Directive sur la protection des données

Généralités

 

1.           Introduction

1.1         Les données existantes doivent être protégées contre les accès non autorisés et toute autre menace

1.2         Les clients, les partenaires commerciaux et les collaborateurs s’attendent à ce que leurs données fassent l’objet d’une protection particulière et qu’elles soient traitées avec tout le soin nécessaire.

1.3         La directive sur la protection des données doit être signée par le collaborateur. Un double de ce document est remis au collaborateur.

 

2.           But de la directive sur la protection des données

2.1         La directive sur la protection des données permet de créer des normes standard pour protéger les données.

2.2         Le respect des normes définies dans la présente directive sur la protection des données permet de satisfaire aux obligations légales en matière de protection des données et de veiller à ce que les intérêts et les droits des personnes concernées soient suffisamment pris en compte.

2.3         Le respect de la présente directive sur la protection des données est une condition préalable à l’échange sécurisé de données personnelles au sein de l’entreprise et avec des tiers.

 

3.           Champ d’application de la directive sur la protection des données

3.1         La directive sur la protection des données s’applique à tout traitement de données personnelles, notamment à la collecte, à l’enregistrement, à la conservation, à l’utilisation, à la modification, à la communication, à l’archivage, à l’effacement ou à la destruction de données. Elle englobe tous les types de données personnelles, notamment les données des collaborateurs, des clients, des fournisseurs et des autres partenaires commerciaux.

3.2         La directive sur la protection des données décrit, concrétise ou complète également les prescriptions légales, notamment celles de la loi suisse sur la protection des données (LPD).

 

4.           Définitions

  • Les données personnelles au sens de la LPD et de la présente directive d’entreprise sont toutes les données qui se rapportent à une personne physique identifiée ou identifiable.
  • Les personnes concernées sont les personnes physiques dont les données personnelles sont traitées.
  • Les données personnelles particulièrement sensibles sont les suivantes:

–   Données relatives aux opinions ou aux activités religieuses, philosophiques, politiques ou syndicales

–   Données relatives à la santé, à la sphère privée, à l’appartenance à une race ou à une ethnie

–   Données génétiques

–   Données biométriques identifiant une personne physique de manière incontestable

–   Données relatives aux poursuites ou sanctions administratives et pénales

–   Données relatives aux mesures d’aide sociale

4.4         Par traitement, on entend toute opération portant sur des données personnelles, quels que soient les moyens et les procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la communication, l’archivage, l’effacement ou la destruction de données.

4.5         Par communiquer, on entend le fait de transmettre des données personnelles ou de les rendre accessibles.

4.6         Il y a violation de la sécurité des données lorsque des données personnelles sont accidentellement ou illicitement perdues, effacées, détruites, modifiées, divulguées ou rendues accessibles à des tiers non autorisés.

4.7         Le responsable est une personne privée qui, seule ou avec d’autres, décide des finalités et des moyens du traitement.

4.8         Le sous-traitant est un tiers qui traite des données personnelles pour le compte du responsable.

Règles de base du traitement des données

 

5.           Légalité

Les données personnelles doivent être traitées en conformité avec la loi. Le traitement est considéré comme licite uniquement s’il est garanti par les points suivants:

– La personne concernée a donné son consentement

– Il est justifié par un intérêt privé ou public prépondérant ou

– par la loi

 

6.           Transparence

Le traitement des données doit être effectué à la connaissance de la personne concernée.

 

7.           Proportionnalité

7.1         Le principe de proportionnalité doit être respecté lors du traitement de données personnelles. Conformément à ce principe, seules les données nécessaires et appropriées au but poursuivi peuvent être collectées.

7.2         Les données personnelles ne peuvent être conservées que le temps nécessaire à la réalisation du but (cf. art. 8 de la directive sur la protection des données).

 

8.           Affectation à une finalité spécifique

8.1         Les données personnelles ne peuvent être collectées que dans un but précis et parfaitement clair pour la personne concernée. Ces données ne peuvent faire l’objet que de traitements compatibles avec cette finalité.

8.2         Si les données personnelles ne sont plus nécessaires au but du traitement, elles doivent être détruites ou anonymisées.

 

9.           Exactitude

9.1         Les collaborateurs doivent veiller à ce que les données personnelles soient exactes et actualisées.

9.2         Toutes les mesures appropriées doivent être prises pour rectifier ou détruire les données inexactes ou incomplètes.

 

10.         Sécurité des données

10.1      Il est particulièrement important que la sécurité des données soit garantie à tout moment. Dans ce contexte, les données personnelles doivent être protégées par des mesures techniques et organisationnelles, notamment contre la perte, l’accès non autorisé et toute autre menace.

10.2      Les mesures de protection concrètes doivent être documentées pour les différentes opérations de traitement des données, et leur adéquation doit être vérifiée.

10.3      Il est possible de promulguer des directives plus étendues pour garantir la sécurité des données, notamment dans le cadre d’une utilisation de systèmes informatiques externes.

 

11.         Consentement et opposition

11.1      Le consentement explicite de la personne concernée est nécessaire pour le traitement de données personnelles sensibles (art. 6, al. 7, let. a LPD).

11.2      Si la personne concernée s’oppose expressément à un traitement de données, un tel traitement est justifié uniquement si le responsable du traitement peut faire valoir des intérêts prépondérants ou qu’il existe une base légale correspondante.

 

12.         Devoir d’information

12.1      Dans la mesure du possible, les personnes concernées doivent être informées à l’avance de la finalité de la collecte et du traitement des données personnelles. Si les données ne sont pas collectées directement auprès de la personne concernée, celle-ci est informée dans un délai d’un mois à compter de la réception des données.

12.2      Si la personne concernée prend l’initiative de rendre ses données personnelles accessibles au responsable, elle est considérée comme informée.

12.3      Si la finalité du traitement des données change, les personnes déjà informées doivent l’être à nouveau.

 

13.         Traitement des mandats

Si des prestataires de services («sous-traitants») sont chargés de traiter des données personnelles, ils sont tenus de respecter les mêmes devoirs de diligence. La finalité et la sécurité des données doivent notamment être garanties contractuellement.

 

14.         Transmission de données personnelles à l’étranger

La transmission de données personnelles à l’étranger n’est autorisée que pour les États dans lesquels le Conseil fédéral a constaté un niveau de protection des données au minimum aussi élevé qu’en Suisse. Le respect des normes suisses de protection des données peut aussi être garanti par la conclusion d’accords supplémentaires.

Processus internes à l’entreprise

 

15.         Exigences envers les collaborateurs

15.1      Les collaborateurs sont tenus de respecter la protection des données sans exception. Ils sont notamment informés de l’interdiction d’exploiter des données personnelles à des fins privées et de les transmettre ou de les rendre accessibles à des tiers non autorisés. Le devoir de confidentialité demeure au-delà de la fin de l’engagement.

15.2      Il convient de veiller à ce que seuls les collaborateurs aient accès aux données personnelles dont ils ont besoin pour accomplir leurs tâches, au sein de l’entreprise également.

15.3      Les collaborateurs doivent être formés et sensibilisés aux thèmes de la protection des données dès le début de leur engagement, et régulièrement par la suite.

 

16.         Protection des données grâce aux technologies, aux paramètres par défaut et à l’analyse d’impact

16.1      Les systèmes utilisés pour le traitement des données personnelles doivent être conçus de manière à garantir le respect de la protection des données. Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées (privacy by design).

16.2      Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement. Cela concerne par exemple le consentement aux cookies sur le site Internet.

16.3      Si un traitement de données prévu présente un risque élevé pour la personnalité et les droits fondamentaux des personnes concernées, une analyse d’impact sur la protection des données (AIPD) doit être effectuée au sens de l’article 22 LPD et documentée.

Droits des personnes concernées

 

17.         Droit d’accès

17.1      Toute personne peut demander si des données la concernant sont traitées. Dans un tel cas, la personne concernée a le droit d’obtenir des informations sur les données personnelles correspondantes.

Le droit d’accès permet de savoir si des données personnelles sont traitées et de connaître leur nature exacte afin que la personne concernée puisse faire valoir ses droits. Outre les données personnelles traitées en tant que telles, des informations sur l’identité du responsable, le but du traitement, la durée de conservation, l’origine des données et, le cas échéant, des informations sur les décisions individuelles automatisées et les destinataires (également en tant que catégories) en font partie.

17.2      Lorsque des renseignements sont communiqués, il convient de s’assurer que l’identité de la personne concernée a été vérifiée. Il convient en outre de veiller à ce qu’aucune donnée personnelle de tiers ne soit divulguée dans le cadre de la communication de renseignements. En règle générale, les renseignements doivent être fournis gratuitement et dans un délai de 30 jours.

 

18.         Portabilité des données, droit à la remise ou à la transmission des données

La personne concernée peut exiger la remise des données qu’elle a communiquées dans un format électronique courant lorsque les données sont traitées de manière automatisée et que la personne concernée a donné son consentement au traitement ou que le traitement est effectué dans le cadre d’un contrat correspondant.

 

19.         Droit de rectification

Conformément à l’article 32, al. 1 LPD, la personne concernée peut exiger que des données personnelles inexactes soient rectifiées.

 

20.         Droit à l’effacement des données

Lorsque des données personnelles sont traitées à l’encontre de la manifestation expresse de la volonté de la personne concernée et qu’il n’existe pas de base légale ni d’intérêt privé prépondérant de tiers, la personne concernée peut demander l’effacement de ses données personnelles.

Compétence

 

21.         Responsabilité

21.1      Les collaborateurs chargés du traitement des données sont les premiers responsables du respect des dispositions de la présente directive sur la protection des données.

21.2      Les collaborateurs doivent impérativement se conformer à la présente directive sur la protection des données. Ce faisant, ils contribuent à l’établissement de normes élevées et uniformes en matière de protection des données au niveau de l’entreprise.

21.3      En cas de violation des obligations légales en matière de protection des données, les contrevenants s’exposent à des poursuites pénales et l’entreprise à des poursuites civiles ainsi qu’à des dommages de réputation. La personne physique, dans le cas présent le collaborateur intentionnellement fautif, est pénalement responsable. Les violations de la protection des données peuvent également avoir des conséquences disciplinaires au sein de l’entreprise.

 

22.         Notification des violations et coopération avec les autorités de contrôle

22.1      Les collaborateurs sont tenus de signaler sans délai à leur supérieur hiérarchique toute violation de la directive sur la protection des données ou des dispositions légales relatives à la protection des données.

22.2      Les violations de la sécurité des données (p. ex. divulgation à des tiers non autorisés, perte de données, cyberattaque, etc.) qui génèrent un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées doivent être signalées par l’entreprise au Préposé fédéral à la protection des données et à la transparence (PFPDT) «dans les meilleurs délais», c’est-à-dire le plus rapidement possible.

Autres dispositions

 

23.         Publication

Une publication générale de la présente directive sur la protection des données n’est pas prévue.

 

24.         Modifications

  • Nous nous réservons le droit de modifier la présente directive sur la protection des données si nécessaire. Une modification peut notamment s’avérer nécessaire pour répondre à des prescriptions légales, aux exigences des autorités de surveillance ou à des procédures internes à l’entreprise.
  • Il convient également de vérifier à intervalles réguliers dans quelle mesure des changements technologiques rendent nécessaire une adaptation de la présente directive sur la protection des données.

 

Mai 2023