Publié le 27 février 2024
Protection des données
Nous attachons une grande importance à la protection de la personnalité et des droits fondamentaux des personnes physiques au sujet desquelles armasuisse traite des données personnelles. Dans le rôle de collaboratrice/collaborateur, mandataire, etc., vous pouvez avoir la certitude qu’armasuisse protège vos données personnelles en conformité avec les dispositions de la loi sur la protection des données et qu’il exige également de même de ses partenaires commerciaux.
Vous pouvez/Tu peux demander à armasuisse si des données personnelles vous/te concernant sont traitées. Le renseignement est fourni gratuitement et, en principe, dans un délai de 30 jours.
Les demandes doivent être adressées par écrit à l’adresse suivante:
Département fédéral de la défense,
de la protection de la population et des sports DDPS
Office fédéral de l’armement armasuisse
Conseillère/Conseiller à la protection des données personnelles
Guisanplatz 1
CH-3003 Berne
dsgvo@ar.admin.ch- Loi fédérale sur la protection des données du 25 septembre 2020
- Ordonnance sur la protection des données du 31 août 2022
- Ordonnance sur les certifications en matière de protection des données du 31 août 2022
- Loi fédérale sur les systèmes d’information de l’armée et du DDPS du 3 octobre 2008
- Ordonnance sur les systèmes d’information de l’armée du 3 mars 2023
- Loi sur l'organisation du gouvernement et de l'administration du 21 mars 1997
- Ordonnance sur l'organisation du gouvernement et de l'administration du 25 novembre 1998
- Ordonnance sur le traitement des données personnelles et des données des personnes morales lors de l'utilisation de l'infrastructure électronique de la Confédération du 22 février 2022 (en allemand)
- Loi sur la sécurité de l'information du 18 décembre 2020 (en particulier chapitre 3 section 5 , chapitre 4 section 7)
- Ordonnance sur la sécurité de l'information du 8 novembre 2023 (en particulier la section 9 et l'annexe 1) (en allemand)
- Loi sur le personnel fédéral du 24 mars 2000
- Ordonnance sur la protection des données personnelles du personnel fédéral du 22 novembre 2017
- Directives sur l'organisation de la protection des données au DDPS du 18 décembre 2023 (en allemand)
FAQ
Les données personnelles peuvent notamment provenir de personnel interne ou externe, de la clientèle, de fournisseurs, de partenaires commerciaux ou de tiers..
Les données personnelles sont toutes les informations se rapportant à une personne physique identifiée ou identifiable. Il peut par exemple s’agir du nom, de l’adresse e-mail, de l’adresse du domicile, de la date de naissance, du numéro AVS, de coordonnées bancaires ou d’une adresse IP.
Sont considérées comme données personnelles sensibles (données sensibles) les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales; les données sur la santé, la sphère intime ou l’origine raciale ou ethnique; les données génétiques; les données biométriques, les données sur des poursuites ou sanctions pénales et administratives et les données sur l’aide sociale.
Le traitement de données personnelles désigne toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données.
La responsabilité d’un traitement des données personnelles dans le respect de la loi incombe à l’organe fédéral responsable (armasuisse) resp. à son personnel responsable des données qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles.
Les données personnelles doivent être traitées selon les principes suivants:
Licéité: les organes fédéraux ont besoin d’une base légale pour traiter les données personnelles. Une exception est possible lorsque la personne concernée, dans un cas d’espèce, a consenti au traitement ou rendu ses données personnelles accessibles à tous et ne s’est pas opposée expressément au traitement.
Proportionnalité: le traitement des données personnelles doit être adapté pour l’accomplissement des tâches et nécessaire («autant que nécessaire, mais aussi peu que possible»). Il doit exister un rapport raisonnable entre la finalité poursuivie et le traitement des données.
Finalité: les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée; elles doivent être traitées de manière compatible avec ces finalités.
Délais d’enregistrement limités: les données personnelles sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement.
Exactitude des données: la personne qui traite des données personnelles doit s’assurer qu’elles sont exactes. Elle prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.
Transparence: le responsable informe la personne concernée de manière adéquate de la collecte de données personnelles, que celle-ci soit effectuée auprès d’elle ou non. Toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées
Sécurité des données: le responsable du traitement doit assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Il en tient compte dès la planification («Privacy by Design»). Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement («Privacy by Default»).Une prudence particulière s’impose lors du traitement de données personnelles par des tiers, appelés sous-traitants (p. ex. centre d’évaluation, fabricant de logiciels, services de Cloud) et de l’utilisation de services en ligne (p. ex. ChatGPT, DeepL). Il existe ici un risque accru que des données personnelles sous la responsabilité d’armasuisse soient communiquées illicitement à l’étranger, utilisées à des fins marketing, partagées avec d’autres entreprises ou insuffisamment protégées.
Les sous-traitants doivent assurer par contrat à armasuisse qu’ils respectent la loi sur la protection des données et veillent à la sécurité des données. Les données personnelles ne peuvent être communiquées à des tiers qu’avec l’accord préalable d’armasuisse. armasuisse doit être informé dans les meilleurs délais des violations de la sécurité des données. Le respect de ces directives peut faire l’objet d’un audit effectué par armasuisse ou une entreprise mandatée par ses soins. Des mesures supplémentaires peuvent être prises au besoin.
Les violations intentionnelles des dispositions du droit de la protection des données sont passibles d’amendes allant jusqu’à 250 000 francs pour les personnes privées.