Politique de confidentialité
Traitement de données à caractère personnel
Dans le cadre de ses activités, Hospilux S.A. est amenée à traiter certaines données à caractère personnel de ses clients et partenaires ; elle assure de son mieux la protection de ces données au moyen de traitements sécurisés de celles-ci, dans le respect des lois et règlements en vigueur dont le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données des personnes physiques (ci-après le « Règlement européen »).
La présente politique de confidentialité vise à informer les personnes concernées sur les principaux traitements appliqués à leurs données à caractère personnel.
Quelques définitions des termes utilisés dans la politique de protection des données à caractère personnel
« Données à caractère personnel » désigne toute information qui permet, directement ou indirectement d’identifier ou de rendre identifiable une personne physique ;
« DPO » désigne le délégué à la protection des données personnelles de Hospilux.
« Personne concernée » désigne la personne physique dont les données à caractère personnel sont collectées et autrement traitées par Hospilux S.A., ou un sous-traitant ;
« Traitement » désigne toute opération ou ensemble d’opérations appliquées à des données à caractère personnel, à l’aide de procédés automatisés sur un support électronique ou manuellement sur un papier, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion de ces données ;
« Responsable de traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ;
« Sous-traitant » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
« Sites internet » désigne les sites internet d’Hospilux SA dont les adresses URL sont : www.hospilux.lu et shop.hospilux.lu.
Hospilux S.A. est la responsable des traitements qui figurent dans cette politique ; pour plus d’informations sur la société, nous vous invitons à consulter les informations légales publiées en bas du site internet.
1. Quels traitements sont effectués par Hospilux S.A. ? Sur quelles bases de licéité ? Quelles sont les données à caractère personnel traitées ?
Vous êtes un client particulier de Hospilux S.A.
Certains traitements sont mis en œuvre à travers l’utilisation du site internet de Hospilux S.A., d’autres sont mis en œuvre directement par Hospilux S.A.
| Traitement | Finalité | Base de licéité | Données concernée | Durée de conservation |
|---|---|---|---|---|
| E-commerce | Vente des produits par le biais du site shop.hospilux.lu | Exécution d'un contrat | Données d'identification Données bancaires |
10 ans |
| Gestion des locations de dispositifs médicaux en boutique non pris en charge par la CNS | Location de dispositifs médicaux non pris en charge par la Caisse Nationale de Santé | Exécution d'un contrat | Données d'identification Données bancaires Données de santé |
2 ans après la fin du contrat |
| Gestion des locations de dispositifs médicaux en boutique pris en charge par la CNS | Dispensation de dispositifs médicaux Coopération avec les professionnels de santé et institution sanitaire (CNS) |
Intérêt légitime Exécution d’un contrat |
Données d’identification Données de santé |
2 ans |
| Gestion des réclamations | Amélioration continue de la qualité conformément à la norme ISO 9001 | Intérêt légitime | Données d'identification | 2 ans |
Vous êtes un client professionnel, partenaire ou fournisseur de Hospilux S.A.
Certains traitements sont mis en œuvre au travers le site internet de Hospilux S.A., d’autres sont mis en œuvre directement par Hospilux S.A.
| Traitement | Finalité | Base de licéité | Données concernée | Durée de conservation |
|---|---|---|---|---|
| Gestion des activités commerciales | Gestion des contrats Tenue de la comptabilité relative aux clients Suivi de la relation client |
Exécution d’un contrat Obligation légale |
Données d’identification Vie professionnelle Données de transaction Données bancaires |
10 ans |
| Gestion des commandes | Editer/recevoir les bons de commande Recevoir les devis, les bons de livraison et les factures |
Exécution d'un contrat | Données d'identification Informations d’ordre économique et financier |
10 ans |
| Gestion des fournisseurs | Tenue d’une liste des contacts des fournisseurs et prestataires Gestion des contrats fournisseurs Tenue de la comptabilité relative aux fournisseurs |
Exécution d’un contrat Obligation légale |
Données d’identification Vie professionnelle |
10 ans |
Vous êtes candidat à un poste au sein de Hospilux S.A.
| Traitement | Finalité | Base de licéité | Données concernée | Durée de conservation |
|---|---|---|---|---|
| Recrutement | Traiter les candidatures (CV, lettres de motivation, lettres de recommandation) Organiser les entretiens Constituer le dossier du candidat |
Mesures précontractuelles Intérêt légitime |
Données d’identification Vie professionnelle |
3 mois |
Vous êtes un lanceur d’alerte
|
Traitement |
Finalité |
Base de licéité |
Données concernées |
Durée de conservation |
| Gestion des signalements de violation du droit national et européen d’application directe |
Réception des signalements de violation du Droit |
Obligation légale |
Faits signalés, éléments recueillis lors de la vérification des faits signalés, compte rendus des opérations de vérification, suites de l'alerte Données d’identification Vie professionnelle |
La durée de conservation dépend des suites données à l'alerte : |
Traitements effectués quelle que soit la qualité de la personne concernée
| Traitement | Finalité | Base de licéité | Données concernée | Durée de conservation |
|---|---|---|---|---|
| Vidéosurveillance | Assurer la sécurité des personnes et des biens | Intérêt légitime | Images vidéo | 30 jours avant effacement automatique |
| Wifi public | Donner un accès wifi aux clients, partenaires et fournisseurs lors de leur visite sur site | Exécution d'un contrat | Données de connexion | 24 heures avant effacement automatique |
| Gestion du site internet | Gestion des commandes Gestion des prises de contact par des tiers |
Consentement | Données d’identification Vie professionnelle |
10 ans (gestion des commandes) 2 ans (gestion des prises de contact) |
2. Qui a accès aux données collectées et autrement traitées ?
Seules les personnes habilitées de Hospilux S.A., directement concernées par la mise en œuvre des traitements de données à caractère personnel précités, peuvent accéder à celles-ci. ; elles peuvent être également transmises aux sociétés du groupe dont Hospilux S.A. fait partie, à des fins administratives internes.
Pour effectuer certains traitements, Hospilux S.A. fait appel à des sous-traitants avec lesquels un contrat spécifique est conclu, conformément au règlement européen.
3. Quels sont les droits dont disposent les personnes concernées par un traitement de données personnelles ? comment les exercer ?
En fonction de la base de licéité du traitement dont il s’agit, la personne concernée bénéficie des droits suivants :
- être informée de l’existence et des finalités de tout traitement de ses données personnelles ;
- accéder à ses données personnelles et demander leur rectification ou leur effacement ou encore une limitation du traitement ;
- s’opposer au traitement ;
- demander la portabilité de ses données personnelles ;
- retirer, à tout moment, le consentement donné à Hospilux S.A. si le traitement repose sur son consentement ;
- informer rapidement le délégué à la protection des données de toute perte ou soustraction frauduleuse (traitement illégal) de ses données personnelles ;
- adresser une réclamation à la Commission Nationale pour la Protection des Données si la personne concernée estime, après avoir contacté le DPO de Hospilux S.A., que les droits dont elle dispose n’ont pas été respectés.
Le DPO de Hospilux S.A. est l’interlocuteur pour toute demande d’exercice des droits précités ; il peut être contacté par courrier électronique à l’adresse suivante : dpo@hospilux.lu.
4. Droit d’accès aux images de vidéosurveillance
Compte tenu de la durée de conservation des images, la demande doit être adressée au DPO au plus tard 5 jours calendaires après la prise de vue ; elle doit préciser le lieu, la date et l’heure précise des images à visionner (tranche horaire d’un quart d’heure maximum), les caractéristiques visuelles de la personne afin de permettre aux personnes responsables de ces traitements de l’identifier sur des créneaux d’images, telles que sexe, taille, couleur et longueur des cheveux, tenue vestimentaire, etc.).
S’il peut être donné suite à la demande, elles fixent un rendez-vous au demandeur pour effectuer le visionnage ; celui-ci se déroule obligatoirement au sein de Hospilux S.A., en présence de la personne responsable du traitement par vidéosurveillance.
5. Quelle sécurité pour les données ?
Hospilux S.A. prend toutes les précautions nécessaires, notamment des mesures administratives, techniques organisationnelles ainsi que physiques, afin de protéger les Données Personnelles des personnes concernées contre toute perte, vol et soustraction frauduleuse, ainsi que contre tout accès, divulgation, altération ou destruction non autorisés des Données Personnelles.
