Directive sur la protection des données AVSeasy

IGS Informatikgesellschaft für Sozialversicherungen GmbH (CHE-104.812.919), dont le siège se trouve à Saint-Gall SG (ci-après «IGS GmbH»), gère pour le compte des caisses de compensation (ci-après «les partenaires contractuels») mentionnées sous Support les sites Web www.avseasy.ch et www.eadminportal.ch (ci-après «les sites Web») ainsi que toutes les applications AVSeasy (ci-après «les applications») auxquelles des utilisateurs publics et privés peuvent accéder en se connectant/s’enregistrant via les sites Web.

En principe, les lois cantonales sur la protection des données applicables au partenaire contractuel respectif, la loi fédérale sur la protection des données (LPD) et l’ordonnance relative à la loi fédérale sur la protection des données (OLPD), les dispositions relatives à la protection des données du droit des assurances sociales et, en partie, le règlement général sur la protection des données (RGPD) de l’UE, par exemple pour la fourniture de prestations de l’AVS-AI-CAF du Liechtenstein, sont applicables.

La présente directive relative à la protection des données définit la nature, la portée et la finalité du traitement des données à caractère personnel lors de l’utilisation des sites Web et des applications. Pour des raisons de clarté, la présente directive relative à la protection des données n’emploie que la forme masculine, sachant que les deux sexes sont visés.

1.    Responsable

Le partenaire contractuel respectivement compétent pour la personne accédant aux sites Web et aux applications est responsable des traitements de données décrits dans la présente directive relative à la protection des données au sens du RGPD et d’autres dispositions relatives à la protection des données. Dans tous les cas, ledit partenaire contractuel a la souveraineté des données et est responsable du respect de la protection des données. La responsabilité du partenaire contractuel respectif se fonde en particulier sur les dispositions légales du droit des assurances sociales. En cas de questions sur la protection des données, les utilisateurs peuvent s’adresser directement au partenaire contractuel responsable. Les coordonnées du partenaire contractuel figurent sous Support.

2.     Nature, portée et finalité du traitement et divulgation de données personnelles

Ci-après, les partenaires contractuels informent sur les données personnelles qui peuvent être collectées et enregistrées et expliquent à quelles fins ces données peuvent être utilisées ou à qui elles peuvent être communiquées.

a) Lors de la visite des sites Web

Lors de la visite des sites Web, des informations techniques générales sur la visite sont automatiquement enregistrées dans des «fichiers journaux» (en particulier le type de navigateur, le système d’exploitation, la langue du navigateur, l’adresse IP, la date et l’heure de la visite).

Ces fichiers journaux sont collectés et traités afin d’assurer une connexion fiable aux sites Web, de permettre une utilisation optimale des sites Web, d’assurer et d’augmenter la sécurité et la stabilité du système, d’optimiser l’offre Internet des partenaires contractuels et de créer des statistiques internes.

Les visiteurs du site Web ne sont pas identifiés et les adresses IP utilisées sont automatiquement anonymisées. En outre, ces fichiers journaux collectés automatiquement ne sont généralement pas liés aux données personnelles stockées. Il est possible de déroger à ce principe en présence d’un compte utilisateur enregistré. Le traitement repose sur l’intérêt légitime des partenaires contractuels consistant à améliorer la stabilité et la fonctionnalité des sites Web.

b) Lors de l’enregistrement et de la connexion aux applications

Pour pouvoir utiliser les applications, il est nécessaire de s’enregistrer et de créer un compte utilisateur. Pour ce faire, il s’impose de saisir certaines données personnelles, notamment l’adresse e-mail, la civilité, les nom et prénom, le numéro de téléphone professionnel, le mot de passe et le numéro de portable ou la Suisse ID. Certaines applications nécessitent par ailleurs la saisie d’un code d’activation envoyé par courrier dans un deuxième temps.

Les utilisateurs peuvent avoir des droits en tant qu’administrateurs d’utilisateurs et ainsi autoriser d’autres utilisateurs comme utilisateurs habilités (ci-après «les utilisateurs habilités»). Pour ce faire, il s’impose de saisir à nouveau certaines données personnelles, notamment l’adresse e-mail, la civilité, les nom et prénom, le numéro de téléphone professionnel, le mot de passe et le numéro de portable ou la Suisse ID.

La collecte des données personnelles des utilisateurs dans le cadre du processus d’enregistrement est réalisée afin de procéder à un contrôle des utilisateurs et des accès aux applications correspondantes et aux données qu’elles contiennent. Dans les applications, il est possible de gérer et modifier les données personnelles de l’administrateur des utilisateurs ainsi que des utilisateurs habilités.

Le traitement des données personnelles indiquées dans le processus d’enregistrement s’effectue sur la base de l’accord des utilisateurs. Il est possible de révoquer cet accord à tout moment auprès du partenaire contractuel compétent. Dans ce cas, il n’est plus possible d’utiliser les applications et les données personnelles initialement évoquées sont détruites, sous réserve des délais légaux de conservation (voir chiffre 7). Les coordonnées des partenaires contractuels figurent sous Support.

c) Lors de l’utilisation des applications

Dans les applications, des données personnelles, y compris des données particulièrement sensibles et des profils de personnalité, sont traitées et communiquées, notamment afin de déterminer, de prélever et de verser des cotisations et prestations dans le domaine des assurances sociales (comme entre autres les rentes, indemnités journalières ou réductions individuelles de primes) et d’établir des statistiques.

Il s’agit entre autres de données personnelles telles que le numéro AVS, les prénom et nom, le nom de célibataire, la date de naissance, le sexe, l’état civil, la nationalité, le lieu d’origine, la tutelle, les parents, les enfants, les données de santé en rapport avec les prestations de l’assurance invalidité (AI), les données de l’employeur (numéro de décompte, numéro de succursale, forme juridique, nombre de salariés et d’actionnaires), l’adresse postale, l’adresse e-mail, le numéro de téléphone, le représentant légal, l’adresse des fournisseurs tels que les médecins, les employeurs, les experts, le revenu, la fortune, les salaires, les cotisations et prestations dans le domaine des assurances sociales et les informations sur le recouvrement de créances.

Les dispositions du droit fédéral des assurances sociales, en particulier l’art. 49a et l’art. 50a de la loi fédérale sur l’assurance-vieillesse et survivants (LAVS), qui servent généralement de normes de référence dans le droit des assurances sociales, ainsi que les dispositions complémentaires sur le traitement et la communication des données personnelles contenues dans les différentes lois sur les assurances sociales (loi fédérale sur l’assurance-invalidité, LAI; sur les prestations complémentaires à l’assurance-vieillesse, survivants et invalidité, LPC; sur les allocations pour perte de gain en cas de service et de maternité, LAPG; sur les allocations familiales, LAFam; etc.) sont la base juridique du traitement de la communication des données personnelles. En outre, il s’impose de respecter les art. 32 et 33 de la loi fédérale sur la partie générale du droit des assurances sociales (LPGA) relatifs à l’assistance administrative ainsi qu’au devoir de confidentialité. Selon le siège du partenaire contractuel ou en cas d’éventuelle relation étrangère avec les États de l’UE/EEE, il convient également de respecter les lois cantonales sur la protection des données ou le règlement européen sur la protection des données (RGPD).

3.     Transmission des données à des tiers

Les partenaires contractuels ne transmettent de données à caractère personnel qu’en présence d’une autorisation expresse, que si une obligation légale l’impose ou que cela s’avère nécessaire pour l’exercice des droits des partenaires contractuels et que cela n’affecte pas le devoir de confidentialité selon l’art. 33 LPGA.

4.     Transmission de données à l’étranger

En principe, les partenaires contractuels ne transmettent aucune donnée personnelle à des prestataires de services à l’étranger. Dans la mesure où les partenaires contractuels souhaitent transmettre légitimement des données personnelles à des prestataires de services à l’étranger, cela doit se faire dans le cadre du traitement des données décrit dans la présente directive relative à la protection des données et dans la mesure autorisée par la loi. Les prestataires de services étrangers sont tenus de protéger les données dans la même mesure que les partenaires contractuels. Si le niveau de protection des données dans un pays ne correspond pas à celui de la Suisse ou de l’UE, les partenaires contractuels consignent par contrat que la protection des données personnelles correspond en tout temps à celle de la Suisse ou de l’UE.

5.     Cookies

Les partenaires contractuels et IGS GmbH utilisent des cookies pour rendre la visite des sites Web plus facile, plus agréable et plus utile et à des fins statistiques, par exemple pour savoir combien de personnes accèdent aux sites Web. Lors de l’utilisation des sites Web, des cookies sont automatiquement enregistrés sur l’ordinateur des visiteurs. Les cookies sont de petites unités d’information qui permettent d’identifier de manière unique le navigateur et qui stockent des informations, telles que les paramètres de l’utilisateur.

Les navigateurs Internet sont généralement configurés de manière à accepter automatiquement les cookies. Les navigateurs Internet peuvent également être configurés de manière à ce qu’aucun cookie ne soit stocké ou que l’utilisateur soit toujours averti lorsqu’il reçoit un nouveau cookie.

Il est également possible d’utiliser les sites Web sans cookies. Dans ce cas, il est toutefois possible que les fonctions des sites Web ne puissent pas toutes être utilisées.

6.     Suivi

Lors de l’enregistrement d’un compte utilisateur et de la connexion aux applications, les erreurs éventuelles sont suivies afin de pouvoir les corriger. De plus, le lieu, la date de la dernière connexion et l’utilisation des applications sont enregistrés et mémorisés.

Les erreurs éventuelles sont suivies pour assurer et augmenter la sécurité et la stabilité du système.

Le lieu, la date de la dernière connexion et l’utilisation de l’application sont enregistrés pour prévenir les cas de fraude et les abus et dans le seul but d’assurer l’intégrité et la sécurité des données.

Les protocoles ne peuvent pas être modifiés ultérieurement et ne sont accessibles qu’aux personnes chargées de surveiller les réglementations relatives à la protection des données.

7.     Durée de la conservation

Les données personnelles sont traitées et conservées aussi longtemps que la loi l’exige ou tant qu’elles sont nécessaires à la réalisation de l’objectif visé. Dès que cela n’est plus le cas, les données personnelles sont soit détruites, soit rendues anonymes. Des délais de conservation de six mois ou les délais légaux s’appliquent aux données d’exploitation (fichiers journaux, protocoles conformément au chiffre 6, etc.).

8.     Sécurité des données

Les partenaires contractuels prennent des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles enregistrées contre toute manipulation, suppression, modification, divulgation ou utilisation involontaire, illégale ou non autorisée, contre la perte partielle ou intégrale et contre l’accès non autorisé de tiers. Les mesures de sécurité des partenaires contractuels et d’IGS GmbH sont continuellement adaptées à l’état actuel de la technique.

Les utilisateurs enregistrés n’ont accès aux applications qu’après avoir saisi leur mot de passe personnel, les données d’accès doivent donc toujours être traitées de manière confidentielle. En outre, les partenaires contractuels peuvent exiger que les utilisateurs se ré-authentifient sous une autre forme.

9.     Droits de la personne concernée

Les droits de la personne concernée sont régis par les lois cantonales applicables en matière de protection des données. Si les lois cantonales sur la protection des données ne garantissent pas de protection suffisante, la LPD et l’OLPD s’appliquent à titre subsidiaire. Selon ce principe, toute personne a un droit d’accès, un droit de rectification des données inexactes la concernant et le droit d’obtenir une injonction, de faire supprimer les conséquences d’un traitement de données illicite ou (subsidiairement) de faire constater l’illégalité du traitement des données. En outre, toute personne doit avoir la possibilité de demander la destruction des données ou le blocage de la divulgation à des tiers.

Dans le cadre d’un rapport avec les pays de l’UE/EEE, les droits de la personne concernée sont régis par le RGPD. Toute personne dispose alors en principe du droit d’accès, de rectification, de suppression, de limitation du traitement des données, de révocation du consentement à tout moment, de portabilité des données, ainsi que du droit de réclamation auprès de l’autorité compétente en matière de protection des données.

Les droits susmentionnés peuvent toutefois au cas par cas être soumis à des restrictions prévues par la loi. Afin de faire valoir ces droits, les utilisateurs doivent adresser les requêtes correspondantes par écrit ou par e-mail au partenaire contractuel responsable respectif. Les coordonnées des partenaires contractuels figurent sous Support. Si l’identité des utilisateurs ne peut pas être vérifiée, les partenaires contractuels peuvent exiger une preuve de l’identité.

10.  Partie intégrante des conditions d’utilisation AVSeasy

La présente directive relative à la protection des données fait partie intégrante des conditions d’utilisation AVSeasy. En utilisant les sites Web et/ou les applications, les utilisateurs déclarent qu’ils approuvent la présente directive relative à la protection des données et les conditions d’utilisation actuelles AVSeasy. La présente directive relative à la protection des données ainsi que les conditions d’utilisation actuelles AVSeasy s’appliquent à toutes les personnes qui utilisent les sites Web et/ou les applications de quelque manière que ce soit. Cela s’applique que l’accès aux sites Web et/ou aux applications se produise en Suisse ou à l’étranger.

11.  Modifications

Les parties se réservent le droit de mettre à jour la présente directive relative à la protection des données de temps à autre sans préavis. La version publiée sur les sites Web s’applique respectivement, sachant que les modifications importantes de la directive relative à la protection des données seront communiquées par voie électronique ou d’une autre manière appropriée. Dès lors qu’ils continuent d’utiliser les sites Web et/ou les applications, les utilisateurs acceptent les modifications apportées à la présente directive relative à la protection des données.

État 5.4.2020