Politique de protection des données et de confidentialité

HERMAN FAMILY GROUP LLC (UKRAINE)

et

HERMAN FAMILY GLOBAL (États-Unis d’Amérique)

Date d’entrée en vigueur : 1er janvier 2025
Adresse e-mail de contact : info@anastasiaherman.com
Responsable du traitement des données du Groupe : Anastasia Herman

DISPOSITIONS GÉNÉRALES

La présente Politique établit les règles et principes relatifs au traitement, au stockage et à la protection des données personnelles et médicales au sein du Herman Family Group, composé de :

Herman Family Group LLC (Ukraine)
Adresse légale : 151 rue Zelena, appt. 285, Lviv, Ukraine
Adresse réelle : 4A rue Khlibna, bureau 103, Lviv, Ukraine

Herman Family Global (États-Unis d’Amérique)
Enregistrée aux États-Unis d’Amérique
7901 4th St N, Ste 14845, St. Petersburg, Floride, 33702

Ci-après conjointement dénommées la « Société » ou les « Responsables conjoints du traitement », agissant sous la direction unifiée d’Anastasiia Yaroslavivna Herman, qui agit en qualité de responsable principal du traitement des données et de représentante autorisée des deux entités.

La présente Politique est conforme à :

  • le Règlement (UE) 2016/679 (Règlement général sur la protection des données – RGPD) ;

  • la Loi ukrainienne « Sur la protection des données personnelles » ;

  • les lois américaines applicables en matière de protection de la vie privée, y compris le Health Insurance Portability and Accountability Act (HIPAA) et le California Consumer Privacy Act (CCPA/CPRA) ;

  • les normes éthiques et professionnelles pertinentes en médecine reproductive.

DÉFINITIONS

  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.

  • Catégories particulières de données : données relatives à la santé, données génétiques ou biométriques, ou toute autre donnée sensible.

  • Traitement : toute opération effectuée sur des données personnelles, telle que la collecte, l’enregistrement, le stockage, l’adaptation, la transmission ou la suppression.

  • Responsable du traitement : l’entité qui détermine les finalités et les moyens du traitement des données personnelles.

  • Sous-traitant : une entité traitant des données pour le compte du Responsable du traitement.

  • Personne concernée : une personne dont les données personnelles sont traitées par la Société.

  • Responsables conjoints du traitement : Herman Family Group LLC (Ukraine) et Herman Family Global USA, agissant conjointement pour déterminer les finalités et les moyens du traitement.

PRINCIPES DU TRAITEMENT DES DONNÉES

La Société applique les principes suivants dans toutes ses activités de traitement des données :

  • licéité, loyauté et transparence ;

  • limitation des finalités – les données sont collectées pour des finalités déterminées, explicites et légitimes uniquement ;

  • minimisation des données – seules les données strictement nécessaires sont traitées ;

  • exactitude et mise à jour ;

  • limitation de la conservation – les données sont conservées uniquement pendant la durée nécessaire ;

  • intégrité, confidentialité et sécurité ;

  • responsabilité – documentation complète et preuve de conformité.

CATÉGORIES DE DONNÉES PERSONNELLES TRAITÉES

La Société traite notamment les catégories de données suivantes :

  • Données d’identification : nom, date de naissance, nationalité, adresse, informations figurant sur les documents d’identité ou passeports, coordonnées ;

  • Données médicales : antécédents reproductifs, dossiers médicaux, résultats d’examens, évolution des traitements, informations relatives à la grossesse ;

  • Données financières et contractuelles : factures, informations de paiement, obligations contractuelles ;

  • Documents juridiques et administratifs : procurations, consentements, certificats de mariage, contrats ;

  • Données de communication : correspondances, appels, historiques de messagerie, photographies et fichiers transmis ;

  • Données des partenaires et cliniques : coordonnées des médecins, coordinateurs, traducteurs et du personnel médical.

FINALITÉS DU TRAITEMENT

Les données personnelles et médicales sont traitées aux fins suivantes :

  • préparation, conclusion et exécution des contrats avec les patients, donneurs, mères porteuses et cliniques ;

  • coordination et gestion des programmes de reproduction (FIV, gestation pour autrui, don d’ovocytes, transfert d’embryons, etc.) ;

  • assistance juridique et administrative conformément aux obligations médicales, familiales et contractuelles ;

  • respect des obligations légales prévues par le droit ukrainien, européen et américain ;

  • comptabilité interne, contrôle qualité et audits ;

  • garantie de la sécurité médicale, de la transparence des programmes et de la protection des droits des participants.

BASES JURIDIQUES DU TRAITEMENT

Le traitement des données repose sur les bases juridiques suivantes :

  • le consentement de la personne concernée ;

  • la nécessité à l’exécution d’un contrat ou de mesures précontractuelles ;

  • le respect d’obligations légales (médicales, comptables, migratoires ou fiscales) ;

  • les intérêts légitimes poursuivis par la Société, dans la mesure où ils ne prévalent pas sur les droits et libertés fondamentaux de la personne concernée ;

  • la protection des intérêts vitaux de la personne concernée, notamment en cas d’urgence médicale.

TRAITEMENT DES CATÉGORIES PARTICULIÈRES DE DONNÉES

Les catégories particulières de données (données médicales, biométriques ou génétiques) sont traitées uniquement :

  • sur la base d’un consentement écrit explicite de la personne concernée ;

  • dans le cadre de programmes médicaux ou reproductifs lorsque ce traitement est indispensable ;

  • avec des mesures techniques et organisationnelles renforcées, incluant le chiffrement, des serveurs sécurisés et un accès restreint ;

  • partagées exclusivement avec des établissements de santé ou des professionnels autorisés soumis au secret professionnel.

RESPONSABILITÉ CONJOINTE (COOPÉRATION UA–USA)

Herman Family Group LLC (Ukraine) et Herman Family Global USA agissent en tant que Responsables conjoints du traitement.
Chaque entité peut collecter ou traiter des données personnelles pour le compte de l’autre, sous la direction unifiée et l’autorité d’Anastasia Herman, désignée comme contact principal et responsable légal du traitement pour l’ensemble du Groupe.

Les échanges de données entre les entités ukrainienne et américaine sont régis par des Clauses Contractuelles Types (CCT/SCC), des accords de traitement des données (DPA) et, le cas échéant, des évaluations d’impact des transferts (TIA).

DONNÉES REÇUES DES CLINIQUES ET DES PARTICIPANTS AUX PROGRAMMES

La Société peut recevoir et traiter des données personnelles et médicales fournies par :

  • des cliniques partenaires, des laboratoires et des établissements de santé ;

  • des mères porteuses, des donneuses d’ovocytes, des traducteurs et des coordinateurs,

dans le cadre de l’exécution des accords de coopération et des instructions légales.

Ces traitements sont réalisés :

  • pour le compte du patient, sur la base d’une autorisation écrite ou d’une procuration ;

  • dans le cadre des accords de collaboration entre la Société et les établissements médicaux ;

  • avec le droit d’informer les patients des résultats médicaux, de l’évolution des traitements et des conclusions cliniques, dans le strict respect des obligations de confidentialité.

DROITS DES PERSONNES CONCERNÉES

Conformément au RGPD, au droit ukrainien et au droit américain, les personnes concernées disposent des droits suivants :

  • accès à leurs données personnelles et obtention d’une copie ;

  • rectification des données inexactes ou obsolètes ;

  • suppression des données (« droit à l’oubli ») ;

  • limitation du traitement ou opposition à celui-ci ;

  • portabilité des données dans un format électronique structuré ;

  • retrait du consentement à tout moment ;

  • dépôt d’une plainte auprès de l’autorité de contrôle compétente.

Les demandes doivent être adressées à : info@anastasiaherman.com.
Les réponses sont fournies sans retard excessif et, en tout état de cause, dans un délai d’un mois.

CONSERVATION DES DONNÉES ET RESTITUTION DES DOCUMENTS

Les données personnelles et médicales sont conservées :

  • jusqu’à 2 ans après la finalisation du programme, sauf obligation légale imposant une durée plus longue ;

  • uniquement dans la mesure strictement nécessaire au respect des obligations comptables ou légales ;

  • puis supprimées de manière sécurisée ou anonymisées.

11.1. Restitution des documents originaux

À l’issue de chaque programme de reproduction, la Société restitue tous les documents personnels originaux à leurs propriétaires légitimes (patients ou représentants autorisés).
Cela inclut notamment les certificats de mariage, procurations, contrats, rapports médicaux et copies de documents d’identité.

Les mères porteuses et les donneurs restituent également leurs contrats liés au programme directement aux patients.
La Société ne conserve ni n’archive aucun document personnel original ou copié une fois les programmes finalisés, sauf lorsque la conservation est légalement requise à des fins comptables ou de conformité.

MESURES DE SÉCURITÉ

La Société met en œuvre des mesures de sécurité techniques et organisationnelles strictes, notamment :

  • accès contrôlé et hiérarchisé aux systèmes ;

  • chiffrement des données et protocoles de communication sécurisés (VPN, SSL/TLS) ;

  • authentification multi-facteurs ;

  • accords de confidentialité (NDA) et formation du personnel ;

  • audits de sécurité périodiques et contrôles de conformité des prestataires.

TRANSFERTS INTERNATIONAUX DE DONNÉES

Les données personnelles peuvent être transférées entre l’Ukraine, les États-Unis et l’Union européenne sous réserve de garanties juridiques reconnues, notamment :

  • Clauses Contractuelles Types (SCC) conformément au RGPD ;

  • accords de type Business Associate Agreements (BAA) conformes à HIPAA pour les traitements liés à la santé ;

  • respect des exigences CCPA/CPRA pour les résidents de Californie, garantissant la transparence et l’absence de « vente » de données au sens de la CCPA.

Tous les transferts assurent un niveau de protection équivalent et l’intégrité des données, quelle que soit la juridiction concernée.

GESTION DES INCIDENTS ET NOTIFICATION DES VIOLATIONS

En cas de violation de données ou d’incident de sécurité :

  • la Société mène immédiatement une enquête et prend des mesures d’atténuation ;

  • notifie l’autorité de contrôle compétente dans un délai de 72 heures lorsque la loi l’exige ;

  • informe les personnes concernées lorsqu’il existe un risque élevé pour leurs droits et libertés ;

  • tient un registre détaillé des incidents et des actions correctives mises en œuvre.

RÉCLAMATIONS ET CONTRÔLE

Les personnes concernées peuvent adresser leurs réclamations auprès de :

  • la Responsable de la protection des données du Groupe (info@anastasiaherman.com) ;

  • le Commissaire du Parlement ukrainien aux droits de l’homme (Ombudsman) ;

  • l’autorité de contrôle compétente de l’UE/EEE, le cas échéant ;

  • le Department of Health and Human Services (HHS) des États-Unis ou les autorités de protection de la vie privée des États concernés, lorsque cela est applicable au titre de HIPAA ou CCPA.

La Société garantit une coopération totale et une transparence complète avec l’ensemble des autorités de contrôle.

MISES À JOUR DE LA POLITIQUE

La présente Politique peut être modifiée périodiquement afin de refléter des évolutions légales, organisationnelles ou technologiques.
La version la plus récente est conservée en interne et peut être communiquée aux partenaires ou aux clients sur demande.
Les mises à jour significatives sont communiquées par les canaux officiels (e-mail ou notification sur le site internet).

Coordonnées

Herman Family Group LLC (Ukraine)
151 rue Zelena, appt. 285, Lviv, Ukraine
Adresse réelle : 4A rue Khlibna, bureau 103, Lviv, Ukraine

Herman Family Global USA
7901 4th St N, Ste 14845
St. Petersburg, Floride, 33702, États-Unis

Responsable du traitement des données du Groupe : Anastasia Herman
Email : info@anastasiaherman.com
Date d’entrée en vigueur : 1er janvier 2025