Déclaration de confidentialité

ELCA est l’un des plus grands prestataires indépendants de solutions commerciales et technologiques à service complet de Suisse, avec plus de 2 000 experts spécialisés dans le conseil en informatique, le développement de logiciels et l’intégration de systèmes. 

ELCA agit en deux qualités juridiques distinctes selon le contexte :

Responsable du traitement des données – pour les visiteurs du site web, les contacts professionnels, les candidats à un emploi et les utilisateurs des plateformes (B2C) que nous exploitons directement, le traitement des données est régi par la présente déclaration de confidentialité

Entités concernées :

• ELCA Informatique SA (CH)
• ELCA Security SA (CH)
• ELCA Information Technology S.L. (ES)
• ELCA Information Technology S.R.L (IT)
• ELCA Information Technology Ltd (VN)
• Information Technology ELCA Ltd (MU)
• SECUTIX SA (CH)
• SUMEX AG (CH)

Sous-traitant – lors de la fourniture de services dans le cadre d'un contrat client (B2B), le client est le responsable du traitement ; le traitement des données est régi par l’accord sur le traitement des données (DPA) applicable et n'est pas soumis à la présente déclaration de confidentialité

Entités concernées :

• ELCA Informatique SA (CH)
• ELCA Cloud Services SA (CH)
• ELCA Security SA (CH)
• Senthorus SA (CH)
• NEOSIS Solutions SA (CH)
• SECUTIX SA (CH)
• SECUTIX SA (FR)
• SECUTIX GmbH (DE)
• SECUTIX S.R.L (IT)
• SECUTIX B.V. (NL)
• SECUTIX Ltd (UK)
• SECUTIX FL LLC (US)
• SUMEX AG (CH)

Nos sites : 

• Suisse : Pully (siège social), Genève, Zurich, Berne, Bâle, Rapperswil-Jona
• Bureaux commerciaux SECUTIX : Paris - France, Amsterdam – Pays-Bas, Munich – Allemagne, Milan – Italie, Londres – Royaume-Uni, Fort Lauderdale - États-Unis
• Centres nearshore dans l'UE : Palerme - Italie et Grenade - Espagne
• Centres offshore en Afrique et en Asie : Saint-Pierre - Île Maurice et Hô Chi Minh-Ville – Vietnam

ELCA a nommé Stéphane Rosa au poste de délégué à la protection des données du groupe (DPO du groupe). Il est chargé de veiller au respect du règlement sur la protection des données et peut servir de point de contact pour toute question en la matière :

ELCA Informatique SA
Délégué à la protection des données (DPO)
Av. Général-Guisan 70A,
CH-1009 Pully

privacy@elca.ch

ELCA a également désigné des représentants au sein de l'UE, conformément à l'article 27 du RGPD, et au Royaume-Uni, conformément à l'article 27 du RGPD britannique, au nom de toute filiale du groupe ELCA qui aurait besoin d'un tel représentant :

SecuTix Deutschland GmbH
À l'attention de : Norbert Stockmann
Landsbergerstrasse 302
D-80687 Munich

norbert.stockmann@secutix.com

SecuTix Ltd
À l'attention de : Andy Duckworth
40 Villiers Street,
Royaume-Uni - Londres WC2N 6NJ
andy.duckworth@secutix.com

Notre approche en matière de données repose sur quatre principes fondamentaux qui guident chacune de nos décisions concernant la manière dont les informations sont collectées, utilisées et protégées :

• La protection de la vie privée dès la conception. Nous intégrons la protection de la vie privée dans notre stratégie et nos opérations afin d'assurer une gestion continue de la conformité et des risques
• Limitation de la finalité. Nous ne collectons, n'utilisons et ne partageons que les informations nécessaires à la fourniture de nos solutions et au soutien de la conformité de nos clients
• Utilisation responsable. Nous encourageons des pratiques responsables en matière de données dans l'ensemble de notre entreprise et de notre chaîne d'approvisionnement
• Amélioration continue. Nous analysons l'utilisation de nos services afin d'améliorer leurs caractéristiques, leurs fonctionnalités et l'expérience utilisateur

Le terme « données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable. Les données que nous traitons dépendent de qui vous êtes et de la manière dont vous interagissez avec nous.

La section 4 détaille nos principales activités de traitement, regroupées par type d'activité. Pour chaque activité, la base juridique, la durée de conservation, les catégories de destinataires et les détails clés de ce qui est traité sont indiqués.

3.1  Données que vous fournissez

Les types de données à caractère personnel suivants peuvent être collectés directement auprès de vous lorsque vous interagissez avec nous, vous inscrivez à nos services ou interagissez d’une autre manière avec ELCA.

• Données d'identification – nom, adresse e-mail, numéro de téléphone
• Données professionnelles – nom de l'entreprise, intitulé du poste, fonction, adresse de l'entreprise
• Données de compte – nom d'utilisateur, mot de passe, préférences de compte
• Communications – messages, retours d'expérience, commentaires, réponses à des enquêtes
• Données de candidature – CV, évaluations, notes d'entretien (dans le cadre du recrutement)

3.2  Données collectées automatiquement

Outre les informations que vous fournissez activement, nous collectons automatiquement certaines données techniques et comportementales lorsque vous utilisez nos sites web ou nos plateformes.

• Données techniques – adresse IP, type de navigateur, type d'appareil, système d'exploitation
• Données d'utilisation – pages consultées, fonctionnalités utilisées, durée de la session, interactions
• Données de suivi – cookies et technologies similaires (voir section 6)

Nous nous appuyons sur les bases juridiques suivantes, en fonction de l'activité :

• Exécution du contrat – traitement nécessaire pour conclure ou exécuter un contrat avec vous
• Intérêts légitimes – traitement nécessaire à la poursuite de nos intérêts commerciaux légitimes, à condition que vos droits ne prévalent pas sur ceux-ci. Il s'agit par exemple de la sécurité informatique, de l'amélioration des services et des actions de marketing B2B
• Consentement – lorsque nous avons demandé et obtenu votre consentement (par exemple, cookies non essentiels, enregistrement des appels). Vous pouvez retirer votre consentement à tout moment sans que cela n'affecte la licéité du traitement antérieur
• Obligation légale – traitement requis par la loi ou la réglementation applicable

Évaluations des intérêts légitimes. Lorsque nous nous appuyons sur des intérêts légitimes, nous évaluons : (1) si le traitement est nécessaire à la poursuite d’un objectif commercial légitime (critère de finalité), (2) s’il est adéquate et limité à ce qui est nécessaire (critère de nécessité), et (3) si l’impact sur les personnes concernées est limité et ne l’emporte pas sur leurs droits (critère de proportionalité). Vous pouvez demander des informations complémentaires sur ces évaluations à l’adresse privacy@elca.ch.

Nous utilisons des cookies et des technologies similaires pour assurer le fonctionnement du site web, à des fins d'analyse, de personnalisation et de marketing. Les cookies sont regroupés en quatre catégories, gérables via notre gestionnaire de cookies :

• Indispensables – nécessaires au bon fonctionnement du site, toujours actifs
• Préférences – mémorisent vos paramètres tels que la langue ou la région
• Statistiques – données d'utilisation anonymes qui nous aident à améliorer le site
• Marketing – suivi de l'activité sur les différents sites afin de proposer des publicités pertinentes

Les cookies non essentiels ne sont installés qu'avec votre consentement. Vous pouvez modifier vos préférences à tout moment via le gestionnaire de cookies. Notez que les paramètres de cookies au niveau du navigateur peuvent prévaloir sur vos sélections dans le gestionnaire de cookies, ce qui signifie que vos préférences pourraient ne pas être conservées d'une visite à l'autre.

Nous utilisons des cookies de session (supprimés lorsque vous fermez votre navigateur) et des cookies persistants (stockés jusqu'à leur expiration ou jusqu'à ce que vous les supprimiez). Certains cookies sont placés par des fournisseurs tiers agissant en notre nom.

Nous ne vendons ni ne louons de données personnelles. Nous partageons les données uniquement comme décrit ci-dessous, et tous les destinataires sont contractuellement tenus de les protéger:

• Prestataires de services / fournisseurs – hébergement, analyse, CRM, plateformes de messagerie électronique, outils d'assistance, plateformes de recrutement et de ressources humaines, et plateformes d'événements/de visioconférence. Ils sont autorisés à traiter les données uniquement selon nos instructions. Ceux qui interviennent dans la prestation du service client peuvent être considérés comme des sous-traitants conformément à la législation applicable en matière de protection des données  et sont répertoriés dans l'accord sur le traitement des données (DPA) correspondant. Une liste à jour des catégories de sous-traitants est disponible sur demande à l'adresse privacy@elca.ch
• Sociétés du groupe ELCA – nos filiales et sociétés affiliées, dans la mesure nécessaire à la prestation de services
• Partenaires commerciaux – dans le cadre d'un accord de partenariat. Les partenaires ne peuvent traiter vos données que conformément à nos instructions
• Partenaires tiers utilisant des cookies – à des fins d'analyse et de publicité ; gérables via notre gestionnaire de cookies
• Autorités réglementaires et judiciaires – lorsque la loi l'exige ou en cas de demande légitime émanant du gouvernement ou des forces de l'ordre. Nous vous en informerons lorsque cela est autorisé
• Sécurité et protection des droits – lorsque cela est nécessaire de bonne foi pour assurer la sécurité, prévenir la fraude ou faire respecter nos accords
• Opérations d'entreprise – dans le cadre de fusions, d'acquisitions ou de cessions, sous réserve de mesures de protection de la vie privée équivalentes

ELCA a son siège social en Suisse et les données peuvent être transférées vers ou consultées depuis la Suisse, nos filiales de l’UE, le Vietnam, Maurice, les États-Unis ou le Royaume-Uni.

Lors du transfert de données à caractère personnel en dehors de l’EEE, de la Suisse ou du Royaume-Uni, nous appliquons une ou plusieurs des mesures de protection suivantes :

• Clauses contractuelles types (SCC) – utilisées comme principal mécanisme de transfert, avec des avenants suisses et britanniques si nécessaire
• Décisions d'adéquation – invoquées pour les transferts vers des pays reconnus comme offrant une protection des données équivalente
• Évaluations d'impact du transfert – réalisées lorsque les directives réglementaires applicables l'exigent
• Mesures techniques et organisationnelles supplémentaires – appliquées lorsque le niveau de protection dans le pays de destination nécessite un renforcement
• Consentement – sollicité pour des transferts spécifiques lorsque d'autres mécanismes ne s'appliquent pas

Nous conservons les données à caractère personnel uniquement aussi longtemps que nécessaire. Les durées de conservation sont déterminées par les exigences légales et réglementaires, les obligations contractuelles, la nature et la sensibilité des données, ainsi que le risque de préjudice résultant d’une utilisation non autorisée. Nous révisons périodiquement nos calendriers de conservation et supprimons ou anonymisons les données de manière sécurisée lorsqu’elles ne sont plus nécessaires. Les données anonymisées qui ne permettent plus d’identifier une personne physique ne relèvent pas du champ d’application de la présente déclaration.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la perte, l'utilisation abusive, l'accès non autorisé, l'altération, la divulgation ou la destruction. Nos mesures comprennent :

• Contrôles d'accès – contrôles d'accès basés sur les rôles et principes du moindre privilège
• Chiffrement – en transit et au repos, le cas échéant
• Journalisation et surveillance – des systèmes et de l'activité des utilisateurs
• Tests de sécurité – évaluations régulières et tests d'intrusion
• Réponse aux incidents – procédures documentées pour la détection, la notification et la correction des violations
• Disponibilité – mesures visant à rétablir rapidement l'accès aux données en cas d'incident physique ou technique

En fonction de votre lieu de résidence, vous disposez de droits en vertu des lois applicables en matière de confidentialité et de protection des données. Pour exercer l’un de ces droits, envoyez un e-mail à privacy@elca.ch. Les demandes sont gratuites dans la plupart des cas. Nous vérifierons votre identité avant de traiter une demande, y répondrons dans un délai de 30 jours (prolongeable de 60 jours supplémentaires pour les cas complexes, moyennant notification préalable), et documenterons et suivrons toutes les demandes. Dans certains cas, des obligations légales peuvent limiter notre capacité à répondre à une demande spécifique.

• Accès – obtenir une copie des données à caractère personnel que nous détenons à votre sujet
• Rectification – faire corriger des données inexactes ou incomplètes
• Effacement – demander la suppression de vos données à caractère personnel
• Limitation – nous demander de suspendre le traitement de tout ou partie de vos données
• Portabilité – recevoir vos données dans un format lisible par machine lorsque le traitement est fondé sur le consentement ou un contrat et qu'il est automatisé
• Opposition / Désinscription – vous opposer au traitement fondé sur des intérêts légitimes ou sur le consentement, y compris le partage avec des tiers à des fins publicitaires via des cookies
• Retrait du consentement – à tout moment, sans affecter la licéité du traitement avant le retrait

Vous avez également le droit de déposer une plainte auprès de votre autorité de contrôle : le PFPDT suisse  (www.edoeb.admin.ch) ou l'autorité de contrôle compétente de votre pays de résidence.

Nous traitons vos coordonnées et toute documentation pertinente afin de nous conformer à notre obligation légale de répondre à votre demande relative à vos droits en tant que personne concernée.

Nos services ne s'adressent pas aux mineurs au sens de la législation applicable. Nous ne collectons pas sciemment de données à caractère personnel auprès des mineurs. Si vous pensez que nous avons collecté de telles données par inadvertance, veuillez nous contacter à l'adresse privacy@elca.ch.

Nos sites web et nos plateformes peuvent contenir des liens vers des sites tiers qui ne sont pas sous le contrôle d'ELCA. La présente déclaration ne s'applique pas à ces sites. Nous vous encourageons à consulter les politiques de confidentialité de tout site externe que vous visitez. Nous ne sommes pas responsables des pratiques de confidentialité des tiers.

Dans le cadre de l'utilisation de nos services, nous pouvons vous demander des informations commerciales concernant votre entreprise (pratiques, politiques, processus, documentation). Celles-ci sont stockées sur les systèmes d'ELCA et utilisées uniquement pour fournir les solutions contractuelles conformément à l'accord applicable.

ELCA peut utiliser des outils et des plateformes d'intelligence artificielle (IA) en rapport avec les données à caractère personnel couvertes par la présente déclaration de confidentialité. Cette section explique les restrictions qui s'appliquent à la manière dont les outils d'IA peuvent traiter ces données. 

Elle ne s'applique pas aux données client traitées par ELCA en tant que sous-traitant dans le cadre d'un contrat client, qui sont régies par le contrat de sous-traitance correspondant.

15.1  Ce que nos politiques imposent concernant les données à caractère personnel couvertes par la présente déclaration de confidentialité

• Pas d'entraînement des modèles sur les données à caractère personnel – nous n'améliorons pas les modèles d'IA avec vos données
• Pas de transfert de données en dehors des juridictions approuvées – nous ne transmettons ni ne stockons de données à caractère personnel dans des pays ou auprès de sous-traitants non couverts par les mesures de protection des transferts de données d'ELCA, telles que décrites à la section 8
• Pas de décisions non supervisées concernant des personnes – nous ne recourons pas à des processus décisionnels exclusivement automatisés ayant des effets juridiques ou d'une importance similaire sur les personnes 
• Aucune opération sans contrôles d'accès – aucun accès aux systèmes RH, aux plateformes CRM, aux outils de recrutement ou aux analyses de sites web au-delà des autorisations attribuées à chaque utilisateur, le cas échéant
• Pas de traitement injustifié des données à caractère personnel à des fins autres que celles définies par la base juridique et les politiques internes relatives à l'utilisation de l'IA

15.2 Mesures de protection que nous appliquons

Avant de déployer tout outil d'IA traitant des données à caractère personnel, ELCA procède à une vérification préalable des fournisseurs, s'assure que des accords de traitement des données appropriés sont en place et applique les principes de minimisation des données. Les questions concernant des outils d'IA spécifiques utilisés peuvent être adressées à privacy@elca.ch.

Nous pouvons mettre à jour la présente déclaration afin de refléter les modifications apportées à la législation applicable, à la technologie ou à nos activités. Les modifications importantes affectant la manière dont nous traitons vos données à caractère personnel seront publiées sur notre site web. Nous vous encourageons à consulter régulièrement la présente déclaration.