Politique de confidentialité 

.

  1. Introduction

 (source : site du Préposé fédéral à la protection des données et à la transparence (PFPDT))

Qu’est-ce exactement que la protection des données? Quelle est son utilité?

Les données personnelles constituent un bien précieux. On peut le comprendre dans deux sens : d’une part, au point de vue matériel, dans la mesure où les entreprises leur accordent un grand intérêt économique. En recourant à de vastes banques de données aussi détaillées que possible, les entreprises peuvent déterminer très précisément le comportement d’achat de divers types de consommateurs, ce qui leur permet par exemple de cibler et de mettre en œuvre leur stratégie publicitaire. Elles peuvent tracer des profils de personnalité individuels, c’est-à-dire qu’elles peuvent découvrir la marque du véhicule qu’une personne donnée conduit, les livres qu’elle lit, la musique qu’elle écoute, ce qu’elle dépense pour son habillement, son logement, ses assurances ou ses vacances, quelles sont ses destinations préférées, etc. De cette manière, les consommateurs peuvent être répartis en différents groupes-cible selon des critères déterminés. Les entreprises peuvent en outre apprendre si un client est un bon ou un mauvais payeur. Bien entendu, cette collecte d’informations se passe généralement sans que la plupart des gens n’en aient la moindre idée. Il n’est donc pas étonnant que des agissements contestables, voire des abus, se produisent sans que la victime ne puisse réagir, puisqu’elle ne se doute de rien.

Or, ce n’est pas seulement au point de vue matériel que les données personnelles constituent un bien précieux, mais aussi au point de vue conceptuel, car il est inadmissible que dans une société démocratique, fondée sur le respect du droit, l’être humain ne dispose pas même d’un contrôle minimal sur l’utilisation des données le concernant. Le droit de disposer librement des informations qui nous concernent constitue un élément important de notre ordre social. Conformément à ce principe, chacun doit pouvoir déterminer lui-même, dans toute la mesure du possible, quelles informations personnelles peuvent être transmises, à qui elles peuvent l’être, à quel moment et dans quel contexte. L’aspect économique n’est pas seul en cause, les services de l’État et les autorités sanitaires s’intéressent, eux aussi, à certaines données personnelles – on peut évoquer à ce sujet la lutte contre le terrorisme international ou contre la criminalité organisée, mais aussi les efforts visant à diminuer les coûts de la santé. Pour simplifier, on pourra dire que le premier objectif de la protection des données doit être la défense du droit qu’à chaque individu de disposer des informations le concernant. Cette tâche n’est pas toujours simple, dans la mesure où il existe des intérêts légitimes qui peuvent limiter ce droit, par exemple dans le cadre d’une enquête policière. La protection des données doit garantir que le principe de la proportionnalité sera respecté dans tous les cas, c’est-à-dire que la collecte et le traitement impliqueront le moins de données personnelles possible, mais jamais plus que le strict nécessaire ; elle doit par ailleurs garantir à la personne concernée la possibilité de contrôler dans toute la mesure du possible le traitement de ses propres données, pour qu’elle puisse, le cas échéant, s’y opposer. Il est donc impératif que chacun puisse demander aux maîtres de fichiers quelles sont les données le concernant dont ils disposent. À cet effet, la loi sur la protection des données prévoit un droit d’accès dont il est possible de se prévaloir auprès des maîtres de fichiers.

2. Bases légales et autres informations

Le Code des Obligations (CO) peut être consulté à l’adresse :

https://www.admin.ch/opc/fr/classified-compilation/19110009/index.html

La Loi sur la Protection des Données (LPD) peut être consultée à l’adresse :

https://www.kmu.admin.ch/kmu/fr/home/faits-et-tendances/digitalisation/protection-des-donnees/nouvelle-loi-sur-la-protection-des-donnees-nlpd.html

Le site du Préposé fédéral à la protection des données et à la transparence (PFPDT) est consultable à l’adresse suivante :

Préposé fédéral à la protection des données et à la transparence PFPDT (admin.ch)

2.1.    Principes généraux

Les articles 319 et suivants du CO sont explicitement mentionnés dans le contrat de travail, Par conséquent, le personnel de GVA ressources Sàrl (ci-après GVA) s’engagent par leur signature à respecter les dispositions légales relatives au traitement des données de tiers dont ils pourraient avoir connaissance.

L’article 321a alinéa 4 CO stipule : « Pendant la durée du contrat, le travailleur ne doit pas utiliser ni révéler des faits destinés à rester confidentiels, tels que les secrets de fabrication et d’affaires dont il a pris connaissance au service de l’employeur; il est tenu de garder le secret même après la fin du contrat en tant que l’exige la sauvegarde des intérêts légitimes de l’employeur ».

Il est d’autre part précisé à l’article 328b CO que « L’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail. En outre, les dispositions de la loi fédérale du 19 juin 1992 sur la protection des données sont applicables. »

GVA et ses collaborateurs s’engagent donc à respecter les dispositions légales tant au niveau des données personnelles des employés que de celles des personnes envoyées par les pouvoirs publics pour suivre nos mesures.

2.2.    Loi fédéral sur la protection des données (LPD) (nouvelle loi)

La Suisse se dote d’une nouvelle législation pour mieux protéger les données de ses habitants.

Les entreprises du pays doivent s’y conformer à partir du 1er septembre 2023.

Lors de sa session d’automne 2020, le Parlement a adopté la nouvelle la loi fédérale sur la protection des

données (nLPD). Elle améliore le traitement des données personnelles et accorde de nouveaux droits aux

citoyens suisses. Ce changement législatif important s’accompagne également d’un certain nombre d’obligations pour les entreprises.

La loi sur la protection des données, totalement révisée, et les dispositions d’exécution inscrites dans les

nouvelles ordonnances sur la protection des données (OPDo) et sur les certifications en matière de

protection des données (OCPD) entreront en vigueur le 1er septembre 2023.

Une nouvelle loi nécessaire

La première loi fédérale sur la protection des données date de 1992. Entre temps, la population suisse a

introduit l’usage d’Internet et des smartphones dans son quotidien; et a toujours plus recours aux réseaux

sociaux, au Cloud ou à l’internet des objets. Dans ce contexte, un remaniement complet de la loi sur la

protection des données – et plus seulement partiel comme en 2009 et 2019 –, est indispensable pour

assurer à la population une protection de ses données adéquate et adaptée aux évolutions technologiques

et sociales de notre époque.

La compatibilité du droit suisse avec le droit européen, et notamment le Règlement européen sur la

protection des données (RGPD), constitue l’autre enjeu principal de la nouvelle loi. La nLPD devrait

permettre de maintenir la libre circulation des données avec l’Union européenne (UE) et ainsi d’éviter une

perte de compétitivité des entreprises suisses.

Quels sont les principaux changements ?

La nLPD introduit les huit changements majeurs suivants pour les entreprises.

  1. Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.
  1. Les données génétiques et biométriquesentrent dans la définition des données sensibles. 
  1. Les principes de « Privacy by Design » et de « Privacy by Default » sont introduits. Comme son nom l’indique, le principe de « Privacy by Design » (protection des données dès la conception) implique, pour les développeurs, d’intégrer la protection et le respect de la vie privé des utilisateurs dans la structure même du produit ou du service amené à collecter des données personnelles. Le principe de « Privacy by Default » (protection des données par défaut) assure quant à lui le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-dire sans aucune intervention des utilisateurs, toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation. Autrement dit, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger les données et à respecter la vie privée des utilisateurs.
  1. Des analyses d’impacts doivent être menées, en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
  1. Le devoir d’informer est étendu : la collecte de toutes les données personnelles – et non plus uniquement de données dites sensibles –, doit donner lieu à une information préalable de la personne concernée.
  1. La tenue d’un registre des activités de traitement devient obligatoire. L’ordonnance d’application prévoit toutefois une exemption pour les PME dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.
  1. Une annonce rapide est requise en cas de violation de la sécurité des données, à adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT).
  1. La notion de profilage (soit le traitement automatisé de données personnelles) fait son entrée dans la loi. Le site du PFPDT offre des informations plus précises et détaillées concernant les modifications apportées par la nLPD.
  1. Différences avec l’UE

Les entreprises qui s’étaient déjà conformées au règlement général de l’UE sur la protection des données (RGPD) auront peu de changements à entreprendre. L’association SwissPrivacy.Law a publié un tableau de comparaison entre la nLPD et le règlement européen à consulter à cette adresse (en français): https://swissprivacy.law/55/

3. Définitions

La loi explicite différentes notions à son article 3 LPD qui sont reprises ci-dessous :

3.1.    Données personnelles

Toutes données personnelles comme étant toutes les informations qui se rapportent à une personne identifiée ou identifiable.

3.2.    Données sensibles

Les données personnelles sur :

  • les opinions ou activités religieuses, philosophiques, politiques ou syndicales,
  • la santé, la sphère intime ou l’appartenance à une race,
  • des mesures d’aide sociale,
  • des poursuites ou sanctions pénales et administratives.
  • les données génétiques et biométriques

3.3.     Profil de la personnalité

Un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.

3.4.     Traitement

Toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données

3.5.    Communication

Le fait de rendre des données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant.

3.6.     Fichier

Tout ensemble de données personnelles dont la structure permet de rechercher les données par personne concernée;

3.7.    Organe fédéral

L’autorité ou le service fédéral ainsi que la personne en tant qu’elle est chargée d’une tâche de la Confédération;

3.8.     Maître du fichier

La personne privée ou l’organe fédéral qui décide du but et du contenu du fichier

4. Principes

L’article 4 LPD prévoit que tout traitement de données doit être licite. Ce dernier doit être effectué conformément aux principes de la bonne foi et de la proportionnalité.

Les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.

La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.

Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu’il s’agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.

5. Exactitude des données

Au sens de l’article 5 LPD, celui qui traite des données personnelles doit s’assurer qu’elles sont correctes. Il prend toute mesure appropriée permettant d’effacer ou de rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. Toute personne concernée peut par conséquent requérir la rectification des données inexactes.

Dès lors, tout employé qui saisit des données chez GVA est responsable de leur exactitude. Il corrige immédiatement celle-ci s’l s’aperçoit d’une erreur ou si celle-ci lui est communiquée par l’intéressé.

6. Protection et Sécurité des données

Conformément à l’article 7 LPD, les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Quant à la sécurité des données résulte de la sauvegarde des données. La sauvegarde des données est la somme de toutes les mesures visant à protéger le contenu et l’organisation des données traitées contre une perte de la confidentialité, de l’intégrité et de la disponibilité.

6.1.    Confidentialité

Les données des collaborateurs ainsi que celles des participants aux mesures d’insertion sont confidentielles. Seules les personnes habilitées à traiter ces données peuvent y accéder.

Les données stockées sous forme numérique dans le système de gestion de GVA ne sont accessibles qu’aux collaborateurs disposant des droits d’accès nécessaires à l’exercice de leurs activités. GVA veille à mettre en place des emplacements de fichiers sécurisés, de sorte que ceux-ci ne puissent pas être accessibles à des personnes non autorisées.

Quant aux données papiers, elles sont stockées dans des armoires fermées à clé en tout temps et dont seul le personnel habilité dispose d’une clé.

6.2.    Contrôle d’accès

Accès aux données électroniques :

Les collaborateurs disposent d’un mot-de-passe individuel.

Les données électroniques sont stockées sur un Cloud hébergé chez de Ganesh Hosting. Les serveurs se trouvent en suisse (canton de Berne).

Accès aux données format papier :

Accès aux données sous format papier : elles sont accessibles au personnel autorisé. La (les) clé(s) sont conservées dans un endroit unique, connu uniquement des collaborateurs habilités (voir chiffre 1.6.1 ci-dessus).

6.3.    Copie ou transfert de données

Le transfert des données est réglé de la manière suivante : il est strictement interdit de copier des données personnelles sur des supports externes qu’il s’agisse de données contenues dans une base de données, dans un fichier sur le périphérique de stockage général ou papier. En l’état et sous réserve de maîtriser la technologie, GVA renonce à stocker des données sur un Cloud.

En cas de besoin, la copie doit être justifiée et l’accord de la direction doit être obtenu par écrit avant le transfert.

Le transfert des données est uniquement permis dans le cadre de l’exercice du mandat confié par les organismes de réinsertion professionnel, c’est-à-dire dans un cadre strict de transfert et d’échange d’informations avec ces derniers.

L’échange des données du personnel est également concerné par ce règlement. Seules les données nécessaires au traitement par les autorités compétentes peuvent être transmises. Les articles 319 et suivants CO ainsi que la LPD doivent être respectés scrupuleusement.

6.4.    Sauvegarde

Les données sont stockées sur un Cloud. Elles font l’objet d’un back-up journalier en utilisation le principe du miroring – copie sur un autre disque.

6.5.    Mots de passe

Chaque collaborateur dispose d’un mot-de-passe personnel. Ce dernier, mélangeant des lettres majuscules et minuscules, des caractères numériques et des signes spéciaux (&%_ …).

Ce mot-de-passe sera réinitialisé une par année.

6.6.    Archivage

Les données sont archivées et détruites selon le plan d’archivage issu des exigences du SECO et du DGEM et OCE sur la conservation des données, en respectant les dispositions du Code des Obligations sur la conservation des données comptables et commerciales (articles 958f et suivants). L’Ordonnance concernant la tenue et la conservation des livres de comptes est également consultable à l’adresse :  RS 221.431 – Ordonnance du 24 avril 2002 concernant la tenue et la conservation des livres de comptes (Olico) (admin.ch).

6.7.    Accès aux données depuis l’extérieur et depuis des terminaux mobiles

Les employées qui sont amenés à travailler à distance ont accès aux données via le VPN. Ce dernier est installé par la société It-koncept selon les normes en vigueur.

6.8.    Revue et contrôle

Une revue annuelle des éléments de sécurité ainsi que de leur traitement est prévue. Le contrôle des éléments est intégré dans le SCI (système de contrôle interne).

7. Traitement des données par un tiers

Le traitement de données personnelles peut être confié à un tiers pour autant qu’une convention ou la loi le prévoie et que les conditions suivantes soient remplies:

  • seuls les traitements que le mandant serait en droit d’effectuer lui-même sont effectués;
  • aucune obligation légale ou contractuelle de garder le secret ne l’interdit.
  • le mandant doit en particulier s’assurer que le tiers garantit la sécurité des données.
  • le tiers peut faire valoir les mêmes motifs justificatifs que le mandant.

Ce point 1.6 s’applique donc à GVA en ce qui concerne le mandat que les organismes de réinsertion professionnelle leur confient.

8. Registre des fichiers

GVA utilise les données qui lui sont transmises dans le cadre des mesures d’insertion qu’elle gère. GVA respecte donc les exigences du SECO, du DGEM et OCE concernant la protection des données.

Ces éléments font également parties de notre système de contrôle interne (SCI).

9. Constatation d’un bris de sécurité ou de confidentialité

En cas de

  • découverte de données confidentielles non sécurisées,
  • découverte de données illégales,
  • découverte de fuite non intentionnelle de données confidentielles (avérées ou possible),
  • découverte de fuite intentionnelle (par vol, perte ou manipulation),

veuillez avertir immédiatement la Direction, et le cas échéant, arrêter la transmission des données ou bloqué l’accès à ces données.

10. Sanctions

Le non-respect volontaire ou par négligence de cette instruction peut entraîner des sanctions allant jusqu’au licenciement.