Transfert de données à caractère personnel des personnes concernées européennes vers les États-Unis
Arthrex veille à ce que tous les transferts de données à caractère personnel à destination de notre entreprise soient pleinement conformes aux règlements pertinents sur la protection des données. La protection de vos données à caractère personnel est une priorité pour nous et nous restons attachés au respect des normes énoncées dans la Décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis.
Dans ses produits, systèmes et processus, Arthrex met en œuvre les garanties nécessaires afin de veiller à ce que les transferts ultérieurs de données à caractère personnel soient protégés par des normes très strictes.
Pour obtenir des informations sur la protection de vos données à caractère personnel au cours de leur transfert, veuillez consulter l’accord de traitement des données que nous stipulons avec vous, la politique de confidentialité d’Arthrex ou la politique de confidentialité spécifique qui vous a été remise dans le cadre du produit et du service que vous utilisez.
Arthrex se conforme à la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis (DPF UE-États-Unis), à l’extension de la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis pour le Royaume-Uni et à la décision d’adéquation du cadre de protection des données entre la Suisse et les États-Unis (DPF Suisse-États-Unis), telles qu’énoncées par le Département du commerce des États-Unis. Arthrex a certifié au Département du commerce des États-Unis sa mise en conformité aux principes de la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis (Principes du DPF UE-États-Unis) à l’égard du traitement des données à caractère personnel en provenance de l’Union européenne et du Royaume-Uni en se fondant sur le cadre de protection UE-États-Unis et sur l’extension du cadre de protection UE-États-Unis pour le Royaume-Uni. Arthrex a certifié au Département du commerce des États-Unis sa mise en conformité aux principes de la décision d’adéquation du cadre de protection des données entre la Suisse et les États-Unis (DPF Suisse-États-Unis) à l’égard du traitement des données à caractère personnel en provenance de la Suisse en se fondant sur le cadre de protection Suisse-États-Unis. En cas de conflit entre les termes de la présente politique de confidentialité et les principes du DPF UE-États-Unis et/ou les principes du DPF Suisse-États-Unis, ce sont les principes qui prévalent. Pour en savoir plus sur le programme du cadre de la confidentialité des données (DPF), et pour consulter notre certification, veuillez visiter https://www.dataprivacyframework.gov/.
Les entités américaines d’Arthrex ou les filiales américaines d’Arthrex suivantes adhèrent aux principes du DPF UE/États-Unis, y compris, le cas échéant, à l’extension britannique du DPFUE/États-Unis et aux principes du DPF Suisse/États-Unis, et sont couvertes parla soumission d’Arthrex au DPF:
Conformément au DPFUE-États-Unis, à l’extension britannique du DPF UE-États-Unis et au DPFSuisse-États-Unis, Arthrex s’engage à renvoyer les plaintes non résolues concernant notre traitement des données à caractère personnel reçues en vertu du DPF UE-États-Unis, de l’extension britannique du DPF UE-États-Unis et du DPF Suisse-États-Unis au Service IRM DPF ICDR-AAA, un autre prestataire chargé du règlement des litiges basé aux États-Unis. Si vous ne recevez pas de notre part un accusé de réception en temps utile de votre plainte liée aux Principes du DPF, ou si nous n’avons pas traité votre plainte liée aux Principes du DPF à votre satisfaction, veuillez consulter le site https://go.adr.org/dpf_irm.html pour de plus amples informations ou pour déposer une plainte. Les services de l’ICDR-AAA vous sont fournis gratuitement.
Conformément au DPF UE-États-Unis et à l’extension britannique du DPF UE-États-Unis et du DPF Suisse-États-Unis, Arthrex s’engage à résoudre les plaintes liées aux principes du DPF concernant la collecte et l’utilisation de vos données à caractère personnel. Les personnes de l’UE et du Royaume-Uni et les personnes de Suisse ayant des demandes ou des plaintes concernant notre traitement des données à caractère personnel reçues en vertu du RGPD UE-États-Unis, de l’extension britannique du RGPD UE-États-Unis et du RGPD Suisse-États-Unis doivent d’abord contacter Arthrex à l’adresse suivante: privacy@arthrex.com.
Concernant le transfert de données à caractère personnel vers les États-Unis et la participation au cadre de la confidentialité des données (DPF), Arthrex arbitrera les plaintes et suivra les conditions énoncées à l’annexe I du DPF (https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction).
Arthrex est soumise aux pouvoirs d’enquête et d’application du droit de la Federal Trade Commission (FTC). Arthrex pourra être contrainte de divulguer les données à caractère personnel qu’elle traite au titre du cadre de protection des données en réponse à des obligations légales des pouvoirs publics, notamment pour se conformer aux exigences relatives à la sécurité nationale ou à l’application du droit.
Pour obtenir des informations sur le type ou l’identité des tiers et sur les raisons pour lesquelles Arthrex divulgue des données à caractère personnel, veuillez consulter le site https://privacy.arthrex.com/index.html#Sharing-of-Personal-Data. Arthrex est responsable du transfert ultérieur des données à caractère personnel.
Pour plus d’informations sur les droits des individus à accéder à leurs données à caractère personnel et à limiter l’utilisation et la divulgation de ces données, veuillez consulter https://privacy.arthrex.com/index.html#What-Are-Your-Rights et la Politique de confidentialité d’Arthrex dans la région EMEA à l’adresse https://privacy.arthrex.com/our-commitment-to-privacy/european-economic-area-emea.html.
Outre la décision d’adéquation du cadre de protection des données UE–E-U, nous avons procédé à une évaluation exhaustive des risques liés aux transferts de données à caractère personnel d’Arthrex, en tenant compte des points suivants : la ou les finalités du transfert et du traitement des données à caractère personnel (p. ex. marketing, RH, stockage de données, support informatique, essais cliniques).
Ces éléments, et notamment la nature des données à caractère personnel transférées, étaye l’argument selon lequel il est peu probable que l’administration américaine tente d’acquérir les informations transférées. En sa qualité de société spécialisée dans les dispositifs médicaux, Arthrex n’opère pas dans un secteur hautement sensible en ce qui concerne les questions de sécurité nationale (p. ex. sous-traitance avec le Département de la défense, appui à la communauté du renseignement, sous-traitance avec les pouvoirs publics ou fourniture d’infrastructures essentielles). En revanche, les informations transférées par l’entreprise comportent habituellement les données à caractère personnel, la sécurité des systèmes de données, les identifiants des utilisateurs de formations en ligne, les informations des comptes d’utilisateur et les dossiers médicaux qui peuvent contenir des données à caractère personnel. Ces dossiers médicaux sont avant tout utilisés pour mettre au point des techniques et des instruments chirurgicaux spécifiques, surveiller le récupération du patient et ses progrès en postopératoire et, dans des cas limités, fournir un support technique pour les enregistrements de vidéos chirurgicales. Arthrex reçoit les données à caractère personnel de sa filiale européenne dans le but de soutenir ses activités commerciales habituelles, qui ne sont pas sensibles en termes de sécurité nationale ou de contre-espionnage. Les données à caractère personnel ne sont pas transférées vers d’autres pays depuis les États-Unis, et lorsqu’elles sont transmises aux États-Unis, elles sont soit envoyées dans un format chiffré, soit accessibles à distance dans des conditions sécurisées depuis les États-Unis. Arthrex n’a pas reçu de demandes de l’administration américaine concernant les données à caractère personnel traitées par Arthrex, et il est peu probable qu’elle en reçoive. Par conséquent, rien ne laisse raisonnablement présager que les données à caractère personnel traitées par Arthrex présentent un intérêt particulier pour la sécurité nationale.
Le cas échéant, Arthrex stockera et traitera exclusivement les données à caractère personnel des personnes européennes concernées au sein de l’Union européenne. Dans ce cas, les données à caractère personnel ne sont pas conservées aux États-Unis, et l’accès auxdites données depuis les États-Unis repose sur le principe du besoin d’en connaître, par exemple, pour s’acquitter des demandes d’assistance du client, fournir une assistance spécifique en matière de sécurité ou procéder à un dépannage technique.
Le transfert des données à caractère personnel est effectué strictement selon les principes du besoin d’en connaître/du besoin réel conformément aux accords de traitement des données soulignant les mesures organisationnelles et techniques mises en place par Arthrex afin de protéger les données à caractère personnel des personnes européennes concernées.
Arthrex reconnaît que dans l’éventualité d’une injonction de fournir un accès aux données à caractère personnel aux autorités américaines, Arthrex serait dans l’obligation d’informer ses clients, leur permettant ainsi de mettre un terme au contrat qui nous lie et de cesser le transfert de données à caractère personnel à notre entreprise. Il est important de noter qu’Arthrex ne s’est jamais retrouvée dans l’obligation de devoir émettre une notification de ce genre, et sur la base de l’évaluation susmentionnée, il est hautement improbable qu’une telle situation se fasse jour à l’avenir.
Selon l’analyse exhaustive décrite ci-dessus, nous pouvons affirmer en toute confiance que le risque de préjudice pour les personnes concernées est infime. Cette conclusion s’appuie sur les mesures de protection et garanties rigoureuses mises en place par Arthrex, ainsi que sur l’éventualité hautement improbable de demandes d’accès aux données à caractère personnel de la part des autorités américaines en lien avec nos produits et services. Par conséquent, en tenant compte de ces éléments et conformément aux obligations légales pertinentes, nous pouvons affirmer que le risque de préjudice pour les personnes concernées est jugé insignifiant.
Indépendamment du faible risque d’exposition concernant le transfert des données à caractère personnel des personnes européennes concernées aux États-Unis, Arthrex est absolument déterminée à maintenir la conformité aux principes et aux garanties visées dans la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis et à l’ensemble des règlements, ainsi qu’aux bonnes pratiques en matière de protection des données. En faisant respecter ces normes, nous garantissons le transfert sécurisé et licite des données à caractère personnel, démontrant ainsi notre engagement inébranlable vis-à-vis de la protection de la confidentialité de nos clients.