Déclaration de confidentialité CRB

1.   Protection des données chez CRB

La promotion de la durabilité et plus généralement de la confiance dans le secteur de la construction est l'objectif stratégique suprême de l'activité de CRB. Nous considérons donc qu'un comportement conforme à la protection des données est une condition de base importante dans nos relations avec toutes les parties prenantes et nous l'appliquons en conséquence. Lors de la collecte et du traitement des données personnelles, nous respectons les dispositions de la loi suisse sur la protection des données (LPD) et prenons toutes les dispositions nécessaires pour protéger les données. Les dispositions suivantes sur la protection des données s'appliquent et restent en vigueur même après la fin éventuelle de la relation d'affaires avec CRB.

2.   Collecte des données personnelles

2.1 Objectifs généraux de la collecte des données personnelles
Les données personnelles sont collectées, traitées et sauvegardées pour autant qu'elles soient nécessaires à la fourniture des prestations, à la sécurité d'exploitation, à la protection des infrastructures, à la facturation et à la gestion des relations clientèle, notamment pour garantir une qualité élevée et continuellement améliorée des prestations. Le traitement pour satisfaire aux exigences légales en fait également partie. Nous traitons également les données personnelles de nos clients pour communiquer avec eux, répondre à leurs demandes et leur envoyer des newsletters, des informations, des invitations à des événements, des cours, des conférences ou des exposés, et pour documenter tout cela si nécessaire.

2.2 Quelles sont les données collectées?
Les données clients et les données pour la gestion des mandats, les données de mandants, les données de prestations et de facturation ainsi que les informations complémentaires mentionnées au point 2.1 ci-dessus sont saisies dans le système ERP de CRB (Enterprise-Resource-Planning-System). CRB utilise à cet effet une solution cloud qui est commercialisée sous la désignation SAP Business by Design (ByD). L'ERP de CRB permet de saisir les données personnelles suivantes, de manière plus ou moins complète selon les cas: Numéro de client, nom du client (prénom et nom de famille), nom supplémentaire si nécessaire, numéro d'identification de l'entreprise IDE, forme juridique, code de région, nombre de collaborateurs, groupe de clients, branche, statut de membre, abonnement au Bulletin CRB, numéros de téléphone et de fax, site Internet, adresse e-mail, langue, rue avec numéro, localité, code postal, pays et, le cas échéant, indications sur une adresse de facturation différente.

En outre, des personnes de contact par numéro de client peuvent être mentionnées en plus des données susmentionnées: Sexe, date de naissance, état civil, statut de la relation avec CRB (p. ex. actif ou appartenance à des groupes cibles d'adresses et à des campagnes), titre académique, adresse privée (avec les mêmes indications que les adresses commerciales ci-dessus), VIP (p. ex. directeur, président du comité, membre du comité). Ainsi que d'éventuelles coordonnées de la personne de contact, l'entreprise à laquelle elle appartient, d'éventuels liens transversaux et d'autres informations de fond provenant de registres publics, d'éventuelles personnes de référence et du contenu des demandes, etc. 

Toutes les données susmentionnées peuvent être activées, obsolètes, bloquées ou supprimées, dans le respect des dispositions légales. Les coordonnées comprennent également l'indication de la personne qui a procédé à la dernière mutation.

Les données des personnes qui postulent pour un emploi auprès de CRB sont également saisies. Ces données sont saisies dans des logiciels Office traditionnels, exclusivement par le service du personnel. Les documents correspondants sont enregistrés dans un domaine séparé et codé de CRBinside (cf. point 4.4) et les éventuelles autres personnes impliquées dans le processus d'évaluation ne peuvent les consulter qu'à cet endroit. Le téléchargement de tels fichiers à d'autres fins que le dossier personnel est formellement interdit. Une fois la procédure de sélection terminée, les données sont soit transférées dans les dossiers personnels, qui ne sont accessibles que pour le service du personnel dans des archives séparées et sécurisées, soit entièrement effacées.

3.   Traitement des données personnelles

3.1 Conservation et sécurité des données
Les données personnelles collectées conformément au point 2 ci-dessus sont traitées par CRB avec le soin requis et dans le cadre des dispositions légales. Toutes les informations sur les clients qui sont saisies dans le système ERP de CRB sont hébergées en Suisse et/ou dans les États de l'UE (Union européenne) dans le cadre de mesures de sécurité globales. 

CRB attire l'attention sur le fait que partout où un nom d'utilisateur spécifique au client et un mot de passe sont exigés/donnés, ceux-ci ne doivent être connus que des utilisateurs et doivent être tenus secrets, de même qu'ils ne doivent être transmis à aucun tiers (même à des tiers éventuellement enregistrés).

3.2 Transfert des données
En reprenant les conditions d'utilisation de l'offre de prestations concernée, CRB peut transmettre des données personnelles, totalement ou en partie, à des tiers, en particulier à des personnes chargées du traitement des commandes, à des fournisseurs informatiques et à d'autres prestataires qui mettent à disposition des applications informatiques ou qui fournissent un support et d'autres prestations de service pour les objectifs mentionnés dans la présente déclaration de protection des données sur mandat de CRB, en reprenant les conditions d'utilisation de l'offre de prestations concernée. En s'inscrivant au service correspondant ou en recourant à la prestation, l'utilisateur accepte les conditions d'utilisation et la transmission de ses données d'utilisateur au tiers sous-traitant pour autant que ces données soient nécessaires à la fourniture des prestations et/ou à l'encaissement des éventuelles redevances.

Dans la mesure où CRB fait appel à des tiers sous-traitants pour fournir ses prestations, CRB est habilité à transmettre les données requises pour la fourniture des prestations à ces tiers sous-traitants en leur imposant les mêmes obligations en matière de protection des données que celles qui s'appliquent à CRB. Si l'utilisateur traite des données de tiers dans le cadre de l'utilisation des Standards CRB, il en assume l'entière responsabilité envers les personnes concernées.

3.3 Produits de fabricants tiers
CRB distribue et utilise les produits de fabricants tiers. Dans ce contexte, CRB conclut également des contrats au nom de ces fabricants tiers. Les clients s'engageant contractuellement par l'intermédiaire de CRB sont informés de la communication des données les concernant (tels leur nom, adresse, numéro de licence et de client, etc.) entre CRB et les fabricants concernés, et l'agréent. De même, les clients sont tenus de prendre connaissance et d'accepter séparément les conditions d'utilisation correspondantes des autres fabricants avant d'utiliser ces produits.

4.   Dispositions relatives à l'utilisation des pages Internet de CRB, boutique en ligne, applications web, services web et Standards CRB, newsletters et canaux de médias sociaux

4.1 Dispositions générales relatives à l'utilisation en ligne
L'accès en ligne aux Standards CRB, aux services web de CRB, aux applications web de CRB et/ou aux pages web de CRB ainsi qu'aux outils de planification, de collaboration et de communication procurent à CRB des informations et des indications sur l'exploitation effective des données par l'utilisateur. L’utilisateur en prend acte et accepte que les informations obtenues par CRB soient utilisées et évaluées pour l'analyse de l’utilisation 
des pages et services web CRB. L'évaluation et l'utilisation de ces informations sont exclusivement destinées à l'usage interne de CRB. La collecte d'informations sur le mode de consultation et l'exploitation des données CRB par l’utilisateur s’effectuent en règle générale par le biais du logiciel tiers que l'utilisateur installe chez lui pour exploiter la banque de données CRB. Selon l’application, l’utilisateur peut décider si et dans quelle mesure les informations relatives à l'utilisation des données doivent être transmises à CRB. CRB utilise ces informations à des fins statistiques et pour des analyses de marché destinées à améliorer l'offre, ainsi que pour proposer des produits parfaitement ajustés aux besoins des utilisateurs. En cas de transmission à des tiers, les données sont transférées sous forme anonymisée ne permettant pas de déduire une quelconque relation avec l’utilisateur. Les particularités concrètes et pertinentes en matière de protection des données des différentes offres en ligne de CRB sont expliquées ci-après.

4.2 Pages Internet de CRB
Les pages Internet de CRB utilisent Google Analytics, un service d'analyse Web Google Inc. («Google»). Google Analytics utilise ce que l'on appelle des cookies, des fichiers de texte qui sont sauvegardés sur l'ordinateur de l'utilisateur et qui permettent une analyse de l'utilisation des pages Internet. Les informations collectées par les cookies sur l'utilisation des pages Internet (y compris l'adresse IP) sont transmises à un serveur de Google aux Etats-Unis et y sont sauvegardées. Google utilise ces informations pour analyser la consultation des pages web et pour transmettre à l'exploitant des rapports statistiques sur l'utilisation de ses pages web ainsi que pour fournir d'autres services connexes à l'utilisation d'Internet. Le cas échéant, Google transmettra ces renseignements aussi à des tiers pour autant que la loi le prévoit ou que ces tiers soient mandatés par Google pour traiter ces données. Google n'associera jamais les adresses IP des utilisateurs avec les autres données qui sont en sa possession. L'utilisateur peut paramétrer son navigateur pour prévenir l'installation des cookies. Mais le blocage des cookies risque toutefois de limiter les fonctionnalités des sites web dans leur étendue opérationnelle. En utilisant les pages web de CRB, l'utilisateur accepte le traitement des données recueillies auprès de lui par Google dans les limites décrites cidessus. 

4.3 Boutique en ligne de CRB
En complément des dispositions précédentes concernant les pages Internet de CRB, des données spécifiques à l'utilisateur sont nécessaires pour le traitement des commandes, la gestion des licences par le client, etc. Ces données sont saisies par l'utilisateur dans un formulaire mis à disposition à cet effet. En confirmant ses données, celles-ci sont transmises à CRB et saisies dans le système ERP de CRB (cf. ci-dessus SAP-ByD) et traitées, respectivement enregistrées, protégées et gérées conformément aux usages en vigueur.

4.4 CRBinside
La plate-forme CRBinside (crb.ch.sharepoint.com) est une plate-forme Internet que CRB met gratuitement à la disposition de tiers à des fins de collaboration numérique au sein de groupes de travail et de projet, incluant les données, le matériel (plans, images, graphiques, etc.) et les informations nécessaires fournies par CRB. L'utilisation de CRBinside se fait exclusivement dans le cadre de conditions d'utilisation séparées, qui s'appliquent à tous les types d'utilisation de la plate-forme, avec ses domaines connexes. Sont réputés «utilisateurs» l'ensemble des personnes et entreprises ayant procédé à leur inscription sur la plate-forme CRBinside. En se connectant à CRBinside, les utilisateurs confirment avoir compris les présentes dispositions et les accepter comme contraignantes. L'acquisition et l'utilisation des standards CRB ne sont pas régies par les présentes Conditions d'utilisation. En ce qui les concerne, les Conditions générales de CRB (CG-CRB) font foi.

4.5 Applications Web de CRB
CRB met à disposition des applications web pour différentes utilisations. Pour obtenir une licence pour ces applications web, les utilisateurs s'enregistrent soit directement dans le formulaire de saisie prévu à cet effet dans l'application web correspondante, soit demandent la licence d'utilisation par le biais d'une commande avec enregistrement dans la boutique en ligne de CRB. Alors que lors d'un enregistrement effectué directement dans l'application web, un e-mail est envoyé au service clientèle de CRB et y est saisi dans l'ERP de CRB, lors d'un enregistrement ou d'une commande dans la boutique en ligne de CRB, le traitement des données se fait de manière analogue à la procédure décrite pour la boutique en ligne de CRB. CRB offre aux utilisateurs enregistrés de certains services web la possibilité de se présenter et/ou de présenter leurs projets de même que leurs données de projet à CRB et/ou à d'autres utilisateurs enregistrés de services web par le biais des formulaires intégrés à ces services web. Plusieurs services web CRB comportent une zone d’échange et d’information permettant aux utilisateurs enregistrés de montrer leurs projets et de s’informer au sujet des projets d’autres utilisateurs, de prendre contact avec les autres utilisateurs et d’échanger des informations. L'utilisateur doit s'inscrire pour pouvoir utiliser les services web de CRB (voir cidessus). En s'inscrivant, il peut ajouter des informations sur lui-même ou sur son entreprise, mais ces informations doivent être véridiques et correspondre à la réalité. CRB se réserve le droit d'effacer toute information de l'utilisateur fausse ou incorrecte. Les informations que l’utilisateur publie dans le cadre des services web CRB, que ce soit à son sujet, au sujet de son entreprise ou de ses projets, peuvent être utilisées sans restriction par CRB pour développer et proposer de nouvelles fonctions ou prestations. Les partenaires mentionnés par l’utilisateur peuvent être invités par lui-même ou par CRB à s’inscrire aux services web CRB. L’utilisation des informations et des données fournies par les autres utilisateurs à propos de leurs projets est strictement limitée aux fins d’information et de contrôle. Toute utilisation dépassant ce cadre requiert au préalable l’autorisation écrite de CRB.

4.6 Services web du CRB
Avec ses services web, CRB soutient d'une part la bonne marche de son activité commerciale, avec l'Identity and Access Management (IAM) ainsi que le service de licence centralisé et l'acquisition de données. Lors de l'utilisation de ces services web, les données client du preneur de licence peuvent être reliées aux données clients stockées dans l'ERP de CRB par le biais du numéro de client et de la clé de licence. Ces identifications doivent être nécessaires et possibles. Toutefois, elles ne sont utilisées que sporadiquement et de manière aléatoire à des fins de contrôle ou en cas de suspicion d'utilisation abusive des standards CRB. D'autre part, le CRB soutient également l'application concrète de certains de ses propres produits par le biais de services web. Cela concerne par exemple l'assurance qualité des descriptifs selon le Catalogue des articles normalisés (CAN) et l'échange électronique de données prévu à cet effet. Cela se fait au moyen d'un logiciel de test, utilisé aussi bien localement que de manière centralisée, c'est-à-dire en ligne. Lors de l'accès en ligne aux services web de CRB, les données clients du titulaire de la licence peuvent être reliées aux données client stockées dans l'ERP de CRB par le biais du numéro de client et de la clé de licence. Ces identifications doivent être nécessaires et possibles. Toutefois, elles ne sont utilisées que sporadiquement et de manière aléatoire à des fins de contrôle ou en cas de suspicion d'utilisation abusive des standards CRB. Il n'est pas possible d'effectuer des identifications plus approfondies, par exemple sur les documents traités, comme des indications concrètes sur les projets et les participants aux projets.

4.7 E-newsletter du CRB
CRB utilise des applications tierces pour communiquer des informations (e-newsletter) et également pour obtenir des informations (outil de sondage de l'e-newsletter). Il s'agit de diverses applications web telles que Mailchimp, Survey-Monkey, Zoom, etc. Pour le traitement effectif et l'interaction par les utilisateurs de ces applications web, les conditions d'utilisation et les déclarations de protection des données des fournisseurs de ces applications web s'appliquent en plus de la présente déclaration. Tous les utilisateurs doivent en prendre connaissance et les approuver séparément dans le cadre de la procédure de login. CRB a accès aux données personnelles saisies par les utilisateurs et les transfère dans son ERP. Les données seront ensuite traitées conformément à la procédure décrite ci-dessus. Les données d'utilisateur restantes jusqu'à la suspension de l'utilisation des applications web sont enregistrées conformément aux déclarations de protection des données susmentionnées et sont ensuite effacées.

4.8 Canaux de médias sociaux CRB
Le traitement des données personnelles décrit ci-dessus est comparable au traitement des données personnelles dans les canaux de médias sociaux utilisés par le CRB (en règle générale, il s'agit uniquement de liens vers les données personnelles correspondantes), tels que Linkedin, Facebook, twitter et youtube. Là encore, en plus de la présente directive sur la protection des données de CRB, les dispositions d'utilisation et de protection des données des différents fournisseurs s'appliquent. Un transfert de données personnelles des différents canaux de médias sociaux dans le système ERP de CRB n'a pas lieu. Si l'utilisation d'un canal de médias sociaux est interrompue, les données stockées par le CRB ne seront plus disponibles et les dispositions de protection des données des fournisseurs des canaux de médias sociaux en question s'appliqueront à nouveau exclusivement.

5.   Consentement à la saisie et au traitement des données personnelles

Les groupes de référence qui transmettent des données personnelles à CRB, indépendamment de la forme de la transmission, acceptent que CRB saisisse et traite les données qu'ils ont fournies, conformément aux indications figurant dans la présente déclaration de protection des données.

6.   Droits des personnes concernées par la saisie et le traitement des données

Les personnes dont nous traitons les données ont le droit d'être informées conformément à l'art. 8 de la LF sur la protection des données du 19.06.1992 ou, après son entrée en vigueur, conformément à l'art. 25 de la LF sur la protection des données du 25.09.2020. Dans la mesure où le traitement repose sur un consentement, toutes les personnes concernées ont le droit de révoquer ce consentement à tout moment avec effet rétroactif. Les personnes dont nous traitons les données peuvent en outre faire valoir les autres droits prévus par la LPD suisse en vigueur. Pour exercer ces droits, les personnes concernées peuvent s'adresser à l'adresse indiquée en bas de page. CRB traitera ces demandes conformément à la LPD suisse en vigueur et pourra également les refuser ou ne les satisfaire que de manière limitée, conformément aux dispositions légales.

7.   Information, contact et adaptation de la présente déclaration de confidentialité

7.1 privacy@crb.ch
Chez CRB, le service d'information responsable de la protection des données est facilement joignable à l'adresse privacy@crb.ch. Bien entendu, vous pouvez également prendre contact avec nous par courrier ou personnellement. Nos coordonnées sont les suivantes: CRB, Datenschutzbeauftragte(r), Steinstrasse 21, Postfach, 8036 Zürich, Tel.: 044 456 45 45, privacy@crb.ch

7.2 Adaptations de la présente déclaration de protection des données
Etant donné que notre mode de travail et celui de nos groupes de référence sont en constante évolution et qu'il faut s'attendre à l'utilisation d'autres outils, notamment dans le domaine des logiciels, la présente déclaration de protection des données sera également adaptée en conséquence. La version actuellement en vigueur est disponible auprès du secrétariat et publiée sur crb.ch. Un aperçu de l'évolution des modifications peut être consulté sur www.crb.ch.

7.3 Aperçu des révisions
La version actuellement en vigueur (n° 001) a été publiée le 1er janvier 2022.