Déclaration générale de la Banque nationale suisse sur la protection des données
Préambule
La Banque nationale suisse (ci-après "la BNS") est soumise à la loi fédérale sur la protection des données, qui régit le traitement des données personnelles. Par données personnelles, on entend toutes les informations pouvant être reliées, directement ou par le biais d'informations complémentaires, à une personne physique identifiée ou identifiable.
Autorisation de communiquer les données d'un tiers à la BNS
La BNS part du principe qu'une personne qui lui communique les données d'un tiers (c'est-à-dire, d'une autre personne qu'elle-même) est habilitée à le faire, que lesdites données sont exactes et qu'elle a informé ledit tiers des dispositions de protection des données contenues dans la présente déclaration. En communiquant les données d'un tiers à la BNS, la personne certifie respecter ces conditions. Dans le cas contraire, la personne n'est pas en droit de transmettre lesdites informations.
L'utilisation du terme données personnelles ci-après englobe donc également les données personnelles qui n'ont pas été collectées directement auprès de la personne concernée.
Catégories de données personnelles collectées par la BNS
La BNS est notamment amenée à traiter des données personnelles dans le cadre:
- de l'accomplissement de ses tâches légales et de son devoir de surveillance;
- de demandes, de collectes de données (relevés, enquêtes et sondages), de statistiques et d'activités de recherche;
- de l'accueil de visiteuses et visiteurs, de l'organisation et de la tenue de conférences, de formations, de séminaires, d'événements et de manifestations (enregistrements audio ou vidéo inclus);
- du respect de ses obligations légales en Suisse ou à l'étranger;
- des droits et obligations qui sont les siens en tant que société anonyme, notamment vis-à-vis de ses actionnaires et des personnes qui les représentent;
- de la protection des locaux et des valeurs (entre autres au moyen d'une surveillance électronique, dont une surveillance audio et vidéo des zones accessibles au public et de celles qui ne le sont pas);
- de ses relations contractuelles et de toutes ses autres relations d'affaires, que ce soit lors de leur phase de préparation ou d'exécution;
- des prestations de services que la BNS fournit ou qui lui sont fournies;
- de l'exploitation de sites Internet, d'applications ou de services électroniques équivalents;
- du signalement d'une infraction;
- d'activités comparables aux traitements de données personnelles précités.
La BNS collecte et traite aussi des données personnelles qui ne lui sont pas communiquées directement par la personne concernée, mais par un tiers. Cela peut par exemple se produire lorsque l'employeur d'une personne, ou un tiers, communique à la BNS les données personnelles de cette personne parce qu'elle sert d'interlocutrice; ou les communique dans le cadre de la préparation ou de l'exécution d'un contrat. Il peut aussi s'agir des données personnelles transmises à la BNS dans le cadre de l'inscription à une conférence, à une manifestation ou à une formation. La BNS traite aussi des données personnelles collectées par l'intermédiaire de tiers dans le cadre de l'accomplissement de son mandat, de ses tâches légales et des prescriptions légales qui en découlent (comme la lutte contre le blanchiment d'argent).
Par ailleurs, la BNS peut être amenée à recueillir des données personnelles auprès des personnes directement concernées ou, dans certains cas, auprès de tiers domiciliés en Suisse ou à l'étranger. Les catégories de données suivantes sont concernées:
- données personnelles librement accessibles (figurant dans des registres publics comme le registre des poursuites, le registre du commerce, les registres fonciers, ou publiées par les médias ou disponibles sur Internet) et données personnelles pouvant être collectées auprès des autorités ou de tout autre tiers (informations sur la solvabilité, sur la situation en matière de prêt, etc.);
- données personnelles en lien avec des procédures judiciaires, administratives ou tout autre procédure officielle, ou en lien avec le signalement d'une infraction;
- données personnelles concernant des activités professionnelles, des affiliations, des publications, des titres universitaires, l'appartenance à des associations et l'exercice de mandats; données personnelles géographiques ou sociogéographiques (informations concernant un voyage par exemple); informations liées aux préférences et aux habitudes d'une personne, ses loisirs, ses coordonnées, son âge; enregistrements audio et vidéo; données figurant sur des moyens d'identification tels qu'un passeport ou une carte d'identité (par exemple dans le cadre de conférences, formations, séminaires, activités de recherche, collectes de données (enquêtes et sondages), etc.);
- coordonnées, données relatives à la clientèle et aux transactions et données relatives à la crédibilité (dans le cadre de relations d'affaires, de collectes de données (enquêtes et sondages), de manifestations, etc.);
- données personnelles portées à la connaissance de la BNS dans le cadre d'une correspondance ou de tout autre forme d'échange avec un tiers;
- données personnelles portées à la connaissance de la BNS par l'entourage de la personne concernée (famille, cercle amical, employeur, prestataires mandatés par elle - conseillère ou conseiller, avocate ou avocat -, etc.) par exemple en lien avec l'impôt à la source, les allocations pour enfants et de formation, les allocations familiales, la qualité d'ayant droit, de personne assurée, d'interlocutrice ou d'interlocuteur, de mandataire, de personne de référence ou de personne concernée par un signalement ou une demande, etc.;
- données personnelles en lien avec un contrat dont la personne concernée est partie prenante ou bénéficiaire, ou pour lequel elle intervient de quelque manière que ce soit (assurances, caisses de pension, banques, prestataires de service, etc.);
- données personnelles recueillies par la BNS dans le cadre de l'utilisation d'Internet, de tout autre moyen électronique (applications mobiles, téléphonie, etc.) ou de quelque service informatique que ce soit (adresse MAC ou adresse IP, cookies, données de navigation comme la date et l'heure de consultation des pages Internet, données générées automatiquement lors de la survenue d'une erreur sur un site Internet ou dans le cadre de la fourniture d'un service, informations sur les outils informatiques utilisés pour naviguer sur les sites Internet de la BNS ou accéder à d'autres moyens ou services informatiques en ligne, localisation de la personne, données portées sur des formulaires, données de connexion, etc.);
- des données personnelles sont aussi traitées dans certains cas lorsque la BNS enregistre des conversations téléphoniques, que ce soit pour remplir ses propres obligations légales ou à des fins de preuve, de formation ou d’assurance qualité.
Finalités du traitement de données personnelles par la BNS
La Banque nationale traite des données personnelles en premier lieu pour accomplir ses tâches légales. Elle le fait également dans le cadre des contrats qu'elle conclut, de ses relations d'affaires quelles qu'elles soient ou de l'exécution d'un contrat (par exemple lorsqu'une personne a la qualité d'ayant droit, de personne assurée ou de partie au contrat), de l'organisation et du déroulement de formations, séminaires, manifestations et événements, des droits et des obligations qui sont les siens en tant que société anonyme, notamment vis-à-vis de ses actionnaires et des personnes qui les représentent, ainsi que de ses autres obligations en Suisse et à l'étranger.
La BNS traite en outre des données personnelles dans les buts suivants:
- communication par exemple avec des clientes et des clients anciens, présents ou futurs, des personnes intéressées, des collaboratrices et des collaborateurs, l'entourage de la personne concernée (personne à contacter en cas d'urgence, ayant droit, etc.) ou des personnes en relation avec la BNS de quelque façon que ce soit (clientèle occasionnelle, public, auxiliaires, autorités administratives, médias, scientifiques, personnes effectuant des recherches, des signalements ou envoyant des demandes, personnes prenant part aux enquêtes et relevés statistiques, etc.);
- prises de position, publications, traitement des demandes, collectes de données (relevés, enquêtes et sondages), statistiques et activités de recherche;
- développement et amélioration d'offres, de services, de la présence sur Internet ou sur quelque média que ce soit, électronique ou autre;
- procédures de recrutement (candidatures notamment), gestion du personnel, prestations salariales accessoires, décompte de l'impôt à la source, des allocations pour enfants ou de formation, des allocations familiales, prise de contact après la fin des rapports de travail;
- accomplissement de ses obligations légales en Suisse et à l'étranger;
- révision, gestion, optimisation de processus, accomplissement des tâches et fonctionnement de la BNS et de son infrastructure (en particulier son infrastructure informatique interne et externe ainsi que sa présence numérique);
- annonces portant sur des produits et des services, organisation de formations, événements et manifestations y compris leur optimisation et les opérations de communication qui s'y rapportent;
- entraînements dans le cadre de l'intelligence artificielle (dits entraînements d'IA);
- enquêtes d'opinion, veille médiatique (presse et autres médias);
- défense de ses droits et obligations dans des procédures judiciaires, administratives ou tout autre procédure officielle en Suisse et à l'étranger;
- traitement des signalement d'infractions;
- protection des locaux, des personnes, des valeurs et de l'infrastructure, y compris par surveillance vidéo ou électronique de quelque nature qu'elle soit (journal consignant l'historique des événements, contrôle des entrées, registre des visiteurs, données présentes dans des filtres numériques, enregistrements, etc.), et garantie de la sécurité, notamment informatique, en vue de prévenir les vols, les fraudes et les abus ainsi qu'à des fins de preuve. Les données personnelles envoyées, enregistrées ou ayant fait l'objet d'un autre traitement soit par des collaboratrices ou des collaborateurs, soit par des tiers, via ou dans l'infrastructure électronique de la BNS, sont également traitées dans le cadre d'attaques simulées par la BNS ou des prestataires de services mandatés par la BNS;
- recherche d'informations (y compris au moyen d'enquêtes internes) et prévention d'infraction contre les prescriptions légales, les réglementations et conventions de la BNS, prévention d'actes pénalement répréhensibles et de tout autre infraction;
- traitement de formulaires, d'autorisations ou de tout autre document conformément à la finalité ou aux finalités poursuivies.
Enfin, la BNS collecte et traite des données personnelles dans le cadre des catégories citées à la section Catégories de données personnelles collectées par la BNS de la présente Déclaration générale sur la protection des données.
Conditions encadrant la communication de données personnelles par la BNS et destinataires de ces données
La BNS ne communique de données personnelles que dans les cas prévus par une base légale ou par la loi, ou bien sur arrêté ou sur décision d'un tribunal ou d'une autorité en Suisse ou à l'étranger, ou encore si la personne concernée a donné son accord. En lien avec les finalités susmentionnées, la BNS peut toutefois aussi communiquer des données personnelles aux prestataires, aux parties à un contrat, à ses partenaires d'affaires quels qu'ils soient, aux organisatrices et organisateurs d'événements, aux ayants droit, aux clientes et clients, aux médias et au public, aux institutions, aux associations, clubs et organisations assimilables, aux parties impliquées dans une procédure judiciaire en cours ou pouvant être ouverte, aux personnes concernées dans le cadre du signalement d'une infraction ou encore aux pouvoirs publics, pour autant que des accords appropriés concernant la protection des données aient été conclus pour la communication susmentionnée, ou si les destinataires des données personnelles se sont engagés à protéger ces données de manière appropriée ou s'ils en ont l'obligation par ailleurs, quelle que soit la forme de cette obligation.
Pays auxquels la BNS communique des données personnelles
De manière générale, la BNS ne communique des données personnelles qu'aux pays qui, du point de vue de la Suisse, assurent une protection des données appropriée (pays de l'Union européenne et de l'Espace économique européen). À titre exceptionnel et sous certaines conditions, il lui arrive cependant aussi de transmettre des données personnelles à d'autres pays du monde.
Protection appropriée des données personnelles lorsqu'elle n'est pas garantie par le droit du pays étranger
Lorsque des données personnelles sont transmises à un pays qui, du point de vue de la Suisse, n'assure pas une protection des données appropriée, et en l'absence de toute dérogation, la BNS garantit par d'autres moyens la protection des données si les destinataires de ces données ne se sont pas déjà soumis d'eux-mêmes à des règles garantissant une protection des données appropriée.
La BNS garantit une protection des données appropriée en recourant à des clauses contractuelles types. Ces clauses sont reconnues par le Préposé fédéral à la protection des données et à la transparence (PFPDT) sous réserve qu'elles aient été adaptées sur certains points au droit suisse. Il est possible de prendre connaissance auprès de la BNS des clauses contractuelles types adaptées au droit suisse. Les clauses contractuelles types n'intégrant pas ces adaptations sont consultables sur la page internet https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0914. Les adaptations au droit suisse requises par le PFPDT sont consultables sur le site de ce dernier.
Il peut y avoir dérogation en cas de procédures légales à l'étranger, en cas d'intérêt public prépondérant ou dans le cadre de l'exécution d'un contrat. Ce peut aussi être le cas lorsque la personne concernée a donné son accord, ou lorsqu'elle a elle-même rendu les données concernées publiques et qu'elle ne s'est pas opposée à leur traitement.
Sécurité des données
La BNS prend des mesures de sécurité appropriées sur les plans technique et organisationnel afin de protéger les données personnelles de tout accès ou traitement non autorisé ou de tout usage abusif. Quand la BNS choisit ses prestataires externes et qu'elle leur donne des instructions, elle veille à ce que les destinataires de données personnelles respectent les exigences applicables en matière de protection des données par des mesures techniques et organisationnelles appropriées.
Malgré des contrôles réguliers, il n'est cependant pas possible d'offrir une protection intégrale contre tous les dangers liés à l'utilisation d'Internet, qui est un média accessible à tous.
Durée de conservation des données personnelles
La BNS enregistre les données personnelles pour autant que cela soit nécessaire à l'accomplissement de ses obligations contractuelles et légales sur les plans national et international, à la poursuite d'intérêts légitimes ou aux finalités poursuivies par le traitement.
Les données personnelles peuvent aussi être conservées comme preuves aussi longtemps qu'il est possible de faire valoir des droits à l'encontre de la BNS, que la BNS peut faire valoir les siens, qu'elle est tenue de le faire par la loi ou que des intérêts légitimes le justifient. Dès que les données personnelles enregistrées ne sont plus nécessaires, elles sont, dans la mesure du possible, effacées ou anonymisées.
Droits des personnes concernées
Toute personne concernée peut demander gratuitement si la BNS traite ses données personnelles.
Elle bénéficie des droits suivants: droit à l'opposition, à la rectification et à la limitation du traitement, à la transmission des données à une autre entité (portabilité des données) et à leur effacement. Dans les cas où la BNS traite des données personnelles du fait d'un consentement, ce consentement peut être révoqué en tout temps. Cela n'a toutefois aucune influence sur le traitement déjà effectué. Des données personnelles inexactes sont rectifiées sur demande.
Ces droits peuvent être restreints par des prescriptions légales ou réglementaires (par exemple obligations de notification, d'archivage ou de conservation de la BNS).
Autres déclarations ou accords concernant la protection des données
La présente Déclaration générale de la Banque nationale suisse sur la protection des données décrit la manière dont la BNS traite les données personnelles. Dans certains cas, d'autres documents viennent énoncer des règles concernant ces informations, ou compléter celles-ci. Pour certains types de traitement des données personnelles, d'autres informations sont prévues dans des déclarations spécifiques, des contrats ou des conditions générales (comme des conditions de participation ou les conditions générales de la BNS), des formulaires et des autorisations. Ainsi, il convient de prendre aussi en considération les informations figurant dans les déclarations spécifiques sur la protection des données en ce qui concerne l'utilisation des sites internet de la BNS ou les relations contractuelles avec la BNS, certaines collectes de données (enquêtes et sondages) réalisées par la BNS ou certaines relations de travail avec la BNS. Lorsque des dispositions figurant dans les déclarations spécifiques sur la protection des données entrent en contradiction avec celles figurant dans la Déclaration générale de la Banque nationale suisse, ce sont les dispositions de la déclaration spécifique qui s'appliquent. Les dispositions n'entrant pas en contradiction avec la Déclaration générale de la Banque nationale suisse sur la protection des données sont considérées les compléter.
Instance responsable du traitement des données personnelles
La BNS est responsable des données personnelles qu'elle traite conformément à la présente Déclaration sur la protection des données et aux déclarations spécifiques sur la protection des données qu'elle publie.
Pour toute question relative au traitement de vos données, vous pouvez contacter la BNS.
Par voie postale:
Banque nationale suisse
Protection des données
Börsenstrasse 15
Case postale
8022 Zurich
Coordonnées de la conseillère ou du conseiller à la protection des données à la BNS
Les coordonnées de la conseillère ou du conseiller à la protection des données de la BNS figurent à la section Instance responsable du traitement des données personnelles de la présente déclaration.
Modifications
La BNS peut à tout moment et sans préavis modifier les dispositions de la présente déclaration.
Date
Septembre 2023