1. introduction
La présente déclaration de protection des données décrit le traitement des données personnelles par la caisse de pension du groupe C&A (ci-après également PKCA, nous ou notre).
2. Qui est responsable du traitement des données ?
Du point de vue de la protection des données, la responsabilité d'un traitement de données donné incombe à l'entreprise qui détermine si ce traitement doit avoir lieu, à quelles fins il est effectué et comment il est organisé.
La caisse de pension du groupe C&A est responsable du traitement des données conformément à la présente déclaration de protection des données.
3. à qui s'adresse cette déclaration de protection des données ?
La présente déclaration de protection des données s'applique à toutes les personnes dont les données sont traitées par PKCA. Elle s'applique indépendamment de la manière dont les personnes entrent en contact avec la PKCA. Elle s'applique au traitement de toutes les données personnelles collectées par PKCA dans le cadre de la mise en œuvre de la prévoyance professionnelle et des activités qui y sont liées.
Les traitements de données peuvent notamment concerner les catégories de personnes suivantes, dans la mesure où PKCA traite ainsi des données personnelles :
- les assurés dans le cadre de la prévoyance professionnelle
- les employeurs passés, actuels et futurs des assurés ou leurs personnes de contact ;
- les proches des assurés (p. ex. les conjoints actuels et anciens, les partenaires, les parents et les enfants) et les autres personnes bénéficiaires ;
- les mandataires (par ex. le représentant légal) ;
- les membres des organes de la PKCA ;
- les conseillers et prestataires de services externes ;
- les personnes de contact des assureurs sociaux et privés, d'autres institutions de prévoyance et de libre passage, des fournisseurs et des partenaires ainsi que des autorités et des offices ;
- les personnes qui écrivent à PKCA ou qui prennent contact avec PKCA d'une autre manière.
La PKCA est active dans le domaine de la prévoyance professionnelle obligatoire et surobligatoire. Dans le domaine de la prévoyance obligatoire, elle traite les données personnelles sur la base des dispositions légales applicables. Dans ce domaine, la PKCA est dispensée de l'obligation d'informer sur le traitement des données. Dans la présente déclaration de protection des données, PKCA informe néanmoins sur l'ensemble de son domaine d'activité, et les indications figurant dans cette déclaration de protection des données sont valables tant pour le domaine obligatoire que pour le domaine surobligatoire.
4. quelles données personnelles sont traitées ?
Les "données personnelles" sont des informations qui peuvent être mises en relation avec une personne déterminée.
4.1 Données de base
Les données de base sont les données fondamentales vous concernant dont la PKCA a besoin pour le traitement des relations contractuelles et autres relations commerciales. Les données de base comprennent par exemple, selon la qualité dans laquelle vous avez affaire à la PKCA :
- Civilité, prénom, nom, sexe, date de naissance ;
- Adresse, adresse électronique, numéro de téléphone et autres données de contact ;
- Pour la fourniture de la prévoyance professionnelle : état civil, date du mariage ou du divorce ou de l'enregistrement ou de la dissolution du partenariat, âge, sexe, nationalité et lieu d'origine, informations tirées des données d'identification (p. ex. passeport, carte d'identité ou autres documents d'identification), numéro AVS, numéro de contrat, numéro de police et numéro d'assuré, données relatives à l'ancienne institution de prévoyance ou de libre passage, date d'entrée et de sortie chez l'employeur, catégorie de personnel, degré de capacité de travail, taux d'occupation, durée limitée des rapports de travail, salaire annuel déclaré et assuré et salaire annuel LPP. Les informations sur les relations avec des tiers qui sont également concernés par le traitement des données font également partie de ces données, par exemple sur les proches et les bénéficiaires ;
- Pour le versement anticipé du capital : état civil, profession/fonction, employeur, coordonnées bancaires ;
- Pour les membres des organes : curriculum vitae, coordonnées bancaires, copie des documents d'identification ;
- Pour les employeurs et autres cocontractants qui sont des entreprises : Données des personnes de contact, p. ex. nom et adresse, informations sur les titres, fonction dans l'entreprise, qualifications et, le cas échéant, informations sur les supérieurs et les collaborateurs.
4.2 Données relatives aux contrats, aux cas et aux prestations
Il s'agit de données personnelles en rapport avec la conclusion, l'exécution ou la résiliation de contrats, avec l'admission d'assurés dans la prévoyance professionnelle, avec la réception de déclarations, avec le traitement de cas de prévoyance et avec d'autres prestations (p. ex. versement de la prestation de sortie). Ces données comprennent notamment les données suivantes :
- Données en rapport avec le contrat d'affiliation avec les employeurs ;
- les données en rapport avec le traitement des cas de prévoyance (p. ex. l'annonce de la survenance du cas de prévoyance, le numéro de sinistre, les données relatives au motif du cas de prévoyance, comme l'accident ou la maladie, et la date de l'événement, les données en rapport avec l'examen du cas de prévoyance, les données relatives à d'autres assurances et assureurs et à des tiers, comme les personnes impliquées, et également les données personnelles sensibles (p. ex. les données relatives à la santé) et les données relatives à des tiers (p. ex. les personnes impliquées dans la survenance de l'incapacité de travail ou du décès) ;
- des informations sur la prestation de sortie, p. ex. son montant et sur les rachats possibles et effectués ;
- pour d'autres cas de prestations, par exemple des informations en rapport avec le versement de la prestation de sortie (par exemple sur son motif, mais aussi des informations sur les comptes et les institutions de libre passage et, le cas échéant, le consentement du conjoint) ou en rapport avec un changement d'état civil (par exemple la date d'un divorce, les prestations de sortie acquises, les versements anticipés ou les rentes d'invalidité perçues et les décisions judiciaires prises dans ce contexte).
4.3 Données financières
Les données financières sont des données personnelles qui se rapportent à la situation financière, aux paiements et à l'exécution de créances. En font partie les données en rapport avec les paiements et les relations bancaires, par exemple les paiements de cotisations de l'employeur, et avec l'exécution de créances ; pour les personnes assurées, il s'agit en outre d'informations sur le salaire, les rachats dans la prévoyance professionnelle et les versements de prestations de sortie et de rentes. La CPCA traite également des données financières sur les bénéficiaires, par exemple en relation avec les rentes versées aux conjoints survivants, aux enfants et aux autres bénéficiaires.
4.4 Données de communication
Lors d'une prise de contact avec la PKCA, celle-ci traite vos données ainsi que les contenus échangés. Les données traitées sont celles qui permettent de répondre au contenu de la prise de contact. PKCA se réserve le droit de collecter d'autres données personnelles si cela est nécessaire à l'exécution de ses prestations.
Les données de communication sont en particulier le nom et les coordonnées telles que l'adresse postale, l'adresse e-mail et le numéro de téléphone, le contenu des e-mails, d'autres correspondances écrites, des conversations téléphoniques, des vidéoconférences, etc. ; des indications sur le type, l'heure et éventuellement le lieu de la communication ; des preuves d'identité telles que des copies de pièces d'identité officielles et des données marginales de la communication.
4.5 Données techniques
Chaque fois que le site web de la PKCA est consulté, une série de données et d'informations générales sont collectées. Ces données et informations générales sont enregistrées dans les fichiers journaux du serveur. Peuvent être saisis (1) les types et versions de navigateurs utilisés, (2) le système d'exploitation utilisé par le système d'accès, (3) le site Internet à partir duquel un système d'accès arrive sur notre site Internet (ce que l'on appelle le référent), (4) les sous-sites Internet qui sont consultés sur notre site Internet par un système d'accès, (5) la date et l'heure d'un accès au site web, (6) une adresse de protocole Internet (adresse IP), (7) le fournisseur de services Internet du système d'accès et (8) d'autres données et informations similaires qui servent à prévenir les risques en cas d'attaques sur notre infrastructure informatique.
Ces données et informations sont nécessaires pour présenter correctement le contenu de notre site web, pour optimiser le contenu de notre site web et pour garantir le fonctionnement durable de notre site web.
Liens d'autres sites web
Le site web de la PKCA peut contenir des liens vers des sites web d'autres fournisseurs. Nous n'avons aucune influence sur ces sites web, leur contenu, leurs offres ou leur disponibilité, ni sur les déclarations et dispositions de protection des données qui y sont en vigueur.
Cookies
PKCA peut utiliser des cookies sur son site web. Les cookies contiennent ce que l'on appelle un cookie-ID, un identifiant unique du cookie, qui associe les pages web et les serveurs à un navigateur Internet concret. Un navigateur Internet donné peut être reconnu et identifié grâce à cet identifiant de cookie unique.
4.6 Autres données
La PKCA collecte également des données vous concernant dans d'autres situations. Dans le cadre de procédures administratives ou judiciaires, par exemple, des données sont produites (telles que des dossiers, des preuves, etc.) qui peuvent également se rapporter à vous. Pour des raisons de protection de la santé, la PKCA peut également collecter des données.
5. d'où proviennent les données personnelles ?
5.1 Données fournies par vous
Vous communiquez vous-même certaines données personnelles à la PKCA, par exemple lorsque vous transmettez des données à la PKCA ou communiquez avec la PKCA. Cela peut se faire par différents canaux.
5.2 Données reçues de tiers
Dans le cadre de l'exécution de la prévoyance professionnelle, PKCA reçoit des données personnelles principalement de la part d'employeurs actuels ou anciens. Ceux-ci sont tenus par la loi de fournir à PKCA toutes les données nécessaires à l'exécution de la prévoyance professionnelle. Mais PKCA peut également recevoir des informations vous concernant d'autres tiers, par exemple d'entreprises avec lesquelles PKCA collabore, de personnes qui communiquent avec PKCA ou de sources publiques.
PKCA peut par exemple recevoir des données personnelles des tiers suivants :
- de vos employeurs ;
- de personnes de votre entourage (membres de votre famille, représentants juridiques, etc.), par exemple des procurations ;
- de la Poste suisse et des services publics, p. ex. pour la mise à jour des adresses ;
- de banques et autres prestataires de services financiers, d'assurances privées et sociales, d'institutions de prévoyance et de libre passage ;
- d'experts et de médecins et autres fournisseurs de prestations dont la PKCA reçoit également des données de santé lors de clarifications, le cas échéant avec une déclaration de libération séparée ;
- de prestataires de services ;
- des autorités, des tribunaux, des parties et d'autres tiers dans le cadre de procédures administratives et judiciaires ;
- de registres publics tels que le registre des poursuites ou le registre du commerce, d'organismes publics tels que l'Office fédéral de la statistique, des médias ou de l'Internet.
Les données que la PKCA traite conformément à la présente déclaration de protection des données ne concernent pas uniquement les personnes assurées, mais souvent aussi des tiers. Si vous transmettez à PKCA des données concernant des tiers, PKCA part du principe que vous êtes autorisé à le faire et que ces données sont exactes. En transmettant des données sur des tiers, vous le confirmez. Veuillez donc informer ces tiers du traitement de leurs données par PKCA et leur remettre une copie de la présente déclaration de protection des données.
6. à quelles fins les données personnelles sont-elles traitées ?
Le traitement des données personnelles a lieu en premier lieu dans le but de mettre en œuvre la prévoyance professionnelle. Cela comprend par ex.
- la conclusion et l'exécution de contrats d'affiliation avec l'employeur, y compris le conseil, l'application des droits juridiques découlant des contrats, la tenue de la comptabilité et la fin des contrats.
- l'admission des personnes assurées. Outre les données de base, un ou plusieurs comptes de capital de prévoyance sont tenus pour chaque personne assurée, pour lesquels des informations sur les cotisations, les rachats, les avoirs de vieillesse et les versements doivent être traitées ;
- l'examen et le traitement des cas de prévoyance, y compris la coordination avec d'autres assureurs tels que l'assurance-invalidité et l'application des droits de recours. Pour ce faire, la PKCA traite principalement les données contractuelles, les données relatives aux cas et aux prestations de la personne assurée et de ses proches et bénéficiaires, ainsi que les données relatives à la santé et les données de tiers tels que les experts externes et les fournisseurs de prestations ;
La PKCA traite également les données personnelles à des fins connexes, notamment aux fins suivantes :
- Communication : pour communiquer avec vous, par exemple pour répondre à vos demandes ;
- Exécution de contrats : En rapport avec l'établissement, la gestion et l'exécution de relations contractuelles ;
- Sécurité et prévention : à des fins de sécurité, pour garantir la sécurité informatique, pour prévenir la fraude et les abus et à des fins de preuve ;
- Respect des exigences légales : Création des conditions nécessaires au respect des exigences légales, afin de respecter les obligations légales et d'empêcher et de détecter les infractions.
- Sauvegarde du droit : pour faire valoir des droits et se défendre contre les prétentions d'autres personnes. PKCA traite donc également des données personnelles pour la sauvegarde du droit, par exemple pour faire valoir des droits en justice, avant ou en dehors des tribunaux et devant les autorités en Suisse et, si nécessaire, à l'étranger, ou pour se défendre contre des prétentions.
- Autres objectifs : par exemple dans le cadre des processus et de l'administration internes. Il s'agit notamment de la gestion de l'informatique, de la comptabilité, de l'archivage des données et de la gestion des archives ; de la formation et de l'éducation ; de l'examen ou de l'exécution de transactions relevant du droit des sociétés ; de la transmission de demandes aux services compétents ; de la vente de créances, dans le cadre de laquelle nous transmettons à l'acquéreur, par exemple, des informations sur le motif et le montant de la créance et, le cas échéant, sur la solvabilité et le comportement du débiteur ; de manière générale, de l'examen et de l'amélioration des processus internes.
7. Sur la base de quelles bases juridiques les données personnelles sont-elles traitées ?
Dans le domaine de la prévoyance professionnelle obligatoire, la PKCA traite les données personnelles sur la base des dispositions légales applicables, c'est-à-dire la législation sur la prévoyance professionnelle : notamment par la loi fédérale sur la prévoyance professionnelle vieillesse, survivants et invalidité (LPP) et la loi fédérale sur le libre passage dans la prévoyance professionnelle (LFLP) et les ordonnances y relatives. En tant qu'organe fédéral, la PKCA traite vos données personnelles dans ce domaine dans le cadre des autorisations légales de traitement (par ex. art. 85a et suivants LPP).
Dans le domaine de la prévoyance surobligatoire, le traitement des données est soumis aux dispositions de la loi sur la protection des données (LPD). Dans ce cadre, la PKCA traite vos données personnelles notamment pour l'exécution d'un contrat avec la personne concernée ou pour des mesures précontractuelles (p. ex. l'examen d'une demande de contrat), pour la défense d'intérêts légitimes, sur la base d'un consentement séparé ou pour le respect de la législation.
8. à qui les données personnelles sont-elles transmises ?
La mise en œuvre de la prévoyance professionnelle requiert parfois la collaboration d'autres organismes. Toutes les communications de données auxquelles procède la PKCA sont nécessaires pour des raisons juridiques ou opérationnelles. Si des données personnelles sont traitées par des mandataires ou des responsables externes, la PKCA s'assure que les dispositions légales sont respectées.
Vous trouverez ci-dessous un aperçu des catégories de destinataires auxquels la PKCA peut communiquer des données :
- Employeurs : ils ne reçoivent pas de données concernant votre santé ou des opérations telles que des achats, des versements anticipés, etc.
- Institutions de libre passage, autres institutions de prévoyance, autorités et administrations (p. ex. assureurs sociaux tels que l'assurance-invalidité ou les services sociaux), autres assureurs, fournisseurs de prestations médicales et experts, banques et bailleurs de fonds, tribunaux et avocats externes : Ces derniers reçoivent des données, notamment dans les cas de prévoyance.
- Les autorités et les services publics.
- Autres personnes : Lorsqu'une implication de tiers découle des objectifs selon le chiffre 6, les données peuvent également être communiquées à d'autres destinataires.
- Prestataires de services : ces prestataires de services traitent les données personnelles pour le compte de PKCA en tant que "sous-traitants". Ces sous-traitants sont tenus de traiter les données personnelles exclusivement selon les instructions de PKCA et de prendre des mesures appropriées pour la sécurité des données. Certains prestataires de services sont également responsables conjointement avec la PKCA ou de manière indépendante (voir chiffre 2). Par le choix des prestataires de services et par des accords contractuels appropriés, PKCA s'assure que la protection des données est garantie tout au long du traitement de vos données personnelles.
Les communications mentionnées sont nécessaires pour des raisons juridiques ou opérationnelles. Les obligations de confidentialité légales et contractuelles ne s'opposent donc pas à ces communications.
9. les données personnelles sont-elles communiquées à l'étranger ?
Non, la PKCA traite en principe les données personnelles en Suisse.
10. comment les données personnelles sensibles sont-elles traitées ?
Certains types de données personnelles sont considérés comme "sensibles" du point de vue de la protection des données, par exemple les données relatives à la santé et les caractéristiques biométriques. La CPCA ne traite les données personnelles sensibles que dans la mesure où cela est nécessaire en relation avec l'exécution de la prévoyance professionnelle, notamment lors du traitement des cas d'invalidité, et avec votre consentement séparé.
11. des décisions automatisées sont-elles prises ?
Pour l'établissement et l'exécution de la relation d'affaires, ainsi que pour le reste, PKCA n'utilise en principe pas de prise de décision automatisée.
12. comment les données personnelles sont-elles protégées ?
PKCA prend des mesures de sécurité appropriées afin de préserver la sécurité de vos données personnelles.
PKCA s'assure que les personnes chargées du traitement des données prennent des mesures de sécurité appropriées de nature technique et organisationnelle afin de préserver la sécurité de vos données personnelles, de les protéger contre les traitements non autorisés ou illicites et de prévenir les risques de perte, de modification accidentelle, de divulgation ou d'accès non autorisé. Comme toutes les entreprises, PKCA ne peut toutefois pas exclure avec une certitude absolue les atteintes à la sécurité des données ; certains risques résiduels sont inévitables.
13. combien de temps les données personnelles sont-elles traitées ?
La PKCA traite et conserve vos données personnelles,
- tant que cela est nécessaire pour la finalité du traitement ;
- tant que PKCA a un intérêt légitime à les conserver. Cela peut notamment être le cas lorsque les données personnelles sont nécessaires pour faire valoir des droits ou pour s'en défendre, à des fins d'archivage et pour garantir la sécurité informatique ;
- tant que la CPCA est soumise à une obligation légale de conservation.
14. quels sont vos droits en ce qui concerne le traitement de vos données personnelles ?
Vous avez le droit de,
- de demander des renseignements sur vos données personnelles enregistrées par la PKCA ;
- de faire corriger des données personnelles inexactes ou incomplètes ;
- de demander la suppression ou l'anonymisation de vos données personnelles si elles ne sont pas (plus) nécessaires à l'exécution de la prévoyance professionnelle ;
- le droit d'exiger la limitation du traitement de vos données personnelles dans la mesure où le traitement n'est pas (plus) nécessaire à l'exécution de la prévoyance professionnelle ;
- de recevoir certaines données personnelles dans un format structuré, courant et lisible par machine ;
- de révoquer un consentement avec effet pour l'avenir, dans la mesure où un traitement est basé sur un consentement.
Veuillez noter que ces droits peuvent être limités ou exclus dans certains cas, par exemple en cas de doute sur l'identité ou si cela est nécessaire pour la protection d'autres personnes, la sauvegarde d'intérêts dignes de protection ou le respect d'obligations légales.
Vous êtes également libre de déposer une plainte auprès d'une autorité de surveillance compétente si vous avez des doutes quant à la conformité du traitement de vos données personnelles avec la loi. L'autorité de surveillance compétente en Suisse est le Préposé fédéral à la protection des données et à la transparence (PFPDT).
15. comment pouvez-vous nous contacter ?
Pour toute question concernant la présente déclaration de protection des données ou le traitement de vos données personnelles, veuillez vous adresser à :
Pensionskasse der C&A Gruppe, Datenschutz, Oberneuhofstrasse 6, 6340 Baar.
La PKCA a également désigné un conseiller en matière de protection des données. Le conseiller en protection des données fait notamment office d'interlocuteur pour l'autorité de surveillance. Il peut être contacté à l'adresse ci-dessus.
16. modifications de la présente déclaration de protection des données
La présente déclaration de protection des données peut être adaptée au fil du temps, notamment si PKCA modifie les traitements de données ou si de nouvelles dispositions légales deviennent applicables. En règle générale, les traitements de données sont soumis à la déclaration de protection des données dans sa version actuelle au début du traitement concerné.
Août 2023