes de confidentialité, ainsi que les incidents susceptibles de porter atteinte à la confidentialité ou à la sécurité des données.
    1. Tout individu dont nous traitons les Données personnelles dans le cadre de la présente politique peut à tout moment soulever une question, une plainte ou un problème à notre société, y compris une demande pour obtenir la liste de toutes les filiales de notre Société régies par la présente politique. Nous attendons de nos collaborateurs et de tous ceux qui travaillent pour le compte de notre Société qu’ils préviendront sans délai leur direction s’ils estiment qu’une Loi applicable peut les empêcher de se conformer à la présente politique. Toute question, plainte ou préoccupation soulevée par un individu, ou tout avis fourni par un collaborateur ou toute autre personne travaillant pour le compte de notre Société, doit être adressé au Bureau de la confidentialité (Global Privacy Office) :
      1. Par courriel  pour les personnes résidant dans l’Espace économique européen (EEA) euprivacydpo@organon.com
      2. Ou par courriel : privacyoffice@organon.com
      3. Par courrier : Chief Privacy Officer, Organon & Co. 30 Hudson Street, Jersey City, NJ 07302, États-Unis Les collaborateurs et sous-traitants sont tenus d’informer sans délai le Bureau de la confidentialité (Global Privacy Office), ou le responsable des pratiques professionnelles (Business Practice Manager) désigné dans leur secteur d’activité, pour toute question, plainte ou préoccupation liée aux pratiques de notre Société en matière de protection des données personnelles.
    2. Le Global Privacy Office examinera, ou collaborera avec leurs homologues du Bureau d’éthique, du Département juridique et/ou de la conformité, en vue d’examiner les questions, plaintes ou problèmes liés aux pratiques de notre Société en matière de protection des données personnelles que les collaborateurs et d’autres personnes lui soumettent directement ou par l’intermédiaire d’un tiers, y compris, mais sans s’y limiter, des organismes de réglementation, des agents et autres autorités gouvernementales tenus de le faire. Nous répondrons à la personne ou à l’entité à l’origine de la question ou de la préoccupation dans un délai de trente (30) jours civils, sauf si une Loi ou le demandeur tiers exige une réponse dans un délai plus court ou si les circonstances (enquête d’un gouvernement extérieur par exemple) nécessitent un délai plus long, auquel cas l’individu ou le demandeur tiers devra en être informé par écrit dès que possible, compte tenu de la nature générale des circonstances contribuant au retard.
    3. Le Global Privacy Office l, en coordination avec leurs homologues du Département juridique et de la conformité, s’engage à coopérer pour répondre à toute demande de renseignements, d’inspection ou d’enquête d’une autorité de réglementation de la protection des données personnelles.
    4. Tout individu résidant dans l’EEE, ou individu dont les Données personnelles sont régies par la législation européenne relative à la protection des données et transférées en dehors de l’EEE, dont les Données personnelles sont traitées conformément à la présente politique, peut lorsque les Clauses contractuelles standards de l’UE sont utilisées pour transférer leurs Données personnelles à tout moment contraindre les tiers bénéficiaires à respecter les Clauses contractuelles standards et peut également intenter une action judiciaire pour obtenir réparation en cas de violation de ses droits et exiger des dommages résultant d’une telle violation. Tout individu résidant dans l’EEE ou individu dont les Données personnelles sont régies par la législation européenne sur la protection des données et sont transférées en dehors de l’EEE (y compris aux États-Unis), peut présenter une réclamation ou une plainte en vertu des Clauses contractuelles standards contre la Société auprès des autorités de protection des données personnelles compétentes (en particulier dans l’État membre de sa résidence habituelle, de son lieu de travail ou de l’endroit de la violation présumée). Les coordonnées des autorités de protection des données personnelles sont disponibles ici : Comité Européen de la Protection des Données (europa.eu)
    5. Notre Société répondra à l’individu ou à l’entité à l’origine de la question, de la réclamation ou de la préoccupation dans les délais impartis par la Législation en vigueur, sauf si le demandeur tiers exige une réponse dans un délai plus court ou si les circonstances nécessitent un délai plus long, auquel cas l’individu ou le demandeur tiers devra en être informé par écrit.
  4. Nous sommes tenus de faire respecter nos valeurs et normes en matière de confidentialité.
    1. Toute filiale de notre société responsable d’une violation de données assumera la responsabilité financière du montant des réclamations de dommages-intérêts, amendes ou pénalités découlant de cet incident.
      1. En coordination et sous la direction du Global Privacy Office, le délégué européen à la protection des données est chargé de veiller à ce que les mesures nécessaires soient prises pour traiter toute violation présumée de la présente politique par les filiales de notre Société en dehors de l’EEE affectant des individus résidant au sein de l’EEE, ou des individus dont les Données personnelles sont régies par la législation européenne relative à la protection des données et transférées en dehors de l’EEE.

Contrôle et encadrement

Afin de garantir aux organismes de réglementation et aux autres parties prenantes que notre Société assume la responsabilité de son engagement sur les pratiques en matière de confidentialité éthique et responsable, la Société maintient un large groupe de gouvernance pour le contrôle et la surveillance, dirigé par un responsable en chef de la confidentialité (Chief Privacy Officer) disposant d’un Bureau de la confidentialité global (Global Privacy GPO), sous la supervision d’un Conseil de Protection de la vie privée et des données personnelles, un Délégué à la protection des données (DPO) désigné pour l’UE, le DPO pour le pays lorsque la loi ou les autorités locales l’exigent, et de Responsables des pratiques professionnelles (Business Practice Managers) dédiés, qui sont nommés par les dirigeants et qui jouent un rôle de liaison entre le Global Privacy Office et les zones organisationnelles dans lesquelles ils opèrent.

Les termes que vous devez connaître

  • Anonymisé. Information personnelle ayant été altérée, tronquée, effacée ou modifiée de façon à ne plus pouvoir identifier, repérer ou contacter une personne de manière irréversible, que ce soit seule ou en la combinant à d’autres informations.
  • Société. Organon & Co., ses successeurs, ses filiales et ses divisions à travers le monde, à l’exception des coentreprises auxquelles notre Société est liée en tant que partie.
  • Dépersonnalisé. La suppression d’identifiants directs et indirects, en conservant souvent les données d’identification originale séparément
  • Loi. Toutes les lois, règles, réglementations en vigueur ainsi que les directives ou opinions ayant force de loi dans tout pays où notre Société opère ou dans lequel des informations personnelles sont traitées par notre Société ou pour le compte de celle-ci. Ceci comprend tous les cadres en matière de confidentialité en vertu desquels notre Société a été approuvée ou certifiée, y compris les Règles de confidentialité transfrontalières (« CBPR ») de la Coopération économique pour l’Asie-Pacifique (« APEC »).
  • Données personnelles. Toute donnée relative à un individu identifié ou identifiable, y compris les données qui identifient un individu ou qui peuvent être utilisées pour identifier, localiser, suivre ou contacter un individu. Les Données personnelles comprennent à la fois les informations directement identifiables telles que le nom, le numéro d’identification ou un intitulé de poste unique, et les informations indirectement identifiables telles que la date de naissance, un identifiant unique d’appareil mobile ou portable, un numéro de téléphone ou des données codées, des identifiants en ligne tels que les adresses IP ou les activités personnelles, comportements ou préférences qui auraient été recueillis pour fournir des services ou des produits.
  • Incident de confidentialité. Infraction à la présente politique ou à une Loi sur la confidentialité ou sur la protection des données, et qui peut entraîner une Violation de données. Toute décision visant à établir si un Incident de confidentialité est survenu et s’il doit être élevé au statut de violation des données personnelles doit être prise par le Bureau de la confidentialité (Global Privacy Office), la Gestion et sécurité des risques sur la technologie de l’entreprise (Business Technology Risk Management and Security, BTRMS) et le Département juridique.
  • Traitement. Toute opération ou tout ensemble d’opérations effectué sur les informations concernant une personne, par des moyens automatiques ou non, y compris, mais sans s’y limiter, la collecte, l’enregistrement, l’organisation, le stockage, l’accès, l’adaptation, la modification, la récupération, la consultation, l’utilisation, l’évaluation, l’analyse, la remontée, le partage, la divulgation, la diffusion, la transmission, la publication, l’harmonisation, l’association, le blocage, la suppression, l’effacement ou la destruction
  • Violation des données personnelles. Une violation de la sécurité menant à la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès à des Données personnelles (ou violation présumée par notre Société). L’accès à des Données personnelles par notre Société ou pour le compte de celle-ci, sans intention d’enfreindre la présente politique ne constitue pas une violation des données personnelles, à condition que les Données personnelles consultées soient ensuite utilisées et communiquées à des fins autorisées par la présente politique.
  • Incident à la sécurité. Un incident relatif à la sécurité des informations se définit comme tout événement relatif à la sécurité indésirable ou inattendu qui serait susceptible de compromettre la sécurité de l’information et d’affaiblir ou de gêner les activités professionnelles.
  • Informations sensibles. Tout type d’information sur une personne qui présente un risque inhérent de préjudice potentiel aux individus, y compris les informations définies par la loi comme étant sensibles, y compris, mais sans s’y limiter, les informations concernant la santé, la génétique, la biométrique, l’origine, l’appartenance ethnique, la religion, les opinions ou croyances politiques ou philosophiques, les antécédents criminels, les informations de géolocalisation précises, les numéros de comptes bancaires ou autres comptes financiers, les numéros d’identification alloués par les autorités gouvernementales, les enfants mineurs, les pratiques sexuelles, l’orientation sexuelle, l’affiliation à des syndicats, l’assurance, les avantages de sécurité sociale ou autres avantages alloués par un employeur ou un gouvernement.
  • Tiers. Toute entité, association ou personne juridique qui n’est pas détenue par notre Société, ou dans laquelle notre Société n’a pas de participation majoritaire, ou qui n’est pas employée par notre Société. Aucune filiale de notre Société ne doit être considérée en tant que tiers.

Modifications de la Politique

La présente politique peut être modifiée de temps à autre, dans le respect des exigences de la Loi en vigueur. Un avis sera publié sur la page Web de notre Société concernant la confidentialité (https://www.organon.com/privacy) durant soixante (60) jours civils lors de tout changement significatif de la Politique.