Politique de confidentialité FER CIGA

La loi fédérale sur la protection des données, totalement révisée (ci-après dénommée « nLPD ») ainsi que les nouvelles ordonnances sur la protection des données (OPDo) et sur les certifications en matière de protection des données (OCPD) entrent en vigueur le 1er septembre 2023. La FER CIGA a préalablement réalisé un projet de mise en conformité visant à la mise en œuvre systématique de la protection des données en tant qu’organe d’exécution du 1er pilier. Cette mise en œuvre systématique de la protection des données s’articule autour des champs d’action suivants :

  • Organisation de la protection des données
  • Gouvernance et directives
  • Conformité des activités de traitement à la protection des données
  • Registres des activités de traitement
  • Analyses d’impact relatives à la protection des données
  • Devoir d’informer et droits des personnes concernées
  • Sous-traitance, responsabilité commune et communication de données à des responsables du traitement tiers
  • Sécurité des données et annonce des violations de la sécurité des données

Pour chacun de ces champs d’action, la FER CIGA a défini sa règlementation interne en la matière (en ligne avec la législation), rédigé des procédures et implémenté des contrôles.

Terme, abréviation Définition
Organe fédéral L’autorité fédérale, le service fédéral ou la personne chargée d’une tâche publique de la Confédération
nLPD LPD révisée (FF 2020 7639 ; consultable sur https://www.fedlex.admin.ch/eli/fga/2020/1998/fr)
OPDo Ordonnance sur la protection des données (consultable sur https://www.fedlex.admin.ch/eli/oc/2022/568/fr)
CCP Caisse de compensation professionnelle
PFPDT Préposé fédéral à la protection des données personnelles et à la transparence
Données personnelles Toutes les informations concernant une personne physique identifiée ou identifiable
Personne concernée La personne physique dont les données personnelles font l’objet d’un traitement
Données personnelles sensibles (données sensibles)
  1. Les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
  2. Les données sur la santé, la sphère intime ou l’origine raciale ou ethnique,
  3. Les données génétiques,
  4. Les données biométriques identifiant une personne physique de manière univoque,
  5. Les données sur des poursuites ou sanctions pénales et administratives,
  6. Les données sur des mesures d’aide sociale
Traitement Toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données
Communication Le fait de transmettre des données personnelles ou de les rendre accessibles
Responsable du traitement La personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles
Sous-traitant La personne privée ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement

1. Responsable du traitement

Coordonnées : Caisse interprofessionnelle AVS de la Fédération des Entreprises Romandes
FER CIGA 106.3 Rue de la Condémine 56
1630 Bulle
T 026.919.87 40

Par ailleurs, la FER CIGA peut déléguer les traitements de données personnelles/sensibles à des sous-traitants. Elle demeure néanmoins ultimement responsable de ces traitements délégués vis-à-vis de la personne concernée et de l’autorité de surveillance. La FER CIGA veille à respecter, dans ce cadre, l’article 9 de la nLPD (notamment par la conclusion d’un contrat avec ses sous-traitants).

2. Principes généraux du traitement des données personnelles

2.1 Légalité (art. 6 et 34ss nLPD)
La FER CIGA étant un organe fédéral, elle ne peut traiter des données que si elle a une base légale formelle ou matérielle en application des articles 34 et ss nLPD. Dans le cadre de ses prestations de prévoyance, elle a le droit de traiter des données en application de la LAVS, LAI, LPGA, LAFam et de leurs ordonnances d’application.

2.2 Proportionnalité (art. 6 al. 2, 4 et 6 nLPD)
La FER CIGA traite les données strictement nécessaires à l'objectif visé, tout en minimisant la collecte, en application de la LAVS, LAI, LPGA, LAFam et de leurs ordonnances d’application.
Les données sont détruites ou anonymisées dès qu'elles ne sont plus nécessaires pour les finalités du traitement, à moins que la loi ne prévoie un délai de conservation.

2.3 Exactitude des données (art. 6 al. 5 nLPD)
La FER CIGA s’assure de l’exactitude des données collectées.
Des mesures appropriées sont prises pour rectifier, effacer ou détruire les données inexactes ou incomplètes, en tenant compte du type de traitement, de son étendue et des risques associés pour les personnes concernées.

2.4 Bonne foi (art. 6 al. 2 nLPD)
Tout traitement de données personnelles doit se faire dans le but indiqué aux personnes concernées ou qui ressort de la loi ou des circonstances.

2.5 Finalité (art. 6 al. 3 nLPD)
La collecte de données personnelles doit avoir des finalités déterminées et reconnaissables pour la personne concernée, en application de la LAVS, LAI, LPGA, LAFam et de leurs ordonnances d’application.

2.6 Accès aux données personnelles
Les collaborateurs et les sous-traitants de la FER CIGA ont accès aux seules données personnelles nécessaires à l’exécution de leur travail.

2.7 Transfert des données personnelles à des tiers
Le traitement de données personnelles peut être confié à des tiers (sous-traitant) en application de l’article 9 nLPD, sous réserve qu’aucune obligation légale ou contractuelle de garder le secret ne l’interdit et que seuls les traitements que le mandant serait en droit d’accomplir lui-même sont effectués. Un contrat doit être conclu lorsque des traitements sont effectués par un sous-traitant.

2.8 Sécurité des données personnelles
Conformément à l’article 8 nLPD, la FER CIGA s’assure que la sécurité des données est garantie par rapport au risque encouru, tout particulièrement les données personnelles sensibles. Cela signifie que les données personnelles sont protégées par des mesures techniques et organisationnelles appropriées au regard de la nature des données et les risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher la destruction, la perte, l’altération, l’utilisation abusive, la divulgation ou l’accès non autorisés, accidentels ou illégaux des données et contre toute autre forme de traitement illicite.

Parmi ces mesures de sécurité techniques et organisationnelles garantissant la confidentialité, intégrité, disponibilité, traçabilité), sont identifiées les suivantes :

  • Mesures de minimisation des données
  • Mesures de chiffrement des données
  • Mesures de traçabilité et de journalisation des accès
  • Politique rigoureuse des accès et des habilitations
  • Mesures d’anonymisation
  • Mesures d’archivage.

Ces mesures de sécurité font l’objet de contrôle et de revue régulière, notamment les mesures relatives à :

  • La gestion de la sécurité de l’information
  • L’évaluation des risques pour la sécurité de l’information
  • Les contrôles physiques
  • Les contrôles d’accès logiques
  • La protection contre les logiciels malveillants et le piratage
  • Les mesures de cryptage/chiffrement des données
  • Les mesures de gestion de la sauvegarde et de restauration des données

2.9 Registre des activités de traitement
Conformément à l’article12 de la nLPD, la FER CIGA a l’obligation de tenir un Registre des activités de traitement dans lequel est détaillé :

  • L’identité du Responsable de traitement,
  • La finalité de traitement,
  • Les catégories de personnes concernées,
  • Les catégories de données traitées,
  • Le type de donnée,
  • Les catégories de destinataires,
  • La durée de conservation et une description des mesures visant à garantir la sécurité et la protection des données personnelles selon l’article 8 de la nLPD.

La FER CIGA a établi ce registre et l’a déclaré auprès du Préposé fédéral à la protection des données en application de l’article 12 al. 4 nLPD.

2.10 Formation et sensibilisation
La formation, la sensibilisation et l'information des collaborateurs de la FER CIGA sur les règles de sécurité et protection des données en vigueur sont cruciales pour la sécurité des données personnelles.

La veille scientifique, technique et juridique sont indispensables afin que la FER CIGA puisse garantir un niveau de sécurité et de protection approprié au regard de l’évolution des menaces cyber ou de l’évolution technique des SI.

Des campagnes de sensibilisation sont menées de manière régulière et itérative.

Les données de la FER CIGA, y compris les données personnelles doivent être protégées, en fonction de leur classification, contre tout traitement non autorisé interne ou externe par des mesures organisationnelles et techniques appropriées.

2.11 Obligation de garder le secret
Les personnes qui traitent des données personnelles pour la FER CIGA, dans le cadre d’un contrat de travail ou d’un mandat de sous-traitance sont tenues de garder le secret à l’égard des tiers, ce également après la fin de la relation contractuelle.

Des exceptions existent uniquement lorsqu’elles sont fondées sur une base légale.

3. Type des données personnelles traitées

La FER CIGA traite principalement (sans y être limité) les catégories de données personnelles/sensibles suivantes :

  • Numéro AVS
  • Prénom, Nom
  • Sexe
  • Nationalité
  • Langue
  • État civil
  • Date de naissance
  • Lieu de naissance
  • Adresse postale
  • Courriel
  • Téléphone
  • Coordonnées bancaires
  • Revenus
  • Santé
  • Poursuites
  • Permis de travail
  • Mesures d'aides sociales
  • Certificat de scolarité

La FER CIGA traite des données personnelles/sensibles de ses assurés, ayants droits, affiliés et employés afin d’assurer ses tâches de Caisse de Compensation Professionnelle. En particulier, ces finalités de traitement sont les suivantes (mais non limité à) :

  • Affiliation d'une entreprise ou d'un indépendant à la caisse de compensation ; Création et maintien à jour des données des affiliés ;
  • Assujettissement des assurés ; Déclaration de salaires ; Fixation des cotisations ; Gestion des affiliations des personnes sans activité lucrative ; Gestion des changements de canton ; Traitement des courriers en retour ; Gestion des intérêts moratoires et rémunératoires ; Gestion des taxes et amendes ; Gestion des communications fiscales/rejets IFD ; Gestion des oppositions/réclamations ; Gestion des radiations ;
  • Gestion des allocations familiales ;
  • Indemnités journalières AI ; Prestations APG/AMAT/APAT ; Prestations AVS/AI ; Traitement des oppositions ; Traitement des restitutions de prestations ;
  • Réalisation des contrôles AVS ;
  • Procédures de poursuite/faillite ; Procédures pénales ; Décision en réparation de dommage ; Décision sur opposition à la décision en réparation de dommage ;
  • Traitement des oppositions et des recours ; Examen des demandes d'affiliation d'indépendants / examen des requalifications d'activité ; Assistance en matière juridique ;
  • Reconstitution des déclarations des salaires non rentrées ; Gestion des demandes de rectification des CI
  • Facturation ; Gestion des attestations fiscales
  • Administration comptable des caisses ; comptabilité générale ;
  • Gestion informatique ;
  • Gestion du personnel de la caisse de compensation
  • Gestion des autres tâches déléguées selon la LAVS

4. Catégories de destinataires des données

Dans le cadre de certaines de ses tâches de Caisse de Compensation Professionnelle, la FER CIGA peut être amenée à communiquer des données personnelles/sensibles à des tiers. En particulier (mais non limités à) :

  • Affiliés
  • Mandataires
  • Organes fédéraux/cantonaux
  • Autorités judiciaires
  • Institutions sociales étrangères (UE/AELE)

Ces communications sont réalisées, le cas échéant, dans le strict respect des dispositions réglementaires en vigueur, en particulier (mais non limité à) l’article 50a de la LAVS et l’article 66a de la LAI.

5. Communication des données personnelles à l’étranger

Dans le cadre de certaines de ses tâches de Caisse de Compensation Professionnelle, la FER CIGA peut être amenée à communiquer des données personnelles/sensibles dans des États tiers. Dans le cas où des données personnelles/sensibles devaient être communiquées dans un État ne disposant pas d’un niveau de protection approprié, des mesures complémentaires sont prévues afin de garantir raisonnablement un niveau de protection adéquat dans le pays destinataire.

La FER CIGA se base, en la matière, sur l’annexe de l’OPDo qui mentionne les États avec un niveau de protection des données adéquat.

Les mesures complémentaires sont celles indiquées aux articles 16 et 17 de la nLPD, notamment l’utilisation des clauses types de protection des données approuvées par le Préposé Fédéral à la Protection des Données (PFPDT).

Conservation des données personnelles

Lors du traitement des données personnelles, la FER CIGA procède conformément au principe de proportionnalité : elle ne collecte pas plus de données personnelles que nécessaire pour accomplir ses tâches légales et les autorisations d’accès sont limitées aux collaborateurs qui en ont effectivement besoin pour remplir leur mission.

À l’exception des données déterminantes dans l’octroi du droit à une prestation FER CIGA (soit 10 ans après l'extinction du dernier droit à une prestation s'il n'y a pas d'autres prestations qui pourraient être octroyées sur la base de ces données / au plus, jusqu'à l'âge hypothétique de 150 ans de l'assuré), les données personnelles sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires pour la finalité du traitement.

7. Droits des personnes concernées

La nLPD garantit aux personnes concernées certains droits qu’elles peuvent faire valoir vis-à-vis de la FER CIGA. Il s’agit en particulier des droits suivants :

  • Droit d’accès : la personne concernée peut demander si l’organe d’exécution traite des données personnelles la concernant, et si oui, lesquelles.
  • Droit de rectification et de destruction : droit d’exiger que des données inexactes soient rectifiées ou détruites.
  • Droit d’interdire la communication de ses données personnelles sous certaines conditions.

La FER CIGA répond à ces demandes dans un délai de 30 jours à compter de la réception de celle-ci, sauf exception.

La nLPD introduit un droit à la remise ou à la transmission des données personnelles (ou « portabilité des données »). Aux termes de l’art. 28 al. 1 nLPD, la personne concernée peut demander au responsable du traitement qu’il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu’elle lui a communiquées. Le but de cette disposition est de donner à la personne concernée le contrôle de ses données et en particulier de lui permettre de les réutiliser ou de les transmettre à un autre responsable du traitement ou sous-traitant. Mais étant donné que le droit à la portabilité des données ne peut s’appliquer que si les données personnelles sont traitées sur la base du consentement ou en relation avec un contrat, il n’est pas applicable pour les organes fédéraux (dont la FER CIGA) qui traitent des données personnelles dans le cadre de leurs tâches légales ou en s’appuyant sur une base légale.

8. Conseiller à la protection des données

Conformément à son obligation légale (article 10 al. 4 nLPD et OPDo), la FER CIGA a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application des dispositions relatives à la protection des données personnelles.

La FER CIGA a mandaté la société secure4u.ch, spécialisée dans la protection des données et sécurité informatique, afin d’endosser le rôle de Conseiller à la protection des données.

Le Conseiller à la protection des données (CPD) est le point de contact privilégié pour les personnes concernées.

Le CPD peut être contacté en utilisant l’email suivant : jeremy@secure4u.ch