ICU Medical

Politique mondiale de confidentialité

1. Présentation et objectifs

La protection des données à caractère personnel, ainsi que la conformité aux lois et règlements sur la confidentialité et la protection des données, sont importantes pour notre entreprise et ses sociétés affiliées (« nous », « notre/nos », la « Société »). Nous la prenons au sérieux et nous visons à protéger les droits à la vie privée de nos employés, contacts commerciaux et clients lorsque nous traitons des informations les concernant.

La présente Politique mondiale de confidentialité (la « Politique ») établit un cadre de gouvernance complet pour la gestion des risques liés à la confidentialité et à la protection des données. Plus précisément, les annexes A et B de la présente Politique traitent de certaines exigences en vertu du droit colombien et mexicain, respectivement, comme prévu dans lesdites Annexes.

La présente Politique, ainsi que toutes les Annexes, et les documents connexes exposent les processus et outils qui offrent une approche cohérente de la gestion des risques liés à la vie privée dans l’ensemble de l’entreprise. La protection des données à caractère personnel des employés, des contacts commerciaux et des clients est essentielle pour préserver la confiance des employés, des partenaires commerciaux et des clients.

En particulier, la présente Politique :

  1. définit les principes de protection des données qui sous-tendent notre cadre mondial de protection de la vie privée ;
  2. identifie et explique les rôles et responsabilités en matière de protection des données ;
  3. établit le Programme de confidentialité ;
  4. identifie les politiques, procédures et normes internes qui soutiennent la présente Politique et, avec la présente Politique, constituent le cadre de protection de la vie privée de notre entreprise ; et
  5. établit une liste (non exhaustive) des exigences auxquelles les employés, sous-traitants, consultants et toute personne qui nous fournit un soutien ou un service doivent se conformer afin de préserver la confidentialité et la sécurité des données à caractère personnel qu’ils traitent.

La présente Politique ne fournit pas de liste exhaustive des comportements autorisés ou interdits ni n’énonce toutes les règles. La présente Politique ne se substitue pas à la responsabilité de faire preuve de discernement et de prudence. Les personnes doivent continuer à demander conseil par le biais des canaux appropriés en cas de préoccupations et de problèmes spécifiques qui ne sont pas traités dans la présente Politique.

2. Portée et application

La présente Politique s’applique à tous les administrateurs, responsables, employés, sous-traitants, consultants et à toute autre personne qui soutient ou assure des services au sein de notre entreprise en ce qui concerne toutes nos opérations dans le monde qui impliquent le traitement de données à caractère personnel.

Il appartient à chaque administrateur, responsable, employé, sous-traitant, consultant et à toute autre personne soutenant ou servant notre entreprise de se conformer à la présente Politique. La reconnaissance et la compréhension de la présente Politique sont requises par le biais de contrats et d’une formation obligatoire. Le non-respect de la présente Politique peut constituer une violation des conditions d’emploi et peut entraîner des mesures disciplinaires pouvant aller jusqu’au licenciement ou à la résiliation des contrats de services.

La direction générale assume la responsabilité principale du respect de la présente Politique. Le Service juridique, en coordination avec l’Audit interne, est chargé de surveiller la conformité à la présente Politique. 

Définitions

Terme

Définition

Personne(s) concernée(s)

désigne toute personne vivante à laquelle les données à caractère personnel ou les données sensibles se rapportent. Les personnes concernées sont, par exemple, les consommateurs, les contacts commerciaux et les employés, les sous-traitants, les consultants et toute autre personne fournissant un soutien ou un service à la Société.

Lois sur la protection des données

désigne toutes les lois, réglementations, exigences réglementaires et codes de pratique applicables relatifs à la protection des personnes concernant le traitement des données à caractère personnel, y compris la sécurité des informations.

Violation de données ou incident

désigne tout événement réel ou suspecté où la sécurité, confidentialité, l’intégrité ou la disponibilité des données à caractère personnel a été ou pourrait être compromise, conduisant à une destruction accidentelle, illégale ou non autorisée, la perte, l’altération, la divulgation de données à caractère personnel ou à leur accès, ou à toute autre utilisation illégale de données à caractère personnel (par exemple, un e-mail contenant des données à caractère personnel est envoyé par inadvertance aux mauvais destinataires, un dossier papier contenant des données à caractère personnel est perdu ou volé, une cyberattaque a été lancée par des pirates informatiques, un ordinateur portable professionnel est perdu ou volé).

Traitement des données ou traitement

désigne toute utilisation de données à caractère personnel par notre entreprise (ou un tiers pour le compte de notre entreprise), y compris la collecte de données, le partage de données et le stockage de données. Le simple stockage des données est un traitement.

Données à caractère personnel

désigne toute information relative à une personne qui identifie la personne ou qui pourrait raisonnablement être utilisée pour identifier la personne quel que soit le support impliqué (p. ex. papier, électronique, vidéo, audio). Les coordonnées, les données financières, les mots de passe, les adresses IP, les images, l’historique de recherche en ligne, les informations de géolocalisation sont des exemples de données à caractère personnel. Sauf indication contraire, les données à caractère personnel incluent les données sensibles (telles que définies ci-dessous).

Données à caractère personnel sensibles

désigne les données à caractère personnel concernant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou similaires, l’appartenance syndicale, la santé ou l’état physique ou mental, la vie sexuelle, les données génétiques (par ex. la séquence génétique d’une personne), les données biométriques (par ex. les empreintes digitales, la reconnaissance faciale, les scanners rétiniens), les infractions pénales commises ou présumées avoir été commises.

3. Principes de protection des données

Les opérations commerciales de notre entreprise doivent toujours être conformes aux Principes de protection des données énoncés ci-dessous. Ces principes sont impératifs dans toutes nos activités.

  1. Traitement légal, équitable et transparent
    Notre entreprise n’utilise les données à caractère personnel que d’une manière légale, équitable et transparente.

    Nous respectons les lois sur la protection des données et de la vie privée dans chacun des pays dans lesquels nous exerçons nos activités. Lorsque la loi l’exige, nous nous engageons également à aider les personnes à comprendre quelles informations nous recueillons, comment nous les utilisons ainsi que les choix à leur disposition. Nous expliquons cela aux employés, sous-traitants, consultants et autres travailleurs, consommateurs et contacts professionnels de manière simple et claire dans nos déclarations de confidentialité. Nous révisons régulièrement nos déclarations de confidentialité pour les maintenir à jour et pour nous assurer qu’elles correspondent à nos pratiques internes.

  2. Limitation de la finalité
    Nous collectons uniquement des données à caractère personnel à des fins déterminées, claires et légitimes et nous collectons uniquement les données à caractère personnel nécessaires à l’atteinte de ces finalités. Bien que les données à caractère personnel nous aident à améliorer les services que nous fournissons, nous ne les utilisons que de manière proportionnelle à des objectifs clairs.

  3. Exactitude des données
    Nous prenons des mesures pour nous assurer que les données à caractère personnel que nous détenons sont exactes, à jour et pertinentes pour les finalités pour lesquelles elles sont collectées.

  4. Conservation des données
    Nous ne conservons les données à caractère personnel sous une forme identifiable que pendant la durée nécessaire aux fins pour lesquelles nous les utilisons.

  5. Droits des personnes
    Nous nous engageons pleinement à faciliter l’exercice des droits des personnes en ce qui concerne notre traitement de leurs données à caractère personnel, conformément aux lois applicables.

  6. Sécurité de l’information
    Nous utilisons des mesures physiques, techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel et assurer leur intégrité, confidentialité et disponibilité sur tous les systèmes à tout moment.

    Nous nous engageons également à veiller à ce que nos fournisseurs qui peuvent traiter des données à caractère personnel en notre nom préservent la confidentialité, l’intégrité et la disponibilité de ces données.

  7. Transferts internationaux de données à caractère personnel
    Nous sommes une entreprise internationale et, à ce titre, nous devons transférer des informations à l’international. Nous nous engageons pleinement à veiller à ce que des mesures de protection adéquates soient mises en place, comme l’exigent les lois applicables, pour protéger les données à caractère personnel que nous transférons dans des pays qui n’ont pas de lois adéquates sur la protection des données.

  8. Responsabilité
    Nous sommes tous responsables du respect des Principes de protection des données et des droits au respect de la vie privée des personnes. Nous avons le devoir collectif et individuel de protéger les données à caractère personnel de nos employés, sous-traitants, consultants et autres travailleurs, consommateurs et partenaires commerciaux. Afin de créer un environnement de confiance et de respecter les lois applicables en matière de protection des données, toutes les personnes travaillant dans ou pour notre entreprise doivent se conformer à nos politiques de confidentialité et aider l’entreprise à respecter ses engagements en matière de protection des données à caractère personnel.

4. Rôles et responsabilités

Différentes parties prenantes à différents niveaux hiérarchiques au sein de notre entreprise contribuent à la gestion globale des risques pour la vie privée et à la conformité aux lois applicables en matière de protection des données. Les bureaux et employés suivants ont été identifiés comme ayant des rôles et responsabilités spécifiques :

  • Le Service juridique est chargé de promouvoir et de garantir la conformité aux lois applicables en matière de vie privée, de superviser le programme global de gestion et de conformité en matière de vie privée, de répondre aux demandes et requêtes des personnes concernées, de répondre aux demandes des autorités réglementaires concernant la protection des données, de contacter le Service informatique si nécessaire pour assurer la sécurité des informations qui est un élément essentiel de la protection des données à caractère personnel.
  • Le Service informatique est responsable de la protection et de la surveillance de nos réseaux et systèmes internes et est notamment chargé de s’assurer que les données à caractère personnel stockées, transférées, consultées et utilisées sur ces réseaux et systèmes sont protégées de manière adéquate contre les violations de données. Le Service informatique est également responsable de la participation à certaines activités importantes de protection des données telles que l’Analyse d'impact relative à la protection des données (« AIPD »).
  • Le Service RH est responsable de la bonne gestion des données à caractère personnel des employés, sous-traitants, consultants et toute autre personne fournissant des services et un soutien, et conformément aux lois applicables. Le Service RH est également chargé de répondre aux demandes des employés, sous-traitants, consultants et autres travailleurs qui cherchent à exercer leurs droits en matière de protection des données, et de faire remonter toute autre demande ou réclamation au Service juridique. Le Service RH doit également informer le Service juridique des nouvelles activités de traitement qui ont un impact sur les données à caractère personnel des employés, sous-traitants, consultants et autres travailleurs. Le Service RH doit être impliqué dans les AIPD concernant les nouvelles activités de traitement des RH, la mise à jour des avis de confidentialité à destination des employés, sous-traitants, consultants et autres travailleurs, et leur sensibilisation à leurs devoirs et responsabilités en matière de protection des données à caractère personnel (y compris la présente Politique).

En outre, toute fonction interne qui traite des données à caractère personnel est chargé de :

  • gérer le risque pour la vie privée lié au traitement effectué par la fonction ;
  • consulter le Service juridique lorsque les politiques et procédures internes l’exigent ;
  • assurer la sécurité des données à caractère personnel qu’elle traite ; et
  • gérer et faire remonter tout incident lié à la vie privée si nécessaire.

Tous les administrateurs, responsables, employés, sous-traitants, consultants et travailleurs sont tenus de préserver la confidentialité des données à caractère personnel qu’ils utilisent et de traiter ces informations en toute sécurité et conformément à la présente Politique et à toutes les autres politiques, procédures et normes connexes (telles qu’identifiées ci-dessous dans le « Cadre de politique »).

5.  Programme de protection de la vie privée

Notre Service juridique supervisera notre Programme de protection de la vie privée, qui fournit une approche complète et coordonnée de la gestion du risque de protection de la vie privée tout en appuyant les besoins et stratégies de la société. Notre Programme de protection de la vie privée comprend, au minimum, les éléments suivants :

  • Cadre de politique
  • Conformité juridique
  • Guichet unique
  • Documentation de la conformité en matière de protection des données (décisions, mise en œuvre et audit)
  • Registres des activités de traitement
  • Analyse d'impact relative à la protection des données
  • Gestion des risques liés à la vie privée des fournisseurs
  • Formation à la protection des données
  • Gestion des violations de données
  • Droits des personnes concernées
    1. Cadre de politique
      Notre entreprise doit respecter en permanence la présente Politique, le Code de conduite et d’éthique professionnelle et toutes les politiques, procédures et normes internes relatives à la confidentialité, telles que la Politique relative à l’utilisation acceptable et aux technologies de l’information, la Politique de classification et de traitement des données, la Politique de réponse aux incidents et les avis de confidentialité adressés au personnel, aux utilisateurs en ligne et à d’autres personnes. Veuillez noter que ceux-ci peuvent être mis à jour ou remplacés de temps à autre et que la liste ci-dessous peut être complétée avec des politiques supplémentaires.

    2. Conformité juridique
      Le Service juridique fera appliquer à tout moment des processus qui permettent à notre entreprise de comprendre et de respecter les exigences légales en matière de protection des données, telles que la fourniture d’avis de confidentialité aux personnes concernées et l’obtention de leur consentement au traitement des données si nécessaire. Le Service juridique veillera à ce que les lois sur la protection de la vie privée soient appliquées systématiquement dans toute la région où ces lois s’appliquent.

    3. Guichet unique
      Le Service juridique, conjointement avec la haute direction, déterminera où notre établissement principal pourrait être situé en fonction de nos activités de traitement des données afin d’identifier l’autorité de contrôle principale au sein de l’Union européenne pour le traitement transfrontalier. La décision doit être documentée. Le Service juridique suivra de près les conseils et autres publications de l’autorité de contrôle chef de file et déterminera les priorités d’application.

    4. Documentation de la conformité en matière de protection des données (décisions, mise en œuvre et audit)
      Le Service juridique, soutenu par les fonctions commerciales concernées, créera et conservera des registres des décisions et des mesures prises pour la gestion des risques liés à la vie privée et la conformité aux lois sur la protection des données. Cela permettra également une collaboration efficace avec les organismes de réglementation lorsque cela est nécessaire et permettra à notre entreprise de documenter et de démontrer sa conformité en matière de protection de la vie privée à tout moment.

      Si des décisions et des mesures relatives à la vie privée sont prises au niveau régional ou commercial, les politiques et procédures pertinentes établiront la propriété et la responsabilité de la tenue des dossiers appropriés.

      Le Service juridique sera également chargé d’assurer et de superviser le développement de tout document supplémentaire qui peut être requis pour démontrer la conformité aux lois applicables en matière de protection des données (par ex., formulaires de consentement, avis aux personnes concernées, registre des violations de données à caractère personnel).

    5. Registres des activités de traitement
      Le Service juridique rassemblera dans un document dynamique la liste de toutes les activités de traitement au sein de notre entreprise à un moment donné et ce document sera mis à jour de temps à autre pour refléter les changements dans les opérations commerciales. Le Service informatique, le Service RH et toute autre fonction commerciale impliquée dans le traitement des données à caractère personnel doivent contribuer à l’enregistrement des activités de traitement (fournir des informations pertinentes telles que les finalités de l’utilisation des données et des transferts de données).

    6. Analyses d'impact relative à la protection des données
      Le Service juridique établira des directives et des procédures pour effectuer des AIPD en ce qui concerne les nouveaux produits, technologies et opérations commerciales, lorsque les lois applicables l’exigent ou lorsque cela semble approprié pour gérer le risque pour la vie privée. Les AIPD nécessiteront la contribution et l’implication des fonctions commerciales concernées.

    7. Gestion des risques liés à la vie privée des fournisseurs
      La gestion des risques pour engager des fournisseurs tiers qui traitent des données à caractère personnel en notre nom (« sous-traitants ») est cruciale pour garantir notre conformité en matière de protection des données. Le Service juridique fournira des directives et tout contenu relatif à la confidentialité nécessaire à l’évaluation des risques des tiers, en les tenant à jour si nécessaire pour intégrer les risques émergents en matière de vie privée. Les risques associés à un tiers doivent être signalés au Service juridique.



      En particulier, le Service juridique veillera à ce que :
      • tout sous-traitant soit soumis à une diligence raisonnable adéquate concernant ses mesures de sécurité de l’information avant d’être sélectionné en tant que partenaire commercial ;
      • un accord de traitement approprié soit mis en place avec tout sous-traitant qui impose des obligations de protection des données au sous-traitant ; et
      • le respect par le sous-traitant de l’accord de traitement et du droit applicable soit surveillé de temps à autre.

    8. Formation à la protection des données
      La formation à la protection des données fera partie du plan annuel de formation à la conformité et sera obligatoire pour le personnel concerné dès son arrivée dans l’entreprise et régulièrement par la suite. Le Service juridique s’assurera que le contenu de la formation reste à jour et adapté aux opérations commerciales de notre entreprise, et qu’il est actualisé régulièrement. Les taux d’achèvement de la formation seront surveillés et documentés (par ex., journal de formation).

    9. Gestion des violations de données
      Toutes les fonctions commerciales sont responsables de la surveillance des opérations commerciales pour les incidents concernant la sécurité des données à caractère personnel, de leur saisie en temps utile et de manière systématique, et de l’exécution des stratégies d’atténuation des risques appropriées.

      Tous les employés et fonctions commerciales sont responsables de la remontée immédiate de toute violation de données réelle ou suspectée conformément à notre Politique d’intervention en cas d’incident. Tout bureau et/ou toute fonction commerciale concernés sont tenus de prendre part à la gestion des violations conformément à cette politique.

      Le Service juridique, en collaboration avec le Service informatique, s’assurera que les incidents et les événements à risque connus sont identifiés, évalués et éliminés de manière appropriée, et évaluera les tendances afin que les causes profondes puissent être traitées. Le Service juridique traitera également les notifications de violation au régulateur compétent ou aux personnes concernées, si les lois applicables l’exigent.

    10. Droits des personnes concernées
      Le Service juridique fournira des directives et une assistance au Service RH et à tout autre bureau pour répondre à toute demande d’une personne concernée (par ex., demande d’accès aux données à caractère personnel que nous détenons conformément au droit applicable), ainsi que pour informer toute personne concernée de ses droits en vertu du droit applicable, ce qui inclut le droit d’introduire une réclamation auprès d’autorités règlementaires compétentes en matière de confidentialité des données si la Société viole toute loi applicable en matière de confidentialité des données dans le traitement des données à caractère personnel et sensibles d’une personne concernée.

6.  Ce que les employés, les sous-traitants, les consultants et les travailleurs doivent faire

Appliquer les Principes de protection des données à la collecte et à l’utilisation des données à caractère personnel et suivre les politiques, procédures et normes en matière de confidentialité.

En particulier, le respect des politiques suivantes est requis :

  • Politique relative à l’utilisation acceptable et aux technologies de l’information
  • Politique relative aux données confidentielles
  • Politique de classification et de traitement des données
  • Politique relative aux e-mails
  • Politique de chiffrement
  • Politique relative aux mots de passe
  • Politique d’accès à distance
  • Politique relative aux logiciels tiers
  • Politique de conservation des données

Vous devez également suivre toutes les formations obligatoires sur la protection des données.

Le non-respect des conditions de la présente Politique peut entraîner des mesures disciplinaires pouvant aller jusqu’au licenciement ou à la cessation de la relation commerciale, ainsi que des poursuites judiciaires

7.  Signalement et questions

Le Personnel d'ICU Medical peut signaler toute préoccupation par le biais d’une ligne d’assistance anonyme et confidentielle au 1-844-330-0007. Des signalements anonymes et confidentiels peuvent également être faits par e-mail à reports@lighthouse-services.com(doit inclure le nom de la Société dans le signalement), par le biais d’une soumission confidentielle en ligne à l’adresse www.lighthouse-services.com/icumed, ou via la section Signalements de gouvernance de notre site Web de gouvernance d’entreprise à l’adresse https://ir.icumed.com/governance.cfm. Un Représentant de la société peut également faire des signalements confidentiels à son superviseur, aux RH, au Responsable de la conformité ou au Directeur juridique.

8.  Modification de la Politique

Le Service juridique examinera la présente Politique au moins une fois par an et recommandera des modifications appropriées.

Nous attirerons votre attention sur tout changement, le cas échéant ou si nécessaire

9.  Dérogations et remontées d’information

Toute dérogation à la présente Politique doit être examinée et approuvée par le Service juridique. Toutes les dérogations à la présente Politique doivent être approuvées par écrit avant leur mise en œuvre.

Le Service juridique est chargé de résoudre les problèmes d’interprétation de la présente Politique à la lumière des exigences légales et réglementaires. Le Service juridique est chargé de répondre aux questions relatives à l’interprétation de la présente Politique.

Annexe A

Politique mondiale de confidentialité – Annexe pour la Colombie

ICU MEDICAL COLOMBIA LIMITADA (« ICU COLOMBIA »), domiciliée en Colombie, est une filiale d’ICU MEDICAL, INC (la « Société ») basée aux États-Unis.

La présente Annexe est destinée à compléter la Politique mondiale de confidentialité (« PMC ») de la Société afin d’inclure des dispositions qui ne sont applicables que dans la mesure où la Loi colombienne sur la protection des données s’applique. La Loi colombienne sur la protection des données s’applique uniquement au traitement en Colombie de données à caractère personnel et au traitement des données à caractère personnel des Personnes concernées basées en Colombie à l’étranger, dans certaines circonstances.

Les termes utilisés dans les présentes auront la signification qui leur est attribuée dans la PMC, sauf indication contraire dans les présentes.

Terme

Définition

Définitions

Dans la mesure où la Loi colombienne sur la protection des données s’applique, en plus des définitions fournies dans la section « Définitions » de la PMC, les définitions suivantes seront appliquées et dans la mesure où il existe un conflit dans les « Définitions », les définitions ci-dessous prévaudront :

  1. Lois sur la protection des données : Le droit applicable, dans ce cas, les lois et règlements colombiens.
  2. Traitement des données : Toute opération ou ensemble d’opérations appliquées à des données à caractère personnel, telles que la collecte, la conservation, l’utilisation, la diffusion ou la suppression.
  3. Autorisation : Consentement préalable, exprès et éclairé de la Personne concernée, au traitement de ses Données à caractère personnel.
  4. Sous-traitant : Personne physique ou morale, publique ou privée, qui, seule ou en association avec d’autres, traite des données à caractère personnel pour le compte du Responsable du traitement.
  5. Responsable du traitement : Personne physique ou morale, publique ou privée, qui, seule ou en association avec d’autres, décide de la base et/ou du traitement des données.
  6. Personne concernée : Toute personne vivante à laquelle les données à caractère personnel ou les données sensibles se rapportent.
  7. Transfert : Le Transfert de données a lieu lorsque le Responsable du traitement et/ou le Sous-traitant, situé en Colombie, envoie les informations ou les Données à caractère personnel à un destinataire, qui est également un Responsable du traitement et qui est situé à l’intérieur ou à l’extérieur du Pays.
  8. Transmission : Traitement de Données à caractère personnel qui implique la communication de Données à caractère personnel, à l’intérieur ou à l’extérieur de la Colombie, lorsqu’il a pour finalité un Traitement de données effectué par un Sous-traitant pour le compte d’un Responsable du traitement.

Les Principes de protection des données

Dans la mesure où la Loi colombienne sur la protection des données s’applique, en plus des principes prévus dans la section « Principes de protection des données » de la PMC, les principes suivants seront appliqués :

  1. Principe de l’État de droit concernant le Traitement des données : Le Traitement effectué en vertu du Régime colombien de protection des données (lois et règlements) est une activité réglementée qui doit être soumise à ses dispositions.
  2. Principe de finalité : le Traitement des données doit avoir une finalité légitime conformément à la Constitution et à la loi, qui doit être communiquée à la Personne concernée.
  3. Principe de liberté : le Traitement ne peut être effectué qu’avec le consentement exprès, préalable et éclairé de la Personne concernée et ne peut être obtenu ou divulgué sans son autorisation, ou s’il n’existe pas de mandat légal ou judiciaire qui dispense du consentement.
  4. Principe de confidentialité : toutes les personnes impliquées dans le traitement des Données à caractère personnel qui ne sont pas de nature publique sont tenues d’assurer la confidentialité des informations.

Finalité du Traitement des Données à caractère personnel et des Données à caractère personnel sensibles

Les informations personnelles collectées par ICU COLOMBIA seront traitées aux fins suivantes :

  1. Envoi/traitement d’informations et de documents liés à la relation commerciale entre les Personnes concernées et ICU COLOMBIA.
  2. Fournir des coordonnées au service commercial et/ou au réseau de distribution d’ICU COLOMBIA.
  3. Transmission internationale des données par hébergement sur des serveurs externes.
  4. Transfert international de données par envoi à une autre filiale ou à toute autre entité liée à ICU COLOMBIA.
  5. Transfert d’informations, d’exigences et de notifications d’ICU COLOMBIA à tous ses employés, fournisseurs, sous-traitants et autres Personnes concernées.
  6. Envoi de bulletins d’information, d’e-mails et d’autres messages, sur les promotions et événements ou activités effectués par ICU COLOMBIA.
  7. Envoyer des enquêtes de satisfaction des clients, des utilisateurs et des clients potentiels.
  8. Transmission d’informations pour se conformer aux exigences légales et aux exigences des autorités judiciaires.
  9. Les autres finalités décrites dans les formulaires de consentement.

Motifs du Traitement des Données à caractère personnel

Dans la mesure où la Loi colombienne sur la protection des données s’applique, les Données à caractère personnel et les Données à caractère personnel sensibles seront soumises aux exigences suivantes :

Données à caractère personnel
Les fondements juridiques du Traitement des Données à caractère personnel sont ceux spécifiés aux articles 9 et 10 de la Loi 1581 de 2012.

Données à caractère personnel sensibles
Les fondements juridiques du Traitement des Données à caractère personnel sont ceux spécifiés à l’article 6 de la Loi 1581 de 2012.>

Consentement

Les critères de consentement mentionnés dans la PMC s’appliqueront en vertu de la présente Annexe, ainsi que les critères supplémentaires suivants :

  1. Le Traitement des Données à caractère personnel et des Données à caractère personnel sensibles nécessite le consentement préalable, exprès et éclairé de la Personne concernée.
  2. Les Responsables du traitement des données établiront des mécanismes pour obtenir l’autorisation des Personnes concernées ou de toute personne habilitée conformément aux dispositions de l’article 20 du décret 1377 de ces mécanismes peuvent inclure des moyens techniques qui peuvent faciliter l’obtention du consentement automatisé par le Sous-traitant. L’autorisation est conforme à ces exigences si elle est fournie (i) par écrit, (ii) oralement ou (iii) par les comportements sans équivoque de la Personne concernée qui conduisent à conclure raisonnablement que l’autorisation a été donnée. Le silence ne peut en aucun cas être interprété comme un comportement sans équivoque.
  3. Le formulaire de consentement doit inclure une case spécifique autorisant la collecte, le Traitement et le Transfert de Données à caractère personnel sensibles. Cette case doit être différente de la case utilisée pour consentir à la collecte de Données à caractère personnel non sensibles.

Traitement équitable des informations

Les informations devant être fournies à la Personne concernée, mentionnées dans la PMC, s’appliquent en vertu de la présente Annexe, ainsi que les informations supplémentaires suivantes :

  1. Nom ou dénomination sociale, domicile, adresse, adresse électronique et numéro de téléphone du Responsable du traitement.
  2. Les droits conférés à la Personne concernée.
  3. Personne ou domaine chargé de répondre aux demandes, demandes de renseignements et plaintes au moyen desquelles la Personne concernée peut exercer ses droits de connaître, mettre à jour, rectifier et supprimer les données et révoquer l’Autorisation.
  4. Procédure permettant aux Personnes concernées d’exercer leurs droits de connaître, mettre à jour, rectifier et supprimer les informations et de révoquer l’Autorisation.

Transfert/Transmission de données à des tiers

Dans la mesure où la Loi colombienne sur la protection des données s’applique, les éléments suivants doivent être pris en compte :

Si ICU COLOMBIA demande à un tiers de traiter des Données à caractère personnel pour le compte d’ICU COLOMBIA (Transmission de données) ou à ses propres fins (Transfert de données), le tiers doit conclure un accord écrit avec ICU COLOMBIA. Les accords doivent inclure un certain nombre de dispositions imposées par les articles 24 et 25 du décret 1377 de 2013 concernant le transfert et la transmission internationaux de données à caractère personnel et l’accord de transmission de données à caractère personnel.

En plus de ce qui précède, dans le cas de transmissions, le Responsable du traitement doit uniquement informer la Personne concernée qu’il est possible que des données soient partagées avec des tiers sous-traitants et indiquer si ces sous-traitants sont situés à l’étranger au moment de l’obtention du consentement. Dans ce cas, la Personne concernée doit être informée de la possibilité d’une transmission, mais il n’est pas nécessaire d’obtenir son consentement préalable et exprès au partage de ses Données à caractère personnel avec le sous-traitant tiers qui a signé un accord de transmission conformément aux lois applicables en Colombie.

En revanche, dans le cas du transfert, le Responsable du traitement partagera les données avec un nouveau Responsable du traitement des données. Par conséquent, il doit obtenir le consentement de la Personne concernée au partage de ces données avec le nouveau Responsable du traitement et doit également divulguer la politique de confidentialité qui s’appliquera (c.-à-d. celle du nouveau Responsable du traitement). Les accords respectifs doivent refléter ces conditions, entre autres exigences.

Transferts internationaux de Données à caractère personnel

Dans la mesure où la Loi colombienne sur la protection des données s’applique, les éléments suivants doivent être pris en compte :

Conformément à la Loi 1581 de 2012, au décret 1377 de 2013 et à ses règles et réglementations connexes, les Données à caractère personnel, quelle que soit leur nature, ne peuvent être transférées que vers des pays qui offrent des niveaux de protection des données suffisants. Un pays doit être considéré comme offrant des niveaux de protection des données suffisants s’il respecte les normes applicables définies par la Surintendance de l’industrie et du commerce (« SIC »). Les normes précédentes ne peuvent en aucun cas prévoir des obligations moins contraignantes que celles contenues dans le Régime colombien de protection des données.

Cette interdiction ne s’applique pas aux :

  1. Informations dont la Personne concernée a expressément et sans équivoque autorisé le transfert.
  2. Échange de données médicales si cela est requis par le Traitement des données de la Personne concernée pour des raisons de santé publique.
  3. Transferts bancaires ou de marché conformément aux dispositions applicables
  4. Transferts convenus en vertu d’accords internationaux auxquels la République de Colombie est partie sur la base du principe de
  5. Transferts nécessaires à l’exécution d’un contrat entre la Personne concernée et le Responsable du traitement, ou à l’exécution de futures mesures contractuelles à condition que la Personne concernée ait donné son consentement.

Droits des Personnes concernées

Dans la mesure où la Loi colombienne sur la protection des données s’applique, les Personnes concernées colombiennes ont un certain nombre de droits à l’égard de leurs Données à caractère personnel. Ces droits comprennent :

  1. Accéder à leurs Données à caractère personnel, les mettre à jour et les rectifier auprès du Responsable du traitement ou du Sous-traitant si elles sont partielles, inexactes, incomplètes, divisées, trompeuses ou si leur traitement n’est pas autorisé/est interdit.
  2. Demander la preuve du consentement accordé.
  3. Demander quelle utilisation ou quel traitement a été fait de leurs Données à caractère personnel
  4. Déposer des réclamations auprès de la Surintendance de l’industrie et du commerce
  5. Retirer le consentement ou demander la suppression des données si des principes ont été violés lorsque la Surintendance de l’industrie et du commerce détermine que le traitement par le Responsable du traitement ou le Sous-traitant était contraire à la loi et à la Constitution colombienne.

Procédure de consultation

À tout moment et sans frais, la Personne concernée et/ou ses successeurs peuvent consulter ses Données à caractère personnel en possession d’ICU COLOMBIA. La demande de consultation doit être envoyée par e-mail au Délégué à la protection des données, dont les coordonnées doivent être accessibles aux Personnes concernées. ICU COLOMBIA répondra à toutes les demandes de consultation dans les dix (10) jours ouvrables suivant leur réception. Si ICU COLOMBIA n’est pas en mesure de répondre dans ce délai, la Personne concernée sera informée de ce fait, des raisons du retard et de la date à laquelle elle recevra une réponse,

qui ne doit pas dépasser cinq (5) jours ouvrables suivant l’expiration de la durée initiale.

Procédure de réclamation

Si la Personne concernée et/ou ses successeurs estiment que leurs Données à caractère personnel en possession d’ICU COLOMBIA doivent être modifiées, mises à jour ou supprimées, ou s’ils ont une réclamation liée à leurs Données à caractère personnel en possession d’ICU COLOMBIA ou au traitement de leurs Données à caractère personnel par la Société, ils peuvent soumettre une réclamation en respectant les conditions suivantes :

  1. La demande doit être déposée en utilisant le formulaire préparé par ICU COLOMBIA à ces fins.
  2. La réclamation doit contenir au moins les informations suivantes : (i) l’identification appropriée de la Personne concernée ; (ii) la description des événements à l’origine de la réclamation ; (iii) les coordonnées de la Personne concernée et ; (iv) tout document que la Personne concernée juge pertinent pour la réclamation. Si l’une de ces informations est manquante dans la réclamation, dans les cinq (5) jours ouvrables suivant la réception de la réclamation, ICU COLOMBIA doit demander à la Personne concernée de mettre à jour le formulaire de réclamation avec les informations manquantes.
    Dans les deux (2) jours ouvrables suivant la réception d’une réclamation complète, une note doit être ajoutée à la base de données dans laquelle la Personne concernée par la réclamation est enregistrée, indiquant qu’une réclamation liée aux informations incluses dans cette base de données est en cours de traitement. Une brève explication de la réclamation doit également être insérée dans la base de données correspondante jusqu’à ce que la réclamation soit résolue.
  3. ICU COLOMBIA dispose d’un délai de quinze (15) jours ouvrables à compter du jour de réception de la réclamation complète pour fournir une réponse à la Personne concernée. Si ICU COLOMBIA n’est pas en mesure de répondre dans ce délai, elle doit informer la Personne concernée de ce fait, des raisons du retard et de la date à laquelle la réclamation sera traitée, qui ne doit pas dépasser huit (8) jours ouvrables suivant l’expiration de la durée initiale.
    Si ICU COLOMBIA reçoit une réclamation qui aurait dû être adressée à une autre entité, elle doit envoyer la réclamation à l’entité correspondante et informer la Personne concernée de cette situation.

Délégué à la protection des données

Comme mentionné dans la PMC, ICU COLOMBIA doit nommer et avoir à tout moment un Délégué à la protection des données qui a les obligations suivantes :

  1. Répondre aux demandes de consultation et aux réclamations des Personnes concernées : Le Délégué à la protection des données est chargé de répondre à toutes les demandes de consultation et réclamations des Personnes concernées ou de leurs successeurs liées aux Données à caractère personnel détenues par ICU COLOMBIA et au traitement de leurs Données à caractère personnel.
  2. Fournir une assistance et un soutien à d’autres domaines de la Société : Toute question au sein d’ICU COLOMBIA relative au traitement des Données à caractère personnel doit être traitée par le service de Protection des données
  3. Gestion des risques : Toute situation entraînant ou pouvant entraîner une violation de la sécurité des Données à caractère personnel doit être signalée au Délégué à la protection des données, qui est responsable de la préparation et de la mise en œuvre d’un plan de gestion et de résolution de la violation de la sécurité ou de la violation potentielle.
  4. Maintenir à jour les enregistrements liés à la protection des données et soumettre les dépôts aux autorités : Le Délégué à la protection des données doit s’assurer que (i) les informations d’ICU COLOMBIA et de ses Personnes concernées incluses dans le Registre national des bases de données géré par la SIC sont dûment maintenues à jour ; (ii) toutes les nouvelles bases de données créées par ICU COLOMBIA qui contiennent des Données à caractère personnel sont dûment enregistrées auprès de la SIC ; (iii) les réclamations déposées par les Personnes concernées sont dûment déclarées à la SIC ; et (iv) tout incident de sécurité lié aux Données à caractère personnel est signalé à la SIC.
Responsable du Traitement des données

Le Responsable du traitement des Données à caractère personnel en Colombie est ICU MEDICAL COLOMBIA LIMITADA, NIT : 830143035-2, domiciliée dans la ville de Bogotá en Colombie, Avenida Carrera 72 # 80-94.

Toutes les demandes concernant le Traitement des Données à caractère personnel doivent être envoyées par e-mail à habeasdatacolombia@icumed.com.

Coordonnées du Délégué à la protection des données et pour le signalement

Les préoccupations peuvent être signalées par le biais d’une ligne d’assistance anonyme et confidentielle au 1-844-330-0007. Des signalements anonymes et confidentiels peuvent également être faits par e-mail à reports@lighthouse-services.com(doit inclure le nom de la Société dans le signalement), par le biais d’une soumission confidentielle en ligne à l’adresse www.lighthouse-services.com/icumed, ou via la section Signalements de gouvernance de notre site Web de gouvernance d’entreprise à l’adresse https://ir.icumed.com/corporate-governance. Le Délégué à la protection des données peut être contacté par e-mail : ethicsandcompliance@icumed.com.

Date d’effet

L’Annexe mentionnée dans le présent document prendra effet le 1er juillet 2020, mais pourra être modifiée à tout moment, auquel cas le document pertinent sera communiqué aux Personnes concernées.

Annexe B

Politique mondiale de confidentialité – Annexe pour le Mexique

Dans la mesure où les lois ou réglementations mexicaines sur la protection des données s’appliquent, les éléments et dispositions de base supplémentaires spécifiques au Mexique s’appliquent et l’emporteront sur les dispositions contradictoires de la Politique mondiale de confidentialité existante.

Terme

Définition

Définitions

  1. « Loi sur la protection des données » désigne la Loi fédérale sur la protection des données à caractère personnel détenues par des Parties privées (Ley Federal de Protección de Datos Personales en Posesión de los Particulares ou FDPL) et ses Règlements d’application.
  2. « Données à caractère personnel sensibles » désigne toutes les données génétiques, biométriques et liées à la santé, ainsi que les données à caractère personnel révélant l’origine raciale et ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Ces données sont soumises à un niveau de protection plus élevé et doivent être traitées avec une sécurité renforcée.

Principes de protection des données

En plus des principes énoncés dans la sectionError! Reference source not found., les dispositions de la loi mexicaine sur la protection des données énoncent les principes clés suivants relatifs au traitement des données à caractère personnel :

  1. Consentement : Le traitement et le transfert des données à caractère personnel sont basés sur le consentement de la personne concernée. Le consentement explicite est nécessaire au traitement et au transfert des Données à caractère personnel sensibles, des données financières ou immobilières. Avant de donner son consentement, la personne concernée en sera informée. Par dérogation aux règles générales, aucun consentement n’est requis pour le transfert de données entre notre entreprise et un sous-traitant tant qu’un accord de traitement de données est en place.
  2. Limitation de la finalité : Les données à caractère personnel seront collectées à des fins déterminées, explicites et légitimes, comme indiqué dans la Déclaration de confidentialité correspondante. Un traitement ultérieur à d’autres fins incompatibles avec les finalités initiales doit faire l’objet d’un consentement spécifique pour la nouvelle finalité.
  3. Principe de minimisation : Le traitement doit être adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités du traitement.
  4. Principe de loyauté : Les données à caractère personnel doivent être traitées de manière à garantir une sécurité appropriée des données à caractère personnel, en donnant la priorité à la protection des intérêts de la personne concernée.
Déclaration de confidentialité

Notre entreprise est tenue d’enregistrer nos finalités pour la collecte et le traitement et de les spécifier dans un document destiné aux personnes concernées. En vertu de la loi mexicaine, une Déclaration de confidentialité des données adéquat doit, au moins, contenir les informations suivantes :

  1. Notre identité, notre adresse (y compris la rue, le numéro, la ville, le code postal) et nos coordonnées
  2. Finalités du traitement des données à caractère personnel
  3. Catégories de données à caractère personnel concernées
  4. Informations spécifiques sur notre traitement des données à caractère personnel sensibles
  5. L’existence du droit de retirer son consentement au traitement ultérieur des données à caractère personnel à des fins autres que celles pour lesquelles les données à caractère personnel ont été collectées (c.-à-d., à des fins de marketing)
  6. Le cas échéant, le fait que nous avons l’intention de transférer des données à caractère personnel à un tiers au Mexique ou dans un pays tiers
  7. Modalités d’exercice des droits des personnes concernées
  8. Comment la personne concernée peut-elle retirer son consentement au traitement des données ?
  9. Moyens d’exercer le droit de demander à la Société la limitation du traitement ou de la divulgation concernant la personne concernée
  10. Politique relative aux cookies fournissant des informations sur les types de cookies actifs sur notre site Web, les données qu’ils suivent, à quelle fin, les pays vers lesquels les données sont envoyées, et des instructions détaillées pour définir leurs préférences en matière de cookies
  11. Coordonnées de notre Délégué à la protection des données ou service de Protection des données
  12. Procédures et moyens de communiquer les modifications apportées à notre Déclaration de confidentialité

Ces informations seront fournies par écrit ou par d’autres moyens, y compris, au besoin, par voie électronique.

Conditions du consentement

Le traitement des données à caractère personnel n’est licite que dans la mesure où la personne concernée a donné son consentement au traitement de ses données à caractère personnel à une ou plusieurs fins spécifiques.

La Société est tenue d’obtenir une déclaration de consentement expresse de la personne concernée, par exemple dans une déclaration écrite, si la loi ou la Personne concernée l’exige, pour le traitement de données à caractère personnel sensibles, de données financières ou de données à caractère personnel.

Cependant, une personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.

La FDPL permet d’obtenir un consentement écrit exprès par des moyens technologiques (y compris des boutons ou des cases « J’accepte », tant qu’ils ne sont pas présélectionnés). Les principales règles relatives au consentement peuvent être résumées comme suit :

  1. Le consentement est requis pour la collecte de données à caractère personnel sensibles
  2. Le consentement est requis pour la collecte de données financières ou relatives aux biens mobiliers
  3. Les cases à cocher pour obtenir le consentement ne doivent pas être pré-cochées
  4. Le consentement n’est pas requis dans certains cas exceptionnels énoncés dans la FDPL, y compris la collecte de données pour l’exécution d’un contrat
  5. Traitement des données non essentielles Le texte de la Déclaration de confidentialité doit faire la différence entre les finalités du traitement des données qui sont nécessaires à l’existence, au maintien et à la conformité de la relation juridique entre notre entreprise et la personne concernée, qui entraînent l’existence de la relation, et les finalités qui ne sont pas essentielles (par ex., le traitement des données à caractère personnel à des fins de prospection)
  6. Règle de retrait du consentement Dans le cas d’un traitement inutile ou secondaire, la Déclaration de confidentialité doit inclure un mécanisme permettant à la personne concernée d’exercer le droit de retirer son consentement au traitement des données à cette fin.
Dispense de consentement

Notre entreprise n’est pas tenue d’obtenir le consentement au traitement des données à caractère personnel lorsque :

  1. les données à caractère personnel doivent être traitées en vertu de la loi, par toute autorité gouvernementale ou autre, ou par un tribunal ou une autre autorité compétente ;
  2. le traitement concerne des données à caractère personnel qui sont accessibles au public ;
  3. les données à caractère personnel font l’objet d’un processus de désagrégation ;
  4. le traitement est nécessaire à l’exécution d’un contrat auquel la Société et la personne concernée sont parties ;
  5. le traitement est nécessaire à la protection des intérêts vitaux d’une personne ;
  6. le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale, lorsque la Personne concernée est physiquement ou légalement incapable de donner son consentement.
Droits des Personnes concernées

Nous faciliterons l’exercice des droits des personnes concernées et nous ne refuserons pas d’agir à la demande de la personne concernée exerçant les droits suivants : (i) droit d’accéder aux données à caractère personnel que nous conservons, et d’obtenir des informations concernant nos pratiques de traitement ; (ii) droit de rectification des données à caractère personnel inexactes concernant la personne concernée ; (iii) droit de demander la suppression des données à caractère personnel si les données ne sont pas traitées en vertu de la loi ou si elles ne sont plus nécessaires ; et (iv) droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant qui est fondé sur des motifs légitimes ou à des fins spécifiques. Ces droits sont appelés « Droits ARCO ».

Les personnes concernées ont le droit de retirer à tout moment leur consentement au traitement de leurs données à caractère personnel.

En outre, nous fournirons aux personnes concernées des informations supplémentaires sur leur droit d’introduire une réclamation auprès de l’autorité de contrôle.

Communication d’une violation de données à caractère personnel

Si la violation de données à caractère personnel est susceptible d’entraîner un risque élevé pour les droits des personnes, notre entreprise doit communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. La communication à la personne concernée doit au moins décrire la nature de la violation de données à caractère personnel, les données à caractère personnel impliquées, les mesures recommandées à prendre par la personne concernée pour protéger ses intérêts, les mesures prises ou envisagées par la Société pour traiter la violation de données à caractère personnel, ainsi que le nom et les coordonnées de notre Délégué à la protection des données ou d’un autre point de contact au sein de notre entreprise où des informations complémentaires peuvent être obtenues.

Délégué à la protection des données/service de Protection des données

Notre entreprise est tenue de nommer un employé en tant que Délégué à la protection des données ou de mettre en place un service de Protection des données. Ce Délégué à la protection des données ou service de Protection des données sera chargé d’agir en réponse aux demandes des personnes concernées.