Protection des données
Politique de protection des données
Introduction
Ketterthill traite, dans le cadre de son activité de biologie médicale et de gestion du site internet, vos données à caractère personnel, en conformité avec la législation en vigueur.
La présente politique vous fournit des informations sur la façon dont sont traitées vos données à caractère personnel par Ketterthill.
Cette politique, accessible sur notre site Internet, est mise à jour régulièrement afin de prendre en compte les évolutions législatives et règlementaires, et tout changement dans les traitements que Ketterthill réalise.
Cette politique a été mise à jour le 11 mars 2024.
Quels sont nos engagements ?
Nous nous engageons à nous conformer à la réglementation applicable pour tous les traitements de données à caractère personnel que nous réalisons. Ainsi, nous nous engageons à respecter les principes suivants :
- Nous traitons vos données à caractère personnel de façon licite, loyale et transparente ;
- Nous collectons vos données à caractère personnel pour des finalités spécifiques, explicites et légitimes et ne les traitons pas d’une façon incompatible avec ces finalités.
- Nous nous assurons que les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour elles sont traitées.
- Nous faisons nos meilleurs efforts afin de nous assurer que les données à caractère personnel sont exactes et, si nécessaire, mises à jour. Nous prenons toutes les mesures raisonnables pour nous assurer que les données à caractère personnel inexactes, eu égard aux finalités pour elles sont traitées, sont supprimées ou rectifiées sans délai.
- Nous conservons vos données à caractère personnel sous une forme permettant votre identification uniquement pour la durée nécessaire au regard des finalités du traitement.
- Nous garantissons un niveau de sécurité approprié des données à caractère personnel que nous traitons.
Ces engagements se manifestent de la façon suivante :
- Nous respectons votre vie privée.
- Nous garantissons que la protection et la sécurité de vos données à caractère personnel sont au centre de nos préoccupations.
- Nous n’utilisons pas vos données à caractère personnel pour des finalités qui n’auraient pas été portées à votre attention.
- Nous ne considérons pas que vos données à caractère personnel doivent être stockées sans limite de durée.
- Nous ne vendons pas vos données à caractère personnel à des tiers.
- Nous travaillons avec des partenaires de confiance qui présentent des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles de manière à ce que nos traitements répondent aux exigences de la réglementation en vigueur.
- Nous respectons vos droits en tant que personne concernée, et en tant que patient, et faisons nos meilleurs efforts pour répondre à vos requêtes, dès que celles-ci sont fondées.
Comment collectons-nous vos données à caractère personnel ?
Ces données à caractère personnel peuvent être collectées directement auprès de vous, via par exemple notre site internet ou lors de votre rendez-vous.
Elles peuvent être, également, collectées, de manière indirecte par l’intermédiaire de partenaires ou clients (hôpitaux, médecins, laboratoires privés, …) ayant besoin de recourir à l’expertise du laboratoire Ketterthill. Dans ce cas, une transmission sécurisée de vos données est assurée.
Quelles données à caractère personnel traitons-nous et pour quelle durée ?
Nous vous rappelons qu’une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée »), tels que vos nom et prénom, votre adresse postale ou encore des données de santé.
Nous nous engageons à ne traiter que les données à caractère personnel qui sont strictement nécessaires aux finalités pour lesquelles elles sont collectées et à ne les conserver que pour une durée nécessaire au regard de ces finalités.
Les catégories de données à caractère personnel que nous traitons sont les suivantes :
| Activité de traitement | Base légale | Catégorie de données personnelles | Durée de conservation (base active**) |
| Gestion du laboratoire (réalisation de vos examens, l’interprétation et la transmission de vos résultats et la gestion administrative du cabinet) | Exécution du contrat | Données d’identification*, données de santé* et numéro de sécurité sociale. | 5 ans à compter de la dernière visite |
| Anonymisation des données en vue de leur réutilisation à des fins de recherches scientifiques ou de contrôles qualité | Intérêt légitime (mise en place de garanties spécifiques relatives aux traitements à des fins de recherches scientifiques ou de contrôle qualité) | Données de santé* | Non applicable (les données sont anonymisées) |
| Envoi d’enquêtes de satisfaction | Intérêt légitime (amélioration des services rendus) | Données d’identification* | Durée de l’enquête |
| Gestion du site internet | Intérêt légitime (gestion des prises de contact, des connexions, des créations de compte) | Données d’identification*, données de connexion et logs, données relatives à la gestion des contacts et des créations de compte |
3 ans à compter du dernier contact 6 mois pour les logs de connexion |
| Gestion des commandes et des paiements en ligne | Exécution du contrat | Données d’identification*, données relatives à la commande, coordonnées bancaires |
3 ans à compter de la fin de la relation contractuelle 10 ans pour les factures à compter de leur émission La durée de la transaction pour les coordonnées bancaires |
| Gestion du recrutement | Exécution de mesures précontractuelles | Données d’identification et données relatives à la situation professionnelle du candidat | 2 ans à compter du dépôt de la candidature (sauf opposition) |
| Gestion des fournisseurs | Exécution du contrat | Données d’identification, données d’ordre professionnel |
3 ans à compter de la fin de la relation contractuelle 10 ans pour les factures à compter de leur émission |
| Gestion des clients | Exécution du contrat | Données d’identification, données d’ordre professionnel |
3 ans à compter de la fin de la relation contractuelle 10 ans pour les factures à compter de leur émission |
| Vidéosurveillance et vidéoprotection *** | Intérêt légitime (sécurité des biens et des personnes, gestion du flux patient) *** | Enregistrements vidéo, enregistrements audios en cas d’incident *** | 1 mois maximum *** |
* Sont par exemple considérées comme des données d’identification le nom et le prénom, et comme des données de santé les résultats biologiques ;
** A l’expiration de la durée de conservation en base active, les données peuvent être conservées en archivage intermédiaire pour des durées plus longues, notamment si leur conservation est exigée par le code de la santé publique ou pour préserver les droits et intérêts du laboratoire Cerba lorsque des durées de prescription plus longues sont prévues.
*** La présence de la vidéosurveillance, les données traitées, ainsi que la durée de conservation dépendent des sites en fonction de leurs besoins, dans le respect de la législation en vigueur
Qui peut accéder à vos données à caractère personnel ?
Vos données ne seront communiquées, le cas échéant, qu’aux seuls destinataires suivants :
- Le personnel habilité de Ketterthill et, le cas échéant, le personnel habilité des services support de Cerba Healthcare Gestion et Cerba Healthcare (ex : audit interne, service juridique) ;
- Les sous-traitants, prestataires de confiance, chargés notamment de l’informatique ;
- Si nécessaire, les laboratoires de biologie médicale de référence auxquels, sont adressés vos prélèvements aux fins d’analyses ;
- L’administration dans le cadre de nos obligations légales, notamment l’agence E-Santé dans le cadre de l’alimentation de votre dossier médical personnel (DSP) ;
- Les promoteurs et/ou CRO pour les projets de recherche scientifique, de contrôle qualité ou d’études statistiques ;
- Dans le cadre de la vidéosurveillance, le personnel autorisé du site concerné, ainsi que les autorités compétentes en cas d’instruction.
Nous faisons nos meilleurs efforts afin de nous assurer que le nombre de ces personnes reste aussi restreint que possible.
Nous ne fournissons à nos prestataires de confiance que les informations dont ils ont strictement besoin afin de fournir le service et ces derniers ne peuvent en aucune mesure utiliser vos données à caractère personnel pour d’autres finalités.
Nous faisons toujours nos meilleurs efforts afin de nous assurer que tous nos prestataires de confiance avec qui nous travaillons maintiennent la sécurité de vos données.
Nous nous assurons également que, lorsque nos relations avec un prestataire de confiance arrivent à leur terme, ledit prestataire supprime vos données à caractère personnel sans délai.
Nous sélectionnons nos prestataires de confiance avec un grand soin, en nous assurant qu’ils présentent les garanties suffisantes, notamment en matière d’expertise, de fiabilité et de ressources, pour implémenter les mesures techniques et organisationnelles à même de répondre aux exigences de la législation applicable, notamment en termes de sécurité. A cet égard, nous nous assurons que nos prestataires de confiance traitent les données à caractère personnel que sur nos instructions documentées. Nous nous assurons également que leur personnel s’est engagé à respecter la confidentialité ou soit soumis à une obligation légale appropriée de confidentialité.
Quelles garanties en cas de transfert des données hors Union européenne ?
Lorsque les données personnelles vous concernant ont été confiées à Ketterthill par un correspondant situé hors de l’Union européenne, qui a lui-même réalisé votre prélèvement, les résultats lui sont communiqués par nos soins de manière sécurisée et leur transfert est réalisé dans le respect des articles 45 et suivants du RGPD.
Quelles sont vos droits, en qualité de personne concernée ?
- Dans le cadre du Règlement 2016/679 relatif à la protection des données personnelles, vous disposez d’un droit d’accès, d’opposition, de rectification, et d’effacement de vos données personnelles, ainsi qu’un droit à la limitation du traitement de ces données.
- Le droit d’accès vous permet de demander à un organisme s’il détient des données sur vous et à ce qu’il vous les communique afin d’en vérifier le contenu.
- Le droit d’opposition vous permet de vous opposer, pour motifs légitimes, à ce que vos données soient utilisées par un organisme pour un objectif précis. En cas de prospection commerciale, vous pouvez vous opposer au traitement sans motif légitime.
- Le droit de rectification vous permet de demander la rectification des informations inexactes ou incomplètes vous concernant. Il permet ainsi d’éviter qu’un organisme n’utilise ou ne diffuse des informations erronées sur vous.
- Le droit d’effacement vous permet de demander à un organisme l’effacement de données à caractère personnel vous concernant. Il est néanmoins à noter que, dans le cadre du respect de nos obligations légales et de la constatation, de l’exercice ou de la défense de droits en justice, nous ne pouvons effacer le contenu de votre dossier médical.
- Le droit à la limitation du traitement vous permet de demander à un organisme de geler temporairement l’utilisation de certaines de vos données à caractère personnel.
Pour plus d’informations concernant vos droits et leur exercice, consultez le site www.cnpd.lu.
- Dans le cadre de la loi sur la réforme du système de santé du 17 décembre 2010 prévoyant l’introduction d’une plateforme de partage et d’échange des données médicales entre les professionnels de santé impliqués dans votre prise en charge, les résultats de vos examens seront transmis à l’Agence E-Santé et enregistrés dans votre Dossier Médical Personnel (DSP).
Vous pouvez vous opposer à la transmission de vos données de santé dans le cadre du DSP à l’Agence E-Santé. Vous pouvez nous notifier votre opposition soit directement dans un de nos centres de prélèvement ou en nous adressant un message par écrit.
Vous pourrez exercer ce droit à chaque nouvelle demande ultérieure.
Vous pouvez exercer vos droits listés ci-dessus :
- Soit par courrier postal, auprès du « Délégué à la protection des données » du Laboratoire aux coordonnées suivantes:
Laboratoire Ketterthill, Att. Délégué à la protection des données, 8 Avenue du Swing, L-4367 Belvaux ; - Soit par courriel à cette adresse : dataprotection@ketterthill.lu ou en remplissant le formulaire de contact en choisissant le thème « Protection des données ».
Si vous estimez, notamment après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNPD.
