GMSA

Charte de protection des données

Groupe Minoteries SA et les autres entités du groupe GMSA récoltent et utilisent certaines informations concernant des personnes physiques, comme des fournisseurs ou des employés.

Cette Charte de Protection des Données décrit comment des données personnelles sont récoltées, traitées et conservées de façon conforme aux standards de GMSA pour la protection des données et pour se conformer à la loi fédérale suisse sur la Protection des Données (LPD) et le Règlement Général pour la Protection des Données (RGPD).

Cette Charte de Protection des Données s’applique au siège social de GMSA, à toutes les autres entités du groupe GMSA. Tous les contractants, les agents et toutes les personnes travaillant pour le compte de GMSA doivent aussi s’engager à respecter cette Charte.

La présente Charte ne remplace pas mais complémente les lois nationales et européennes sur la protection des données. La législation nationale applicable aura préséance dans le cas de divergences avec cette Charte ou si elle impose des exigences plus strictes.

Glossaire

  • Données personnelles : toute information relative à une personne physique identifiée ou identifiable, y compris son nom, sa date de naissance, son adresse postale ou son numéro de téléphone, qui peut être utilisée pour identifier une personne. Les personnes morales (sociétés) ne sont pas concernées.
  • Données sensibles : toute information relative à la race ou l’origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’affiliation à un syndicat, la santé, la vie ou l’orientation sexuelle, les poursuites ou sanctions pénales et administratives à l’encontre une personne, et les mesures d’aide sociale. Les données biométriques utilisées uniquement pour identifier une personne physique sont aussi considérées comme des données sensibles.
  • Traitement  : toute opération ou ensemble d’opérations qui sont effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit ou non par des moyens automatisés, telle que la collecte, l’enregistrement, l’organisation, la structuration, l’archivage, l’adaptation ou l’altération, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion, la combinaison, la restriction, l’effacement ou la destruction.
  • Responsable du traitement : personne physique ou morale qui, de façon indépendante ou avec d’autres, détermine le but du traitement de données personnelles et les moyens pour y parvenir.
  • Destinataire : personne physique ou morale à qui des données personnelles sont divulguées, que ce soit une tierce partie ou non.

    • Principes pour traiter des données personnelles

    Légalité, équité et transparence :

    Les données personnelles doivent être collectées et traitées de manière légale et équitable. Chaque personne concernée doit être informée de la manière dont ses données sont traitées. En général, les données personnelles doivent être collectées directement auprès de la personne concernée. Lors de la collecte des données, la personne concernée doit connaître ou être informée : de l’identité du responsable du traitement ; de la finalité du traitement des données ; des tiers ou des catégories de tiers auxquels les données peuvent être transmises.

    Limitation de la finalité :

    Les données personnelles ne peuvent être collectées qu’à des fins spécifiques, explicites et légitimes et ne peuvent pas être ultérieurement de manière incompatible avec ces objectifs.

    Les données personnelles qui ne sont plus nécessaires après l’expiration des périodes légales ou pour l’exécution de processus requis par le business doivent être supprimées.

    Minimisation des données :

    Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées. Les données personnelles ne peuvent pas être collectées à l’avance et stockées pour d’éventuelles utilisations futures, sauf si requis ou autorisé par la législation nationale.

    Exactitude :

    Les données personnelles enregistrées doivent être exactes et tenues à jour. Des mesures appropriées doivent être prises pour garantir que les données personnelles inexactes soient supprimées, corrigées ou mises à jour.

    Limite de stockage :

    Les données personnelles ne doivent être conservées sous une forme permettant l’identification des personnes que pour la durée pendant laquelle elles sont nécessaires. Elles ne peuvent être stockées pendant de plus longues périodes uniquement à des fins d’archivage d’intérêt public, de recherche scientifique ou historique ou à des fins statistiques. A défaut, les données à caractère personnel ne peuvent être conservées pour une durée illimitée que si elles ont été rendues irréversiblement anonymes.

    Intégrité et confidentialité :

    Les données doivent être traitées de manière confidentielle et protégées par des mesures techniques et organisationnelles appropriées empêchant tout accès, traitement ou distribution non autorisé ou illégal, ainsi que toute perte, destruction ou détérioration accidentelles.

    1. Traitement des données personnelles

    Les données personnelles de clients, contractants et employés sont traitées dans les circonstances suivantes :

    1.1.Consentement

    Les données personnelles peuvent être traitées lorsque la personne a consenti au traitement pour un ou plusieurs objectifs spécifiques. Le consentement doit être donné librement, de manière spécifique et informée. La déclaration de consentement doit être soumise volontairement et obtenue par écrit ou par voie électronique à des fins de documentation. Dans certaines circonstances, telles que les conversations téléphoniques, le consentement peut être donné verbalement, auquel cas il doit être dûment documenté.

    Pour les demandes d’emploi, lorsqu’une candidature est rejetée, les données du candidat doivent être effacées, sauf si celui-ci a expressément accepté que ses données restent accessibles pendant une période maximale de deux (2) ans, à l’expiration de laquelle les données doivent être supprimées.

    1.2.Relations contractuelles

    Les données personnelles des prospects, clients, fournisseurs et employés peuvent être traitées afin d’établir, exécuter et résilier un contrat.

    Les données traitées seront toujours liées à l’objectif du contrat conclu.

    1.3.Autorisation ou obligation légale

    Le traitement des données à caractère personnel est autorisé lorsque la législation suisse le demande, l’exige ou le permet, et dans le respect des dispositions légales applicables.

    1.4.Exécution d’une tâche dans l’intérêt public

    Les données à caractère personnel peuvent également être traitées si elles sont nécessaires à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique dévolue au responsable du traitement (par exemple, les services d’inspection gouvernementaux).

    2. Traitement de données personnelles sensibles

    Les données sensibles sont notamment les données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance à un syndicat, à la santé et à la vie sexuelle d’une personne. En outre, les données relatives aux condamnations pénales et aux infractions ne peuvent être traitées que si cela est autorisé par le droit suisse.

    Les données personnelles sensibles ne peuvent être traitées que dans les cas suivants :

  • La personne a donné son consentement explicite ;
  • Elle est nécessaire aux fins de l’exécution des obligations et de l’exercice de droits spécifiques du responsable du traitement ou d’un employé dans les domaines de l’emploi, de la sécurité sociale et de la protection sociale, conformément à la législation applicable en la matière ;
  • Elle est nécessaire pour l’établissement, l’exercice ou la défense de droit légaux concernant un individu.

    • 3. Transmission de données personnelles à des affiliés ou des tiers

    GMSA ne vend généralement pas, ne partage pas et ne distribue pas, d’une manière ou d’une autre, des données personnelles à des tiers.

    Exceptionnellement, GMSA peut faire appel à des tiers pour le traitement de ces données conformément à ses instructions spécifiques, lorsque cela est légalement possible, en poursuivant le(s) but(s) pour lequel (lesquels) les données ont été initialement collectées. Les contrats avec ces tiers contiendront des clauses de non-divulgation garantissant que les données personnelles ne seront pas divulguées, sauf si la loi l’exige ou si expressément autorisé par GMSA. Les données personnelles peuvent également être divulguées dans le cas où GMSA serait contrainte en raison d’une loi applicable impérative, d’une décision de justice ou d’une réglementation gouvernementale, ou pour appuyer toute enquête ou procédure pénale ou autre procédure judiciaire.

    Dans certaines circonstances, il se peut que les données personnelles soient transmises à des entreprises implantées à l’étranger dans le cadre d’un traitement de données confié à un prestataire. Ces entreprises sont tenues de respecter les dispositions en vigueur en matière de protection des données autant que nous le sommes. Si, dans le pays vers lequel les données sont transmises, le niveau de protection des données n’est pas équivalent à celui prévu par la législation suisse ou européenne, nous veillons à ce que les entreprises concernées s’engagent contractuellement à garantir le même niveau de protection qu’en Suisse ou dans l’Union européenne. Pour ce faire, il est possible de recourir aux clauses contractuelles types de protection des données adoptées par la Commission européenne ou par une autorité de contrôle, ou à un code de conduite homologué et autorisé comportant l’engagement contraignant et exécutoire pris par les destinataires des données d’appliquer les garanties appropriées, ou à un mécanisme de certification autorisé comportant l’engagement contraignant et exécutoire pris par les destinataires des données d’appliquer les garanties appropriées. Par soucis d’exhaustivité, nous notons que dans le cadre de la législation américaine, les autorités américaines peuvent prendre des mesures de surveillance et accéder aux données, qui peuvent également inclure des données transférées de la Suisse ou de l’UE vers les Etats-Unis. Cela se fait sans distinction, restriction ou exception fondée sur l’objectif poursuivi et sans critères objectifs qui permettraient de limiter l’accès des autorités américaines aux données à caractère personnel et leur utilisation ultérieure à certaines fins strictement limitées qui justifieraient l’accès à ces données.

    En outre, aux Etats-Unis il n’existe aucun recours juridique pour les personnes concernées des États membres de l’UE ou de la Suisse qui leur permettrait d’accéder, de rectifier ou de supprimer des données le concernant qui font l’objet d’une action gouvernementale, et il n’existe aucune protection juridique efficace contre les droits d’accès généraux des autorités américaines.

    Nous tenons à signaler aux utilisateurs résidant en Suisse ou dans un État membre de l’UE que de l’avis des autorités compétentes en Suisse et dans l’Union européenne – en partie à cause des problèmes mentionnés dans cette section – les Etats-Unis ne disposent pas d’un niveau de protection des données adéquat. Si les destinataires des données (par exemple, Google) sont basés aux Etats-Unis ou sont censés effectuer le traitement des données pertinentes aux Etats-Unis, nous prendrons toutes les mesures raisonnables pour garantir que vos données sont protégées à un niveau approprié avec nos partenaires par des accords contractuels avec ces sociétés et, si nécessaire, par des garanties supplémentaires pour protéger les droits des personnes dont les données personnelles sont transférées vers un pays tiers.

    Nous attirons expressément votre attention sur cette situation juridique et factuelle afin que vous puissiez prendre une décision éclairée quant à votre consentement à la divulgation de vos données à des personnes qui sont domiciliées aux Etats-Unis ou qui sont susceptibles d’effectuer le traitement des données concernées aux Etats-Unis.

    4. Droit des personnes concernées

    Toute personne dont les données personnelles sont traitées a les droits suivants :

  • Toute personne peut demander les informations sur quelles données personnelles la concernant ont été stockées, sur la manière dont ces données ont été collectées et à quelles fins.
  • Si des données à caractère personnel sont transmises à des tiers, des informations doivent être fournies sur l’identité du destinataire ou les catégories de destinataires.
  • Si les données personnelles sont incorrectes ou incomplètes, la personne concernée peut demander que ces données soient corrigées ou complétées.
  • La personne peut demander la suppression de ses données si la collecte, le stockage ou le traitement de ces données n’a pas de base légale, ou si la base légale a cessé de s’appliquer. Il en va de même si la finalité du traitement des données est devenue caduque ou a cessé d’être applicable pour d’autres raisons.
  • L’individu a le droit de s’opposer au traitement de ses données. Ce point doit être pris en compte si la protection de ses intérêts prime sur l’intérêt du responsable du traitement des données en raison d’une situation personnelle particulière. Ceci ne s’applique si une disposition légale exige que les données soient traitées.
  • Lorsque des données personnelles sont collectées, traitées et utilisées sur un site web, les personnes concernées en sont informées dans le cadre de la politique de confidentialité, qui inclut des informations sur les cookies. Cette information est facilement identifiable, accessible et disponible sur le site web.

    • 5. Confidentialité et sécurité

    Les données personnelles sont soumises au secret des données. Il est interdit aux employés de GMSA d’utiliser des données à caractère personnel à des fins privées ou commerciales, de les divulguer à des personnes non autorisées ou de les mettre à disposition de toute autre manière.

    Les données personnelles sont protégées contre tout accès non autorisé et tout traitement ou toute divulgation illicite, ainsi que contre toute perte, modification ou destruction accidentelle. Ceci s’applique indépendamment du fait que les données soient traitées électroniquement ou sur papier. Avant l’introduction de nouvelles méthodes de traitement des données, en particulier de nouveaux systèmes informatiques, des mesures techniques et organisationnelles visant à protéger les données à caractère personnel de la perte sont définies et mises en œuvre.

    6. Contrôle de la protection des données

    Le respect de la Charte de Protection des Données et des lois applicables en matière de protection des données est vérifié régulièrement lors des audits sur la protection des données et d’autres contrôles.

    7. Responsabilités et sanctions

    Les organes exécutifs de GMSA sont responsables du traitement des données dans leur domaine de responsabilité. Ils sont donc tenus de veiller à ce que les exigences légales en matière de protection des données, ainsi que celles contenues dans la charte de la protection des données, soient respectées. Le personnel de direction est responsable de la mise en place des mesures organisationnelles, humaines et techniques permettant un traitement des données conforme à la protection des données.

    Le respect de ces exigences incombe aux employés concernés. Si des agences officielles effectuent des contrôles de protection des données, le conseiller à la protection des données devra en être immédiatement informé.

    8. Contact

    Pour toute question ou plainte concernant le respect par GMSA de la présente Charte Protection des Données, ou pour tout commentaire, veuillez nous contacter à l’adresse groupe@gmsa.ch.

    Conformément à l’article 27 du RGPD, nous disposons du représentant suivant pour la protection des données dans l’Espace économique européen (EEE), qui comprend l’Union européenne, la principauté du Liechtenstein, l’Islande et la Norvège, en tant que point de contact supplémentaire pour les autorités de contrôle et les personnes concernées pour les demandes en lien avec le règlement général sur la protection des données (RGPD) :

    Datenschutzpartner AG, 5742 Kölliken