La loi fédérale sur la protection des données, totalement révisée (ci-après dénommée «nLPD») ainsi que les nouvelles ordonnances sur la protection des données (OPDo) et sur les certifications en matière de protection des données (OCPD) entrent en vigueur le 1er septembre 2023.

La FER CIFA a œuvré la mise en place systématique de la protection des données en tant qu’organe d’exécution du 1er pilier et pour les autres tâches agréées.

Cette mise en œuvre systématique de la protection des données s’articule autour des champs d’action suivants :

  • Organisation de la protection des données
  • Gouvernance et directives
  • Conformité des activités de traitement à la protection des données
  • Registres des activités de traitement
  • Analyses d’impact relatives à la protection des données
  • Devoir d’informer et droits des personnes concernées
  • Sous-traitance, responsabilité commune et communication de données à des responsables du traitement tiers
  • Sécurité des données et annonce des violations de la sécurité des données

Pour chacun de ces champs d’action, la FER CIFA a défini sa règlementation interne en la matière ceci en lien avec la législation, rédigé des procédures et implémenté des contrôles.

Définitions

Terme, abréviation Définition
Organe fédéral L’autorité fédérale, le service fédéral ou la personne chargée d’une tâche publique de la Confédération
nLPD LPD révisée (FF 2020 7639; consultable sur https://www.fedlex.admin.ch/eli/fga/2020/1998/fr)
OPDo Ordonnance sur la protection des données (consultable sur https://www.fedlex.admin.ch/eli/oc/2022/568/fr)
CCP Caisse de compensation professionnelle
PFPDT Préposé fédéral à la protection des données personnelles et à la transparence
Données personnelles Toutes les informations concernant une personne physique identifiée ou identifiable
Personne concernée La personne physique dont les données personnelles font l’objet d’un traitement

Données personnelles sensibles
(données sensibles)

  1. Les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
  2. Les données sur la santé, la sphère intime ou l’origine raciale ou ethnique,
  3. Les données génétiques,
  4. Les données biométriques identifiant une personne physique de manière univoque,
  5. Les données sur des poursuites ou sanctions pénales et administratives,
  6. Les données sur des mesures d’aide sociale
Traitement Toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données
Communication Le fait de transmettre des données personnelles ou de les rendre accessibles
Responsable du traitement La personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles
Sous-traitant La personne privée ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement

 

1.    Responsable du traitement
Coordonnées : 
Caisse AVS FER CIFA 106.2
Rue de l’Hôpital 15
1700 Fribourg
T 026 552 66 66
cifa.avs@cifa.ch

Par ailleurs, la FER CIFA peut déléguer les traitements de données personnelles/sensibles à des sous-traitants. Elle demeure néanmoins ultimement responsable de ces traitements délégués vis-à-vis de la personne concernée et de l’autorité de surveillance. La FER CIFA veille à respecter, dans ce cadre, l’article 9 de la nLPD.

2.    Principes généraux du traitement des données personnelles
2.1 Légalité (art. 6 et 34ss nLPD)
La FER CIFA étant un organe fédéral, elle ne peut traiter des données que si elle a une base légale formelle ou matérielle en application des articles 34 et ss nLPD. Dans le cadre de ses prestations de prévoyance, elle a le droit de traiter des données en application de la LAVS, LAI, LPGA et de leurs ordonnances d’application ainsi que des lois fédérales selon les autres tâches agréées.

2.2 Proportionnalité (art. 6 al. 2, 4 et 6 nLPD) 
La FER CIFA traite les données strictement nécessaires à l'objectif visé, tout en minimisant la collecte, en application des lois fédérales et de leurs ordonnances d’application.

Les données sont détruites ou anonymisées dès qu'elles ne sont plus nécessaires pour les finalités du traitement, à moins que la loi ne prévoie un délai de conservation.

2.3 Exactitude des données (art. 6 al. 5 nLPD)
La FER CIFA s’assure de l’exactitude des données collectées.
Des mesures appropriées sont prises pour rectifier, effacer ou détruire les données inexactes ou incomplètes, en tenant compte du type de traitement, de son étendue et des risques associés pour les personnes concernées.

2.4 Bonne foi (art. 6 al. 2 nLPD)
Tout traitement de données personnelles doit se faire dans le but indiqué aux personnes concernées ou qui ressort de la loi ou des circonstances.

2.5 Finalité (art. 6 al. 3 nLPD) 
La collecte de données personnelles doit avoir des finalités déterminées et reconnaissables pour la personne concernée, en application des lois fédérales et leurs ordonnances d’application.

2.6 Accès aux données personnelles
Les collaborateurs et les sous-traitants de la FER CIFA ont accès aux seules données personnelles nécessaires à l’exécution de leur travail.

2.7 Transfert des données personnelles à des tiers
Le traitement de données personnelles peut être confié à des tiers (sous-traitant) en application de l’article 9 nLPD, sous réserve qu’aucune obligation légale ou contractuelle de garder le secret ne l’interdit et que seuls les traitements que le mandant serait en droit d’accomplir lui-même sont effectués. Un contrat doit être conclu lorsque des traitements sont effectués par un sous-traitant.

2.8 Sécurité des données personnelles
Conformément à l’article 8 nLPD, la FER CIFA s’assure que la sécurité des données est garantie par rapport au risque encouru, tout particulièrement les données personnelles sensibles. Cela signifie que les données personnelles sont protégées par des mesures techniques et organisationnelles appropriées au regard de la nature des données et les risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher la destruction, la perte, l’altération, l’utilisation abusive, la divulgation ou l’accès non autorisés, accidentels ou illégaux des données et contre toute autre forme de traitement illicite.

Parmi ces mesures de sécurité techniques et organisationnelles garantissant la confidentialité, intégrité, disponibilité, traçabilité, sont identifiées les suivantes :

  • Mesures de minimisation des données
  • Mesures de chiffrement des données
  • Mesures de traçabilité et de journalisation des accès
  • Politique rigoureuse des accès et des habilitations
  • Mesures d’anonymisation
  • Mesures d’archivage.

Ces mesures de sécurité font l’objet de contrôle et de revue régulière, notamment les mesures relatives à :

  • La gestion de la sécurité de l’information
  • L’évaluation des risques pour la sécurité de l’information 
  • Les contrôles physiques
  • Les contrôles d’accès logiques
  • La protection contre les logiciels malveillants et le piratage
  • Les mesures de cryptage/chiffrement des données
  • Les mesures de gestion de la sauvegarde et de restauration des données

2.9 Registre des activités de traitement
Conformément à l’article12 de la nLPD, la FER CIFA a l’obligation de tenir un Registre des activités de traitement dans lequel est détaillé :

  • L’identité du Responsable de traitement, 
  • La finalité de traitement, 
  • Les catégories de personnes concernées, 
  • Les catégories de données traitées, 
  • Le type de donnée, 
  • Les catégories de destinataires, 
  • La durée de conservation et une description des mesures visant à garantir la sécurité et la protection des données personnelles selon l’article 8 de la nLPD.

La FER CIFA a établi ce registre et l’a déclaré auprès du Préposé fédéral à la protection des données en application de l’article 12 al. 4 nLPD.

2.10 Formation et sensibilisation
La formation, la sensibilisation et l'information des collaborateurs de la FER CIFA sur les règles de sécurité et protection des données en vigueur sont cruciales pour la sécurité des données personnelles.

La veille scientifique, technique et juridique sont indispensables afin que la FER CIFA puisse garantir un niveau de sécurité et de protection approprié au regard de l’évolution des menaces cyber ou de l’évolution technique des SI.

Des campagnes de sensibilisation sont menées de manière régulière et itérative.

Les données de la FER CIFA, y compris les données personnelles doivent être protégées, en fonction de leur classification, contre tout traitement non autorisé interne ou externe par des mesures organisationnelles et techniques appropriées.

2.11 Obligation de garder le secret
Les personnes qui traitent des données personnelles pour la FER CIFA, dans le cadre d’un contrat de travail ou d’un mandat de sous-traitance sont tenues de garder le secret à l’égard des tiers, ce également après la fin de la relation contractuelle.

Des exceptions existent uniquement lorsqu’elles sont fondées sur une base légale.

3.    Type des données personnelles traitées
La FER CIFA traite principalement (sans y être limité) les catégories de données personnelles/sensibles suivantes :

  • Numéro AVS
  • Prénom, Nom
  • Sexe
  • Nationalité
  • Langue
  • État civil
  • Date de naissance
  • Lieu de naissance
  • Adresses
  • Courriel
  • Téléphone
  • Coordonnées bancaires
  • Revenus
  • Situation financière
  • Permis de travail
  • Situation familiale
  • Santé
  • Certificat de scolarité

La FER CIFA traite des données personnelles/sensibles de ses assurés, ayants droits, affiliés et employés afin d’assurer ses tâches de Caisse de compensation AVS. En particulier, ces finalités de traitement sont les suivantes (mais non limité à) :

  • Affiliation d'une entreprise ou d'un indépendant à la caisse de compensation ; Création et maintien à jour des données des affiliés 
  • Assujettissement des assurés ; Déclaration de salaires ; Fixation des cotisations ; Gestion des affiliations des personnes sans activité lucrative ; Suivi et maintien à jour des données ; Gestion des intérêts moratoires et rémunératoires ; Gestion des taxes et amendes ; Gestion des communications fiscales ; 
  • Réalisation des contrôles AVS ;
  • Facturation ; Gestion des attestations fiscales ;
  • Administration comptable des caisses ; comptabilité générale ;
  • Procédures de contentieux ;
  • Gestion des comptes individuels et des demandes de rectification des CI
  • Prestations AVS/AI ; 
  • Indemnités journalières AI ; 
  • Prestations APG/AMAT/APAT/APC ; 
  • Gestion des allocations familiales ;
  • Gestion du 2e pilier, caisse CIEPP ;
  • Gestion des assurances collectives ;
  • Traitement des oppositions et des recours ;
  • Gestion informatique ;
  • Gestion du personnel de la caisse de compensation.


4.    Catégories de destinataires des données
Dans le cadre de certaines de ses tâches de Caisse de Compensation Professionnelle, la FER CIFA peut être amenée à communiquer des données personnelles/sensibles à des tiers. En particulier (mais non limités à) :

  • Affiliés
  • Mandataires
  • Organes fédéraux/cantonaux
  • Autorités judiciaires
  • Institutions sociales étrangères (UE/AELE)

Ces communications sont réalisées, le cas échéant, dans le strict respect des dispositions réglementaires en vigueur, en particulier (mais non limité à) l’article 50a de la LAVS et l’article 66a de la LAI. 

5.     Communication des données personnelles à l’étranger
Dans le cadre de certaines de ses tâches de Caisse de Compensation Professionnelle, la FER CIFA peut être amenée à communiquer des données personnelles/sensibles dans des États tiers. Dans le cas où des données personnelles/sensibles devaient être communiquées dans un État ne disposant pas d’un niveau de protection approprié, des mesures complémentaires sont prévues afin de garantir raisonnablement un niveau de protection adéquat dans le pays destinataire.

La FER CIFA se base, en la matière, sur l’annexe de l’OPDo qui mentionne les États avec un niveau de protection des données adéquat.

6.    Conservation des données personnelles
Lors du traitement des données personnelles, la FER CIFA procède conformément au principe de proportionnalité : elle ne collecte pas plus de données personnelles que nécessaire pour accomplir ses tâches légales et les autorisations d’accès sont limitées aux collaborateurs qui en ont effectivement besoin pour remplir leur mission.

À l’exception des données déterminantes dans l’octroi du droit à une prestation (soit 10 ans après l'extinction du dernier droit à une prestation s'il n'y a pas d'autres prestations qui pourraient être octroyées sur la base de ces données / au plus, jusqu'à l'âge hypothétique de 150 ans de l'assuré), les données personnelles sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires pour la finalité du traitement.

7.    Droits des personnes concernées
La nLPD garantit aux personnes concernées certains droits qu’elles peuvent faire valoir vis-à-vis de la FER CIFA. Il s’agit en particulier des droits suivants :

  • Droit d’accès : la personne concernée peut demander si l’organe d’exécution traite des données personnelles la concernant, et si oui, lesquelles.
  • Droit de rectification et de destruction : droit d’exiger que des données inexactes soient rectifiées ou détruites.
  • Droit d’interdire la communication de ses données personnelles sous certaines conditions. 

La FER CIFA répond à ces demandes dans un délai de 30 jours à compter de la réception de celle-ci, sauf exception.

La nLPD introduit un droit à la remise ou à la transmission des données personnelles (ou « portabilité des données »). Aux termes de l’art. 28 al. 1 nLPD, la personne concernée peut demander au responsable du traitement qu’il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu’elle lui a communiquées. Le but de cette disposition est de donner à la personne concernée le contrôle de ses données et en particulier de lui permettre de les réutiliser ou de les transmettre à un autre responsable du traitement ou sous-traitant. Mais étant donné que le droit à la portabilité des données ne peut s’appliquer que si les données personnelles sont traitées sur la base du consentement ou en relation avec un contrat, il n’est pas applicable pour les organes fédéraux (dont la FER CIFA) qui traitent des données personnelles dans le cadre de leurs tâches légales ou en s’appuyant sur une base légale.

8.    Conseiller à la protection des données
Conformément à son obligation légale (article 10 al. 4 nLPD et OPDo), la FER CIFA a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application des dispositions relatives à la protection des données personnelles.

La FER CIFA a mandaté la société secure4u.ch, spécialisée dans la protection des données et sécurité informatique, afin d’endosser le rôle de Conseiller à la protection des données.

Le Conseiller à la protection des données est le point de contact privilégié pour les personnes concernées. Le CPD peut être contacté en utilisant l’email suivant : jeremy@secure4u.ch.