1. Bases légales

  • RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  • Loi fédérale sur la protection des données (LPD).
  • Ordonnance du Conseil fédéral sur la protection des données (OLPD).
  • Code des Obligations (art. 328 Al.2 CO)
  • La loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT).
  • Toute norme équivalente, en matière de protection des données, dans les droits nationaux de nos activités à l’étranger.

2. But

Le présent règlement a pour but de protéger la personnalité et les droits fondamentaux des personnes définies à l’art. 3 ci-dessous faisant l’objet d’un traitement de données.

Il régit les conditions de sécurité applicables à la collecte, la conservation, l’exploitation, la modification, la communication et l’archivage des données personnelles des collaborateurs et clients de REGDATA SA, ci-après « REGDATA ».

3. Champ d’application

Le présent règlement s’applique à toutes les données personnelles :

  • relatives aux collaborateurs indépendamment de la nature du contrat déployant ou ayant déployé une activité pour REGDATA ;
  • à caractère commercial inhérentes à la gestion des clients.

Le présent règlement ne s’applique pas :

  • aux données personnelles des candidats dont le dossier n’a pas abouti à un engagement.

4. Définitions

On entend par :

Accès aux données : faculté d’accéder à des données personnelles, conformément à un profil d’accès déterminé ou une autorisation octroyée par le maître du fichier.

Archivage : moment à partir duquel les dossiers contenant les données personnelles des collaborateurs ne sont plus exploités, mais simplement conservés notamment afin de répondre aux exigences légales.

Ayant-droit : toute personne mise au bénéfice d’un profil d’accès à des données personnelles ou autorisée par le maître du fichier.

Catégorie de données : regroupement de données personnelles des collaborateurs ou des Clients, en fonction de leur nature (données identitaires, individuelles, liées à la famille, contractuelles, liées à la position, liées aux compétences, administratives, financières, liées à l’évaluation, liées aux prestations complémentaires, historiques).

Collaborateur : toute personne, employée par l’une ou l’autre des entités du groupe REGDATA (contrat de travail), y compris les stagiaires (contrat de stage), les apprentis (contrat d’apprentissage) et les étudiants Matupro (contrat MPC).

Conseiller à la protection des données : personne agissant au nom de REGDATA, qui contrôle le traitement des données personnelles, fait procéder aux éventuelles corrections nécessaires et tient à jour un inventaire des fichiers gérés par le maître du fichier.

Communication de données : fait de rendre des données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant.

Données personnelles: informations relatives à une personne identifiée ou identifiable.

Dossier physique : données personnelles ou d’un client, sous forme de documents, comprenant notamment le contrat d’engagement, et tout questionnaire interne.

Fichier : tout ensemble de données personnelles, dont la structure permet de rechercher les données par personne concernée, en particulier le dossier physique d’une personne ou l’ensemble des informations contenues dans le système d’information spécifique aux Ressources Humaines.

DRH : direction des Ressources Humaines de REGDATA.

GRH : gestionnaire en ressources humaines, en charge des collaborateurs d’un secteur d’activité, qui peut se voir déléguer des fonctions du DRH.

Maître du fichier: personne agissant au nom de REGDATA, validant l’objectif et le contenu du fichier, ainsi que les droits d’accès au dit fichier, conformément à la LPD ou aux lois équivalentes.

Niveaux de protection des données : catégorisation des données personnelles, en fonction de leur degré de confidentialité, à savoir :

  • Information de niveau «Public », non sensible, accessible à l’ensemble des collaborateurs de REGDATA et à l’externe.
  • Information de niveau « Interne», soit non sensible, accessible à l’ensemble des collaborateurs de REGDATA, soit peu sensible, accessible à un cercle prédéfini de collaborateurs de REGDATA en fonction des besoins, transmissible par ces derniers exclusivement au détenteur d’un profil d’accès identique aux leurs ou bénéficiant d’accès plus étendus que les leurs.
  • Information de niveau « Confidentiel», sensible, accessible à un cercle restreint de collaborateurs de REGDATA, transmissible par ces derniers à un tiers exclusivement avec l’accord exprès de leur propriétaire ou du maître du fichier.

Profil d’accès : profil déterminé en regard de la fonction et des responsabilités professionnelles, octroyant à son bénéficiaire un droit accès à certaines catégories de données personnelles.

Traitement des données : toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, la conservation, l’exploitation, la modification, la communication et l’archivage de données.

5. Disposition générales

5.1 Traitement des données personnelles

5.1.1 Collecte

REGDATA procède à la collecte d’informations personnelles relatives à ses clients, aux fins de fournir aux responsables des lignes d’activité, les données personnelles et statistiques relatives à leurs clients, nécessaires à l’accomplissement de leur activité.

La teneur des informations recueillies se limite aux données nécessaires aux objectifs de gestion de leur activité au sein de REGDATA et les données des clients nécessaires à l’exécution d’un contrat commercial. Les collaborateurs et les clients sont tenus de fournir l’intégralité des données requises à cet effet.

Les données collectées peuvent revêtir une forme physique ou électronique.

5.1.2. Conservation

5.1.2.1. Dossiers physiques

Les dossiers physiques des clients sont conservés par la Direction et les responsables commerciaux, dans une armoire ou aux archives dont l’accès est réservé aux collaborateurs.

5.1.2.2. Données informatisées

Les données personnelles relatives aux clients recueillies sur supports informatiques sont conservées sous la responsabilité de l’administrateur des sauvegardes.

5.1.2.3. Durée de conservation

Les données personnelles des clients sont conservées depuis leur enregistrement et sans limite de temps, sauf cas de force majeure.

5.1.3. Archivage

5.1.3.1. Dossiers physiques

Les dossiers physiques des clients sont retenus jusqu’au 31 décembre de l’année en cours plus l’année précédente au sein de REGDATA, puis versés aux archives auprès de Secur’Archiv. L’accès de ces archives est réglementé selon le présent règlement et selon les processus de Secur’Archiv.

5.1.3.2. Données informatisées

Les données informatisées ne sont pas versées dans un système d’archivage électronique (SAE) mais retenues dans les systèmes de gestion documentaire que pour les données des clients.

5.1.4. Exploitation

Seules les personnes habilitées par le présent règlement ou expressément autorisées par le maître du fichier peuvent exploiter les données personnelles et des clients, ce à des fins exclusivement professionnelles.

5.1.5. Modification

Les collaborateurs sont tenus, en tout temps :

  • de tenir à jour leurs propres données personnelles auxquelles ils ont un libre accès ;
  • de faire procéder à la mise à jour, par les personnes habilitées des Ressources Humaines, de leurs propres données personnelles auxquelles ils ne peuvent accéder directement.
  • de demander aux clients de mettre à jour leurs propres données personnelles auxquelles ils ont un libre accès ou de les modifier eux-mêmes sur demande du client;

Les collaborateurs tout comme les clients sont dûment informés que toute fausse déclaration ou toute dissimulation de données utiles engage leur responsabilité.

Les team leader veillent à ce que les collaborateurs dont ils ont la charge s’acquittent de leur devoir d’information. Ils s’assurent en outre de la tenue à jour des données personnelles des collaborateurs et des clients dont le traitement leur incombe.

5.1.6. Communication

5.1.6.1.Communication, par le collaborateur, de ses propres données personnelles

Tout collaborateur est habilité à communiquer ses propres données personnelles à de tierces personnes, à son entière discrétion.

Il est toutefois tenu à une stricte confidentialité s’agissant des données privées pouvant révéler des informations professionnelles, conformément à la teneur de son contrat de travail.

5.1.6.2. Communication au sein de REGDATA

  • Tout collaborateur ayant connaissance, dans le cadre de son activité professionnelle, de données personnelles relatives à d’autres collaborateurs ou clients, est strictement tenu de les traiter de manière confidentielle et s’engage à ne pas les divulguer, sauf cas ci-après:

  • Il ne peut communiquer des données personnelles de niveau « Interne » auxquelles lui donne droit son profil d’accès qu’au détenteur d’un profil identique au sien ou d’un profil bénéficiant d’accès plus larges que le sien. En cas de doute, le collaborateur est tenu de s’adresser au maître du fichier.

  • La communication à un tiers de données personnelles de niveau « Confidentiel » requiert l’accord exprès de leur propriétaire ou du maître du fichier.

5.1.6.4. Communication à l’externe de REGDATA

Toute communication de données personnelles relatives aux collaborateurs à l’extérieur de REGDATA, sous réserve des données de niveau « Public », doit faire l’objet d’une autorisation préalable expresse du maître du fichier, ce y compris dans les cas où cette communication est destinée à un tiers lié par un mandat avec REGDATA.

5.1.6.5. Autorisation du maître du fichier et déclaration écrite

En cas de communication autorisée par le maître du fichier, le destinataire est tenu de signer un engagement de confidentialité, le rendant notamment attentif aux conséquences pénales d’une violation du devoir de discrétion défini par la législation applicable.

Si le destinataire est lié par un mandat avec REGDATA et dans la mesure où les termes et conditions dudit mandat sont suffisamment contraignants en termes de devoir de confidentialité, le maître du fichier peut le dispenser de signer un tel engagement.

5.2. Accès aux données personnelles

5.2.1. Dossiers physiques

Le contenu des dossiers physiques ne peut être consulté que par la Direction et les collaborateurs des Ressources humaines dûment habilités.

Chaque collaborateur a accès à son dossier physique, sur demande adressée au GRH en charge de sa ligne d’activité.

Sont réservées les dispositions légales en matière de protection des données, applicables en Suisse et à l’étranger, autorisant des tiers à accéder aux données.

5.2.2. Données informatisées

5.2.2.1. Accès des clients à leurs propres données

Chaque client a accès à ses données personnelles traitées par la Finance, conformément à son profil d’accès sur les plateformes commerciales (RegData Protection Suite et REGDATA SaaS) de REGDATA.

5.2.2.2. Accès aux données personnelles « Public » et « Interne »

Chaque collaborateur de REGDATA et client a accès aux données personnelles de niveaux « Public » et « Interne »de l’ensemble des collaborateurs de REGDATA.

5.2.2.3. Accès aux données personnelles « Confidentiel »

L’accès aux autres données personnelles des collaborateurs et clients, soit celles de niveaux « Confidentiel », est régi en fonction de profils d’accès prédéterminés selon les besoins et les responsabilités propres à la fonction professionnelle de leur bénéficiaire (notamment les fonctions Direction, Finance, RH, Sécurité, et les responsabilités hiérarchiques ou fonctionnelles).

Les différents profils d’accès sont susceptibles de modification, en tout temps, par le maître du fichier.

Chaque profil d’accès confère à son bénéficiaire, pour chaque catégorie de données personnelles précise, l’une des trois options suivantes :

  • Type d’accès « Y »: l’accès est automatique et sans restriction pour le bénéficiaire du profil.
  • Type d’accès « D » : l’accès est soumis à l’autorisation du maître du fichier.
  • Type d’accès « N » : l’accès n’est pas accordé au bénéficiaire du profil.

5.2.2.4. Accès sur autorisation du maître du fichier

Toute demande d’accès de type « D » doit être motivée et adressée au maître du fichier, au moyen du formulaire mis à disposition par REGDATA.

Le maître du fichier est habilité à accorder ou non l’accès aux données requis par le bénéficiaire du profil d’accès. Le cas échéant, il fait signer au demandeur un engagement de confidentialité. Il prend toutes les mesures nécessaires et utiles, afin de garantir la confidentialité des données concernées.

6. Dispositions particulières

6.1 Données des collaborateurs externes

Lorsque REGDATA recoure aux services de collaborateurs externes elle se conforme aux dispositions du présent règlement. Elle veillera notamment à limiter aux seules personnes autorisées l’accès aux données de ces collaborateurs.

7. Organisation et responsabilités

7.1.  Ayant-droit

Tout collaborateur au bénéfice d’un profil d’accès ou d’une autorisation accordée par le maître du fichier est tenu d’assurer la protection des données auxquelles il accède.

Il est tenu d’utiliser les données strictement dans le but qui leur est dévolu.

Il n’est autorisé à communiquer lesdites données à des tiers que moyennant respect des règles définies au chapitre 5.1.6. ci-dessus.

Toute violation des règles de protection des données impliquera le blocage du profil d’accès. Tout contrevenant se verra en outre appliquer les sanctions internes adéquates, pouvant aller de l’avertissement au licenciement. D’éventuelles sanctions pénales demeurent réservées.

7.2.  Client

Le Client est responsable de fournir l’intégralité des données personnelles requises par REGDATA et d’en garantir la véracité. Il est tenu d’annoncer sans délai tout changement relatif à ses données personnelles.

Le Client est dûment informé dans les Conditions Générales que toute fausse déclaration ou toute dissimulation de données utiles engage sa responsabilité personnelle.

7.3.  Maître du fichier

Le maître du fichier est désigné par les Ressources Humaines. En cas d’absence, le maître du fichier ne peut être valablement remplacé que par l’un des conseillers à la protection des données.

Le maître du fichier a pour mission de déterminer l’objectif, le contenu et l’accès aux données personnelles des collaborateurs traitées par les Ressources Humaines.

A cet effet, le maître du fichier est notamment habilité à :

  • accorder ou non l’accès à des données de niveau « D »;
  • enregistrer les déclarations signées par les bénéficiaires d’un profil d’accès lors de l’octroi d’une autorisation ;
  • prendre toutes les mesures nécessaires et utiles, afin de garantir la confidentialité et l’exactitude des données concernées ;
  • modifier le présent règlement.

7.5.  Conseiller à la protection des données

Le conseiller à la protection des données est désigné par le maître du fichier. Il peut s’agir d’un membre de son personnel ou d’un tiers, disposant des connaissances professionnelles nécessaires et n’exerçant pas d’activité incompatible avec ses tâches de conseiller. Le conseiller à la protection des données exerce sa fonction de manière indépendante, sans recevoir d’instructions du maître du fichier.

Le conseiller à la protection des données a pour mission de contrôler les traitements de données personnelles effectués et, le cas échéant, de proposer les corrections nécessaires.

A cet effet, il est notamment habilité à :

  • dresser l’inventaire des fichiers gérés par le maître du fichier, à l’intention du Préposé fédéral ou des personnes concernées qui en font la demande ;
  • émettre des recommandations à l’intention du maître du fichier ;
  • assurer la suppléance du maître du fichier, en cas d’absence de ce dernier.

8. Entrée en vigueur et modification

Le présent règlement entre en vigueur avec effet immédiat. Elle n’a pas d’effet rétroactif.

Elle ne peut être modifiée que par le maître du fichier ou le conseiller à la protection des données.

Enterprise wide
application data protection

Localisation

REGDATA SA
Campus Biotech Innovation Park Genève
Avenue de Sécheron 15
1202 Genève - Suisse

Siège social
Ch. de la Pécholettaz 9
1066 Epalinges - Suisse