Notice d’information sur la protection des données personnelles - Règles de conformité des commentaires

1. Notice d’information sur la protection des données personnelles
2. Règles de conformité des commentaires

Notice d'information sur la protection des données personnelles

Novembre 2024

Contenu en ligne sur une page appartenant à un tiers

Cette notice d’information sur la protection des données personnelles s’adresse au public qui consulte un contenu, mis en ligne notamment sur un blog ou sur un réseau social tel que Facebook / X (anciennement Twitter) / LinkedIn / YouTube / Flickr / Pinterest / SlideShare, validé et soutenu par une des sociétés du groupe Novartis (ci-après, le « Contenu en ligne » ou le « Contenu »). 

Novartis Pharma SAS, dont le siège social est situé 8-10 rue Henri Sainte-Claire Deville 92563 Rueil-Malmaison, est susceptible de procéder au traitement d’informations qui constituent des « données personnelles » et porte une grande attention à la protection des données personnelles et de la vie privée.

Novartis Pharma SAS décide pourquoi et comment un traitement des données personnelles est effectué en lien avec le Contenu en ligne et agit ainsi comme « responsable du traitement ». Elle peut exercer cette responsabilité seule ou conjointement avec d’autres sociétés du groupe Novartis ou d’autres tiers, agissant en tant que « responsable conjoint du traitement ». Dans cette notice d’information, les termes « nous » ou « notre » font référence à Novartis Pharma SAS.

Nous vous invitons à lire attentivement cette notice d’information. Elle précise les raisons pour lesquelles nous aurions besoin de collecter vos données, comment elles sont utilisées et protégées, combien de temps elles seront conservées et tous les droits dont vous disposez.

Qui sont les responsables du traitement des données personnelles dans le cadre du Contenu en ligne ?

Novartis Pharma SAS est responsable du traitement dès lors que les données personnelles sont traitées pour nos propres finalités seulement en lien avec le Contenu, telles que celles nécessaires au respect de notre obligation légale relative à la pharmacovigilance.

Le propriétaire du compte sur le blog ou réseau social sur lequel le Contenu est mis en ligne est responsable du traitement dès lors que les données personnelles sont traitées pour ses propres finalités, telles que notamment la mise à disposition de sa page et l’évaluation de l’utilisation du contenu fourni sur les pages, y compris les données d’interaction générées, et en lien avec l’utilisation de ses pages. Ce propriétaire de compte sera responsable de traitement conjoint avec le fournisseur de services, à savoir la société fournissant le réseau social. Pour plus d’information à ce sujet, veuillez vous référer à l’information mise à disposition par le propriétaire du compte et/ou par le fournisseur de service.

Dès lors que dans le cadre des activités de traitement de données personnelles, Novartis Pharma SAS et le propriétaire du compte déterminent ensemble les finalités et les moyens du traitement des données lié au Contenu, nous agissons en tant que responsables conjoints du traitement. Un contrat de responsabilité conjointe sera dès lors conclu avec le propriétaire du compte dans le respect de nos obligations légales.

Quelles sont les informations dont nous disposons à votre sujet, pour quelles finalités et sur quel fondement les utilisons-nous ?

Les pages sur lesquelles le Contenu est mis en ligne sont ouvertes au grand public et s’adressent au grand public. Le Contenu a pour objectif d’apporter des informations utiles dans divers domaines. 

Nous traitons vos données personnelles en lien avec votre interaction avec le Contenu pour :

• Fournir des informations relatives notamment aux pathologies ;
• Interagir avec les utilisateurs des réseaux sociaux, notamment à travers les commentaires, les recommandations ou le partage de contenu, ou en répondant à vos requêtes et vos préoccupations liées au Contenu ;
• Obtenir des informations sur le comportement des utilisateurs et mesurer l’impact de nos Contenus, par exemple dans le but d’améliorer votre information et nos services, ainsi qu’identifier et signaler les événements indésirables.

En lien avec les finalités décrites ci-dessus, nous traitons notamment les données personnelles suivantes vous concernant :

1.1 Interactions, telles que les commentaires, les recommandations et le partage, liées au Contenu

Le Contenu en ligne peut vous donner la possibilité de répondre, commenter, recommander (par exemple, en cliquant sur le bouton « Like »), et envoyer des messages publics ou privés (ci-après, les « données d’interaction »).

Les données d’interaction permettent d’interagir et de communiquer avec nous à travers le Contenu en ligne.

Veuillez noter que votre interaction publique avec le Contenu en ligne entraîne une attribution personnelle directe et par conséquent est aussi visible des autres utilisateurs des pages des propriétaires de compte. Nous n’avons généralement pas d’influence sur les fonctionnalités d’interaction et sur la visibilité de vos données d’interaction publiques et de profil, par exemple si ces dernières sont recommandées ou partagées avec d’autres utilisateurs.

Veuillez attentivement vérifier quelle donnée personnelle vous fournissez en lien avec votre interaction avec le Contenu en ligne. Notamment cette interaction peut aussi inclure le traitement de vos données de santé si vous fournissez des informations à propos de votre santé, par exemple dans des commentaires publics ou dans des messages privés. Si vous ne souhaitez pas que les fournisseurs de services concernés puissent aussi avoir accès à vos données personnelles en lien avec votre interaction avec le Contenu en ligne, veuillez nous contacter par d’autres moyens. Le Contenu en ligne peut aussi être visible sans utiliser les fonctionnalités d’interaction offertes par le réseau social sur lequel il est publié.

Ce traitement de données personnelles associé à vos données d’interaction répond à un intérêt légitime que nous poursuivons (article 6 (1) f) du règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)), qui consiste en particulier à communiquer avec les utilisateurs du Contenu et répondre à leurs demandes. Dès lors que vous fournissez vous-mêmes des informations rendues publiques à propos de votre santé dans les commentaires, ce traitement de données personnelles est autorisé selon l’article 9 (2) e) du RGPD.

De plus, nous pouvons devoir aussi remplir nos obligations légales en matière de signalement des événements indésirables (cf. Section dédiée).

1.2 Signalement des événements relevant de la pharmacovigilance et de la matériovigilance (événements indésirables) et réclamations qualité

Les événements indésirables et les réclamations qualité (par exemple, les effets secondaires) peuvent être signalés en lien avec l’utilisation de nos médicaments ou nos dispositifs médicaux. Dans le but d’assurer le plus haut niveau de sécurité quand nos médicaments ou dispositifs médicaux sont pris ou utilisés, en tant que laboratoire pharmaceutique, nous avons l’obligation légale de suivre, évaluer et signaler les événements indésirables et les réclamations qualité aux autorités compétentes. Pour cette raison, nous pouvons aussi être obligés par la loi d’examiner et de suivre vos posts liés au Contenu en ligne qui seraient relatifs à des événements indésirables ou des réclamations qualité.

En règle générale, nous recommandons que vous ne divulguiez que le minimum de données personnelles possible (en particulier en relation avec votre santé). Vous pouvez aussi nous signaler directement un événement indésirable ou une réclamation qualité en vous rendant sur la page suivante : https://www.novartis.com/fr-fr/contacts. Si vous développez un effet indésirable suite à la prise d’un de nos produits ou si vous découvrez un défaut de qualité, vous devriez immédiatement contacter votre médecin ou pharmacien. 

Dans l’hypothèse où vous choisissez néanmoins de publier un événement indésirable ou une réclamation qualité en commentaire d’un Contenu en ligne, nous serons dans l’obligation de collecter et de traiter vos données personnelles pour remplir nos obligations légales en matière de pharmacovigilance et de matériovigilance. De plus, nous pourrions être dans l’obligation de vous demander plus d’information.

Vos données personnelles peuvent aussi être utilisées pour développer un algorithme. Dans le futur, cet algorithme sera utilisé pour identifier et documenter les événements relevant de la pharmacovigilance et de la matériovigilance de manière plus efficiente. Nous prenons très au sérieux la sécurité des utilisateurs de nos pages, et cela va sans dire que toutes les règlementations relatives à la protection des données personnelles européennes et locales sont appliquées.

Nous pouvons aussi être légalement obligé de signaler les événements indésirables et les réclamations qualité aux autorités de santé compétentes, mais nous ne partagerons vos informations que sous une forme pseudonymisée afin qu’aucune information qui puisse directement vous identifier ne soit divulguée. De plus, nous pouvons partager ces informations avec les autres sociétés du groupe Novartis si elles ont l’obligation de faire ce signalement à leurs autorités de santé respectives.

Ce traitement de données personnelles est nécessaire à l’accomplissement de nos obligations légales dans le contexte des signalements de pharmacovigilance (article 6 (1) c) du RGPD), et l’accomplissement de motifs d’intérêt public dans le domaine de la santé (article 9 (2) i) du RGPD), qui consiste en particulier à assurer le respect de normes élevées de qualité et de sécurité de nos produits.

Pour plus d’information sur la façon dont nous traitons vos données en lien avec la gestion des événements indésirables, vous pouvez vous rendre : .https://www.novartis.com/fr-fr/politique-de-confidentialite/pharmacovigilance-materiovigilance

Qui a accès à vos données personnelles et à qui sont-elles transférées ?

Nous vous rappelons que les pages sur lesquelles le Contenu est mis en ligne sont ouvertes au public. De ce fait, toutes les informations que vous y posterez deviendront des informations publiques, accessibles par le propriétaire du compte, la plateforme d’hébergement du Contenu en ligne, le fournisseur de services et par tout tiers.

Dans le cadre de nos activités et pour les mêmes finalités que celles énumérées dans cette notice d’information, vos données personnelles peuvent être accessibles ou transférées aux catégories de destinataires suivants, dans la mesure où ils justifient d’un besoin pour accomplir ces finalités :

• Notre personnel (y compris le personnel, les départements ou les autres sociétés du groupe Novartis) ; 
• Nos agents ou courtiers indépendants (le cas échéant) ; 
• Nos autres fournisseurs et prestataires de services qui nous fournissent des services et des produits ;
• Nos prestataires de systèmes d’information, nos prestataires de service Cloud, nos prestataires de bases de données et nos consultants ; 
• Nos partenaires commerciaux qui offrent des produits ou des services conjointement avec nous ou avec nos filiales ou sociétés affiliées ; 
• Tout tiers à qui nous avons assigné ou transféré l’un de nos droits ou obligations ; et
• Nos conseillers ou avocats externes, notamment dans le cadre d’une vente ou d’un transfert de tout ou partie de nos activités ou nos actifs.

Ces tiers sont contractuellement tenus de protéger la confidentialité et la sécurité de vos données personnelles, conformément à la législation applicable. 

Vos données personnelles peuvent également être accessibles ou transférées à tout organisme de régulation, autorité étatique, juridiction ou organisme public national et/ou international, lorsque nous y sommes contraints par la loi ou les règlements, ou à leur demande. 

Les données personnelles peuvent également être traitées, accessibles ou conservées dans un pays autre que celui où se trouve Novartis Pharma SAS, pays qui peut ne pas offrir le même niveau de protection des données personnelles. 

Si nous transférons vos données personnelles à des sociétés situées dans d’autres juridictions, nous nous assurerons de protéger vos données personnelles i) en appliquant le niveau de protection requis par les règlementations de protection des données personnelles et de la vie privée applicables à Novartis Pharma SAS, ii) en agissant conformément à nos politiques internes et standards et, iii) en transférant seulement vos données personnelles sur le fondement des Clauses contractuelles types approuvées respectivement par la Commission européenne, sauf indication en sens contraire.

Pour les transferts de données personnelles entre les filiales et les sociétés affiliées de Novartis, le groupe Novartis a adopté des Règles d'entreprise contraignantes (Binding Corporate Rules), un système de principes, de règles et d'outils, prévu par le droit européen, destiné à garantir des niveaux efficaces de protection des données personnelles lors des transferts de données en dehors de l'Espace Economique Européen (c’est-à-dire les Etats membres de l’Union européenne, ainsi que l’Islande, le Liechtenstein et la Norvège, « EEE »), de la Suisse et du Royaume-Uni. Pour en savoir plus sur les Règles d'entreprise contraignantes de Novartis, cliquez ici.

Vous pouvez demander plus d’informations au sujet des transferts internationaux de données personnelles et obtenir une copie des protections adéquates mises en place en exerçant vos droits comme décrit à la Section dédiée ci-dessous.

Nous souhaitons vous informer que les fournisseurs de services de réseaux sociaux peuvent être situés dans d’autres pays en dehors de l’Union Européenne/EEE et peuvent par conséquent traiter vos données personnelles dans ces pays. Nous n’avons aucune influence sur le type et la portée du traitement de vos données personnelles effectué par les fournisseurs de services dans les pays tiers. Nous n’avons non plus aucun moyen de contrôle sur les fournisseurs de services dans ce cadre. Pour plus d’information, veuillez contacter le fournisseur de services concerné.

Comment protégeons-nous vos données personnelles ?

Nous avons mis en place des mesures techniques et organisationnelles appropriées conçues pour assurer un niveau adéquat de sécurité et de confidentialité à vos données personnelles. 

Ces mesures prennent en compte :

• L’état de l'art des technologies ;
• Les coûts de leur mise en œuvre ;
• La nature des données ; et
• Le risque du traitement.

Ces mesures ont pour but de protéger vos données personnelles de la destruction ou de l'altération de manière accidentelle ou illicite, de la perte accidentelle, de la divulgation ou de l'accès non autorisé et d'autres formes illicites de traitement.

Nous vous informons que dans le cadre de nos pages sur les réseaux sociaux, nous n’avons aucun contrôle sur les mesures de sécurité mises en place par les fournisseurs de services. Pour plus d’information, veuillez contacter le fournisseur de services concerné.

Combien de temps conservons-nous vos données personnelles ?

Nous conservons les données personnelles que nous pouvons détenir à votre sujet uniquement le temps nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées ou pour nous conformer à nos obligations légales ou règlementaires.

En particulier, les données sont conservées aussi longtemps que le Contenu en ligne vous ayant fait réagir est mis à disposition sur les plateformes d’hébergement et, en tout état de cause, pour une durée maximale de 24 mois.

Vous pouvez à tout moment décider de vous désabonner des pages du propriétaire du compte en vous rendant directement sur les services en ligne.

Vos données personnelles peuvent être conservées plus longtemps par les fournisseurs de services concerné. Pour en savoir plus, nous vous invitons à consulter les conditions générales d’utilisation ou les politiques de confidentialité de ces fournisseurs de services.

Comment sont utilisés les cookies ou les technologies similaires ?

Les fournisseurs des plateformes hébergeant le Contenu en ligne sont susceptibles de mettre à disposition du propriétaire du compte des services de cookies et autres technologies de stockage, notamment pour la réalisation de statistiques et de mesures d’audience et d’engagement générés par les contenus qu’il met en ligne, y compris le Contenu. Le fournisseur de services concerné enregistre ainsi des informations en relation avec votre utilisation du service en ligne concerné sous la forme de petits fichiers textes installés dans la mémoire de votre navigateur (« cookies ») et peut accéder à ces informations quand vous visitez le service en ligne ou un site internet qui intègre les technologies du fournisseur de services.

Pour en savoir davantage sur la politique relative aux cookies et autres technologies de stockage de la plateforme concernée, nous vous invitons à consulter les informations mises à votre disposition : 

• Facebook / Instagram : https://www.facebook.com/policies/cookies/ ;
• LinkedIn : https://fr.linkedin.com/legal/cookie-policy ;
• X : https://help.twitter.com/fr/rules-and-policies/twitter-cookies ;
• YouTube : https://policies.google.com/technologies/cookies?hl=fr#types-of-cookies. 

Nous souhaitons vous informer que les fournisseurs de services sont capables, au moyen des cookies utilisés, de tracer votre comportement d’utilisateur (à travers les appareils utilisés par les utilisateurs inscrits) et ce, même au-delà du service en ligne sur d’autres sites internet. Cela s’applique à la fois aux utilisateurs inscrits au service en ligne et aux utilisateurs qui ne sont pas inscrits. 

Nous souhaitons aussi vous informer que nous n’avons aucune influence sur le traitement de données personnelles mis en œuvre par le fournisseur de services en lien avec les cookies. 

Quels sont vos droits et comment pouvez-vous les exercer ?

Vous pouvez exercer les droits suivants auprès de Novartis Pharma SAS dans les conditions et selon les limites autorisées par la législation :

• Le droit d’être informé à propos des données personnelles que nous détenons à votre sujet et de la manière dont nous traitons les données personnelles ;
• Le droit d’accéder à vos données personnelles telles qu’elles sont traitées par nous et, si vous pensez que des informations vous concernant sont incorrectes, obsolètes ou incomplètes, de demander leur correction ou leur mise à jour ;
• Le droit de demander l’effacement de vos données personnelles ou leur limitation à des catégories spécifiques de traitement ;
• Le droit de s'opposer, en tout ou en partie, au traitement de vos données personnelles ;
• Le droit de donner des instructions sur le sort de vos données après votre décès ; 
• Le droit de demander la portabilité des données, c'est-à-dire que les données personnelles que vous nous avez fournies vous soient restituées ou soient transférées à la personne de votre choix, dans un format structuré, couramment utilisé et lisible par machine, sans entrave de notre part et sous réserve de vos obligations de confidentialité ; et
• Le droit de s'opposer à la prise de décision automatisée, y compris le profilage, produisant des effets juridiques ou vous affectant de manière significative, c'est-à-dire que vous pouvez demander une intervention humaine dans tout processus de prise de décision automatisée lié au traitement de vos données produisant des effets juridiques ou vous affectant de manière significative, et lorsque ce traitement n'est pas fondé sur votre consentement, autorisé par la loi ou nécessaire à l'exécution d'un contrat. Toutefois, nous ne prenons pas actuellement de décisions utilisant uniquement des processus automatisés qui produisent des effets juridiques ou affectant de manière significative les personnes.

Si vous avez une question ou si vous souhaitez exercer les droits susmentionnés, veuillez cliquer ici. 

Une photocopie de votre pièce d’identité pourra vous être demandée afin de vous identifier, étant entendu que nous l’utiliserons uniquement pour vérifier votre identité et que nous ne conserverons pas cette photocopie après vérification. Quand vous nous enverrez cette photocopie, veillez à occulter votre photographie et votre numéro national d’immatriculation ou son équivalent.

Si vous n’êtes pas satisfait de la façon dont nous traitons vos données personnelles, vous pouvez adresser votre demande à notre délégué à la protection des données en écrivant à l’adresse email : [email protected], qui l’étudiera.

Dans tous les cas, vous avez aussi le droit de déposer plainte auprès des autorités de protection des données compétentes (pour la CNIL : www.cnil.fr).

Dans la mesure où le Contenu est publié sur le compte d’un propriétaire tiers, nous vous rappelons que vous avez également la possibilité d’exercer vos droits liés à la protection des données personnelles auprès de lui via les moyens qu’il mettra à votre disposition, ainsi qu’auprès du fournisseur de services concerné.

Comment serez-vous informé des modifications apportées à notre notice d’information ?

Vous serez informé de tout changement ou ajout futur concernant le traitement de vos données personnelles décrit dans cette notice d’information par le biais de nos canaux de communication habituels (par exemple, par le biais de nos pages).

Règles de conformité des commentaires

Les présentes règles de conformité sont applicables aux commentaires associés aux contenus mis en ligne sur un blog ou sur un réseau social tel que Facebook/Twitter/Linkedin/Youtube/Flickr/Pinterest/SlideShare validés et soutenus par une des sociétés du groupe Novartis (ci-après, le(s) « Contenu(s) en ligne » ou le(s) « Contenu(s) »). Elles ne sauraient s’appliquer aux commentaires associés aux autres contenus du blog/réseau social.

Ces règles sont notamment établies conformément à la réglementation pharmaceutique et à la réglementation relative à la protection des données personnelles auxquelles Novartis est soumise.

Avant toute publication d’un commentaire lié au Contenu, vous devez vous assurer que les propos tenus dans ce commentaire sont, de manière générale, respectueux et courtois et que ce commentaire :

• Ne constitue pas des éléments publicitaires ou promotionnels (promotion de médicaments, publicité pour un praticien…) directs ou indirects,
• Ne permet pas d’identifier de façon directe ou indirecte un professionnel de santé, un patient, un centre de soins, une entreprise pharmaceutique, par exemple en contenant des noms, coordonnées postales, électroniques ou téléphoniques,
• Ne vise pas à établir un diagnostic ou donner un conseil médical,
• Est en lien avec le sujet ou suffisamment compréhensible,
• N’est pas insultant, diffamatoire, raciste, homophobe, vulgaire,
• Ne porte pas atteinte à la dignité humaine,
• Ne porte pas atteinte aux lois et règlements en vigueur ou aux bonnes mœurs,
• Ne contient pas de liens vers des sites tiers ne respectant pas les dispositions des présentes règles.

A défaut, vous avez connaissance et acceptez que votre commentaire puisse être supprimé dans le cadre d’une modération a posteriori.

En outre, Novartis demande aux utilisateurs du réseau social/blog, lors de la publication de commentaires liés aux Contenus, de ne pas communiquer leur adresse e-mail, coordonnées ou autres informations personnelles. Novartis, le propriétaire du réseau social/blog ou tout prestataire désigné à cet effet (le « Modérateur ») pourra supprimer tout témoignage qui permettrait l’identification dudit utilisateur, notamment nom, prénom, adresse e-mail, adresse postale, coordonnées téléphoniques, photo, date de naissance, cette liste n’étant pas exhaustive, ou solliciter votre consentement pour le maintien de ce commentaire en ligne.

De plus, si votre commentaire contient une observation de pharmacovigilance et/ou qualité liée aux produits Novartis, votre consentement pourra être sollicité afin de permettre à Novartis de vous recontacter et de procéder au traitement des informations liées à ses produits.

Dans le cadre de la modération a posteriori des commentaires précités, le Modérateur, pourra, en cas de non-conformité de votre commentaire, le supprimer et, le cas échéant, y répondre publiquement ou via la messagerie privée du réseau social/blog (sous réserve que ce réseau social/blog dispose d’une messagerie privée).

Il est précisé que tous les commentaires postés associés aux Contenus sont archivés, qu’ils soient publiés in extenso ou supprimés après modération car non conformes aux présentes règles.

Les utilisateurs du réseau/social sont seuls responsables des propos associés aux Contenus qu’ils postent sur ce réseau social/blog et s’engagent à respecter les présentes règles lors de la publication d’un commentaire associé aux Contenus. Ils ne pourront se prévaloir d’aucune indemnité du fait de la modération de leurs commentaires.