Protection des données personnelles

Diagnostica Stago, ci après « Stago » est susceptible, au cours de ses activités, de traiter vos données à caractère personnel, en conformité avec la législation applicable.
Cette politique vous fournit des informations sur la façon dont sont traitées vos données à caractère personnel par Stago.
Cette politique, accessible notamment sur notre site internet, est mise à jour régulièrement afin de prendre en compte les évolutions législatives et règlementaires, et tout changement dans l’organisation Stago ou dans les traitements qu’il réalise.
Cette politique est accompagnée d’une mention d’information spécifique pour chaque opération de traitement réalisée sur vos données à caractère personnel, qui sera mise à votre disposition aussi tôt que possible et, dans le cas où nous collecterions vos données directement auprès de vous, au moment de cette collecte.

I - Stago Responsable de traitement

Stago, lorsqu’il agit en tant que responsable du traitement, est responsable des données à caractère personnel que vous nous fournissez ou que nous collectons.
Afin de protéger votre vie privée et vos données à caractère personnel de la façon la plus efficace possible, nous avons désigné un délégué à la protection des données. Cette personne, qui est le point de contact privilégié de l’autorité de contrôle, a pour mission de s’assurer que nous traitons vos données en conformité avec la législation applicable.
Vous pouvez contacter notre délégué à la protection des données en cliquant ici.

II – Quels sont nos engagements ?

Nous nous engageons à assurer le plus haut niveau de protection possible aux personnes dont nous traitons les données à caractère personnel (les « personnes concernées »). La protection des données à caractère personnel, notamment s’agissant de celles de nos propres collaborateurs,  de ceux de  nos fournisseurs, de nos clients, de nos clients potentiels, et tout autre tiers.
Nous nous engageons à nous conformer à la règlementation applicable pour tous les traitements de données à caractère personnel que nous réalisons. Ainsi, nous nous engageons à respecter les principes suivants :
• Nous traitons vos données à caractère personnel de façon licite, loyale et transparente ;
• Nous collectons vos données à caractère personnel pour des finalités spécifiques, explicites et légitimes et ne les traiterons pas d’une façon incompatible avec ces finalités  (Limitation des finalités);
• Nous nous assurons que les données à caractère personnel traitées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (Minimisation) ;

• Nous faisons nos meilleurs efforts afin de nous assurer que les données à caractère personnel sont exactes et, si nécessaire, mises à jour. Nous prendrons toutes les mesures raisonnables à mêmes de nous assurer que les données à caractère personnel inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient supprimées ou rectifiées sans délai (Exactitude) ;
• Nous conservons vos données à caractère personnel sous une forme permettant votre identification uniquement pour la durée nécessaire au regard des finalités du traitement ;
• Nous traitons vos données à caractère personnel de façon à garantir un niveau de sécurité approprié contre un accès illégitime, une altération non autorisée, ou une disparition) pour lesdites données à l’aide de mesures techniques et organisationnelles (intégrité et confidentialité).
• Nous faisons en sorte d’être en mesure de démontrer notre responsabilité
Ces engagements se manifestent de la façon suivante:
• Nous respectons votre vie privée et vos droits ;
• Nous veillons à ce que la protection et la sécurité de vos données à caractère personnel soient au centre de nos préoccupations ;
• Nous considérons chaque opération de traitement en prenant en compte les principes de la protection des données, afin de satisfaire au principe de protection des données dès la conception ;
• Nous n’utiliserons pas vos données à caractère personnel pour des finalités qui n’auraient pas été portées à votre attention ;
• Nous ne considérons pas que vos données à caractère personnel devraient être stockées sans limite de durée ;
• Nous ne partageons vos données qu’au sein de Stago, de nos sociétés affiliées  et auprès de nos sous-traitants. Nous ne vendons pas vos données à caractère personnel à des tiers ;
• Nous nous engageons à sécuriser et protéger vos données à caractère personnel. A cette fin, nous ne travaillons qu’avec des partenaires de confiance (nos sous-traitants) qui présentent des niveaux de garanties appropriées pour la protection des données à caractère personnel;
• Nous respectons vos droits et feront nos meilleurs efforts pour satisfaire à vos requêtes, dès lors que celles-ci sont fondées.

III – Quelles données à caractère personnel traitons-nous ?

Nous vous rappelons qu’une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable, telle qu’une adresse mail, vos nom et prénom, votre adresse IP, etc.
Nous collectons vos données à caractère personnel dans le cadre de nos activités de conception, de production, de vente, de service après-vente, de distribution, de promotion, nos études cliniques... Dans certains cas, nous collectons vos données à caractère personnel directement auprès de vous. Dans d’autres cas, vos données à caractère personnel nous sont communiquées par un tiers (nos clients, nos fournisseurs…).
Les données à caractère personnel que nous sommes susceptible de traiter sont, par exemple :
• des données d’identification, telles que vos nom et prénom, votre adresse, votre numéro de téléphone, votre adresse e-mail, votre profession;
• des données de candidature, telles que votre CV, vos diplômes, votre expérience professionnelles, si vous souhaitez postuler chez Stago ;
• des données relatives à une commande ou à un service qui nous est fourni, si vous êtes un fournisseur ou prestataire de service de Stago.
• Des données de santé pseudonymisées telles que votre âge, sexe, poids, taille, résultats d’examens, thérapies suivies, antécédents, maladies associées, si le laboratoire qui réalise vos analyses biologiques a conduit une étude clinique au nom de Stago.
NB : les données directement identifiantes liées aux patients ne sont connues et traitées que par nos sous-traitants autorisés à les traiter dans le cadre de leur activité propre (laboratoire d’analyse médicale).

IV – Pour quelles finalités vos données à caractère personnel sont-elles traitées ?

Les traitements de données à caractère personnel réalisés par Stago ont une finalité explicite, légitime et déterminée.
Vos données à caractère personnel peuvent par exemple être traitées pour les finalités suivantes :
– Si vous êtes un client ou un prospect, nous pouvons traiter vos données à caractères personnelles aux fins suivantes :
• la gestion de notre relation avec vous;
• l’organisation, l’inscription et l’invitation aux événements, formations et webinars;
• la gestion et le suivi des dossiers clients, fournisseurs, tiers ;
• la prévention du blanchiment et du financement du terrorisme et la lutte contre la corruption ;
• la facturation ;
• la comptabilité.
– En cas de soumission d’une candidature pour un poste au sein de Stago, nous sommes susceptibles de traiter vos données afin de gérer votre candidature.
– Si vous êtes inscrit à notre lettre d’actualité, nous sommes également susceptibles de traiter vos données à caractère personnel afin de vous envoyer ladite lettre par e-mail.
– Si vous êtes l’un de nos fournisseur ou prestataire de service ou distributeur, nous pouvons enfin traiter vos données pour la gestion de notre relation avec vous.
La finalité du traitement vous sera communiquée au cas par cas, pour chaque traitement que nous réalisons sur vos données à caractère personnel. 

V – Comment nous assurons-nous de la licéité de nos opérations de traitement ?

 Nous nous assurons systématiquement, lorsque nous traitons vos données à caractère personne, que le traitement repose sur une « base juridique ».
Nous traitons toujours vos données à caractère personnel selon l’une des bases juridiques suivantes :

– Lorsque vous avez personnellement conclu un contrat avec Stago, et que l’exécution de ce contrat requière que nous traitions vos données à caractère personnel, la base juridique du traitement est l’exécution du contrat. Par exemple, cela pourrait être le cas si vous êtes un collaborateur de Stago.
– Lorsque le traitement est nécessaire à l’exécution de mesures précontractuelles prises à votre demande, notre base juridique repose sur ces mesures précontractuelles. Par exemple, c’est le cas lorsque vous nous soumettez une candidature à un poste, ce qui requière que nous étudions votre CV afin de prendre une décision concernant votre candidature.
– Lorsque le traitement est nécessaire aux fins des intérêts légitimes que nous poursuivons, notre base juridique est constituée par ces intérêts légitimes. Par exemples, le traitement de vos données à caractère personnel aux fins de prospection dans le cadre de la gestion du contrat de la société pour laquelle vous travaillez,  dans le cadre de nos études cliniques qui présentent un caractère d'intérêt public et sont nécessaires pour le développement de nos dispositifs médicaux. 
– Nous pouvons également traiter vos données à caractère personnel en nous appuyant sur une autre des bases juridiques listées dans la législation ou règlementation locale et ou Européenne qui est applicable à Stago en tant qu’employeur ou société privée basée dans l’Union Européenne. Par exemples :  le respect d’une obligation légale à laquelle Stago est soumis, votre consentement au traitement.

VI – Pendant combien de temps conservons-nous vos données à caractère personnel ?

Stago conservera vos données à caractère personnel uniquement pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, et conformément à la législation applicable. Ainsi, la durée de conservation de vos données personnelles dépend de la finalité de du traitement dont elles font l’objet, suivant les correspondances ci-dessous :

• Gestion de la relation avec nos clients: 5 ans à compter de la fin de la relation avec le client ;
• Organisation, inscription et invitation aux évènements de Stago : 3 ans à compter de la fin de la relation avec la personne concernée si elle est un client et 3 ans à compter du dernier contact si la personne concernée est un prospect ;
• Prévention du blanchiment et du financement du terrorisme et lutte contre la corruption: jusqu’à ce que l’obligation légale ou règlementaire nous incombant soit satisfaite ;
• Facturation: 10 ans à compter de la fin de l’exercice comptable concerné ;
• Comptabilité: 10 ans à compter de la fin de l’exercice comptable concerné ;
• Gestion des candidatures à un poste: 2 ans à compter du dernier contact avec le candidat ;
• Envoi de notre newsletter: la durée de l’inscription à la newsletter ;
• Gestion des relations avec les prestataires et fournisseurs de services: 5 ans à compter de la fin de la relation ;
• Réponse aux sollicitations nous parvenant par le biais du formulaire de contact de nos sites internet: la durée nécessaire pour répondre à la sollicitation concernée.
• Etude clinique pour le dossier de marquage CE de nos dispositifs médicaux : jusqu’à la signature du rapport d’étude puis passage en base archive intermédiaire  pour une durée d'au moins dix ans à partir de la mise sur le marché du dernier dispositif visé par la déclaration de conformité UE.

VII – Qui peut accéder à vos données à caractère personnel ?

Les personnes autorisées au sein de Stago de ses sociétés affiliées  et, dans certains cas, les sous-traitants (nos « prestataires de confiance »), peuvent accéder à vos données à caractère personnel. Nous faisons nos meilleurs efforts afin de nous assurer que le nombre de ces personnes reste aussi restreint que possible et maintenons la confidentialité et la sécurité de vos données à caractère personnel.

Nous ne fournissons à nos prestataires de confiance que les informations dont ils ont besoin afin de fournir le service et leur demandons de ne pas utiliser vos données à caractère personnel pour d’autres finalités. Nous faisons toujours nos meilleurs efforts afin de nous assurer que tous nos prestataires de confiance avec qui nous travaillons maintiennent l’intégrité, la disponibilité, la confidentialité et la sécurité de vos données. Nous nous assurons également que, lorsque nos relations avec un prestataire de confiance arrivent à leur terme, ledit prestataire supprime vos données à caractère personnel sans délai.

Nous sélectionnons nos prestataires de confiance avec un grand soin, en nous assurant qu’ils fournissent les garanties suffisantes, notamment en matière d’expertise, de fiabilité et de ressources, pour mettre en œuvre les mesures techniques et organisationnelles à même de satisfaire aux exigences de la législation applicable, notamment la sécurité du traitement. A cet égard, nous nous assurons que nos prestataires de confiance ne traitent les données à caractère personnel que sur nos instructions documentées. Nous nous assurons également que leur personnel s’est engagé à respecter la confidentialité ou soit soumis à une obligation légale appropriée de confidentialité.

Nous pouvons demander à nos prestataires de confiance de fournir un service nécessitant le traitement de vos données à caractère personnel, par exemple dans les cas suivants :
• l’hébergement de notre site internet ;
• le stockage de vos données à caractère personnel ;
• la maintenance de nos équipements/logiciel.
• La réalisation d’étude clinique.
• Le cas échéant, nous nous assurons que le recours à ces prestataires de confiance ne contrevient pas à notre obligation de confidentialité.

VIII – Où conservons-nous vos données à caractère personnel ?

Vos données sont stockées dans l’Union européenne (UE) et l’Espace Economique Européen (EEE) par Stago et les sous-traitants.
En cas de transfert de données en dehors de l’UE et de l’EEE, nous veillons à ce que les données soient transférées de manière sécurisée et dans le respect de la législation applicable. Lorsque le pays où les données sont transférées ne dispose pas d’une décision d’adéquation de la commission Européenne , nous utilisons des « garanties appropriées ou adaptées ».
Ces garanties appropriées ou adaptées sont un moyen pour nous assurer que la protection de vos données à caractère personnel est assurée même lorsque celles-ci quittent le territoire européen. Ces garanties appropriées peuvent, par exemple, consister à recourir à des clauses contractuelles types adoptées par la Commission européenne.
Au cas par cas, nous vous informerons de notre intention de transférer des données à caractère personnel vers un pays tiers, de l’existence ou non d’une décision adéquate de la Commission et, le cas échéant, de la référence aux garanties appropriées et des moyens permettant d’en obtenir une copie ou du lieu où elles ont été rendues disponibles.

IX – Quels sont vos droits en tant que personne concernée et comment les exercer ?

Selon les opérations de traitement dont vos données font l’objet, vous pouvez disposer des droits suivants:

  • Le droit d’obtenir confirmation de notre part que des données à caractère personnel vous concernant sont, ou non, traitées (droit d’accès). Si tel est le cas, vous pouvez accéder à vos données à caractère personnel et obtenir des informations telles que la finalité du traitement, les catégories de données à caractère personnel concernées, etc. ;
  • Le droit d’obtenir de notre part la rectification des données personnelles inexactes vous concernant (droit de rectification) ;
  • Le droit d’obtenir l’effacement de vos données personnelles, pour autant que l’un des motifs justifiant ce droit s’applique (droit d’effacement) ;
  • Le droit d’obtenir la limitation du traitement, lorsque l’un des motifs justifiant l’exercice ce droit s’applique (droit à la limitation du traitement) ;
  • Le droit à la portabilité des données lorsque le traitement est fondé sur un consentement ou un contrat et que le traitement effectué à l’aide de procédés automatisés ;
  • Le droit de vous opposer, pour des raisons tenant à votre situation particulière, à certains traitements de données à caractère personnel (droit d’opposition) ;
  • Le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé y compris le profilage sauf pour les cas qui le permettent.

Vous pouvez contacter notre délégué à la protection des données.

Afin que nous puissions traiter votre demande de façon satisfaisante, vous devrez justifier de votre identité, par quelque moyen que ce soit. En cas de doute de notre part, nous pouvons vous demander des informations complémentaires, notamment la transmission sécurisée d’une copie d’une pièce d’identité, signée par vous avec une mention spécifique en travers de la copie "à finalité exclusive de demande d’exercice de droit auprès de Stago", avec la date.

Nous ferons de notre mieux pour répondre de manière satisfaisante à vos demandes. Quelle que soit notre réponse, nous vous la ferons parvenir dans un délai d’un mois, mais notre délai de réponse peut être prolongé de deux mois supplémentaires en fonction de la complexité et du nombre de demandes.
En aucun cas la réponse à l’exercice d’un droit légitime et non excessif ne peut être facturée. Néanmoins, si les demandes sont infondées ou répétitives, nous pourrons exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou mettre en œuvre les mesures demandées par la personne concernée.

Si, pour quelque raison que ce soit, vous estimez que notre réponse n’est pas satisfaisante, nous vous informons que vous pouvez déposer une plainte auprès de la CNIL.

X – Quelles informations devons-nous vous fournir ?

Chaque fois que Stago réalise des opérations de traitement sur vos données à caractère personnel, il porte à votre connaissance :
• L’identité du responsable du traitement  et les coordonnées du délégué à la protection des données ;
• La source d’où proviennent les données lorsque les données n’ont pas été collectées auprès de vous ;
• La finalité du traitement ainsi que la base juridique du traitement;
• Lorsque le traitement est fondé sur les intérêts légitime, la justification de ces intérêts
• Les destinataires ou les catégories de destinataires des données
• Le cas échéant l’intention d’effectuer un transfert hors UE et les modalités autorisant ce transfert
• La durée de conservation des données ou les critères utilisés pour déterminer cette durée
• Les droits dont vous disposez concernant ce traitement ;
• Des informations sur la question de savoir si l’exigence de fourniture de données a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si vous êtes tenu de fournir ces données ainsi que les conséquences éventuelles de la non fourniture de ces données ;
• Le cas échéant l’existence d’une prise de décision automatisée, la logique sous-jacente, l’importance et les conséquences prévues ;
• Lorsque Stago a l’intention d’effectuer un traitement ultérieur pour une finalité autre, les informations au sujet de l’autre finalité.  

Ces informations seront mises à votre disposition dès que possible et, dans le cas d’une collecte directe de vos données, au moment de la collecte.

Certaines de nos obligations peuvent limiter votre droit à l’information : si les données à caractère personnel vous concernant sont couvertes par la confidentialité en vertu d’une obligation de secret professionnel pesant sur nous, et si nous les avons obtenues au moyen d’une collecte indirecte, il est possible que nous ne procédions pas à votre information.

XI – Comment nous occupons-nous de la sécurité de vos données à caractère personnel ?

Stago attache une grande importance à la protection de vos données personnelles et prend toutes les précautions raisonnables à cette fin. Nous demandons à nos partenaires qui gèrent vos données en notre nom de faire de même.

Nous faisons constamment de notre mieux pour protéger vos données personnelles. Dès réception de vos données, nous appliquons des procédures strictes et des mesures de sécurité (techniques et organisationnelles) pour empêcher tout accès non autorisé.

Cette politique a été mise à jour le 11 juillet 2022.