Déclaration de protection des données
Principe
S'en tenir à la loi en vigueur et au Règlement sur la protection des données au SEV lors du traitement de données personnelles. Le règlement fixe les principes généraux qui s'appliquent pour le traitement des données personnelles. Il est contraignant pour l'ensemble des collaborateurs et collaboratrices, ainsi que les organes dirigeants du Syndicat du personnel des transports SEV.
Données personnelles
Les données personnelles sont des informations (données) qui ont rapport à une personne physique identifiée ou identifiable («personne concernée»). Elles établissent une référence à la personne, ce qui n'apparaît clairement parfois que dans le contexte concret. Cela ne joue aucun rôle si les données personnelles sont sauvegardées sous forme électronique ou sur un support physique.
Au SEV, les données personnelles suivantes sont disponibles, entre autres:
- coordonnées telles que nom, adresse, adresse e-mail, numéro de téléphone
- appartenance à une organisation interne
- données d'identification telles que adresse IP, numéro de pièce d'identité, numéro AVS ou empreintes digitales
- matériel visuel ou audio avec possibilité d'identification des personnes
- données sur la personne
- données fournies par les services
Traitement des données personnelles
Le traitement des données personnelles est un concept extrêmement large impliquant toutes sortes de manipulations de ces dernières (sous forme électronique ou physique).
- Les conserver, les enregistrer et les archiver
- Les prélever/obtenir
- Y accéder
- Les transmettre/transférer à des tiers
- Les évaluer/analyser
- Les publier
- Les effacer/supprimer
- Les anonymiser/pseudonymiser
Les données personnelles sont traitées en ligne, notamment par le biais d'outils de tracking, des réseaux sociaux et de cookies. Des applications comme l'OM ou le portail des sections contiennent dans tous les cas des données personnelles. En outre, les données personnelles sont également traitées lors de la sauvegarde des dossiers personnels.
Données personnelles particulièrement dignes de protection
Des directives plus strictes s'appliquent pour les données personnelles qui entrent dans la catégorie des personnes à protéger particulièrement. Ces données sont particulièrement à protéger.
Principes de traitement
- Les données personnelles sont à traiter avec équité et uniquement comme la personne concernée est en droit de l'attendre.
- Que les données personnelles soient obtenues par l'intermédiaire de la personne concernée elle-même - ou par le biais d'une autre source, la personne concernée doit être informée de manière active, compréhensible, en temps utile et dans le détail du traitement de ses données personnelles.
- Les données personnelles ne peuvent être collectées que pour un usage spécifique et perceptible pour la personne concernée ; elles ne peuvent être traitées que dans ce but.
- La quête de données personnelles doit se limiter au strict nécessaire. Par ailleurs, les données personnelles doivent être anonymisées ou pseudonymisées dans la mesure du possible.
- Les données personnelles ne peuvent être conservées que pendant la durée nécessaire aux objectifs visés par le traitement. Un concept de suppression fait en sorte que les données personnelles soient effacées après un certain temps.
- Les données personnelles sont exactes et mises à jour.
- Les données personnelles sont à traiter de manière confidentielle. Elles sont protégées par des mesures techniques et organisationnelles adéquates contre toute destruction, modification, perte ou divulgation non autorisée.
Fondements juridiques
Le traitement des données requiert une base juridique particulière en cas de violation des principes précités, si des données personnelles sensibles sont communiquées à des tiers ou si des données personnelles sont traitées contre la volonté expresse de la personne concernée.
Dispositions en matière de protection des données
Informer de manière claire et compréhensible les personnes concernées lorsque leurs données sont traitées, sauf par exemple si c'est prévu par la loi.
La personne concernée doit être informée au moins des éléments suivants:
- Coordonnées de l'organisation responsable des données
- But du traitement
- Destinataire ou catégorie de destinataire
- Catégories de données en cas de collecte indirecte de données (non pas auprès de la personne concernée)
- Modalités des décisions essentielles prises de manière entièrement automatisée
Voir aussi le règlement de protection des données au SEV.
Traitement sur mandat de données personnelles
Le traitement des données personnelles peut être confié à un prestataire responsable du mandat. Cependant, vis-à-vis de la personne concernée, c'est le SEV qui assume la responsabilité du traitement des données personnelles. En cas de recours à un prestataire, les conditions suivantes doivent être remplies:
- Lors du choix du prestataire, veiller à ce que ce dernier puisse garantir la protection et notamment la sécurité des données.
- La transmission de données personnelles au prestataire n'enfreint aucun principe légal ou contractuel de respect de la confidentialité.
- Une convention sur le traitement des mandats par écrit ou sous forme de texte est conclue avant de transmettre des données personnelles au prestataire.
Dans la convention sur le traitement des mandats, les prestataires doivent notamment s'engager à traiter les données personnelles conformément à leur mandat et aux instructions du SEV, à ne pas les utiliser à d'autres fins et à garantir la sécurité du traitement des données. L'accord du SEV est nécessaire pour faire appel à des sous-traitants.
Déclaration des incidents
Signaler sans délai au conseiller ou à la conseillère à la protection des données au SEV toute menace ou violation de la protection des données (Enable JavaScript to view protected content.). Le conseiller ou la conseillère à la protection des données étudie avec le service informatique du SEV les informations provenant des autorités et des personnes concernées, ainsi que les mesures à prendre.
Transmettre les demandes des personnes concernées
Si les personnes concernées demandent des renseignements ou des rectifications, un transfert des données - les contestent - ou une révision des décisions individuelles automatisées relatives à leurs données personnelles, le signaler sans délai au conseiller ou à la conseillère à la protection des données. Il ou elle s'occupe notamment de la compilation des données dans tous les domaines et se charge de la communication avec les personnes impliquées.