Déclaration de protection des données HL7

18 juillet 2018

Dans la présente déclaration de protection des données, nous, le groupe d’utilisateurs HL7 Suisse, expliquons comment nous collectons et traitons les données à caractère personnel. Cette description ne saurait être exhaustive ; le cas échéant, d’autres déclarations de protection des données ou conditions générales, statuts, conditions de participation et autres documents similaires règlent des cas de figure spécifiques. Par données à caractère personnel, il faut entendre toutes les indications et informations qui se rapportent à une personne identifiée ou identifiable. 

L’utilisation de ce site web est possible sans avoir à fournir de données à caractère personnel. La fourniture de telles données est toujours facultative. Sans votre consentement express, vos données ne seront pas transmises à des tiers à des fins publicitaires, etc.

Si vous mettez à notre disposition des données à caractère personnel d’autres personnes, comme des membres de votre famille, des collègues de travail, etc., veuillez vous assurer que ces personnes ont connaissance de la présente déclaration de protection des données et ne nous communiquez leurs données à caractère personnel que si vous y êtes autorisé et si lesdites données sont exactes.

La présente Déclaration de protection des données se fonde sur le règlement général sur la protection des données (RGPD) de l’UE. Bien que le RGPD soit une réglementation de l’Union européenne, il est important pour nous. La loi fédérale sur la protection des données suisse (LPD) est fortement influencée par le droit de l’UE, et, dans certaines circonstances, les entreprises localisées en dehors de l’Union européenne ou de l’EEE doivent respecter le RGPD. 

Terminologie

Données à caractère personnel

Les données à caractère personnel correspondent à toutes les données se rapportant à une personne physique identifiée ou identifiable. Une personne physique est réputée identifiable lorsqu’elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, numéro d’identification, à des données de localisation, un pseudonyme en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Personne concernée

Une personne concernée est toute personne physique identifiée ou identifiable dont les données à caractère personnel sont traitées par le responsable du traitement.

Traitement

Le traitement désigne tout processus automatisé et/ou exécuté avec ou sans aide en rapport avec des données à caractère personnel, tel que la lecture, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou tout autre type de mise à disposition, de comparaison ou d’association, la suppression ou la destruction.

Limitation du traitement

La limitation du traitement consiste à marquer des données à caractère personnel enregistrées dans le but de limiter leur traitement futur.[A1] 

Profilage

Le profilage désigne tout type de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels se rapportant à une personne physique, notamment pour analyser ou prédire des aspects relatifs au rendement au travail, à la situation économique, à la santé, aux préférences personnelles, aux centres d'intérêt, à la fiabilité, au comportement, à la localisation ou aux déplacements de cette personne physique.

Pseudonymisation

La pseudonymisation désigne le traitement de données à caractère personnel de telle sorte que ces données à caractère personnel ne puissent pas être attribuées à une personne concernée spécifique sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles garantissant que les données à caractère personnel ne peuvent pas être attribuées à une personne physique identifiée ou identifiable.

Préposé ou responsable du traitement

Le préposé ou responsable du traitement désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Lorsque les finalités et moyens de ce traitement sont prescrits par le droit de l’Union ou par le droit des États membres, le responsable ou les critères de sa désignation peuvent être prévus par le droit de l’Union ou par le droit des États membres.

Sous-traitant

Le sous-traitant désigne une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui traite des données à caractère personnel sur mandat du responsable.

Destinataire

Le destinataire désigne une personne physique ou morale, une autorité publique, un service ou tout autre organisme à qui des données à caractère personnel sont divulguées, qu’il s’agisse ou non d’un tiers. Les autorités publiques susceptibles de recevoir des données à caractère personnel dans le cadre d’une mission d’enquête particulière en vertu du droit de l’Union ou du droit des États membres ne sont toutefois pas considérées comme des destinataires.

Tiers

Un tiers est une personne physique ou morale, une autorité publique, un service ou tout organisme autre que la personne concernée, le responsable, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Consentement

Le consentement désigne toute manifestation de volonté éclairée et univoque, donnée par la personne concernée pour un cas spécifique et par laquelle la personne concernée déclare consentir au traitement des données à caractère personnel la concernant.

1. Responsable

Responsable du traitement de données décrit plus haut :

Groupe d’utilisateurs HL7 Suisse
Secrétariat
Oberstrasse 222
CH-9014 Saint-Gall

2. Collecte et traitement de données à caractère personnel 

Nous traitons en premier lieu les données à caractère personnel qui nous sont transmises par nos clients et par d’autres partenaires commerciaux, ou celles que nous collectons au moyen de l’exploitation de notre site web, nos applications et autres outils auprès de leurs utilisateurs dans le cadre de nos relations commerciales avec nos clients et autres partenaires commerciaux. 

3. Finalités du traitement des données et bases juridiques 

En tant qu’association, nous utilisons les données à caractère personnel que nous collectons en premier lieu pour conclure et exécuter nos contrats avec nos clients, membres et partenaires commerciaux, notamment dans le cadre de la communication avec nos clients et de l’achat de produits et services auprès de nos fournisseurs et sous-traitants, ainsi que pour nous conformer à nos obligations légales en Suisse et à l’étranger. Si vous travaillez pour un tel client ou partenaire commercial, vos données à caractère personnel peuvent bien entendu aussi être affectées à cette fonction.

Dans la mesure où vous nous avez donné votre consentement relativement au traitement de vos données à caractère personnel à certaines fins (par exemple lors de votre inscription pour recevoir des newsletters ou pour la réalisation d'un contrôle de fond), nous traitons vos données à caractère personnel dans le cadre et sur la base de ce consentement, pour autant que nous ne disposions pas d’une autre base juridique pour le faire et que nous en ayons besoin. Un tel consentement peut être révoqué en tout temps, ce qui n’a cependant pas de conséquence sur les traitements de données déjà réalisés. 

4. Cookies, suivi et autres technologies en relation avec l’utilisation de notre site web

E-mail

Conformément aux prescriptions légales, notre site web propose aux utilisateurs des adresses e-mail leur permettant une communication directe avec nous. Lorsque vous nous contactez par e-mail, les données à caractère personnel que vous nous transmettez sont enregistrées. Les données à caractère personnel transmises volontairement sont enregistrées pour le traitement et la prise de contact avec vous. Ces données ne sont pas transmises à des tiers. Ces données ne sont collectées qu'aux fins du traitement de votre demande.

Newsletter

Nous n’envoyons des newsletters dont le contenu est principalement informatif qu’avec le consentement explicite du destinataire ou une autorisation légale.

L’inscription à notre newsletter se fait par le biais d’une procédure de double opt-in, dans le cadre de laquelle vous recevez, après l’inscription, un e-mail vous demandant de confirmer votre inscription. Cette confirmation est nécessaire pour éviter toute inscription avec une adresse e-mail étrangère. L’inscription est consignée afin d'attester de la conformité de la procédure avec les exigences légales. Les données enregistrées sont notamment l’adresse e-mail, l’heure d’inscription et de confirmation, l’adresse IP et, le cas échéant, le nom. 

Pour l’envoi, nous utilisons le logiciel GoEast Mailwriter de GoEast GmbH, Oberstrasse 222, CH-9014 Saint-Gall, Suisse. Les adresses e-mail des destinataires ainsi que leurs autres données sont enregistrées sur les serveurs des prestataires chargés de l’envoi. Le prestataire chargé de l'envoi utilise ces données pour l’envoi et l’évaluation de la newsletter à notre demande.

Ces données sont traitées de manière strictement confidentielle et ne sont pas transmises à des tiers, à des fins publicitaires par exemple. 

La newsletter contient une balise web, c'est-à-dire un fichier de la taille d’un pixel qui indique quand débute la lecture de la newsletter au moment de son ouverture. Cela permet de compiler des statistiques simples sur le nombre de lecteurs de la newsletter. En outre, l’ouverture des liens présents dans la newsletter peut faire l’objet d’un suivi statistique. L’évaluation sert uniquement à identifier le comportement de lecture de nos utilisateurs et à adapter nos contenus en conséquence. Vous pouvez consulter ici les dispositions en matière de protection des données du prestataire chargé de l'envoi : Lien vers les dispositions relatives à la protection des données

Vous pouvez à tout moment vous désabonner de la newsletter. Vous trouverez un lien pour vous désabonner à la fin de chaque newsletter. 

Compte membre

Nous offrons aux utilisateurs la possibilité d’ouvrir un compte membre via le formulaire d’inscription PDF sur notre site web afin d’utiliser d’autres fonctions. 

Les données saisies dans le formulaire d’inscription sont traitées et enregistrées pour vous permettre de devenir membre et d'ouvrir un compte membre.[A2]  Les champs obligatoires sont marqués comme tels, car nous avons impérativement besoin de ces données pour l’exécution du contrat. Nous conservons les données relatives à votre profil jusqu’à ce que vous demandiez la suppression de votre compte en envoyant un message à l’adresse ci-dessus, que votre adhésion prenne fin ou que cela est nécessaire pour fournir les services contractuels convenus. etc. Vos données peuvent être transmises à des tiers pour des opérations de paiement, la réception de newsletters, etc.

Enregistrement de données par le prestataire d’hébergement du site web

Notre hébergeur est GoEast GmbH, Oberstrasse 222, CH-9014 Saint-Gall, Suisse. 

Les serveurs web de GoEast GmbH collectent des données et des informations générales à chaque consultation de notre site web. Celles-ci sont mémorisées dans les fichiers journaux du serveur. Sont notamment enregistrés le navigateur utilisé et sa version, le système d’exploitation, le site Internet référent, les sous-pages, la date et l’heure de l’accès, une adresse Internet Protocol (IP), le fournisseur d’accès à Internet (FAI) et d’autres données et informations servant à prévenir les dangers en cas d’attaques système.

Ces données et informations générales ne nous permettent pas de tirer de conclusions sur la personne concernée. Ces informations sont plutôt utilisées pour fournir correctement les contenus, optimiser le site web, garantir le bon fonctionnement de nos systèmes informatiques et fournir les informations nécessaires aux autorités de poursuite pénale en cas de cyberattaque. 

Les données peuvent être évaluées statistiquement, mais sans qu'aucun lien personnel ne soit établi. Les données anonymes des fichiers journaux du serveur sont conservées pendant six mois séparément de toutes les données à caractère personnel fournies par une personne.

Entreprise de transport

Pour l’exécution du contrat conformément à l’art. 6, al. 1, phrase 1, let. b RGPD, une partie de vos données peut être transmise à l’entreprise de transport chargée de la livraison. Il peut s’agir de l’adresse de livraison, de votre nom et de votre adresse e-mail (pour le suivi).

Matomo

Pour l’évaluation statistique des accès des visiteurs, nous utilisons le logiciel open source « Matomo », qui est hébergé sur les serveurs de GoEast GmbH. Votre adresse IP est enregistrée de manière anonyme seulement. Par le biais de Matomo, nous analysons quels contenus sont pertinents pour vous, d’où viennent les utilisateurs sur notre site web et où il y a des problèmes. Aucune observation concrète de nos utilisateurs en tant que personnes identifiables n’est effectuée. Matomo utilise des cookies pour autoriser l'analyse de l’utilisation de notre site web. Les informations collectées sont stockées sur des serveurs situés dans l’UE et sont effacées au bout de trois mois.

Si vous avez activé la fonction « Do Not Track » de votre navigateur, Matomo ne sera pas activé.

Cookies

Nous, ainsi que les fournisseurs tiers avec lesquels nous travaillons (GoEast Mailwriter), avons le droit d’utiliser des scripts, des balises web et des cookies associés à votre utilisation du service, des sites web de tiers et des applications mobiles. Les cookies peuvent être enregistrés sur votre ordinateur, sur votre appareil mobile, dans les e-mails envoyés et sur notre site web. Les cookies peuvent transmettre des informations sur votre utilisation de notre service, telles que les adresses IP, les types de navigateur et la date et l’heure d’utilisation.

Vous pouvez paramétrer certains cookies via votre navigateur afin d’empêcher l’enregistrement de cookies ou de vous y opposer durablement. Les cookies enregistrés peuvent également être supprimés. Cela peut toutefois restreindre la fonctionnalité de notre site web. Les paramètres varient en fonction du périphérique et du navigateur. Ils se trouvent généralement dans les paramètres de sécurité.

Les cookies nous permettent de reconnaître les utilisateurs de notre site Internet. L’objectif de cette reconnaissance est de faciliter l’utilisation de notre site web par les utilisateurs. Ainsi, ils n'ont par exemple pas besoin de se reconnecter à chaque visite. 

5. Transmission et transfert de données à l’étranger 

Dans le cadre de nos activités commerciales et des finalités visées au point 3, nous communiquons également des informations à des tiers, dans la mesure où cela est autorisé et nous semble approprié, soit parce qu’ils les traitent pour nous, soit parce qu’ils souhaitent les utiliser à leurs propres fins. Il s’agit notamment des tiers suivants :

• nos prestataires (internes et externes, p. ex. banques, assurances), y compris les sous-traitants (p. ex. fournisseurs informatiques); 
• nos distributeurs, fournisseurs, sous-traitants et autres partenaires commerciaux ; 
• les membres de l'association ;
• les autorités, services officiels ou tribunaux suisses et étrangers ; 
• les médias ; 
• le grand public, y compris les visiteurs de sites web et de réseaux sociaux ; 
• les concurrents, organisations de branche, associations, organisations telles que HL7 International et autres organes ;
• d’autres parties dans des procédures judiciaires potentielles ou effectives ; 

tous ensemble désignés par destinataires. 

6. Durée de conservation des données à caractère personnel 

Nous traitons et enregistrons vos données à caractère personnel, pour autant que cela soit nécessaire à l’exécution de nos obligations contractuelles et légales ou pour toute finalité en relation avec le traitement, par exemple pour la durée de toute la relation d’affaire (démarchage, déroulement et résiliation d'un contrat) et au-delà, conformément aux obligations légales de conservation et de documentation. Il arrive que des données à caractère personnel soient conservées pour la période durant laquelle des prétentions peuvent être exercées à l’encontre de notre entreprise et dans la mesure où nous y sommes légalement contraints par ailleurs ou que des intérêts commerciaux légitimes l’exigent (p. ex. à des fins de preuve et de documentation). Dès que vos données à caractère personnel ne sont plus requises aux fins précitées, elles seront en principe et autant que possible effacées ou anonymisées. Des délais de conservation plus courts de douze mois ou moins s’appliquent en principe aux données d’exploitation (p. ex. protocoles systèmes, journaux). 

7. Sécurité des données

Nous prenons les mesures techniques et organisationnelles appropriées pour protéger vos données à caractère personnel contre tout accès non autorisé et utilisation abusive, comme par exemple en élaborant des instructions, formations, solutions de sécurité informatique et réseau, des contrôles et restrictions d'accès, le chiffrement des supports et transfert de données, la pseudonymisation, des contrôles. 

Chiffrement SSL 

Pour des raisons de sécurité et afin de protéger la transmission de contenus confidentiels, nous utilisons un chiffrement SSL. Une connexion chiffrée est reconnaissable au fait que l’URL du navigateur commence par « https:// » au lieu de « http:// » et au symbole de cadenas dans la barre du navigateur. Lorsque le chiffrement SSL est activé, aucun tiers n’a accès aux données que vous transmettez, sauf s'il déploie des efforts importants.

8. Obligation de mise à disposition des données à caractère personnel

Dans le cadre de notre relation commerciale, vous devez fournir les données à caractère personnel nécessaires à l’établissement et à l’exécution d’une telle relation, ainsi qu’à l’exécution des obligations contractuelles qui y sont liées (en général, vous n’avez pas l’obligation légale de nous fournir des données). Sans ces données, nous ne serons généralement pas en mesure de conclure ou d’exécuter un contrat avec vous (ou le service ou la personne que vous représentez). Le site web ne peut pas non plus être utilisé lorsque certaines informations visant à assurer le trafic des données (p. ex. l’adresse IP) ne sont pas divulguées.

9. Droits de la personne concernée 

Dans le cadre du droit de la protection des données applicable et pour autant qu’il le prévoit (par exemple dans le cas du RGPD), vous avez un droit de regard, de rectification, de suppression, le droit de restreindre le traitement des données et de façon générale de contester nos traitements de données ainsi que de demander la communication de certaines données à caractère personnel en vue de leur transmission à un autre organe (portabilité des données). Notez toutefois que nous nous réservons le droit de faire valoir les restrictions prévues par la loi, par exemple lorsque nous sommes tenus de conserver ou de traiter certaines données, que nous avons un intérêt légitime en ce sens (pour autant que nous puissions l’invoquer) ou que nous en avons besoin pour faire valoir des droits. Si des frais sont dus, nous vous en informerons au préalable. Nous vous avons déjà informé au point 3 de la possibilité de révoquer votre consentement. Veuillez noter que l’exercice de ces droits peut être en conflit avec des accords contractuels et que cela peut avoir des conséquences telles que la résiliation anticipée du contrat ou des conséquences financières. Dans ce cas, nous vous informerons à l’avance si cela n’est pas déjà stipulé dans le contrat. 

L’exercice de tels droits suppose généralement que vous prouviez clairement votre identité (p. ex. à l’aide d’une copie de votre pièce d’identité lorsque votre identité n’est pas claire ou ne peut pas être vérifiée). Afin de faire valoir vos droits, vous pouvez nous contacter à l’adresse indiquée plus haut.

Toute personne concernée a en outre le droit de faire valoir ses droits en justice ou de former un recours auprès de l’autorité compétente en matière de protection des données. En Suisse, l’autorité de protection des données compétente est le Préposé fédéral à la protection des données et à la transparence.

10. Modifications

Nous pouvons modifier la présente déclaration de protection des données à tout moment sans préavis. La version la plus récente publiée sur notre site web fait foi. Dans la mesure où la déclaration relative à la protection des données fait partie d’un accord passé avec vous, nous vous informerons de la modification par e-mail ou par tout autre moyen approprié en cas d’actualisation.