La société ASSEPRO AG, y compris ses filiales (ci-après ASSEPRO), considérant la nouvelle loi sur la protection des données, adopte en sa qualité d'employeur la directive particulière suivante, qui s'adresse à tous les employés d'ASSEPRO. Lors du traitement de données personnelles, les employés doivent respecter la loi fédérale sur la protection des données (LPD), l'ordonnance sur la protection des données (OPDo) et les principes et instructions figurant dans la présente directive de protection des données.

Toutes les données personnelles d'ASSEPRO, de ses clients et de ses partenaires commerciaux sont soumises à la confidentialité.

Les données personnelles sont toutes les indications qui se rapportent à une personne physique identifiée (attribuées à une personne) ou identifiable (on peut conclure à la personne sur la base d'informations supplémentaires).

Sont notamment concernées les indications telles que le nom, le prénom, l'adresse, le numéro de téléphone, l'adresse e-mail, la date de naissance, l'état civil, la date du mariage et du divorce, les données relatives aux enfants, les maladies et accidents, le numéro de police, les données sur la date et la cause d'un sinistre, la blessure ou le décès d'une personne, les données salariales et financières, les coordonnées bancaires, le numéro de passeport, les plaques d'immatriculation, le type de navigateur web, l'adresse IP, etc., dans la mesure où il est possible d'en tirer des conclusions sur une personne physique.

Certains types de données personnelles sont qualifiés de “données personnelles sensibles” dans la législation sur la protection des données. Il s'agit des données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, des données relatives à la santé (p. ex. maladie, accident), à la sphère intime ou à l'appartenance à une race ou une ethnie, des données génétiques (p. ex. analyse ADN), des données biométriques (p. ex. empreintes digitales numériques, reconnaissance faciale) qui identifient une personne physique de manière univoque, des données relatives aux poursuites et sanctions administratives et pénales (p. ex. procédures pour fraude fiscale ou lésions corporelles) et des données sur les mesures d'aide sociale (p. ex. prestations complémentaires perçues).

Le traitement des données personnelles inclut toute manipulation de données personnelles, quels que soient les moyens et procédés utilisés. Sont notamment concernés la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la divulgation, l'archivage, la suppression ou la destruction de données.

Les données personnelles doivent être traitées licitement. La licéité du traitement de données personnelles peut reposer sur une loi [p. ex. loi fédérale sur la prévoyance professionnelle vieillesse, survivants et invalidité (LPP), loi fédérale sur le contrat d'assurance (LCA), Code des obligations (CO), etc.], sur un contrat (p. ex. mandat de courtage, mandat de conseil, mandat à honoraires, etc.) ou sur un consentement exprès de la personne concernée.

Les données personnelles doivent être traitées selon le principe de la bonne foi. Autrement dit, elles ne peuvent être traitées que conformément aux dispositions légales ou aux accords contractuels.

Les données personnelles doivent être traitées de manière proportionnelle. Autrement dit, elles ne peuvent être traitées que dans la mesure nécessaire et objectivement appropriée pour satisfaire aux obligations légales et contractuelles et le traitement des données doit être raisonnablement proportionnel à l'atteinte à la personnalité et aux droits fondamentaux de la personne concernée.

Les données personnelles ne peuvent être traitées qu'à des fins déterminées et identifiables par la personne concernée. Autrement dit, elles ne peuvent être traitées que pour la finalité pour laquelle elles ont été collectées. Les données personnelles doivent être détruites ou anonymisées dès qu'elles ne sont plus nécessaires à la finalité du traitement et qu'il n'existe plus aucune obligation de conservation légale ou aucun droit à une conservation supplémentaire.

Quiconque traite des données personnelles doit s'assurer de leur exactitude. Les données personnelles qui sont inexactes ou incomplètes doivent être rectifiées, effacées ou détruites.

Lors de la manipulation de données personnelles, les instructions suivantes doivent être respectées :

Les appareils de travail incluent les ordinateurs, les notebooks, les tablettes et les smartphones privés et mis à disposition par l'employeur.

1. Les appareils de travail contenant des données personnelles doivent être protégés contre tout accès non autorisé.
2. Les appareils de travail ne peuvent être transmis à des personnes tierces non autorisées.
3. Les employés doivent toujours bloquer leur écran lorsqu'ils quittent leur poste de travail, y compris lorsqu'ils sont en télétravail ou en déplacement.
4. L'utilisation de clés USB est en principe interdite.
5. Il est en principe interdit de copier des données personnelles sur des supports de données privés.
6. Il est en principe interdit d'externaliser des données personnelles dans des services de cloud public.
7. En cas de perte ou de vol d'un appareil de travail, les employés doivent immédiatement avertir le service informatique d'ASSEPRO (support@assepro.com) et la conseillère à la protection des données d'ASSEPRO.

1. Les employés ne peuvent pas transmettre les e-mails professionnels à leur propre adresse e-mail privée.
2. Les données personnelles sensibles doivent être transmises sous forme cryptée.
3. En cas d'appels téléphoniques dans des lieux publics, les employés ne peuvent citer aucun nom de client ou mentionner de quelconques indications permettant de tirer des conclusions sur un client.

1. Tous les mots de passe et codes PIN doivent être traités en toute confidentialité.
2. Les employés doivent choisir des mots de passe sûrs conformément aux instructions du service informatique.
3. Les mots de passe et codes PIN ne peuvent être communiqués à aucun tiers, y compris à d'autres membres du personnel d'ASSEPRO.
4. Si un mot de passe ou un code PIN est divulgué ou s'il est soupçonné que des tiers ont pris connaissance d'un mot de passe ou d'un code PIN ou qu'un mot de passe a été saisi sur un site web non sûr, les employés doivent immédiatement avertir le service informatique d'ASSEPRO (support@assepro.com) et la conseillère à la protection des données d'ASSEPRO.

Aucune donnée personnelle ne doit être saisie ou traitée dans des outils web en ligne tels que ChatGPT, DeepL, Smallpdf et autres.

1. Après la fin du travail, les documents physiques contenant des données personnelles ne peuvent être conservés que dans des locaux ou des contenants fermés.
2. Les employés doivent détruire personnellement de manière sûre ou faire détruire par un destructeur de documents certifié les documents qui ne sont pas nécessaires.

1. L'accès au bâtiment et aux bureaux ne peut être accordé qu'aux personnes autorisées.
2. Les visiteurs doivent être accompagnés pendant tout le temps passé dans le bâtiment et les bureaux.

Tous les employés doivent immédiatement transmettre toute demande formelle d'une personne concernée se rapportant à la protection des données, comme une demande de renseignements, de rectification, de remise ou d'effacement, à la conseillère à la protection des données d'ASSEPRO. Les demandes de renseignements doivent recevoir une réponse dans un délai de 30 jours. Il incombe aux employés de faire en sorte que les demandes de renseignements qu'ils reçoivent soient transmises à la conseillère à la protection des données d'ASSEPRO en temps utile.

Les personnes concernées peuvent émettre une demande verbalement ou par écrit. Les demandes verbales doivent être consignées sous la forme d'une note et transmises immédiatement à la conseillère à la protection des données d'ASSEPRO.

Seule la conseillère à la protection des données d'ASSEPRO peut répondre à une demande formelle émise au titre de la législation relative à la protection des données. Les employés y collaborent dans la mesure nécessaire.

Il y a violation de la sécurité des données lorsque des données personnelles sont perdues, effacées, détruites, modifiées, divulguées ou rendues accessibles à des personnes non autorisées de manière accidentelle ou illicite. Une telle violation peut par exemple résulter d'un envoi à un mauvais destinataire, d'un hameçonnage, d'une cyberattaque ou d'une perte ou d'un vol d'un appareil de travail lorsque des personnes non autorisées accèdent ou peuvent accéder à des données personnelles.

En cas de violation pertinente de la sécurité des données, la conseillère à la protection des données d'ASSEPRO doit immédiatement être informée. Les employés ont une obligation de communication, y compris s'il existe seulement un soupçon de violation de la sécurité des données.

En cas de questions sur la protection des données et sur la présente directive de protection des données, les employés peuvent s'adresser à la conseillère à la protection des données d'ASSEPRO :

Leyla Iljazi, avocate, MLaw
ASSEPRO AG / Legal & Compliance
Schindellegistrasse 3
8808 Pfäffikon SZ
datenschutz@assepro.com

Tout acte contraire à la présente directive commis intentionnellement ou par négligence grave est sanctionné selon le droit du travail (avertissement, licenciement ordinaire ou sans préavis).

De surcroît, les autorités cantonales de poursuite pénale peuvent infliger une amende allant jusqu'à CHF 250 000.- aux employés fautifs en cas de violation intentionnelle des dispositions légales sur la protection des données, et notamment du secret professionnel.

La présente directive entre immédiatement en vigueur.

L'employeur se réserve le droit d'adapter et de compléter en tout temps la présente directive de protection des données.

Pfäffikon SZ, le 23 septembre 2024 / GGL