Objet et champ d’application
FART SA, ci-après dénommée « l’Organisation », s’engage à respecter les lois et règlements applicables en matière de protection des données personnelles dans les pays où elle opère, en l’occurrence le PnLPD Suisse.
Cette politique définit les principes fondamentaux selon lesquels l’organisation traite les données personnelles de ses clients, fournisseurs, partenaires commerciaux, employés et autres personnes, et indique les responsabilités de ses départements et employés dans le traitement des données personnelles.
Cette politique s’applique à l’organisation et à ses filiales (directement ou indirectement) qui exercent des activités en Suisse, dans l’Espace économique européen ou qui traitent des données personnelles de personnes concernées dans cet espace.
Les destinataires de cette procédure sont tous les employés, temporaires ou permanents
Les principes de la nLPD
Les principes de protection des données définissent les responsabilités fondamentales (obligation de rendre compte) des organisations qui traitent des données à caractère personnel. « Le responsable du traitement des données est responsable du respect de ces principes et doit être en mesure de démontrer que ses opérations de traitement sont conformes à ces principes ».
Légalité, équité et transparence
Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente par rapport à la personne concernée.
Limitation des finalités
Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
Minimisation des données
Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Lorsque cela est possible pour réduire les risques pour les personnes concernées, l’organisation doit appliquer l’anonymisation ou la pseudonymisation aux données à caractère personnel.
Exactitude
Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour ; des mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées en temps utile.
Limitation de la durée de conservation
Les données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.
Intégrité et confidentialité
Compte tenu de l’état de la technologie et des autres mesures de sécurité disponibles, des coûts de mise en œuvre et de la probabilité et de la gravité des risques pour les données à caractère personnel, l’organisation doit utiliser des mesures techniques ou organisationnelles appropriées pour traiter les données à caractère personnel de manière à assurer une sécurité adéquate des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou l’endommagement accidentels.
Responsabilités
Le responsable du traitement des données est responsable du respect de ces principes et doit être en mesure de démontrer que ses opérations de traitement sont conformes à ceux-ci.
Collecte
L’organisation doit s’efforcer de collecter le moins de données à caractère personnel possible. Si des données à caractère personnel sont collectées par un tiers, le responsable du traitement doit s’assurer que les données à caractère personnel sont collectées conformément à la loi.
Utilisation, stockage et élimination
L’organisation doit préserver l’exactitude, l’intégrité, la confidentialité et la pertinence des données à caractère personnel en fonction de la finalité du traitement. Des mécanismes de sécurité adéquats doivent être utilisés pour protéger les données à caractère personnel contre le vol ou l’utilisation abusive et pour prévenir les violations de données à caractère personnel. Le contrôleur des données est responsable du respect des exigences énumérées dans la présente section.
Divulgation à des tiers
Lorsque l’organisation fait appel à un fournisseur tiers ou à un partenaire commercial pour traiter des données à caractère personnel en son nom, le responsable du traitement doit s’assurer que cette partie prend des mesures de sécurité adéquates pour protéger les données à caractère personnel en fonction des risques associés. À cette fin, un questionnaire de conformité doit être utilisé.
Le fournisseur ou le partenaire commercial ne traite les données à caractère personnel que pour remplir ses obligations contractuelles à l’égard de l’organisation ou selon les instructions de celle-ci, et non à d’autres fins. Lorsque l’organisation traite des données à caractère personnel conjointement avec un tiers indépendant, elle précise explicitement les responsabilités respectives dans le contrat correspondant ou dans tout autre document juridiquement contraignant, tel que l’accord de traitement des données du fournisseur.
Transfert transfrontalier de données à caractère personnel
Des garanties appropriées, y compris la signature d’un accord de transfert de données comme l’exige l’Union européenne, doivent être prises avant de transférer des données à caractère personnel de la Confédération suisse et de l’Espace économique européen (EEE) et, si nécessaire, l’autorisation doit être obtenue de l’autorité chargée de la protection des données. L’entité qui reçoit les données personnelles doit respecter les principes de traitement des données personnelles énoncés dans la procédure de transfert transfrontalier de données.
Droits d’accès des personnes concernées
Lorsqu’elle agit en tant que responsable du traitement des données, l’organisation est tenue de fournir aux personnes concernées un mécanisme d’accès raisonnable leur permettant d’accéder à leurs données à caractère personnel et de les mettre à jour, de les corriger, de les supprimer ou de les transmettre, le cas échéant ou si la loi l’exige. Le mécanisme d’accès sera détaillé dans la procédure de demande d’accès de la personne concernée.
Portabilité des données
Les personnes concernées ont le droit de recevoir, sur demande, une copie des données qu’elles ont fournies, dans un format structuré, et de transmettre gratuitement ces données à un autre responsable du traitement. Le responsable du traitement est chargé de veiller à ce que ces demandes soient traitées dans un délai d’un mois, qu’elles ne soient pas excessives et qu’elles n’affectent pas les droits d’autres personnes en matière de données à caractère personnel.
Droit à l’oubli
Sur demande, la personne concernée a le droit d’obtenir de l’organisation l’effacement de ses données à caractère personnel. Lorsque l’organisation agit en tant que responsable du traitement, elle doit prendre les mesures nécessaires (y compris des mesures techniques) pour informer les tiers qui utilisent ou traitent ces données afin qu’ils se conforment à la demande.
Organisation et responsabilité
La responsabilité de garantir le traitement adéquat des données à caractère personnel incombe à toute personne travaillant au sein de l’organisation ou en son nom et ayant accès aux données à caractère personnel qu’elle traite.
Le conseil d’administration prend des décisions et approuve les stratégies générales de l’organisation en matière de protection des données.
Le conseiller à la protection des données DPD (nommé en interne ou en externe) ou tout autre employé désigné comme personne de contact pour le système de gestion de la confidentialité PIMS est responsable de la gestion du programme de protection des données ainsi que de l’élaboration et de la promotion des procédures de protection des données de bout en bout.
La personne responsable du présent document est le contrôleur des données, qui est chargé de le vérifier et, si nécessaire, de le mettre à jour au moins une fois par an.
