POLITIQUE SUR LA PROTECTION DES DONNEES A CARACTERE PERSONNEL (V4, 11 Mars 2026)

1. PHARMASPECIFIC, RESPONSABLE DE TRAITEMENT

Pharmaspecific accorde de l’importance à la protection des données à caractère personnel qu’elle est amenée à traiter en tant que responsable du traitement dans le cadre de ses activités.

Le présent document constitue la politique de protection des données à caractère personnel mise en œuvre par Pharmaspecific dans le cadre de ses activités en vertu du Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données, “RGPD”).

Cette politique de protection des données à caractère personnel a pour objet d’expliquer comment Pharmaspecific se conforme à cette réglementation dans le cadre de la gestion de ses activités avec ses clients, les participants aux recherches cliniques et les entreprises tierces, ainsi que dans le cadre des obligations légales et réglementaires qui y sont liées. En particulier, cette Politique explicite la nature des données collectées, les catégories de personnes concernées, les finalités et fondements juridiques des traitements opérés, les destinataires de données, les mécanismes d’encadrement des transferts de données hors de l’espace économique européen, les durées de conservation ainsi que les modalités d’exercice de droits des personnes concernées.

Délégué à la Protection des Données (DPO)
Pharmaspecific a désigné un Délégué à la Protection des Données (DPO), chargé de veiller au respect de la réglementation applicable en matière de protection des données à caractère personnel, de conseiller la société sur ses obligations au titre du RGPD et de constituer le point de contact avec les personnes concernées et les autorités de contrôle.

Le DPO peut être contacté à l’adresse suivante : privacy@pharmaspecific.fr

2. DONNEES PERSONNELLES

Dans le cadre de nos activités, nous sommes amenés à collecter, utiliser voire transmettre des données personnelles de plusieurs natures :

• Etat civil et données d’identification (nom, date et lieu de naissance, nationalité, adresse/pays de résidence, numéro de passeport et/ou de carte d’identité, photo, …)
• Vie personnelle (situation familiale, …)
• Vie professionnelle (profession/fonction, employeur, données de contact, certifications/agréments, conversations téléphoniques/emails/chat/…, etc.)
• Informations d’ordre économique et financier (revenu, …)
• Informations techniques d’utilisation de nos services (adresse IP, logs de connexion, cookies, …)

Seules les données utiles aux finalités poursuivies sont collectées.

3. CATEGORIES DE PERSONNES CONCERNEES

Dans le cadre des activités de services que Pharmaspecific propose, nous pouvons être amenés à collecter, utiliser et transmettre les données personnelles des catégories de personnes suivantes (non exhaustivement) : employés, sous-traitants, clients, prospects, patients, médecins, etc.

4. FINALITES DES TRAITEMENTS

Pharmaspecific est susceptible de traiter tout ou partie des données, dans le cadre de l’intérêt légitime :

• pour permettre la navigation sur ces sites internet, la gestion et la traçabilité des prestations et services commandés par le donneur d’ordre: données de connexion et d’utilisation des sites et des logiciels, facturation, historique des commandes, note de frais etc.
• pour prévenir et lutter contre la fraude informatique (spamming, hacking…) : matériel informatique utilisé pour la navigation, l’adresse IP, le mot de passe (hashé)
• pour améliorer la navigation sur ces logiciels et ces sites internet : données de connexion et d’utilisation
• pour mener des enquêtes de satisfaction facultatives sur ces sites internet : adresse email
• pour mener des campagnes de communication, marketing ou de vente (mail) : prénom, nom, société, adresse email, historiques des commandes
• pour améliorer la qualité des services rendus : enregistrement des conversations téléphoniques

Dans le cadre de l’intérêt légitime, du consentement ou de la mission d’intérêt public (selon le choix des responsables de traitement) :

• Données des participants au recherche  ou des entreprises tierces (Taxi, Ambulance) dans le cadre de la prestation de remboursement patient uniquement : Nom, prénom, numéro de téléphone, adresse, adresse mail, type de dépense, pièce justificative, coût des dépenses, RIB
• Données des participants au recherche dans le cadre des études cliniques ou observationnelles : Initiales, données de santé pseudonymisées et protégées conformément à la délibération n° 2018-153 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) et abrogeant la délibération n° 2016-262 du 21 juillet 2016.
• Données du donneur d’ordre : Nom, prénom, adresse mail, titre, entreprise.

Concernant les utilisateurs du site https://pharmaspecific.com, nous collectons les données seront conservées pendant une période maximale de 3 ans.

Concernant les utilisateurs du logiciel https://remboursement.pharmaspecific.com, nous collectons les données ci-dessus, qui seront conservées pendant une période maximale de 10 ans.

Nous pouvons avoir l’obligation légale de collecter certaines Informations personnelles vous concernant ou en conséquence d’une relation contractuelle qui nous lie. Dans ces cas, le fait de ne pas nous fournir ces informations peut empêcher ou retarder le respect de ces obligations.

Pharmaspecific peut également collecter les catégories suivantes d’Informations personnelles auprès de tiers, dans le cadre de l’intérêt légitime, comme des agences de publicité en ligne, des listes de sociétés rachetées, de manifestations ou de conférences, et des listes achetées : Nom, Prénom, adresse, adresse e-mail, nom de la société.

Nous pouvons améliorer ou fusionner vos informations personnelles avec des données obtenues auprès de tiers aux mêmes fins que celles pour lesquelles nous utilisons vos informations personnelles que vous nous avez sciemment fournies.

Pharmaspecific ne commercialise pas vos données personnelles à des sociétés tierces.

5. FONDEMENTS JURIDIQUES DES TRAITEMENTS 

Conformément à la réglementation applicable, les traitements de données à caractère personnel mis en œuvre par Pharmaspecific reposent sur les fondements juridiques suivants, selon les finalités poursuivies :

Finalité du traitement	Fondement juridique
Gestion administrative et opérationnelle des services fournis	Exécution contractuelle
Remboursement des frais des participants aux recherches	Définie par le responsable de traitement. Il faut se référer à la documentation reçue dans le cadre de la recherche.
Conformité aux obligations réglementaires liées à la recherche clinique	Traitement réalisé en qualité de sous-traitant pour le compte du promoteur, responsable de traitement qui détermine la base légale
Gestion de la relation clients et partenaires	Intérêt légitime
Sécurité des systèmes d’information et prévention de la fraude	Intérêt légitime
Actions de communication et marketing	Consentement

Lorsque le traitement repose sur le consentement, celui-ci peut être retiré à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant son retrait.

Conformément à la politique interne de classification de l’information, les données à caractère personnel sont classifiées au minimum comme données confidentielles, impliquant la mise en œuvre de mesures de protection renforcées en matière d’accès, de conservation et de destruction.

6. DESTINATAIRES DES  DONNEES

Les informations enregistrées sont réservées à l’usage du (ou des) service(s) concerné(s) et peuvent être communiquées à des sociétés prestataires. La transmission des données aux destinataires situés en dehors de l’Union Européenne est destinée à la saisie, le suivi, et l’hébergement des données de suivi commercial. L’hébergement s’effectue dans des pays adéquats et des pays où le transfert est encadré par les clauses contractuelles types pour s’assurer d’un niveau de protection suffisant des données personnelles. Pour autant, Pharmaspecific reste libre du choix de ses sous-traitants techniques et commerciaux à la condition qu’ils présentent les garanties suffisantes au regard des exigences du Règlement Général sur la Protection des Données (RGPD : n° 2016-679).

Pharmaspecific s’engage à prendre toutes les précautions nécessaires afin de préserver la sécurité des Informations et notamment qu’elles ne soient pas communiquées à des personnes non autorisées. Cependant, si un incident impactant l’intégrité ou la confidentialité des Informations du Client est portée à la connaissance de Pharmaspecific, celle-ci devra dans les meilleurs délais informer le Client et lui communiquer les mesures de corrections prises. Par ailleurs Pharmaspecific ne collecte aucune « donnée sensible » pour son propre compte ou, dans le cadre de la prestation de remboursement de frais patient, pour le compte du Client. En revanche, dans le cadre des prestations relatives à la mise en œuvre de recherches cliniques uniquement et en qualité de sous-traitant, Pharmaspecific peut être amené à traiter des données dites sensibles, telles que des données relatives à l’état de santé des participants, lesquelles sont transmises au Client uniquement sous forme pseudonymisée.

Les Données Personnelles de l’Utilisateur peuvent être traitées par des filiales de Pharmaspecific et des sous-traitants (prestataires de services), exclusivement afin de réaliser les finalités de la présente politique.

Dans la limite de leurs attributions respectives et pour les finalités rappelées ci-dessus, les principales personnes susceptibles d’avoir accès aux données des Utilisateurs de Pharmaspecific sont principalement les agents de notre service client.

7. TRANSFERT DE DONNEES EN DEHORS DE L’ESPACE ECONOMIQUE EUROPEEN

Afin d’exécuter la réalisation de nos services ou de satisfaire à nos obligations légales et réglementaires, nous pouvons être amenés à transférer les données personnelles des Personnes Concernées vers un pays en dehors de l’espace économique européen. Les mesures appropriées sont mises en œuvre pour garantir un niveau de protection suffisant tel que requis dans le RGPD : pays dont la législation assure une protection adéquate ; garanties permettant d’assurer ce niveau de protection.  Ces garanties peuvent être des Clauses Contractuelles Types de protection des données personnelles adoptées par la Commission européenne (c’est-à-dire un contrat de transfert entre le responsable de traitement et un destinataire précisant les obligations du responsable de traitement et du destinataire dans le cas d’un transfert de données personnelles hors de l’Union européenne).

8. DUREE DE CONSERVATION DES DONNEES

Nous conservons les données personnelles des Personnes Concernées pour la durée nécessaire à la réalisation de la finalité poursuivie. Nous ne conservons ces données que pendant la durée pour laquelle nous en avons besoin. Cette durée dépend des raisons pour lesquelles nous les utilisons, comme pour vous fournir nos services, pour répondre à nos intérêts légitimes, pour que nous puissions nous conformer à nos obligations légales et réglementaires ou pour l’exercice ou la défense de nos droits en justice. Elles pourront également être conservées ou archivées pour les durées légales de prescription.

9. DROIT D’ACCES, DE RECTIFICATION ET D’OPPOSITION

Conformément à la réglementation européenne en vigueur :

• les Utilisateurs des sites internet de Pharmaspecific,
• les collaborateurs,
• les sous-traitants,
• les clients, les participants aux recherches cliniques et les intervenants des entreprises tiers,disposent des droits suivants : 
  – droit d’accès (article 15 RGPD) et de rectification (article 16 RGPD), de mise à jour, ou d’effacement des données des Utilisateurs à caractère personnel (article 17 du RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite
  – droit de retirer à tout moment un consentement (article 13-2c RGPD)
  – droit de rectification consistera en la modification des données des intéressés, qu’elles soient erronées ou incomplètes, et recueillies à des fins d’utilisation 
  – droit à la limitation du traitement des données des Utilisateurs (article 18 RGPD)
  – droit d’opposition au traitement des données des Utilisateurs (article 21 RGPD)
  – droit à la portabilité des données que les Utilisateurs auront fournies, lorsque ces données font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD)
  – droit de définir le sort des données des Utilisateurs après leur mort et de choisir à qui Pharmaspecific devra communiquer (ou non) ses données à un tiers qu’ils auront préalablement désigné

Dès que Pharmaspecific a connaissance du décès d’un Utilisateur et à défaut d’instructions de sa part, Pharmaspecific s’engage à détruire ses données, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale.

Si l’Utilisateur souhaite savoir comment Pharmaspecific utilise ses Données Personnelles, demander à les rectifier ou s’oppose à leur traitement, l’Utilisateur peut contacter Pharmaspecific par écrit à l’adresse suivante :

Délégué à la Protection des Données (DPO)
Pharmaspecific
Parc Descartes Nobel, 23 rue Nobel
77420 Champs-sur-Marne
ou via privacy@pharmaspecific.fr   

Dans ce cas, l’Utilisateur doit indiquer les Données Personnelles qu’il souhaiterait que Pharmaspecific corrige, mette à jour ou supprime, en s’identifiant précisément avec une copie d’une pièce d’identité (carte d’identité ou passeport).

Les demandes de suppression de Données Personnelles seront soumises aux obligations qui sont imposées aux sites internet de Pharmaspecific par la loi, notamment en matière de conservation ou d’archivage des documents. Enfin, les Utilisateurs des sites internet et services de Pharmaspecific peuvent déposer une réclamation auprès des autorités de contrôle, et notamment de la CNIL (https://www.cnil.fr/fr/plaintes).

10. LIENS HYPERTEXTES « COOKIES » ET BALISES (“TAGS”) INTERNET

Les sites internet de Pharmaspecific contiennent un certain nombre de liens hypertextes vers d’autres sites, mis en place avec l’autorisation de Pharmaspecific. Cependant, Pharmaspecific n’a pas la possibilité de vérifier le contenu des sites ainsi visités, et n’assumera en conséquence aucune responsabilité de ce fait.

Sauf si vous décidez de désactiver les cookies, vous acceptez que le site puisse les utiliser. Vous pouvez à tout moment désactiver ces cookies et ce gratuitement à partir des possibilités de désactivation qui vous sont offertes et rappelées ci-après, sachant que cela peut réduire ou empêcher l’accessibilité à tout ou partie des Services proposés par le site.

« COOKIES »

Un « cookie » est un petit fichier d’information envoyé sur le navigateur de l’Utilisateur et enregistré au sein du terminal de l’Utilisateur (ex : ordinateur, smartphone), (ci-après « Cookies »). Ce fichier comprend des informations telles que le nom de domaine de l’Utilisateur, le fournisseur d’accès Internet de l’Utilisateur, le système d’exploitation de l’Utilisateur, ainsi que la date et l’heure d’accès. Les Cookies ne risquent en aucun cas d’endommager le terminal de l’Utilisateur.

Pharmaspecific est susceptible de traiter les informations de l’Utilisateur concernant sa visite du Site, telles que les pages consultées, les recherches effectuées. Ces informations permettent à Pharmaspecific d’améliorer le contenu du Site, de la navigation de l’Utilisateur.

 Pharmaspecific met en œuvre un mécanisme de gestion du consentement conforme aux lignes directrices de la CNIL, permettant à l’Utilisateur d’être informé de manière claire et préalable du dépôt de Cookies et de :

• accepter les Cookies non strictement nécessaires,
• refuser les Cookies non strictement nécessaires,
• modifier ses choix à tout moment.

Les Cookies strictement nécessaires au fonctionnement des sites, des applications et à la sécurité des services sont déposés sans recueil préalable du consentement, conformément à la réglementation applicable.
Les Cookies non essentiels (notamment de mesure d’audience ou liés aux réseaux sociaux) ne sont déposés qu’après recueil du consentement explicite de l’Utilisateur.

L’Utilisateur peut également configurer son navigateur afin de limiter ou bloquer le dépôt de Cookies. Toutefois, le refus ou la suppression de certains Cookies peut entraîner une dégradation de l’expérience utilisateur ou l’indisponibilité de certaines fonctionnalités des services.

Le refus des cookies non strictement nécessaires n’empêche pas l’accès aux sites ou aux services proposés par Pharmaspecific.

Toutefois, certaines fonctionnalités facultatives, telles que la personnalisation des contenus, la mémorisation de préférences ou l’analyse statistique de la fréquentation, peuvent ne pas être disponibles ou fonctionner de manière limitée en cas de refus de ces cookies.

Les cookies strictement nécessaires au fonctionnement du site et à la sécurité des services ne sont pas concernés par ce choix, conformément à la réglementation applicable.

Pharmaspecific peut faire appel à des prestataires techniques afin de l’assister dans la gestion et l’analyse des Cookies, ces prestataires agissant conformément aux instructions de Pharmaspecific et aux exigences réglementaires applicables.

Lorsque l’Utilisateur interagit avec des modules de réseaux sociaux (tels que Twitter/X, Facebook ou LinkedIn), ces plateformes peuvent déposer leurs propres Cookies, uniquement après recueil du consentement explicite de l’Utilisateur, conformément à leurs politiques respectives. L’Utilisateur peut retirer son consentement à tout moment via le module de gestion des Cookies.

BALISES (“TAGS”) INTERNET

Les sites internet de Pharmaspecific peuvent employer occasionnellement des balises Internet (également appelées « tags », ou balises d’action, GIF à un pixel, GIF transparents, GIF invisibles et GIF un à un) et les déployer par l’intermédiaire d’un partenaire spécialiste d’analyses Web susceptible de se trouver (et donc de stocker les informations correspondantes, y compris l’adresse IP de l’Utilisateur) dans un pays étranger.

 Ces balises sont placées à la fois dans les publicités en ligne permettant aux internautes d’accéder au Site, et sur les différentes pages de celui-ci.  

Cette technologie permet aux sites internet de Pharmaspecific d’évaluer les réponses des visiteurs face au Site et l’efficacité de ses actions (par exemple, le nombre de fois où une page est ouverte et les informations consultées), ainsi que l’utilisation de ce Site par l’Utilisateur.

Le prestataire externe pourra éventuellement recueillir des informations sur les visiteurs du Site et d’autres sites Internet grâce à ces balises, constituer des rapports sur l’activité du Site à l’attention des sites internet de Pharmaspecific, et fournir d’autres services relatifs à l’utilisation de celui-ci et d’Internet.

11. Sécurité des données personnelles – Mesures techniques et organisationnelles 

Assurer la sécurité des données qui nous ont été confié est l’une de nos plus importantes responsabilités. Pour assurer la sécurité et la confidentialité des données personnelles que nous collectons et utilisons, nous avons a mis en place de longue date des mesures techniques et organisationnelles.

11.1 MESURES ORGANISATIONNELLES

Tout collaborateur de Pharmaspecific ayant accès aux données personnelles devra tenir compte de ses obligations quant au traitement des données personnelles, et aura été informé de ses obligations au moyen d’un communiqué officiel émit par l’entreprise et de formations récurrentes. L’information minimale transmise à tout le personnel sera la suivante : 

Devoir de confidentialité et secret

L’accès par des personnes non autorisées à des données personnelles devra être évité. 

• Pour ce faire, les données personnelles ne devront pas être exposées à des tiers (écrans d’ordinateur non surveillés, documents papier en zone accessible au public, tout support contenant des données personnelles, etc.). 
  
  Lorsqu’un employé quitte son poste de travail, il procédera systématiquement à la fermeture de la session ou au blocage de son écran. Les écrans sont programmés pour se bloquer au bout de trois minutes d’inactivité. En cas de déplacement des employés, les filtres d’écran sont utilisés sur les ordinateurs ainsi que les câbles antivols.
  
• Les documents papier et supports électroniques qui contiennent des données personnelles seront conservés en lieu sûr (armoires ou pièce à accès restreint) 24h/24. Lorsque le dernier employé quitte le lieu de travail, il s’assurera que le bureau est bien verrouillé au moyen d’une clé et l’alarme de sécurité activée.
  
• Les documents papier ou support électroniques (clé USB, CD, disques durs, etc.) contenant des données personnelles ne seront pas jetés sans que leur destruction ne soit garantie.
  
  Un destructeur de document sera ainsi mis à disposition au sein des installations de Pharmaspecific. De même, Pharmaspecific dispose d’une entreprise partenaire pour la prise en charge de la destruction des supports. Un contrat de prise en charge a été signé avec cette entreprise.
   
• Aucune information ou donnée personnelle ne sera communiquée à des tiers : il sera porté une attention particulière à la non-divulgation des données personnelles protégées durant les consultations téléphoniques ou via courrier électroniques, etc.
  
• Le droit du secret et de la confidentialité s’applique également lorsque l’employé n’est plus lié par contrat avec l’entreprise.

Droits des titulaires des données personnelles

Tous les collaborateurs seront informés des procédures à suivre pour traiter les droits des intéressés, en définissant de manière claire les mécanismes par lesquels les droits peuvent s’exercer (moyens électroniques, référence au Délégué à la Protection des données s’il existe, adresse postale, etc.) en tenant compte des éléments suivants : 

• Les titulaires de données personnelles (intéressés) pourront exercer leur droit d’accès, de rectification, de suppression, d’opposition et de portabilité, au moyen du courrier électronique privacy@pharmaspecific.fr, en certifiant de manière adéquate son identité au moyen d’une copie d’un document d’identité officiel (ID, passeport ou permis de conduire). Le responsable du traitement des données devra répondre aux intéressés sans délai abusif. 

Le droit d’accès sera facilité et une liste des données personnelles dont dispose le responsable du traitement des données sera fourni. Sera également communiqué l’usage final pour lequel ces données ont été récoltées, l’identité des destinataires, les moyens de conservation et l’identité du responsable auprès duquel la rectification, la suppression et l’opposition au traitement des données peuvent être sollicité. 

Le droit de rectification consistera en la modification des données des intéressés, qu’elles soient erronées ou incomplètes, et recueillies à des fins d’utilisation.  

Le droit de suppression supprimera les données des intéressés dès lors qu’ils manifestent leur désaccord ou opposition au consentement relatif au traitement des données, et qu’aucune obligation légale ne s’y oppose. 

Le droit à la portabilité permettra aux intéressés de communiquer leur décision et d’informer le responsable, dans le cas où il existe, de l’identité du nouveau responsable ayant accès à leurs données personnelles.

Pharmaspecific informera toutes les personnes qui en font la demande sur l’exercice de leurs droits et les conditions de conformité pour respecter les droits des intéressés, ainsi que la forme sous laquelle ils peuvent les exercer, et la procédure à suivre.

Violations de la sécurité des données à caractère personnel

En cas de violation ou d’atteinte à la sécurité des données personnelles (par exemple, vol ou accès inapproprié à des données personnelles, perte d’appareils amovibles avec données personnelles, etc.), l’autorité compétente sera informée dans un délai maximum de 72 heures dès lors qu’il y a preuve de ladite violation, sauf si le responsable des données est en capacité de démontrer, selon le principe de la responsabilité proactive, l’improbabilité que la violation de la sécurité des données personnelles entraîne un risque pour les droits et libertés des personnes physiques. Si une telle notification n’est pas possible dans les 72 heures, elle doit être accompagnée d’une indication des raisons du retard, et des informations peuvent être fournies par étapes sans plus tarder.

De même, Pharmaspecific doit communiquer sans tarder à la partie intéressée la violation de la sécurité des données personnelles au cas où cela pourrait entraîner un risque élevé pour ses droits et libertés, et lui permettre de prendre les précautions nécessaires. La communication doit décrire la nature de la violation de la sécurité des données personnelles et les recommandations afin que l’individu affecté atténue les effets négatifs potentiels résultant de la violation. Ces communications aux parties intéressées doivent être effectuées dès que cela est raisonnablement possible et en étroite coopération avec l’autorité de contrôle, en suivant leurs conseils ou ceux d’autres autorités compétentes, telles que la police.  Ainsi, par exemple, la nécessité d’atténuer un risque de dommages immédiats justifierait une communication rapide auprès des parties intéressées, alors qu’il apparaitrait justifié que la communication prenne plus de temps en raison de la nécessité d’appliquer des mesures adéquates pour prévenir les atteintes continues ou similaires à la sécurité des données personnelles.

La personne désignée à cet effet p réparera un rapport dans lequel il sera examiné si toute la protection technologique appropriée a été appliquée et si les mesures organisationnelles adéquates ont été prises pour déterminer immédiatement s’il y a eu violation de la sécurité des données personnelles, dans le but d’informer sans délai l’autorité de contrôle et la partie intéressée. Ledit rapport devra assurer que la notification a été faite sans retard injustifié, en tenant compte, en particulier, de la nature et de la gravité de la violation de la sécurité des données personnelles et de ses conséquences et effets préjudiciables pour l’intéressé.

11.2 MESURES TECHNIQUES

Identification

• Chaque utilisateur de Pharmaspecific dispose d’un profil utilisateur créé uniquement pour lui, lui permettant à la fois l’accès à son ordinateur et l’accès aux ressources partagées (Ex : Microsoft Entreprise). Les utilisations professionnelles et personnelles de l’ordinateur doivent être séparées.
  
• Différents niveaux de profils utilisateurs ont été créés (avec des droits d’administration pour l’installation et la configuration du système et des utilisateurs, sans privilèges ni droits d’administration pour l’accès aux données personnelles, entre autres), afin d’éviter un accès indu à des données personnelles ou que dans le cas d’une attaque de cybersécurité, des privilèges d’accès puissent être obtenus ou permettre la modification du système d’exploitation.
  
• L’accès aux données personnelles stockées dans des systèmes électroniques est protégé par des identifiants individuels et des mots de passe, connus uniquement des utilisateurs dûment autorisés.
  Pharmaspecific utilise un gestionnaire de mots de passe sécurisé, afin de garantir un stockage et une gestion sécurisés des mots de passe professionnels.
  
  Les mots de passe, qu’ils soient créés par les utilisateurs ou générés par le gestionnaire de mots de passe, doivent respecter les critères minimaux suivants afin d’être considérés comme des mots de passe forts :
  
  • une longueur minimale de 12 caractères ;
  • la présence d’au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ;
  • un mot de passe unique pour chaque service, application ou système, sans réutilisation entre les comptes professionnels ;
  • l’absence d’informations personnelles, de mots du dictionnaire seuls ou de suites évidentes de caractères.

Lorsque des personnes différentes accèdent à des données personnelles, pour chaque personne ayant accès à des données personnelles, un nom d’utilisateur et un mot de passe spécifiques seront disponibles (identification sans équivoque).

Il est du devoir de tous les collaborateurs de garantir la confidentialité de leurs mots de passe, en évitant qu’ils soient exposés à des tiers.

Droit de sauvegarde

Les éléments suivants exposent une description des mesures techniques mises en œuvre pour garantir la protection des données personnelles : 

ACTUALISATION DES ORDINATEURS ET DES DISPOSITIFS : Les appareils et les ordinateurs utilisés pour le stockage et le traitement des données personnelles devront être mis à jour autant que possible.

MALWARE: Dans les ordinateurs et les dispositifs où le traitement automatisé des données personnelles est effectué, un système antivirus sera installé afin de garantir autant que possible le vol et la destruction des informations et des données personnelles. Le système antivirus devra être mis à jour périodiquement.

PARE-FEU OU FIREWALL: Pour éviter un accès à distance non autorisé aux données personnelles, on veillera à garantir l’existence d’un pare-feu activé dans les ordinateurs et les dispositifs dans lesquels le stockage et/ou le traitement des données personnelles est effectué.

CRYPTAGE DES DONNÉES : Lorsque l’extraction des données personnelles en dehors des bureaux de Pharmaspecific est nécessaire, que ce soit par des moyens physiques ou des moyens électroniques (par exemple, le travail à distance par ordinateur portable), la possibilité d’utiliser une méthode de cryptage pour garantir la confidentialité des données personnelles en cas d’accès indu aux informations devra être étudiée.

COPIE DE SECURITÉ : Pharmaspecific effectue des sauvegardes de manière automatique. Ce service est assuré par OneDrive, les fichiers stockés en ligne sur OneDrive sont chiffrés et conservés sur des serveurs de stockage sécurisés dans plusieurs centres de données sans limite de temps jusqu’à suppression des fichiers par l’utilisateur habilité.

Il est également de la responsabilité de chaque collaborateur de contribuer à la sécurité des données en respectant les règles et outils mis à disposition par l’entreprise afin de limiter tout risque de perte ou d’altération des données.

À ce titre, les collaborateurs doivent notamment :

• enregistrer et sauvegarder leurs travaux exclusivement sur les serveurs ou solutions de stockage professionnels et autorisés par l’entreprise, auxquels seul le personnel habilité a accès ;
• utiliser les outils de messagerie et de stockage professionnels conformément aux règles internes en vigueur ;
• protéger leurs identifiants d’accès et modifier leurs mots de passe de manière régulière ;
• appliquer les consignes de sécurité de l’information et de confidentialité définies par l’entreprise.

Pharmaspecific est responsable de la mise en place et du maintien de mesures techniques appropriées visant à assurer la sécurité et la disponibilité des données, incluant notamment la réalisation de sauvegardes automatiques et périodiques des données professionnelles hébergées sur les systèmes et solutions de stockage qu’elle met à disposition.

Garanties de nos fournisseurs et informations à l’utilisateur

Chez Pharmaspecific, nous sommes conscients que la protection des données personnelles ne se résume pas seulement aux données au sein de Pharmaspecific, mais que celle-ci peut, dans certains cas, s’étendre à nos fournisseurs. C’est pourquoi nous nous engageons à veiller à ce qu’ils gèrent les données personnelles conformément à la RGPD. 

Dans ce cadre, Pharmaspecific souscrit un contrat spécifique de gestionnaire de traitement avec chaque fournisseur qui gère ou peut avoir accès à tout type de données personnelles décrites dans la RGPD.

En outre, au moment de l’octroi du consentement pour l’utilisation des données, l’utilisateur est informé que des fournisseurs tiers auront accès aux données personnelles fournies par l’utilisateur, et dans quel but.

Les mesures techniques et organisationnelles décrites ci-dessus, ainsi que la présente politique de protection des données à caractère personnel, font l’objet de revues périodiques, afin de garantir leur adéquation avec les évolutions réglementaires, organisationnelles et technologiques.