Dernière mise à jour : 21.08.2023
Introduction
Le logiciel Fairgate pour associations et fédérations a pour objectif de faciliter le travail administratif et de relations publiques d'une association ou d'une fédération par tous les moyens techniques. Fairgate vous propose une solution logicielle intégrée, accessible via Internet, qui peut être adaptée aux besoins spécifiques de votre associations et fédérations à l'aide de modules de base et de modules supplémentaires librement choisis.
Selon le type et l'étendue de l'utilisation de notre logiciel Fairgate, vous collectez, rassemblez et gérez de nombreuses données personnelles de membres (adresse postale et électronique, numéro de téléphone, date de naissance, photos, performances sportives, etc.) sur une période de plusieurs années d'adhésion (actifs, passifs, juniors, sponsors, etc.) de la personne concernée. Alors que le logiciel Fairgate met à votre disposition tous les moyens pour gérer les contacts et l'administration de l'association/de la fédération et pour conserver les données en toute sécurité, il est important de souligner que l'obligation de respecter la loi sur la protection des données reste du seul ressort et de la responsabilité de votre association/fédération et des personnes compétentes en interne.
Le présent guide pour les associations et fédérations a pour but de vous fournir les premières informations et obligations relatives au droit de la protection des données, en tenant compte des dispositions de la loi révisée sur la protection des données (entrée en vigueur : 1er septembre 2023). Fairgate souhaite vous aider, ainsi que toutes les associations et fédérations dont Fairgate s'occupe, à aborder le thème important de la protection des données dans l'intérêt de vos membres.
Remarque importante : ce guide n'a pas la prétention d'être exhaustif, mais constitue une aide et non un conseil juridique. Veuillez examiner vos besoins pour votre association/fédération avec un spécialiste des questions de protection des données, qui pourra également vous conseiller sur la mise en œuvre des obligations légales en matière de protection des données. Fairgate décline toute responsabilité quant au contenu et à l'application de ce guide.
En quoi consiste la protection des données ?
La protection des données a pour but d'assurer la protection de la personnalité et des droits fondamentaux des personnes physiques au sujet desquelles des données sont traitées. Les personnes morales, telles que les entreprises, les associations et les fédérations, ne sont plus protégées par le droit révisé de la protection des données (entrée en vigueur le 1er septembre 2023).
Il existe des lois sur la protection des données dans l'espace européen, au niveau fédéral et dans les cantons. La loi fédérale suisse sur la protection des données (abrégée en loi sur la protection des données, LPD, RS 235.19, lien) régit le traitement des données par les particuliers et les organismes fédéraux.
Par données personnelles au sens de la LPD, on entend toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Déterminable signifie qu'il est possible de remonter à une personne sans effort considérable (p. ex. nom, prénom, e-mail, copies de passeport, etc.). Les données personnelles particulièrement sensibles, dites sensibles, telles que la maladie, la religion, la couleur de peau, les procédures pénales, ne devraient pas être collectées dans la mesure du possible, ou uniquement sur la base du consentement du membre concerné.
En outre, le terme "traitement" de données personnelles désigne des activités très larges, c'est-à-dire toute manipulation de données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction de données.
Dans certaines circonstances, le Règlement général européen sur la protection des données (RGPD, lien) peut s'appliquer en plus de la LPD suisse, même si votre association/fédération est basée en Suisse et non dans l'UE. Le RGPD s'applique notamment lorsque le traitement de données à caractère personnel est lié à l'offre de biens ou de services, payants ou non, aux personnes concernées dans l'UE ou à l'observation du comportement des personnes concernées dans un État membre de l'UE (par exemple via Google Analytics).
Protection des données : à quoi faut-il faire attention pour les associations/fédérations ?
Une association ou une fédération possède souvent de nombreuses informations sur ses membres, telles que leurs noms, adresses, dates de naissance, numéros de téléphone, photos, résultats sportifs ou classements. Il est donc évident que votre association traite elle aussi de nombreuses données personnelles et, le cas échéant, des données sensibles (p. ex. santé, religion, opinions politiques, sphère intime). Ces données personnelles doivent être traitées avec soin.
Quiconque traite des données personnelles est soumis aux obligations de la loi sur la protection des données. Cela signifie que les dispositions de la LPD s'appliquent également aux associations/fédérations et que la LPD doit être respectée dans son intégralité.
Avec l'entrée en vigueur de la LPD révisée au 1er septembre 2023, de nouvelles dispositions pénales seront introduites. En cas de violation de certaines dispositions de la législation sur la protection des données, des amendes pouvant aller jusqu'à 250 000 CHF sont prévues. Il est important de noter que les amendes prévues par la LPD révisée sont des sanctions pénales qui visent en premier lieu l'individu responsable, par exemple le collaborateur responsable, et non l'association/la fédération.
Quels sont les principes les plus importants pour une association/fédération ?
La LPD prévoit un certain nombre de principes sur la manière dont les données personnelles doivent être traitées. Bien que tous les principes doivent être respectés, nous en indiquons ici une petite sélection centrale que le conseil d'administration d'une association ou d'une fédération doit tout particulièrement respecter :
Principe de la finalité du traitement : les données personnelles ne peuvent être collectées que dans un but précis et identifiable par la personne concernée. Dans le cas d'une association/fédération, le but peut également découler des statuts. Même par la suite, les données personnelles ne doivent être traitées qu'en relation directe avec le but, dans la mesure où cela est compatible avec celui-ci.
Principe de proportionnalité : seules les données réellement nécessaires à la réalisation des objectifs de l'association peuvent être traitées. Si d'autres données ou des données supplémentaires doivent être collectées et traitées auprès des membres, si des données doivent être utilisées à d'autres fins ou si elles doivent être publiées (par exemple sur son site web), l'association/la fédération doit informer préalablement les membres des raisons du traitement des données et les informer également qu'ils ne doivent pas communiquer les données.
Recommandation : Ne collectez que les données personnelles dont vous avez réellement besoin pour le fonctionnement de l'association/de la fédération. En d'autres termes, soyez économe dans la collecte de données personnelles ou renoncez à collecter des données inutiles et procédez aux réglages techniques correspondants, comme cela peut être fait dans la solution logicielle de Fairgate via des champs de données définissables à cet effet. Principe de transparence : les membres de l'association doivent être informés lorsque leurs données personnelles sont communiquées à des tiers ou à d'autres membres. En outre, ils doivent être informés du destinataire et du but de la communication.
Recommandation : Informez vos membres de manière suffisamment détaillée sur le fait que vous traitez des données personnelles, sur les types et les catégories de données que vous traitez, sur le fait que vous transmettez des données personnelles et sur la durée du traitement des données personnelles. Cela peut être fait dans la déclaration de protection des données publiée sur votre site web.
A quoi faut-il faire particulièrement attention lors de la collecte et du traitement de données personnelles par des associations/fédérations ?
1. Consentement des personnes concernées
En Suisse, comme c'était le cas jusqu'à présent, et même après la révision de la LPD, le principe est que tout traitement de données personnelles est autorisé tant qu'il est conforme à la protection des données et que les principes de traitement sont respectés. Il n'est donc pas nécessaire de disposer d'un motif justificatif (p. ex. un consentement) pour chaque traitement de données personnelles.
Le système en Suisse est fondamentalement différent de celui prévu par le RGPD en Europe. Selon le RGPD, tout traitement de données personnelles est en principe interdit, sauf s'il est effectué sur la base d'une des bases juridiques (interdiction avec réserve d'autorisation). Le consentement est également une base juridique possible selon le RGPD, qui rend le traitement des données autorisé.
Cela signifie qu'en principe, en Suisse, aucun consentement (ni aucune autre justification) n'est requis pour le traitement des données, tant que celui-ci n'est pas illicite. Dans la mesure où le consentement de la personne concernée est requis, il n'est valable que s'il est donné librement et sans équivoque pour un ou plusieurs traitements déterminés, après avoir été dûment informé. La personne concernée exprime ainsi son consentement à une atteinte à sa personnalité, en l'occurrence par un traitement de données.
Dans certains cas, la loi prévoit explicitement qu'un consentement doit être obtenu (par exemple, transfert de données personnelles vers un pays ne disposant pas d'une législation adéquate en matière de protection des données [par exemple, les États-Unis]).
Le consentement d'une personne concernée doit être univoque, de sorte que sa déclaration indique clairement sa volonté. Le consentement doit être d'autant plus clair que les données personnelles en question sont sensibles. Le consentement n'est pas lié à une forme telle que l'écrit et peut également être donné par voie électronique (par exemple, au moyen d'une case à cocher sur l'intranet). Si une case à cocher est utilisée, elle ne doit pas être cochée par défaut. Elle peut également résulter d'une déclaration de volonté tacite. Celle-ci résulte d'un comportement qui peut être compris comme l'expression claire de la volonté de la personne concernée.
2. Information aux personnes concernées
Comme il ressort du principe de transparence, les personnes concernées doivent être informées de qui traite quelles données personnelles les concernant et dans quel but. Ces exigences en matière d'information ont été considérablement étendues par la législation révisée sur la protection des données (entrée en vigueur : 1er septembre 2023). En conséquence, l'utilisation d'une déclaration de protection des données devient obligatoire. L'obligation d'information s'applique aux associations/fédérations dans les domaines où ils sont responsables du traitement des données.
Conseils de mise en œuvre pour la Déclaration de protection des données :
|
La Déclaration de protection des données est une déclaration et non un contrat. Il est donc préférable d'éviter d'accepter ou de consentir à la Déclaration de protection des données. Au lieu de cela, il est préférable de simplement faire référence à la Déclaration de protection des données. Par exemple, vous pouvez afficher le texte suivant sous un formulaire de contact ou de commande, sans qu'il soit nécessaire de cliquer sur une case de confirmation : "Vous trouverez des informations sur notre utilisation de vos données personnelles dans notre Déclaration de protection des données [LINK]".
Si des cookies, des outils de suivi (par exemple Google Analytics) ou des plugins sociaux sont utilisés sur votre site web, cela doit également être indiqué dans la Déclaration de protection des données. Les membres doivent ici être informés de manière transparente en Suisse, pour l'UE, la bannière de cookies doit être présentée en détail et des possibilités de refus doivent être données. (voir à ce sujet le capital ci-dessous "Bannière de cookies sur le site web")
Les personnes concernées doivent également être informées de leur droit de modification et de suppression, et savoir où elles doivent se rendre pour faire modifier ou supprimer leurs propres données ou pour obtenir des informations supplémentaires sur leurs données.
3. Protection des données dès la conception et par défaut
Avec la révision du droit de la protection des données, les principes de "privacy by design" (protection des données dès la conception) et de "privacy by default" (protection des données par défaut) ont été explicitement inscrits ou introduits dans la loi.
La protection des données par dès la conception exige que vous conceviez vos applications, entre autres, de manière à ce que les données soient anonymisées ou supprimées par défaut.
Les paramètres par défaut de la solution logicielle de Fairgate doivent être définis par l'association de manière à ce qu'ils soient le plus favorables possible à la protection des données, c'est-à-dire que les données personnelles soient stockées et conservées avec parcimonie.
4. Durée de conservation et suppression des données
Basé sur les principes de proportionnalité et de finalité, qui exigent que les données ne soient pas traitées plus longtemps que nécessaire, le droit à l'oubli s'applique. La durée de conservation et d'utilisation des données résulte d'une évaluation minutieuse des intérêts au cas par cas et ne peut pas être formulée de manière générale.
Par exemple, dès qu'un destinataire se désabonne de la newsletter, toutes les données, y compris celles qui ont été enregistrées en plus de l'adresse e-mail, doivent être supprimées (par exemple, le prénom et le nom). Aucune lettre d'information ne peut plus être envoyée à partir de l'opposition. L'adresse e-mail fournie peut encore être conservée afin d'éviter qu'une lettre d'information soit envoyée par erreur sans consentement.
Étant donné que chaque newsletter doit offrir au destinataire la possibilité de se désabonner, le membre de l'association/de la fédération qui reçoit une newsletter sans son consentement peut se désabonner à tout moment. A partir de ce moment, l'envoi d'autres newsletters est interdit.
Si le destinataire demande la suppression de son profil de newsletter ou de membre de l'association/de la fédération, l'adresse e-mail doit également être supprimée. Une demande de suppression en vertu de la législation sur la protection des données n'entraîne pas la suppression de tout ce qui concerne le membre de l'association/de la fédération. Ce qui doit être conservé en vertu de la loi (par exemple en raison de l'obligation de conservation comptable) ne peut pas être supprimé. En d'autres termes, tant que l'association/la fédération a une raison légale de conserver les données, celles-ci prévalent sur toute demande de suppression formulée par une personne concernée. Toutefois, une fois les délais de conservation expirés, les données personnelles doivent être supprimées.
Par effacement, on entend le processus de suppression ou de reformatage des données proprement dit et irréversible, ainsi que la destruction physique des supports de données. Toutefois, les données sont généralement considérées comme supprimées dès lors qu'elles ne peuvent pas être récupérées ou ne peuvent l'être qu'avec des moyens disproportionnés.
L'anonymisation est également un moyen de supprimer les données, mais il faut s'assurer que personne ne puisse rétablir une référence personnelle sans effort disproportionné. Les données personnelles sont ainsi rendues anonymes en supprimant leur référence personnelle.
Qui est responsable du respect de la législation sur la protection des données au sein d'une association/d’une fédération ?
Le comité directeur de l'association/de la fédération est responsable du traitement des données conformément à la législation en vigueur sur la protection des données (LPD et, le cas échéant, RGPD).
Quel est le rôle de Fairgate pour l'association/la fédération en ce qui concerne la législation sur la protection des données ?
Fairgate fournit la solution logicielle et permet l'exploitation du logiciel via Internet. Du point de vue de la protection des données, Fairgate est le sous-traitant de l'association/fédération.
L'association/la fédération est ce que l'on appelle le responsable du traitement (« Controller »). Cela signifie que la responsabilité de la protection des données reste inchangée pour l'association. Fairgate, en tant que sous-traitant (« Processor »), traite les données personnelles en tant que prestataire de services pour le compte de l'association, dans la mesure où Fairgate met le logiciel à disposition via Internet et fournit une assistance, ce qui lui donne potentiellement accès aux données personnelles.
Nous attachons une grande importance à la protection de la vie privée des clients de Fairgate et des membres des associations et fédérations dont Fairgate s'occupe. Bien entendu, Fairgate a pris toutes les mesures nécessaires pour être en conformité avec la protection des données. Vous trouverez dans notre Déclaration de protection des données (lien) de plus amples informations sur la manière dont Fairgate traite les données personnelles. En outre, nous sommes toujours prêts à conclure un accord sur le traitement des données avec nos clients. L’accord sur le traitement des données peut être conclu avec Fairgate sur votre page de réservation de module.
Quelles sont les mesures nécessaires à présent ?
Fairgate a élaboré, avec ses propres experts externes en matière de protection des données, des recommandations sur la manière dont votre association/fédération peut mettre en œuvre les obligations en vigueur en matière de protection des données dans un délai raisonnable. Il est recommandé que chaque association mène un petit projet de protection des données afin d'évaluer son niveau de maturité actuel en matière de protection des données et de prendre les mesures nécessaires. Parmi ces mesures pour atteindre la conformité avec la législation sur la protection des données, on trouve les étapes recommandées suivantes :
1. Mettez en place une organisation de protection des données
En fonction de la taille et de la structure de l'association/de la fédération, il est recommandé de définir les responsabilités et les compétences ou, si nécessaire, de désigner un conseiller externe en matière de protection des données.
émettre des instructions internes, des directives et des instructions sur le traitement des données personnelles et les obligations en matière de protection des données. En outre, les personnes qui entrent en contact avec des données personnelles doivent recevoir une formation appropriée.
Créez un registre de traitement indiquant les finalités du traitement, les données personnelles collectées, les personnes auxquelles elles sont transmises et la durée de leur conservation.
2. Remplissez l'obligation d'information
Rédigez une Déclaration de protection des données ou révisez la déclaration existante. Vous devez y indiquer comment vous traitez les données personnelles.
Faites connaître la Déclaration de protection des données et mentionnez-la partout où vous collectez des données personnelles (par exemple sur votre site web, lors de collectes de fonds, de concours, etc.) Il suffit que la Déclaration de protection des données soit liée à votre site web et qu'elle puisse y être trouvée facilement. Nous vous recommandons d'insérer un lien vers la Déclaration de protection des données dans le pied de page de votre site web. Nous vous aiderons si vous avez besoin d'aide pour cela.
3. Traitement des droits des personnes concernées
Toute personne peut demander à tout moment si votre association/fédération dispose de données la concernant et lesquelles. Votre association/fédération est tenu(e) par la loi de fournir ces informations. Les demandes de modification ou de suppression doivent également être satisfaites.
Prévoyez des procédures internes et, le cas échéant, des lettres types sur la manière de traiter ce type de demandes.
4. Responsabilisez vos sous-traitants
Obtenez une vue d'ensemble des contrats avec vos prestataires de services.
Vérifiez les contrats et, si nécessaire, concluez un accord sur le traitement des données avec vos prestataires de services.
Remarque : l’accord sur le traitement des données dont vous avez convenu ou pouvez convenir avec Fairgate sont disponible >ici. Vérifiez si des données personnelles sont transférées à l'étranger et assurez-vous par contrat que ce traitement par des prestataires de services est conforme à la législation sur la protection des données.
5. Sécurité des données
Les données doivent être protégées contre tout traitement illicite par des personnes non autorisées. De même, les données doivent être protégées contre les dommages accidentels ou la perte. Des mesures techniques appropriées, économiquement raisonnables, doivent être prises à cet effet.
Prévoyez des mesures techniques et organisationnelles pour garantir la sécurité des données personnelles.
Fairgate peut-il me fournir les documents de protection des données dont j'ai besoin ?
Malheureusement, non. Comme chaque association construit sa propre base de données avec des données personnelles, utilise différemment les modules du logiciel et utilise ou peut connecter en plus des produits tiers (par ex. RaiseNow) qui ne proviennent pas de Fairgate et sur lesquels nous n'avons aucune influence, Fairgate ne peut pas fournir une déclaration de protection des données valable de manière générale.
Nous vous recommandons d'élaborer les documents relatifs à la protection des données sur la base de sites web disponibles sur Internet et, si nécessaire, de demander l'aide d'experts tels que des avocats disposant de connaissances spécialisées. Si nécessaire, nous pouvons vous fournir des recommandations de spécialistes.
Recommandations et expériences de Fairgate concernant des cas d'utilisation spécifiques
1. Envoi de newsletters
Il résulte de l'article 3, paragraphe 1, lettre O, de la LCD que l'envoi de messages publicitaires électroniques par courrier électronique n'est autorisé que dans deux cas :
lorsque le destinataire a donné son consentement explicite à l'envoi de messages électroniques promotionnels (c'est-à-dire l'inscription à des bulletins d'information) ; ou
si un contrat/une adhésion a déjà été conclu(e) avec le destinataire, si le destinataire a communiqué volontairement son adresse électronique et si la publicité de masse concerne des offres similaires (c'est-à-dire la publicité destinée aux clients). Cela ne s'applique toutefois que si le destinataire a déjà été clairement informé de la possibilité de refuser la publicité de masse dans le cadre de la conclusion ou de l'exécution du contrat et s'il ne s'y est pas opposé.
Par exemple, si une personne s'inscrit dans une boutique en ligne ou s'inscrit à un profil de membre d'une association/d’une fédération, mais ne consent pas à l'envoi de la newsletter, aucune newsletter ne peut être envoyée à cette personne tant qu'elle n'a pas acheté de biens ou de services.
Habituellement, le destinataire peut donner son consentement en cochant une case correspondante (dite "Checkbox") ou en indiquant son adresse électronique dans un formulaire d'inscription à la newsletter séparé ("opt-in"). Ce à quoi le destinataire consent doit être clairement visible pour lui (ex. : "Je souhaite recevoir des messages électroniques promotionnels de [l'association FC Superkicker], par exemple des lettres d'information par e-mail/SMS contenant des informations sur les nouveautés et les rapports de match. Je peux révoquer mon consentement à tout moment par e-mail à unsubscribe@xyz.ch avec effet pour l'avenir").
Le consentement du destinataire est ensuite confirmé par une procédure dite de "double opt-in", dans laquelle la personne qui a donné son consentement a la possibilité, après avoir indiqué son adresse électronique, de confirmer à nouveau son inscription par un e-mail de confirmation. Cela se fait généralement par un e-mail contenant un lien de confirmation. Dans le cas d'un SMS, la confirmation peut se faire par un court message texte d'accord en réponse.
Si une case à cocher est utilisée pour le consentement, elle ne doit pas être pré-cochée ni se référer à d'autres consentements (par exemple pour les conditions générales). Le seul champ obligatoire pour s'abonner à une newsletter est l'adresse e-mail. Si la newsletter doit être diffusée par d'autres canaux, il faut par exemple demander le numéro de téléphone ou le nom du compte (par ex. pour les médias sociaux). Le principe de minimisation des données s'applique (voir à ce sujet "Quels sont les principes les plus importants pour une association/fédération").
A des fins de preuve, il est conseillé d'enregistrer le consentement, par exemple en le datant dans un fichier journal ou une base de données. (à Remarque : la solution logicielle de Fairgate a déjà mis en œuvre cette journalisation).
Étant donné que des données personnelles sont traitées dans le cadre d'une newsletter par e-mail, le formulaire d'inscription doit contenir une référence à la déclaration de protection des données, généralement sous forme de lien, dans laquelle figurent les informations relatives à l'envoi de newsletters. Il n'est toutefois pas nécessaire d'accepter la déclaration de protection des données (par exemple en cochant une checkbox).
2. Intranet, ou communication des données des membres au sein de l'association
La communication de données de membres (par exemple la remise de la liste des membres avec leurs adresses) à d'autres membres n'est en principe autorisée que si le consentement de chaque membre a été obtenu au préalable et que le but dans lequel les données communiquées sont utilisées a été clairement défini (par exemple, pour prendre contact les uns avec les autres ; pour les activités de l'association, mais pas pour la prospection).
Remarque : la solution logicielle de Fairgate permet d'effectuer les réglages correspondants dans l'administration sous "Champs de contact" et "Visibilité de la zone interne". En outre, toute nouvelle publication de données doit être approuvée par le membre lui-même. L'administrateur administratif doit d'abord sélectionner les champs de données dans l'administration sous "Visibilité de la zone interne" et "Le contact peut effectuer lui-même ce réglage", avant que le membre puisse ou non autoriser lui-même ses données comme il le souhaite sur l'Intranet sous "Paramètres" et "Vie privée". |
3. Communication des données des membres à des tiers en dehors de l'association
La communication de données de membres à des tiers n'est autorisée que si les membres ont été informés du but de la communication (par exemple par la déclaration de protection des données) et ont donné leur accord explicite ou ont eu la possibilité de s'opposer à la communication au préalable. L'information doit préciser quelles données (adresse, date de naissance, numéro de téléphone, etc.) sont transmises, dans quel but (p. ex. publicité, attribution de licences) et à quels tiers (sponsors, association, etc.).
Si nécessaire, la publication mentionnée peut être prévue dans les statuts ou dans une disposition particulière.
La communication de données à des tiers est également envisageable lorsque la loi le prévoit ou l'impose (par exemple, la communication de données dans le cadre d'une procédure pénale).
Remarque : S'il existe un échange de contacts au moyen de connexions automatisées (par exemple des interfaces) de Fairgate avec des systèmes tiers, par exemple un système de réservation de places, le membre doit en être informé dans la Déclaration de protection des données. |
Cas d'application : communication de données à une organisation faîtière ou à une fédération :
L'organisation faîtière ou la fédération est une personne morale indépendante de l'association, qui a donc le statut de tiers en ce qui concerne les membres. Pour cette raison, les données des membres ne peuvent être communiquées à l'organisation faîtière que si les personnes concernées ont donné leur consentement ou si cela est prévu dans les statuts.
4. Publication des données des membres, par exemple sur le site web
Avant toute publication, par exemple dans un média imprimé ou sur le site web, le conseil d'administration doit juger de l'opportunité d'une publication. Les membres doivent en être informés.
La publication de données sur Internet comporte un risque accru d'atteinte à la personnalité. Les informations publiées deviennent accessibles dans le monde entier et les personnes concernées n'ont aucun contrôle sur la manière dont leurs données sont utilisées. Ce qui a été publié sur Internet ne peut pratiquement plus être effacé. Il est donc souvent plus judicieux de limiter l'accès aux données des membres à un nombre restreint de personnes dans une zone protégée sur le site web.
5. Bannière de cookie sur le site web
L'installation et l'utilisation de cookies sur les sites web sont extrêmement courantes, voire nécessaires d'un point de vue technique pour afficher correctement le site web. Comme l'utilisation de cookies implique généralement le traitement de données personnelles, l'utilisateur du site web doit être informé de l'utilisation de cookies. Cela ne découle toutefois pas de la LPD, mais de la loi sur les télécommunications, art. 45c LTC : " Les données enregistrées sur des appareils appartenant à autrui ne peuvent être traitées par voie de télécommunication que dans les cas suivants : [...] lorsque l’utilisateur a été informé du traitement et de sa finalité et avisé qu’il a la possibilité de refuser ce traitement".
L'information peut être fournie dans le cadre de la Déclaration de protection des données. Il n'est pas nécessaire de demander le consentement. Il est recommandé d'indiquer comment les cookies peuvent être bloqués ou supprimés dans le navigateur Internet.
Il en va autrement au sein de l'UE ou lorsque le RGPD s'applique. Selon les dispositions de la directive européenne sur les cookies, un consentement est obligatoire pour les cookies. Si vous utilisez des services de suivi ou des cookies sur votre site Web, vous devez utiliser une bannière de cookie appropriée pour répondre aux exigences légales si le droit européen est applicable (pour l'applicabilité du RGPD, voir la question "En quoi consiste la protection des données"). Une bannière de cookie conforme au droit européen n'est conforme à la loi que si elle remplit, entre autres, les exigences suivantes :
Tous les cookies, sauf ceux qui sont techniquement nécessaires, doivent être acceptés activement ;
Aucune présélection ne doit être effectuée ;
"Accepter" et "Refuser" sont conçus et accessibles de la même manière ;
Il doit être fait référence à la Déclaration de protection des données ;
Les paramètres des cookies doivent également pouvoir être adaptés ultérieurement ;
6. Médias sociaux
Si votre association/fédération est également présent sur une plateforme de médias sociaux, il est recommandé d'indiquer dans votre déclaration de protection des données que ce traitement de données personnelles ne relève pas de votre responsabilité et que les dispositions de protection des données respectives de la plateforme s'appliquent.
Si vous utilisez des plug-ins de médias sociaux sur votre site web/intranet (par ex. bouton "J'aime", bouton "Partager", etc.), vous devez vous assurer techniquement qu'aucune donnée personnelle des visiteurs du site web n'est collectée sans leur consentement, par ex. via le consentement via une bannière de cookie. En outre, l'utilisation des offres de médias sociaux et le type de plug-in social utilisé doivent être indiqués dans la déclaration de protection des données.
Sources et informations complémentaires et liens
Préposé fédéral à la protection des données et à la transparence (PFPDT) : Collecte et utilisation de données personnelles par les associations :
https://www.edoeb.admin.ch/edoeb/fr/home/datenschutz/freizeit_sport/datenbearbeitung_vereine.htmlVitamine B : thèmes de l'association Aspects juridiques https://www.vitamineb.ch/themes/aspect-juridique/protection-des-donnees?_locale=fr
7. Foire aux questions (FAQ) - État au 28.09.2023
0. Généralités
Question : Que signifie le rôle de Fairgate en tant que sous-traitant de traitement ?
Réponse : En tant que sous-traitant de traitement, nous traitons des données pour le compte de l'association responsable des données et nous nous conformons strictement aux directives de cette association. Cela signifie que nous ne prenons pas de décisions concernant le but et les moyens du traitement des données, et nous ne stockons pas de données, sauf celles nécessaires à la fonctionnalité.
1. Traitement des données par des tiers :
1.1 Google Analytics
Question : Comment les données sont-elles collectées et traitées par Google Analytics ?
Réponse : Si vous utilisez cette fonctionnalité, informez vos clients sur la manière dont les données sont collectées par Google Analytics et comment elles sont traitées. En cas de réponse positive, cette information devrait figurer dans votre politique de confidentialité. Nous, chez Fairgate, ne collectons pas séparément ce type de données.
1.2 Plateformes de médias sociaux
Question : Quelles données sont transmises aux plateformes telles que Facebook et Instagram ?
Réponse : Tous les produits et services intégrés devraient être répertoriés dans votre politique de confidentialité. Pour des transmissions de données spécifiques, veuillez vous adresser directement au fournisseur concerné.
1.3 Abacus pour la comptabilité salariale
Question : Quelles données sont transmises à des systèmes tels qu'Abacus pour la comptabilité salariale ?
Réponse : Des champs de données numériques et des opérations comptables sont transmis. Les données personnelles, à l'exception des noms, sont généralement exclues. Vous avez également le contrôle sur ces aspects via vos opérations comptables.
2. Serveurs et stockage des données :
Question : Où sont situés les serveurs sur lesquels nos données sont stockées ?
Réponse : Les emplacements des serveurs sont mentionnés dans les conditions générales et la politique de confidentialité. Des détails supplémentaires sont disponibles dans la section "Modules et Services" ainsi que dans le pied de page de chaque document.
3. Cookies et fonctionnalités du site web :
Question : Quel type de cookies sont utilisés sur notre site web ?
Réponse : Sur le site web, seuls des cookies fonctionnels, nécessaires à certaines fonctionnalités du site, sont utilisés. Aucun cookie facultatif ou outil de suivi n'est utilisé. Par conséquent, généralement, aucun consentement n'est nécessaire. Plus d'informations à ce sujet sont disponibles directement dans la politique de confidentialité.
4. Interfaces avec d'autres services :
Question : Comment se déroule la transmission de données à GotCourts ?
Réponse : GotCourts agit en tant que sous-traitant de traitement. Votre propre contrat avec GotCourts fournit des informations détaillées sur les données traitées et transmises.
Question : Quelles informations sont transmises à Zürich Tennis ?
Réponse : Pour des informations détaillées sur la transmission de données à Zürich Tennis, veuillez contacter directement Zürich Tennis.
5. Confidentialité des données et conformité :
Question : Comment les associations peuvent-elles s'assurer que tous les membres donnent leur consentement pour le traitement des données ?
Réponse : Un consentement n'est pas toujours nécessaire. Il est cependant important de veiller à ce que le traitement des données ne soit pas illégal. Vous trouverez plus d'informations dans le guide de protection des données et/ou en consultant un conseiller juridique.
Question : Existe-t-il un guide ou un modèle pour la nouvelle loi sur la protection des données ?
Réponse : Fairgate ne propose pas de modèle spécifique pour la nouvelle loi sur la protection des données. Il est recommandé que les associations créent des documents individuels en fonction de leurs besoins spécifiques.
6. Politique de confidentialité et contrat-type :
Question : Existe-t-il un contrat-type pour la nouvelle politique de confidentialité ?
Réponse : Non, il n'existe pas de contrat-type spécifique pour les associations concernant la protection des données conformément au Règlement général sur la protection des données (RGPD).
Question : Pourquoi ne pouvons-nous pas créer de contrat-type ?
Réponse : Chaque association possède des données uniques qu'elle collecte et traite. La manière dont les données sont collectées, stockées et utilisées varie d'une association à l'autre. Un contrat-type serait non seulement insuffisant dans ce contexte, mais pourrait également entraîner des malentendus et des problèmes juridiques. Il est donc recommandé que les associations créent des contrats individuels en fonction de leurs besoins et de leur situation spécifique.