(telle qu’approuvée aux termes de la Résolution du Conseil 27/2024)
L’ISO traite les données personnelles conformément à l’Avis de confidentialité ci-contre : https://www.iso.org/privacy.html. Dans le contexte de l’ISO, la notion de « données personnelles » recouvre toutes les informations concernant une personne physique identifiée ou identifiable – nom, adresses e-mail, adresses physiques, numéros de téléphone et rôles. La présente Politique de confidentialité relative aux données personnelles applicable aux membres de l’ISO (ci-après, la « Politique ») s’applique aux données personnelles dont le traitement est assuré par un membre de l’ISO au nom de l’ISO, dans le cadre de la poursuite de l’objet statutaire de l’Organisation (ci-après, l’« Objet de l’ISO »).
En qualité de membre de l’ISO, il vous appartient de protéger les données personnelles conformément à la présente Politique, y compris lorsque, aux fins de la réalisation de l’Objet de l’ISO, vous donnez accès à ces données personnelles à :
- des personnes au sein de votre organisation (y compris les administrateurs des utilisateurs des comités membres [MBUA], les managers de comités, les membres du personnel informatique, etc.) ;
- des tiers (y compris les organismes affiliés, les agents, les sous-traitants, etc.) à l’extérieur de votre organisation ; ou
- d’autres par le biais des interfaces informatiques.
En qualité de membre de l’ISO vous êtes tenu de :
- veiller à ce que les personnes concernées dont les données personnelles sont collectées et traitées1 :
- comprennent que l’ISO, en qualité de responsable du traitement des données, traitera leurs données personnelles au regard de l’Objet de l’ISO et conformément à l’Avis de confidentialité susmentionné ; et
- sachent que vous vous tenez à leur disposition, de même que l’ISO, pour répondre à toutes les questions concernant le traitement de leurs données personnelles.
- veiller à ce que les parties auxquelles vous donnez accès à des données personnelles :
- acceptent de ne jamais utiliser les données personnelles auxquelles elles ont accès à leurs propres fins, mais uniquement au regard de l’Objet de l’ISO et conformément à la Déclaration pour les participants aux activités de l’ISO ;
- s’engagent à respecter leurs obligations en matière de confidentialité et les mesures techniques et organisationnelles standard ;
- s’engagent à respecter les règles pertinentes de l’ISO, lesquelles sont régulièrement mises à jour, ainsi que toutes lois applicables ; et
- comprennent qu’elles demeurent liées par ces obligations, même après avoir cessé de participer aux activités d’élaboration des normes.
- collecter, utiliser, partager et archiver (c’est-à-dire « traiter ») les données personnelles uniquement au regard de l’Objet de l’ISO. Cela signifie que les données personnelles ne peuvent être collectées ni utilisées à des fins commerciales, sauf si la personne concernée en a également donné explicitement l’autorisation à l’ISO ;
- prendre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles avant leur traitement, y compris en désignant au moins une personne que le Secrétariat central de l’ISO (l’« ISO/CS ») pourra contacter pour toutes questions éventuelles associées à la protection des données ;
- informer immédiatement l’ISO/CS si vous ne pouvez pas vous conformer à la présente Politique ;
- informer immédiatement l’ISO/CS et coopérer avec ce dernier en cas d’accès accidentel ou non autorisé ; et
- veiller à ce que vos employés et tous les sous-traitants acceptent la présente Politique ou des conditions équivalentes voire plus strictes. En tout état de cause, il vous incombe de faire respecter la présente Politique par ces tiers.
Si vous cessez d’être membre de l’ISO, vous êtes tenu d’effacer toutes les données personnelles et les copies de celles-ci auxquelles s’applique la présente Politique et confirmer leur destruction par écrit à l’SO/CS.
L’ISO peut modifier la présente Politique sur décision du Conseil. Les membres seront informés et les modifications seront mises en ligne.
La question de la protection des données personnelles est primordiale pour l’ISO. Tout membre de l’ISO qui aurait une quelconque inquiétude quant au traitement des données personnelles, y compris par un autre membre de l’ISO, doit en informer l’ISO à l’adresse suivante : DataProtection@iso.org.
L’ISO peut être amenée à demander à des membres de l’ISO de prendre des mesures en cas de doute quant au respect de la présente Politique. Le Secrétaire général peut également être amené à prendre des mesures à l’encontre des membres de l’ISO qui ne se conforment pas à la présente Politique ni aux lois applicables.
La présente Politique et sa mise en œuvre relèvent exclusivement du droit suisse. La présente Politique est assortie d’une présentation générale des principes, termes et concepts fondamentaux en matière de protection des données figurant en Annexe. Cette présentation est fournie uniquement à titre d’information et ni la présente Politique ni son Annexe ne sauraient remplacer ou annuler les lois et exigences applicables.
Pour de plus amples informations concernant d’autres règles de l’ISO pertinentes en matière de protection des données, veuillez contacter l’Organisation à l’adresse suivante : DataProtection@iso.org.
1 Le Secrétariat central de l’ISO prêtera assistance au membre à cet égard en avisant par e-mail les personnes dont les données personnelles sont enregistrées pour la première fois dans le Répertoire général (Global Directory) de l’ISO. Les membres désirant désactiver ce service devront prendre contact avec le helpdesk@iso.org.
Annexe à la Politique de confidentialité relative aux données personnelles applicable aux membres de l’ISO
Définitions et principes fondamentaux de la protection des données
Afin de développer une meilleure compréhension de la protection des données, le présent aperçu décrit les règles et principes fondamentaux de la protection des données auxquels sont soumises toutes les activités relatives au traitement des données au sein de l’ISO. Veuillez noter que le présent aperçu a pour seul objet de décrire les principes et règles applicables en la matière et ne dispense en aucun cas les membres de l’ISO de leurs propres obligations en matière de sensibilisation interne à la protection des données.
Toutes les activités de traitement des données doivent être conformes aux grands principes de la protection des données. Ces derniers sont assortis d’obligations pour les responsables du traitement et les sous-traitants, ainsi que de droits pour les personnes concernées. Toute violation desdits principes rend le traitement de données illicite et peut donner lieu à des sanctions.
De manière générale, les principes, droits et obligations prévus aux termes de la nouvelle loi fédérale suisse sur la protection des données (nLPD) et du règlement général européen sur la protection des données (RGPD) sont semblables.
1) Transparence
Le principe de transparence (art. 6, al. 3 de la nLPD) prévoit que les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée. Cette reconnaissance est considérée comme acquise lorsque la personne concernée est informée, lorsque le traitement est prévu par la loi ou lorsqu’elle résulte explicitement des circonstances.
Les obligations spécifiques en matière d’information sont explicitement prévues à l’art. 19 de la nLPD.
2) Bonne foi
Tout traitement de données personnelles doit être conforme au principe de la bonne foi (art. 6, al. 2 de la nLPD). Par conséquent, il convient de veiller à ce que le traitement des données ne prête pas à confusion et à ce que les informations ne soient pas excessivement compliquées à obtenir.
Par exemple, toute personne qui, lors de la collecte des données, laisse à penser à la personne concernée que toutes les données ont un caractère obligatoire alors que certaines sont facultatives, enfreint le principe de la bonne foi.
3) Proportionnalité
Tout traitement de données personnelles doit être conforme au principe de la proportionnalité (art. 6, al. 2 de la nLPD). Par conséquent, il convient de ne traiter que les données qui sont objectivement nécessaires et adaptées aux fins poursuivies, et de veiller à ce que leur traitement s’inscrive dans un rapport raisonnable entre le résultat légitime attendu et les moyens mis en œuvre, tout en préservant autant que faire se peut les droits des personnes concernées.
Ce principe recouvre également les principes d’évitement des données (si la finalité du traitement peut être atteinte sans qu’il soit nécessaire de recueillir de nouvelles données, il convient de privilégier cette option) et de minimisation des données (seules les données strictement nécessaires au regard de la finalité du traitement doivent être traitées).
Le principe de proportionnalité s’applique à tout ce qui concerne le traitement de données personnelles, y compris : les types et catégories de données traitées, les moyens de traitement, les finalités et la durée de conservation.
En ce qui concerne spécifiquement les durées de conservation, les données personnelles ne peuvent être conservées plus longtemps que nécessaire aux fins du traitement prévu. En d’autres termes, les données personnelles doivent être effacées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement, à l’exception de certaines situations limitées. La durée de conservation doit quant à elle être communiquée à la personne concernée (ou, si cela n’est pas possible, les critères permettant de fixer celle‑ci).
4) Limitation des finalités
Les données personnelles ne peuvent être collectées que pour des finalités déterminées et leur traitement doit être limité à ces finalités (art. 6, al. 3 de la nLPD). Les finalités vagues, non définies ou imprécises ne sont pas autorisées.
5) Exactitude
Toute personne qui traite des données personnelles doit s’assurer qu’elles sont exactes et à jour (art. 6, al. 5 de la nLPD). Il convient de prendre toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.
6) Sécurité des données
En matière de sécurité des données, les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru (art. 8 de la nLPD). Ces dispositions s’inscrivent dans le cadre d’une approche fondé sur le risque. Plus le risque de violation des données est élevé, plus les exigences relatives aux mesures à prendre sont élevées.
7) Licéité
Sous le régime de la nLPD, l’art. 6, al. 1 prévoit que tout traitement de données personnelles doit être licite. Cela signifie que le traitement ne doit pas constituer une violation d’une norme applicable en matière de protection des données ou visant à protéger la personnalité de la personne concernée.
Dans le cas où le traitement est susceptible de porter atteinte à la personnalité de la personne concernée, notamment lorsqu’il est effectué en violation des principes énoncés ci-dessus ou contre la volonté expresse de la personne concernée, ou lorsque des données personnelles sont communiquées à des tiers, un motif justificatif est exigé. Cette justification se fonde sur le consentement de la personne concernée (exceptionnel), sur un intérêt privé ou public prépondérant ou sur la loi.