Respect de la vie privée dans l’administration du laboratoire/de l’unité

1. prénom, nom de famille
2. date de naissance
3. langue maternelle
4. nationalité
5. SCIPEUR
6. nom de l’unité
7. poste et salaire
8. nombre d’années d’expérience
9. prestations non salariales
10. toutes les informations nécessaires à l’application de la loi du 24 mars 2006 sur les allocations familiales
11. congé parental
12. les examens médicaux nécessaires pour assurer la santé et la sécurité au travail et leurs résultats
13. dates d’absence, motif
14. les compétences comportementales et techniques ainsi que la formation
15. niveau d’évaluation
16. les documents officiels concernant tout litige lié à l’emploi ou toute enquête disciplinaire
17. extraits du registre pénal et du registre des poursuites
18. compensation des paiements de salaires avec les dettes dues à l’employeur
19. retraite pour cause de maladie
20. raisons du départ
21. les autres données mentionnées dans les dispositions d’application.

Pourquoi les données personnelles sont-elles collectées et traitées ? Les principales finalités du traitement sont énumérées ci-dessus. Toute unité de l’EPFL souhaitant demander les données personnelles d’une employée ou employé ou d’une candidate ou candidat aux RH, aux Affaires professorales ou aux Affaires juridiques doit avoir une raison valable de le faire, c’est-à-dire que les données doivent être nécessaires à l’unité pour mener à bien ses activités.

Seules les données personnelles directement pertinentes et nécessaires pour atteindre l’objectif fixé doivent être collectées et traitées.

• Les mesures organisationnelles et techniques appropriées doivent être mises en place pour protéger les données personnelles contre l’accès, la consultation ou la modification par des personnes non autorisées.
• Il convient d’enregistrer les coordonnées des personnes qui accèdent à ces données et de conserver les fichiers journaux pendant un an.
• Les procès verbaux de journalisation sont mis à la disposition de la ou DPO et du service de sécurité informatique de l’EPFL, conformément à l’Art. 4 ODPo
• Le service informatique de l’EPFL sera responsable de la conservation des fichiers de log.
• Toute donnée personnelle sur support papier doit être conservée sous clé.

• Si les documents fournis par une candidate ou un candidat ne contiennent pas toutes les informations nécessaires à l’évaluation de sa candidature, des tests de personnalité ou d’autres types d’évaluation peuvent être effectués afin d’évaluer le potentiel de cette personne. Les décisions concernant les évaluations à effectuer doivent être prises par la ou le responsable concerné, en collaboration avec la ou le responsable des ressources humaines.
• Ces évaluations ne peuvent être effectuées qu’avec le consentement écrit de la candidate ou du candidat à l’emploi, qui doit également être informé du processus de sélection utilisé pour pourvoir le poste. Les candidates et candidats à l’emploi ont le droit de refuser une évaluation et de consulter les résultats de leur évaluation.
• Seules les personnes dont les noms sont fournis par une candidat ou candidat à l’emploi peuvent être contactées pour obtenir des références sur cette candidate ou ce candidat.
• Lorsque des postes de professeurat sont pourvus (par le biais d’une nouvelle embauche ou d’une promotion), il convient d’obtenir le consentement général de la ou du candidat pour contacter ses références. La candidate ou le candidat n’est pas autorisé à consulter les dossiers relatifs aux promotions ou aux décisions d’embauche contestées.
• Les données personnelles des employées et employés ne peuvent être communiquées à des tiers (c’est-à-dire en dehors de l’EPFL) qu’avec l’accord exprès et écrit de l’employée ou employé en question, et tout transfert de données ne peut se faire que dans la mesure strictement nécessaire à l’objectif fixé.

Les responsables du traitement désignés sont chargés de corriger toute donnée personnelle inexacte.

• Les données personnelles des employées et employés sous contrat à durée indéterminée sont conservées pendant dix ans après la fin de la relation de travail avec l’EPFL ou après le décès de l’employée ou employé. La durée de conservation est de deux ans pour le personnel auxiliaire.
• Les données personnelles sont détruites à la fin de la période de conservation (sauf s’il existe une raison de les archiver), conformément à l’article 38, paragraphe 2, de la loi fédérale sur la protection des données.
• Les candidatures sont conservées pendant trois mois, sauf accord contraire de la candidate ou du candidat.
• Les données personnelles d’une candidate peuvent être conservées plus longtemps que le délai de conservation indiqué ci-dessus si les données sont nécessaires pour résoudre une plainte déposée par la candidate en vertu de l’article 13, paragraphe 2, de la loi fédérale sur l’égalité entre femmes et hommes du 24 mars 1995.
• Les données personnelles utilisées dans le cadre d’une enquête disciplinaire ou administrative ou d’un litige seront conservées pendant dix ans après la fin de l’enquête ou de la procédure. Ces données seront conservées auprès des Affaires juridiques de l’EPFL ou dans les archives de la direction.

Conformément aux principes de proportionnalité et de finalité, les recruteurs ne peuvent poser que des questions pertinentes et nécessaires au regard de l’objectif fixé, à savoir, dans le cas présent, l’embauche d’une employée ou employé possédant les compétences nécessaires pour accomplir les tâches décrites dans la description du poste. Les recruteurs ne peuvent pas poser de questions sur votre vie personnelle, par exemple si vous envisagez d’avoir des enfants.

Les résultats d’une recherche sur Google comprennent souvent des informations qui n’ont rien à voir avec le poste à pourvoir et qui ne sont pas pertinentes ou nécessaires dans le cadre du processus d’embauche. Les résultats d’une recherche sur Google ne seraient pas conformes aux principes de proportionnalité et de finalité.

De plus, les résultats de la recherche peuvent être incorrects ou incomplets, ou concerner une autre personne portant le même nom.

Il s’agit du droit d’accès d’une personne à ses données personnelles, qui reste valable même après son départ de l’EPFL. Toute personne dont les données personnelles sont collectées par l’EPFL – qu’il s’agisse d’une employée ou d’un employé, d’une étudiante ou d’un étudiant, d’une participante ou participant à un projet de recherche ou d’une visiteuse ou visiteur de notre site Internet, par exemple – dispose d’un droit d’accès. L’EPFL doit répondre à la demande de la personne dans un délai de 30 jours. Si vous recevez une telle demande, vous devez rapidement contacter la ou le DPO de l’EPFL, qui est autorisée à répondre à la demande.

Les données relatives à la santé sont des données personnelles sensibles. Seules les données de santé nécessaires pour déterminer si une personne est capable d’effectuer un travail donné peuvent être collectées au cours du processus d’embauche. En règle générale, les données relatives à la santé, et en particulier les résultats d’éventuels diagnostics, ne doivent être consultées que par des personnes soumises au secret médical.

Non. Mais deux employées ou employés qui sont mariés ou qui vivent ensemble, ou qui sont des membres de la famille proche ou de la belle-famille, devraient se voir attribuer des postes où elles et ils ne travaillent pas ensemble et où elles et ils n’ont pas de lien hiérarchique direct, comme le prévoit l’article 53a de l’Ordonnance sur le personnel du domaine des EPF.

Dans le premier cas, l’avantage est que la loi sur la protection des données ne s’applique pas. Nous confondons souvent données anonymes et données pseudonymes. Soyez attentif à cet aspect, car il s’agit d’une erreur courante (voir la section sur les définitions de base).

Il existe de nombreux outils (par exemple RedCap) qui vous permettent de traiter les données de manière anonyme. Notez que malgré ces outils, une personne peut être identifiée par ses seules réponses.
L’inconvénient est que si quelqu’un partage le lien vers le questionnaire, n’importe qui peut y répondre. Par exemple, si vous ciblez les employées et employés de l’EPFL, il se peut que n’importe qui, y compris des personnes extérieures à l’EPFL, puisse répondre.
Par conséquent, vous n’avez pas de contrôle sur le public. 
D’un autre côté, l’anonymat complet peut encourager une personne à répondre plus volontiers.

En conclusion, l’anonymat complet dépend de vos besoins.

Si vous devez traiter des données personnelles, la loi fédérale sur la protection des données (LPD) s’applique dans ce cas.

En tant qu’organe fédéral, l’EPFL doit disposer d’une base légale pour traiter les données personnelles.

En général, l’art. 39 LPD (traitement à des fins de recherche, de planification et de statistiques) est utilisé comme base juridique. Il permet aux organes fédéraux tels que l’EPFL de traiter des données personnelles à des fins non liées à des personnes spécifiques, et en particulier à des fins de recherche, de planification et de statistiques, si:

1. les données sont rendues anonymes, dès que la finalité du traitement le permet;
2. l’organe fédéral ne communique des données sensibles à des personnes privées que sous une forme qui ne permet pas d’identifier les personnes concernées;
3. le destinataire ne divulgue les données qu’avec le consentement de l’organe fédéral;
4. les résultats sont publiés de manière à ce que les personnes concernées ne puissent pas être identifiées.

Si vous menez un projet de recherche, l’article 36c de la loi sur les EPF constitue une autre base juridique applicable, avec des exigences similaires. 36c de la loi sur les EPF est une autre base légale applicable, avec des exigences similaires. L’EPFL est tenue d’informer les personnes concernées de la collecte et du traitement de données personnelles dans le cadre d’un projet de recherche.

Vous êtes perdu? Veuillez contacter la ou le DPO.

Avant de lancer l’enquête, si vous envisagez de déléguer le traitement des données, vous devez déterminer si vous conservez ou non le rôle de responsable du traitement des données. Vous devez conclure un accord de traitement ou de transfert des données.

Si vous ne pouvez pas répondre? Veuillez contacter la ou le DPO.

Notez que, dans ce cas, vous devez vous assurer que le consentement est donné librement et que des informations suffisantes ont été fournies.

Si vous traitez des données identifiantes ou pseudonymes, vous devez non seulement disposer d’une base juridique, mais aussi respecter le principe de proportionnalité, tant dans le choix des questions (uniquement les données nécessaires) que dans les moyens d’analyse utilisés, assurer la sécurité des données, ne pas traiter les données à d’autres fins et agir de bonne foi.

Lorsque vous collectez des données, même à des fins de recherche, vous devez informer le public cible de la nature des données collectées et de leur finalité, de l’identité du responsable du traitement des données et des personnes avec lesquelles les données peuvent être partagées, de la durée de conservation des données et du transfert des données en dehors de la Suisse ou de l’Union européenne (UE), le cas échéant.