Notre approche en matière de confidentialité
La recherche clinique et médicale est fondée sur la collecte et l’analyse des informations les plus confidentielles des participants. L’échange d’informations sensibles n’est possible que s’il existe une culture de la confiance et si les parties prenantes mettent en œuvre des pratiques de traitement des données sécurisées. Opérant dans cet environnement, Synexus Clinical Research Limited, ainsi que ses sociétés affiliées et filiales (ci-après dénommées “Synexus,” “nous,” et “notre/nos/sa/son/ses“) s’engagent à traiter les informations sur tout participant de manière responsable, avec la diligence requise pour assurer la confidentialité individuelle, et conformément aux lois portant sur la confidentialité des données et sur les questions de confidentialité. La présente politique de confidentialité mondiale (la “Politique“) décrit les principaux types d’informations à caractère personnel que nous traitons au sein de notre organisation mondiale, la façon dont ces informations sont utilisées et divulguées, ainsi que nos engagements envers les personnes dont nous traitons les informations. La Politique explique en termes généraux les mesures que nous prenons pour nous conformer aux lois et aux règlements sur la protection des données, y compris, mais sans s’y limiter, les lois nationales mettant en œuvre le Règlement général sur la protection des données 2016/679 (“Règlement“), de l’Union européenne (« UE »), la Loi américaine sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act ou “HIPAA“), de 1996, les lois portant sur l’atteinte à la sûreté de l’État aux États-Unis, la législation sur la protection des données adoptée par un nombre croissant d’autres juridictions à travers le monde, et les exigences en matière de confidentialité des Bonnes pratiques cliniques (BPC) du Conseil international d’harmonisation (l’ICH). Si vous êtes un résident de l’État de Californie, la présente politique comprend également notre Avis de confidentialité pour les résidents californiens, qui inclut des informations supplémentaires devant être fournies en vertu de la loi californienne.
Synexus a adopté des politiques, des procédures et des programmes de formation internes visant à assurer la conformité auxdites lois et à la présente politique. Nos politiques, nos procédures et nos programmes de formation sont examinés sur une base régulière et supervisés par une équipe d’experts en confidentialité encadrée par un haut dirigeant.
Quelles informations à caractère personnel Synexus traite-t-elle et à quelles fins?
Données cliniques et médicales
En tant que société mondiale de gestion de sites, Synexus fournit des sites expérimentaux pour les essais cliniques menés par ses clients. À ce titre, nous recueillons, hébergeons et analysons des quantités importantes de données sanitaires et d’échantillons biomédicaux relatifs aux sujets d’étude. Selon les termes établis par le Règlement, Synexus se considère comme coresponsable du traitement avec le promoteur/client pour déterminer, en sa qualité de société de gestion de sites, comment et pourquoi les données cliniques et médicales sont traitées. Dans le but de renforcer la confidentialité, et conformément aux BPC, les noms des sujets et les autres identificateurs directs ne sont pas joints aux dossiers ni aux échantillons utilisés par les clients de Synexus à des fins de recherche.
Informations sur le recrutement dans le cadre d’essais cliniques
Nous recueillons et conservons également les coordonnées personnelles, les détails sur l’état de santé et les conditions médicales, ainsi que les domaines d’intérêt pour la recherche médicale des personnes qui nous ont fait part de leur désir de participer à des essais cliniques, et ce, afin que nous puissions les intégrer à un essai clinique approprié. Nous utilisons ces informations pour recruter des personnes dans le cadre d’essais cliniques et pour effectuer des analyses statistiques générales au titre du recrutement des patients.
Informations sur les examens médicaux
À certaines occasions, Synexus fournit des services de santé aux communautés locales sous la forme d’activités de dépistage de certaines pathologies/maladies. Au cours de cette activité, nous recueillons les noms, les coordonnées et les données médicales des participants. Une fois le test effectué, nous ajoutons, avec le consentement du participant, les données concernant ce dernier à notre base de données afin que nous puissions le contacter pour de futurs tests ou essais cliniques, en fonction de son état de santé. S’il choisit de ne pas donner son accord en ce sens, Synexus ne communiquera les résultats du test qu’à son médecin traitant.
Informations sur les professionnels du secteur
Dans le cadre de nos activités, Synexus collaborera avec des employés, des consultants, des entrepreneurs et d’autres tiers employés ou engagés par nos clients impliqués dans la recherche clinique et médicale. Synexus enregistrera et utilisera les noms et les coordonnées de ces personnes ainsi que d’autres informations professionnelles sur elles, à des fins commerciales légitimes, notamment l’administration financière et relative au projet. Nous pouvons utiliser les informations que nous recueillons, notamment les adresses e-mail, pour fournir des informations pertinentes sur les services de Synexus à nos clients.
Données sur les employés et les ressources humaines
Synexus recueille les informations à caractère personnel des personnes ayant postulé pour un emploi au sein de l’entreprise, notamment leurs coordonnées privées, leurs qualifications professionnelles et leurs antécédents professionnels afin de pouvoir prendre des décisions éclairées en matière d’embauche. Synexus procède à diverses vérifications des antécédents des candidats, y compris, lorsque la loi le permet, les antécédents criminels et la radiation professionnelle. Après l’ embauche, Synexus recueille des informations sur le personnel aux fins de gestion des ressources humaines, d’évaluation des performances, de retenues sur la paie et d’impôt. Synexus recueillera et enregistrera des informations au niveau des employés dans divers systèmes de l’entreprise, conformément aux opérations commerciales standard. Synexus traite des informations similaires relatives aux consultants, entrepreneurs et autres tiers engagés par l’entreprise pour lui fournir des produits ou des services.
Visiteurs du site Web
Synexus recueille des informations nominatives sur les visiteurs des sites Web de l’entreprise lorsqu’elles sont fournies à titre volontaire pour répondre à une demande de ces personnes, par exemple lorsqu’un contact client demande des informations sur un service de l’entreprise, lorsqu’un professionnel de santé désire participer à un essai clinique ou lorsqu’une personne souhaite poser sa candidature à un poste vacant au sein de l’entreprise. Grâce à l’utilisation de technologies basées sur les cookies, Synexus peut recueillir diverses données liées aux identités virtuelles attribuées aux visiteurs lorsqu’ils consultent nos sites Web. Ces données sont utilisées à diverses fins, notamment l’analyse du site et le marketing « first party » (voir la section ci-après intitulée « Problèmes sur Internet »). Dans certains cas, ces identités virtuelles sont liées à l’identité réelle des visiteurs lorsque ces derniers fournissent leurs informations nominatives comme décrites ci-dessus. De cette manière, Synexus peut adapter les messages marketing selon le profil de ces personnes, notamment les informations susceptibles de les intéresser.
Centre de contact
Synexus nomme des centres de contact fournisseurs dans le but d’entrer en contact avec les personnes qui ont fait part de leur désir de participer à des essais cliniques. Les données à caractère personnel des personnes contactées ne sont recueillies que pour traiter leur demande, et déterminer si elles sont habilitées ou non à prendre rendez-vous pour une séance de dépistage dans les installations de Synexus. Nos centres de contact ne contactent pas les personnes n’ayant pas encore fourni leurs coordonnées à Synexus. Les appels peuvent être enregistrés à des fins d’assurance qualité. Les appelants (entrants et sortants) reçoivent une notification si leur appel est enregistré.
Informations complémentaires
Divulgation interne et externe d’informations à caractère personnel
Les informations à caractère personnel seront partagées au sein de Synexus, de ses sociétés affiliées et des tiers, y compris nos agents et prestataires de services, selon le principe du « besoin de connaissance », et ce, afin de répondre aux objectifs commerciaux légitimes déclarés. L’accès aux bases de données et aux dossiers contenant des informations à caractère personnel est réservé au personnel compétent. Synexus n’échange pas et ne vend pas d’informations à caractère personnel. Dans certaines circonstances, Synexus peut être contrainte par les autorités répressives ou judiciaires à divulguer certaines informations à caractère personnel dans le cadre d’enquêtes ou de litiges. Synexus peut être amenée à divulguer des informations à caractère personnel à un acheteur ou à un autre remplaçant en cas de fusion, de cession, de restructuration, de réorganisation, de dissolution, ou de toute autre vente ou tout autre transfert de Synexus ou de tout ou partie de ses actifs. Les entreprises travaillant comme fournisseurs de Synexus sont tenues de signer des accords de « sous-traitance » et/ou de confidentialité en vertu desquels elles s’engageront à traiter uniquement les informations à caractère personnel conformément aux fins contractuelles et à appliquer des mesures de sécurité organisationnelles et techniques appropriées.
Transferts internationaux d’informations à caractère personnel
Synexus est une entreprise mondiale dont les activités visent à répondre aux besoins d’un secteur de plus en plus mondialisé dans son approche de la recherche clinique. Les informations à caractère personnel seront partagées à l’échelle internationale selon les besoins pour faciliter l’exécution des projets mondiaux. Synexus héberge des informations à caractère personnel dans des bases de données situées à différents endroits du globe, notamment aux États-Unis. Dans certaines circonstances, les informations à caractère personnel de Synexus et du client seront hébergées sur des plateformes fournisseurs situées dans le cloud. Synexus reconnaît que, dans de nombreux pays, la circulation des informations à caractère personnel à l’échelle internationale est limitée du fait des règlements en vigueur dans ces pays. Synexus met en place des mesures visant à garantir une protection adéquate de ces données si la loi l’exige. Par exemple, Synexus applique les Clauses standard de protection des données (« CSPD ») dans le but de transférer certaines informations à caractère personnel provenant de l’Espace économique européen. Les résidents de l’UE dont les informations à caractère personnel sont traitées en vertu de ces CSPD peuvent demander une copie de l’accord à Synexus à l’aide des coordonnées ci-dessous. Lorsque les risques sur la confidentialité sont très faibles, par exemple en ce qui concerne le partage de données codées, Synexus est autorisée à transférer les informations des participants vers des régimes juridiques moins stricts en matière de protection des données, sous réserve d’obtenir leur consentement éclairé.
Avis et consentement
Durant la collecte des données, Synexus informera les participants de manière claire et transparente sur la façon dont leurs informations seront utilisées, divulguées et transférées ; les choix dont ils disposent concernant la façon dont leurs données sont traitées ; leurs droits en matière d’information en vertu de la loi sur la protection des données ou de la présente politique ; et les personnes à contacter pour toute question ou réclamation. Ces avis de confidentialité sont adaptés à des situations spécifiques liées à la collecte de données. En fournissant un tel avis, Synexus s’engage à faire preuve de transparence et d’équité envers les participants, comme l’exigent de nombreuses lois sur la protection des données. En fonction du support utilisé, l’avis peut être donné en personne, par e-mail, par la poste, par téléphone ou en le publiant sur notre site Web. Bien souvent, notamment lorsque la loi sur la protection des données l’exige, mais aussi lorsqu’il s’agit d’une bonne pratique, Synexus cherchera à obtenir le consentement des participants pour recueillir, utiliser et divulguer leurs données conformément à l’avis de confidentialité concerné. Cependant, dans certains cas où la loi le permet, en particulier lorsque des mesures disproportionnées sont prises pour obtenir le consentement, lorsque le traitement prévu des données est dans l’intérêt légitime de Synexus ou de nos clients, et que les risques sur la confidentialité sont faibles, Synexus se passera de tout consentement pour procéder au traitement des informations à caractère personnel. Synexus se passera également de tout consentement pour utiliser et divulguer des informations à caractère personnel lorsqu’elle y est contrainte par la loi et par une ordonnance judiciaire. Conformément aux BPC, aux lois sur la confidentialité et aux règlements sur la protection des données, Synexus recueillera les consentements éclairés nécessaires des sujets d’étude pour le compte de ses clients.
Qualité des données et conservation des dossiers
La qualité et l’exactitude des données constituent des principes fondamentaux pour Synexus. L’exactitude des données relatives aux sujets de l’étude, en particulier lorsqu’elles sont jointes aux échantillons biomédicaux, est essentielle à l’intégrité de la recherche clinique. Conformément aux exigences réglementaires, Synexus emploie un service professionnel d’assurance qualité. En général, grâce à nos avis de confidentialité, les participants disposent de moyens faciles leur permettant de valider, de rectifier des erreurs et de mettre à jour leurs informations. Synexus conserve les informations à caractère personnel conformément aux exigences contractuelles, légales et réglementaires.
Droits en matière d’information
Dans les juridictions ayant adopté des lois sur la protection des données et lorsqu’elle y est tenue en vertu d’engagements contractuels, Synexus veille à ce que les participants puissent exercer tous les droits en matière d’information pertinents concernant leurs informations à caractère personnel traitées par l’entreprise, y compris, mais sans s’y limiter, le droit d’accéder et de rectifier leurs données, de retirer leur consentement en tout temps, de s’opposer au traitement de leurs données, de demander la suppression de leurs données, de restreindre certains aspects du traitement des données, d’interdire le marketing direct et de demander que leurs données personnelles leur soient transmises ou transmises à une autre société dans un format numérique commun (p. ex. : PDF). À tous autres égards, lorsqu’aucun intérêt supérieur ne prévaut, Synexus s’efforcera d’autoriser à titre de bonne pratique les droits en matière d’information suivants en vertu de la présente politique :
- autoriser l’accès à des copies d’informations à caractère personnel dans un délai raisonnable ;
- rectifier les informations à caractère personnel lorsqu’elles sont inexactes ; et
- retirer un consentement précédemment fourni au traitement des informations à caractère personnel.
Les sujets participant aux études cliniques menées par les clients de Synexus doivent contacter le chercheur sur le site de Synexus qui leur est réservé et qui sera en mesure d’établir le lien nécessaire à l’identité du sujet.
Sécurité des informations
L’entreprise a adopté une politique globale en matière de sécurité des informations qui vise à appliquer des mesures de sécurité techniques et organisationnelles qui protègent les informations à caractère personnel, en particulier les données cliniques sensibles, contre tout accès non autorisé ou toute perte. Conformément aux exigences réglementaires, en particulier en vertu des lois d’État des États-Unis et du Règlement, Synexus a également adopté une politique détaillée sur les failles de sécurité qui établit une réponse procédurale pour le traitement de toute violation des informations à caractère personnel, y compris la présentation des avis nécessaires aux participants ou aux autorités gouvernementales.
Problèmes sur Internet
Les pages Web de Synexus peuvent contenir des liens vers des sites Web externes à l’entreprise. Synexus n’exerce aucun contrôle sur les sites Web liés au sien et ne les approuve pas non plus. La présente politique ne s’applique pas aux sites Web liés externes à l’organisation de Synexus. Il est recommandé aux visiteurs de consulter la politique de confidentialité de chaque site Web lié. Nos pages Web utilisent également des cookies. Un cookie est un fichier de données placé par un exploitant de site Web sur le disque dur d’une personne qui visite son site. Synexus et les tiers avec lesquels nous collaborons peuvent placer des cookies par le biais des fonctions suivantes sur les ordinateurs des visiteurs des sites Web de Synexus : autoriser le site à fournir le service demandé par le visiteur ; se souvenir des visiteurs assidus ; améliorer l’expérience utilisateur du site ; autoriser l’entreprise à procéder aux analyses du site ; et communiquer et aider à adapter nos messages marketing sur nos sites Web et ailleurs sur Internet en fonction de l’activité de navigation précédente du visiteur. Votre relation en ligne avec Synexus peut être gérée à l’aide des paramètres disponibles sur la plupart des navigateurs Internet. À l’heure actuelle, nous ne réagissons pas aux signaux de « non-suivi », mais la plupart des navigateurs permettent à un visiteur de choisir les cookies qui peuvent être placés sur son ordinateur, et de supprimer ou de désactiver ces derniers. Veuillez noter que la désactivation des cookies peut empêcher un visiteur d’utiliser certaines fonctionnalités sur les sites Web de Synexus. Pour de plus amples informations, veuillez consulter notre
relative aux cookies.
Protection de la vie privée des enfants sur Internet
Synexus ne recueille, par l’intermédiaire de ses sites Web, aucune information d’enfants censément âgés de moins de 13 ans, et aucun aspect de notre présence en ligne n’est destiné à des enfants âgés de moins de 13 ans.
Demandes de renseignements, plaintes et demandes d’exercice de droits
Les communications, les requêtes, les demandes d’exercice des droits en matière d’information (p. ex., l’accès aux données) ou les plaintes peuvent être adressées au Responsable de la protection des données, Service confidentialité, Granta Park Cambridge, CB21 6GQ, Royaume-Uni En vertu du Règlement, Synexus Polska Sp. z o.o., en tant que société affiliée principale de Synexus dans l’UE (« responsable du traitement ») aux fins de la protection des données, sera principalement responsable des questions relatives à la protection des données concernant notre groupe d’entreprises situées dans l’UE. Aux fins du respect du Règlement, il est possible de contacter le Responsable de la protection des données à l’aide des coordonnées ci-dessus. Au sein de l’UE, les participants ont légalement le droit de se plaindre de la manière dont leurs informations sont traitées auprès d’une autorité de surveillance chargée de réglementer le respect du Règlement. Une liste de toutes les autorités de surveillance de l’UE est disponible sur le site Web de la Commission européenne : http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm.
Statut juridique de la politique et modifications des politiques
La présente politique n’est pas un contrat, et n’entraîne aucune obligation ni aucun droit légaux. Synexus se réserve le droit de modifier ou de rectifier la présente politique. Par exemple, il peut être nécessaire de modifier la Politique du fait de l’introduction ou de la modification d’une nouvelle loi. La nouvelle Politique sera publiée à l’adresse suivante : https://www.synexus.com. Dernière mise à jour : 1er janvier 2020