Politique Générale de Protection des Données Personnelles
A. Informations générales
SONOVA AG, société de droit suisse, enregistrée à l’adresse Laubisrütistrasse 28, 8712 Stäfa, Suisse, opère avec ses sociétés affiliées à international (ci-après nommées « Société », « nous » ou « notre »).
Dans le cadre de son activité courante, la Société est amenée à effectuer des traitements de Données Personnelles en qualité de responsable de traitement. La présente Politique générale de protection des données personnelles (« Politique ») a été rédigée et établie afin de décrire les pratiques de la Société concernant les Données Personnelles qu’elle traite pour ses clients, fournisseurs, prestataires et partenaires (la ou les « Personne(s) Concernée(s) »). La Société porte une attention particulière au respect de la vie privée, la protection et la sécurité des Données Personnelles et s’engage au respect de la présente Politique, conformément aux lois locales applicables.
Le terme « Donnée(s) Personnelle(s) » signifie toute information relative à une personne physique identifiée ou identifiable.
Le terme « traitement » signifie toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
B. Lois applicables à la présente Politique
La Société s’engage à respecter la loi applicable en matière de protection des Données Personnelles (« Loi Applicable »). En fonction du pays dans lequel la Société est établie, le traitement des Données Personnelles varie selon la Loi Applicable. Malgré le fait que certaines exigences peuvent varier d’un pays à l’autre, la Société se préoccupe particulièrement de la vie privée des Personnes Concernées. La présente Politique constitue une ligne directrice que la Société s’engage à respecter dans le cadre de son activité.
La Société s’engage à respecter les Lois Applicables suivantes:
- Le Règlement (UE) 2016/79 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/EC (Règlement Général sur la Protection des Données) (« RGPD »). Le RGPD vise à harmoniser et encadrer les règles applicables aux traitements des Données Personnelles sur le territoire de l’Union européenne afin de fournir un cadre juridique unique pour les professionnels, et cherche aussi à renforcer le contrôle des citoyens européens sur l’utilisation réservée à leurs Données Personnelles. Cette réglementation s’applique au traitement de Données Personnelles d’un citoyen ou résident européen ou ceux effectués sur le territoire de l’Union européenne par un responsable de traitement ou un sous-traitant.
- La Loi Fédérale Suisse sur la Protection des Données du 19 juin 1992 (« LPD »), modifiée en 2020 pour l’adapter aux nouvelles technologies et se mettre en adéquation avec le RGPD et d’autres législations européennes.
- La Loi Californienne de 2018 relative à la Protection de la vie privée des consommateurs « California Consumer Privacy Act » (« CCPA »), vise à fournir plus de transparence et de garanties quant aux droits des consommateurs résidents en Californie lors du traitement de leurs Données Personnelles. .
- La Loi Fédérale Américaine applicable en matière de portabilité et de responsabilité « The Health Insurance Portability and Accountability Act of 1996 » (« HIPAA ») qui définit les règles applicables aux États-Unis pour le traitement électronique des données de santé par les acteurs de la santé et leurs partenaires commerciaux
C. Les Données Personnelles collectées
La Société peut être amenée à traiter les Données Personnelles suivantes :
- Les données relatives à votre identité : nom, prénom, nationalité et date de naissance ;
- Les coordonnées de contact : adresse postale, numéro de téléphone personnel, adresse e-mail personnelle et les coordonnées de votre contact d’urgence ;
- Les données bancaires : moyens de paiement, établissement bancaire, IBAN ;
- Les données relatives à votre sécurité sociale : n° de sécurité sociale, mutuelle de santé ;
- Les données relatives à votre santé : votre poids, votre taille, vos problèmes médicaux, vos prescriptions médicales, votre capacité auditive, votre activité physique (nombre de pas, exercice physique, durée de l’exercice), votre condition physique (fréquence cardiaque, dépense d’énergie, pression sanguine) ;
- Les données relatives à votre activité sur notre site Internet ;
- Les données relatives à vos appareils : le modèle, le n° de série du modèle, les données relatives à leurs usages ;
- Les données relatives aux services que nous vous proposons ;
- Les données relatives à vos interactions sur nos produits et services : commentaires et retours.
De plus, notre activité étant principalement axée sur la fabrication de solutions innovantes pour les appareils auditifs, nous pouvons être amenés à collecter des Données Personnelles sensibles et plus spécifiquement des données de santé. Selon le pays dans lequel la Personne Concernée réside, ces Données Personnelles sensibles peuvent faire l’objet d’une protection renforcée, notamment en ce qui concerne les mesures de sécurité et de confidentialité mises en œuvre.
D. Les finalités du traitement des Données Personnelles
Les bases légales explicitées ci-dessous constituent le fondement juridique sur lequel la Société s’appuie pour effectuer le traitement des Données Personnelles. D’autres bases légales peuvent être utilisées en fonction du lieu de résidence de la Personne Concernée et de la Loi Applicable dans le pays.
Dans un premier temps, certains traitements de Données Personnelles peuvent être basés sur le consentement de la Personne Concernée. Les traitements de Données Personnelles peuvent impliquer à cet effet :
- Des finalités relatives au marketing tel que l’envoi de newsletters et d’informations concernant les produits et services offerts par la Société ;
- Pour améliorer la performance de notre site Internet ;
- Pour vous conseiller et échanger avec vous concernant : la création de votre compte, nous contacter par l’intermédiaire de formulaire de contact, pour vous répondre, pour effectuer un test auditif en ligne
De plus, les traitements des Données Personnelles effectués par la Société peuvent aussi être basés sur l’exécution de mesures contractuelles ou précontractuelles en relation avec la Personne Concernée. Les traitements de Données Personnelles pour cette finalité peuvent impliquer :
- Le respect de nos obligations contractuelles envers les Personnes Concernées ;
- Le recours à une prestation de services après-vente et après-achat d’un produit par un client ;
- Le traitement des données relatives à la sécurité sociale et à l’assurance ;
- La gestion des réclamations
La Société peut aussi avoir recours à des traitements de Données Personnelles sur la base de notre intérêt légitime, en particulier pour améliorer nos produits et services, l’expérience client et nos traitements internes. Les traitements de Données Personnelles pour cette finalité, peuvent impliquer :
- La mise en place d’études statistiques/des usages ;
- Améliorer les fonctions internes ;
- Traiter les demandes des clients ;
- Prévenir des opérations frauduleuses et améliorer la sécurité ;
- Entretenir les relations avec la Personne Concernée ;
- Évaluer l’effectivité de nos produits et services.
La Société peut aussi effectuer des traitements de Données Personnelles afin de répondre à des exigences légales, en fonction de la Loi Applicable.
E. Conservation des Données Personnelles
Vos Données Personnelles ne seront pas conservées plus que la durée nécessaire pour atteindre les finalités explicitées au-dessus. Cela signifie que les Données Personnelles seront effacées dès que la finalité du traitement aura été atteinte. Cependant, la Société peut garder lesdites Données Personnelles plus longtemps, notamment afin de se conformer à la Loi Applicable, ou dans l’optique de protéger ou exercer vos droits, dans la mesure où cela est permis par la Loi Applicable.
À la fin de la période de conservation, la Société peut aussi archiver les Données Personnelles, pour se conformer avec la Loi Applicable, pour une période limitée, et en assurant un accès restreint.
Ces périodes de conservation des Données Personnelles peuvent dépendre du pays où la Personne Concernée réside et de la Loi applicable.
F. Partage des Données Personnelles
La Société peut être amenée à partager les Données Personnelles, avec votre consentement ou l’une des autres bases légales existantes, avec les tiers suivants :
- D’autres sociétés de notre groupe tels que nos filiales, succursales et autres sociétés affiliées ;
- Nos partenaires qui agissent en notre nom pour nous fournir des prestations de services ;
- Les autorités gouvernementales ou les autorités publiques, lorsque cela est nécessaire, pour fournir des services qui ont été demandés ou autorisés, pour protéger les clients, les sous-traitants et les partenaires, nos droits ou vos droits, pour assurer la sécurité de nos services, ou bien si nous sommes tenus de le faire en raison de la Loi Applicable ou d’autres règlements gouvernementaux, ou si un tel partage est nécessaire à l’appui de toute enquête ou procédure judiciaire ou pénale.
Selon la Loi Applicable, nous mettons en œuvre des contrats avec des tiers pour nous assurer que les Données Personnelles sont traitées selon nos instructions et en conformité avec cette Politique et toutes autres mesures de confidentialité et de sécurité.
G. Transfert des Données Personnelles
Les tiers mentionnés ci-dessus, tels que les filiales et les sociétés affiliées, les partenaires, les autorités publiques auxquels nous pourrions divulguer vos Données Personnelles, pourraient être localisés en dehors du pays de résidence de la Personne Concernée, et notamment dans des pays dont la loi en matière de protection des données peut être différente de celle en vigueur dans le pays de résidence de la Personne Concernée.
Si le traitement est effectué dans l’Union européenne ou l’Espace Économique Européen, et si les Données Personnelles sont divulguées à des tiers dans un pays non considéré comme octroyant un niveau de protection adéquat au regard des attentes de la Commission européenne, la Société assurera :
- La mise en place de procédures adéquates pour se conformer avec la Loi Applicable, et en particulier lorsqu’une demande d’autorisation émanant de l’autorité de protection des données compétente est nécessaire ;
- La mise en place de mesures organisationnelles, techniques et réglementaires pour encadrer ledit transfert et pour assurer un niveau de protection nécessaire et adéquat au regard de la Loi Applicable ;
- Si cela est nécessaire, implanter des clauses contractuelles types élaborées par la Commission européenne ;
- Prendre des mesures supplémentaires, telles qu’une évaluation de l’adéquation du transfert des données si, après une étude de la mise en place du transfert et de la législation du pays tiers, cela est nécessaire à la protection des Données Personnelles transférées.
Si les Données Personnelles ne font pas l’objet d’un traitement sur le territoire de l’Union Européenne et l’Espace Économique Européen, et que ces Données Personnelles sont divulguées à des tiers localisés en dehors de la juridiction de la Personne Concernée, la Société assurera que des mesures de sécurité appropriées soient mises en place pour protéger les Données Personnelles en intégrant des mécanismes légaux appropriés. Ces mécanismes peuvent être différents selon le pays et la Loi Applicable.
H. Sécurité des Données Personnelles
La Société met en place une variété de mesures de sécurité, selon la Loi Applicable, pour protéger les Données Personnelles des incidents de sécurité et d’une divulgation non autorisée, et plus généralement des violations relatives aux Données Personnelles. Ces mesures de sécurité sont reconnues comme étant des standards de sécurité dans le milieu industriel et impliquent, par exemple, le contrôle des accès, la mise en place de mots de passe, du chiffrement de données et des audits de sécurité réguliers.
Si une violation de sécurité se produit, et en particulier, si celle-ci résulte, accidentellement ou illégalement, dans la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux Données Personnelles transmises, stockées ou d’une manière générale traitées, la Société prendra des mesures appropriées telles que:
- Mener une enquête et analyser les faits pour déterminer les conséquences de la violation de Données Personnelles, et en particulier si cela peut créer un risque pour les droits et libertés des Personnes Concernées ;
- Si l’analyse démontre des risques effectifs pour les droits et libertés des Personnes Concernées, la Société se chargera d’en informer l’autorité de protection des données compétente, et en cas de risques élevés, en informer les Personnes Concernées ;
- Mettre en place dans les plus brefs délais, les mesures nécessaires pour remédier et atténuer les conséquences de la violation des Données Personnelles ;
- Documenter la violation de sécurité afin d’assurer une traçabilité.
Les mesures et procédures appropriées, dans l’éventualité d’une violation de Données Personnelles, peuvent varier en fonction du pays où cela se produit, du type de violation et de la Loi Applicable.
I. Vos droits
Selon la Loi Applicable, les Personnes Concernées peuvent avoir des droits relatifs à leurs Données Personnelles qui peuvent varier, tels que le droit d’accès, de rectification, à l’effacement des Données Personnelles, la limitation du traitement, l’opposition au traitement, la demande de portabilité des Données Personnelles, d’être informé et de retirer son consentement pour le traitement de ses Données Personnelles. Les Personnes Concernées peuvent aussi refuser de faire l’objet d’une décision automatisée, si elles sont concernées par un tel traitement.
De plus, dans certaines juridictions, vous pouvez aussi donner des instructions relatives à la conservation, la communication et l’effacement des Données Personnelles après la mort.
L’exercice de tels droits n’est pas absolu et est soumis aux restrictions légales.
Les Personnes Concernées peuvent aussi avoir le droit de déposer une plainte auprès de l’autorité de protection des données locale ou le régulateur compétent, s’ils considèrent que le traitement de leurs Données Personnelles porte atteinte à la Loi Applicable.
Pour exercer ces droits, les Personnes Concernées peuvent nous contacter comme décrit dans la Section 11 « Nous contacter » ci-dessous. Nous pourrons éventuellement vous demander une preuve de votre identité pour répondre à cette demande. Si nous ne pouvons pas satisfaire votre demande (refus ou restriction), nous motiverons notre décision par écrit.
J. Mise à jour de la Politique
Si cela est nécessaire, nous nous réservons le droit de mettre à jour la présente Politique dans l’optique d’être en adéquation avec nos pratiques relatives aux traitements de Données Personnelles. Dans ce cas, nous afficherons des versions mises à jour de la présente Politique sur notre page. La Politique révisée s’appliquera seulement aux Données Personnelles recueillies après sa date d’entrée en vigueur. Nous vous encourageons à consulter régulièrement cette page pour obtenir les dernières informations concernant nos pratiques relatives aux traitements de Données Personnelles.
K. Nous contacter
Pour toutes questions, commentaires ou préoccupations concernant la présente Politique, ou afin d’exercer les droits relatifs à la vie privée autorisés par la Loi Applicable en matière de Données Personnelles, veuillez contacter notre Délégué à la Protection des Données à l’adresse suivante : Sonova AG, Laubisrütistrasse 28, 8712 Stäfa, Switzerland, ou en envoyant un e-mail à l’adresse suivante:privacy@sonova.com