Introduction

GE HealthCare respecte les droits des personnes en matière de protection des données et s'engage à traiter les Informations personnelles de manière responsable, conformément à la loi applicable, aux obligations contractuelles applicables et à l'Engagement de GE HealthCare en matière de Protection des Informations personnelles (l'Engagement), décrit ci-dessous. L'Engagement énonce les principes de GE HealthCare pour le traitement des Informations personnelles par et pour le compte de GE HealthCare.

L'Engagement établit une base juridique pour les transferts transfrontaliers d'Informations personnelles au sein du groupe GE HealthCare (toutes les divisions en propriété exclusive ou majoritaire de GE HealthCare Company). En outre, GE HealthCare peut effectuer des transferts transfrontaliers d'Informations personnelles à des tiers en dehors du groupe GE HealthCare conformément à la loi applicable. GE HealthCare traitera les Informations personnelles conformément à l'Engagement, le cas échéant, sauf en cas de conflit avec des exigences plus strictes de la loi locale, auquel cas la loi locale prévaudra.

Champ d’application

L'Engagement vise à s'assurer que les Informations personnelles seront protégées indépendamment de la géographie ou de la technologie, lorsqu'elles sont utilisées au sein du Groupe GE HealthCare, et s'applique au traitement par GE HealthCare des Informations personnelles GE HealthCare et des Informations personnelles du Client de GE HealthCare.

Traitement des Informations personnelles

GE HealthCare traite uniquement les Informations personnelles du Client de GE HealthCare pour le compte du Client et conformément aux instructions du Client.

GE HealthCare respecte les principes suivants lors du traitement des Informations personnelles et fournit une coopération et une assistance raisonnables au Client pour faciliter le respect desdits principes. Lorsque la loi applicable l'exige, cela comprend l'assistance au Client pour les évaluations des incidences sur la confidentialité, les consultations nécessaires avec les autorités compétentes en matière de protection des données et la mise en œuvre de mesures de conformité telles que la protection de la confidentialité dès la conception et par défaut :

Équité : GE HealthCare traitera les Informations personnelles de manière équitable et légale.

Objectif : GE HealthCare limitera le traitement des Informations personnelles aux fins spécifiques et légitimes de GE HealthCare. GE HealthCare traitera lesdites informations uniquement à ces fins si GE HealthCare dispose du consentement sans équivoque de la personne concernée ou de la confirmation du client concerné que ce consentement a été obtenu le cas échéant.

En général, GE HealthCare traitera les Informations personnelles :

• lorsque GE HealthCare dispose d’un intérêt légitime qui, dans l'ensemble, justifie le traitement ;
• lorsque cela est nécessaire au maintien ou à l'exécution d'une relation juridique entre GE HealthCare et l'individu ;
• lorsque cela est nécessaire pour se conformer à une obligation imposée à GE HealthCare par une loi, une réglementation ou une autorité gouvernementale compétente ;
• lorsqu'il existe des situations exceptionnelles qui menacent la vie, la santé ou la sécurité de la personne ou d'une autre personne ;
• après avoir obtenu le consentement libre, explicite et éclairé de la personne lorsque la loi applicable l'exige ; ou
• lorsque le traitement est lié à un contrat de service à la clientèle.

Lorsque le consentement a été obtenu directement par GE HealthCare, GE HealthCare mettra en œuvre un processus permettant aux individus de retirer leur consentement dans la mesure requise par la loi applicable, à tout moment et sans frais.

Proportionnalité : GE HealthCare limitera le traitement des Informations personnelles aux éléments adéquats, pertinents et non démesurés au regard des fins pour lesquelles ces informations sont collectées et utilisées.

Qualité des informations : GE HealthCare prendra des mesures raisonnables pour fournir au Client un moyen de s'assurer que les Informations personnelles sont exactes et tenues à jour, pour ne conserver les Informations personnelles que le temps nécessaire aux fins pour lesquelles elles sont collectées et utilisées, et pour les supprimer ou les anonymiser une fois les exigences de conservation respectées.

Sur demande valide du Client et lorsque cela sera raisonnablement possible, GE HealthCare :

• fournira au client les moyens de rectifier, mettre à jour, anonymiser ou supprimer (le cas échéant) les Informations personnelles du Client de GE HealthCare ou s’en chargera ; et
• notifiera ce fait à chaque Entité GE ou à chaque tierce partie à qui les Informations personnelles du Client de GE HealthCare ont été divulguées.

Transparence : Lorsque la loi applicable l'exige, GE HealthCare mettra à la disposition des individus, au moment de la collecte ou dans un délai raisonnable, des informations sur l'identité de GE HealthCare, les finalités et la base juridique du traitement de leurs Informations personnelles, les destinataires prévus et les transferts de données transfrontaliers, la ou les sources des Informations personnelles, la manière dont les individus peuvent exercer leurs droits concernant les Informations personnelles, les coordonnées du Responsable de la protection des données, si applicable, et des explications supplémentaires, le cas échéant, afin d'assurer un traitement équitable. Lorsque GE HealthCare collectera des Informations personnelles via Internet ou d'autres voies électroniques, GE HealthCare affichera un avis de confidentialité facilement accessible répondant à ces exigences de transparence.

Confidentialité : GE HealthCare garantira la confidentialité des Informations personnelles traitées, sauf si une divulgation est requise par une exigence opérationnelle ou légale applicable. Cette obligation perdurera même après la fin de la relation avec le Client. GE HealthCare exige que tous les membres du Groupe GE HealthCare qui traitent les Informations personnelles du Client de GE HealthCare et leurs employés se conforment aux instructions du Client concernant le traitement des Informations personnelles du Client de GE HealthCare.

Sécurité : GE HealthCare s'efforce de protéger les Informations personnelles en appliquant des mesures techniques et organisationnelles appropriées pour assurer leur intégrité, leur confidentialité, leur sécurité et leur disponibilité et exige que tous les membres du Groupe GE HealthCare qui traitent les Informations personnelles du Client de GE HealthCare et leurs employés se conforment aux mesures de sécurité et de confidentialité énoncées dans le contrat de service avec le Client. GE HealthCare fournira une assistance raisonnable au Client de GE HealthCare pour assurer la sécurité du traitement des informations et informera le Client de GE HealthCare en cas de violation de la sécurité des Informations personnelles du Client de GE HealthCare comme l'exigent ces lois.

Effet du terme : À la résiliation du contrat de service avec le Client, sauf accord contraire avec le Client ou interdiction par la loi applicable, GE HealthCare renverra ou détruira (et en cas de destruction, certifiera au Client que ladite opération a été réalisée) toutes les Informations personnelles du Client de GE HealthCare et toutes les copies détenues.

Partage et/ou transfert d'Informations personnelles

GE HealthCare peut partager ou transférer des Informations personnelles dans les circonstances suivantes :

• Les Informations personnelles peuvent être partagées au sein du Groupe GE HealthCare aux fins spécifiées ci-dessus, à condition que l'entité du Groupe GE HealthCare traitant les Informations personnelles respecte le présent Engagement.
• GE HealthCare peut fournir des Informations personnelles à certains fournisseurs ou prestataires de services engagés pour effectuer certaines opérations de traitement ou d'autres services en son nom. GE HealthCare s'efforcera de s'assurer que les engagements des nouveaux fournisseurs prévoient le traitement des Informations personnelles d'une manière compatible avec le présent Engagement et la loi applicable au moyen d'une relation juridique établie par le biais d'un contrat ou d'autres moyens légalement autorisés qui imposeront au fournisseur des obligations équivalentes à celles qui s'appliquent à GE HealthCare en vertu du contrat de service avec le Client. En vertu de ces contrats, les fournisseurs doivent mettre en œuvre des mesures de sécurité adéquates et traiter les Informations personnelles en respectant scrupuleusement les instructions de GE HealthCare.
• GE HealthCare peut divulguer certaines Informations personnelles à d'autres tierces parties, y compris les autorités chargées de l'application des lois, lorsque la loi l'exige, pour protéger les droits légaux de GE HealthCare, ou dans le cadre de toute activité de fusion ou d'acquisition de GE HealthCare ou de l'insolvabilité ou de la réorganisation de toute partie de GE HealthCare. GE HealthCare peut effectuer des transferts transfrontaliers d'Informations personnelles au sein du Groupe GE HealthCare, en fonction de l'adhésion des membres du Groupe destinataire aux parties pertinentes du présent Engagement. GE HealthCare peut également effectuer des transferts transfrontaliers en dehors du Groupe GE HealthCare si le destinataire assure le niveau minimum de protection prévu dans le présent Engagement, s'appuyant sur une justification appropriée en vertu de la loi applicable, ou lorsque le pays vers lequel ces informations sont transmises offre le niveau de protection défini par les décisions d'adéquation de la Commission européenne. Dans le cadre de l'engagement de GE HealthCare en matière de responsabilité, GE HealthCare s’engage à démontrer la conformité de tout transfert transfrontalier aux dispositions prévues dans le présent Engagement en matière de protection, en particulier lorsque cela est requis par une autorité de surveillance compétente.
• En cas de transferts transfrontaliers, les Sociétés GE HealthCare et les Entités GE HealthCare n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des Informations personnelles par l'importateur de données empêchent ce dernier de remplir ses obligations en vertu du présent Engagement et tiennent dûment compte des circonstances spécifiques du transfert transfrontalier, des lois et pratiques du pays tiers de destination, de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties en vertu du présent Engagement.

Traitement des Informations personnelles sensibles

Lorsque GE HealthCare traite et/ou transfère des Informations personnelles sensibles, ces opérations doivent être réalisées conformément aux instructions du Client et en appliquant les garanties appropriées requises par la loi applicable. Des mesures de sécurité appropriées seront prises en fonction de la nature de ces informations et des risques associés aux utilisations prévues.

Responsabilité

GE HealthCare est responsable du respect des exigences énoncées dans l'Engagement et en vertu de la loi applicable. En particulier, GE HealthCare devra :

• prendre les mesures nécessaires pour respecter les exigences relatives à l'Engagement et à la loi applicable ; et
• disposer des mécanismes internes nécessaires pour démontrer un tel respect, y compris la tenue d'un registre de ses activités de traitement conformément à la loi applicable.

Programme de confidentialité

GE HealthCare met en œuvre des pratiques de protection de la confidentialité pensées pour soutenir sa conformité au présent Engagement et à la loi applicable, y compris la désignation d'un réseau de responsables en matière de protection de la confidentialité, des programmes de formation et de sensibilisation, des protocoles de réponse aux incidents, des évaluations des incidences sur la confidentialité, des routines d'audit et une approche de la protection de la Confidentialité dès la conception et de la Confidentialité par défaut pour le développement des processus et des systèmes.

Droits individuels

Conformément à la loi applicable, un individu ayant communiqué de manière satisfaisante son identité à GE HealthCare ou au Client peut exercer les droits suivants en ce qui concerne les Informations personnelles que GE a collectées directement auprès de lui ; GE HealthCare aidera le Client à remplir ses obligations en matière de confidentialité envers les individus :

Accès : Lorsque la loi applicable l'exige, suite à une demande d'un individu et sur instruction du Client, GE HealthCare fournira les Informations personnelles le concernant en sa possession, y compris des informations concernant la source des Informations personnelles, les fins de tout traitement par GE HealthCare et les destinataires, ou catégories de destinataires, auxquels ces Informations personnelles sont divulguées.

Correction et suppression : Sur instruction du Client, les demandes valides de correction ou de suppression des Informations personnelles qui ne sont pas incomplètes, inexactes ou excessives seront respectées et confirmées en tant que telles, mais aucune suppression ne sera pas effectuée lorsque la conservation des informations est requise par la relation contractuelle entre GE HealthCare et le Client, dans le contexte d'un litige juridique ou d'une autre exigence de conservation légale, ou comme autrement requis par la loi applicable.

Objection : Sur instruction du Client, GE HealthCare cessera de traiter les Informations personnelles lorsque l'objection d'un individu est justifiée en vertu de la loi applicable, par exemple lorsque la vie ou la santé de l'individu est mise en danger en raison du traitement. Un individu a également le droit de s'opposer aux décisions basées uniquement sur le traitement automatisé des Informations personnelles qui produisent des effets juridiques affectant de manière significative l’individu concerné, sauf lorsque ledit individu a demandé le traitement, ou lorsque cela est nécessaire pour la relation contractuelle entre GE HealthCare et le Client. Dans ce dernier cas, l’individu peut donner son opinion quant à la décision automatisée. Un individu a le droit de s'opposer au traitement des Informations personnelles par GE HealthCare à des fins de marketing lorsque la loi applicable le permet. L'exercice de ce droit d'opposition peut être contesté lorsque GE HealthCare et/ou le Client peuvent démontrer que leur intérêt légitime impérieux à poursuivre le traitement l'emporte sur les intérêts ou les droits et libertés fondamentaux de l'individu.

Restriction : Un individu a également le droit de demander la restriction de tout traitement de ses Informations personnelles GE HealthCare par GE HealthCare, dans la mesure où ce droit est prévu par la loi applicable, par exemple lorsque l'exactitude des Informations personnelles GE HealthCare est contestée. Sur instruction du Client, GE HealthCare cessera de traiter ces informations lorsque la restriction est justifiée, à l'exception du stockage et de tout autre traitement continu autorisé en vertu de la loi applicable.

Réclamations : Tout individu qui prétend avoir subi un dommage à la suite du non-respect de l'Engagement par une entité du Groupe GE HealthCare peut déposer une réclamation auprès du Responsable Confidentialité ou du Responsable Conformité du Groupe GE HealthCare concerné, ou par le biais des Processus de traitement des réclamations de GE HealthCare disponibles sur les sites Web de GE HealthCare si les autres canaux ne sont pas disponibles:

•  Signalement des problèmes internes : https://submit-irm.trustarc.com/services/validation/13864fcb-7587-457a-9a97-91497f5c0ad7

• Signalement des problèmes externes : https://submit-irm.trustarc.com/services/validation/66c3579f-50bb-49a3-b68a-39e4f9076a57

GE HealthCare ne sera tenu de traiter la réclamation que si le Client est devenu insolvable, a disparu de fait ou a cessé d'exister juridiquement et uniquement lorsque les obligations légales du Client n'ont pas été assumées par une entité remplaçante.

Si le Client estime que la réclamation est justifiée, GE HealthCare aidera le Client et prendra des mesures raisonnables pour traiter la réclamation à la satisfaction raisonnable de l'individu. GE HealthCare s'efforcera d’aider le Client à répondre aux réclamations dans les trente jours suivant leur réception. Un individu dont la réclamation concernant la conformité de GE HealthCare à l'Engagement dans les pays régis par les Règles de confidentialité transfrontalières de l'APEC n’a pas été résolue peut contacter le prestataire tiers de GE HealthCare en charge de la résolution des litiges aux États-Unis (gratuitement).

Application : Un individu ayant subi un dommage à la suite d'une violation de l'Engagement peut être en droit de recevoir une indemnisation pour ces dommages conformément à la loi applicable et comme prévu dans l'Engagement. Un individu qui a droit à une indemnisation peut faire valoir ses droits tel que prévu dans l'Engagement en recourant directement aux tribunaux ou à une autre autorité judiciaire conformément à la loi applicable.

Coopération avec les autorités de surveillance

GE HealthCare coopérera avec toute autorité de surveillance nationale ou régionale compétente chargée de superviser la loi applicable en matière de confidentialité ayant de bonnes raisons de remettre en question tout traitement des Informations personnelles par GE HealthCare, et se conformera aux décisions de cette autorité de surveillance compétente pour toute question liée à l'Engagement.

GE HealthCare informera le Client de toute demande juridiquement contraignante envoyée par une autorité d'application de la loi pour la divulgation des Informations personnelles du Client de GE HealthCare, sauf interdiction contraire par la loi applicable, telle qu'une interdiction en vertu du droit pénal pour préserver la confidentialité d'une enquête.

Modifications apportées à l’Engagement

GE HealthCare se réserve le droit de modifier l'Engagement. Tout changement important sera soumis à l'autorité responsable de la protection des données de GE HealthCare et/ou à son représentant, le cas échéant, et sera notifié sur le site Web de GE HealthCare.

Lorsqu'une modification proposée de l'Engagement aura un effet préjudiciable important sur les conditions de traitement des Informations personnelles du Client de GE HealthCare, GE HealthCare informera le Client de cette modification proposée, et le Client pourra soit s'opposer à la modification proposée aux fins d'un contrat de service existant, soit résilier le contrat de service concerné.

Définitions

Les Informations personnelles désignent toutes les informations relatives à une personne physique identifiée ou identifiable.

Les Informations personnelles de GE HealthCare désignent toutes les Informations personnelles obtenues dans le cadre de la relation d'un individu avec GE HealthCare et que GE HealthCare traite pour le compte du Client. Ces Informations personnelles de GE HealthCare peuvent inclure, par exemple, des données client obtenues dans le cadre d'une relation client avec GE HealthCare.

Les Informations personnelles du Client de GE HealthCare désignent toutes les Informations personnelles obtenues dans le cadre de la prestation de services par GE HealthCare auprès d’un Client en vertu d'un contrat de service et que GE HealthCare traite pour le compte du Client.

Le Client est une personne ou une entité qui conclut un contrat de service avec GE HealthCare.

Les Informations personnelles sensibles, une catégorie spéciale d'Informations personnelles, sont des informations sur l'origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, la santé, la vie sexuelle ou l'orientation sexuelle.