Concept de protection des données

1. But et portée

Dans ce document, le genre masculin est utilisé comme générique dans le but de ne pas alourdir le texte.

Le présent concept régit la protection des données au sein de la Fondation la Belle Etoile. Les membres du conseil de Fondation, la direction ainsi que tous les collaborateurs s’engagent à connaître et respecter le présent concept. Le concept sur la protection des données met en exergue l’importance et la valeur de la notion de confidentialité des données, comprise dans le sens du respect de la sphère privée et des droits de la personnalité des bénéficiaires et des collaborateurs de la Fondation la Belle Etoile. Il constitue la base incontournable applicable à l’ensemble des mesures et activités de la Belle Etoile, en particulier en ce qui concerne le traitement

• Des données personnelles des bénéficiaires ;
• Des données personnelles des collaborateurs y compris les données se rapportant à des personnes ayant déposé leur candidature pour un poste ou celles d’anciens collaborateurs ;
• Des informations relatives aux partenaires commerciaux et à d’autres tiers, dans la mesure où elles incluent des données personnelles.

2. Bases juridiques

Le présent concept de protection des données repose sur la loi fédérale sur la protection des données (LPD ; RS 235.1) et sur l’ordonnance sur la protection des données du 31 août 2022 (OPDo ; RS 235.11) ainsi que sur la loi cantonale fribourgeoise sur la protection des données (LPrD ; RSF 17.1).

3. Champ d'application

Le présent concept de protection des données s’applique à tous collaborateurs de la Belle Etoile ayant à traiter des données personnelles dans le cadre de l’accomplissement de leurs tâches et fonctions.

4. Finalité

L’objectif premier du présent concept est de garantir la protection de la personnalité des personnes physiques contre l’utilisation illégale ou disproportionnée des données personnelles détaillées au point 1.

Ce concept constitue une directive à valeur obligatoire, destinée à permettre à l’ensemble des personnes travaillant au sein de la Belle Etoile d’être en parfaite conformité avec les exigences relatives à la protection des données, en toute connaissance de cause.

La réalisation de cet objectif doit également permettre à la Belle Etoile d’éviter les préjudices matériels et les atteintes à l’image pouvant résulter pour elle d’agissements contrevenant aux règles de protection des données.

5. Les principes régissant la protection des données

5.1 Licéité
Le traitement des données est réputé licite lorsqu’il est justifié par le consentement de la personne concernée, une autorisation légale, ou un intérêt public ou privé prépondérant.

5.2 Proportionnalité
La collecte de données doit répondre à une nécessité. Elle doit de surcroît se justifier par un intérêt prépondérant. Les collectes de données à titre préventif sont illégales, et les données devenues inutiles doivent être effacées.

5.3 Finalité
Les données ne peuvent être utilisées que dans le but annoncé au préalable pour justifier leur collecte. Tout bénéficiaire doit être informé des récoltes de données le concernant ainsi que de la finalité.

5.4 Transparence
La collecte et le traitement de données doivent être clairement identifiables.

5.5 Qualité des données
Il convient de s'assurer que les données traitées sont exactes, complètes et à jour. Les données inexactes et incomplètes doivent être corrigées ou supprimées.

5.6 Bonne foi
Les comportements abusifs et allant à l’encontre de ces règles sont contraires à la loi.

6. Sécurité des données : mesures préconisées

6.1 Mesures organisationnelles
Au sein de la Belle Etoile, l’accès aux données personnelles se fait selon le principe « autant que nécessaire, aussi peu que possible ».

Le responsable de la protection des données fixe par conséquent, avec la direction, les règles applicables à chaque fichier de données, détermine qui a accès aux données personnelles, et sous quelles conditions, et précise la manière dont ces processus sont supervisés.

Conformément aux exigences légales, il tient un registre des activités de traitement, et s’assure qu’il soit toujours à jour.

La direction réglemente qui peut avoir accès aux données en vigueur et archivées.

6.2 Mesures techniques
Les documents en format papier sont éviter au maximum, ceci pour prévenir leur perte ou leur consultation abusive. Les documents qui traitent de données personnelles doivent, dans la mesure du possible, être scannés par le secrétariat et enregistrés dans la GED. Les collaborateurs doivent avoir accès uniquement aux données essentielles à l’accompagnement des bénéficiaires.

Les classeurs, tout comme les documents affichés, sont anonymisés par l’utilisation des initiales. Les classeurs présents dans les bureaux des collaborateurs doivent contenir le minimum de données personnelles des bénéficiaires. Ces classeurs sont stockés sous clé.

Les documents affichés à la vue de tous ne doivent contenir aucune donnée personnelle.

Les classeurs contenant des données confidentielles sur les bénéficiaires et les collaborateurs sont mis sous clé au secrétariat. La direction et les employés du secrétariat sont les seuls à y avoir accès.

Les données personnelles informatisées sont enregistrées sous différentes formes :

Medhive: les accès sur la plateforme medhive sont restreints. Les données personnelles des bénéficiaires comme des collaborateurs sont uniquement accessibles à qui de droit. La direction est responsable de déterminer les restrictions d’accès. L’accès à chaque session medhive est protégé par un mot de passe personnel

GED: les accès aux fichiers enregistrés dans la GED sont restreints. Les données personnelles des bénéficiaires comme des collaborateurs sont uniquement accessibles à qui de droit. La direction est responsable de déterminé les restrictions d’accès.

Finder: les accès aux fichiers enregistrés dans le Finder sont restreints. Les données personnelles des bénéficiaires comme des collaborateurs sont uniquement accessibles à qui de droit. La direction est responsable de déterminer les restrictions d’accès.

Contrôler les accès et les supports de données personnelles permet d’empêcher que des personnes non autorisées aient accès à des bases de données ou puissent les modifier, les effacer, s’en emparer, etc. L’accès aux dossiers informatiques est compartimenté de façon à ce que seuls les ayants droits concernés, définis par la direction, bénéficient des autorisations nécessaires.

6.3 Archivage
La Belle Etoile se réfère aux recommandations d’INFRI sur la procédure d’archivage des dossiers des institutions spécialisées fribourgeoises (entré en vigueur le 01.01.24). Ce document contenant notamment les différents délais se trouvent dans le SMQ.

6.4 Suppression
Les données considérées comme secondaires sont supprimées (physiquement détruites pour celles sur support matériel ou effacées de manière définitive pour celles sur support informatique) dès que l’objectif de leur traitement a été réalisé. Le concept de suppression contenant notamment les différents délais se trouvent dans le SMQ (procédure d’archivage des dossiers des institutions spécialisées fribourgeoises).

7. Droits des personnes concernées

7.1 Information
Les collaborateurs sont informés de leurs droits et obligations en matière de protection des données à leur entrée en fonction. Ils prennent connaissance du concept de protection des données de l’institution et s’engagent à le respecter par leur signature de la charte de confidentialité. Le présent concept de protection des données est en tout temps accessible dans le SMQ.

Les bénéficiaires sont informés de leurs droits en matière de protection des données en prenant connaissance et en signant le consentement de récolte de données personnelles traduit en FALC.

7.2 Droit d’accès/de consultation
Toute personne concernée a le droit d’exiger d’être renseignée sur la collecte, l’origine, le contenu, la finalité, la catégorie et la base juridique de l’utilisation de ses données personnelles et de consulter le fichier de données. Elle a également le droit de connaître les participants au fichier et les destinataires de ces données.

Toute personne demandant la consultation de ses données doit justifier de son identité.

Les renseignements demandés doivent être communiqués dans les 30 jours, de manière aisément compréhensible, sous forme écrite et sans frais.

La communication de renseignements et le droit de consultation peuvent, à titre exceptionnel, être restreints ou refusés si des intérêts publics importants et prépondérants, ou des intérêts de tiers particulièrement sensibles, s’y opposent.

Si le fait de fournir des renseignements ou un droit de consultation risque de soumettre la personne concernée à un stress trop important, cette dernière a la possibilité de désigner une personne tierce, à qui seront communiqués, à sa place, les renseignements ou le droit de consultation demandés.

7.3 Droit de rectification
Les données traitées de manière illicite ou incorrecte ainsi que les données inexactes doivent être rectifiées ou supprimées.

7.4 Blocage/Refus de communication des données
Toute personne concernée peut faire bloquer la communication de ses données si elle prouve un intérêt légitime à le faire. Cela ne s'applique pas si la communication des données constitue une obligation légale, si elle est nécessaire en raison d'intérêts prépondérants de tiers, ou si elle est nécessaire pour élucider des actes présumés abusifs de la personne concernée.

8. Recommandations pratiques

8.1 Transmission de données par écrit et par téléphone
Les données personnelles ne peuvent être transmises à des tiers sans le consentement de la personne concernée ou sans autorisation légale ad hoc.

Les données personnelles qui se transmettent sur papier au sein de l’institution doivent se faire de manière sûre afin de ne pas être lues par des personnes non-autorisées.

La transmission de documents électroniques se fait par mail uniquement aux secteurs ou personnes concernées, en veillant toutefois à transmettre le moins de données personnelles possibles par ce biais.

Les collaborateurs qui se transmettent oralement des données personnelles concernant un bénéficiaire ou un autre collaborateur doivent le faire de manière confidentielle.

Aucune information écrite concernant des données personnelles d’un bénéficiaire ne peut être transmise en dehors de la Belle Etoile sans la vérification et l’autorisation préalable de la direction.

Dans le cas de demandes ou de transmissions d’informations par téléphone, il convient de s’assurer de manière claire et sans équivoque de l’identité de la personne qui appelle et de sa légitimité à recevoir ces informations.

Il est strictement interdit de transmettre des données personnelles et sensibles via l’utilisation de groupes de communication par les collaborateurs d’une équipe (ex. WhatsApp). En cas de transmission non-sensible de données sur les bénéficiaires, il faut impérativement utiliser uniquement leurs initiales.

Si des données doivent être transmises à l’étranger, une évaluation des risques selon les spécificités du pays est établie. La transmission se fait avec l’accord de la direction et via des moyens sécurisés (mail sécurisé, envoi en recommandé).

8.2 Principes applicables à l'utilisation des courriers électroniques
Il est recommandé de transmettre le moins de données personnelles possible par courrier électronique, et de s’assurer que ces courriels ne contiennent pas d’informations sensibles, d’indications de mots de passe ou autres données d’accès.

Les données sensibles ne sont transmises par courrier électronique que lorsqu’elles sont cryptées. La Belle Etoile ne possède actuellement pas d’adresses mails sécurisées. Les données personnelles sensibles sont transmises par courrier postal.

Les données personnelles utilisées à des fins professionnelles ne doivent pas être conservées sur des dispositifs électroniques à usage privé.

8.3 Utilisation d'images/d’enregistrements
Seules les personnes ayant donné leur consentement libre et éclairé peuvent être photographiées, filmées et/ou enregistrées. Les nouveaux collaborateurs et bénéficiaires signent la « demande d’autorisation pour prise de photos » à leur admission. Dans le cas où ils donnent leur accord, ils autorisent également que leurs images soient diffusées sur le site internet, les réseaux sociaux et le MEDHIVE de la Belle Etoile.

Aucune photographie ou vidéo d’un bénéficiaire ne peut être conservée sur le téléphone ou l’ordinateur privé d’un collaborateur. Ces documents sont à enregistrer dans le Finder, dans le dossier « photos/vidéos » du secteur approprié.

8.4 Directives anticipées
Chaque bénéficiaire interne rédige ses directives anticipées. Le document est enregistré dans la GED ainsi qu’en annexe de la fiche d’urgence. Seuls les collaborateurs travaillant dans le(s) secteur(s) attitré(s) au bénéficiaire ont accès à ce document.

Les bénéficiaires ne vivant pas dans un lieu de vie de la Belle Etoile ou ne bénéficiant pas d’un suivi ambulatoire ne rédigent pas leurs directives anticipées institutionnelles. Cela incombe à leur réseau privé.