Directive sur la protection des données

Généralités

  1. Introduction
    1. Les données disponibles dans l’entreprise sont d’une grande valeur pour l’entreprise. Ces données doivent donc être protégées contre des accès non autorisés et autres menaces.
    2. Les clients, partenaires et collaborateurs de l’entreprise attendent que les données confiées à l’entreprise soient particulièrement protégées et qu’elles soient traitées avec soin.
    3. Pour toute question relative à la protection des données ou au traitement des données personnelles, vous pouvez contacter le responsable de la protection des données de CT Chemie GmbH, Gewerbestrasse 3, 3423 Ersigen.
  2. Objectif de la directive sur la protection des données
      1. La présente directive sur la protection des données vise à créer des standards uniformes pour la protection des données dans l’entreprise.
      2. En respectant les normes définies dans la présente directive de protection des données, l’entreprise remplit ses obligations en matière de protection des données et veille à ce que les intérêts et les droits des personnes concernées soient suffisamment pris en compte.
      3. Le respect de la présente directive sur la protection des données est une condition préalable pour l’échange sécurisé de données personnelles au sein de l’entreprise et avec des tiers.
  3. Champ d’application de la directive sur la protection des données
    1. La présente directive sur la protection des données s’applique à tout traitement de données personnelles, comprenant notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données. Elle s’applique à tous les types de données personnelles, notamment les données relatives aux collaborateurs, clients, membres, fournisseurs et autres partenaires commerciaux.
    2. La directive sur la protection des données décrit, concrétise et complète également les dispositions légales, notamment celles de la loi fédérale sur la protection des données (LPD).
  4. Définitions
    1. Les données personnelles au sens de la présente directive d’entreprise sont toutes les indications qui se rapportent à une personne physique identifiée ou identifiable.
    2. Les personnes concernées sont les personnes physiques au sujet desquelles les données personnelles sont traitées.
    3. Le responsable est une personne privée qui, seule, seule ou conjointement avec d’autres, décide du but et des moyens du traitement.
    4. Le sous-traitant est un tiers qui traite les données personnelles pour le compte du responsable du traitement.

Règles de base du traitement des données

  1. Légalité
    1. Les données personnelles doivent être traitées de manière licite. Le traitement n’est considéré comme licite que s’il est justifié par (a) le consentement de la personne concernée, par (b) un intérêt privé ou public prépondérant ou par (c) la loi.
  2. Transparence
    1. Le traitement des données doit en principe être effectué de manière à ce que la personne concernée en ait connaissance.
  3. Proportionnalité
    1. Lors du traitement des données personnelles, le principe de proportionnalité doit être respecté. Conformément à ce principe, seules des données nécessaires au but poursuivi peuvent être collectées.
    2. En outre, les données personnelles ne peuvent être conservées que pendant la durée nécessaire à la réalisation du but poursuivi. (cf ci-après).
  4. Finalité
    1. Les données personnelles ne peuvent être collectées que dans un but précis et identifiable par la personne concernée et elles ne peuvent être traitées que de manière compatible avec ce but.
    2. Si les données personnelles ne sont plus nécessaires au but du traitement, elles doivent être détruites ou rendues anonymes.
  5. Exactitude
    1. Tous les collaborateurs doivent veiller à ce que les données personnelles soient exactes et tenues à jour.
    2. Toutes les mesures raisonnables doivent être prises pour rectifier ou détruire des données inexactes ou incomplètes.  
  6. Sécurité des données
    1. Pour l’entreprise, il est très important que la sécurité des données soit garantie à tout moment. Dans ce contexte, les données personnelles doivent être protégées par des mesures techniques et organisationnelles, notamment contre la perte, l’accès non autorisé et d’autres dangers.
    2. Les mesures de protection concrètes doivent être documentées pour les différentes opérations de traitement des données et l’adéquation doit être vérifiée.
    3. La responsable de l’informatique peut édicter des directives plus strictes dans l’intérêt de la sécurité des données, notamment en ce qui concerne l’utilisation de systèmes informatiques dans l’entreprise.
  7. Consentement et opposition
    1. Le consentement de la personne concernée au traitement des données par une entreprise n’est en principe pas nécessaire, même pas pour des données personnelles sensibles.
    2. En revanche, si la personne concernée s’oppose expressément à un traitement des données, celui-ci n’est justifié que s’il existe des intérêts prépondérants du responsable ou une base légale.
  8. Obligation d’information
    1. Les personnes concernées doivent, dans la mesure du possible, être informées au préalable du but pour lequel des données personnelles les concernant sont collectées et traitées. Si les données ne sont pas collectées directement auprès de la personne concernée, celle-ci est informée dans un délai d’un mois à compter de la réception des données. 
    2. Si la personne concernée rend ses données personnelles accessibles au responsable de sa propre initiative, elle est considérée comme informée.
    3. Si le but du traitement des données change, les personnes déjà informées doivent l’être à nouveau.
  9. Sous-traitance
    1. Lorsque des prestataires de service de l’entreprise (appelés sous-traitants) traitent des données personnelles pour le compte de celle-ci, il convient de noter que les mêmes exigences de diligence que celles à l’entreprise responsable s’appliquent également au sous-traitant. Il convient notamment de garantir par contrat la finalité et la sécurité des données.
  10. Transmission de données personnelles à l’étranger
    1. La transmission de données personnelles à l’étranger n’est autorisée que dans des États dans lesquels le Conseil fédéral a constaté un niveau de protection des données similaire à celui de la Suisse. Le respect des normes suisses de protection des données peut en outre est atteint, entre autres, par la conclusion d’accords contractuels supplémentaires.  

Processus internes

  1. Exigences envers les collaborateurs
    1. Tous les collaborateurs de l’entreprise sont tenus de respecter la protection des données. Ils sont notamment informés qu’il est interdit d’utiliser des données personnelles à des fins privées, de les transmettre à des personnes non autorisées ou de les rendre accessibles à des personnes non autorisées. L’obligation de respecter la confidentialité s’applique au-delà de la fin de l’engagement.
    2. Au sein l’entreprise également, il faut veiller à ce que l’accès aux données personnelles soit réservé aux collaborateurs qui en ont besoin pour accomplir leurs tâches pour l’entreprise.
    3. Tous les collaborateurs doivent être formés et sensibilisés aux questions de protection des données dès leur recrutement et régulièrement par la suite.  
  2. Registre des activités de traitement
    1. L’entreprise tient un registre des activités de traitement en relation avec les données personnelles. Doivent y être consignés : l’identité du responsable ou du sous-traitant, le but du traitement, la description des catégories de personnes concernées et des catégories de données personnelles traitées, les catégories de destinataires, la durée de conservation ou les critères pour la déterminer, si possible la description des mesures prises pour assurer la sécurité des données ainsi que les éventuels pays de destination si les données sont envoyées à l’étranger. Le registre doit toujours être mis à jour et fournir une vue d’ensemble des activités liées à la protection des données dans l’entreprise.
  3. Protection des données dès la conception, protection des données par défaut et analyse d’impact sur la vie privée
    1. Des systèmes utilisés pour le traitement des données sont à concevoir dès le départ de manière à ce que la protection des données puisse être respectée. Les mesures techniques et organisationnelles doivent notamment être adaptées à l’état de la technique, à la nature et à l’ampleur du traitement des données ainsi qu’au risque que le traitement comporte pour la personnalité ou les droits fondamentaux des personnes concernées (Privacy by Design).
    2. Les responsables doivent choisir les paramètres par défaut de l’appareil ou du logiciel de manière à ce que le traitement des données personnelles soit limité au minimum nécessaire pour l’utilisation prévue, à moins que la personne concernée n’en décide autrement. Cela concerne par exemple l’acceptation de cookies sur le site web.
    3. Une analyse d’impact relative à la protection des données (AIPD) doit être effectuée et documentée, notamment lorsqu’un traitement de données prévu présente un risque élevé pour la personnalité et les droits fondamentaux des personnes concernées.  

Droits des personnes concernées

  1. Droit d’accès
    1. Sur demande, une personne concernée doit être informée si des données personnelles la concernant sont traitées par l’entreprise. Si c’est le cas, la personne concernée a le droit d’accéder aux données personnelles en question. Le droit d’accès consiste à savoir si des données personnelles sont traités et, si oui, lesquelles, afin que la personne concernée puisse faire valoir ses autres droits. Il s’agit, outre les données personnelles en tant que telles, des informations sur l’identité du responsable, le but du traitement, la durée de conservation, l’origine des données et, le cas échéant, des informations sur des décisions individuelles automatisées et les destinataires (également sous forme de catégories).
    2. Lors de la communication des renseignements, il convient de s’assurer que l’identité de la personne concernée est vérifiée. Il convient en outre de veiller à ce qu’aucune donnée personnelle de tiers ne soit divulguée dans le cadre de la communication de renseignements.  En règle générale, les renseignements doivent être fournis gratuitement et dans un délai de 30 jours.  
  2. Portabilité des données / droit à la remise et à la transmission des données
    1. Les personnes concernées peuvent demander à récupérer les données qu’elles ont communiquées à l’entreprise dans un format électronique courant, lorsque les données sont traitées de manière automatisée et que la personne concernée a donné son consentement au traitement ou que le traitement a été effectué dans le cadre d’un contrat correspondant.
  3. Droit à la rectification
    1. Conformément à l’art. 32 al. 1 APD, une personne concernée peut exiger que des données personnelles inexactes soient rectifiées.
  4. Droit à la suppression des données
    1. Lorsque des données personnelles sont traitées contrairement à la déclaration de volonté expresse de la personne concernée et qu’il n’existe pas de base légale ni aucun intérêt privé prépondérant de tiers, la personne concernée peut demander la suppression de ses données personnelles.

Compétence

  1. Responsabilité
    1. La responsabilité du respect des dispositions de la présente directive sur la protection des données incombe en premier lieu aux collaborateurs qui sont chargés du traitement des données.
    2. Tous les collaborateurs de l’entreprise doivent veiller au respect de la présente directive sur la protection des données et contribuer ainsi à l’établissement de normes élevées et uniformes en matière de protection des données dans toute de l’entreprise.
    3. En cas de violation des obligations légales en matière de protection des données, les contrevenants s’exposent à des conséquences pénales (amende jusqu’à CHF 250’000.-) et l’entreprise à des conséquences civiles (pouvant aller jusqu’à des dommages et intérêts) ainsi qu’à des atteintes à la réputation. La responsabilité pénale incombe en première lieu à la personne physique, c’est-à-dire au collaborateur délibérément fautif. Les violations de la protection des données peuvent également avoir des conséquences disciplinaires internes à l’entreprise.
  2. Signalement d’infraction et collaboration avec les autorités de surveillance
    1. Les collaborateurs doivent immédiatement informer leur supérieur hiérarchique ou le responsable de la protection des données s’ils ont connaissance d’une infraction à la présente directive sur la protection des données ou aux dispositions légales qui se réfèrent à la protection de données personnelles à caractère personnel.
    2. Des violations de la sécurité des données (p.ex. la divulgation à des personnes non autorisées, la perte de données, une cyberattaque, etc.), qui font courir aux personnes concernées un risque élevé pour leur personnalité ou leurs droits fondamentaux doivent être signalés par l’entreprise au PFPDT « dans les meilleurs délais », c’est-à-dire rapidement.

Autres dispositions

  1. Publication
    1. La présente directive d’entreprise doit être mise à disposition de tous les collaborateurs de l’entreprise par des moyens appropriés.
    2. Il n’est pas prévu de publication générale de la présente directive sur la protection des données.
  2. Modifications
    1. L’entreprise se réserve le droit de modifier la présente directive sur la protection des données si nécessaire. Une modification peut notamment s’avérer nécessaire pour répondre à des exigences légales, à des demandes des autorités de surveillance ou à des processus internes à l’entreprise.
    2. Il convient également d’examiner à intervalles réguliers dans quelle mesure des changements technologiques rendent une adaptation de la présente directive d’entreprise nécessaire.