Questions et réponses sur la version révisée de la loi sur la protection des données, qui entrera en vigueur le 1er septembre 2023.
1. Comment la protection des données est-elle réglée dans la newsletter de Fairgate, Hitobito et l’application Konzertmeister?
L’ASM n’a aucun lien direct avec la newsletter de Fairgate ni avec l’application Konzertmeister. Si nécessaire, prière de prendre contact directement avec les éditeurs. Vous trouverez des informations en lien avec les questions concernant Hitobito dans les réponses 3, 4, 11, 16, 18, 19 et 20.
2. Existe-t-il un modèle de déclaration de confidentialité de l’ASM qui peut être remis aux associations cantonales ainsi qu’à toutes les sociétés?
Vous trouverez à l’adresse datenschutzmuster.ch de l’étude d’avocats Wicki Partners SA des informations complémentaires ainsi que des liens vers des modèles et une déclaration de confidentialité standard.
3. Où les données d’Hitobito sont-elles mémorisées (lieu, exploitant)?
Hitobito SA, dont le siège est à Berne, indique sur sa page d’accueil «swiss made software + swiss hosting». Ce label ne peut être utilisé que si le logiciel est développé et hébergé en Suisse: swissmadesoftware.org.
4. Comment les données dans Hitobito sont-elles protégées contre les attaques et mémorisées?
Selon les informations fournies par Hitobito SA, il s’agit en l’occurrence de mesures de sécurité des données et de la garantie d’un niveau de protection adéquat en matière de confidentialité, d’intégrité, de disponibilité et de résistance des systèmes. Il est ici tenu compte de l’état de la technique, des coûts ainsi que de la nature, de l’ampleur et des finalités du traitement. Ces mesures garantissent notamment la détection en temps réel des violations de la sécurité et de la protection des données.
Le mandataire garantit notamment que les données traitées dans le cadre de ce mandat soient strictement séparées des autres banques de données. Les mesures techniques et organisationnelles sont soumises aux avancées techniques et à leur développement. Dans ces conditions, le mandataire est autorisé à mettre en œuvre d’autres mesures adéquates. En l’occurrence, le niveau de sécurité des mesures définies ne doit pas être inférieur.
5. Sous quelle forme les dispositions du RGPD sont-elles respectées et les demandes de suppression des données personnelles sont-elles traitées?
Si le RGPD s’applique, la demande doit faire l’objet d’une réponse écrite ou électronique. En cas de demande de renseignements selon la LPD, l’information doit être fournie par écrit ou sous la forme dans laquelle les données sont disponibles (art. 16, al. 2 LPD). Un modèle de demande de renseignements est disponible sous admin.ch.
6. Le principe de la proportionnalité n’autorise que le traitement des données des membres qui sont effectivement nécessaires pour atteindre l’objectif visé > qu’est-ce qui tombe sous le coup de ce principe?
La société peut enregistrer toutes les données nécessaires à la réalisation de ses objectifs. Il peut s’agir, poutre des données de contact (p. ex. le nom , le numéro de téléphone, l’adresse postale, l’e-mail, la date d’entrée et de sortie ainsi que la date de naissance), d’autres données. L’objectif est défini dans les statuts.
7. Quelles sont les données des membres qui nécessitent une protection particulière?
Les termes utilisés sont bien expliqués à l’article 5 de la loi sur la protection des données révisée:
«Les données personnelles sensibles sont des données portant sur les opinions ou les activités religieuses, idéologiques ou syndicales, ayant trait à la santé, la vie privée ou l’appartenance à une race, concernant les mesures d’aide sociale ainsi que les poursuites et les sanctions administratives ou pénales.
Alors qu’il existait déjà des données sensibles, les données génétiques et biométriques, p. ex., ont été ajoutées à cette catégorie. Pour le traitement de cette catégorie de données, il est nécessaire, en raison du bien à protéger, de respecter des exigences plus élevées, par exemple un consentement explicite préalable.
Remarque: l’ASM ne collecte que des «données n’étant pas particulièrement sensibles».
Conseil
Dans la plupart des sociétés, le traitement de «données personnelles sensibles» n’est pas nécessaire pour garantir un bon fonctionnement. En raison de l’exigence légale accrue, l’ASM recommande de renoncer autant que possible au traitement de cette catégorie de données.
8. Les nouveaux membres actifs et les membres doivent-ils signer une fiche sur la protection des données pour que nous puissions par exemple télécharger des photos d’eux sur notre page d’accueil et nos canaux de réseaux sociaux, ou les mentionner comme membres sur notre site Internet?
Cela dépend: dans la mesure où des données personnelles «normales» (et non pas sensibles) de membres sont publiées sur une page d’accueil, une information appropriée doit être disponible, p. ex. dans une déclaration de confidentialité sur le site web ou dans le manuel des membres. Par données personnelles, on entend toutes celles qui se rapportent à une personne identifiée ou identifiable, p. ex. le nom, l’adresse, le numéro de compte, le numéro AVS, le numéro d’immatriculation d’un véhicule, l’adresse IP, mais aussi les personnes sur des photos.
L’utilisation d’images représentant des personnes requiert en outre de respecter leur droit de la personnalité, appelé le «droit à l’image». Pour être tout à fait sûr: les points de couleur des visiteurs au revers (vert pour consentement, rouge pour absence de consentement) peuvent indiquer si une publication de la propre image est souhaitée.
9. Serait-il judicieux de mentionner dans les statuts que la société peut traiter toutes les données des membres qui sont «effectivement nécessaires pour atteindre l’objectif visé»? Cela nous éviterait-il de faire signer des accords en matière de confidentialité par les membres (en tant que membre, vous acceptez les statuts)?
Du point de vue juridique, il n’est pas nécessaire de le mentionner, puisque la loi sur la protection des données. Pour des raisons de transparence, cela peut toutefois figurer dans les statuts, de même que des règles concernant l’envoi d’e-mails non cryptés.
Conseil
Les statuts de la société devraient être mis à jour au niveau numérique. C’est pourquoi, en plus d’une clause de transparence sur la protection des données, il est tout à fait indiqué d’y inclure des dispositions sur l’envoi et la communication par e-mail non crypté ou sur les assemblées et les votes par voie numérique.
10. Les données des vétérans qui ne sont plus actifs restent dans nos systèmes. Est-ce un problème?
En l’absence de l’accord des vétérans, oui. L’enregistrement de ces «données relatives aux vétérans» doit faire l’objet d’une finalité. La «simple volonté de supprimer des données» n’est pas une finalité admissible, car elle n’est pas nécessaire. Selon les principes de protection des données énoncés à à l’art. 6, al. 3 de la LPD révisée, les données personnelles ne peuvent être collectées que pour des finalités déterminées. Cette «finalité déterminée» existait déjà sous l’ancien droit.
Un traitement ou un enregistrement ultérieur n’est pas autorisé si cela peut être inattendu, inapproprié ou contestable pour la personne. Le traitement de données personnelles en violation des principes énoncés aux art. 6 ou 8 LPD (sécurité des données) constitue une atteinte à la personnalité.
Conseil
Les «cimetières de données» ne sont pas seulement préoccupants du point de vue de la protection des données. Les données qui ne sont plus nécessaires p. ex. pour des décomptes doivent être définitivement supprimées. Si des données restent mémorisées pour prouver l’appartenance (antérieure), (i) il convient d’examiner si toutes les données ou seulement une partie de celles-ci doivent être conservées et (ii) d’obtenir le consentement du membre qui quitte la société.
11. Le téléchargement des données des membres sur Hitobito ou sur la page d’accueil de la société (p. ex. Musikverband der Stadt Winterthur (zhbv.ch) représente-t-il pour nous un risque en matière de protection des données?
En théorie, tout traitement de données constitue aujourd’hui un «risque». Toutefois, l’utilisation d’un logiciel de gestion de société ou d’un site web d’association est autorisé dans le respect des principes de la protection des données (art. 6 LPD révisée) et pour autant que la sécurité des données (art. 8 LPD révisée) soit garantie.
Conseil
Les fournisseurs de logiciels pour société ou le fournisseur d’hébergement indiquent souvent sur leur page d’accueil la manière dont la sécurité des données est garantie. S’il s’agit du traitement d’un mandat, il faut conclure un contrat pour le traitement des données. Il serait avantageux pour le prestataire de pouvoir le conclure également via le site web ou le portail client.
12. Devrions-nous choisir un fournisseur de cloud suisse pour nos données en ligne plutôt que la dropbox américaine?
Les Etats-Unis ne garantissent actuellement pas un niveau de protection des données suffisant aux yeux des normes suisses, de sorte que le transfert de données vers les Etats-Unis n’est actuellement possible que sous certaines conditions. Il existe de bons services de stockage sur cloud, en Suisse comme dans l’Union européenne, qui garantissent le respect de la protection des données et en font la publicité.
Conseil
Il vaut la peine de dépenser quelques deniers de plus pour la protection des données personnelles. Ils seraient sinon économisés au mauvais endroit. Mieux vaut éviter une amende selon la LPD révisée plutôt que devoir justifier plus tard pourquoi on a choisi le fournisseur en ligne le moins cher.
13. La carte d’inscription pour les nouveaux membres passifs devrait-elle comporter une mention relative à la protection des données? Si oui, avez-vous un modèle de texte?
Selon l’art. 19, al. 1 LPD, la personne concernée doit être informée de manière adéquate de la collecte de données personnelles, que celle-ci soit effectuée auprès d’elle ou non. En outre, lors de la collecte, le responsable est tenu de communiquer à la personne concernée les informations nécessaires (p. ex. concernant l’identité du responsable), art. 19, al. 2 LPD.
La loi sur la protection des données ne précise pas la manière dont l’information doit être transmise. Le responsable doit s’assurer que la personne concernée peut effectivement prendre connaissance de l’information et qu’elle peut s’informer de manière facilement accessible. Le message relatif à la LPD cite à titre d’exemple une déclaration de confidentialité sur le site web, mais aussi des symboles et des pictogrammes, dans la mesure où ils reproduisent les informations nécessaires.
Conseil
Pour des raisons de transparence, inclure une mention sur le formulaire d’entrée: «Vous trouverez notre déclaration de confidentialité à l’adresse www.société-xy.ch.» Ce qui constitue en même temps une bonne publicité pour la propre page d’accueil de la société.
14. Si certains de nos membres actifs et/ou passifs résident dans un autre pays européen, sommes-nous également soumis aux dispositions du RGPD européen? Devrait-on alors désigner un délégué à la protection des données?
Selon l’art. 3, al. 2a), le champ d’application du RGPD est déterminé par le fait que les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’UE. La notion d’«offre» est en l’occurrence déterminante. Si la société/l’association oriente visiblement son offre uniquement sur le territoire suisse et que, par hasard, des citoyens de l’UE consultent également le site web ou deviennent membres, cela ne relève pas du champ d’application territorial de l’article 3 du RGPD.
Dans la mesure où le RGPD ne s’applique pas (voir ci-dessus), il n’est pas nécessaire de désigner un délégué à la protection des données. Pour les sociétés, il ne serait en outre généralement pas nécessaire de désigner un délégué à la protection des données si l’activité ne correspond pas au catalogue de l’art. 37, al. 1 RGPD ou si moins de 20 collaborateurs sont concernés par le traitement des données.
Conseil
Pour n’être soumise qu’au droit suisse sur la protection des données – nettement moins restrictif –, l’offre devrait être visiblement orientée vers la Suisse.
15. Comment devons-nous procéder lorsque nous organisons des concerts, des présentations d’instruments, etc., et que nous souhaitons publier ces photos – où figurent également des visiteurs – sur notre site web, dans le journal, etc.?
Voir réponse à la question n° 8.
Conseil
Le PFPDT fournit également de très bonnes informations à ce sujet:
Prendre et publier des photos – Le droit à l’image
16. Qu’entreprendrait l’ASM si Hitobito devait être piraté?
L’organe public responsable du traitement des données doit notifier l’incident en matière de protection des données au délégué à la protection des données.
Si un mandataire ou un partenaire d’externalisation est impliqué, il doit immédiatement informer l’organe public responsable sur la violation. Celui-ci signale l’incident à la personne préposée à la protection des données.
Tout incident lié à la protection des données doit être signalé au préposé à la protection des données du canton d’Argovie. Lors de la déclaration, il convient de mentionner si des conséquences sont possibles dans plusieurs cantons.
17. Quelles sont les mesures de sécurité de l’ASM?
Pour des raisons de sécurité, justement, elles ne sont pas détaillées ici, mais l’ASM prend des mesures techniques et organisationnelles appropriées afin de garantir une sécurité des données adaptée à tout risque. L’accès à notre site web s’effectue via un cryptage de transport (notamment par le biais du protocole Hypertext Transfer Protocol Secure, en abrégé HTTPS). La plupart des navigateurs signalent le cryptage de transport par un cadenas dans la barre d’adresse.
18. Qu’advient-il des données des membres qui ont quitté la société ou qui sont décédés?
Les données des membres décédés sont supprimés par les sociétés de leur fichier de noms dans Hitobito. L’opération doit être communiquée à l’ASM afin que celle-ci puisse effacer complètement les données.
19. Est-ce que chaque membre de la société peut gérer ses données de manière autonome (est-ce que chaque personne a accès à Hitobito)?
S’il le souhaite, chaque membre de la société peut avoir accès à ses données dans Hitobito. La personne concernée ne voit alors que ses propres données et aucune de celles des autres membres de la société.
20. Est-il judicieux que seul un nombre limité de personnes par société puisse accéder aux données?
Il est conseillé de n’accorder l’accès complet à Hitobito qu’à un groupe de personnes (administrateurs), à savoir les présidents, les responsables SUISA, les présidents de CM, les secrétariats et, le cas échéant, les directeur(trice)s.
Conseil
Il est vivement conseillé que ces personnes suivent les formations Hitobito organisées au niveau cantonal afin d’être parées au mieux face à ces responsabilités..
Sources: Sven Kohlmeier, avocat et avocat spécialisé en droit de l’informatique (DE); Dr. Roman Baumann Lorant, avocat; Déclaration de confidentialité de l’ASM; Accord de protection des données avec Hitobito SA.