EN DE ES PT FR CZ IT NL PL
La confidentialité Politique d’utilisation des cookies Traitement supplémentaire des données dans le cadre des sites Web Espace économique européeen (EMEA) Californie (CCPA/CPRA) Déclaration relative au transfert de données aux États-Unis

Déclaration relative au transfert de données à caractère personnel des personnes concernées européennes vers les États-Unis

 

  1. L’engagement d’Arthrex en faveur de transferts de données sécurisés

 

Arthrex veille à ce que tous les transferts de données à caractère personnel à destination de notre entreprise soient pleinement conformes aux règlements pertinents sur la protection des données. La protection de vos données à caractère personnel est une priorité pour nous et nous restons attachés au respect des normes énoncées dans la Décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis.

Dans ses produits, systèmes et processus, Arthrex met en œuvre les garanties nécessaires afin de veiller à ce que les transferts ultérieurs de données à caractère personnel soient protégés par des normes très strictes.

Pour obtenir des informations sur la protection de vos données à caractère personnel au cours de leur transfert, veuillez consulter l’accord de traitement des données que nous stipulons avec vous, la politique de confidentialité d’Arthrex ou la politique de confidentialité spécifique qui vous a été remise dans le cadre du produit et du service que vous utilisez.

 

  1. Garantir les transferts transatlantiques de données en toute sécurité par le biais de la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis

 

Arthrex se conforme à la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis (cadre de protection UE-É-U), à l’extension de la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis pour le Royaume-Uni et à la décision d’adéquation du cadre de protection des données entre la Suisse et les États-Unis (cadre de protection Suisse-É-U), telles qu’énoncées par le Département du commerce des États-Unis. Arthrex a certifié au Département du commerce des États-Unis sa mise en conformité aux principes de la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis (Principes du cadre de protection UE-É-U) à l’égard du traitement des données à caractère personnel en provenance de l’Union européenne en se fondant sur le cadre de protection UE-É-U et en provenance du Royaume-Uni (et Gibraltar) en se fondant sur l’extension du cadre de protection UE-É-U pour le Royaume-Uni. Arthrex a certifié au Département du commerce des États-Unis son adhésion aux principes de la décision d’adéquation du cadre de protection des données entre la Suisse et les EU (Principes du cadre de protection Suisse-É-U) à l’égard au traitement des données à caractère personnel en provenance de Suisse en se fondant sur le cadre de protection Suisse-É-U. Dans l’éventualité d’un conflit entre les dispositions de la présente politique de confidentialité et les principes du cadre de protection UE-É-U et/ou les principes du cadre de protection Suisse-É-U, les principes prévaudront. Pour prendre connaissance de notre certification, veuillez consulter le site https://www.dataprivacyframework.gov/.

Si vous souhaitez présenter une demande ou formuler des réclamations concernant le traitement par Arthrex de vos informations personnelles en vertu du cadre de protection des données, ou concernant nos pratiques en matière de confidentialité en général, veuillez-nous contacter à l’adresse : privacy@arthrex.com. Nous répondrons à votre demande dans les plus brefs délais. Si vous avez un problème non résolu concernant une question de confidentialité ou l’utilisation des données auquel nous n’avons pas apporté de réponse satisfaisante, veuillez vous rapprocher de notre prestataire tiers chargé du règlement des litiges basé aux États-Unis (à titre gracieux) à l’adresse https://www.adr.org/. Dans l’éventualité où ni Arthrex ni notre prestataire tiers chargé du règlement des litiges ne parviendraient à résoudre votre réclamation, vous pourrez recourir à l’arbitrage exécutoire en vous adressant à la Commission chargée du cadre de protection des données. Pour en apprendre davantage sur la Commission chargée du cadre de protection des données, allez sur le lien ici.

Vous pouvez examiner l’enregistrement du cadre de protection des données d’Arthrex ici. Arthrex est soumise aux pouvoirs d’enquête et d’application du droit de la Federal Trade Commission (FTC). Arthrex pourra être contrainte de divulguer les informations personnelles qu’elle traite au titre du cadre de protection des données en réponse à des obligations légales des pouvoirs publics, notamment pour se conformer aux exigences relatives à la sécurité nationale ou à l’application du droit.

 

  1. Évaluation de l’intérêt des autorités américaines pour les transferts de données à caractère personnel d’Arthrex

Outre la décision d’adéquation du cadre de protection des données UE–E-U, nous avons procédé à une évaluation exhaustive des risques liés aux transferts de données à caractère personnel d’Arthrex, en tenant compte des points suivants : la ou les finalités du transfert et du traitement des données à caractère personnel (p. ex. marketing, RH, stockage de données, support informatique, essais cliniques).     

  • Les types d’intervenants impliqués dans le traitement (p. ex. public/privé ; responsable du traitement/sous-traitant).
  • Le secteur dans lequel le transfert se déroule (p. ex. médical, télécommunications, financier, etc).
  • FormLes catégories de données à caractère personnel transférées (p. ex. les données à caractère personnel relatives aux enfants peuvent relever du champ d’application de la législation particulière dans le pays tiers).
  • La possibilité que les données à caractère personnel soient stockées dans le pays tiers ou que l’accès aux données à caractère personnel stockées au sein de l’EEE se déroule uniquement à distance.
  • Le format des données à caractère personnel qui seront transférées (p. ex. texte brut, pseudonymisées ou chiffrées).
  • FormLa possibilité que les données à caractère personnel soient soumises à des transferts ultérieurs entre deux pays tiers (ou au sein du même pays).

Ces éléments, et notamment la nature des données à caractère personnel transférées, étaye l’argument selon lequel il est peu probable que l’administration américaine tente d’acquérir les informations transférées. En sa qualité de société spécialisée dans les dispositifs médicaux, Arthrex n’opère pas dans un secteur hautement sensible en ce qui concerne les questions de sécurité nationale (p. ex. sous-traitance avec le Département de la défense, appui à la communauté du renseignement, sous-traitance avec les pouvoirs publics ou fourniture d’infrastructures essentielles). En revanche, les informations transférées par l’entreprise comportent habituellement les données à caractère personnel, la sécurité des systèmes de données, les identifiants des utilisateurs de formations en ligne, les informations des comptes d’utilisateur et les dossiers médicaux qui peuvent contenir des données à caractère personnel. Ces dossiers médicaux sont avant tout utilisés pour mettre au point des techniques et des instruments chirurgicaux spécifiques, surveiller le récupération du patient et ses progrès en postopératoire et, dans des cas limités, fournir un support technique pour les enregistrements de vidéos chirurgicales. Arthrex reçoit les données à caractère personnel de sa filiale européenne dans le but de soutenir ses activités commerciales habituelles, qui ne sont pas sensibles en termes de sécurité nationale ou de contre-espionnage. Les données à caractère personnel ne sont pas transférées vers d’autres pays depuis les États-Unis, et lorsqu’elles sont transmises aux États-Unis, elles sont soit envoyées dans un format chiffré, soit accessibles à distance dans des conditions sécurisées depuis les États-Unis. Arthrex n’a pas reçu de demandes de l’administration américaine concernant les données à caractère personnel traitées par Arthrex, et il est peu probable qu’elle en reçoive. Par conséquent, rien ne laisse raisonnablement présager que les données à caractère personnel traitées par Arthrex présentent un intérêt particulier pour la sécurité nationale.

 

  1. Mesures supplémentaires

Arthrex a mis en œuvre des mesures supplémentaires visant à garantir la protection adéquate des données à caractère personnel, y compris dans le cas où le régime juridique du pays de destination présente un risque matériel faible, voire inexistant. Ces mesures supplémentaires sont classées en trois catégories : (i) garanties contractuelles, (ii) garanties organisationnelles et (iii) garanties techniques.

 

    a) Contractuelles

Comme précisé plus haut, Arthrex stipulera un accord contractuel mettant l’accent sur les garanties lors du transfert de données à caractère personnel vers les États-Unis.

Lorsque le traitement des données à caractère personnel des personnes européennes concernées s’inscrit dans le cadre d’un contrat, Arthrex:

   (i) acceptera d’être directement liée par les accords de traitement des données soulignant les mesures organisationnelles et techniques mises en place par Arthrex afin de protéger les données à caractère personnel des personnes européennes concernées;

   (ii) souscrira à des CCT adéquates entre sous-traitants avec chaque sous-traitant ultérieur situé dans un pays tiers qui ne bénéficie pas de protection adéquate, où la sous-traitance ultérieure aboutit à des transferts ultérieurs vers un pays tiers.

 

    b) Organisationnelles:

Les questions soulevées par le CJUE concernant le transfert des données à caractère personnel aux États-Unis étaient principalement axées sur les pratiques de collecte des données de l’administration américaine telles que soulignées dans le Décret exécutif du Président des États-Unis 12333 (« DP 12333 ») et l’article 702 du Foreign Intelligence Surveillance Act (loi consacrant les procédures des surveillances des personnes physiques et morales étrangères) (« Article 702 du FISA »), concernant notamment le programme de surveillance UPSTREAM au titre de l’article 702 du FISA. Cependant, les risques associés à ces dispositions légales spécifiques ne s’appliquent pas au traitement des données à caractère personnel réalisé par Arthrex ou peuvent être efficacement réduits par la mise en œuvre des garanties organisationnelles adéquates proposées par Arthrex. Par ailleurs, Arthrex entend se prévaloir des dispositifs juridiques disponibles pour contester les demandes d’accès aux données à caractère personnel de la part des autorités américaines.

Il est important de souligner qu’Arthrex n’apporte pas son concours et ne peut être contrainte à apporter son concours aux autorités américaines dans leurs tentatives de collecte d’informations visées par le décret présidentiel 12333. Arthrex ne saurait apporter son concours ni prêter une forme d’assistance quelconque aux autorités américaines impliquées dans des activités de surveillance au titre du DP 12333. Le DP 12333 ne donne pas à l’administration américaine le pouvoir de contraindre les entreprises à prêter leur concours auxdites activités, et Arthrex ne s’engagera pas dans un processus de coopération volontaire. Par conséquent, Arthrex ne participe pas et ne saurait être contrainte à prendre part à des actions facilitant le type de surveillance globale au titre du DP 12333 jugée problématique.

Arthrex n’est pas éligible à la réception d’injonctions « en amont » ou de surveillance globale au titre de l’article 702 du FISA, dans la mesure où elle n’assure pas les services correspondants. L’interprétation et l’application de l’article 702 du FISA par l’administration américaine valident l’inéligibilité d’Arthrex à l’injonction en question. Il est hautement improbable que les données à caractère personnel des clients d’Arthrex faisant l’objet d’un traitement soient pertinentes pour les activités de renseignement sur des puissances étrangères régies par la loi FISA 702. Si lesdites données étaient pertinentes, l’administration ne manquerait pas de recourir à d’autres dispositifs juridiques, comme la délivrance d’un mandat de perquisition, s’agissant là d’une procédure plus rapide et plus simple que l’adoption de directives au titre de l’article 702 du FISA.

 

    c) Techniques

Arthrex met en œuvre des mesures techniques qui parviennent à redimensionner les principaux enjeux, à savoir la surveillance globale au titre de l’article 702 du FISA et les interceptions globales au titre du DP 12333.

Arthrex chiffre toutes les données à caractère personnel au repos dans son système et en transit en utilisant un chiffrement conforme aux exigences de pointe du RGPD. Les mesures de chiffrement mises en place par Arthrex ont pour but de prévenir l’accès non autorisé aux données à caractère personnel dans un format intelligible et de les protéger contre les écoutes ou les altérations illicites durant la transmission des données à caractère personnel entre deux terminaux.

Arthrex applique des protocoles administratifs, techniques et physiques stricts destinés à protéger les données à caractère personnel stockées sur ses serveurs. L’accès aux données à caractère personnel est limité par l’utilisation d’informations d’identification, réservé aux seuls collaborateurs qui doivent avoir un accès pour s’acquitter de leurs responsabilités professionnelles. Arthrex utilise les contrôles des accès tels que l’authentification multifacteur, l’accès limité aux comptes d’administrateurs, l’authentification unique (SSO), le principe du moindre privilège et les contrôles de la robustesse des mots de passe. Par ailleurs, Arthrex met en oeuvre des méthodes de miniaturisation des données visant à limiter le transfert des données à caractère personnel au départ de l’UE vers les juridictions de pays tiers. Ces mesures peuvent comporter, le cas échéant, la pseudonymisation ou la désidentification des données à caractère personnel.

 

  1. Autres considérations

Le cas échéant, Arthrex stockera et traitera exclusivement les données à caractère personnel des personnes européennes concernées au sein de l’Union européenne. Dans ce cas, les données à caractère personnel ne sont pas conservées aux États-Unis, et l’accès auxdites données depuis les États-Unis repose sur le principe du besoin d’en connaître, par exemple, pour s’acquitter des demandes d’assistance du client, fournir une assistance spécifique en matière de sécurité ou procéder à un dépannage technique.

Le transfert des données à caractère personnel est effectué strictement selon les principes du besoin d’en connaître/du besoin réel conformément aux accords de traitement des données soulignant les mesures organisationnelles et techniques mises en place par Arthrex afin de protéger les données à caractère personnel des personnes européennes concernées.

Arthrex reconnaît que dans l’éventualité d’une injonction de fournir un accès aux données à caractère personnel aux autorités américaines, Arthrex serait dans l’obligation d’informer ses clients, leur permettant ainsi de mettre un terme au contrat qui nous lie et de cesser le transfert de données à caractère personnel à notre entreprise. Il est important de noter qu’Arthrex ne s’est jamais retrouvée dans l’obligation de devoir émettre une notification de ce genre, et sur la base de l’évaluation susmentionnée, il est hautement improbable qu’une telle situation se fasse jour à l’avenir.

 

  1. Conclusion

Selon l’analyse exhaustive décrite ci-dessus, nous pouvons affirmer en toute confiance que le risque de préjudice pour les personnes concernées est infime. Cette conclusion s’appuie sur les mesures de protection et garanties rigoureuses mises en place par Arthrex, ainsi que sur l’éventualité hautement improbable de demandes d’accès aux données à caractère personnel de la part des autorités américaines en lien avec nos produits et services. Par conséquent, en tenant compte de ces éléments et conformément aux obligations légales pertinentes, nous pouvons affirmer que le risque de préjudice pour les personnes concernées est jugé insignifiant.

Indépendamment du faible risque d’exposition concernant le transfert des données à caractère personnel des personnes européennes concernées aux États-Unis, Arthrex est absolument déterminée à maintenir la conformité aux principes et aux garanties visées dans la décision d’adéquation du cadre de protection des données entre l’Union européenne et les États-Unis et à l’ensemble des règlements, ainsi qu’aux bonnes pratiques en matière de protection des données. En faisant respecter ces normes, nous garantissons le transfert sécurisé et licite des données à caractère personnel, démontrant ainsi notre engagement inébranlable vis-à-vis de la protection de la confidentialité de nos clients.

Mesures techniques et organisationnelles
FAQ
Nous contacter