Déclaration de protection des données SWICA pour les candidates et candidats
1.Généralités
1.1 Champ d'application etbut
Dans le domaine de la protection des données, SWICA Organisation de santé (groupe SWICA, ci-après SWICA), formée de SWICA Assurance-maladie SA, de SWICA Assurances SA, de SWICA Management SA et de santé24 qui fait partie intégrante de SWICA Management SA, table sur un traitement des données respectueux de la loi, une communication ouverte et une politique de transparence dans la gestion des données à caractère personnel, cela tant vis-à-vis de ses collaboratrices et collaborateurs que de ses clientes et clients. La présente déclaration de protection des données vise à vous renseigner, d’une part, sur le traitement des données relatives aux candidates et candidats à un poste au sein de SWICA et, d’autre part, sur les procédures de traitement des données autorisées par la loi. La présente déclaration de protection des données s’applique à SWICA dans son ensemble et à toutes les candidates et tous les candidats.
1.2 Notions
La protection des données vise à protéger la personnalité ainsi que les droits fondamentaux à la fois des candidates et candidats lorsque SWICA est appelée à traiter des données personnelles.
Par données à caractère personnel, SWICA entend toute information se rapportant à une personne physique ou morale identifiée ou identifiable. Est réputée identifiable une personne physique ou morale susceptible d’être reconnue directement ou indirectement, cela notamment par l’assignation à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne, ou encore au travers d’une ou plusieurs caractéristiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Sont considérées comme des données personnelles sensibles les données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, les données portant sur la santé, la sphère intime ou l’appartenance à une race ou à une ethnie, les données génétiques et biométriques permettant d’identifier de manière absolue une personne physique, les données sur des poursuites ou sanctions pénales et administratives, ou encore les données sur des mesures d’aide sociale.
On entend par profilage toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces dernières pour évaluer certaines caractéristiques propres à une personne physique, notamment dans le but de faire une analyse ou d’émettre des pronostics concernant des aspects tels que le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le lieu de résidence ou les déplacements.
Sont qualifiées de données relatives à la santé toutes celles consistant en une observation médicale et qui sont susceptibles d’avoir des conséquences négatives pour les personnes concernées. Entrent notamment dans cette catégorie les informations suivantes: les notes concernant le déroulement d’un traitement, les anamnèses, les descriptions de symptômes, les diagnostics, les ordonnances, les rapports médicaux et hospitaliers, les thérapies, les médicaments, les transferts, les résultats d’analyses de laboratoire, les positions tarifaires, les enregistrements de procédures d’imagerie, les données relatives à un processus de traitement telles que la médication, les thérapies complémentaires ou encore l’efficacité et la pertinence d’un traitement, etc.
Un profil de la personnalité constitue un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique. On entend par résultat médical le résultat d’examens médicaux tels qu’un examen physique, une exploration psychique ou encore un examen médical biologique ou par imagerie médicale.
SWICA entend par traitement de données toute opération ou série d’opérations effectuée ou non à l’aide de procédures automatisées et appliquée à des données ou des ensembles de données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, le classement, la conservation, l’adaptation/modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, la suppression ou la destruction.
Les candidates et candidats sont des personnes physiques avec lesquelles SWICA prend contact activement sur la base de leur profil professionnel diffusé publiquement (p.ex. LinkedIn) ou des personnes physiques ayant un intérêt à se faire engager par SWICA.
Un intérêt privé ou public prépondérant existe lorsque SWICA justifie le traitement des données en invoquant un intérêt privé légitime de SWICA ou un intérêt public légitime à ce traitement des données. Un intérêt privé existe pour SWICA lorsque son intérêt au traitement des données prime sur les risques et les dangers que recèle le traitement des données de la personne concernée. Un intérêt public au traitement des données existe lorsque, pour le public, l’intérêt de ce dernier prime sur les risques et les dangers que recèle le traitement des données de la personne concernée.
1.3 Bases légales régissant la protection des données
Un traitement des données est autorisé en vertu de l’art. 30 LPD s’il ne porte pas atteinte de manière illicite à la personnalité de la personne concernée. Un traitement des données est licite notamment lorsqu’une base légale l’autorise, que la personne concernée y a donné son consentement et que le traitement des données est effectué dans le cadre de l’exécution d’un contrat, ou encore lorsque SWICA peut faire valoir un intérêt légitime au traitement des données. Dans le cadre du traitement des données, celles-ci ne pourront être traitées que conformément aux principes de l’art. 6 LPD. Cela signifie que ce traitement ne pourra avoir lieu que dans le respect des principes de la bonne foi et de la proportionnalité, ainsi que dans un but précis. Si les données sont traitées dans le cadre de rapports de travail ou d’un processus de recrutement, ce traitement a lieu soit sur la base d’un consentement direct soit du fait de la conclusion d’un contrat de travail avec SWICA. En outre, les données sont traitées en vue de la mise en œuvre du contrat de travail.
2. Cadre du traitement des données
2.1 Catégories de données personnelles
2.1.1 Généralités
Dans le cadre de son activité, SWICA traite notamment des données personnelles de candidates et candidats. Les catégories de données traitées par SWICA dans le cadre de son activité en tant qu’employeur sont décrites ci-après. SWICA traite en particulier les catégories de données suivantes de ses candidates et candidats: données à caractère personnel ordinaires, données médicales, profils de personnalité, données relatives au domaine privé et données financières. Ces catégories de données englobent notamment les informations suivantes.
Dans le cadre du processus de recrutement, SWICA peut traiter, entre autres, les informations suivantes concernant les candidates et candidats:
Données de base et contractuelles: p.ex. prénom, nom, adresse, NPA, date de naissance, adresse e-mail, numéros de téléphone (portable et réseau fixe), ensemble des données tirées de la candidature (y.c. des données touchant la vie privée au nombre desquelles figurent les hobbies, l’état civil, le nombre d’enfants, la nationalité, les formations suivies, les anciens employeurs et, le cas échéant, des informations sur la réputation, les activités syndicales ou politiques et la religion, ainsi que les certificats de travail d’anciens employeurs ou des données relatives au service militaire, etc.).
2.2 Objectifs assignés au traitement des données
2.2.1 Généralités
SWICA traite les données à caractère personnel décrites sous le chiffre 2.1 aux fins de mettre en œuvre les rapports de travail conformément aux modalités du contrat de travail. SWICA entend par là notamment ce qui suit:
Les données de candidates et candidats sont traitées par SWICA lors de la prospection et au cours du processus de recrutement de personnel. En particulier, les dossiers de candidature ou des profils professionnels diffusés publiquement (p.ex. LinkedIn) sont examinés sous l’angle de leur adéquation pour un emploi au sein de SWICA. En outre, les données sont utilisées pour l’établissement de preuves dans le cadre de contentieux judiciaires si elles peuvent servir de preuves ou de moyens de réfuter des preuves avancées face à un fait allégué par SWICA ou la personne concernée.
3. Droits des personnes concernées
3.1 Droit d'être informé
Toute personne concernée par un traitement des données effectué par SWICA a le droit d'obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsqu'elles le sont, SWICA fournit les indications suivantes:
- une copie des données traitées, dans la mesure où aucun intérêt légitime ou droit de tiers ne s'y oppose
- les finalités du traitement;
- les catégories de données à caractère personnel concernées;
- les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées (dans le cas d'une communication à des pays tiers, le pays tiers ou les organisations internationales);
- la durée de conservation des données envisagée ou si celle-ci n'a pas encore été fixée, les finalités justifiant la conservation;
- les informations sur le droit de s'opposer au traitement, le droit de demander une limitation du traitement et le droit de demander la rectification ou l'effacement de données à caractère personnel;
- les informations sur le droit d'introduire une réclamation auprès de l'autorité de contrôle;
- lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
- les informations sur un éventuel traitement des données dans le but d'une prise de décision automatisée, y compris un profilage;
- lorsque les données sont transférées vers un pays tiers, les informations sur les garanties appropriées en ce qui concerne ce transfert.
Pour l'exercice des droits, le paragraphe 3.9 ci-après s'applique.
3.2 Droit de rectification
Toute personne concernée par un traitement des données effectué par SWICA a le droit d'obtenir, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. En outre, compte tenu des finalités du traitement, toute personne concernée par un traitement des données effectué par SWICA a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. Ce droit peut être limité s'il existe une disposition légale ou si un intérêt légitime prépondérant l'emporte sur les intérêts, les droits et les libertés de la personne concernée.
Pour l'exercice des droits, le paragraphe 3.9 ci-après s'applique.
3.3 Droit à l'effacement
Toute personne concernée par un traitement de données effectué par SWICA a le droit d’exiger qu’elle supprime sans délai les données à caractère personnel la concernant dans les circonstances suivantes:
- les données à caractère personnel ne sont plus nécessaires au regard des finalités indiquées lors de leur collecte;
- la personne concernée retire le consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement;
- la personne concernée s'oppose au traitement et il n'existe pas de motif légitime impérieux justifiant la poursuite du traitement;
- les données à caractère personnel ont fait l'objet d'un traitement illicite;
- les données doivent être effacées pour respecter une obligation légale;
Pour l'exercice des droits, le paragraphe 3.9 ci-après s'applique.
3.4 Droit à la limitation du traitement
Toute personne concernée par un traitement des données effectué par SWICA a le droit d'obtenir de SWICA la limitation du traitement. La limitation du traitement peut être obtenue par la personne concernée lorsque l'un des éléments suivants s'applique:
- si l'exactitude des données à caractère personnel est contestée par la personne concernée, le traitement doit être limité pendant une durée permettant à SWICA de vérifier l'exactitude des données à caractère personnel;
- lorsque le traitement des données à caractère personnel est contraire au droit, mais que la personne concernée requiert la limitation du traitement plutôt que la suppression des données;
- si SWICA n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice;
- si la personne concernée s'est opposée au traitement, le traitement est suspendu pendant la vérification portant sur le point de savoir si un intérêt légitime prépondérant peut être allégué par SWICA ou s'il existe un autre motif légitime.
En cas de levée de la limitation du traitement, SWICA en informe préalablement la personne concernée. Pour l'exercice des droits, le paragraphe 3.9 ci-après s'applique.
3.5 Droit d'opposition
Toute personne concernée par un traitement des données effectué par SWICA a le droit de s'opposer, pour des raisons tenant à sa situation particulière, à un traitement des données, dans la mesure où il n'existe pas d'obligation légale ou d'intérêt légitime qui prévalent sur les intérêts, les droits et les libertés de la personne concernée. Pour l'exercice des droits, le paragraphe 3.9 ci-après s'applique.
3.6 Décision individuelle automatisée, y compris le profilage
Si la personne concernée fait l'objet d'un traitement des données automatisé, y compris le profilage, fondé sur l'exécution d'un contrat, sur le respect d'une obligation légale ou le consentement explicite de la personne concernée et que cette décision produit des effets juridiques la concernant, elle a le droit à une intervention d'une personne de SWICA qui explique la décision et lui garantit le droit de contester la décision.
Pour l'exercice des droits, le paragraphe 3.9 ci-après s'applique.
3.7 Droit de retrait du consentement
Tout consentement donné à SWICA concernant le traitement des données peut être retiré dans la mesure où il n'existe pas d'intérêt légitime ou d'obligation légale justifiant la poursuite du traitement qui s'y oppose. Le retrait peut prendre la forme la plus simple pour autant qu'il s'agisse d'un traitement des données effectué par SWICA. Si une procuration ou un droit de consultation des données a été donné à un tiers, une révocation écrite de la procuration sera requise par SWICA. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.
3.8 Droit d'introduire une réclamation auprès de l'autorité de contrôle
Outre les droits vis-à-vis de SWICA, il existe également le droit de s'adresser directement à l'autorité de protection des données.
3.9 Bureau de communication en matière d'exercice des droits de la personne concernée
En vue de l'exercice de ces droits, nous vous prions de vous adresser directement à notre service de protection des données à l'adresse datenschutz@swica.ch. Concernant les paragraphes 3.1. à 3.4, veuillez nous faire parvenir une demande écrite et une copie de votre carte d'identité. SWICA en a besoin pour s'assurer qu'aucune donnée erronée ne soit modifiée ou effacée. La demande et la copie de la carte d'identité seront conservées durant onze ans minimum.
3.9. Service compétent pour l’exercice des droits des personnes concernées
Pour l’exercice de ces droits, nous vous prions de vous adresser directement à notre service de protection des données à l’adresse datenschutz@swica.ch. Dans le cas des droits indiqués aux chiffres 3.1. à 3.4., veuillez nous faire parvenir une demande écrite et une copie de votre carte d’identité. SWICA en a besoin pour s’assurer de l’identité de la personne déposant une demande. Cette dernière et la copie de la carte d’identité seront conservées durant onze ans au minimum.
4. Délégué à la protection des données au sein de l'entreprise
SWICA a nommé un délégué à la protection des données afin de remplir ses obligations et d'améliorer la protection des données à caractère personnel. Il est déclaré auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) ainsi qu'auprès de l'instance de protection des données de la Principauté du Liechtenstein. Pour toute question ou remarque, veuillez vous adresser directement au service du personnel ou au délégué à la protection des données de SWICA.
SWICA Organisation de santé
Ressources humaines / Protection des données Römerstasse 38
8401 Winterthour
E-mail: hr@swica.ch / datenschutz@swica.ch
5. Traitement des données au sein de SWICA
SWICA accorde une grande importance au principe de la proportionnalité et limite l’accès aux données à caractère personnel aux collaborateurs qui en ont besoin eu égard à leur rôle, leur fonction et leur activité au sein de SWICA. Au sein de SWICA, il s’agit uniquement des collaboratrices et collaborateurs des RH de SWICA ainsi que, dans le cadre d’un processus de recrutement, des supérieurs hiérarchiques potentiels ou des futurs membres de l’équipe. Un tel accès existe aussi dans la perspective de la tenue d’entretiens annuels ou autres discussions entre membres du personnel et supérieurs directs.
SWICA s’assure du respect de ces prescriptions légales relatives à la protection et à la sécurité des données au travers de formations, d’informations et de directives régulières.
6. Communication des données
SWICA ne communique pas de données à des tiers non autorisés. Toute transmission de données est effectuée exclusivement dans le respect du cadre légal ou conformément aux dispositions légales concernant le mandat de traitement des données.
7. Mandat de traitement des données
7.1 Nature du traitement des données
Dans le cadre de son activité en tant qu'employeur, SWICA a confié certaines procédures de traitement des données à un tiers. SWICA demeure toutefois responsable de la licéité du traitement des données. Le tiers mandaté ne doit traiter les données que pour les finalités autorisées par SWICA. Ce faisant, SWICA s'assure par des moyens contractuels que ne soient pas effectués des traitements autres que ceux que SWICA est elle-même en droit d'effectuer. Le contenu de la présente déclaration de protection des données doit également être respecté par le mandataire.
En outre, SWICA contraint les mandataires à garantir la sécurité des données par des mesures techniques et organisationnelles adéquates. Ces mesures peuvent faire l'objet de contrôles réguliers par SWICA quant à leur application par le mandataire. Les contrôles sont effectués à l'aide d'une auto-déclaration du mandataire ou d'un audit réalisé par SWICA elle-même ou par un tiers mandaté par elle.
Toute demande concernant les droits des personnes concernées au sens du paragraphe 3 de la présente déclaration de protection des données doit être adressée directement à SWICA.
Pour l'heure, les traitements de données suivants sont externalisés à des tiers.
| Nom / entreprise | Adresse |
Finalité du traitement des données | |
| Cornerstone OnDemand Europe | Amsterdam: Herengracht 28, 1016BX Amsterdam |
Mise à disposition d'un logiciel de RH basé sur le cloud. Les données à caractère personnel sont conservées dans le cloud en-dehors de la Suisse. Toutes les procédures de traitement des données concernant le personnel sont effectuées au moyen du logiciel de Cornerstone. | |
| Amazon Web Services (AWS) | Frankfurt: Landstrasse 100 60489 Frankfurt am Main |
Sous-traitant de Cornerstone: mise à disposition d'équipements et de logiciels pour le traitement des données. | |
| Equinix |
Frankfurt: Lärchenstrasse 110 65933 Frankfurt |
Sous-traitant de Cornerstone: mise à disposition d'équipements et de logiciels pour le traitement des données. | |
| Microsoft Azure | Dublin: New Nangor Road Dublin 22 |
Garantir l’accès au Cloud sur Cornerstone | |
7.2 Lieux du traitement des données Cornerstone
Les données qui sont traitées par le sous-traitant sont conservées en Europe. Les lieux de conservation en Europe sont les suivants:
- Allemagne: Francfort
- France: Paris (serveur backup)
En cas de demandes de support exigeantes (dites de "third-level support") de SWICA, les données peuvent également être communiquées à des pays tiers hors Union européenne ou zone AELE. Ce faisant, les données sont affichées sur les stations de support correspondantes. Les données ne sont cependant pas conservées dans ces pays. Les pays tiers correspondants sont les suivants:
- Israël
- Nouvelle Zélande
- Etats-Unis
- Inde
Les sous-traitants (ou mandataires) mentionnés au paragraphe 7.1 se conforment aux exigences légales prescrites par la loi suisse sur la protection des données lors du traitement des données dans les pays concernés. De même, des garanties contractuelles prévoyant un traitement des données conforme à la loi suisse sur la protection des données ont été convenues avec les sous-traitants. Les sous-traitants sont en outre certifiés ISO 27001/2013 et respectent les normes européennes sur la protection des données.
8. Durée de conservation des données
Les données sont conservées par SWICA tant qu’il existe une base légale ou un autre motif légitime justifiant la poursuite de leur stockage.
Les données personnelles sensibles conservées sur papier sont détruites exclusivement par un service prévu à cet effet, dans les règles de l’art et conformément à la protection des données. Les données enregistrées sur des supports électroniques sont effacées de manière définitive avant toute élimination de ceux-ci. Les supports électroniques sont détruits.
9. Dispositions finales
9.1 Applicabilité
Si des candidates et candidats procèdent à un échange de données correspondant avec SWICA (indépendamment du fait que celui-ci repose ou non sur une convention contractuelle écrite), la présente déclaration de protection des données s’applique.
9.2 Accès à la déclaration de protection des données
La présente déclaration de protection des données est accessible sur le portail d’offres d’emplois ou le site Internet de SWICA. Elle peut être obtenue par les personnes concernées en tout temps à l'adresse datenschutz@swica.ch.
9.3 Clause de sauvegarde
Si une disposition de la présente déclaration de protection des données se révèle invalide, la validité des autres dispositions n'en est pas entamée pour autant.
9.4. Droit applicable et for
Le droit applicable pour cette déclaration de protection des données est exclusivement le droit matériel suisse à l'exclusion d'éventuelles normes régissant les conflits de lois.
En cas de litiges fondés sur la présente déclaration de protection des données, le for est celui prévu par le Code de procédure civile suisse. Les éventuelles normes régissant les conflits de lois sont exclues.