Recherche, étude ou évaluation dans le domaine de la santé

Novembre 2020

Cette notice d’information sur la protection des données personnelles s’adresse à tous les professionnels intervenant dans le cadre de nos projets de recherche, étude ou évaluation dans le domaine de la santé. Elle s’adresse aux médecins investigateurs (investigateur principal, investigateur secondaire, co-investigateur) et au personnel du site investigateur (infirmiers, pharmaciens ou techniciens), dont les données personnelles pourraient être traitées au cours d’une recherche, d’une étude ou d’une évaluation sponsorisée par Novartis.

Vous recevez cette notice d’information sur la protectiondes données personnelles parce quenous, Novartis Pharma SAS / Sandoz, en tant que société du groupe Novartis, traitons des informations vous concernant, informations qui constituent des « données à caractère personnel » et nous portons une grande attention à la protection de vos données personnelles et de votre vie privée.

Novartis Pharma SAS / Sandoz, ou leurs maisons-mères respectives, en tant que promoteur d’une étude dans laquelle vous intervenez, décide pourquoi et comment un traitement de vos données personnelles est effectué et agit ainsi comme « responsable du traitement ». Elle peut agir seule ou en coordination avec une autre société du groupe Novartis, qui sera alors « co-responsable du traitement ». Dans cette notice d’information sur la protection des données personnelles, « nous » ou « notre » désignent Novartis Pharma SAS / Sandoz.

Nous vous invitons à lire attentivement cette notice d’information sur la protection des données personnelles. Elle précise les raisons pour lesquelles nous avons besoin de collecter vos données, comment elles sont utilisées et protégées, combien de temps elles seront conservées et tous les droits dont vous disposez. 

Si vous avez d’autres questions concernant le traitement de vos données personnelles, nous vous invitons à contacter votre contact local, responsable de la protection des données personnelles, à l’adresse [email protected] pour Novartis Pharma SAS ou [email protected] pour Sandoz.

1. Quelle information avons-nous à votre sujet ?

Nous pouvons collecter diverses catégories de données à caractère personnel vous concernant, y compris :

  • Identité : nom, prénom(s), sexe, coordonnées professionnelles postales, électroniques et téléphoniques, coordonnées bancaires, le cas échéant numéro d'identification dans le répertoire partagé des professionnels de santé ;
  • Formation-diplôme(s) ;
  • Vie professionnelle : notamment cursus professionnel, mode et type d’exercice, éléments nécessaires à l'évaluation des connaissances dont vous disposez pour réaliser la recherche, étude ou évaluation dans le domaine de la santé ;
  • Montant des indemnités et rémunérations perçues ;
  • Collaboration à d'autres projets de recherche, étude ou évaluation dans le domaine de la santé ;
  • Historique des accès et des connexions aux données médicales des personnes participant à une recherche, étude ou évaluation dans le domaine de la santé (eCRF ou autres outils dédiés au traitement de données ou à la conduite de l’étude à laquelle vous participez).

Ces informations sont fournies par vous directement, par nos partenaires (c’est-à-dire, les personnes morales pour lesquelles vous travaillez) ou par des tiers (par exemple, la société IQVIA, les autorités ou les organismes de santé), ou bien obtenues à travers des sources fiables accessibles au public (telles que PubMed, Clinical Trials.gov ou les sites internet des hôpitaux et universités).

Si vous avez l’intention de nous fournir des données personnelles qui concernent d’autres individus (par exemple, vos collègues), vous devez fournir directement aux individus concernés, ou par le biais de leur employeur, une copie de cette notice d’information sur la protection des données personnelles.

2. Pour quelles finalités et sur quel fondement utilisons-nous vos données personnelles ?

2.1 Finalités du traitement

Nous traitons toujours vos données personnelles pour des finalités spécifiques et nous n’effectuons que des traitements de données personnelles qui sont pertinents pour atteindre cette finalité. En particulier, nous traitons vos données personnelles pour les finalités suivantes :

  • La mise en place et la réalisation d’un projet de recherche, étude ou évaluation dans le domaine de la santé ;
  • Assurer la preuve des transactions et assurer les publications requises par nos obligations de transparence ;
  • Assurer la traçabilité et le suivi des signalements de pharmacovigilance ; 
  • Toute autre finalité imposée par la loi et les autorités.

A noter : les données à caractère personnel des professionnels intervenant dans la recherche peuvent alimenter d’autres traitements de données à caractère personnel mis en œuvre par le responsable de traitement et relatifs à la gestion des ressources humaines et de la formation.

2.2 Base légale du traitement

Nous traitons vos données personnelles uniquement si ce traitement est justifié et conforme aux dispositions légales en vigueur. Par conséquent, nous traiterons vos données personnelles uniquement si :

  • Le traitement est nécessaire à l’exécution d’un contrat auquel vous êtes partie ou à l’exécution de mesures précontractuelles prises à votre demande ;
  • Le traitement est nécessaire au respect de nos obligations légales ou règlementaires ;
  • Ou le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons et n’affecte pas indûment vos intérêts ou libertés et droits fondamentaux.

Veuillez noter que quand nous traitons vos données personnelles sur ce dernier fondement, nous cherchons toujours à maintenir un équilibre entre nos intérêts légitimes et votre vie privée.

Exemples d’« intérêts légitimes » pour lesquels des traitements de données sont effectués :

  • Assurer un recensement des professionnels de santé qui pourraient intervenir dans une recherche ou assurer un suivi des professionnels de santé ayant participé à une recherche ;
  • Développer une relation de proximité et de confiance avec les professionnels de santé.

Si vous souhaitez davantage d’informations, nous vous invitons à nous contacter (voir la section 6 ci-dessous).

3. Qui a accès à vos données personnelles et à qui sont-elles transférées ?

Vos données personnelles sont importantes, nous nous devons de vous donner la liste exhaustive des personnes / personnes morales susceptibles d’y avoir accès. En aucun cas, nous ne transférons des données si cela n’est pas justifié.

Par ailleurs, nous ne vendons, ne partageons, ne transférons à des tiers aucune autre donnée personnelle vous concernant que celles indiquées dans cette notice d’information.

Les tiers listés ci-dessous sont contractuellement tenus de protéger la confidentialité et la sécurité de vos données personnelles en conformité avec la loi applicable.

La liste des catégories de destinataires potentiels est la suivante :

  • Notre personnel (y compris le personnel, les départements ou les autres sociétés du groupe Novartis), et notamment les personnes chargées des affaires réglementaires et de l’enregistrement des recherches auprès des autorités ;
  • Nos fournisseurs et prestataires de services ;
  • Les professionnels intervenant dans la recherche et les personnels agissant sous leur responsabilité ;
  • Nos prestataires de systèmes d’information, nos prestataires de service Cloud, nos prestataires de bases de données et nos consultants ;
  • Le personnel d’autorités sanitaires et d’autorités publiques légalement habilité, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication ;
  • Le personnel habilité agissant sous la responsabilité de l’organisme d’assurance garantissant la responsabilité civile du promoteur ;
  • Tout tiers à qui nous avons assigné ou transféré nos droits ou obligations.

Transferts internationaux

Si nous transférons vos données personnelles à des sociétés situées dans d’autres juridictions, nous nous assurerons de protéger vos données personnelles i) en appliquant le niveau de protection requis par les réglementations de protection des données personnelles et de la vie privée applicables à Novartis Pharma SAS / Sandoz, ii) en agissant conformément à nos politiques internes et standards et iii) en transférant seulement vos données personnelles sur le fondement des clauses contractuelles types approuvées par la Commission européenne, sauf indication en sens contraire. Vous pouvez demander plus d’informations au sujet des transferts internationaux de données personnelles et obtenir une copie des protections adéquates mises en place en exerçant vos droits comme décrit à la Section 6 ci-dessous.

Concernant les transferts de données personnelles aux autres sociétés du groupe, le groupe Novartis a adopté des Règles Internes d’Entreprise qui sont un système de principes, de règles et d’outils destinéà garantir des niveaux effectifs de protection des données personnelles en cas de transfert de données en dehors de l’Espace Economique Européen (c’est-à-dire, les Etats membres de l’Union européenne ainsi que l’Islande, le Liechtenstein et la Norvège, « EEE »), et de la Suisse. Pour en savoir plus sur les Règles Internes d’Entreprise de Novartis, cliquez sur le lien: https://www.novartis.com/fr-fr/donnees-personnelles#regles.

4. Comment protégeons-nous vos données personnelles ?

La sécurité des données personnelles est une de nos préoccupations majeures. Nous mettons en place les moyens et techniques pour garantir une protection adéquate de vos données. Il s’agit de prévenir d’éventuelles pertes, destructions, détournements ou altérations des données que vous nous auriez communiquées.

Nous avons mis en place des mesures techniques et organisationnelles afin de garantir un niveau approprié de sécurité et de confidentialité à vos données personnelles.

Ces mesures prennent en compte :

  1. L’état de l’art des technologies ;
  2. Le coût de leur mise en œuvre ;
  3. La nature des données ;
  4. Et le risque du traitement.

La finalité qui en résulte est leur protection contre la destruction ou l’altération de manière accidentelle ou illicite, la perte accidentelle, la divulgation ou l’accès non autorisé et contre d’autres formes illicites de traitement.

De plus, nous prenons garde à:

  • Collecter et traiter uniquement les données personnelles qui sont adéquates, pertinentes et non excessives, en vue de poursuivre les finalités déterminées indiquées ci-dessus ;
  • Et assurer que vos données personnelles sont à jour et exactes.

Pour ce faire, nous pouvons vous demander de confirmer l’exactitude des données personnelles que nous détenons à votre sujet. Vous êtes aussi invité à nous informer de façon spontanée de tout changement dans votre situation personnelle afin que nous puissions nous assurer que vos données personnelles sont mises à jour.

5. Combien de temps conservons-nous vos données personnelles ?

Nous conservons vos données personnelles uniquement le temps nécessaire afin d’accomplir la finalité pour laquelle elles ont été collectées ou pour remplir des obligations légales ou règlementaires.

Les données personnelles vous concernant que nous détenons dans notre base de données CRM et qui ne sont pas relatives à un contrat spécifique seront stockées pendant une durée de 24 mois suivant votre dernière interaction avec nous.

Dans le cadre d’une recherche, étude ou évaluation dans le domaine de la santé, les données personnelles vous concernant sont conservées pendant quinze ans après la fin de la dernière recherche, étude ou évaluation dans le domaine de la santé à laquelle vous avez participé ou aussi longtemps que la réglementation pourrait l’imposer.

Les données personnelles collectées et traitées dans le contexte d’un litige sont supprimées ou archivées au moment où i) un accord amiable a été conclu, ii) une décision de justice en dernier ressort a été rendue, ou iii) la demande devient prescrite.

6. Quels sont vos droits et comment les exercer ?

Vous disposez des droits sur vos données dans les conditions et selon les limites autorisées par la réglementation. Ces droits sont ceux de :

  • Accéder à l’ensemble de vos données : vous pouvez obtenir des informations relatives au traitement de vos données ainsi qu’une copie de celles-ci ;
  • Rectifier et mettre à jour vos données personnelles si vous pensez par exemple qu’une de vos informations est incorrecte, obsolète ou incomplète, le droit de demander leur correction ou leur mise à jour ;
  • Effacer : vous pouvez demander la suppression de vos données personnelles ;
  • Demander une limitation des traitements des informations ;
  • Vous opposer au traitement de vos données personnelles (pour tout ou partie) ;
  • Donner des instructions sur le sort de vos données après votre décès ;
  • Demander la portabilité c’est-à-dire que les données personnelles que vous nous avez fournies vous soient restituées ou transférées à une personne de votre choix, dans un format structuré, couramment utilisé et lisible par machine.

Si vous avez une question ou si vous souhaitez exercer vos droits décrits ci-dessus, vous pouvez envoyer un email à l’adresse [email protected] pour Novartis Pharma SAS ou [email protected] pour Sandoz.Une photocopie de votre pièce d’identité pourra vous être demandée afin de vous identifier, étant entendu que nous l’utilisons uniquement pour vérifier votre identité et que nous ne conservons pas cette photocopie après vérification de votre identité. Quand vous nous envoyez cette photocopie, veillez à occulter votre photographie et votre numéro national d’immatriculation ou son équivalent.

Si vous n’êtes pas satisfait de la façon dont nous traitons vos données personnelles, vous pouvez adresser une réclamation à notre délégué à la protection des données [email protected], qui étudiera vos demandes.

Dans tous les cas, vous avez aussi le droit de déposer plainte auprès des autorités de protection des données compétentes (pour la CNIL : www.cnil.fr).

7. Comment serez-vous informé des changements survenus dans notre notice d’information sur la protection des données personnelles ?

Vous serez informé de tous futurs changements ou ajouts concernant le traitement de vos données personnelles décrit dans cette notice d’information à travers nos canaux de communication habituels (par exemple, par email ou par le biais de nos sites internet).