Politique de confidentialité
Traitement de données à caractère personnel
Dans le cadre de ses activités, Hospilux S.A. est amenée à traiter certaines données à caractère personnel de ses collaborateurs, clients et partenaires ; elle assure de son mieux la protection de ces données au moyen de traitements sécurisés, dans le respect des lois et règlements en vigueur dont le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données des personnes physiques (ci-après le « Règlement européen »).
Conformément à l’article 5 du Règlement européen, Hospilux S.A. respecte les principes fondamentaux suivants?:
Licéité
Lorsqu’elle effectue un traitement de données personnelles, Hospilux S.A. le fonde sur une des quatre bases légales suivantes:
- - Le consentement de la personne concernée ;
- - L’exécution d’un contrat ;
- - Le respect d’une obligation légalement établie ;
- - La poursuite de ses intérêts légitimes.
Lorsque le consentement constitue la base légale d’un traitement, Hospilux S.A. garantit son caractère :
- - Spécifique : le traitement porte sur une seule finalité et cette finalité est précisément définie?;
- - Univoque : le consentement est un acte volontaire et clair?;
- - Libre : la personne concernée doit avoir le choix et ne doit pas subir de conséquences négatives en cas de refus?;
- - Eclairé : lors de la collecte de son consentement, la personne concernée est informée notamment des coordonnées du responsable du traitement, de la finalité du traitement, des données à caractère personnel qui seront collectées et autrement traitées, de l’existence du droit de retirer son consentement à tout moment.
Loyauté
Hospilux S.A. met en œuvre des traitements de données personnelles dans les conditions qui permettent d’assurer la plus grande transparence envers les personnes concernées?; Hospilux S.A. ne traite pas les données personnelles à l’insu de ses collaborateurs, visiteurs, clients, fournisseurs ou toute autre personne qui pourrait lui avoir communiqué ses données personnelles. Hospilux S.A. garantit ainsi un traitement loyal des informations qu’elle traite, conformément à la législation applicable et aux attentes raisonnables des personnes concernées.
Transparence
Hospilux S.A. communique un certain contenu d’informations aux personnes concernées. Ces informations sont fournies en des termes clairs, simples et aisément accessibles, peu importe le support de communication.
Qu’elle collecte les données personnelles directement auprès des personnes concernées ou auprès de tiers, Hospilux S.A. fournit aux personnes concernées les informations légalement requises.
Limitation des finalités
Les données personnelles que Hospilux S.A. traite sont utilisées pour des raisons déterminées, explicites et légitimes compte tenu des activités de traitement qu’elle effectue.
Minimisation des données
Les données personnelles communiquées à et traitées par Hospilux S.A. sont celles strictement nécessaires à la réalisation de ses activités?: seules sont traitées les informations pertinentes, adéquates et non excessives par rapport aux finalités poursuivies dans le cadre du traitement concerné. Hospilux S.A. évalue ce principe au cas par cas afin de garantir une proportionnalité adaptée à chaque traitement de données à caractère personnel.
Dans le cadre de ses activités, Hospilux S.A. garantit la collecte minimisée des données personnelles des personnes concernées afin de répondre strictement à ses obligations.
Exactitude des données
Hospilux S.A. fait attention à l’exactitude des données collectées et conservées dans le cadre de ses activités de traitement. Le cas échant, elles sont mises à jour. A ce titre, toute personne concernée peut formuler une demande de rectification de ses données personnelles auprès du DPO?; la demande doit être accompagnée d’un justificatif d’identité.
Limitation de la conservation des données
Les durées de conservation des données personnelles recueillies et traitées par Hospilux S.A. sont déterminées au cas par cas, en fonction du type de donnée personnelle, de la finalité du traitement, mais également des dispositions légales.
Une fois le délai de conservation atteint les données personnelles sont supprimées de manière sécurisée pour empêcher leur récupération. Lorsqu’elles sont stockées sur des supports analogiques (ou d’autres outils ou applications), elles sont également détruites de manière à préserver leur confidentialité.
La présente politique de confidentialité vise à informer les personnes concernées sur les principaux traitements appliqués à leurs données à caractère personnel.
Quelques définitions des termes utilisés dans la politique de protection des données à caractère personnel
« Données à caractère personnel » désigne toute information qui permet, directement ou indirectement d’identifier ou de rendre identifiable une personne physique ;
« DPO » désigne le délégué à la protection des données personnelles de Hospilux.
« Personne concernée » désigne la personne physique dont les données à caractère personnel sont collectées et autrement traitées par Hospilux S.A., ou un sous-traitant ;
« Traitement » désigne toute opération ou ensemble d’opérations appliquées à des données à caractère personnel, à l’aide de procédés automatisés sur un support électronique ou manuellement sur un papier, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion de ces données ;
« Responsable de traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ;
« Sous-traitant » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
« Sites internet » désigne les sites internet d’Hospilux SA dont les adresses URL sont : www.hospilux.lu et shop.hospilux.lu.
Hospilux S.A. est la responsable des traitements qui figurent dans cette politique ; pour plus d’informations sur la société, nous vous invitons à consulter les informations légales publiées en bas du site internet.
1. Quels traitements sont effectués par Hospilux S.A. ? Sur quelles bases de licéité ? Quelles sont les données à caractère personnel traitées ?
Vous êtes un client particulier de Hospilux S.A.
Certains traitements sont mis en œuvre à travers l’utilisation du site internet de Hospilux S.A., d’autres sont mis en œuvre directement par Hospilux S.A.
| Traitement | Finalité | Base de licéité | Données concernée | Durée de conservation |
|---|---|---|---|---|
| E-commerce | Vente des produits par le biais du site shop.hospilux.lu | Exécution d'un contrat | Données d'identification Données bancaires |
10 ans |
| Gestion des locations de dispositifs médicaux en boutique non pris en charge par la CNS | Location de dispositifs médicaux non pris en charge par la Caisse Nationale de Santé | Exécution d'un contrat | Données d'identification Données bancaires Données de santé |
2 ans après la fin du contrat |
| Gestion des locations de dispositifs médicaux en boutique pris en charge par la CNS | Dispensation de dispositifs médicaux Coopération avec les professionnels de santé et institution sanitaire (CNS) |
Intérêt légitime Exécution d’un contrat |
Données d’identification Données de santé |
2 ans |
| Gestion des réclamations | Amélioration continue de la qualité conformément à la norme ISO 9001 | Intérêt légitime | Données d'identification | 2 ans |
Vous êtes un client professionnel, partenaire ou fournisseur de Hospilux S.A.
Certains traitements sont mis en œuvre au travers le site internet de Hospilux S.A., d’autres sont mis en œuvre directement par Hospilux S.A.
| Traitement | Finalité | Base de licéité | Données concernées | Durée de conservation |
|---|---|---|---|---|
| Gestion des activités commerciales | Gestion des contrats Tenue de la comptabilité relative aux clients Suivi de la relation client |
Exécution d’un contrat Obligation légale |
Données d’identification Vie professionnelle Données de transaction Données bancaires |
10 ans |
| Gestion des commandes | Editer/recevoir les bons de commande Recevoir les devis, les bons de livraison et les factures |
Exécution d'un contrat | Données d'identification Informations d’ordre économique et financier |
10 ans |
| Gestion des fournisseurs | Tenue d’une liste des contacts des fournisseurs et prestataires Gestion des contrats fournisseurs Tenue de la comptabilité relative aux fournisseurs |
Exécution d’un contrat Obligation légale |
Données d’identification Vie professionnelle |
10 ans |
| Gestion des prospects | Réalisation d’actions de prospection commerciale (messages publicitaires, promotions) | Consentement | Données d’identification* Vie professionnelle Adresse électronique *Données obtenues de tiers (internes et externes) | Durée de la relation commerciale puis 3 ans à compter du dernier contact avec le prospect / client |
Vous êtes candidat à un poste au sein de Hospilux S.A.
| Traitement | Finalité | Base de licéité | Données concernées | Durée de conservation |
|---|---|---|---|---|
| Recrutement | Traiter les candidatures (CV, lettres de motivation, lettres de recommandation) Organiser les entretiens Constituer le dossier du candidat |
Mesures précontractuelles Intérêt légitime |
Données d’identification Vie professionnelle |
3 mois |
Vous êtes un lanceur d’alerte
|
Traitement |
Finalité |
Base de licéité |
Données concernées |
Durée de conservation |
| Gestion des signalements de violation du droit national et européen d’application directe |
Réception des signalements de violation du Droit |
Obligation légale |
Faits signalés, éléments recueillis lors de la vérification des faits signalés, compte rendus des opérations de vérification, suites de l'alerte Données d’identification Vie professionnelle |
La durée de conservation dépend des suites données à l'alerte : |
Traitements effectués quelle que soit la qualité de la personne concernée
| Traitement | Finalité | Base de licéité | Données concernées | Durée de conservation |
|---|---|---|---|---|
| Vidéosurveillance | Assurer la sécurité des personnes et des biens | Intérêt légitime | Images vidéo | 30 jours avant effacement automatique |
| Wifi public | Donner un accès wifi aux clients, partenaires et fournisseurs lors de leur visite sur site | Exécution d'un contrat | Données de connexion | 24 heures avant effacement automatique |
| Gestion du site internet | Gestion des commandes Gestion des prises de contact par des tiers |
Consentement | Données d’identification Vie professionnelle |
10 ans (gestion des commandes) 2 ans (gestion des prises de contact) |
2. Qui a accès aux données collectées et autrement traitées ?
Seules les personnes habilitées de Hospilux S.A., directement concernées par la mise en œuvre des traitements de données à caractère personnel précités, peuvent accéder à celles-ci. ; elles peuvent être également transmises aux sociétés du groupe dont Hospilux S.A. fait partie, à des fins administratives internes.
Pour effectuer certains traitements, Hospilux S.A. fait appel à des sous-traitants avec lesquels un contrat spécifique est conclu, conformément au règlement européen.
3. Quels sont les droits dont disposent les personnes concernées par un traitement de données personnelles ? comment les exercer ?
En fonction de la base de licéité du traitement dont il s’agit, la personne concernée bénéficie des droits suivants :
- être informée de l’existence et des finalités de tout traitement de ses données personnelles ;
- accéder à ses données personnelles et demander leur rectification ou leur effacement ou encore une limitation du traitement ;
- s’opposer au traitement ;
- demander la portabilité de ses données personnelles ;
- retirer, à tout moment, le consentement donné à Hospilux S.A. si le traitement repose sur son consentement ;
- informer rapidement le délégué à la protection des données de toute perte ou soustraction frauduleuse (traitement illégal) de ses données personnelles ;
- adresser une réclamation à la Commission Nationale pour la Protection des Données si la personne concernée estime, après avoir contacté le DPO de Hospilux S.A., que les droits dont elle dispose n’ont pas été respectés.
Le DPO de Hospilux S.A. est l’interlocuteur pour toute demande d’exercice des droits précités ; il peut être contacté par courrier électronique à l’adresse suivante : dpo@hospilux.lu.
4. Droit d’accès aux images de vidéosurveillance
Compte tenu de la durée de conservation des images, la demande doit être adressée au DPO au plus tard 5 jours calendaires après la prise de vue ; elle doit préciser le lieu, la date et l’heure précise des images à visionner (tranche horaire d’un quart d’heure maximum), les caractéristiques visuelles de la personne afin de permettre aux personnes responsables de ces traitements de l’identifier sur des créneaux d’images, telles que sexe, taille, couleur et longueur des cheveux, tenue vestimentaire, etc.).
S’il peut être donné suite à la demande, elles fixent un rendez-vous au demandeur pour effectuer le visionnage ; celui-ci se déroule obligatoirement au sein de Hospilux S.A., en présence de la personne responsable du traitement par vidéosurveillance.
5. Quelle sécurité pour les données ?
Hospilux S.A. prend les mesures nécessaires pour garantir la confidentialité, l’intégrité, ainsi que la disponibilité des données traitées afin d’éviter leur divulgation à des tiers non autorisés notamment. Pour respecter cette obligation de sécurité, tous les collaborateurs sont soumis à une obligation de confidentialité.
Dans le cadre de l'évaluation des risques pour la sécurité des données, Hospilux S.A. prend en compte les risques de destruction, de perte ou altération, de divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral pour les personnes concernées. Cette évaluation des risques est réalisée et revue régulièrement.
Hospilux S.A. met également en œuvre une sécurité par défaut qui a pour conséquence la restriction des accès ou encore la limitation de la conservation des données personnelles.
Hospilux S.A. agit pour assurer la meilleure sécurité des données personnelles et de leurs traitements à la fois sur les plans techniques, humains et organisationnels.
Hospilux S.A. procède particulièrement à :
- - La sensibilisation et la formation des collaborateurs ;
- - L’authentification et la gestion des habilitations des collaborateurs ;
- - La traçabilité des accès et gestion des incidents ;
- - La sécurisation des postes de travail ;
- - La protection de son réseau informatique interne ;
- - La sécurisation de ses serveurs et de ses sites web ;
- - La sauvegarde et la gestion de la continuité de ses activités ;
- - L’encadrement de la maintenance et de la destruction des données ;
- - La protection des locaux ;
- - L’encadrement des développements informatiques quand il y a lieu ;
- - La mise en œuvre de méthodes cryptographiques ;
- - L’évaluation régulière du niveau de sécurité de l’entreprise.
Hospilux S.A. veille à ce que les mesures techniques et organisationnelles de protection des données personnelles mises en place par les sous-traitants qu’elle choisit soient conformes à ses exigences en matière de sécurité.
