Bouclier de protection des données UE-États-Unis et Suisse-États-Unis

Traduction

La traduction française du présent Bouclier de protection des données UE-États-Unis et Suisse-États-Unis n’est fournie qu’à titre indicatif : la version anglaise seule lie les utilisateurs. Dans l’éventualité d’une ambiguïté entre la version anglaise du présent Bouclier de protection des données UE-États-Unis et Suisse-États-Unis et sa traduction française, la version anglaise prévaudra.

Cerner s'engage publiquement à respecter les principes du bouclier de protection des données UE-États-Unis et Suisse-États-Unis (en anglais) via une auto-certification.

Informations générales

Cerner Corporation et l'ensemble de ses filiales, répertoriées ci-dessous, (ci-après, « Cerner ») s'engagent à protéger la confidentialité et la sécurité de leurs clients, partenaires et associés. De ce fait, elles opèrent selon un ensemble de principes de confidentialité stricts. Cerner est tenue de se conformer à certaines exigences réglementaires concernant les données personnelles en provenance de l'Espace économique européen (ci-après, l'« EEE »), du Royaume-Uni et  de la Suisse qu'elle recueille, stocke et/ou traite. Ces exigences sont définies dans la Directive européenne sur la protection des données à caractère personnel, le Règlement général de l'Union européenne sur la protection des données et les lois locales en vigueur dans chaque pays. Lorsque les activités commerciales de Cerner nécessitent que des données personnelles recueillies au sein de l'EEE, du Royaume-Uni et  en Suisse soient traitées aux États-Unis, Cerner se conforme au bouclier de protection des données UE-États-Unis et au bouclier de protection des données Suisse-États-Unis (ci-après désignés conjointement le « bouclier de protection des données »), tels que définis par le Département du Commerce des États-Unis, concernant le transfert, le recueil, l'utilisation et le stockage des informations personnelles transférées respectivement depuis des pays membres de l'EEE, du Royaume-Uni et depuis la Suisse vers les États-Unis. Cerner a certifié au Département du Commerce des États-Unis qu'elle adhère aux principes du bouclier de protection des données suivants : Notification, Choix, Responsabilité quant aux transferts futurs, Sécurité, Intégrité des données et limite d'utilisation, Accès et Recours, application et responsabilité. En cas de conflits entre les règles décrites dans les présentes consignes en matière de protection des données personnelles aux termes du bouclier de protection des données (ci-après, les « consignes en matière de protection des données personnelles ») et les principes du bouclier de protection des données, ces derniers s'appliquent. Pour plus d'informations sur le programme du bouclier de protection des données et pour consulter notre page de certification, consultez le site suivant : https://www.privacyshield.gov/. Les présentes consignes en matière de protection des données personnelles stipulent les principes de confidentialité appliqués par Cerner pour tout transfert de données personnelles provenant de l'EEE, du Royaume-Uni ou de la Suisse vers les États-Unis. Elles s'appliquent à toutes les données personnelles reçues depuis l'EEE, le Royaume-Uni et la Suisse par Cerner, quel que soit le support ou le format de stockage desdites données. Les pays membres de l'EEE, le Royaume-Uni et la Suisse sont ci-après collectivement désignés par les termes « Europe » ou « européen ».

Filiales de Cerner couvertes

Les filiales suivantes de Cerner Corporation reçoivent des données personnelles depuis l'EEE et adhèrent aux principes du bouclier de protection des données : Cerner Health Services Inc.

Rôles de de Cerner quant au traitement des données, types de données personnelles reçues par Cerner et fins auxquelles Cerner traite des données personnelles en provenance de l'Europe :

Cerner a deux rôles distincts dans le cadre du traitement des données personnelles transférées depuis l'Europe :

• Tout d'abord, en tant que « responsable du traitement des données », Cerner détermine les fins auxquelles les données personnelles pertinentes sont recueillies, stockées et traitées ainsi que les méthodes utilisées pour ce faire.
• En tant que responsable du traitement des données, Cerne recueille et traite des données personnelles relatives à ses clients, fournisseurs, partenaires et associés. Les données personnelles recueillies auprès des clients, fournisseurs et partenaires et traitées par Cerner sont limitées aux données strictement nécessaires dans le cadre de la relation commerciale (nom, coordonnées, données de paiement, contrats, correspondances commerciales, par exemple). Lorsque Cerner, en tant que responsable du traitement des données, reçoit, stocke et traite des données personnelles relatives à des salariés de filiales européennes détenues à part entière par Cerner, qui sont transférées à Cerner Corporation aux États-Unis à des fin d'administration des ressources humaines, le traitement de ces données est soumis au règlement de Cerner relatif à la confidentialité des données des ressources humaines.
• En outre, Cerner a pour objectif d'offrir à ses clients, partenaires et associés internationaux une expérience personnalisée d'Internet et un service de communication et d'information en ligne qui fournit des informations, ressources et services pertinents et répondant aux attentes de ses utilisateurs. Pour ce faire, Cerner recueille et traite des données personnelles concernant les utilisateurs qui consultent ses sites Web, notamment lorsqu'un utilisateur consulte cerner.com et/ou ucern.com. En conséquence, Cerner peut également être amenée à traiter les données personnelles provenant de clients, partenaires et associés européens qui utilisent ses services de sites Web, tels que des plateformes de communication Internet utilisées pour mettre les professionnels en contact les uns avec les autres. Le recueil et l'utilisation des données personnelles par Cerner varient en fonction des services de sites Web demandés par l'utilisateur et des options de confidentialité choisies par l'utilisateur pour les services de sites Web pertinents. Pour les utilisateurs européens du site Web de Cerner, les principes définis dans la charte de confidentialité de Cerner s'appliquent également : https://www.cerner.com/Privacy/?langtype=1036.
• Deuxièmement, en tant que « système de traitement des données », Cerner traite les données personnelles pour le compte de ses clients agissant en tant que responsables du traitement des données. Dans le cadre de cette fonction, Cerner ne choisit ni ne détermine les fins auxquelles les données personnelles sont traitées. En tant que responsables du traitement des données, les clients de Cerner recueillent les données et déterminent les fins auxquelles elles sont traitées. Cerner reçoit et traite les données personnelles pour le compte, et à la demande, de son client. Dans ce contexte, Cerner n'entretient aucune relation directe avec les personnes auxquelles ces données personnelles se rapportent. En tant que système de traitement des données agissant pour le compte d'un de ses clients responsable du traitement des données personnelles, Cerner est tenue de réaliser ses services conformément aux principes du bouclier de protection des données et au contrat établi avec le client ainsi que conformément à toutes les protections relatives à la protection des données personnelles incluses par la présente. Cependant, Cerner dépend également de la conformité de son client, le responsable du traitement des données, avec les lois relatives à la protection des données personnelles en vigueur au sein de l'EEE lors du recueil ou de la réception initiale desdites données personnelles par le client.
• En tant que fabricant de systèmes d'informations cliniques et de gestion, Cerner aide ses clients, dans le monde entier, à installer les solutions Cerner au sein leurs établissements de santé et à assurer le support qui en découle. Étant donné qu'elle offre des services d'implémentation et de support à différents établissements de santé, Cerner peut être amenée à recevoir, stocker et traiter des données personnelles provenant de clients européens. Ces données peuvent inclure les noms, rôles professionnels, adresses e-mail, numéros de téléphone, adresses postales, etc., des employés des clients ainsi que des données patient fournies par les clients afin de résoudre des problèmes et incidents spécifiques liés aux systèmes informatiques (matériel informatique et logiciels) conformément à tout accord commercial et/ou accord de services. Cerner propose également des services d'infogérance, tels que des services d'hébergement à distance, de surveillance à distance des systèmes, de reprise après sinistre, d'entreposage des données et de gestion des applications, qui peuvent l'amener à agir en tant que dépositaire des informations de santé des patients pour le compte de certains clients. Dans l'exercice de ces fonctions, Cerner a non seulement accès aux informations de santé personnelles des établissements médicaux mais prend également en charge nombre des fonctions de protection des données pour le compte de ces établissements.

Les présentes consignes en matière de protection des données personnelles doivent être comprises comme étant assujetties à cette distinction.

Notification

Lorsque Cerner, en tant que responsable du traitement des données, transfère des données vers une tierce partie, ou utilise les données à des fins autres que celles initialement autorisées, elle est tenue de notifier la personne à laquelle les données se rapportent conformément aux principes Notification et Choix du bouclier de protection des données. Cerner informe les personnes pour le compte desquelles elle agit en tant que responsable du traitement des données concernant les éléments suivants : sa participation au bouclier de protection des données, les fins auxquelles les informations personnelles sont recueillies et l'utilisation faite desdites informations, la manière dont elles peuvent contacter Cerner en cas de questions ou de plaintes, les types de tierces parties auxquelles les informations peuvent être divulguées, les fins auxquelles les informations peuvent être divulguées, les droits d'accès des personnes à leurs données personnelles, les options et moyens mis à disposition par Cerner pour limiter l'utilisation et la divulgation de ces informations, l'organisme indépendant de règlement des litiges de Cerner, la possibilité d'un arbitrage contraignant, l'obligation de Cerner de divulguer des informations personnelles dans le cadre de demandes d'ordre juridique émanant d'autorités publiques, notamment pour répondre aux exigences nationales en matière de sécurité et d'application des lois, et enfin la responsabilité potentielle de Cerner quant aux transferts futurs vers des tierces parties.

Lorsque Cerner traite des données personnelles pour le compte d'un client européen aux États-Unis, elle traite les données personnelles conformément aux instructions du client et informe ce dernier de sa participation au bouclier de protection des données. Le client, en tant que responsable du traitement des données, est tenu de s'assurer que les données personnelles sont traitées conformément aux droits et exigences des personnes soumises à la législation européenne relative à la protection des données personnelles.

Choix

En tant que responsable du traitement des données, Cerner permettra aux personnes de choisir (via une option de refus appelée « opt-out » et sauf stipulation contraire requise par la loi) si leurs données personnelles peuvent (1) être divulguées à un responsable du traitement des données tiers ou (2) être utilisées à des fins autres que celles auxquelles elles ont initialement été recueillies ou autorisées ultérieurement par la personne. Les personnes peuvent refuser toute divulgation ou nouvelle utilisation de leurs données personnelles en utilisant les coordonnées fournies ci-dessous.

Dans le cas des données personnelles sensibles (c'est-à-dire les données personnelles concernant l'état de santé, l'origine ou le groupe ethnique, les opinions politiques, les croyances religieuses ou philosophiques, les opinions ou activités idéologiques ou l'appartenance à des syndicats, ou bien les informations concernant la vie sexuelle de la personne, les mesures relatives à la Sécurité sociale, les procédures administratives ou judiciaires et les sanctions traitées en dehors de procédures en attente, ou encore d'autres données personnelles reçues par Cerner à partir d'une tierce partie et identifiées par cette dernière comme des données personnelles sensibles), Cerner est tenue d'obtenir l'autorisation expresse (sauf stipulation contraire permise ou requise par le contrat ou la loi) auprès des personnes (via une option d'autorisation appelée « opt-in ») si lesdites informations doivent être (1) divulguées à un responsable du traitement des données tiers ou (2) utilisées à des fins autres que celles auxquelles elles ont initialement été recueillies ou autorisées ultérieurement par la personne via l'option d'autorisation.

Responsabilité quant aux transferts futurs

Cerner ne partage pas les données personnelles avec des responsables du traitement des données tiers sans l'autorisation de la personne concernée, sauf si l'obligation de divulguer les informations personnelles relève de demandes d'ordre juridique émanant d'autorités publiques, notamment pour répondre aux exigences nationales en matière de sécurité et d'application des lois. Sous réserve des conditions précédentes, Cerner établira un contrat avec le responsable du traitement des données tiers stipulant que ces données ne doivent être traitées qu'aux fins limitées et prévues conformément à l'autorisation de la personne et que le destinataire sera tenu d'appliquer un niveau de protection des données équivalent à celui mis en place par Cerner et d'informer l'organisation s'il détermine qu'il ne peut plus respecter cette obligation. Le cas échéant, le contrat doit stipuler que le responsable du traitement des données tiers doit cesser le traitement des données et mettre en œuvre toutes les mesures raisonnables et appropriées pour résoudre le problème.

Les données personnelles traitées sous la responsabilité de Cerner peuvent être divulguées à des fournisseurs de services chargés de traiter les données personnelles pour le compte de Cerner et conformément aux instructions de Cerner. Cerner limite les données transférées à un fournisseur de services aux données strictement nécessaires afin de mener à bien la fonction pour laquelle Cerner a établi un contrat avec le destinataire tiers des données. Cerner s'assurera d'abord que la partie tierce est obligée de fournir un niveau de protection des données personnelles au moins équivalent au niveau de protection requis aux termes des principes du bouclier de protection des données. Cerner établira un contrat écrit avec la tierce partie qui mettra également en place les garanties nécessaires pour assurer un niveau de protection des données suffisant, par exemple, la garantie de n'utiliser que des fournisseurs de services agissant en tant que systèmes de traitement des données basés en Europe ou certifiés comme étant conformes au programme du bouclier de protection des données. Cerner mettra en œuvre toutes les mesures raisonnables et appropriées pour garantir que la tierce partie traite bien les données personnelles transférées d'une manière conforme aux obligations de Cerner aux termes des principes du bouclier de protection des données. Dans le cas où Cerner apprend qu'une tierce partie utilise ou divulgue des données personnelles de façon contraire aux présentes consignes en matière de protection des données personnelles, Cerner mettra en œuvre toutes les mesures raisonnables et appropriées pour empêcher ou arrêter ces utilisations ou divulgations et empêcher tout traitement non autorisé des données. Les tierces parties sont également tenues d'informer Cerner si elles ne sont plus en mesure de respecter leur obligation d'assurer un niveau de protection des données équivalent à celui requis par les principes du bouclier de protection des données. Sur demande, Cerner fournira au Département un résumé ou un exemplaire représentatif des dispositions pertinentes concernant la protection des données personnelles contenues dans le contrat conclu avec la tierce partie.

Cerner sera également tenue de divulguer les informations personnelles d'une personne dans le cadre d'une demande d'ordre juridique émanant d'autorités publiques, notamment pour répondre aux exigences nationales en matière de sécurité et d'application des lois. En cas de transferts futurs à des tierces parties de données concernant des personnes basées en Europe reçues dans le cadre du bouclier de protection des données, Cerner peut être tenue responsable.

Sécurité des données

Cerner met en œuvre toutes les mesures raisonnables et appropriées pour assurer la protection des données personnelles contre tout risque de perte, d'usage abusif et d'accès, de divulgation, de modification et/ou de destruction non autorisés, en tenant compte des risques émanant du traitement et de la nature des données personnelles. Cerner a donc mis en place des mesures de sécurité physiques, électroniques et de gestion appropriées afin de préserver et d'assurer la sécurité de toutes les données personnelles placées sous son contrôle contre tout risque de perte, d'usage abusif et d'accès, de divulgation, de modification et/ou de destruction non autorisés.

Intégrité des données et limite d'utilisation

Cerner traite les données personnelles exclusivement d'une manière adaptée aux fins auxquelles les données ont été recueillies ou autorisées ultérieurement par le responsable du traitement des données du client ou la personne. Dans la mesure nécessaire à la réalisation de ces fins, Cerner met en œuvre les mesures raisonnables nécessaires pour assurer la fiabilité des données personnelles par rapport à l'utilisation prévue ainsi que leur exactitude, leur exhaustivité et leur actualité. Cerner adhère à ce principe aussi longtemps qu'elle détient des informations de cette nature.

Accès

Cerner reconnaît que, sous réserve de certaines restrictions juridiques, les personnes ont le droit d'accéder aux informations/données personnelles les concernant qu'elle gère en qualité de responsable du traitement des données. Toute personne souhaitant accéder aux données la concernant, ou corriger, modifier ou supprimer des données inexactes détenues par Cerner en tant que responsable du traitement des données, doit adresser une demande aux coordonnées répertoriées ci-dessous. Cerner répondra à ces demandes dans un délai raisonnable. Lorsqu'elle agit en tant que système de traitement des données, Cerner prend en charge les demandes d'accès adressées à ses clients.

Recours, application et responsabilité

Cerner utilise une approche d'auto-évaluation pour assurer sa conformité avec les principes du bouclier de protection des données et vérifie de manière périodique et objective que les dispositions de ses chartes de confidentialité publiées relatives à la protection des informations personnelles reçues depuis l'Europe sont exactes, exhaustives pour l'ensemble des informations à couvrir, affichées de manière évidente, entièrement appliquées et accessibles et conformes aux principes du bouclier de protection des données. Cerner forme régulièrement ses associés sur les dispositions de ses chartes de confidentialité relatives à la protection des informations personnelles pendant l'implémentation et les informe sur les risques encourus en cas de non-respect de ces dispositions.

Conformément aux principes du bouclier de données UE-États-Unis et Suisse-États-Unis, Cerner s'engage à régler les plaintes relatives à la confidentialité ainsi qu'au recueil et à l'utilisation des informations personnelles. Les personnes membres de l'EEE ou en Suisse souhaitant soumettre une question ou une plainte concernant la présente charte de confidentialité doivent d'abord contacter Cerner en utilisant les coordonnées fournies ci-dessous avant d'engager des mécanismes de recours indépendants. Cerner investiguera et tentera de régler toute plainte ou tout litige ayant trait à l'utilisation et la divulgation des données personnelles conformément aux principes du bouclier de protection des données. Cerner répondra aux plaintes dans un délai de 45 jours à compter de la réception de ladite plainte, conformément aux principes du bouclier de protection des données.

En outre, conformément aux principes du bouclier de protection des données, Cerner s'est engagée à adresser, sans frais, les plaintes non réglées relatives à la confidentialité au BBB EU PRIVACY SHIELD, un organisme tiers de règlement des litiges à but non lucratif basé aux États-Unis et dirigé par le Council of Better Business Bureaus. Si vous ne recevez pas de confirmation de la réception de votre plainte dans les délais impartis, ou si votre plainte n'est pas traitée de manière satisfaisante par Cerner, consultez le site Web de l'organisme BBB EU Privacy Shield (https://bbbprograms.org/privacy-shield-complaints/) pour obtenir des informations supplémentaires ou pour soumettre une plainte.

Si votre plainte n'est pas réglée, ou n'est que partiellement réglée, après révision par Cerner, le BBB EU Privacy Shield et l'autorité chargée de la protection des données applicable, vous aurez la possibilité, sous réserve de certaines conditions, de demander un arbitrage auprès du panel du bouclier de protection des données (« Privacy Shield Panel »). Pour plus d'informations, consultez le site suivant :www.privacyshield.gov.

Toute personne qui décide de recourir à cette option d'arbitrage doit procéder comme suit avant de déposer une demande d'arbitrage : (1) signaler la violation faisant l'objet de la plainte directement à Cerner et accorder à Cerner un délai de 45 jours après réception de ladite plainte pour tenter de résoudre le problème ; (2) avoir recours au mécanisme de recours indépendant, BBB EU PRIVACY SHIELD ; et (3) signaler le problème auprès du Département du Commerce des États-Unis via l'autorité chargée de la protection des données applicable au sein de l'Union européenne, l’ « Information Commissioners’Office » (ICO) au Royaume-Uni ou le préposé fédéral à la protection des données et à la transparence en Suisse et accorder au Département du Commerce un délai de 90 jours pour tenter de résoudre le problème et répondre à l'autorité chargée de la protection des données.

Données des ressources humaines

En tant que responsable du traitement des données, Cerner s'engage également à coopérer avec les autorités chargées de la protection des données au sein de l'Union européenne, l’ « Information Commissioners’Office » (ICO) au Royaume-Uni et avec le préposé fédéral à la protection des données et à la transparence en Suisse (ci-après, le « PFPDT ») concernant les données des ressources humaines transférées depuis l'Europe dans le cadre de la relation de travail. Lorsqu'une organisation basée en Europe transfère à Cerner des informations personnelles relatives à ses employés (passés et présents) ayant été recueillies dans le cadre de la relation de travail, le recueil et le traitement desdites informations avant le transfert sont soumis aux lois nationales en vigueur dans le pays européen dans lequel les informations ont été recueillies. En outre, toutes les conditions, ou restrictions, qui s'appliquent au transfert de ces informations aux termes desdites lois devront être respectées. Conformément au bouclier de protection des données, lors de la réception d'informations relatives à des employés basés en Europe, Cerner pourra uniquement divulguer ces informations à des responsables du traitement des données tiers, ou les utiliser à des fins variées, aux termes des principes Notification et Choix.

Si vous ne recevez pas de confirmation de la réception de votre plainte dans les délais impartis, ou si votre plainte n'est pas traitée de manière satisfaisante par Cerner, et que votre demande ou plainte implique des données des ressources humaines, votre plainte peut être étudiée par un mécanisme de recours indépendant. Dans le cas des données de personnes basées dans des pays membres de l'UE/EEE, il s'agit d'un panel formé par les autorités chargées de la protection des données au sein de l'Union européenne (ci-après, le « panel des autorités de protection des données »). Dans le cas des données de personnes basées en Suisse, il s'agit du PFPDT. Pour ce faire, vous devez contacter l'autorité nationale ou locale responsable des questions liées au travail ou de la protection des données appropriée pour la juridiction dans laquelle vous travaillez. Cerner accepte de coopérer avec le panel des autorités de protection des données et le PFPDT et de se conformer à leurs décisions.

Coordonnées

Conformément aux principes du bouclier de protection des données, Cerner s'engage à régler les plaintes relatives à la confidentialité de vos données personnelles et au recueil et à l'utilisation de vos informations personnelles. Les citoyens européens souhaitant soumettre une question ou une plainte concernant la présente charte de confidentialité doivent d'abord contacter Cerner comme suit :

En Europe et au Royaume-Uni:

Cerner Health Services Deutschland GmbH
4th Floor, Siemensdamm 50, 13629 Berlin, Allemagne
Numéro de téléphone : (+49) 040 30333 5931
Adresse e-mail : PrivacyOffice@cerner.com

Aux États-Unis :

Cerner Corporation
2800 Rockcreek Parkway - Cerner Corporation
North Kansas City, Missouri 64117-2551, États-Unis
Numéro de téléphone : (+1) 816-221-1024
Numéro de fax : (+1) 816-579-0550
Adresse e-mail : PrivacyOffice@cerner.com

Avenants

Les présentes consignes en matière de protection des données personnelles peuvent être occasionnellement mises à jour afin d'assurer la conformité avec les exigences du bouclier de protection des données. Tout règlement révisé sera publié sur ce site Web.
Date d'entrée en vigueur : 19 janvier 2022