Note d’information sur le traitement des données à caractère personnel du site Web ECSA Maintenance AG
Cette note d’information est publiée aux termes de l’art. 13 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27.04.2016 concernant la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel, ainsi que la libre circulation de ces données (que l’on appelle «Règlement général sur le traitement des données à caractère personnel» ou «RGPD»), désormais également établi en dehors de l’Union européenne comme une norme élevée de protection des données, par :
ECSA Maintenance AG, dont le siège est sis CH-9230 Flawil, Burgauerstrasse, 17, CHE-480.131.332, prise en la personne de son représentant légal en exercice, en qualité de Responsable du traitement (ci-après le «Responsable»).
Conscient de l’importance d’assurer la sécurité des informations privées, conformément à la législation européenne, le Responsable fournit les informations suivantes afin de sensibiliser l’utilisateur du site Web (ci-après l’«Utilisateur») aux caractéristiques et aux modalités du traitement des données à caractère personnel.
- Objet du traitement
1.1 Le Responsable traite les données à caractère personnel de l’Utilisateur collectées lors de l’utilisation du site Web et pendant l’utilisation d’un service et/ou d’une fonctionnalité du même site Web.
1.2 En particulier, le Responsable peut traiter:
(i) les données à caractère personnel d’identification et de contact (par exemple, les nom, prénom, numéro d’identification fiscale, numéro de TVA, numéro de téléphone, adresse électronique, etc.) ou d’autres informations (par exemple, les coordonnées bancaires, numéro de cartes de crédit ou de débit, données relatives à d’autres modes de paiement, données relatives aux produits et/ou services achetés, etc.), fournies par l’Utilisateur ou, dans tous les cas, collectées lors de l’utilisation du site Web, lors de l’enregistrement sur le site Web, et pendant l’utilisation de services et/ou de fonctions du même site Web (par exemple, le commerce électronique, etc.).
(ii) les données à caractère personnel dont la transmission est liée à l’utilisation des protocoles de communication d’Internet (par exemple, accès à la page, quantité de données transférées, message d’état après les accès, numéros d’identification de session, adresses IP, adresses URL, données de localisation, langue d’affichage, temps universel coordonné, etc.).
- Finalités et base juridique du traitement
2.1 Les données à caractère personnel de l’Utilisateur peuvent être traitées, sans le consentement exprès de l’Utilisateur, aux fins suivantes:
- I) pour rendre utilisables les fonctionnalités du site Web, ainsi que pour offrir les fonctionnalités et/ou services du même site Web (par exemple, le commerce électronique, etc.);
(ii) pour envoyer des newsletters, à la demande expresse de l’Utilisateur;
(iii) pour répondre aux signalements, questions et/ou demandes de l’Utilisateur;
2.2 Dans ce cas, la fourniture et l’exécution des fonctionnalités du site Web en question et/ou des services demandés par l’Utilisateur constituent la base juridique du traitement (art. 6, 1er alinéa, lettre b du RGPD).
2.3 En outre, les données à caractère personnel de l’Utilisateur pourront être traitées sans le consentement exprès de ce dernier, dans le but de:
- I) garantir le fonctionnement technique du site Web et des services et/ou des fonctionnalités de celui-ci. Dans ce cas, l’intérêt légitime du Responsable visant à garantir le bon fonctionnement technique des services et/ou des fonctionnalités constitue la base juridique du traitement (art. 6, 1er alinéa, lettre f du RGPD);
- ii) se conformer aux obligations légales, aux procédures judiciaires ou aux ordres des autorités. Dans ce cas, le respect des obligations prévues par la loi, par un règlement, par la législation communautaire ou par une ordonnance de l’Autorité, constitue la base juridique du traitement (art. 6, 1er alinéa, lettre c du RGPD);
(iii) protéger légalement les opérations, la vie privée, la sécurité et/ou les propriétés du Responsable, et permettre au Responsable d’exercer ses droits. Dans ce cas, l’intérêt légitime du Responsable à se protéger légalement et à exercer ses droits constitue la base juridique du traitement (art. 6, 1er alinéa, lettre f du RGPD).
2.4 En outre, certaines données à caractère personnel de l’Utilisateur pourront être traitées, sous réserve du consentement spécifique et sans équivoque de ce dernier, à d’autres fins, telles que:
- i) la réalisation d’études de marché, visant également à évaluer le degré de satisfaction des clients, ainsi que l’envoi de matériel, de communications promotionnelles et commerciales concernant des produits et/ou services du Responsable et, d’une manière générale, du groupe ECSA, au moyen de systèmes automatisés (par exemple, courriels, sms, mms, etc.), ou par des moyens traditionnels, c’est-à-dire par courrier postal (fins marketing);
(ii) l’analyse des préférences, des habitudes, des comportements ou des intérêts de l’Utilisateur déduits, par exemple, des préférences exprimées lors de l’enregistrement sur le site Web, ou obtenus lors de l’utilisation de fonctionnalités et/ou de services du même site Web, afin d’envoyer des communications commerciales personnalisées (fins de profilage). Le traitement des données à caractère personnel de l’Utilisateur à des fins de profilage aura lieu, en cas de consentement, au moyen d’outils informatiques qui, après recoupement, créeront un profil commercial de ce dernier. Cet outil de traitement des données met en relation les données collectées lors de la navigation de l’Utilisateur avec les données collectées par l’inscription au site Web, et pendant l’utilisation de services et/ou de fonctionnalités du même site Web, via les formulaires appropriés;
(iii) le transfert des données à caractère personnel de l’Utilisateur à d’autres sociétés du Groupe ECSA, afin qu’elles puissent contacter l’Utilisateur en lui envoyant des communications matérielles, promotionnelles et commerciales relatives aux produits et/ou services qu’elles proposent, par le biais de systèmes automatisés (par exemple, courriels, sms, mms, etc.), ou par des moyens traditionnels, c’est-à-dire par courrier postal (à des fins de transfert de données personnelles à d’autres sociétés du Groupe ECSA);
2.5 Dans ce cas, le consentement constitue la base juridique du traitement (articles 6, lettre a du RGPD).
- Données communiquées par l’Utilisateur
3.1 Le site Web présente des services et/ou des fonctionnalités permettant à l’Utilisateur de contacter et/ou d’interagir avec le Responsable.
3.2 En s’inscrivant sur le site Web, en activant une de ces fonctions spécifiques, l’Utilisateur est invité à fournir ses données à caractère personnel. La communication de certaines données à caractère personnel demandées est nécessaire pour pouvoir bénéficier de certaines fonctionnalités du site Web et/ou des services spécifiques demandés. Par conséquent, le fait de ne pas fournir ces données personnelles entraîne l’impossibilité pour l’Utilisateur de bénéficier de certaines fonctionnalités du site Web et/ou des services spécifiques demandés.
- Données de navigation
4.1 Les systèmes informatiques et les procédures logicielles utilisés pour faire fonctionner le site Web peuvent acquérir, au cours de leur activité normale, certaines données à caractère personnel dont la transmission est implicite lors de l’utilisation des protocoles de communication d’Internet (appelées données de navigation).
4.2 Cette catégorie de données comprend les adresses IP ou les noms de domaine des ordinateurs et des terminaux utilisés par l’Utilisateur, les adresses URI/URL («Uniform Resource Identifier» et «Uniform Resource Locator») des ressources demandées, l’horaire de la demande, la méthode utilisée pour soumettre la demande au serveur, la taille du fichier obtenu en réponse, le code numérique indiquant l’état de la réponse du serveur (par exemple, bonne fin, erreur, etc.) et d’autres paramètres ayant trait au système d’exploitation et à l’environnement informatique de l’Utilisateur.
4.3 Ces données, nécessaires à l’utilisation des services Web, sont également traitées dans le but:
(i) d’obtenir des informations statistiques sur l’utilisation des services (par exemple, pages les plus visitées, nombre de visiteurs par tranche horaire ou par jour, zones géographiques d’origine, etc.);
(ii) de vérifier le bon fonctionnement des services offerts.
4.4 Les données de navigation ne sont pas conservées pendant plus de quelques jours (à l’exception de l’éventuelle nécessité de l’autorité judiciaire de constater des délits).
- Nature de la communication des données à caractère personnel
5.1 La communication des données à caractère personnel par l’Utilisateur visée au point 2.1 est facultative, mais un éventuel refus entraîne l’impossibilité pour ce dernier de s’inscrire sur le site Web, l’impossibilité pour le Responsable de fournir les services et/ou les fonctionnalités du site Web, ainsi que l’impossibilité pour le Responsable de répondre aux signalements, questions et/ou demandes de l’Utilisateur.
5.2 La communication des données à caractère personnel par l’Utilisateur visée au paragraphe 2.4 est facultative et soumise au consentement de l’Utilisateur.
5.3 La communication des données de navigation est nécessaire à l’utilisation des services et/ou aux fonctionnalités du site Web.
- Modalités du traitement
6.1 Le traitement des données à caractère personnel est réalisé au moyen des opérations visées à l’art. 4, 1er alinéa, n° 2) du RGPD, c’est-à-dire toute opération ou ensemble d’opérations, effectuées avec ou sans l’aide de procédés automatisés et appliquées à des données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, la comparaison ou l’interconnexion, la restriction, l’effacement ou la destruction.
6.2 Le traitement des données sera fondé sur les principes de loyauté, de licéité et de transparence et pourra également être effectué au moyen de méthodes automatisées de stockage, de gestion et de transmission des données et se fera au moyen d’instruments aptes, mutatis mutandis et en l’état de la technique, à garantir la sécurité et la confidentialité grâce à l’utilisation de procédures appropriées qui évitent le risque de perte, d’accès non autorisé, d’utilisation illicite et de divulgation. Les données à caractère personnel pourront être mémorisées tant sur des supports informatiques que sur des supports papier, ainsi que sur tout autre type de support estimé plus approprié au traitement.
- Période de conservation des données
7.1 Le Responsable, conformément aux principes visés à l’art. 5 du RGPD, traitera les données à caractère personnel pendant le temps nécessaire pour poursuivre les finalités indiquées plus haut, ainsi que pour s’acquitter des obligations juridiques imposées pour les mêmes finalités. Lorsque les délais de conservation susmentionnés se seront écoulés, les données seront détruites ou anonymisées. Des informations supplémentaires et plus détaillées concernant les délais de conservation peuvent être demandées en contactant le Responsable aux coordonnées indiquées dans le présent note d’information.
- Communication des données
8.1 Les données à caractère personnel traitées par le Responsable ne seront pas diffusées, c’est-à-dire qu’elles ne seront pas portées à la connaissance de personnes indéterminées, sous quelque forme que ce soit, ni mises à leur disposition et leur consultation ne sera pas autorisée, sans le consentement spécifique et sans équivoque de l’Utilisateur.
8.2 En revanche, elles pourront être mises à la disposition des salariés et/ou des collaborateurs qui travaillent sous la direction et pour le Responsable et/ou à certaines entités externes présentant des garanties suffisantes pour avoir pris des mesures juridiques, d’organisation et techniques appropriées de sorte que le traitement corresponde aux exigences visées au RGPD et garantisse la protection de droits de la personne concernée. Notamment, les données pourront être mises à la disposition des: i. salariés et/ou collaborateurs du Responsable, en leur qualité de personnes autorisées au traitement des données à caractère personnel et/ou Administrateurs de système; ii. sociétés tierces ou autres entités exerçant des activités externalisées pour le compte du Responsable, en leur qualité de sous-traitants externes du traitement des données à caractère personnel.
8.3 En outre, le Responsable pourra communiquer les données à caractère personnel à des sujets légitimés à y avoir accès, en vertu des dispositions de la loi, des règlements, de la législation communautaire, à l’autorité judiciaire, ainsi qu’à tous les autres sujets auxquels la communication est obligatoire aux termes de la loi.
- Transfert des données
9.1 La gestion et la conservation des données à caractère personnel auront lieu sur le serveur du Responsable et/ou des sociétés tierces mandatées et dûment nommées en tant que Sous-traitants du traitement, situés en Suisse (considérée comme pays assurant un niveau de protection des données à caractère personnel adéquat par la Commission européenne) et/ou au sein de l’Union européenne et de l’Espace économique européen (EEE) ou, en tout état de cause, dans des pays n’appartenant pas à l’Union européenne et l’Espace économique européen (EEE), reconnus comme pays assurant un niveau de protection des données à caractère personnel par la Commission européenne, au sens de l’article 45 du RGPD ou conformément aux dispositions des articles 46 et 47 du RGPD.
- Droits de la personne concernée
10.1 Conformément aux articles 15 à 22 du RGPD, dans les cas prévus, l’Utilisateur a le droit:
(i) d’obtenir du Responsable la confirmation que des données à caractère personnel le concernant sont ou ne sont pas traitées et, dans l’affirmative, avoir accès à ces données et à d’autres informations connexes, y compris en en recevant une copie (ce que l’on appelle le droit d’accès);
(ii) d’obtenir du Responsable la rectification des données à caractère personnel inexactes et/ou l’intégration des données à caractère personnel incomplètes le concernant (ce que l’on appelle le droit de rectification);
(iii) d’obtenir du Responsable l’effacement des données à caractère personnel s’il existe l’une des raisons prévues par le RGPD (ce que l’on appelle le droit à l’effacement);
(iv) d’obtenir la limitation du traitement uniquement concernant certaines données à caractère personnel s’il existe l’une des raisons prévues par le RGPD (ce que l’on appelle le droit de limitation du traitement);
(v) de demander et recevoir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible par machine, ou demander et obtenir la transmission de ces données à un autre Responsable sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (ce que l’on appelle le droit à la portabilité);
(vi) de retirer, à tout moment, tout consentement éventuel concernant le traitement des données à caractère personnel (ce que l’on appelle le droit de retrait du consentement);
(vii) de s’opposer, totalement ou partiellement, au traitement des données à caractère personnel (ce que l’on appelle le droit d’opposition);
(viii) de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé dans les cas prévus par le RGPD.
10.2 Si l’Utilisateur estime que le traitement des données le concernant constitue une violation du RGPD, il a le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente (art. 77 du RGPD), ou de saisir le tribunal compétent (art. 79 du RGPD).
- Modalités d’exercice des droits
11.1 L’Utilisateur pourra à tout moment exercer ses droits en contactant le Responsable aux coordonnées suivantes:
ECSA Maintenance AG,
Burgauerstrasse, 17
CH-9230 Flawil (Suisse)
adresse électronique: privacy@ecsa.ch
- Responsable, sous-traitants, personnes autorisées
12.1 Le Responsable du traitement est:
ECSA Maintenance AG, dont le siège est sis à CH-9230 Flawil, Burgauerstrasse, 17, CHE-480.131.332, prise en la personne du représentant légal en exercice. De plus amples informations sur les sous-traitants et les personnes autorisées à traiter les données à caractère personnel peuvent être demandées en contactant le Responsable aux coordonnées indiquées dans cette note d’information, ou en contactant le Délégué à la protection des données (Data Protection Officer – DPO) désigné à l’adresse électronique suivante : dpo@ecsa.ch
Modifications à la note d’information
Cette note d’information peut subir des variations. Il est donc conseillé de contrôler régulièrement cette note d’information et de faire référence à la version plus actuelle.