Directive sur la protection des données
Gstaad Palace
1. Objectif et fondements
La présente directive sur la protection des données contient des dispositions relatives à la protection des données personnelles qui s'appliquent à Gstaad Palace (entreprise). La directive fournit aux collaborateurs les bases essentielles de la protection des données et leur permet, avec d'autres mesures et documents, d'exercer leur activité en conformité avec les directives applicables en matière de protection des données.
Comme l'entreprise traite un large éventail de données personnelles, il s'ensuit que les lois suisses sur la protection des données et, le cas échéant, d'autres directives relatives à la protection des données (par ex. les directives européennes) sont pertinentes pour l'entreprise.
2. Champ d'application
La présente directive sur la protection des données s'applique à tous les collaborateurs de l'entreprise qui traitent des données personnelles. Dans le cadre de leur contrat de travail, les collaborateurs sont tenus de respecter les dispositions légales pertinentes en matière de protection des données ainsi que les présentes directives.
3. Objet de cette directive sur la protection des données
La présente directive a pour objet le traitement de données personnelles, quels que soient le type et la forme du traitement (c'est-à-dire sur papier, numérique, oral et entièrement, partiellement ou non automatisé).
4. Définitions
La législation applicable en matière de protection des données définit certains termes importants. En principe, les termes suivants ont la même signification que ceux définis dans la loi fédérale sur la protection des données (LPD). Les termes les plus importants ont la signification suivante :
Données personnelles : Les données personnelles sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable.
Exemples : Nom, adresse, données de localisation, identifiants en ligne tels que l'identifiant de l'appareil, l'identifiant du cookie, l'adresse IP, les puces RFID, etc.
Remarque : il s'agit de personnes physiques et non de personnes morales ou d'autres entités. Toutefois, les informations relatives à la personne de contact d'un prestataire ou dans le cadre d'une autre relation B2B sont également considérées comme des données personnelles.
Données personnelles sensibles : Données personnelles des catégories suivantes :
‒ Données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales ;
‒ Données relatives à la santé, à l'intimité ou à l'appartenance à une race ou une ethnie ;
‒ Les données génétiques ;
‒ Les données biométriques qui identifient une personne physique de manière unique ;
‒ Les données relatives aux poursuites ou sanctions administratives et pénales ; et
‒ Les données relatives aux mesures d'aide sociale.
Exemples : Enregistrements de systèmes de vidéosurveillance, données sur la santé des employés, extraits de casier judiciaire des employés, etc.
Personne concernée : toute personne physique au sujet de laquelle des données personnelles sont traitées.
Exemples : Clients, collaborateurs, partenaires ou personnes de contact chez les partenaires, fournisseurs ou personnes de contact chez les prestataires, etc.
Traitement : Le traitement des données personnelles comprend toute manipulation de données personnelles, quels que soient les moyens et procédures utilisés.
Exemples : l'obtention, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données.
5. Principes régissant le traitement des données personnelles
L'entreprise et tous ses collaborateurs respectent les principes suivants lors du traitement des données personnelles :
5.1 Licéité, traitement conforme au principe de la bonne foi, transparence
Les données personnelles doivent être traitées de manière licite, loyale et compréhensible pour la personne concernée. La "traçabilité" exige notamment que la collecte des données personnelles ainsi que l'étendue et la finalité du traitement soient transparentes pour la personne concernée (par exemple au moyen d'une déclaration de confidentialité contenant les informations nécessaires sur le traitement en question). Lors de chaque traitement de données personnelles, les collaborateurs doivent donc vérifier si les personnes concernées ont été informées à ce sujet et sur les autres informations visées aux articles 8 et 9
5.2
Instructions pratiques :
Avant de traiter des données personnelles, les collaborateurs doivent s'assurer de la licéité du traitement, c'est-à-dire du respect des principes de traitement des données personnelles tels qu'ils sont énoncés dans la présente, et, le cas échéant, de la nécessité d'obtenir le consentement de la personne concernée. En outre, les collaborateurs doivent s'assurer que les personnes concernées ont été informées de manière transparente du traitement des données personnelles avant le traitement des données.
En cas de doute sur le respect de ces conditions, le traitement doit être interrompu jusqu'à ce que le service de coordination de la protection des données ait confirmé sa licéité. Font exception les traitements qui ont été explicitement déclarés licites dans d'autres instructions.
Finalité du traitement
Les données personnelles ne peuvent être collectées que pour des finalités déterminées, claires et, dans la mesure où le RGPD s'applique au traitement des données, légitimes, et un traitement ultérieur ne peut avoir lieu que dans le cadre de cette finalité. Le traitement de données pour lesquelles aucune finalité n'a été définie - par exemple dans une déclaration de confidentialité - n'est donc pas autorisé. Si des données doivent être traitées pour une autre finalité que celle qui a été définie, les collaborateurs doivent vérifier si la nouvelle finalité est encore couverte par la finalité initiale, c'est-à-dire si elle est compatible avec la finalité initiale.
Dans certaines circonstances, les données personnelles peuvent être traitées à des fins qui vont au-delà de la finalité initiale du traitement au moment de la collecte des données. Pour déterminer si le traitement est compatible avec une finalité autre que celle pour laquelle les données ont été initialement collectées, l'entreprise tient compte, entre autres, des éléments suivants:
‒ tout lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ;
‒ le contexte dans lequel les données personnelles ont été collectées, notamment en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
‒ le type de données personnelles, en particulier si des données personnelles sensibles sont traitées ;
‒ les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ; et
‒ l'existence de garanties appropriées et d'autres mesures telles que le cryptage ou la pseudonymisation.
Instructions pratiques :
Pour évaluer la licéité d'un traitement plus approfondi de données personnelles, il convient de consulter le service de coordination de la protection des données avant de commencer le traitement et d'obtenir son accord pour le traitement.
Le service de coordination de la protection des données mentionne le fondement du traitement des données personnelles concernées.
5.3 Minimisation des données
Le traitement des données personnelles doit être approprié, pertinent et limité à l'objectif fixé. Il est donc interdit de collecter ou de traiter plus de données qu'il n'est nécessaire pour la finalité du traitement.
Instructions pratiques :
Avant de traiter des données personnelles, il faut vérifier si les données qui doivent être collectées ou traitées dans le cadre du traitement sont absolument nécessaires pour le traitement. Si ce n'est pas le cas, ces données personnelles ne peuvent être traitées qu'à condition d'avoir obtenu le consentement valable des personnes concernées.
Exemples :
1) Dans la boutique en ligne, il est possible de s'abonner à une newsletter. Dans ce cas, la civilité, le nom et l'adresse e-mail sont collectés et indiqués comme données obligatoires. Pour l'envoi d'une newsletter, il suffirait toutefois que le client indique l'adresse e-mail. Afin de respecter le principe de minimisation des données, seule l'adresse e-mail peut donc être collectée en tant que donnée obligatoire. La civilité et le nom ne peuvent être collectés que sur une base volontaire.
2) Dans le magasin, le client peut demander une carte de fidélité. Outre la civilité, le nom et l'adresse, les intérêts du client sont également indiqués comme données obligatoires. Pour la création et l'administration d'une carte de fidélité, il suffirait toutefois que le client indique sa civilité, son nom et son adresse. Afin de respecter le principe de minimisation des données, seuls la civilité, le nom et l'adresse peuvent donc être collectés en tant que données obligatoires. Les intérêts du client ne peuvent être collectés que sur une base volontaire.
En cas de doute sur la possibilité de collecter certaines données en tant que données obligatoires, le traitement doit être interrompu jusqu'à ce que le service de coordination de la protection des données ait analysé le cas particulier et pris une décision à ce sujet. Sont exclus les traitements qui ont été explicitement déclarés licites dans d'autres instructions.
5.4 Exactitude des données personnelles
Les données personnelles doivent être exactes et mises à jour. Il n'existe toutefois pas d'obligation de recherche active concernant l'exactitude des données. Toutefois, s'il existe des raisons de penser que les données personnelles ne sont plus à jour, il convient d'enquêter sur ce soupçon et, le cas échéant, de rectifier les données concernées.
Instructions pratiques :
Les collaborateurs qui découvrent des données inexactes en informent leur chef de service ou les rectifient de leur propre initiative, à condition qu'ils disposent des droits de traitement correspondants et qu'il n'y ait aucun doute sur leur inexactitude.
5.5 Limitation de la conservation
Les données personnelles doivent être conservées sous une forme qui ne permette d'identifier les personnes concernées que pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées. Les données qui ne sont plus nécessaires doivent donc être effacées ou rendues anonymes. La question de savoir au bout de combien de temps les données ne sont plus nécessaires ne peut pas être généralisée et doit être définie dans des instructions spécifiques à chaque domaine ou être évaluée au cas par cas. L'entreprise et tous les collaborateurs de l'entreprise ne conservent pas les données personnelles plus longtemps qu'il n'est nécessaire aux fins pour lesquelles elles ont été collectées à l'origine ou traitées ultérieurement.
Instructions pratiques :
La durée de stockage nécessaire dépend des circonstances de chaque cas et est déterminée avec l'aide du service de coordination de la protection des données.
5.6 Intégrité et confidentialité (sécurité des données)
Les données personnelles doivent être traitées de manière à garantir une sécurité appropriée des données personnelles. Elles doivent donc être protégées par des mesures techniques et organisationnelles appropriées contre le traitement non autorisé ou illicite et contre la perte accidentelle et la destruction ou l'endommagement involontaires. Les collaborateurs doivent notamment veiller à ce que d'autres personnes, dont font partie les collaborateurs, ne puissent pas accéder à des données personnelles ou les traiter tant que leur autorisation n'est pas clairement établie.
Instructions pratiques :
Chaque collaborateur contribue à ce que la sécurité des données soit respectée dans l'entreprise. S'il est constaté que l'intégrité ou la confidentialité des données personnelles a été violée (par exemple en envoyant un e-mail contenant une liste de clients à un faux destinataire, en cas de suspicion d'hameçonnage, etc.), le service de coordination de la protection des données doit être immédiatement averti. Le service de coordination de la protection des données décide de la marche à suivre.
5.7 Obligation de documentation
La direction de l'entreprise veille à ce que les principes mentionnés soient respectés pour toutes les données personnelles. Elle est tenue de pouvoir prouver à tout moment le respect de ces principes de manière documentée.
5.8 Consentements
L'entreprise obtient les consentements nécessaires des personnes concernées en temps utile, c'est-à-dire avant de procéder à un traitement pour lequel un consentement est requis.
Si le consentement doit être explicite, il doit être donné par un acte affirmatif clair, volontaire, spécifique, éclairé et sans équivoque, par lequel la personne concernée exprime expressément son consentement au traitement des données personnelles la concernant.
Une déclaration de consentement est fournie sous une forme compréhensible et facilement accessible, dans un langage clair et simple. Il se distingue clairement des autres questions et ne contient pas de clauses abusives.
En outre, la personne concernée dispose d'une méthode simple pour retirer son consentement à tout moment.
Instructions pratiques :
Pour déterminer si les exigences en matière de consentement sont remplies, il convient notamment de tenir compte des autres instructions.
En cas de doute, les collaborateurs ne procèdent pas au traitement des données tant que le service de coordination de la protection des données n'a pas confirmé le respect des consignes.
6. Activités de traitement particulières
6.1 Traitement de données personnelles sensibles
L'entreprise ainsi que tous les collaborateurs traitent des données personnelles sensibles exclusivement après consultation du service de coordination de la protection des données, dans les conditions suivantes et uniquement dans la mesure où aucune réglementation légale ne s'oppose au traitement :
‒ la personne concernée a donné son consentement explicite au traitement des données pour une ou plusieurs finalités déterminées ;
‒ le traitement est nécessaire pour permettre à l'entreprise ou à la personne concernée d'exercer les droits qui lui sont conférés par le droit du travail et le droit de la sécurité sociale et de la protection sociale ou de s'acquitter de ses obligations à cet égard ;
‒ le traitement porte sur des données personnelles que la personne concernée a manifestement rendues publiques ; ou
‒ le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou à une action en justice.
Les collaborateurs ne traitent pas les données personnelles sensibles tant que le service de coordination de la protection des données n'a pas confirmé la licéité du traitement.
Instructions pratiques :
Avant de traiter des données personnelles sensibles, l'entreprise consulte toujours le service de coordination de la protection des données, obtient son accord pour le traitement et note le fondement du traitement des données personnelles concernées.
L'entreprise applique des mesures de sécurité renforcées lors du traitement de données personnelles sensibles.
6.2 Traitement des données personnelles d'un enfant
Les données personnelles d'un enfant ne sont en principe traitées que si l'enfant a atteint l'âge de seize ans. Si l'enfant n'a pas encore atteint l'âge de seize ans, ses données personnelles ne sont traitées que si et dans la mesure où le représentant légal de l'enfant a donné son consentement au traitement.
L'entreprise et tous les employés s'efforcent raisonnablement de s'assurer que le consentement a été donné par le représentant légal de l'enfant dans de tels cas.
Instructions pratiques :
En cas de doute sur le respect des exigences relatives au consentement du représentant légal, les collaborateurs ne procèdent pas au traitement des données tant que le service de coordination de la protection des données n'a pas confirmé le respect des exigences.
6.3 Marketing numérique
Aucune communication à des fins de publicité ou de marketing ne sera envoyée à des contacts (clients, prestataires, etc.) par des moyens numériques tels que le courrier électronique, l'Internet ou les téléphones portables sans avoir obtenu au préalable le consentement des personnes concernées. S'il existe un consentement au traitement des données personnelles à des fins de marketing numérique, la personne concernée est informée dans chaque communication qu'elle a le droit de retirer son consentement à tout moment.
Instructions pratiques :
En cas de doute sur le caractère publicitaire d'une communication, sur l'existence d'un consentement ou sur le retrait du consentement, le traitement des données doit être interrompu jusqu'à ce que l'autorité de coordination de la protection des données ait confirmé le respect des exigences en matière de marketing numérique.
Bonne pratique :
Ce qui suit n'est pas autorisé :
- les cases opt-in pré-cochées ;
- se fier au silence, à l'inactivité, aux paramètres par défaut ou à vos conditions générales de vente ; et
- demander uniquement un choix opt-out sans opt-in explicite.
Les éléments suivants doivent être garantis :
- un enregistrement de la procédure de consentement est conservé (par exemple, date du consentement, type de consentement, informations fournies à la personne concernée) ;
- le consentement au traitement est distinct, clair et non lié à d'autres accords ou déclarations écrits. Un consentement distinct est obtenu pour les différentes opérations de traitement (le consentement au marketing direct ne doit jamais être lié à d'autres consentements au traitement) ;
- les personnes concernées sont informées qu'elles ont le droit de retirer leur consentement à tout moment ; et
- des méthodes simples sont prévues dans le système pour retirer le consentement.
Note : Les clients existants peuvent bénéficier de certains privilèges qui doivent être examinés au cas par cas avec le service de coordination de la protection des données.
7. Registre des activités de traitement
L'entreprise et, le cas échéant, ses représentants tiennent un registre de toutes les activités de traitement qui relèvent de leur responsabilité. Ce registre contient au moins les informations suivantes
‒ L'identité du responsable, c'est-à-dire le nom et les coordonnées de l'entreprise et, le cas échéant, du responsable conjoint du traitement, éventuellement de son représentant, ainsi que, le cas échéant, du préposé à la protection des données ;
‒ Les finalités du traitement ;
‒ Une description des catégories de personnes concernées et des catégories de données personnelles traitées ;
‒ Les catégories de destinataires auxquels les données personnelles ont été ou seront divulguées (y compris les destinataires dans des pays tiers ou des organisations internationales) ;
‒ Si possible, la durée de conservation des données personnelles ou les critères utilisés pour déterminer cette durée ;
‒ Si possible, une description générale des mesures techniques et organisationnelles ; et
‒ Si les données sont communiquées à l'étranger, l'indication de l'Etat et les garanties mises en place pour assurer un niveau de protection des données adéquat.
Instructions pratiques :
Pour que le registre des activités de traitement reste à jour, les collaborateurs signalent au service de coordination de la protection des données les nouvelles activités de traitement qui doivent contenir les informations mentionnées ci-dessus avant d'être incluses dans le registre.
8. Obligation d'information lors de la collecte de données personnelles directement auprès de la personne concernée
Au moment de la collecte des données personnelles, les informations suivantes doivent notamment être communiquées par l'entreprise aux personnes concernées :
‒ L'identité et les coordonnées de l'entreprise ;
‒ Les finalités du traitement ; et
‒ Le cas échéant, les destinataires ou les catégories de destinataires des données personnelles.
‒ En cas de communication de données personnelles à l'étranger : l'État ou l'organisme international et, le cas échéant, les garanties permettant d'assurer un niveau de protection adéquat des données ou l'application d'une exception permettant d'assurer un niveau de protection adéquat des données.
‒ En cas de prise de décisions individuelles automatisées : la possibilité pour la personne concernée d'exprimer son point de vue sur la décision prise sans intervention humaine et la possibilité pour une personne physique d'examiner la décision individuelle automatisée.
Le cas échéant, la législation applicable en matière de protection des données peut prévoir des contenus supplémentaires, comme par exemple la législation européenne en matière de protection des données, qui prévoit en outre que les informations suivantes doivent figurer dans les informations :
‒ La base légale du traitement ;
‒ Le cas échéant, l'intention de transférer les données personnelles vers un pays tiers ainsi que l'existence ou l'absence d'une décision d'adéquation de la Commission européenne, une référence aux garanties appropriées ou adéquates et les modalités d'obtention d'une copie de celles-ci ou le lieu où elles sont disponibles ;
‒ La durée pendant laquelle les données personnelles sont conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée ;
‒ L'existence du droit d'accès aux données personnelles concernées, ainsi que des droits de rectification, d'effacement, de limitation du traitement ou d'opposition au traitement, et du droit à la portabilité des données ;
‒ Le cas échéant, l'existence d'un droit de retirer son consentement à tout moment, sans que cela n'affecte la licéité du traitement effectué sur la base du consentement jusqu'au retrait de celui-ci ;
‒ L'existence d'un droit de recours auprès d'une autorité de contrôle ; et
‒ Le cas échéant, l'existence d'une prise de décision automatisée, y compris le profilage, et, dans ce dernier cas, des informations pertinentes sur la logique impliquée, la portée et les effets escomptés d'un tel traitement pour la personne concernée.
Ces informations sont généralement mises à la disposition des personnes concernées par le biais d'une déclaration de confidentialité.
Instructions pratiques :
Afin de maintenir les informations à jour vis-à-vis des personnes concernées, les collaborateurs signalent au service de coordination de la protection des données les nouvelles activités de traitement qui doivent contenir les informations énumérées ci-dessus avant qu'elles ne commencent.
9. Obligation d'information lors de la collecte indirecte de données personnelles
Les données personnelles relatives aux personnes concernées peuvent également être collectées indirectement, c'est-à-dire auprès de tiers. Cela ne dispense toutefois pas l'entreprise d'informer la personne concernée du traitement. Outre les informations énumérées à l'article 8, l'entreprise communique à la personne concernée les catégories de données personnelles traitées. Cette information doit être communiquée à la personne concernée au plus tard un mois après que l'entreprise a reçu les données personnelles du tiers ou au plus tard au moment de la communication à un tiers si la communication a lieu avant le délai d'un mois.
Le cas échéant, la législation applicable en matière de protection des données peut prévoir des contenus allant au-delà), par exemple la législation européenne en matière de protection des données qui, en plus de l'article 8 ci-dessus, prévoit que les informations suivantes doivent être incluses dans les informations :
‒ de quelle source proviennent les données personnelles ; et
‒ le cas échéant, si elles proviennent de sources publiques.
Instructions pratiques :
Afin de maintenir les informations à jour vis-à-vis des personnes concernées, les collaborateurs signalent au service de coordination de la protection des données les nouvelles activités de traitement qui doivent contenir les informations énumérées ci-dessus avant qu'elles ne commencent.
10. Droits des personnes concernées
L'entreprise ainsi que tous ses employés respectent les droits suivants des personnes concernées :
10.1 Droit d’accès
Toute personne concernée a le droit de demander à l'entreprise de confirmer si des données personnelles la concernant sont traitées. Les demandes d'information reçues sont immédiatement transmises au service de coordination de la protection des données, si ce dernier ne les a pas reçues.
Avant de répondre à la demande, l'identité de la personne concernée doit impérativement être vérifiée. Si l'identité peut être établie avec certitude, la personne concernée a le droit d'obtenir les informations suivantes concernant ses propres données personnelles :
‒ l'identité et les coordonnées du responsable du traitement ;
‒ les données personnelles traitées en tant que telles ;
‒ les finalités du traitement ;
‒ la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères de détermination de cette durée ;
‒ les informations disponibles sur l'origine des données personnelles, si elles n'ont pas été obtenues auprès de la personne concernée ;
‒ le cas échéant, l'existence d'une décision individuelle automatisée et la logique sur laquelle repose cette décision ;
‒ le cas échéant, les destinataires ou les catégories de destinataires auxquels les données personnelles sont communiquées, ainsi que l'État ou l'institution internationale et, le cas échéant, les garanties permettant d'assurer un niveau adéquat de protection des données ou l'application d'une exception permettant d'assurer un niveau adéquat de protection des données.
La législation applicable en matière de protection des données peut, le cas échéant, prévoir des contenus supplémentaires, comme c'est le cas de la législation européenne en matière de protection des données, qui prévoit en outre que les informations suivantes doivent être communiquées à la personne concernée :
‒ l'existence d'un droit de rectification ou d'effacement des données personnelles les concernant ou d'un droit de limitation du traitement par le responsable du traitement ou d'un droit d'opposition à ce traitement ;
‒ l'existence d'un droit de recours auprès d'une autorité de contrôle ;
‒ l'existence d'une prise de décision automatisée, y compris le profilage, et - au moins dans ces cas - des informations pertinentes sur la logique impliquée et les effets escomptés d'un tel traitement pour la personne concernée.
L'entreprise fournit une copie des données personnelles faisant l'objet du traitement dans un format structuré courant et lisible par machine.
La communication des informations demandées à la personne concernée peut, dans certaines circonstances, entraîner la divulgation de données personnelles d'une autre personne concernée. Dans ce cas, les informations concernant cette autre personne doivent être caviardées ou conservées, selon ce qui semble nécessaire ou approprié pour protéger les droits de cette personne.
Instructions pratiques :
Les demandes d'accès des personnes concernées à leurs données personnelles doivent être immédiatement transmises au service de coordination de la protection des données.
10.2 Droit de rectification
La personne concernée a le droit d'exiger de l'entreprise qu'elle rectifie sans délai les données personnelles inexactes la concernant. Compte tenu des finalités du traitement, la personne concernée a le droit de demander que les données personnelles incomplètes soient complétées, y compris par une déclaration supplémentaire.
Instructions pratiques :
Les demandes de rectification des données personnelles des personnes concernées doivent être immédiatement transmises au service de coordination de la protection des données.
Les demandes de rectification des données des employés émanant de personnes concernées doivent être adressées au service des ressources humaines de l'entreprise.
10.3 Droit à l’effacement (droit à l’oubli)
La personne concernée a le droit, dans certaines conditions, d'exiger de l'entreprise que les données personnelles la concernant soient immédiatement effacées. L'entreprise est tenue d'informer les éventuels sous-traitants de l'effacement et, le cas échéant, de les obliger à effacer les données. Si l'entreprise agit elle-même en tant que sous-traitant, elle doit immédiatement informer le responsable du traitement de la demande d'effacement.
Instructions pratiques :
Les demandes de suppression de données personnelles émanant de personnes concernées doivent être immédiatement transmises au service de coordination de la protection des données.
Les demandes de suppression de données relatives aux employés doivent être adressées au service des ressources humaines de l'entreprise.
10.4 Droit à la limitation du traitement
Une personne concernée a le droit de demander la limitation du traitement de ses données personnelles si l'une des conditions suivantes est remplie :
‒ l'exactitude des données personnelles est contestée par la personne concernée (incl.). La limitation du traitement est effectuée en inscrivant une mention de contestation pour une durée permettant à l'entreprise de vérifier l'exactitude des données personnelles ;
‒ le traitement est illicite et la personne concernée demande une limitation de l'utilisation de ses données personnelles au lieu de leur suppression ;
‒ l'entreprise n'a plus besoin des données personnelles aux fins du traitement. la personne concernée en a toutefois besoin pour faire valoir, exercer ou défendre des droits légaux et demande une limitation de l'utilisation de ses données personnelles au lieu de l'effacement ; ou
‒ la personne concernée s'est opposée au traitement conformément au droit d'opposition. La limitation est appliquée tant qu'il n'est pas établi que les motifs légitimes de l'entreprise ou ceux de la personne concernée prévalent.
Si le traitement a été limité, ces données personnelles ne peuvent être traitées - à l'exception de leur stockage - qu'avec le consentement de la personne concernée, pour la constatation, l'exercice ou la défense de droits en justice, pour la protection des droits d'une autre personne physique ou morale ou pour des raisons d'intérêt public important.
Une personne concernée qui a obtenu une limitation du traitement est informée par l'entreprise avant que la limitation ne soit levée.
Instructions pratiques :
Les demandes des personnes concernées visant à limiter le traitement de leurs données personnelles doivent être immédiatement transmises au service de coordination de la protection des données.
10.5
Portabilité des données
Une personne concernée a le droit de recevoir les données personnelles la concernant qu'elle a fournies à la société dans un format structuré, couramment utilisé et lisible par machine. Elle a également le droit d'exiger que l'entreprise transmette ces données à une autre société sans entrave, à condition que :
‒ le traitement est basé sur le consentement de la personne concernée ;
‒ le traitement est directement lié à la conclusion ou à l'exécution d'un contrat entre l'entreprise et la personne concernée ; ou
‒ le traitement est effectué à l'aide de procédés automatisés.
Instructions pratiques :
Les demandes des personnes concernées concernant le transfert de leurs données personnelles doivent être immédiatement transmises au service de coordination de la protection des données.
10.6 Droit d’opposition
Une personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données personnelles la concernant.
Dans ce cas, l'entreprise ne traite plus les données personnelles, à moins qu'elle ne puisse démontrer qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée ou qui servent à faire valoir, à exercer ou à défendre des droits en justice.
Instructions pratiques :
Lorsque la personne concernée exerce son droit d'opposition, elle doit en informer immédiatement le service de coordination de la protection des données.
10.7 Droits relatifs aux décisions individuelles automatisées
Une personne concernée a le droit d'obtenir qu'une décision produisant des effets juridiques à son égard ou l'affectant de manière significative de façon similaire ne soit pas fondée exclusivement sur un traitement automatisé. Des exceptions sont autorisées dans la mesure où la loi le prévoit.
L'entreprise ne recourt à des décisions individuelles automatisées produisant des effets juridiques à l'égard des personnes concernées que si la décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et l'entreprise, si elle est nécessaire en vertu de dispositions légales applicables ou si elle est prise avec le consentement exprès de la personne concernée.
Sont considérées comme des décisions en ce sens celles qui sont basées sur un traitement purement automatisé des données et qui soit produisent des effets juridiques à l'égard de la personne concernée, soit affectent considérablement la personne concernée de manière similaire. Ainsi, par exemple, lors d'un contrôle de solvabilité automatisé sur la base duquel la conclusion d'un contrat avec une personne peut être refusée, les dispositions de cet article doivent être respectées.
Par profilage, on entend tout type de traitement automatisé de données personnelles consistant à utiliser ces données personnelles pour évaluer, analyser ou prédire certains aspects personnels relatifs à une personne physique, notamment le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le lieu de résidence ou le déplacement de cette personne. Dans la mesure où le profilage est associé à une décision individuelle automatisée qui soit produit des effets juridiques à l'égard de la personne concernée, soit affecte de manière significative la personne concernée de façon similaire, les dispositions du présent article doivent également être respectées.
L'entreprise veille à ce que le profilage et les décisions individuelles automatisées soient fondés sur des données correctes au cas par cas.
Instructions pratiques :
Les collaborateurs s'abstiennent de recourir à des décisions individuelles automatisées jusqu'à ce que le service de coordination de la protection des données en ait déclaré l'utilisation et les modalités licites.
10.8 Procédure pour les demandes des personnes concernées
Instructions pratiques :
Dans le cas où les demandes d'accès, d'effacement et de rectification, ainsi que les demandes de portabilité des données, de retrait de consentement et d'opposition au traitement des données en raison d'intérêts légitimes ne sont pas automatiquement reçues par le service de coordination de la protection des données, elles sont immédiatement transmises au service de coordination de la protection des données.
Il est interdit aux collaborateurs de traiter des demandes de personnes concernées et de communiquer avec des personnes concernées sans accord préalable avec le service de coordination de la protection des données.
11. Transfert de données personnelles à des tiers
11.1 Principes
Le transfert de données personnelles à l'étranger est en principe autorisé si un niveau de protection adéquat des données peut être garanti pour le pays tiers concerné ou pour l'organisation internationale en question. Le niveau de protection des données d'un pays est considéré comme
adéquat lorsqu'il a été constaté par l'autorité compétente (en Suisse par le Conseil fédéral et dans l'UE par la Commission européenne).
Si des données personnelles doivent être transférées vers des pays tiers ne disposant pas d'un niveau de protection des données adéquat, des garanties appropriées doivent être mises en place. Un tel transfert n'est autorisé qu'après un examen préalable et avec l'accord du service de coordination de la protection des données.
11.2 Transferts entre sociétés du groupe
Les sociétés du groupe de l'entreprise constituent entre elles des "tiers" du point de vue de la protection des données. Afin de garantir une approche uniforme à l'échelle du groupe, les sociétés concluent un contrat interentreprises, les sociétés du groupe pouvant être à la fois responsables du traitement (contrôleurs) et sous-traitants (processeurs). Le contrat interentreprises régit les obligations des parties contractantes en fonction de leur rôle de responsable du traitement et de leur rôle de sous-traitant.
11.3 Transferts à des tiers
L'entreprise ne transmet des données personnelles à des tiers et n'accorde l'accès à des données personnelles à des tiers que s'il est garanti que les données sont traitées de manière licite par le destinataire et protégées de manière appropriée :
‒ Si le tiers est considéré comme responsable du traitement, l'entreprise conclut un contrat avec le responsable du traitement, qui définit les responsabilités de chaque partie concernant les données personnelles transférées.
‒ Si le tiers est considéré comme un sous-traitant, l'entreprise conclut un contrat de soustraitance approprié avec le sous-traitant. Le contrat de traitement des données de commande oblige le sous-traitant à respecter les principes de la législation sur la protection des données, notamment à protéger les données contre toute divulgation ultérieure, à ne les traiter que conformément aux instructions de l'entreprise, à mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles et à notifier les violations de la sécurité des données.
12. Mesures techniques et organisationnelles
L'entreprise prend les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles conformément aux dispositions applicables en matière de protection des données. Les violations de la sécurité des données, telles qu'un piratage, doivent être immédiatement signalées au service de coordination de la protection des données. Le traitement de telles violations est régi par une directive séparée concernant la sécurité de l'information.
13. Protection des données dès la conception et par défaut
L'entreprise veille à ce que les principes de la protection des données soient pris en compte très tôt dans les nouveaux projets et soient intégrés dans la mise en œuvre technique (Privacy by Design).
L'entreprise prend en outre des mesures techniques et organisationnelles appropriées afin de garantir, par le biais de paramètres par défaut, que seules les données personnelles dont le traitement est nécessaire pour la finalité du traitement soient traitées. Elle s'assure en particulier que les paramètres par défaut sont conçus de manière à protéger les données (Privacy by Default).
Instructions pratiques :
Lors de la planification et de la mise en œuvre de nouveaux processus et applications système, l'unité de coordination de la protection des données est impliquée le plus tôt possible afin que les principes de respect de la vie privée dès la conception et de respect de la vie privée par défaut puissent être pris en compte de manière appropriée dans le projet.
14. Analyse d’impact relative à la protection des données personnelles
L'entreprise procède à une évaluation préalable des conséquences des opérations de traitement envisagées (analyse d'impact relative à la protection des données) lorsqu'un traitement envisagé est susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
La nécessité d'une analyse d'impact sur la protection des données doit être examinée en particulier en cas d'utilisation de nouvelles technologies ou d'opérations de traitement de données inédites, ainsi qu'en fonction de la nature, de l'étendue, des circonstances et de la finalité du traitement, comme par exemple en cas de traitement à grande échelle de données sensibles ou de vidéosurveillance systématique et à grande échelle de zones accessibles au public.
Instructions pratiques :
L'entreprise demande l'avis du service de coordination de la protection des données pour déterminer s'il est nécessaire de réaliser une analyse d'impact sur la protection des données. La réalisation d'analyses d'impact sur la protection des données est régie par une politique interne distincte.
15. Annonce des violations de la sécurité des données
Il y a violation de la sécurité des données lorsqu'une violation de la sécurité entraîne la perte, l'effacement, la destruction ou la modification involontaires ou illicites de données personnelles ou leur divulgation ou leur mise à disposition de personnes non autorisées.
En cas de violation de la sécurité des données, l'entreprise notifie cette violation à l'autorité de contrôle compétente dans les meilleurs délais et au plus tard dans les 72 heures suivant sa prise de connaissance, si la violation de la protection des données personnelles est susceptible
d'entraîner un risque élevé pour les droits et libertés des personnes physiques. L'entreprise informe les personnes concernées si cela est nécessaire pour leur protection ou si l'autorité de contrôle compétente l'exige.
Instructions pratiques :
Si les employés constatent ou soupçonnent une violation de la sécurité des données, ils peuvent la signaler via fbm@palace.ch
Le processus de signalement interne d'une violation de la sécurité des données est régi par une politique spécifique.
16. Responsabilités
16.1 Direction générale
La direction de l'entreprise définit les principes généraux de la garantie de la protection des données dans l'entreprise. Elle désigne une personne ou un service - le coordinateur de la protection des données - qui est chargé de faire respecter les règles de protection des données.
16.2 Chefs de service
Les chefs de service de tous les niveaux sont responsables, dans leurs domaines de responsabilité, de l'application et du respect des dispositions légales relatives à la protection des données. Ils veillent, en collaboration avec le service de coordination de la protection des données, à la formation et à la sensibilisation de leurs collaborateurs. Ils jouent un rôle de modèle et encouragent les collaborateurs à respecter les mesures de protection des données.
16.3 Service de coordination de la protection des données
La direction a désigné un service de coordination de la protection des données. Le service de coordination de la protection des données est le point de contact central pour les questions relatives à la protection des données et peut être contacté par fbm@palace.ch ou par téléphone au 861
Le service de coordination de la protection des données est notamment chargé des tâches suivantes :
‒ elle assume la responsabilité documentaire de la présente directive sur la protection des données ;
‒ elle soutient l'entreprise dans l'application et la mise en œuvre de la protection des données ; et
‒ elle observe et prend en compte l'évolution des exigences légales dans le domaine de la protection des données.
L'application de cette directive incombe exclusivement aux chefs de service et non au service de coordination de la protection des données.
Une description détaillée des tâches est définie dans le cahier des charges du service de coordination de la protection des données.
17. Sanctions
Les violations de cette directive sur la protection des données peuvent donner lieu à des mesures disciplinaires et/ou à des actions civiles et/ou pénales.
18. Dispositions finales
18.1 Modifications et ajouts
La présente directive sur la protection des données ne peut être modifiée, complétée ou abrogée que par écrit et par décision de la direction de l'entreprise. Par modification ou ajout, on entend l'ajout, la suppression ou la modification de toute disposition. Les corrections de nature formelle sont exceptées.
18.2 Documents complémentaires
La présente directive constitue la base des directives de l'entreprise en matière de protection des données. En complément de celle-ci, d'autres documents, instructions et processus peuvent être élaborés, qui sont nécessaires en relation avec le traitement des données personnelles.
18.3 Accès à cette directive et modifications
La présente directive est accessible à tous les collaborateurs par le biais des instructions existantes de l'entreprise ou d'autres médias.
Les modifications ou compléments apportés à cette directive entrent en vigueur au moment de leur publication sur https://issuu.com/gstaadpalace/docs/directive_sur_la_protection_des_donn_es_fr_8.1.20?fr=xKAE9_-Dt8g
18.4 Entrée en vigueur
La présente directive sur la protection des données entre en vigueur le Lundi 13 janvier 2025