Politique relative à la protection des données applicable dans l’UE

  • Objet et champ d’application

    La présente Politique doit être lue en conjonction avec le Cadre mondial pour la protection des données de Dr. Reddy’s Laboratories Limited et régit les activités commerciales de toutes les filiales et sociétés affiliées de Dr. Reddy’s Laboratories Limited dans l’UE/EEE (chacune une « société Dr. Reddy’s » et collectivement les « sociétés Dr. Reddy’s ») et le comportement de leurs salariés, travailleurs intérimaires et consultants, dans la mesure où ces activités sont soumises au RGPD. La présente Politique impose à son personnel de signaler toute violation effective ou potentielle conformément à la présente Politique.

    La présente Politique relative à la protection des données applicable dans l’UE (la « Politique ») a pour objet de définir les exigences qui permettront de garantir que les sociétés Dr. Reddy’s se conforment au Règlement général sur la protection des données 2016/679 (le « RGPD »).

  • Définitions

    « Responsable du traitement » désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
    « Délégué à la protection des données régional » désigne une personne qui connaît parfaitement les lois et pratiques applicables en matière de protection des données dans l’UE et qui apporte son assistance au responsable du traitement ou au sous-traitant aux fins du contrôle de la conformité interne au RGPD.
    « Personne Concernée » désigne une personne physique identifiée ou identifiable à laquelle des données à caractère personnel se rapportent ; une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
    « Représentant UE » désigne une personne désignée par les sociétés Dr. Reddy’s et établie dans l’un des États membres dans lesquels les personnes concernées des sociétés Dr. Reddy’s sont situées.
    « Format Lisible par Machine » désigne un format qui peut être facilement traité par un ordinateur.
    « Données à caractère personnel » désigne toute information qui permet d’identifier ou qui peut être utilisée pour identifier une personne concernée. Il s’agit notamment des informations concernant la personne concernée (par ex., âge, adresse e-mail, adresse, numéro d’identification) ainsi que des expressions d’opinions les concernant (par ex. dans l’évaluation de performance d’un salarié). Ces données incluent également les identifiants en ligne, les données de localisation ou d’autres facteurs, seuls ou combinés, qui permettent d’identifier une personne concernée en particulier. Lorsqu’une entité conforme au RGPD est située en dehors de l’UE et soumise au RGPD, les données à caractère personnel correspondent à toute information relative à une personne concernée obtenue en relation avec des activités régies par le RGPD.
    « Violation de données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière par une société Dr. Reddy’s, ou l’accès non autorisé à de telles données.
    « Déclaration de confidentialité » désigne la déclaration de confidentialité mondiale publiée par Dr. Reddy’s Laboratories Limited.
    « Personnel » désigne, au titre d’une société Dr. Reddy’s, ses salariés, contractants, administrateurs, dirigeants, mandataires et autres représentants.
    « Traiter » ou « Traitement » désigne toute les opérations et activités impliquant des données à caractère personnel, y compris la collecte, la gestion, la mise à jour, la conservation, la suppression, la transmission, l’utilisation, le transfert et la suppression de données à caractère personnel, ainsi que l’accès à ces données.
    « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
    « Demandeur » désigne la personne concernée qui souhaite exercer les droits dont elle dispose (à savoir les droits d’accès, de rectification et à la suppression) au titre de ses données à caractère personnel et des données à caractère personnel de personnes à charge et de tiers liés.
    « Données à caractère personnel sensibles » désigne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

  • Exigences et responsabilité au titre de la Politique

    Les sociétés Dr. Reddy’s doivent prendre en compte la nécessité de respecter/d’observer les prescriptions du RGPD le plus tôt possible lorsqu’elles mettent en place de nouveaux services et de nouvelles procédures, y compris avant toute modification du périmètre de leurs activités susceptible de donner lieu à des interactions avec des personnes concernées basées dans l’UE, lorsqu’elles entreprennent de nouvelles activités ou qu’elles surveillent le comportement de personnes concernées basées dans l’UE, dans la mesure où cela se passe dans l’UE, ou lorsqu’elles acquièrent ou ouvrent un établissement dans l’UE.
    Les sociétés Dr. Reddy’s doivent traiter les données à caractère personnel conformément aux lois applicables en matière de protection et de confidentialité des données dans toutes leurs activités. Les membres du personnel des sociétés Dr. Reddy’s doivent veiller à ce que leurs pratiques ne soient jamais contraires aux prescriptions légales ou réglementaires et respectent toujours les principes les plus stricts du Code de déontologie professionnelle (« CDP ») de Dr. Reddy’s Laboratories Limited. Le personnel de chaque société Dr. Reddy’s est responsable de la conformité globale à la présente Politique au quotidien.
    Il incombe au Délégué à la protection des données régional (« DPDR ») de l’UE/EEE de gérer et de contrôler la conformité des sociétés Dr. Reddy’s’ à la présente Politique et aux prescriptions légales et réglementaires locales applicables. Toutes les questions concernant la présente Politique et les prescriptions légales et réglementaires locales doivent dans un premier temps être adressées au DPDR.

  • Principes applicables au traitement de données à caractère personnel

    Les principes suivants doivent être appliqués par l’ensemble du Personnel lors du traitement de données à caractère personnel :

    • Faire preuve de loyauté
      • La société Dr. Reddy’s ne peut collecter ou utiliser des données à caractère personnel que si elle peut le faire de manière licite, loyale et transparente.
      • La société Dr. Reddy’s ne pourra traiter des données à caractère personnel que si elle a une raison valable de le faire au sens du RGPD (une « base juridique »), et qu’elle informe la personne concernée de ce qu’elle fait de ses données.
      • Aux termes du RGPD, la société Dr. Reddy’s peut se fonder sur une base juridique lorsqu’elle :
        • a obtenu le consentement de la personne concernée ;
        • doit traiter les données à caractère personnel pour l’exécution d’un contrat auquel la personne concernée est partie ou pour l’exécution de mesures précontractuelles prises à sa demande ;
        • doit traiter les données à caractère personnel pour respecter la législation de l’UE/EEE ; ou
        • a déterminé qu’elle procède au traitement aux fins d’un intérêt légitime (ce qui implique que la société Dr. Reddy’s mette en balance ses intérêts et les conséquences négatives du traitement pour la personne concernée).
      • Le DPDR doit tenir un registre consignant :
        • toutes les activités de traitement de données à caractère personnel, y compris la finalité du traitement et les autres éléments pertinents ;
        • la base juridique pour chaque activité de traitement (le « tableau des bases juridiques ») ; et
        • l’« analyse de l’intérêt légitime » permettant de conclure que la société Dr. Reddy’s a un intérêt légitime à traiter les données à caractère personnel.

        Ces registres doivent être tenus à jour. Lorsque la justification d’une activité de traitement aux termes du RGPD repose sur le consentement, le DPDR doit examiner le contenu du consentement avant de s’en prévaloir.
        La société Dr. Reddy’s doit identifier toutes les situations dans lesquelles elle prend une décision automatisée concernant une personne concernée, dans lesquelles la décision est basée exclusivement sur un traitement automatisé et dans lesquelles la décision produit des effets juridiques concernant des personnes concernées ou les affectant de la même façon et de manière significative.
        La société Dr. Reddy’s doit veiller à n’utiliser ces techniques que lorsqu’elle a obtenu le consentement explicite de la personne concernée, lorsque le traitement est nécessaire à l’exécution d’un contrat ou lorsque le traitement est autorisé par la législation locale de l’UE/EEE. La société Dr. Reddy’s ne doit pas utiliser ces techniques de traitement en relation avec des enfants.
        Des exigences supplémentaires peuvent s’appliquer en cas de collecte ou d’utilisation de données à caractère personnel sensibles. Dans de nombreuses situations, le traitement de ce type de données à caractère personnel nécessitera le consentement explicite de la personne concernée. Le personnel doit demander conseil au DPDR avant de collecter ou d’utiliser des données à caractère personnel sensibles.

      • En outre, les prescriptions légales et réglementaires locales doivent toujours être prises en compte et respectées.
    • Transmettre une Déclaration de confidentialité
      • Les sociétés Dr. Reddy’s doivent collecter les données à caractère personnel en toute transparence et communiquer aux personnes concernées des informations concernant les pratiques adoptées en matière de confidentialité lorsque leurs données à caractère personnel sont recueillies, conformément aux prescriptions légales applicables.
      • Le DPDR doit transmettre à la personne concernée une Déclaration de confidentialité expliquant la manière dont la société utilisera ses données, avant de les collecter.
      • Si la société Dr. Reddy’s collecte des informations auprès d’une personne autre que la personne concernée elle-même, la DPDR doit transmettre une Déclaration de confidentialité dans un délai d’un mois, ou plus tôt si la société Dr. Reddy’s utilise ces informations avant.
      • Le DPDR doit conserver dans ses archives un exemplaire de la/des Déclaration(s) de confidentialité.
    • Limiter l’utilisation
      • Les données à caractère personnel ne doivent être utilisées que pour les finalités pour lesquelles elles ont été collectées.
      • Les données à caractère personnel ne doivent pas être utilisées pour des finalités incompatibles. Les finalités incompatibles sont celles dont la personne concernée n’a pas été informée et/ou qui ne reposent pas sur une base juridique valable. Si une société Dr. Reddy’s souhaite utiliser des données à caractère personnel pour une finalité incompatible, elle doit soit obtenir le consentement de toutes les personnes concernées, soit s’assurer qu’une exception à la présente Politique s’applique.
      • Les membres du personnel ne doivent pas accéder à des bases de données sur les clients ou le personnel à des fins personnelles ou pour des amis ou des membres de leur famille. Tout comportement de ce type constitue une infraction disciplinaire grave et peut également constituer une infraction pénale. Le personnel peut également être soumis à d’autres politiques internes similaires traitant de la confidentialité des informations relatives aux clients et aux salariés.
    • Limiter la collecte
      • Les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées.
      • Aucune société Dr. Reddy’s ne doit obtenir plus de données à caractère personnel que ce qui est nécessaire au regard des finalités légitimes pour lesquelles elles sont collectées.
      • La société Dr. Reddy’s doit veiller, lorsqu’elle traite des données à caractère personnel, à ce que les données à caractère personnel soient adéquates au regard de ces finalités et à ne traiter aucune donnée à caractère personnel qui ne serait pas pertinente ou à ne pas traiter plus de données à caractère personnel que ce qui est nécessaire au regard de ces finalités.
    • Procéder à un examen régulier
      • La société Dr. Reddy’s doit s’efforcer de s’assurer que les données à caractère personnel sont exactes au moment de leur collecte et, si nécessaire, prendre des mesures raisonnables pour les tenir à jour.
      • La société Dr. Reddy’s doit régulièrement inviter les personnes concernées à l’informer de toute modification de leurs informations et mettre ses dossiers à jour en conséquence. Aucune société Dr. Reddy’s ne doit utiliser de données à caractère personnel présumées dépassées sans en confirmer l’exactitude. La fréquence de la demande de mise à jour dépendra des répercussions potentielles sur la personne concernée de la détention de données à caractère personnel inexactes.
      • Dès qu’elle apprend que des données à caractère personnel sont inexactes, la société Dr. Reddy’s doit prendre toutes les mesures raisonnables pour rectifier les données à caractère personnel, dans les meilleurs délais.
    • Supprimer de manière appropriée
      • La société Dr. Reddy’s doit déterminer la durée pendant laquelle elle a besoin de conserver les données à caractère personnel et ne doit pas conserver de données à caractère personnel pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles ont été collectées, puis doit les supprimer de manière sécurisée ou veiller à ce que les données à caractère personnel soient suffisamment dépersonnalisées. La suppression de données à caractère personnel doit être gérée conformément aux prescriptions de la Politique relative à la conservation des registres de la société Dr. Reddy’s et conformément aux lois et prescriptions locales applicables.
    • Protection des données dès la conception et protection des données par défaut
      • La société Dr. Reddy’s doit tenir compte de la qualité des données à la fois au début de l’activité de traitement et à une fréquence appropriée pendant le traitement.
      • La société Dr. Reddy’s doit déterminer si elle a dûment tenu compte de ses obligations et des droits des personnes concernées et s’il existe des moyens de réduire le risque engendré par le traitement de données à caractère personnel – en limitant la portée du traitement de données à caractère personnel (par exemple, en minimisant les volumes de données traitées) ou en utilisant des technologies renforçant la confidentialité (telles que la pseudonymisation).
      • La société Dr. Reddy’s doit être en mesure de démontrer que les questions liées à la protection des données ont été prises en considération dès le début de la mise en œuvre de nouveaux services et de nouvelles procédures impliquant le traitement de données à caractère personnel (« protection des données dès la conception »), et que, par défaut, dans le cadre de ces nouveaux services et nouvelles procédures, seule la quantité minimale nécessaire de données à caractère personnel est traitée (« protection des données par défaut »).
      • Dans certaines situations (par ex. lorsque sont prévus un traitement systématique à grande échelle de catégories particulières de données à caractère personnel ou une évaluation systématique et étendue d’aspects personnels concernant des personnes physiques, basée sur un traitement automatisé et produisant des effets juridiques concernant des personnes ou les affectant de la même façon et de manière significative), les sociétés Dr. Reddy’s peuvent être soumises à l’obligation de réaliser une analyse d’impact relative à la protection des données (« AIPD »). Une AIPD est une vérification distincte menée au titre d’un aspect spécifique des opérations d’une organisation pour identifier et minimiser les risques de non-conformité. Une AIPD doit généralement être réalisée au titre de toute activité de traitement à « haut risque » (évalué en référence au risque de porter atteinte aux droits et libertés d’une personne concernée) avant le début de cette activité. Les AIPD impliquent une description des activités de traitement et de leur finalité, ainsi qu’une évaluation de la nécessité et de la proportionnalité du traitement, des risques engendrés et des mesures adoptées pour atténuer ces risques, et des garanties et mesures de sécurité visant à assurer la protection des données à caractère personnel et à garantir la conformité à la législation applicable en matière de protection des données de l’UE/EEE.
    • Respecter les droits
      • Le RGPD et, dans certains pays, la législation locale applicable en matière de protection des données, confèrent des droits aux personnes concernées. Lorsque de tels droits existent, la société Dr. Reddy’s doit veiller à les respecter dans toute la mesure prescrite par la législation.
      • Lorsqu’un membre du personnel d’une société Dr. Reddy’s reçoit une demande émanant d’une personne concernée, il doit en informer le DPDR immédiatement.
      • Les personnes concernées disposent notamment du droit de :
        • demander des copies des données à caractère personnel les concernant détenues par la société Dr. Reddy’s ;
        • demander à une société Dr. Reddy’s de s’abstenir de lui envoyer des communications de marketing direct ;
        • demander la rectification d’informations inexactes les concernant ;
        • demander à la société Dr. Reddy’s de lui transmettre ses données à caractère personnel dans un format lisible par machine couramment utilisé et d’envoyer ces données à caractère personnel à des tiers (il s’agit du droit à la « portabilité des données ») ;
        • s’opposer à certaines formes de traitement de données à caractère personnel ;
        • retirer tout consentement initialement accordé à la société Dr. Reddy’s ;
        • demander à la société Dr. Reddy’s d’effacer les données à caractère personnel ou d’en limiter le traitement dans certaines circonstances ; et
        • s’opposer à l’utilisation de procédés entièrement automatisés pour prendre des décisions concernant des personnes concernées, ayant un effet juridique ou un effet significatif similaire.
      • La société Dr. Reddy’s doit déterminer la mesure dans laquelle elle doit accéder aux demandes de personnes concernées. Tout membre du personnel qui reçoit des demandes de personnes concernées concernant leurs données à caractère personnel doit transmettre la demande au DPDR dans les meilleurs délais.
      • La société Dr. Reddy’s doit mettre en place des procédures de formation afin que le personnel soit en mesure de reconnaître une demande émanant d’une personne concernée pour l’exercice de ses droits au titre de la protection des données et sache comment traiter ces demandes.
  • Garantir la sécurité
    • La société Dr. Reddy’s doit protéger les données à caractère personnel contre toute destruction, perte ou altération accidentelle ou illégale et tout(e) divulgation ou accès non autorisé(e).
    • La société Dr. Reddy’s doit mettre en œuvre et maintenir des mesures administratives, techniques, organisationnelles et physiques appropriées pour protéger les données à caractère personnel.
    • Ces mesures doivent être régulièrement examinées afin de garantir leur conformité constante aux prescriptions du RGPD relatives aux mesures de sécurité adéquates.
    • Tous les membres du personnel doivent respecter les principales procédures destinées à sécuriser l’environnement informatique de leur société Dr. Reddy’s.
    • La société Dr. Reddy’s doit régulièrement tester et contrôler ses pratiques en matière de sécurité de l’information.
  • Violation de données à caractère personnel
    • Si un membre du personnel a connaissance d’une violation de données à caractère personnel (y compris une perte ou un dommage affectant un appareil contenant de telles données), il doit immédiatement signaler au DPDR l’activité ou l’activité présumée donnant lieu à cette violation.
    • D’autres politiques relatives aux violations de la sécurité peuvent s’appliquer aux sociétés Dr. Reddy’s. Une violation de données à caractère personnel peut prendre différentes formes, notamment l’envoi de données à caractère personnel à un mauvais destinataire, l’accès à des données à caractère personnel sans autorisation et la perte ou le vol de documents ou d’ordinateurs contenant des données à caractère personnel.
    • Plusieurs pays de l’UE/EEE imposent que toutes les violations de données à caractère personnel soient déclarées à l’autorité de réglementation locale compétente. Les délais légaux de déclaration sont très courts, parfois de seulement 72 heures, et très stricts. Il incombe au DPDR de veiller au respect de toutes les prescriptions applicables en matière de déclaration.
  • Évaluation et contrôle des tiers

    Toute société Dr. Reddy’s qui fait appel à un tiers pour collecter, conserver ou traiter autrement des données à caractère personnel au nom ou pour le compte de la société Dr. Reddy’s (par exemple, des prestataires de services de cloud, dépositaires, distributeurs et, dans certains cas, même d’autres entités affiliées) doit obtenir des assurances satisfaisantes et des engagements contractuels de la part du tiers, garantissant qu’il agira conformément aux prescriptions de la présente Politique et à toutes les lois et réglementations locales applicables.

  • Vérification avant un transfert transfrontalier de données à caractère personnel
    • La société Dr. Reddy’s doit se conformer aux lois et réglementations applicables en matière de protection des données spécifiques à chaque pays de l’UE/EEE dans lequel elle exerce ses activités, qui peuvent imposer des restrictions au transfert de données à caractère personnel vers certains autres pays.
    • Le RGPD stipule que les transferts transfrontaliers de données à caractère personnel depuis l’UE ne sont autorisés que si le transfert repose sur une décision d’adéquation de la Commission européenne ou sur une garantie appropriée (figurant parmi les garanties indiquées à l’article 46 du RGPD ; par ex. règles d’entreprise contraignantes, clauses contractuelles types adoptées par la Commission, etc.) ou s’il est réalisé dans l’une des situations décrites à l’article 49 du RGPD (par ex. la personne concernée a consenti au transfert de données, le transfert est nécessaire pour des motifs d’intérêt public, etc.).
    • La société Dr. Reddy’s doit consulter le DPDR avant tout transfert transfrontalier de données à caractère personnel afin de garantir sa conformité à toutes les lois et réglementations locales applicables.
  • Responsabilité

    La société Dr. Reddy’s doit être en mesure de démontrer qu’elle a respecté la présente Politique et la législation et la réglementation applicables en matière de protection des données de l’UE/EEE.

  • Délégué à la protection des données régional

    Les sociétés Dr. Reddy’s désigneront collectivement un Délégué à la protection des données pour toute la région UE/EEE, en tant que DPDR. Ce DPDR devra disposer des compétences, de l’indépendance, de la structure hiérarchique et du soutien requis.

  • Représentant UE
    • Chaque société Dr. Reddy’s qui n’est pas établie dans l’UE désignera par écrit un représentant UE.
    • Le représentant UE sera établi dans l’un des États membres de l’UE dans lesquels les personnes concernées sont situées.
    • Le représentant UE sera mandaté par la société Dr. Reddy’s afin que les autorités de contrôle et les personnes concernées s’adressent à lui en plus ou au lieu de la société Dr. Reddy’s pour toutes les questions liées au traitement, afin de garantir la conformité au RGPD.
  • Formation

    La société Dr. Reddy’s reconnaît l’importance de former les membres de son personnel qui traitent régulièrement des données à caractère personnel pour son compte. La société Dr. Reddy’s dispensera une formation sur la présente Politique et les membres du personnel doivent contacter le DPDR s’ils ont besoin d’indications supplémentaires concernant les questions liées à la protection des données.

  • Exceptions

    Toute demande de dérogation à la présente Politique doit être approuvée par le DPDR.

  • Contrôle

    Les sociétés Dr. Reddy’s s’engagent à contrôler la conformité à la présente Politique et à contrôler la conformité aux codes de conduite généralement applicables au sein de l’UE. Le contrôle de la conformité à la présente Politique relèvera de la responsabilité du DPDR.

En cas de préoccupations ou s’il remarque une violation de la Politique, le salarié doit en faire part au Délégué à la protection des données par écrit, à l’adresse dataprivacyoffice@drreddys.com .

Date de la dernière mise à jour : 25 mai 2018