Politique de confidentialité
1. But et portée
Le présent concept sur la protection des données régit les rôles et responsabilités ainsi que les principes d’application relatives au traitement des données person-nelles.
Il met en exergue l’importance et la valeur de la notion de confidentialité des données, comprise dans le sens du respect de la sphère privée et des droits de la personnalité de nos bénéficiaires, de nos collaborateurs et de nos partenaires ex-ternes.
Il constitue la base incontournable applicable à l’ensemble des mesures et acti-vités de notre Fondation, en particulier en ce qui concerne le traitement
• des données personnelles des bénéficiaires ;
• des données personnelles des collaborateurs ;
• des informations relatives aux partenaires, fournisseurs et à d’autres tiers, dans la mesure où elles incluent des données personnelles.
La liste des données y compris les données sensibles figurent à l’annexe 2.
2. Bases juridiques
Le présent concept de protection des données repose sur la loi fédérale sur la protection des données du 1er septembre 2023, sur l’ordonnance relative à la loi fédérale sur la protection des données, sur la loi cantonale sur la protection des données, sur le Règlement sur la sécurité des données personnelles du canton de Fribourg, sur le Code des obligations, en particulier l’art. 328b, et sur la CCT INFRI-FOPIS, en particulier l’art. 30, al 1.
3. Définitions
Les principales notions sont définies dans l’annexe 1
4. Champ d’application
Le présent concept de protection des données s’applique à tous les organes et collaborateurs de la Fondation St-Louis ayant à traiter des données personnelles dans le cadre de l’accomplissement de leurs tâches et fonctions. Il s’applique également aux personnes et aux entreprises externes, dans la mesure où elles s’engagent à le respecter expressément et par écrit.
5. Finalité
L’objectif premier du présent concept est de garantir la protection de la person-nalité des personnes physiques (membres des organes de la Fondation, ainsi que les bénéficiaires et les collaborateurs de la Fondation St-Louis) contre l’utilisation illégale ou disproportionnée des données personnelles. Ce concept constitue une directive à valeur obligatoire, destinée à permettre à l’ensemble des personnes travaillant au sein de la Fondation St-Louis d’être en parfaite conformité avec les exigences relatives à la protection des données, en toute connaissance de cause. La réalisation de cet objectif doit également permettre à la Fondation St-Louis d’éviter les préjudices matériels et les atteintes à l’image pouvant résulter pour elle d’agissements contrevenant aux règles de protection des données.
6. Les principes régissant la protection des données
6.1 Licéité
Le traitement des données est réputé licite lorsqu’il est justifié par le consentement de la personne concernée, une autorisation légale, un intérêt public ou privé pré-pondérant, l’exécution d’un contrat existant, notamment le contrat de travail ou d’accompagnement ou par le fait que la personne concernée ait rendu ses don-nées accessibles et ne s’est pas expressément opposée à leur traitement.
6.2 Proportionnalité
La collecte de données doit répondre à une nécessité. Elle doit de surcroît se jus-tifier par un intérêt prépondérant. Les collectes de données à titre préventif sont illégales et les données devenues inutiles doivent être effacées.
6.3 Finalité
Les données ne peuvent être utilisées que dans le but annoncé au préalable pour justifier leur collecte. Les données ne peuvent en aucun cas être utilisées à des fins non identifiables par la personne concernée.
6.4 Transparence
La collecte et le traitement de données doivent être clairement identifiables. Les informations nécessaires doivent avoir été obtenues directement auprès de la personne concernée ou de son représentant légal.
6.5 Qualité des données
Il convient de s’assurer que les données traitées sont exactes, complètes et à jour. Les données inexactes et incomplètes doivent être corrigées ou supprimées.
6.6 Loyauté, bonne foi et vigilance
Il est attendu de chaque collaborateur qu’il agisse de bonne foi, qu’il traite les données personnelles avec une vigilance accrue, qu’il exécute avec soin le tra-vail confié et sauvegarde fidèlement les intérêts de l’employeur. Il est également tenu de garder le secret même après la fin du contrat. Les comportements abusifs et allant à l’encontre de ces règles sont contraires à la loi.
7. Sécurité des données : mesures préconisées
La protection des données et des données personnelles est assurée par le biais de mesures organisationnelles et techniques, tout particulièrement en ce qui concerne l’accès par des personnes non autorisées, l’utilisation abusive, la destruction, la perte, les erreurs techniques, la falsification, le vol, etc.
7.1 Mesures organisationnelles
Au sein de la Fondation St-Louis, l’accès aux données personnelles se fait selon le principe « autant que nécessaire, aussi peu que possible ». La direction fixe les règles applicables aux données, détermine qui a accès aux données personnelles et sous quelles conditions ; elle précise la manière dont ces processus sont supervisés. Conformément aux exigences légales, elle tient un registre des activités de traite-ment et s’assure qu’il soit toujours à jour. Elle réglemente également qui peut avoir accès aux données archivées.
7.2 Mesures techniques
La protection des données informatisées est garantie en particulier par l’utilisation appropriée qui en est faite, l’utilisation de pare-feux, de programmes anti-virus, etc. ainsi que par la journalisation des accès ainsi que par la prise de connais-sance de la charte informatique de la Fondation St-Louis. Contrôler les accès et les supports de données personnelles permet d’empêcher que des personnes non autorisées aient accès à des bases de données ou puis-sent les modifier, les effacer, s’en emparer, etc. L’annexe 2 définit les mesures d’application auxquelles s’engage notre sous-trai-tant informatique.
7.3 Archivage
Les données personnelles dont le traitement n’est plus utile sont traitées selon les directives d’archivage pour la période définie.
7.4 Suppression
Les données considérées comme secondaires sont supprimées physiquement dé-truites pour celles sur support matériel ou effacées de manière définitive pour celles sur support informatique dès que l’objectif de leur traitement a été réalisé.
8. Droits des personnes concernées
8.1 Information / sensibilisation
Les bénéficiaires et les collaborateurs sont informés de leurs droits et obligations en matière de protection des données à leur entrée en fonction et sont sensibilisés ensuite de manière appropriée sur la collecte de données personnelles les con-cernant.
8.2 Droit d’accès / de consultation
Toute personne concernée a le droit d’exiger d’être renseignée sur la collecte, l’origine, le contenu, la finalité, la catégorie et la base juridique de l’utilisation de ses données personnelles et de consulter le fichier de données. Elle a également le droit de connaître les participants au fichier et les destinataires de ses données. Toute personne demandant l’accès ou la consultation de ses données doit justifier de son identité. Les renseignements demandés doivent être communiqués dans les 30 jours, de manière aisément compréhensible, sans frais. La communication de renseignements et le droit de consultation peuvent, à titre exceptionnel, être restreints ou refusés si des intérêts publics importants et prépon-dérants, ou des intérêts de tiers particulièrement sensibles, s’y opposent. Si le fait de fournir des renseignements ou un droit de consultation risque de sou-mettre la personne concernée à un stress trop important, cette dernière a la pos-sibilité de désigner une personne tierce, à qui seront communiqués, à sa place, les renseignements ou le droit de consultation demandé.
8.3 Droit de rectification
Les données traitées de manière illicite ou incorrecte ainsi que les données inexactes doivent être rectifiées ou supprimées.
8.4 Blocage / refus de communication des données
Toute personne concernée peut faire bloquer la communication de ses données si elle prouve un intérêt légitime à le faire. Cela ne s’applique pas si la communi-cation des données constitue une obligation légale, si elle est nécessaire en raison d’intérêts prépondérants de tiers ou si elle est nécessaire pour élucider des actes présumés abusifs de la personne concernée.
9. Recommandations pratiques
Le but des consignes listées ci-après est de permettre de gérer au mieux – du point de vue de la protection des données – des situations courantes du quotidien. Elles sont complémentaires à la charte informatique interne à la Fondation St-Louis dont chaque collaborateur prend connaissance lors de son engagement.
9.1 Comment gérer les demandes par téléphone ou par écrit
Les données personnelles ne peuvent être transmises à des tiers sans le consente-ment exprès de la personne concernée ou sans autorisation légale ad hoc. Dans le cas de demandes par téléphone, il convient de s’assurer de manière claire et sans équivoque de l’identité de la personne qui appelle. Lorsque les ap-pels sont enregistrés, il est obligatoire de le signaler et d’obtenir le consentement de l’interlocuteur.
9.2 Principes applicables à l’utilisation des courriers électroniques
Les courriers électroniques (e-mails) peuvent être lus ou modifiés par des tiers. Rai-son pour laquelle il est recommandé de transmettre le moins de données person-nelles possible par courrier électronique et de s’assurer que ces courriels ne con-tiennent pas d’informations sensibles, d’indications de mots de passe ou autres données d’accès. Les données personnelles utilisées à des fins professionnelles ne doivent pas être conservées sur des dispositifs électroniques à usage privé. Par ailleurs, les dispositions du règlement en vigueur pour la Fondation St-Louis sur l’utilisation de l’informatique s’appliquent également en l’espèce.
9.3 Utilisation d’images/d’enregistrements
Seules les personnes ayant donné leur consentement exprès peuvent être photo-graphiées, filmées et/ou enregistrées. Le consentement de la personne concernée doit être libre, explicite et préalable-ment éclairé quant au but et à l’utilisation des prises de vue ou de son. Le con-sentement peut être donné par écrit ou oralement.