ICU Medical

Politique mondiale de confidentialité

(Ver la política global de privacidad en español)

1. Aperçu et objectifs

La protection des données personnelles, ainsi que la conformité aux lois et règlements sur la protection de la vie privée et des données, sont importantes pour notre organisation et ses sociétés affiliées (« nous », « notre », la « Société »). Nous prenons nos responsabilités au sérieux et nous visons à assurer les droits à la vie privée de nos employés, de nos contacts commerciaux et de nos clients lorsque nous traitons des renseignements les concernant.

La présente Politique mondiale de confidentialité (la présente « Politique ») établit un cadre de gouvernance complet pour la gestion des risques liés à la confidentialité et à la protection des données. Plus précisément, les Annexes A et B de la présente Politique traitent de certaines exigences en vertu des lois colombiennes et mexicaines, respectivement, comme prévu dans ces Annexes.

La présente Politique, ainsi que toutes les Annexes et les documents à l’appui, présentent les processus et les outils qui offrent une approche cohérente de la gestion des risques liés à la protection de la vie privée dans l’ensemble de l’organisation. La protection des données personnelles des employés, des contacts commerciaux et des clients est fondamentale pour préserver la confiance des employés, des partenaires commerciaux et des clients.

En particulier, la présente Politique :

  1. définit les principes de protection des données qui sous-tendent notre cadre mondial de protection de la vie privée;
  2. identifie et explique les rôles et responsabilités en matière de protection des données;
  3. établit le Programme de protection de la vie privée;
  4. identifie les politiques, procédures et normes internes qui soutiennent la présente Politique et, avec la présente Politique, constituent le cadre de protection de la vie privée de notre organisation et
  5. établit une liste (non exhaustive) des exigences auxquelles les employés, les entrepreneurs, les consultants et toute personne qui nous fournit du soutien ou des services doivent se conformer afin de préserver la confidentialité et la sécurité des données personnelles qu’ils traitent.

La présente Politique ne fournit pas une liste exhaustive des comportements autorisés ou interdits, ni n’en énonce toutes les règles. La présente Politique ne remplace pas la responsabilité d’exercer un bon jugement professionnel et de faire preuve de prudence. Les personnes doivent continuer à demander des conseils appropriés par les canaux appropriés en ce qui concerne toute préoccupation et tout problème spécifiques non abordés dans la présente Politique.

2. Portée et application

La présente Politique s’applique à tous les directeurs, gestionnaires, employés, entrepreneurs, consultants et toute autre personne qui soutient ou assure des services au sein de notre organisation en ce qui concerne toutes nos opérations dans le monde qui nécessitent le traitement des données personnelles.

Il est de la responsabilité de chaque directeur, gestionnaire, employé, entrepreneur, consultant et de toute autre personne qui soutient ou assure des services pour notre organisation de se conformer à la présente Politique. L’acceptation et la compréhension de la présente Politique sont requises par le biais de contrats et de formation obligatoire. Le non-respect de la présente Politique peut constituer une violation des conditions d’emploi et peut entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement ou à la résiliation des contrats de services.

La haute direction est ultimement responsable d’assurer le respect de la présente Politique. Le Service juridique, en coordination avec le service de la Vérification interne, est responsable de la surveillance de la conformité à cette Politique. 

Définitions

Terme

Définitions

Sujet(s) des données ou personne(s) concernée(s)

correspond à toute personne physique à qui les données personnelles ou les données sensibles se rapportent. Des exemples de personnes concernées sont les consommateurs, les contacts commerciaux et les employés, les entrepreneurs, les consultants et toute autre personne fournissant du soutien ou des services à la Société.

Lois sur la protection des données

désigne toute loi, tout règlement, toute exigence réglementaire et tout code de pratique applicable concernant la protection des personnes en matière de traitement des données personnelles, y compris la sécurité de l’information.

Violation de données ou incident de données

désigne tout événement réel ou soupçonné où la sécurité, confidentialité, l’intégrité ou la disponibilité des données personnelles a été ou pourrait être compromise, menant à la destruction, perte, altération, divulgation ou à l’accès accidentel, illicite ou non autorisé aux données personnelles ou toute autre utilisation illégale des données personnelles (p. ex., lorsqu’un courriel contenant des données personnelles est envoyé par inadvertance aux mauvais destinataires, lorsqu’un dossier papier contenant des données personnelles est perdu ou volé, lorsqu’une cyberattaque est menée par des pirates informatiques, lorsqu’un ordinateur portable de travail est perdu ou volé).

Traitement ou traitement des données

désigne toute utilisation de données personnelles par notre organisation (ou par un tiers au nom de notre organisation), y compris la collecte de données, le partage de données et le stockage de données. Tout stockage des données constitue un traitement.

Données personnelles

désigne toute information relative à une personne qui l’identifie ou qui pourrait raisonnablement être utilisée pour l’identifier, quel que soit le support (p. ex., papier, électronique, vidéo, audio). Les données personnelles comprennent par exemple les coordonnées, les données financières, les mots de passe, les adresses IP, les photos, l’historique de recherche en ligne, les renseignements de géolocalisation. Sauf indication contraire, les données personnelles sont destinées à inclure des données sensibles (telles que définies ci-dessous).

Données personnelles sensibles

désigne les données personnelles sur l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou données assimilées, l’appartenance à un syndicat, la santé ou l’état physique ou mental, la vie sexuelle, les données génétiques (p. ex., la séquence génétique d’une personne), les Données biométriques (p. ex., empreintes digitales, reconnaissance faciale, balayages rétiniens), les infractions criminelles commises ou présumées.

3. Principes de protection des données

Les activités commerciales de notre organisation doivent toujours être conformes aux principes de protection des données énoncés ci-dessous. Ces principes lient toutes nos entreprises.

  1. Traitement légal, équitable et transparent
    Notre organisation n’utilise les données personnelles que d’une manière légale, équitable et transparente.

    Nous nous conformons aux lois sur la protection des données et de la vie privée dans chacune des juridictions où nous exerçons nos activités. Lorsque la loi l’exige, nous nous engageons également à aider les individus à comprendre quels renseignements nous recueillons, comment nous les utilisons et quels sont leurs choix. Nous expliquons cela aux employés, aux entrepreneurs, aux consultants et aux autres travailleurs, aux consommateurs et aux personnes-ressources de l’entreprise d’une manière simple et claire dans nos déclarations de confidentialité. Nous examinons régulièrement nos déclarations de confidentialité pour les tenir à jour et nous assurer qu’elles correspondent à nos pratiques internes.

  2. Limitation de l’objectif
    Nous ne recueillons des données personnelles qu’à des fins précises, claires et légitimes et nous ne recueillons que les données personnelles nécessaires pour atteindre ces objectifs. Bien que les données personnelles nous aident à améliorer les services que nous fournissons, nous ne les utilisons que de manière proportionnelle à des objectifs clairs.

  3. Exactitude des données
    Nous prenons des mesures pour nous assurer que les données personnelles que nous détenons sont exactes, actuelles et pertinentes aux fins pour lesquelles elles sont recueillies.

  4. Conservation des données
    Nous ne conservons les données personnelles sous une forme identifiable qu’aussi longtemps que nécessaire aux fins pour lesquelles nous les utilisons.

  5. Droits des personnes
    Nous nous engageons pleinement à faciliter les droits à la vie privée des personnes dans notre traitement de leurs données personnelles, conformément aux lois applicables.

  6. Sécurité de l’information
    Nous utilisons des mesures physiques, techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles et assurer leur intégrité, leur confidentialité et leur disponibilité dans tous les systèmes en tout temps.

    Nous nous engageons également à nous assurer que nos vendeurs et fournisseurs qui peuvent traiter des données personnelles en notre nom préservent la confidentialité, l’intégrité et la disponibilité de ces données.

  7. Transferts internationaux de données personnelles
    Notre organisation est une entreprise mondiale et, à ce titre, nous devons transférer des renseignements à l’étranger. Nous nous engageons pleinement à nous assurer que des mesures de protection adéquates sont en place, comme l’exigent les lois applicables, pour protéger les données personnelles que nous transférons dans des pays qui n’ont pas de lois adéquates sur la protection des données.

  8. Responsabilité
    Nous sommes tous responsables du respect des Principes de protection des données et du respect des droits individuels en matière de confidentialité. Nous avons le devoir collectif et individuel de protéger les données personnelles de nos employés, entrepreneurs, consultants et autres travailleurs, consommateurs et partenaires commerciaux. Afin de créer un environnement de confiance et de se conformer aux lois applicables en matière de protection des données, toutes les personnes opérant au sein de notre organisation ou au nom de celle-ci doivent se conformer à nos politiques de confidentialité et aider l’organisation à respecter ses engagements en matière de protection des données personnelles.

4. Rôles et responsabilités

Différents intervenants à différents niveaux de l’entreprise jouent un rôle dans la gestion globale des risques liés à la confidentialité et la conformité à la protection des données. Les bureaux et les employés suivants ont été identifiés comme ayant des rôles et des responsabilités spécifiques :

  • Le Service juridique est chargé de promouvoir et d’assurer la conformité à la confidentialité, de superviser le programme global de gestion et de conformité de la confidentialité, de répondre aux demandes et aux requêtes des personnes concernées, de répondre aux demandes réglementaires concernant la protection des données, de communiquer avec le service des TI au besoin pour assurer la sécurité de l’information, qui est un élément essentiel de la protection des données personnelles.
  • Le service des TI est responsable de la protection et de la surveillance de nos réseaux et systèmes internes et, en particulier, de s’assurer que les données personnelles stockées, transférées, consultées et utilisées sur ces réseaux et systèmes sont adéquatement protégées contre les violations de données. Le service des TI est également responsable de participer à certaines activités importantes de protection des données, comme l’évaluation des répercussions sur la protection des données (« ERPD »).
  • Le service des RH est responsable de traiter correctement les données personnelles des employés, des entrepreneurs, des consultants et de toute autre personne fournissant des services et du soutien, et conformément aux lois applicables. Le service des RH est également responsable de répondre aux demandes des employés, des entrepreneurs, des consultants et d’autres travailleurs concernant l’exercice de leurs droits en matière de protection des données et de transmettre toute autre demande ou plainte au Service juridique. Le service des RH doit également informer le Service juridique des nouvelles activités de traitement qui ont une incidence sur les données personnelles des employés, des entrepreneurs, des consultants et des autres travailleurs. Le service des RH doit être engagé dans l’exécution des ERPD occasionnées par les nouvelles activités de traitement des RH, dans la mise à jour des avis de confidentialité aux employés, entrepreneurs, consultants et autres travailleurs et les informer de leurs tâches et responsabilités concernant la protection des données personnelles (y compris la présente Politique).

De plus, toute fonction commerciale qui traite des données personnelles est responsable de :

  • gérer le risque de confidentialité lié au traitement effectué par la fonction;
  • consulter le Service juridique lorsque les politiques et procédures internes l’exigent;
  • assurer la sécurité des données personnelles qu’elle traite et
  • traiter et transmettre à un échelon supérieur tout incident lié à la protection de la vie privée, au besoin.

Tous les directeurs, gestionnaires, employés, entrepreneurs, consultants et travailleurs sont responsables de préserver la confidentialité des données personnelles qu’ils utilisent et de traiter ces renseignements de façon sécuritaire et conformément à la présente Politique et à toute autre politique, procédure et norme connexe (comme indiqué ci-dessous à la section « Cadre de politique »).

5.  Programme de confidentialité

Notre Service juridique supervisera notre programme de protection de la vie privée, qui fournit une approche complète et coordonnée pour gérer les risques liés à la protection de la vie privée tout en répondant aux besoins et aux stratégies de l’entreprise. Notre programme de protection de la vie privée comprend, au minimum, les éléments suivants :

  • Cadre de politique
  • Conformité juridique
  • Guichet unique
  • Documentation de la conformité à la protection des données (décisions, mise en œuvre et vérification)
  • Dossiers des activités de traitement
  • Évaluation de l’impact sur la protection des données
  • Gestion des risques liés à la confidentialité des fournisseurs
  • Formation sur la protection des données
  • Gestion des violations de données
  • Droits des personnes concernées
    1. Cadre de politique
      Notre organisation doit fonctionner en tout temps conformément à la présente Politique, au code de conduite et d’éthique professionnelle et à toutes les politiques, procédures et normes internes relatives à la confidentialité, telles que la Politique sur les technologies de l’information acceptables, la Politique de classification et de traitement des données, la Politique d’intervention en cas d’incident et les avis de confidentialité au personnel, aux utilisateurs en ligne et à d’autres personnes. Veuillez noter que celles-ci peuvent être mises à jour ou remplacées, à l’occasion, et que la portée de la liste ci-dessous peut être élargie à des politiques supplémentaires.

    2. Conformité juridique
      Le Service juridique maintiendra en tout temps des processus qui permettent à notre organisation de comprendre et de se conformer aux exigences légales en matière de protection des données, comme la fourniture d’avis de confidentialité aux personnes concernées et l’obtention de leur consentement au traitement des données, le cas échéant. Le Service juridique veillera à ce que les lois sur la protection de la vie privée soient traitées de manière cohérente dans toute la région où ces lois s’appliquent.

    3. Guichet unique
      Le Service juridique, en collaboration avec la haute direction, déterminera où notre siège social pourrait être situé en fonction de nos activités de traitement des données pour identifier l’autorité de surveillance principale au sein de l’Union européenne pour le traitement transfrontalier. La décision doit être documentée. Le Service juridique accompagnera de près l’autorité de surveillance principale pour obtenir des lignes directrices et d’autres résultats émis et comprendre les priorités d’application.

    4. Documentation de la conformité en matière de protection des données (décisions, mise en œuvre et vérification)
      Le Service juridique, soutenu par les fonctions commerciales concernées, créera et tiendra à jour des dossiers sur les décisions et les mesures prises pour la gestion des risques liés à la confidentialité et la conformité aux lois sur la protection des données. Cela permettra également une collaboration efficace avec les organismes de réglementation, au besoin, et permettra à notre organisation de documenter et de démontrer sa conformité en matière de confidentialité en tout temps.

      Lorsque des décisions et des mesures liées à la confidentialité sont prises au niveau régional ou commercial, les politiques et procédures pertinentes établiront la propriété et la responsabilité de la tenue des dossiers appropriés.

      Le Service juridique sera également responsable d’assurer et de superviser l’élaboration de tout dossier supplémentaire qui pourrait être requis pour démontrer la conformité aux lois applicables en matière de protection des données (p. ex., les formulaires de consentement, les avis aux personnes concernées, le registre des violations de données personnelles).

    5. Dossiers des activités de traitement
      Le Service juridique recueillera dans un document évolutif la liste de toutes les activités de traitement au sein de notre organisation, à l’occasion; ce document sera mis à jour de temps à autre pour refléter les changements dans les opérations commerciales. Le service des TI, le service des RH et toute autre fonction commerciale participant au traitement des données personnelles doivent contribuer au dossier des activités de traitement (en fournissant des renseignements pertinents tels que les objectifs d’utilisation des données et de transfert des données).

    6. Évaluations de l’impact sur la protection des données
      Le Service juridique établira des lignes directrices et des procédures pour effectuer des évaluations des répercussions sur la protection des données en ce qui concerne les nouveaux produits, les nouvelles technologies et les nouvelles opérations commerciales, lorsque les lois applicables l’exigent ou lorsque cela semble approprié pour gérer le risque en matière de confidentialité. Les ERPD nécessiteront l’apport et la participation des fonctions commerciales pertinentes.

    7. Gestion des risques liés à la confidentialité des fournisseurs
      La gestion des risques pour engager des fournisseurs tiers qui traitent des données personnelles en notre nom (« sous-traitants ») est essentielle pour assurer notre conformité en matière de protection des données. Le Service juridique fournira des lignes directrices et tout contenu sur la confidentialité nécessaire à l’évaluation des risques des tiers, et les tiendra à jour au besoin pour répondre aux risques émergents en matière de confidentialité. Les risques associés à un tiers doivent être transmis au Service juridique.



      En particulier, le Service juridique s’assurera que :
      • tout sous-traitant est soumis à une diligence raisonnable adéquate sur ses mesures de sécurité de l’information avant d’être sélectionné comme partenaire commercial;
      • un accord de traitement approprié a été conclu pour imposer des obligations de protection des données à tout sous-traitant et
      • le respect de l’accord de traitement et de la loi applicable par le sous-traitant est surveillé à l’occasion.

    8. Formation sur la protection des données
      La formation sur la protection des données fera partie du programme annuel de formation sur la conformité et sera obligatoire pour le personnel concerné dès qu’il se joindra à l’entreprise et sur une base régulière par la suite. Le Service juridique s’assurera que le contenu de la formation demeure à jour et approprié aux activités commerciales de notre organisation, et qu’il est actualisé régulièrement. Les taux d’achèvement de la formation seront surveillés et documentés (p. ex., registre de formation).

    9. Gestion des atteintes à la protection des données
      Toutes les fonctions commerciales sont responsables de surveiller les opérations commerciales pour détecter les incidents concernant la sécurité des données personnelles, de les saisir en temps opportun et de manière cohérente, et d’exécuter les stratégies d’atténuation des risques appropriées.

      Tous les employés et toutes les fonctions commerciales sont responsables de faire remonter immédiatement toute atteinte à la protection des données réelle ou présumée conformément à notre Politique d’intervention en cas d’incident. Tout bureau et/ou toute fonction commerciale concernés doivent participer à la gestion des violations conformément à cette politique.

      Le Service juridique, conjointement avec le service des TI, s’assurera que les incidents connus et les événements à risque sont identifiés, évalués et corrigés de manière appropriée, et évaluera les tendances afin que les causes profondes puissent être traitées. Le Service juridique transmettra également les avis de violation à l’organisme de réglementation compétent ou aux personnes concernées, selon les exigences des lois applicables.

    10. Droits des personnes concernées
      Le Service juridique fournira des directives et de l’aide au service des RH et à tout autre bureau pour répondre à toute demande de droit des personnes concernées (p. ex., la demande d’une personne d’accéder aux données personnelles que nous détenons conformément à la loi applicable). ainsi que pour informer toute personne concernée de ses droits en vertu de la loi applicable, notamment le droit de déposer une plainte devant les organismes de réglementation gouvernementaux pertinents en matière de confidentialité des données si la Société viole toute loi applicable en matière de confidentialité des données dans le traitement des données personnelles et sensibles d’une personne concernée.

6.  Choses à faire par les employés, les entrepreneurs, les consultants et les travailleurs

Appliquer les principes de protection des données à la collecte et à l’utilisation des données personnelles et suivre les politiques, procédures et normes concernant la confidentialité.

En particulier, la conformité aux politiques suivantes est requise :

  • Politique sur l’utilisation acceptable et les technologies de l’information
  • Politique sur la confidentialité des données
  • Politique de classification et de traitement des données
  • Politique relative aux courriels
  • Politique de chiffrement
  • Politique relative aux mots de passe
  • Politique d’accès à distance
  • Politique relative aux logiciels de tiers
  • Politique de conservation des données

Vous devez également suivre toutes les formations requises sur la protection des données.

Le non-respect des conditions de la présente Politique peut entraîner des mesures disciplinaires pouvant aller jusqu’au licenciement ou la cessation de la relation d’affaires, ainsi que des poursuites judiciaires.

7.  Rapports et questions

Le Personnel d’ICU Medical peut signaler toute préoccupation par le biais d’une hotline anonyme et confidentielle au 1 844 330-0007. Des rapports anonymes et confidentiels peuvent également être envoyés par courriel à reports@lighthouse-services.com (le nom de la Société doit être inclus dans le rapport), par l’entremise d’une soumission Web confidentielle à l’adresse http://www.lighthouse-sercies.com/icumed, ou par l’intermédiaire de la section Rapports de gouvernance de notre site Web de gouvernance d’entreprise à l’adresse ://ir.icumed.com/governance.cfm. Un représentant de la Société peut également faire des signalements confidentiels à son superviseur, aux RH, au responsable de la conformité ou à l’avocat général.

8.  Modifications à la Politique

Le Service juridique examinera la présente Politique au moins une fois par an et recommandera les changements appropriés.

Nous attirerons votre attention sur tout changement, le cas échéant ou si nécessaire

9.  Exceptions et remontées

Toute exception à la présente Politique doit être examinée et approuvée par le Service juridique. Toutes les exceptions à la présente Politique doivent être approuvées par écrit avant leur mise en œuvre.

Le Service juridique est responsable de résoudre les questions concernant l’interprétation appropriée de la présente Politique à la lumière des exigences légales et réglementaires. Le Service juridique est responsable de répondre aux questions sur l’interprétation de la présente Politique.

Annexe A

Politique mondiale de confidentialité – Annexe pour la Colombie

ICU MEDICAL COLOMBIA LIMITADA (« ICU COLOMBIA »), domiciliée en Colombie, est une société affiliée d’ICU MEDICAL, INC (la « Société ») basée aux États-Unis.

La présente Annexe se veut un complément à la Politique mondiale de confidentialité de la Société dans le but d’inclure des dispositions qui ne sont applicables que dans la mesure où la loi colombienne sur la protection des données s’applique. La loi colombienne sur la protection des données s’applique uniquement au traitement, en Colombie, des données personnelles et au traitement à l’étranger des données personnelles des personnes concernées basées en Colombie, dans certaines circonstances.

Les termes utilisés dans les présentes ont la signification qui leur est attribuée dans la Politique mondiale de confidentialité, sauf indication contraire aux présentes.

Terme

Définitions

Définitions

Dans la mesure où la loi colombienne sur la protection des données s’applique, en plus des définitions fournies dans la section « Définitions » de la Politique mondiale sur la confidentialité, les définitions suivantes doivent être appliquées et dans la mesure où il y a un conflit dans les « Définitions », les définitions ci-dessous doivent prévaloir :

  1. Lois sur la protection des données : La loi applicable, dans ce cas, les lois et règlements colombiens.
  2. Traitement des données : Toute opération ou tout ensemble d’opérations sur des données personnelles, comme la collecte, le stockage, l’utilisation, la circulation ou la suppression.
  3. Autorisation : Consentement préalable, explicite et éclairé de la personne concernée pour traiter ses données personnelles.
  4. Sous-traitant : Personne ou entité juridique, publique ou privée, qui, seule ou en association avec d’autres, traite des données personnelles au nom du responsable du traitement des données.
  5. Responsable du traitement des données : Personne ou entité juridique, publique ou privée, qui, seule ou en association avec d’autres, décide de la base de données et/ou du traitement des données.
  6. Personne concernée : correspond à toute personne physique à qui les données personnelles ou les données sensibles se rapportent.
  7. Transfert : Le transfert de données se produit lorsque le responsable du traitement des données et/ou le sous-traitant, situé en Colombie, envoie les renseignements ou les données personnelles à un destinataire, qui est également un responsable du traitement des données et qui se trouve à l’intérieur ou à l’extérieur du pays.
  8. Transmission : Traitement des données personnelles, ce qui suppose la communication des données personnelles, à l’intérieur ou à l’extérieur de la Colombie, lorsqu’elles ont pour but un traitement de données effectué par un responsable du traitement des données au nom d’un sous-traitant.

Principes de protection des données

Dans la mesure où la loi colombienne sur la protection des données s’applique, en plus des principes énoncés dans la section « Principes de protection des données » de la Politique mondiale de confidentialité, les principes suivants doivent être appliqués :

  1. Principe de la règle de droit concernant le traitement des données : Le traitement réalisé en vertu du Régime colombien de protection des données (lois et règlements) est une activité réglementée qui doit être soumise à ses dispositions.
  2. Principe de l’objectif : le traitement des données doit suivre un objectif légitime conformément à la Constitution et à la loi, qui doivent être informés à la personne concernée.
  3. Principe de liberté : le traitement ne peut être exercé qu’avec le consentement explicite, préalable et éclairé de la personne concernée et ne peut être obtenu ou divulgué sans son autorisation, ou en l’absence de mandat légal ou judiciaire qui libère le consentement.
  4. Principe de confidentialité : toutes les personnes participant au traitement des données personnelles qui ne sont pas de nature publique sont tenues d’assurer la confidentialité des renseignements.

Objectif du traitement des données personnelles et des données personnelles sensibles

Les renseignements personnels recueillis par ICU COLOMBIA seront traités aux fins suivantes :

  1. Envoyer/traiter des renseignements et des documents liés à la relation d’affaires des personnes concernées avec ICU COLOMBIA.
  2. Fournir les coordonnées de la force commerciale et/ou du réseau de distribution de ICU COLOMBIA.
  3. Transmission internationale de données en hébergeant sur des serveurs externes.
  4. Transfert international de données par envoi à une autre société affiliée ou à toute autre entité liée à ICU COLOMBIA.
  5. Transfert de renseignements, d’exigences et de notifications d’ICU COLOMBIA vers tous ses employés, fournisseurs, entrepreneurs et autres personnes concernées.
  6. Envoyer des bulletins d’information, des courriels et d’autres messages de données, en informant sur les promotions et les événements ou activités réalisés par ICU COLOMBIA.
  7. Envoyer des sondages d’opinion sur la satisfaction des clients, des utilisateurs et des clients potentiels.
  8. Recommandation d’information pour se conformer aux exigences légales et aux exigences des autorités judiciaires.
  9. Les autres fins décrites dans les formulaires de consentement.

Motifs de traitement des données personnelles

Dans la mesure où la loi colombienne sur la protection des données s’applique, les données personnelles et les données personnelles sensibles doivent être soumises aux exigences suivantes :

Données personnelles
Les motifs juridiques du traitement des données personnelles sont ceux spécifiés aux articles 9 et 10 de la Loi 1581 de 2012.

Données personnelles sensibles
Les motifs juridiques du traitement des données personnelles sont ceux spécifiés à l’article 6 de la Loi 1581 de 2012.>

Consentement

Les critères de consentement mentionnés dans la Politique mondiale de confidentialité s’appliquent en vertu de la présente Annexe ainsi que les critères supplémentaires suivants :

  1. Le traitement des données personnelles et des données personnelles sensibles nécessite le consentement préalable, explicite et éclairé de la personne concernée.
  2. Les responsables du traitement des données doivent établir des mécanismes pour obtenir l’autorisation des personnes concernées ou de tout ayant droit conformément aux dispositions de l’article 20 du décret 1377. Ces mécanismes pourront inclure des moyens techniques qui peuvent faciliter l’obtention du consentement automatisé par le sous-traitant. Il sera compris que l’autorisation est conforme à ces exigences lorsqu’elle est fournie (i) par écrit, (ii) oralement ou (iii) par les comportements sans équivoque de la personne concernée qui mènent à une conclusion raisonnable que l’autorisation a été donnée. En aucun cas, le silence ne peut être interprété comme un comportement sans équivoque.
  3. Le formulaire de consentement doit inclure une case spécifique pour autoriser la collecte, le traitement et le transfert de données personnelles sensibles. Cette case doit être différente de la case utilisée pour consentir à la collecte de données personnelles non sensibles.

Renseignements sur le traitement équitable

Les renseignements devant être fournis à la personne concernée mentionnée dans la Politique mondiale de confidentialité doivent s’appliquer en vertu de la présente Annexe ainsi que les renseignements supplémentaires suivants :

  1. Nom ou nom de l’entreprise, domicile, adresse, adresse courriel et numéro de téléphone du responsable du traitement des données.
  2. Les droits de la personne concernée.
  3. La personne ou le secteur responsable de répondre aux requêtes, demandes de renseignements et plaintes par le biais duquel la personne concernée peut exercer ses droits de consulter, mettre à jour, rectifier et supprimer les données et révoquer l’autorisation.
  4. La procédure permettant aux personnes concernées d’exercer leurs droits de consulter, de mettre à jour, de corriger et de supprimer les renseignements et de révoquer l’autorisation.

Transfert/Transmission de données avec des tiers

Dans la mesure où la loi colombienne sur la protection des données s’applique, les éléments suivants doivent être pris en compte :

Lorsque ICU COLOMBIA demande à un tiers de traiter des données personnelles en son nom (transmission de données) ou à ses propres fins (transfert de données), le tiers doit conclure une entente écrite avec ICU COLOMBIA. Les ententes doivent inclure un certain nombre de dispositions prescrites par les articles 24 et 25 du décret 1377 de 2013 concernant le transfert et la transmission à l’international de données personnelles et l’entente de transmission de données personnelles.

En plus de ce qui précède, dans le cas des transmissions, le responsable du traitement des données a seulement besoin de divulguer à la personne concernée qu’il est possible que ses données soient partagées avec des tiers sous-traitants et d’indiquer si ces sous-traitants sont situés à l’étranger au moment d’obtenir le consentement. Dans ce cas, il y a une obligation de divulguer la possibilité d’une transmission, mais il n’est pas nécessaire d’obtenir un consentement préalable et exprès pour partager les données personnelles avec le responsable du traitement des données tiers qui a souscrit à une entente de transmission conformément aux lois applicables en Colombie.

Par opposition, dans le cas du transfert, le responsable du traitement des données partagera celles-ci avec un nouveau responsable du traitement des données. Par conséquent, il lui faut obtenir le consentement de la personne concernée pour partager ces données avec le nouveau responsable du traitement des données et il doit également divulguer la Politique de confidentialité qui s’appliquera (c.-à-d. celle du nouveau responsable du traitement des données). Les ententes respectives doivent refléter ces conditions, entre autres exigences.

Transferts internationaux de données personnelles

Dans la mesure où la loi colombienne sur la protection des données s’applique, les éléments suivants doivent être pris en compte :

Selon la loi 1581 de 2012, le décret 1377 de 2013 et ses règles et règlements connexes, les données personnelles, quelle que soit leur nature, ne peuvent être transférées qu’aux pays qui offrent des niveaux de protection des données suffisants. Un pays doit être considéré comme offrant des niveaux de protection des données suffisants dans la mesure où il est conforme aux normes applicables énoncées par le surintendant de l’industrie et du commerce (« SIC »). Les normes précédentes ne peuvent en aucun cas prévoir des obligations inférieures à celles contenues dans le Régime colombien sur la protection des données.

Cette interdiction ne s’applique pas à ce qui suit :

  1. Des renseignements dont le transfert a expressément été autorisé par la personne concernée.
  2. L’échange de données médicales lorsque le traitement des données de la personne concernée l’exige pour des raisons de santé publique.
  3. Les transferts bancaires ou de marché qui sont conformes aux lois applicables.
  4. Les transferts convenus en vertu d’accords internationaux dont la République de Colombie est partie.
  5. Les transferts nécessaires à l’exécution d’un contrat entre la personne concernée et le responsable du traitement des données, ou autrement pour l’exécution de mesures contractuelles futures, à condition que la personne concernée ait donné son consentement.

Droits des personnes concernées

Dans la mesure où la loi colombienne sur la protection des données s’applique, les personnes colombiennes concernées ont un certain nombre de droits légaux en ce qui concerne leurs données personnelles. Ces droits sont les suivants :

  1. Accéder à leurs données personnelles, les mettre à jour et les corriger auprès du responsable du traitement des données ou du responsable du traitement des données, lorsque les données sont partielles, inexactes, incomplètes, coupées, trompeuses ou lorsque le traitement est non autorisé/interdit.
  2. Demander une preuve du consentement accordé.
  3. Demander quelle utilisation ou quel traitement a été fait de leurs données personnelles
  4. Déposer des réclamations devant le surintendant de l’industrie et du commerce
  5. Révoquer le consentement ou demander la suppression des données lorsque des principes ont été violés lorsque le Surintendant de l’industrie et du commerce détermine que le traitement par le responsable du traitement des données ou le sous-traitant a été contraire à la loi et à la constitution de la Colombie.

Procédure de consultation

À tout moment et sans frais, la personne concernée et/ou ses successeurs peuvent consulter leurs données personnelles en possession d’ICU COLOMBIA. La consultation doit être envoyée à l’adresse courriel du responsable de la protection des données, et doit être disponible publiquement aux personnes concernées. ICU COLOMBIA doit répondre à toutes les consultations dans les dix (10) jours ouvrables suivant leur réception. Si ICU COLOMBIA n’est pas en mesure de répondre dans ce délai, la personne concernée sera informée de cette circonstance, des raisons du retard et de la date à laquelle la consultation sera prise en charge,

celle-ci ne devant pas dépasser cinq (5) jours ouvrables suivant l’expiration de la période initiale.

Procédure de réclamation

Si la personne concernée et/ou ses successeurs estiment que leurs données personnelles en possession d’ICU COLOMBIA doivent être modifiées, mises à jour ou supprimées, ou s’ils ont une réclamation liée à leurs données personnelles en possession d’ICU COLOMBIA ou au traitement de leurs données personnelles par la Société, ils peuvent soumettre une réclamation dans les conditions suivantes :

  1. La réclamation doit être déposée en utilisant le format préparé par ICU COLOMBIA à ces fins.
  2. La réclamation doit contenir au moins les renseignements suivants : (i) l’identification appropriée de la personne concernée; (ii) la description des événements qui ont déclenché la réclamation; (iii) les coordonnées de la personne concernée et (iv) tout document que la personne concernée juge pertinent pour alimenter la réclamation. Si l’un des renseignements nécessaires manque à la réclamation, dans les cinq (5) jours ouvrables suivant la réception de la réclamation, ICU COLOMBIA devra demander à la personne concernée de mettre à jour le format de la réclamation avec les renseignements manquants.
    Dans les deux (2) jours ouvrables suivant la réception d’une réclamation complète, un avis doit être inséré dans la base de données où est incluse la personne concernée par la réclamation, pour indiquer qu’une réclamation liée aux renseignements inclus dans cette base de données est en cours de traitement. Une brève explication de la réclamation doit également être insérée dans la base de données correspondante jusqu’à ce que la réclamation soit résolue.
  3. ICU COLOMBIA aura un délai de quinze (15) jours ouvrables depuis le jour où la réclamation complète est reçue pour fournir une réponse à la personne concernée. Si ICU COLOMBIA n’est pas en mesure de répondre dans ce délai, elle doit informer la personne concernée de cette circonstance, des raisons du retard et de la date à laquelle la réclamation sera traitée, délai qui doit être dans les huit (8) jours ouvrables suivant l’expiration de la période initiale.
    Si ICU COLOMBIA reçoit une réclamation qui aurait dû être adressée à une autre entité, elle doit envoyer la réclamation à l’entité correspondante et informer la personne concernée de cette situation.

Responsable de la protection des données

Tel que mentionné dans la Politique mondiale de confidentialité, ICU COLOMBIA doit nommer et avoir en tout temps un agent de protection des données dont les obligations sont les suivantes :

  1. Répondre aux consultations et aux réclamations des personnes concernées : L’agent de protection des données sera responsable de répondre à toutes les consultations et réclamations des personnes concernées ou de leurs successeurs concernant la possession par ICU COLOMBIA de leurs données personnelles et le traitement de celles-ci.
  2. Fournir de l’aide et du soutien à d’autres secteurs de la Société : Toutes les questions au sein d’ICU COLOMBIA relatives au traitement des données personnelles doivent être traitées et répondues par l’agent de protection des données
  3. Gérer les risques : Toute situation qui entraîne ou peut entraîner une violation de la sécurité des données personnelles doit être informée au responsable de la protection des données, qui sera responsable de la préparation et de la mise en œuvre d’un plan de gestion et de résolution de la violation réelle ou potentielle de la sécurité.
  4. Maintenir et mettre à jour les enregistrements liés à la protection des données et soumettre les documents aux autorités : Le Responsable de la protection des données doit s’assurer que (i) les renseignements d’ICU COLOMBIA et de ses personnes concernées inclus dans le Registre national des bases de données gérées par la SIC sont correctement maintenus et mis à jour; (ii) toutes les nouvelles bases de données créées par ICU COLOMBIA et qui contiennent des données personnelles sont correctement enregistrées auprès de la SIC; (iii) les réclamations déposées par les personnes concernées sont correctement signalées à la SIC et (iv) tout incident de sécurité lié aux données personnelles est signalé à la SIC.
Responsable du traitement des données

Le responsable du traitement des données personnelles en Colombie est ICU MEDICAL COLOMBIA LIMITADA, identifié par NIT. 830143035-2, domiciliée dans la ville de Bogotá en Colombie, à l’Avenida Carrera 72 # 80-94.

Toutes les demandes concernant le traitement des données personnelles doivent être envoyées par courriel à habeasdatacolombia@icumed.com.

Coordonnées du responsable de la déclaration et de la protection des données

Les préoccupations peuvent être signalées par une hotline anonyme et confidentielle au 1 844 330-0007. Des rapports anonymes et confidentiels peuvent également être envoyés par courriel à reports@lighthouse-services.com (le nom de la Société doit être inclus dans le rapport), par l’entremise d’une soumission Web confidentielle à l’adresse https://www.lighthouse-services.com/icumed, ou par l’intermédiaire de la section Rapports de gouvernance de notre site Web de gouvernance d’entreprise à l’adresse https://ir.icumed.com/corporate-governance. Vous pouvez communiquer avec l’agent de protection des données par courriel à l’adresse : ethicsandcompliance@icumed.com.

Date d’entrée en vigueur

L’Annexe mentionnée dans le présent document entrera en vigueur le 1er juillet 2020, mais peut être modifiée à tout moment, auquel cas le document pertinent sera communiqué aux personnes concernées.

Annexe A

Politique mondiale de confidentialité – Annexe pour le Mexique

Dans la mesure où les lois ou règlements mexicains sur la protection des données s’appliquent, les éléments et dispositions de base supplémentaires suivants spécifiques au Mexique s’appliquent et prévalent sur les dispositions contradictoires de la Politique mondiale de confidentialité existante.

Terme

Définitions

Définitions

  1. « Loi sur la protection des données » désigne la loi fédérale sur la protection des données personnelles détenues par des particuliers (Ley Federal de Protección de Datos Personales en Posesión de los Particulares ou FDPL) et ses règlements d’application.
  2. « Données personnelles sensibles » désigne toute donnée génétique, biométrique et liée à la santé, ainsi que les données personnelles révélant l’origine raciale et ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Elles sont très pertinentes parce qu’elles sont soumises à un niveau de protection plus élevé et doivent être traitées avec un niveau de sécurité supplémentaire.

Protection des données des principes

En plus des principes fournis dans la section Erreur! référence introuvable., les dispositions de la loi mexicaine sur la protection des données énoncent les principes clés relatifs au traitement des données personnelles, comme suit :

  1. Consentement : Le traitement et le transfert des données personnelles sont basés sur le consentement de la personne concernée. Le consentement explicite est requis pour le traitement et le transfert des données personnelles sensibles, financières ou immobilières. Avant de donner son consentement, la personne concernée doit en être informée. À titre d’exception aux règles générales, aucun consentement n’est requis pour le transfert de données entre notre organisation et un sous-traitant lorsqu’une entente de traitement des données a été conclue.
  2. Limitation de l’objectif : Les données personnelles doivent être recueillies à des fins spécifiées, explicites et légitimes, comme indiqué dans l’Avis de confidentialité correspondant. Tout traitement supplémentaire à d’autres fins incompatibles avec les objectifs initiaux devra faire l’objet d’un consentement spécifique pour le nouvel objectif.
  3. Principe de minimisation : Le traitement doit être adéquat, pertinent et limité à ce qui est nécessaire par rapport aux fins de traitement.
  4. Principe de fidélisation : Les données personnelles doivent être traitées de manière à assurer une sécurité appropriée des données personnelles, en donnant la priorité à la protection des intérêts de la personne concernée.
Avis de confidentialité

Notre organisation est tenue d’enregistrer nos objectifs de collecte et de traitement et de les spécifier dans un document pour les personnes concernées. En vertu de la loi mexicaine, un Avis de confidentialité des données doit contenir au minimum les renseignements suivants :

  1. Notre identité, notre adresse (y compris la rue, le numéro, la ville, le code postal) et nos coordonnées
  2. Les objectifs du traitement auquel les données personnelles sont destinées
  3. Les catégories de données personnelles concernées
  4. Les renseignements spécifiques sur notre traitement des données personnelles sensibles
  5. L’existence du droit de retirer son consentement au traitement supplémentaire des données personnelles pour des objectifs autres que ceux pour lesquels les données personnelles ont été recueillies (p. ex., à des fins de marketing)
  6. Le cas échéant, notre intention de transférer des données personnelles à un tiers au Mexique ou dans un pays tiers
  7. Les modalités pour l’exercice des droits des personnes concernées
  8. La procédure pour permettre à la personne concernée de retirer son consentement au traitement des données
  9. Les moyen d’exercer le droit de demander à la Société de restreindre le traitement ou la divulgation de données de la personne concernée
  10. La politique sur les témoins, fournissant des renseignements sur les types de témoins actifs sur notre site Web, les données qu’ils suivent, l’objectif, l’emplacement dans le monde où les données sont envoyées et des instructions détaillées sur la façon dont les personnes concernées peuvent définir leurs préférences en matière de témoins
  11. Les coordonnées de notre agent ou service de la protection des données
  12. Les procédures et moyens de communiquer les changements apportés à notre Avis de confidentialité

Ces renseignements doivent être fournis par écrit ou par d’autres moyens, y compris, le cas échéant, par voie électronique.

Conditions de consentement

Le traitement des données personnelles ne sera légal que si et dans la mesure où la personne concernée a donné son consentement au traitement de ses données personnelles à une ou plusieurs fins spécifiques.

La Société est tenue d’obtenir une déclaration de consentement expresse de la personne concernée, par exemple dans une déclaration écrite, lorsque la loi l’exige, pour le traitement de données personnelles sensibles, financières ou de patrimoine.

Cependant, une personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement n’affectera pas la légalité du traitement basé sur le consentement effectué avant son retrait.

La Loi sur la protection des données permet d’obtenir un consentement écrit exprès par des moyens technologiques (y compris des boutons ou des cases « J’accepte »), à condition qu’ils ne soient pas sélectionnés précédemment. Les principales règles relatives au consentement peuvent être résumées comme suit :

  1. L’adhésion est requise pour la collecte de données personnelles sensibles
  2. L’adhésion est requise pour la collecte de données financières ou de patrimoine
  3. Les cases à cocher pour obtenir le consentement ne doivent pas être cochées à l’avance
  4. Le consentement n’est pas requis dans certains cas exceptionnels énoncés dans la loi sir ça protection des données, y compris la collecte de données pour l’exécution d’un contrat
  5. Traitement des données non essentielles. Le texte de l’Avis de confidentialité doit faire la distinction entre les objectifs de traitement des données qui sont nécessaires à l’existence, au maintien et à la conformité de la relation juridique entre notre organisation et la personne concernée, qui font en sorte que la relation existe, et celles qui ne sont pas essentielles (p. ex., traitement des données personnelles à des fins de marketing direct)
  6. Règle de retrait préalable. Dans le cas d’objectifs de traitement inutiles ou accessoires, l’Avis de confidentialité doit inclure le mécanisme pour que les personnes concernées puissent exercer leur droit de retirer leur consentement au traitement des données à cette fin.
Exemptions de consentement

Notre organisation n’est pas tenue d’obtenir le consentement au traitement des données personnelles lorsque :

  1. les données personnelles doivent être traitées par application de la loi, par toute autorité gouvernementale ou autre, ou par un tribunal ou toute autre autorité compétente;
  2. le traitement porte sur des données personnelles qui sont accessibles au public;
  3. les données personnelles sont soumises à un processus de désagrégation;
  4. le traitement est nécessaire à l’exécution d’un contrat auquel la Société et la personne concernée sont parties;
  5. le traitement est nécessaire pour protéger les intérêts vitaux d’une personne;
  6. le traitement est nécessaire aux fins de médecine préventive ou professionnelle, du diagnostic médical, de la prestation de soins de santé ou de traitement ou de la gestion des systèmes et services de soins de santé, lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement.
Droits des personnes concernées

Nous faciliterons l’exercice des droits de la personne concernée et nous ne refuserons pas d’agir à la demande de la personne concernée dans l’exercice des droits suivants : (i) le droit d’accéder aux données personnelles que nous conservons, et d’obtenir des renseignements sur nos pratiques de traitement; (ii) le droit de rectification de données personnelles incorrectes concernant la personne concernée; (iii) le droit de demander la suppression des données personnelles si les données ne sont pas traitées en vertu de la loi ou si elles ne sont plus nécessaires et (iv) le droit d’objecter à tout moment au traitement des données personnelles de la personne concernée, pour des motifs légitimes ou à des fins spécifiques. Ces droits sont connus sous le nom de « Droits ARCO ».

Les personnes concernées ont le droit de retirer à tout moment leur consentement au traitement de leurs données personnelles.

De plus, nous fournirons aux personnes concernées des renseignements supplémentaires sur leur droit de déposer une plainte auprès de l’autorité de contrôle.

Communication d’une violation des données personnelles

Lorsque la violation des données personnelles est susceptible d’entraîner un risque élevé pour les droits des personnes, notre organisation doit en faire part à la personne concernée sans retard injustifié. La communication à la personne concernée doit au moins décrire la nature de la violation des données personnelles, les données personnelles visées, les mesures recommandées que la personne concernée peut prendre pour protéger ses intérêts, la description des mesures prises ou proposées par la Société pour remédier à la violation des données personnelles, ainsi que le nom et les coordonnées de notre responsable de la protection des données ou d’une autre personne-ressource au sein de notre organisation pour obtenir plus de renseignements.

Agent/Service de protection des données

Notre organisation est tenue de nommer un employé ou un service en tant qu’agent ou service de protection des données, respectivement. Cet agent ou ce service de protection des données est responsable de prendre des mesures pour répondre aux demandes des personnes concernées.