Politique de confidentialité FER CIGA
La loi fédérale sur la protection des données, totalement révisée (ci-après dénommée « nLPD ») ainsi que les nouvelles ordonnances sur la protection des données (OPDo) et sur les certifications en matière de protection des données (OCPD) sont entrées en vigueur le 1er septembre 2023.
Nous protégeons votre vie privée et vos données privées. Nous procédons au traitement de données personnelles (telles que définies ci-après) dans le cadre de notre activité, ce qui inclut les données personnelles des personnes naviguant sur le site Internet www.fpe-ciga.ch (le site Internet), de nos assurés et affiliés et de toute autre personne dont nous traitons des données personnelles. Ces données se limitent aux données nécessaires au bon fonctionnement du site Internet, de nos prestations et de nos obligations légales ou contractuelles avec vous.
Nous collectons, traitons et utilisons vos données personnelles conformément au contenu de la présente déclaration de protection des données ainsi qu’aux prescriptions applicables en matière de protection des données, en particulier la nLPD et l’OPDo.
La FER CIGA a préalablement réalisé un projet de mise en conformité visant à la mise en œuvre systématique de la protection des données en tant qu’organe d’exécution du 1er pilier.
Les présentes dispositions relatives à la protection des données définissent les données personnelles que nous collectons, traitons et utilisons à votre sujet. Nous collectons des données personnelles en ligne (y compris par e-mail), par papier ou par voie orale (lors d’un entretien ou par téléphone). La présente déclaration s’applique quel que soit le mode de collecte ou de traitement. Nous vous prions donc de lire attentivement ce qui suit.
La mise en œuvre systématique de la protection des données s’articule autour des champs d’action suivants :
- Organisation de la protection des données
- Gouvernance et directives
- Conformité des activités de traitement à la protection des données
- Registres des activités de traitement
- Analyses d’impact relatives à la protection des données
- Devoir d’informer et droits des personnes concernées
- Sous-traitance, responsabilité commune et communication de données à des responsables du traitement tiers
- Sécurité des données et annonce des violations de la sécurité des données
Pour chacun de ces champs d’action, la FER CIGA a défini sa règlementation interne en la matière (en ligne avec la législation), rédigé des procédures et implémenté des contrôles.
Définitions
Terme, abréviation | Définition |
---|---|
Organe fédéral | L’autorité fédérale, le service fédéral ou la personne chargée d’une tâche publique de la Confédération |
nLPD | LPD révisée (FF 2020 7639 ; consultable sur https://www.fedlex.admin.ch/eli/fga/2020/1998/fr) |
OPDo | Ordonnance sur la protection des données (consultable sur https://www.fedlex.admin.ch/eli/oc/2022/568/fr) |
CCP | Caisse de compensation professionnelle |
PFPDT | Préposé fédéral à la protection des données personnelles et à la transparence |
Données personnelles | Toutes les informations concernant une personne physique identifiée ou identifiable |
Personne concernée | La personne physique dont les données personnelles font l’objet d’un traitement |
Données personnelles sensibles (données sensibles) |
|
Traitement | Toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données |
Communication | Le fait de transmettre des données personnelles ou de les rendre accessibles |
Responsable du traitement | La personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles |
Sous-traitant | La personne privée ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement |
1. Responsable du traitement
Coordonnées : Caisse interprofessionnelle AVS de la Fédération des Entreprises Romandes FER CIGA 106.3
Rue de la Condémine 56
1630 Bulle
T 026.919.87 40
ciga.avs@ciga.ch
Par ailleurs, la FER CIGA peut déléguer les traitements de données personnelles/sensibles à des sous-traitants. Elle demeure néanmoins ultimement responsable de ces traitements délégués vis-à-vis de la personne concernée et de l’autorité de surveillance. La FER CIGA veille à respecter, dans ce cadre, l’article 9 de la nLPD (notamment par la conclusion d’un contrat avec ses sous-traitants).
2. Principes généraux du traitement des données personnelles
2.1 Légalité (art. 6 et 34ss nLPD)
La FER CIGA étant un organe fédéral, elle ne peut traiter des données que si elle a une base légale formelle ou matérielle en application des articles 34 et ss nLPD. Dans le cadre de ses prestations de prévoyance, elle a le droit de traiter des données en application de la LAVS, LAI, LPGA, LAFam et de leurs ordonnances d’application.
2.2 Proportionnalité (art. 6 al. 2, 4 et 6 nLPD)
La FER CIGA traite les données strictement nécessaires à l'objectif visé, tout en minimisant la collecte, en application de la LAVS, LAI, LPGA, LAFam et de leurs ordonnances d’application.
Les données sont détruites ou anonymisées dès qu'elles ne sont plus nécessaires pour les finalités du traitement, à moins que la loi ne prévoie un délai de conservation.
2.3 Exactitude des données (art. 6 al. 5 nLPD)
La FER CIGA s’assure de l’exactitude des données collectées.
Des mesures appropriées sont prises pour rectifier, effacer ou détruire les données inexactes ou incomplètes, en tenant compte du type de traitement, de son étendue et des risques associés pour les personnes concernées.
2.4 Bonne foi (art. 6 al. 2 nLPD)
Tout traitement de données personnelles doit se faire dans le but indiqué aux personnes concernées ou qui ressort de la loi ou des circonstances.
2.5 Finalité (art. 6 al. 3 nLPD)
La collecte de données personnelles doit avoir des finalités déterminées et reconnaissables pour la personne concernée, en application de la LAVS, LAI, LPGA, LAFam et de leurs ordonnances d’application.
2.6 Accès aux données personnelles
Les collaborateurs et les sous-traitants de la FER CIGA ont accès aux seules données personnelles nécessaires à l’exécution de leur travail.
2.7 Transfert des données personnelles à des tiers
Le traitement de données personnelles peut être confié à des tiers (sous-traitant) en application de l’article 9 nLPD, sous réserve qu’aucune obligation légale ou contractuelle de garder le secret ne l’interdit et que seuls les traitements que le mandant serait en droit d’accomplir lui-même sont effectués. Un contrat doit être conclu lorsque des traitements sont effectués par un sous-traitant.
Vous trouverez plus d’information concernant le transfert des données personnelles à des tiers sous les points 4. « Catégories de destinataires des données » et 5 « Communication des données personnelles à l’étranger » ci-dessous.
2.8 Sécurité des données personnelles
Conformément à l’article 8 nLPD, la FER CIGA s’assure que la sécurité des données est garantie par rapport au risque encouru, tout particulièrement les données personnelles sensibles. Cela signifie que les données personnelles sont protégées par des mesures techniques et organisationnelles appropriées au regard de la nature des données et les risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher la destruction, la perte, l’altération, l’utilisation abusive, la divulgation ou l’accès non autorisés, accidentels ou illégaux des données et contre toute autre forme de traitement illicite.
Parmi ces mesures de sécurité techniques et organisationnelles garantissant la confidentialité, intégrité, disponibilité, traçabilité), sont identifiées les suivantes :
- Mesures de minimisation des données
- Mesures de chiffrement des données
- Mesures de traçabilité et de journalisation des accès
- Politique rigoureuse des accès et des habilitations
- Mesures d’anonymisation
- Mesures d’archivage.
Ces mesures de sécurité font l’objet de contrôle et de revue régulière, notamment les mesures relatives à :
- La gestion de la sécurité de l’information
- L’évaluation des risques pour la sécurité de l’information
- Les contrôles physiques
- Les contrôles d’accès logiques
- La protection contre les logiciels malveillants et le piratage
- Les mesures de cryptage/chiffrement des données
- Les mesures de gestion de la sauvegarde et de restauration des données
2.9 Registre des activités de traitement
Conformément à l’article12 de la nLPD, la FER CIGA a l’obligation de tenir un Registre des activités de traitement dans lequel est détaillé :
- L’identité du Responsable de traitement,
- La finalité de traitement,
- Les catégories de personnes concernées,
- Les catégories de données traitées,
- Le type de donnée,
- Les catégories de destinataires,
- La durée de conservation et une description des mesures visant à garantir la sécurité et la protection des données personnelles selon l’article 8 de la nLPD.
La FER CIGA a établi ce registre et l’a déclaré auprès du Préposé fédéral à la protection des données en application de l’article 12 al. 4 nLPD.
2.10 Formation et sensibilisation
La formation, la sensibilisation et l'information des collaborateurs de la FER CIGA sur les règles de sécurité et protection des données en vigueur sont cruciales pour la sécurité des données personnelles.
La veille scientifique, technique et juridique sont indispensables afin que la FER CIGA puisse garantir un niveau de sécurité et de protection approprié au regard de l’évolution des menaces cyber ou de l’évolution technique des SI.
Des campagnes de sensibilisation sont menées de manière régulière et itérative.
Les données de la FER CIGA, y compris les données personnelles doivent être protégées, en fonction de leur classification, contre tout traitement non autorisé interne ou externe par des mesures organisationnelles et techniques appropriées.
2.11 Obligation de garder le secret
Les personnes qui traitent des données personnelles pour la FER CIGA, dans le cadre d’un contrat de travail ou d’un mandat de sous-traitance sont tenues de garder le secret à l’égard des tiers, ce également après la fin de la relation contractuelle.
Des exceptions existent uniquement lorsqu’elles sont fondées sur une base légale.
3. Type des données personnelles traitées
3.1 Type de données personnelles traitées
La FER CIGA traite principalement (sans y être limité) les catégories de données personnelles/sensibles suivantes :
- Numéro AVS
- Prénom, Nom
- Sexe
- Nationalité
- Langue
- État civil
- Date de naissance
- Lieu de naissance
- Adresse postale
- Courriel
- Téléphone
- Coordonnées bancaires
- Revenus
- Santé
- Poursuites
- Permis de travail
- Mesures d'aides sociales
- Certificat de scolarité
- Informations sur votre utilisation de notre site Internet
3.2 Finalité du traitement
La FER CIGA traite des données personnelles/sensibles de ses assurés, ayants droits, affiliés et employés afin d’assurer ses tâches de Caisse de Compensation Professionnelle. Les données des entreprises (affiliés) sont traitées selon les art. 57 r ss de la Loi sur l’organisation du gouvernement et de l’administration (LOGA). La FER CIGA traite également des données de ses employés et de ses partenaires et fournisseurs de services en tant que personne privée selon l’art 40 nLPD.
En particulier, ces finalités de traitement sont les suivantes (mais non limité à) :
- Affiliation d'une entreprise ou d'un indépendant à la caisse de compensation ; Création et maintien à jour des données des affiliés ;
- Assujettissement des assurés ; Déclaration de salaires ; Fixation des cotisations ; Gestion des affiliations des personnes sans activité lucrative ; Gestion des changements de canton ; Traitement des courriers en retour ; Gestion des intérêts moratoires et rémunératoires ; Gestion des taxes et amendes ; Gestion des communications fiscales/rejets IFD ; Gestion des oppositions/réclamations ; Gestion des radiations ;
- Gestion des allocations familiales ;
- Indemnités journalières AI ; Prestations APG/AMAT/APAT ; Prestations AVS/AI ; Traitement des oppositions ; Traitement des restitutions de prestations ;
- Réalisation des contrôles AVS ;
- Procédures de poursuite/faillite ; Procédures pénales ; Décision en réparation de dommage ; Décision sur opposition à la décision en réparation de dommage ;
- Traitement des oppositions et des recours ; Examen des demandes d'affiliation d'indépendants / examen des requalifications d'activité ; Assistance en matière juridique ;
- Reconstitution des déclarations des salaires non rentrées ; Gestion des demandes de rectification des CI ;
- Facturation ; Gestion des attestations fiscales ;
- Administration comptable des caisses ; comptabilité générale ;
- Gestion informatique ;
- Gestion du personnel de la caisse de compensation ;
- Gestion des autres tâches déléguées selon la LAVS ;
- Gestion des relations avec le personnel des partenaires et fournisseurs de services de la caisse de compensation ;
- Traitement de votre requête, pour pouvoir vous envoyer la newsletter et/ou utiliser les données à des fins de marketing.
4. Catégories de destinataires des données
Dans le cadre de certaines de ses tâches de Caisse de Compensation Professionnelle, la FER CIGA peut être amenée à communiquer des données personnelles/sensibles à des tiers. En particulier (mais non limités à) :
- Affiliés
- Mandataires
- Organes fédéraux/cantonaux
- Autorités judiciaires
- Institutions sociales étrangères (UE/AELE)
Ces communications sont réalisées, le cas échéant, dans le strict respect des dispositions réglementaires en vigueur, en particulier (mais non limité à) l’article 50a de la LAVS et l’article 66a de la LAI.
5. Communication des données personnelles à l’étranger
Dans le cadre de certaines de ses tâches de Caisse de Compensation Professionnelle, la FER CIGA peut être amenée à communiquer des données personnelles/sensibles dans des États tiers. Dans le cas où des données personnelles/sensibles devaient être communiquées dans un État ne disposant pas d’un niveau de protection approprié, des mesures complémentaires sont prévues afin de garantir raisonnablement un niveau de protection adéquat dans le pays destinataire.
La FER CIGA se base, en la matière, sur l’annexe de l’OPDo qui mentionne les États avec un niveau de protection des données adéquat.
Les mesures complémentaires sont celles indiquées aux articles 16 et 17 de la nLPD, notamment l’utilisation des clauses types de protection des données approuvées par le Préposé Fédéral à la Protection des Données (PFPDT).
6. Conservation des données personnelles
Lors du traitement des données personnelles, la FER CIGA procède conformément au principe de proportionnalité : elle ne collecte pas plus de données personnelles que nécessaire pour accomplir ses tâches légales et les autorisations d’accès sont limitées aux collaborateurs qui en ont effectivement besoin pour remplir leur mission.
À l’exception des données déterminantes dans l’octroi du droit à une prestation FER CIGA (soit 10 ans après l'extinction du dernier droit à une prestation s'il n'y a pas d'autres prestations qui pourraient être octroyées sur la base de ces données / au plus, jusqu'à l'âge hypothétique de 150 ans de l'assuré), les données personnelles sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires pour la finalité du traitement.
7. Informations sur votre ordinateur, cookies
Lorsque vous visitez notre site Internet www.fpe-ciga.ch nous utilisons les fichiers journaux et des cookies (notamment Google Analytics et Pixel Meta). Les cookies sont des fichiers d’information personnelle et non personnelle que votre navigateur internet enregistre automatiquement sur le disque dur de votre ordinateur lorsque vous visitez notre site internet. Nous récoltons les données suivantes:
- L’adresse IP de votre ordinateur
- La requête de votre navigateur et la date et l’heure de cette requête
- Le statut et la quantité de données
- Votre provenance géographique et la langue que vous utilisez
- Des informations sur le produit et la version du navigateur utilisé et du système d’exploitation de votre ordinateur
- Le site internet à partir duquel l’accès à notre site a eu lieu et les sous-sites accessibles par un système accédant à notre site internet
- Les informations des pages consultées, telle que la page précédente ainsi que les différentes interactions faites avec notre site (consultations, formulaires remplis, clics).
L’adresse IP de votre ordinateur est enregistrée pour une durée de 30 jours, et est ensuite rendue anonyme mais conservées 28 mois dans Google Analytics.
Nous utilisons ces données pour le fonctionnement de notre site Internet, notamment pour détecter et corriger les erreurs du site Internet, pour déterminer le taux d’utilisation du site Internet et pour procéder à des adaptations ou des améliorations. En outre, l'adresse IP est évaluée avec les autres données en cas d'attaques contre l'infrastructure du réseau ou d'autres utilisations non autorisées ou abusives du site Internet à des fins de clarification et de défense et, si nécessaire, utilisée dans le cadre de procédures pénales pour l'identification et pour les procédures civiles et pénales contre les utilisateurs concernés.
Ces données sont collectées et traitées dans le but d’améliorer les services qui vous sont fournis, par exemple pour enregistrer temporairement les données que vous avez saisies lorsque vous remplissez un formulaire sur le site Internet, afin que vous ne deviez pas répéter la saisie lorsque vous consultez le site Internet à nouveau, pour enregistrer les préférences des utilisateurs pour les cookies tiers, pour distinguer les utilisateurs ou pour conserver l’état de la session de votre visite sur notre site Internet.
Vous serez averti la première fois que vous recevez un cookie et vous pourrez ainsi décider de l’accepter ou de le refuser. Vous trouverez plus d’information sur notre utilisation de cookies sur le bandeau de cookies figurant en bas de notre site.
Vous pouvez également programmer votre navigateur de manière à refuser systématiquement les cookies. Toutefois, si tel était le cas, certaines fonctionnalités et caractéristiques du site Internet pourraient ne pas fonctionner correctement et vous pourriez ne pas être en mesure de pouvoir accéder à certains services. Si vous ne souhaitez accepter que nos propres cookies et non ceux de nos prestataires de services et partenaires, vous pouvez sélectionner le paramètre «Bloquer les cookies tiers» dans votre navigateur.
8. Droits des personnes concernées
La nLPD garantit aux personnes concernées certains droits qu’elles peuvent faire valoir vis-à-vis de la FER CIGA. Il s’agit en particulier des droits suivants :
- Droit d’accès : la personne concernée peut demander si l’organe d’exécution traite des données personnelles la concernant, et si oui, lesquelles.
- Droit de rectification et de destruction : droit d’exiger que des données inexactes soient rectifiées ou détruites.
- Droit d’interdire la communication de ses données personnelles sous certaines conditions.
La FER CIGA répond à ces demandes dans un délai de 30 jours à compter de la réception de celle-ci, sauf exception.
La nLPD introduit un droit à la remise ou à la transmission des données personnelles (ou « portabilité des données »). Aux termes de l’art. 28 al. 1 nLPD, la personne concernée peut demander au responsable du traitement qu’il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu’elle lui a communiquées. Le but de cette disposition est de donner à la personne concernée le contrôle de ses données et en particulier de lui permettre de les réutiliser ou de les transmettre à un autre responsable du traitement ou sous-traitant. Mais étant donné que le droit à la portabilité des données ne peut s’appliquer que si les données personnelles sont traitées sur la base du consentement ou en relation avec un contrat, il n’est pas applicable pour les organes fédéraux (dont la FER CIGA) qui traitent des données personnelles dans le cadre de leurs tâches légales ou en s’appuyant sur une base légale.
9. Conseiller à la protection des données
Conformément à son obligation légale (article 10 al. 4 nLPD et OPDo), la FER CIGA a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application des dispositions relatives à la protection des données personnelles.
Pour toute question au sujet de la protection des données vous pouvez nous contacter à l’adresse e-mail suivante protectiondesdonnees@ciga.ch ou à l’adresse postale mentionnée au point 1. de ce document. Le Conseiller à la protection des données (CPD) est le point de contact privilégié pour les personnes concernées.
10. Modifications de la présente déclaration de protection des données
Nous nous réservons le droit de modifier à tout moment la présente déclaration de protection des données avec effet pour l’avenir. Une version actualisée est disponible sur notre site Internet. Nous vous invitons à le consulter régulièrement afin de vous informer sur la politique de protection des données en vigueur. La présente déclaration de protection des données est entrée en vigueur le 1er septembre 2023.
Dernière mise à jour : 31 août 2024