Aller au contenu

Politique de confidentialité

Confidentialité – Protection des données personnelles

PREAMBULE

La Société est une banque de tissus autorisée par les autorités de police sanitaire, spécialisée dans la fabrication d’allogreffes viro-inactivées et plus généralement dans les produits de régénération osseuse. Elle accorde une grande valeur à l’honnêteté et a à cœur de construire avec ses Clients, une relation forte fondée sur la confiance et l’intérêt mutuel.

Conformément à cette philosophie, la protection des données personnelles de ses Clients est essentielle à ses yeux et la Société souhaite donc les informer par l’intermédiaire de cette politique de confidentialité, de la manière dont elle collecte et traite ces données.

La société OST DEVELOPPEMENT, société par actions simplifiée, au capital social de 457 200 euros, immatriculée au Registre du Commerce et des Sociétés sous le numéro SIREN 389 472 465, ayant son siège social au Biopôle Clermont-Limagne 13 Rue Henri Mondor CS 30030 63360 Saint-Beauzire, France agit en tant que Responsable de traitement.

La Société se réserve le droit de modifier cette Politique de confidentialité afin de garantir sa conformité avec le droit en vigueur. Le Client est donc invité à consulter régulièrement la présente afin de se tenir informé des éventuels changements.

La dernière mise à jour de la présente politique de confidentialité est intervenue le : 28 octobre 2019.

 

PRINCIPES GENERAUX EN MATIERE DE TRAITEMENT DE DONNEES PERSONNELLES

La Société s’engage à répondre aux exigences posées par le Règlement européen 2016/679 du 27 avril 2016, sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), en respectant les principes fondamentaux suivants (article 5 du RGPD) :

  • Le principe de licéité, de loyauté et de transparence: les données collectées le sont de manière licite, loyale et transparente.
  • Le principe de limitation des finalités: les données sont collectées pour des objectifs déterminés, explicites et légitimes.
  • Le principe de minimisation des données: les données doivent être pertinentes et traitées en adéquation avec leur finalité.
  • Le principe d’exactitude: les données traitées doivent être exactes et tenues à jour.
  • Le principe de limitation de la conservation: la durée de conservation des données personnelles ne doit pas excéder celle nécessaire à la finalité de leur traitement.
  • Le principe d’intégrité et de confidentialité: des mesures techniques ou organisationnelles appropriées doivent être mises en œuvre pour garantir une sécurité des données personnelles traitées.

De plus, en tant que Responsable de traitement, la Société a l’obligation de protéger les données personnelles en informant le Client de toute rectification ou suppression de ses données ou si leur intégrité ou confidentialité est compromise.

 

COLLECTE DES DONNÉES PERSONNELLES

Par donnée à caractère personnel, l’on entend « toute information se rapportant à une personne physique identifiée ou identifiable », au sens de l’article 4, 1) du RGPD.

Dans le cadre du Site, les personnes concernées sont les Clients, utilisateurs du Site.

La collecte et le traitement de données personnelles sont consentis par toute personne, lors de son utilisation du présent Site.

Tout Client est amené à communiquer à la Société des données à caractère personnel, dans le cadre des étapes suivantes :

  • La visite du Site et l’utilisation de cookies ;
  • La création d’un compte client sur le Site ;
  • L’achat en ligne, la confirmation d’une commande (formulaires de commande) ;
  • Le retour d’un Produit ;
  • Le renseignement d’un formulaire de saisie d’informations ;
  • Le contact avec le Service client par tout moyen de communication mis à disposition.

Les données à caractère personnel pouvant faire l’objet d’une collecte par la Société sont les suivantes :

  • Les données d’identification du Client : nom, prénom, numéro RPPS, nom de la société, numéro SIREN, numéro TVA intracommunautaire, langue, pays, adresse email, adresse postale… ;
  • Les données d’identification du patient receveur : nom, prénom, date de naissance…
  • Les données de connexion, géolocalisation et de navigation : adresse IP, identifiants de connexions, type de navigateur, demandes de serveur et horaire, URL référent, cookies, traceurs, données de navigation, mesures d’audience, terminaux de connexion, version du logiciel de navigation, pages visités, contenus consultés… ;
  • Les données économiques et de paiement : données de paiement ou de carte de paiement, moyen de paiement utilisé… ;
  • Les données relatives à l’achat en ligne : information sur les achats, sur les commandes et retours, montant de la commande, factures, parcours client, information commerciale, date de l’achat…

Les conversations téléphoniques entre un Client et un conseiller du Service Client de la Société peuvent être enregistrées, ce dont le Client en sera préalablement informé.

La Société est amenée à collecter et traiter des données dites « sensibles », telles que celles concernant la santé des personnes, sur le fondement du consentement explicite des personnes concernées au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, tel qu’autorisé par l’article 9, 2. a) du RGPD.

 

FINALITES DU TRAITEMENT DES DONNEES PERSONNELLES

La Société traite les données collectées de manière transparente et sécurisée, aux fins détaillées ci-après. Ces traitements reposent sur l’une des bases juridiques légalement prévues par à l’article 6 du RGPD.

Gestion de la visite du Site

Les données collectées permettent le bon affichage du Site sur le terminal du Client. Cette collecte repose sur l’exécution du contrat entre le Client et la Société, formalisé par les conditions générales d’utilisation du présent Site.

Si le Client a expressément consenti à l’utilisation de cookies correspondants, tels que décrits ci-après ainsi que dans l’onglet « GESTION DES COOKIES » sur le Site, la Société pourra également collecter des données personnelles relatives à la navigation de l’Utilisateur sur le Site, conformément à l’intérêt légitime de la Société de mieux connaître la fréquentation, l’audience du Site.

Gestion du compte du Client

En raison de l’exécution du contrat conclu entre la Société et le Client lors de l’inscription sur le Site, via l’acceptation des Conditions générales d’utilisation, la Société collecte et utilise des données personnelles du Client, permettant ainsi la gestion de son compte client sur le présent Site.

Gestion des commandes, livraison et retours

En raison de l’exécution du contrat conclu entre la Société et le Client, via les Conditions générales de vente, la Société collecte et utilise des données personnelles du Client, permettant ainsi de gérer son inscription, ses achats et commandes, la livraison et les retours éventuels des Produits.

Les données relatives aux opérations de paiement sont également collectées.

Gestion administrative de la traçabilité de produits implantables

Avec le consentement explicite et préalable du patient, la Société peut collecter et traiter ses données personnelles dans le cadre de la traçabilité du produit implanté (greffon).

Gestion du Service Client

Afin d’améliorer la qualité du service, la Société peut légitimement collecter et conserver des données personnelles pour communiquer avec le Client sur ses réclamations, demandes. Le Client consent à ce que la Société collecte ces données, afin qu’elle puisse lui apporter une réponse le cas échéant.

Gestion administrative et financière

En raison d’un intérêt légitime de la Société, celle-ci peut être tenue de communiquer certaines données personnelles du Client en cas de demandes légitimes d’autorités publiques, afin de répondre à des exigences de sécurité nationale, de lutte de prévention contre la fraude ou d’application de la loi.

Dans le cadre de la lutte contre la fraude, la Société se réserve le droit de vérifier les données personnelles communiquées par le Client lors de la passation de la commande afin d’éviter tout paiement frauduleux.

Des données personnelles du Client peuvent également être transmises au prestataire de recouvrement de créances de la Société en cas d’impayé.

La Société est tenue de traiter et conserver certaines des données personnelles des Clients afin de respecter les obligations fiscales et comptables, en vertu de son obligation légale.

Autres cas

Dans le cadre d’un traitement autre que ceux précédemment détaillés, le Client en sera averti au préalable, par la Société.

 

DUREE DE CONSERVATION DES DONNEES

Les données traitées sont conservées par la Société, uniquement durant la période nécessaire à l’accomplissement des finalités précédemment décrites, et nécessaire à la bonne gestion de la relation avec le Client.

Catégories de données personnelles Durée de conservation
Données du compte Client 5 ans à compter de la fin de la relation commerciale avec le Client (à partir de la dernière commande, de la dernière connexion au compte, du dernier appel au service client, de l’envoi d’un courriel au service client, de la mise de Produits au panier sans concrétisation d’achat ou d’une réponse positive à un courriel demandant si le Client souhaite continuer à recevoir de la prospection commerciale).
Données Client / Prospect 5 ans à compter de la fin de la relation commerciale avec le Client / Prospect
Données de carte bancaire 1 an
Données de chèque 1 semaine

 

Données bancaires

(RIB / IBAN), factures

 

10 ans à compter de la fin de la relation commerciale avec le Client

 

 

Données d’achat

 

5 ans à compter de la fin de la relation commerciale avec le Client

 

 

Données relatives aux actions commerciales

 

3 ans à compter du dernier contact ou de la fin de la relation commerciale avec le Client

 

 

Données de santé du patient

 

30 ans après l’utilisation clinique
 

Service après-vente des Produits

 

5 ans à compter de la clôture de la demande d’assistance du Client
 

Données envoyées au prestataire de livraison

 

1 an après la livraison de la commande
Pièce d’identité dans le cadre de l’exercice des droits d’interrogations, d’accès, de rectification et d’opposition 1 an à compter de la date de réception par la Société
Cookies  

13 mois à compter de leur dépôt sur le terminal de l’utilisateur

 

 

Au terme de ces durées légales, les données à caractère personnel doivent être en principe supprimées. Toutefois, elles peuvent également être archivées ou faire l’objet d’un processus d’anonymisation, afin de rendre impossible l’identification des personnes.

Par conséquent, elles ne seront plus considérées comme étant des données à caractère personnel et pourront être conservées librement.

 

DESTINATAIRES DES DONNÉES

La Société s’assure que seules les personnes ayant besoin de traiter les données pour l’accomplissement de leurs obligations légales et contractuelles y aient accès.

Les données à caractère personnel ainsi collectées sont communiquées aux Utilisateurs chirurgiens, secrétaires médicales ou autre personnel médical, ainsi qu’au service informatique, service Client, logistique interne ou encore la direction administrative et financière de la Société.

Cependant, certains prestataires et sous-traitants de la Société peuvent être destinataires de données personnelles, si elles sont strictement nécessaires à la réalisation de leur prestation, ce qui est notamment le cas pour l’hébergement du Site, l’exécution des commandes, des livraisons et des retours, du paiement sécurisé en ligne.

A cet égard, la Société s’engage à faire appel uniquement à des sous-traitants présentant des garanties suffisantes et respectant les engagements en matière de protection des données personnelles.

De plus, les opérations avec un prestataire destinataire de données personnelles font l’objet d’un contrat afin d’assurer la protection des données et du respect des droits des Clients.

La Société peut également fournir des données personnelles aux autorités de contrôle telles que l’administration fiscale et douanière, la police et autres organes statutaires.

Enfin, ces données ne font pas l’objet de transfert hors Union européenne.

 

MESURES DE SECURITE ET DE CONFIDENTIALITÉ DES DONNÉES

La Société s’engage à ne pas vendre, louer ni partager les informations personnellement identifiables des Clients du présent Site avec des tiers, sauf raison légale contraignante (transmission à des services externes tels que les autorités de surveillance ou de poursuite pénale).

La Société s’est par ailleurs efforcée de mettre en œuvre toutes les précautions raisonnables et nécessaires à la préservation de la confidentialité et de la sécurité des données à caractère personnel traitées, pour ainsi empêcher tout endommagement, déformation ou destruction des données.

En application de l’article 32 du RGPD, des mesures de sécurité techniques et organisationnelles ont été instaurées afin de protéger les données contre toute intrusion malveillante, perte, destruction, altération ou accès par des personnes non autorisées, telles que :

  • Le chiffrement des données à caractère personnel : notamment par le chiffrement systématique lors de l’échange des données entre le Client et le Site, via l’utilisation du protocole de transmission HTTPS ;
  • La garantie de la confidentialité, l’intégrité, la disponibilité et de la résilience des services de traitement ;
  • La disponibilité et l’accès des données personnelles dans des délais appropriés ;
  • Une procédure permettant d’analyser et d’évaluer l’efficacité de telles mesures prises pour assurer la sécurité du traitement.
  • Le stockage de l’ensemble des données dans un coffre-fort numérique certifié HADS (hébergeur agréé de données de santé)

La Société engage également les Clients à faire preuve de prudence pour empêcher tout accès non autorisé à leurs données personnelles, en protégeant leurs terminaux par un mot de passe fort et en le changeant régulièrement.

 

DROITS DES UTILISATEURS

Conformément à la législation en vigueur, toute personne dont les données personnelles sont collectées et traitées par la Société, bénéficient de plusieurs droits :

  • Le droit d’accès: ce droit permet à tout utilisateur d’obtenir la confirmation que des données personnelles le concernant sont en possession de la Société et de connaître lesquelles. La nature du traitement peut également être expliquée. Une copie de l’ensemble des informations le concernant peut être délivrée, à sa demande.
  • Le droit à la portabilité : tout utilisateur peut obtenir que ses données personnelles transmises à la Société lui soit fournies dans un format lisible et structuré, techniquement exploitable. Il peut également demander à ce qu’elles soient transmises à un autre responsable de traitement de son choix, sous réserve que cela soit techniquement possible.
  • Le droit de rectification: tout utilisateur peut demander et obtenir la rectification, la correction de toute erreur figurant au sein de ses données personnelles qui se révèleraient inexactes, incomplètes ou obsolètes. Cette mise à jour s’applique quel que soit le fondement du traitement concerné.
  • Le droit à l’effacement: tout utilisateur a le droit de demander et d’obtenir l’effacement de certaines de ses données personnelles, avant leur suppression à l’expiration du délai de conservation initialement prévu, lorsque ces données font l’objet d’un traitement reposant sur le consentement du Client ou sur l’intérêt légitime de la Société à condition de respecter un délai minimum de 30 ans après l’utilisation clinique du produit par le Client.
  • Le droit à la limitation du traitement: tout utilisateur peut demander à la Société de limiter ou d’interrompre le traitement de ses données personnelles, dans certaines circonstances.
  • Le droit d’opposition: tout utilisateur concerné par la collecte de ses données a le droit de s’opposer à tout moment à leur traitement, pour des raisons tenant à sa situation particulière et si ce traitement n’est plus nécessaire à l’intérêt légitime de la Société ou à sa mission d’intérêt public.
  • Le droit de déterminer le sort des données après le décès: en vertu de l’article 40-1 de la Loi Informatique et Libertés, toute personne peut donner des directives relatives à la conservation, à l’effacement et à la communication de ses données personnelles après son décès à condition de respecter un délai minimum de 30 ans après l’utilisation clinique du produit par l’Utilisateur.

En outre, la Société n’a recours à aucun processus de traitement entièrement automatisé pour prendre une décision et aucun profilage ne sera réalisé sur la base des données collectées.

Enfin, le consentement donné par un Client pour le traitement de ses données personnelles n’est pas définitif. Il peut le retirer à tout moment.

Ces droits étant purement personnels, et ne pouvant par conséquent être exercés que par la personne concernée, le Client devra joindre à sa demande, outre les motifs légitimes, une copie de sa pièce d’identité. Celle-ci ne sera conservée que le temps nécessaire à la vérification de l’identité du Client.

 

EXERCICE DES DROITS – CONTACT

Tout Client peut obtenir des informations ou exercer ces droits auprès du Responsable de traitement des données personnelles de la Société :

  • Par courrier électronique : contact-dpo@ost-dev.com
  • Par courrier postal : OST Développement, Biopôle Clermont-Limagne 13 Rue Henri Mondor CS 30030 63360 Saint-Beauzire

La Société s’engage à répondre à toute demande d’un Client dans un délai raisonnable qui ne saurait dépasser un (1) mois à compter de la réception de ladite demande.

Si le Client considère que la Société ne respecte pas ses obligations au regard de ses données personnelles, il peut adresser une plainte ou déposer une réclamation auprès de l’autorité compétente :

  • Par courrier postal : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 PARIS Cedex 07
  • Via le site Internet : (voir les modalités sur https://www.cnil.fr/fr/agir)

 

POLITIQUE RELATIVE AUX COOKIES

Lors de sa visite sur le présent Site, le Client est informé de la possible installation automatique de cookies sur son logiciel de navigation, que ce soit sur ordinateur, tablette ou mobile.

Les cookies sont des fichiers contenant des informations relatives aux habitudes de consultation, de navigation de tout utilisateur. Ils ne permettent pas d’identifier les utilisateurs en tant qu’individu mais seulement le terminal utilisé.

Les cookies strictement nécessaires à la fourniture d’un service expressément demandé par le Client sont exemptés de son consentement. Il en va ainsi des cookies de fonctionnement, permettant d’utiliser les fonctionnalités principales du Site telles que la gestion du panier d’achat, le maintien de l’identification.

Toutefois, le consentement préalable du Client sera obligatoire en cas d’installation de cookies non strictement nécessaires, tels que ceux liés aux opérations relatives à la publicité, permettant de recevoir des offres de la Société, ou encore ceux de personnalisation, permettant de retrouver plus rapidement les offres, les anciens achats…

La durée de validité du consentement ainsi obtenu est de treize (13) mois maximum, à compter de leur dépôt sur le terminal de l’utilisateur.

L’enregistrement de cookies peut être refusé par tout Client, qu’il pourra désactiver en configurant à cet effet, les paramètres figurant au sein de son ordinateur.

Le Client pourra donc paramétrer son logiciel de navigation pour que lui soit proposé ponctuellement, l’acceptation ou le refus avant qu’un cookie ne soit susceptible d’être enregistré ou de refuser systématiquement cet enregistrement de cookies dans son ordinateur.

Dans cette dernière hypothèse, la Société décline toute responsabilité en cas de conséquences négatives sur le fonctionnement ralenti de ses services.