Déclaration de protection des données CRB
1. Protection des données chez CRB
La promotion de la durabilité et plus généralement de la confiance dans le secteur de la construction est l'objectif stratégique premier de l'activité de CRB. Nous considérons donc qu'un comportement conforme à la protection des données est une condition de base importante dans nos relations avec toutes les parties prenantes et nous l'appliquons en conséquence. Lors de la collecte et du traitement des données personnelles, nous respectons les dispositions de la loi fédérale sur la protection des données (LPD) et prenons toutes les dispositions nécessaires pour protéger les données concernées. Les dispositions suivantes sur la protection des données s'appliquent et restent en vigueur même après la fin éventuelle de la relation d'affaires avec CRB.
2. Collecte des données personnelles
2.1 Objectifs généraux de la collecte des données personnelles
Les données personnelles sont collectées, traitées et sauvegardées pour autant qu'elles soient nécessaires à la fourniture des prestations, à la sécurité d'exploitation et à la protection des infrastructures, à la facturation et à la gestion des relations clientèle, notamment afin de garantir des prestations de grande qualité, en constante progression. Elles sont de même traitées afin de satisfaire aux exigences légales. Nous traitons également les données personnelles de nos clients à des fins de communication, pour répondre à leurs demandes et leur adresser newsletters, informations, invitations à des événements, cours, conférences ou présentations, et à des fins de documentation le cas échéant.
2.2 Quelles sont les données collectées?
Les données clients et les données pour la gestion des mandats, les données de mandants, les données de prestations et de facturation ainsi que les informations complémentaires mentionnées au point 2.1 ci-dessus sont saisies dans le système ERP de CRB (Enterprise-Resource-Planning-System). CRB utilise à cet effet une solution cloud commercialisée sous la désignation SAP Business by Design (ByD). L'ERP de CRB permet de saisir les données personnelles suivantes, de manière plus ou moins complète selon les cas:
Numéro de client, nom du client (prénom et nom de famille), nom supplémentaire si nécessaire, numéro d'identification de l'entreprise IDE, forme juridique, code de région, nombre de collaborateurs, groupe de clients, branche, statut de membre, abonnement au Bulletin CRB, numéros de téléphone et de fax, site Internet, adresse e-mail, langue, rue avec numéro, localité, code postal, pays et, le cas échéant, indications sur une adresse de facturation différente.
En outre, si nécessaire, des personnes de contact peuvent être mentionnées, par numéro de client, avec les précisions suivantes en plus des données susmentionnées: sexe, date de naissance, état civil, statut de la relation avec CRB (p. ex. actif ou appartenance à des groupes cibles d'adresses et à des campagnes), titre académique, adresse privée (avec renseignements similaires aux adresses commerciales ci-dessus), VIP (p. ex. directeur, président du comité, membre du comité). On retiendra également, pour cet interlocuteur, de possibles données de contact, l'entreprise à laquelle il appartient, d'éventuels liens transversaux et d'autres informations de fond provenant de registres publics, d'éventuelles personnes de référence et le contenu de demandes adressées, etc.
Toutes les données susmentionnées peuvent être activées, obsolètes, bloquées ou supprimées, dans le respect des dispositions légales. Les coordonnées font également mention de la personne ayant procédé à la dernière modification.
Parmi ces données personnelles, celles concernant les personnes postulant à un emploi auprès de CRB sont également saisies. La saisie de ces données, à partir des logiciels Office usuels, est exclusivement confiée au service du personnel. Les documents correspondants sont enregistrés dans un domaine séparé et chiffré de CRBinside (cf. point 4.4) et les personnes supplémentaires éventuellement impliquées dans le processus d'évaluation ne peuvent les consulter qu'à cet endroit. Le téléchargement de tels fichiers est formellement interdit. Une fois la procédure de sélection terminée, les données sont soit transférées dans les dossiers personnels, qui ne sont accessibles que pour le service du personnel dans des archives séparées et sécurisées, soit entièrement effacées.
3. Traitement des données personnelles
3.1 Conservation et sécurité des données
Les données personnelles collectées conformément au point 2 ci-dessus sont traitées par CRB avec le soin requis et dans le cadre des dispositions légales. Toutes les informations sur les clients saisies dans le système ERP de CRB sont hébergées en Suisse et/ou dans les États de l'UE (Union européenne) dans le cadre de mesures de sécurité globales.
CRB souligne le fait que partout où un nom d'utilisateur spécifique au client et un mot de passe sont exigés/attribués, ceux-ci ne doivent être connus que des utilisateurs exclusivement et tenus secrets, de même qu'ils ne seront transmis à aucun tiers (même à des tiers éventuellement enregistrés).
3.2 Transfert des données
En lien direct avec la fourniture de ses prestations, CRB est susceptible de transmettre à des tiers des données personnelles, dans leur intégralité ou partiellement. Il pourra s'agir, en particulier, de personnes chargées par CRB du traitement des commandes, de prestataires informatiques ou d'autres fournisseurs en applications informatiques, en support ou pour d'autres prestations de service aux fins susmentionnées dans la présente déclaration de protection des données, ceci dans le respect des conditions d'utilisation s'appliquant aux offres de prestations respectives. En s'inscrivant au service correspondant ou en recourant à la prestation, l'utilisateur accepte les conditions d'utilisation et la transmission de ses données d'utilisateur au tiers sous-traitant pour autant que ces données soient nécessaires à la fourniture des prestations et/ou à l'encaissement des éventuelles créances.
Dans la mesure où CRB fait appel à des tiers sous-traitants pour fournir ses prestations, CRB est habilité à transmettre les données requises pour la fourniture des prestations à ces tiers sous-traitants en leur imposant les mêmes obligations en matière de protection des données que celles qui s'appliquent à CRB. Si l'utilisateur traite des données de tiers dans le cadre de l'utilisation des Standards CRB, il en assume l'entière responsabilité envers les personnes concernées.
3.3 Produits de fabricants tiers
CRB distribue les produits de fabricants tiers. Dans ce contexte, CRB conclut également des contrats au nom de ces fabricants tiers. Les clients s'engageant contractuellement par l'intermédiaire de CRB sont informés de la communication des données les concernant (tels leur nom, adresse, numéro de licence et de client, etc.) entre CRB et les fabricants concernés, et l'agréent.
4. Dispositions relatives à l'utilisation des pages Internet de CRB, boutique en ligne, E-Books CRB, applications web, services web et Standards CRB, newsletters et canaux de médias sociaux
4.1 Dispositions générales relatives à l'utilisation en ligne
L'accès en ligne aux Standards CRB, aux services web de CRB, aux applications web de CRB, aux E-Books CRB et/ou aux pages web de CRB ainsi qu'aux outils utilisés par CRB pour la planification, la collaboration et la communication procurent à CRB des informations et des indications sur l'exploitation effective des données par l'utilisateur. L’utilisateur en prend acte et accepte que les informations obtenues par CRB soient utilisées et évaluées pour l'analyse de l’utilisation des Standards CRB, des services internet CRB, des applications web CRB, des pages Internet de CRB, des newsletter électroniques CRB et des canaux de médias sociaux CRB. L'évaluation et l'utilisation de ces informations sont exclusivement destinées à l'usage interne de CRB. La collecte d'informations sur le mode de consultation et l'exploitation des données CRB par l’utilisateur s’effectuent en règle générale par le biais du programme d'application que l'utilisateur installe chez lui pour exploiter la banque de données CRB. Selon l’application, l’utilisateur peut décider si et dans quelle mesure les informations relatives à l'utilisation des données doivent être transmises à CRB. CRB utilise ces informations à des fins statistiques et pour des analyses de marché destinées à améliorer l'offre, ainsi que pour proposer des produits parfaitement ajustés aux besoins des utilisateurs. En cas de transmission à des tiers, les données sont transférées sous forme anonymisée ne permettant pas de déduire une quelconque relation avec l’utilisateur. Les particularités concrètes en matière de protection des données des différentes offres en ligne de CRB sont expliquées ci-après.
4.2 Pages Internet de CRB
Les pages Internet de CRB utilisent Google Analytics, un service d'analyse web de Google Inc. («Google»). Google Analytics utilise ce que l'on appelle des «cookies», des fichiers de texte qui sont sauvegardés sur l'ordinateur de l'utilisateur et qui permettent une analyse de l'utilisation des pages Internet. Les informations collectées par le cookie sur l'utilisation des pages Internet (y compris l'adresse IP) sont transmises à un serveur de Google aux Etats-Unis et sauvegardées sur place. Google utilise ces informations pour analyser la consultation des pages web et pour transmettre à l'exploitant des rapports statistiques sur l'utilisation de ses pages web ainsi que pour fournir d'autres services connexes à l'utilisation de ses pages web ou d'internet en général. Le cas échéant, Google transmettra ces renseignements aussi à des tiers pour autant que la loi le prévoit ou que ces tiers soient mandatés par Google pour traiter ces données. Google n'associera jamais les adresses IP des utilisateurs avec les autres données qui sont en sa possession. L'utilisateur peut paramétrer son navigateur pour prévenir l'installation des cookies. Mais le blocage des cookies risque toutefois de limiter les fonctionnalités des sites web dans leur étendue opérationnelle. En utilisant les pages web de CRB, l'utilisateur accepte le traitement des données recueillies auprès de lui par Google dans les limites décrites ci-dessus.
4.3 Boutique en ligne de CRB
En complément des dispositions précédentes concernant les pages Internet de CRB, des données spécifiques à l'utilisateur sont nécessaires pour le traitement des commandes, la gestion des licences par le client, etc. Ces données sont saisies par l'utilisateur dans un formulaire mis à disposition à cet effet. En confirmant ses données, celles-ci sont transmises à CRB et saisies dans le système ERP de CRB (cf. ci-dessus SAP-ByD) et traitées, respectivement enregistrées, protégées et gérées conformément aux usages en vigueur.
4.4 CRBinside
La plate-forme CRBinside (crb.ch.sharepoint.com) est une plate-forme Internet que CRB met gratuitement à la disposition de tiers à des fins de collaboration numérique au sein de groupes de travail et de projet, incluant les données, le matériel (plans, images, graphiques, etc.) et les informations nécessaires, fournis par CRB. L'utilisation de CRBinside se fait exclusivement dans le cadre de conditions d'utilisation séparées, qui s'appliquent à tous les types d'utilisation de la plate-forme, avec ses domaines connexes. Sont réputés «utilisateurs» l'ensemble des personnes et entreprises ayant procédé à leur inscription sur la plate-forme CRBinside. En se connectant à CRBinside, les utilisateurs confirment avoir compris les présentes dispositions et les accepter comme contraignantes. L'acquisition et l'utilisation des standards CRB ne sont pas régies par les présentes Conditions d'utilisation. En ce qui les concerne, les Conditions générales de CRB (CG-CRB) font foi.
4.5 Applications Web de CRB
CRB met à disposition des applications web pour différentes utilisations. Pour obtenir une licence pour ces applications web, les utilisateurs s'enregistrent soit directement dans le formulaire de saisie prévu à cet effet dans l'application web correspondante, soit demandent la licence d'utilisation par le biais d'une commande avec enregistrement dans la boutique en ligne de CRB. Lors d'un enregistrement effectué directement dans l'application web, seul un e-mail est adressé au service clientèle de CRB puis saisi dans l'ERP de CRB, lors d'un enregistrement ou d'une commande dans la boutique en ligne de CRB, en revanche, le traitement des données se fait de manière analogue à la procédure décrite pour la boutique en ligne de CRB, avec publication de ces informations en accord avec les intéressés et en conformité avec les dispositions légales en matière de protection des données. CRB ne peut assumer aucune responsabilité en la matière et dans le cas où des revendications seraient faites à l'encontre de CRB, l'utilisateur responsable est tenu d'indemniser entièrement et de tenir CRB à l'écart de toute action en justice. CRB offre aux utilisateurs enregistrés de certains services web la possibilité de se présenter et/ou de présenter leurs projets de même que leurs données de projet à CRB et/ou à d'autres utilisateurs enregistrés de services web par le biais des formulaires intégrés à ces services web. Plusieurs services web CRB comportent une zone d’échange et d’information permettant aux utilisateurs enregistrés de montrer leurs projets et de s’informer au sujet des projets d’autres utilisateurs, de prendre contact avec les autres utilisateurs et d’échanger des informations. L'utilisation des services web de CRB implique une inscription. (cf. ci-dessus). En s'inscrivant, l'utilisateur peut ajouter des informations sur lui-même ou sur son entreprise, sous réserve que celles-ci soient véridiques et correspondent effectivement à la réalité. En particulier pour les services web qui peuvent être utilisés gratuitement, les informations sur les projets des utilisateurs telles que les données, les maquettes, les descriptifs, les classifications etc., seront rendues anonymes avant d'être réutilisées. Ces informations peuvent selon les besoins être publiées au nom de CRB, et/ou être employées pour la compilation de valeurs et/ou l'analyse statistique puis publiées au nom de CRB. CRB se réserve le droit d'effacer toute information de l'utilisateur inexacte ou contraire à la réalité. Les informations que l’utilisateur publie dans le cadre des services web CRB, qu'elles se rapportent à lui-même, à son entreprise ou à ses projets, peuvent être utilisées sans restriction par CRB pour développer et proposer de nouvelles fonctions et/ou prestations. De la même manière, les partenaires mentionnés par les utilisateurs peuvent être invités par CRB à s’inscrire eux aussi aux services web CRB. L’utilisation des informations et des données fournies par les autres utilisateurs à propos de leurs projets est strictement limitée aux fins d’information et de contrôle. Toute utilisation des données et informations disponibles dans les applications web de CRB dépassant ce cadre requiert au préalable l’autorisation écrite de CRB.
4.6 Services web du CRB
Avec ses services web, CRB soutient d'une part la bonne marche de son activité commerciale, avec l'Identity and Access Management (IAM) ainsi que le service de licence centralisé et l'acquisition de données. Lors de l'utilisation de ces services web, les données client du preneur de licence peuvent être reliées aux données clients stockées dans l'ERP de CRB par le biais du numéro de client et de la clé de licence. Ces identifications doivent être nécessaires et possibles. Toutefois, elles ne sont utilisées que sporadiquement et de manière aléatoire à des fins de contrôle ou en cas de suspicion d'utilisation abusive des standards CRB. D'autre part, le CRB soutient également l'application concrète de certains de ses propres produits par le biais de services web. Cela concerne par exemple l'assurance qualité des descriptifs selon le Catalogue des articles normalisés (CAN) et l'échange électronique de données prévu à cet effet. Cela se fait au moyen d'un logiciel de test, utilisé aussi bien localement que de manière centralisée, c'est-à-dire en ligne. Lors de l'accès en ligne aux services web de CRB, les données clients du titulaire de la licence peuvent être reliées aux données client stockées dans l'ERP de CRB par le biais du numéro de client et de la clé de licence. Ces identifications doivent être nécessaires et possibles. Toutefois, elles ne sont utilisées que sporadiquement et de manière aléatoire à des fins de contrôle ou en cas de suspicion d'utilisation abusive des standards CRB. Il n'est pas possible d'effectuer des identifications plus approfondies, par exemple sur les documents traités, comme des indications concrètes sur les projets et les participants aux projets.
4.7 E-Books CRB
L'exploitation des E-Books CRB se fait par le biais d'une application proposée par un fournisseur tiers. Au moment de l'inscription relative à un E-Book CRB ou de sa première activation, il s'avère nécessaire, pour le fournisseur tiers, de disposer des accès relevant des Product Activation Keys (PAK) pour chaque client. Le fournisseur tiers aura ainsi la possibilité d'obtenir des informations concernant, entre autres et par exemple, la fréquence d'utilisation pour les accès ouverts par le PAK. Il n'est pas possible, en revanche, de remonter ainsi jusqu'aux coordonnées du client, ce qui ne pourrait se faire que par le recours aux données de contact enregistrées chez CRB et que l'entreprise ne communique pas.
4.8 E-newsletter du CRB
CRB utilise des applications tierces pour communiquer des informations (e-newsletter) et également pour en obtenir (outil de sondage de l'e-newsletter). Il s'agit de diverses applications web telles que Mailchimp, Survey-Monkey, Zoom, etc. Pour l'usage pratique de ces applications web et l'interaction imputable aux utilisateurs, les déclarations de protection des données des fournisseurs de ces applications web s'appliquent en plus de la présente déclaration. Tous les utilisateurs doivent en prendre connaissance et les approuver séparément dans le cadre de la procédure de login. CRB a accès aux données personnelles saisies par les utilisateurs et les transfère dans son ERP. Les données seront ensuite traitées conformément à la procédure décrite ci-dessus. Les données d'utilisateur restantes jusqu'à la suspension de l'utilisation des applications web sont enregistrées conformément aux déclarations de protection des données susmentionnées et sont ensuite effacées.
4.9 Canaux de médias sociaux CRB
Le traitement des données personnelles (en règle générale, il ne s'agit que de liens vers les données personnelles correspondantes) rendues éventuellement accessibles par le biais des canaux de médias sociaux utilisés par CRB, tels Linkedin, Facebook, Twitter et Youtube, est comparable au traitement des données personnelles décrit ci-dessus. Là encore, en plus de la présente déclaration de protection des données de CRB, les dispositions d'utilisation et de protection des données des différents fournisseurs s'appliquent. Un transfert de données personnelles des différents canaux de médias sociaux dans le système ERP de CRB n'a pas lieu. Dans le cas de la suspension de l'utilisation d'un canal de médias sociaux, les données éventuellement stockées par CRB ne seront plus disponibles et seules s'appliqueront à nouveau les dispositions de protection des données des fournisseurs des canaux de médias sociaux en question.
5. Consentement à la saisie et au traitement des données personnelles
Les groupes de référence qui transmettent des données personnelles à CRB, indépendamment de la forme de la transmission, savent et acceptent le fait que CRB saisisse et traite les données qu'ils ont fournies, conformément aux indications figurant dans la présente déclaration de protection des données.
6. Droits des personnes concernées par la saisie et le traitement des données
Conformément à l'art 25 de la Loi fédérale du 25.09.2020 sur la protection des données, les personnes dont nous traitons les données ont le droit d'être informées. Dans la mesure où le traitement repose sur un consentement, toutes les personnes concernées ont le droit de révoquer ce consentement à tout moment avec effet pour l'avenir. Les personnes dont nous traitons les données peuvent en outre faire valoir les autres droits prévus par la LPD suisse en vigueur. Pour exercer ces droits, les personnes concernées peuvent s'adresser à l'adresse indiquée en bas de page. CRB traitera ces demandes conformément à la LPD suisse en vigueur et pourra également les refuser ou ne les satisfaire que de manière limitée, conformément aux dispositions légales.
7. Information, contact et adaptation de la présente déclaration de protection des données
7.1 privacy@crb.ch
Chez CRB, le service d'information responsable de la protection des données est facilement joignable à l'adresse privacy@crb.ch. Bien entendu, vous pouvez également prendre contact avec nous par courrier ou personnellement. Nos coordonnées sont les suivantes:
CRB, Responsable de la protection des données, Steinstrasse 21, boîte postale, 8036 Zurich, téléphone +41 44 456 45 45,
privacy@crb.ch
7.2 Adaptations de la présente déclaration de protection des données
Etant donné que notre mode de travail et celui de nos groupes de référence sont en constante évolution et qu'il faut s'attendre à l'utilisation d'outils autres ou complémentaires, notamment dans le domaine des logiciels, la présente déclaration de protection de protection des données sera également adaptée en conséquence. La dernière version à jour, actuellement en vigueur, est disponible auprès du secrétariat et publiée sur crb.ch. Un aperçu de l'évolution des modifications peut être consulté sur www.crb.ch.
7.3 Aperçu des révisions
La version actuellement en vigueur (n° 003) a été publiée le 29 septembre 2023.
Télécharger
