Règlement relatif à la protection des données

 

1. 1.       Protection des données

1.1. Champ d’application et définitions

Les présentes dispositions visent à garantir le respect de la loi fédérale sur la protection des données dans le cadre du traitement de données personnelles au sein de Jura Rando. La personne responsable de la protection des données au sein du comité s’assure que les prescriptions en matière de protection des données sont respectées dans l’association.

La loi sur la protection des données définit les exigences et fixe les limites en matière de traitement des données personnelles. Par «données personnelles», on entend l’ensemble des informations qui concernent une personne physique identifiée ou identifiable. Les présentes dispositions s’appliquent dès qu’un membre de l’association entre en contact avec des données personnelles dans le cadre de ses activités.

1.2. Principes

Toute personne active au sein de l’association doit s’assurer que le traitement des données personnelles se conforme aux principes en matière de protection des données énoncés ici, et ce pour l’ensemble des données personnelles traitées dans le cadre des activités de l’association.

1. a.       Licéité

Tout traitement de données doit se conformer aux dispositions légales.

1. b.      Bonne foi

Les données personnelles ne peuvent pas être collectées à l’insu de la personne concernée ni contre son gré.

1. c.       Transparence

Les personnes concernées par la collecte et le traitement de données personnelles doivent pouvoir en connaître la finalité.

1. d.      Finalité

Les données personnelles ne doivent être traitées que dans le but indiqué lors de leur collecte, prescrit par la loi ou découlant des circonstances.

1. e.       Proportionnalité

Le traitement des données personnelles n’est autorisé que si ces dernières sont pertinentes et nécessaires pour atteindre la finalité poursuivie. Le traitement de données doit être adapté au but recherché.

1. f.        Limitation de la conservation

Si l’association n’a plus besoin des données personnelles collectées pour atteindre la finalité poursuivie par leur traitement, celles-ci doivent être supprimées ou détruites, ou leur traitement doit alors être limité en conséquence (excepté en cas de délais de conservation impératifs).

1. g.       Exactitude

Quiconque traite des données personnelles doit s’assurer de leur exactitude.

1. h.      Sécurité des données

Les données personnelles doivent être protégées contre tout traitement non autorisé au moyen de mesures techniques et organisationnelles appropriées.

 

 

1.3. Registre/inventaire des activités de traitement

La personne responsable de la protection des données doit tenir un inventaire des activités de traitement.

Toute personne qui traite des données personnelles au sein du club est tenue de signaler à la personne responsable de la protection des données les activités de traitement ou les modifications dans les bases de données existantes.

1.4. Analyses d’impact relatives à la protection des données

Il est nécessaire de réaliser une analyse d’impact relative à la protection des données pour certains types de traitement de données, comme lors d’un profilage à risque élevé, d’un traitement à grande échelle de données personnelles sensibles ou encore de la surveillance méthodique de zones publiques.

Il incombe à la personne responsable de la protection des données de déterminer s’il est nécessaire de procéder à une analyse d’impact relative à la protection des données.

1.5. Demandes formulées par les personnes concernées

Dans la mesure où ils sont concernés par le traitement de leurs données, nos membres – mais aussi les personnes en dehors du club – jouissent de certains droits que nous devons garantir, notamment:

1. Droit d’accès: Toute personne concernée peut demander si ses données personnelles sont traitées.
2. Droit à la remise ou à la transmission de données: Toute personne concernée peut demander que ses données personnelles lui soient remises.
3. Droit de rectification: Toute personne concernée peut demander la rectification de données personnelles inexactes.

Les personnes actives au sein de l’association doivent transmettre sous 24 heures toute demande reçue de la part de personnes concernées par le traitement de données à la personne responsable de la protection des données. La demande ainsi transmise doit également être accompagnée d’une confirmation stipulant que l’identité de la personne ayant formulé ladite demande a bien été vérifiée.

1.6. Transmission de données à des tiers

Toute transmission de données personnelles à des tiers nécessite l’établissement d’un contrat de sous-traitance.

La personne responsable de la protection des données doit être informée suffisamment tôt de tout projet qui prévoit la transmission de données personnelles à des tiers en dehors du club, tels que des partenaires de coopération ou des prestataires de services.

1.7. Violation de la protection et de la sécurité des données

Il y a violation de la sécurité des données lorsque des données personnelles sont détruites, modifiées, effacées, perdues ou divulguées/rendues accessibles à des tiers non autorisés de manière involontaire ou illicite.

En cas de violation de la sécurité des données, la personne responsable de la protection des données doit être informée immédiatement.

 

1.8. Responsabilités et compétences

1.8.1.       Personnes actives au sein de l’association

Il incombe à toute personne active au sein de l’association de traiter les données personnelles dans le respect des présentes dispositions. Par ailleurs, toute personne active au sein de l’association a les responsabilités et compétences suivantes:

-          protéger les appareils (ordinateurs, tablettes, smartphones) et les applications par des mots de passe robustes et spécifiques ;

-          transmettre immédiatement à la personne responsable de la protection des données toute demande relevant du droit de la protection des données, et notamment celles formulées par des personnes directement concernées;

-          signaler immédiatement à la personne responsable de la protection des données toute suspicion de violation de la protection et de la sécurité des données;

-          signaler immédiatement à la personne responsable de la protection des données toute suspicion de traitement de données personnelles non conforme aux présentes dispositions;

-          suivre les formations exigées par la personne responsable de la protection des données.

 

1.8.2.       Personne responsable de la protection des données

La personne responsable de la protection des données est désignée par le comité de l’association.

Ses tâches et compétences sont les suivantes:

-          garantir le respect des prescriptions en matière de protection des données au sein du club;

-          tenir informé le comité et lui adresser un rapport annuel;

-          gérer et tenir à jour l’inventaire des activités de traitement, et faire valider celui-ci de manière formelle chaque année;

-          évaluer les risques inhérents à la réalisation d’une analyse d’impact relative à la protection des données;

-          évaluer les risques découlant de toute violation de la protection et de la sécurité des données;

-          répondre à toute demande formulée par une personne concernée par le traitement des données dans les 30 jours suivant le dépôt de ladite demande;

-          organiser des formations dans le domaine de la protection des données;

-          établir et gérer les contrats de sous-traitance lors de transmission de données à des tiers ;

-          communiquer avec le Préposé fédéral à la protection des données et à la transparence (PFPDT) ;

-          annoncer immédiatement toute violation de la sécurité des données au PFPDT à l’aide du formulaire disponible en ligne .