Par le présent document, nous souhaitons fournir des informations sur le traitement des données personnelles sur notre site et sur les droits des utilisateurs en matière de protection des données. Les données concrètes traitées et leur utilisation dépendent, en grande partie, des circonstances concrètes.

Préambule

Qui sommes-nous ?
L’Université des sciences appliquées de Zurich (ZHAW) joue un rôle de premier plan dans les sciences appliquées en Suisse.

À qui s’applique cette politique de confidentialité ?
Par traitement des données personnelles, nous entendons leur collecte, conservation, utilisation, transmission ou suppression, etc. En lien avec notre site, les présentes dispositions s’appliquent aux données personnelles des personnes physiques suivantes :

• internautes, étudiant.e.s et client.e.s de la ZHAW, qui sont des personnes physiques, en particulier dans les domaines des études, de la formation continue, de la recherche et des services ;
• toutes les autres personnes physiques en contact avec notre institution, par ex. mandataires, titulaires de l’autorité parentale, messager.ère.s et représentant.e.s ou employé.e.s de personnes morales, mais aussi visiteurs de notre site et personnes inscrites sur notre site.

Dans la mesure où la loi sur l’information et la protection des données (IDG) et la loi fédérale sur la protection des données (LPD) sont applicables, les présentes dispositions s’appliquent aussi aux personnes morales jusqu’à une éventuelle modification de l’IDG et de la LPD.

Quelles sources et données utilisons-nous ?

Nous traitons les données générées dans le cadre de l’utilisation de notre site ou communiquées par les utilisateurs (par ex. lors de l’inscription à une lettre d’information ou à une manifestation, lors du renseignement de formulaires en ligne ou d’autres commandes). Ces données concernent, en particulier, les domaines des études, de la formation continue, de la recherche et des services.

Nous recueillons les données personnelles des personnes intéressées, des client.e.s, etc. en particulier lorsqu’ils nous contactent, par ex. par le biais de notre site. Nous traitons les données personnelles que nous recevons dans le cadre de nos relations commerciales avec nos client.e.s. Dans la mesure où la fourniture de nos prestations le requiert, nous traitons par ailleurs les données personnelles recueillies de façon légale dans les sources publiques. Enfin, nous traitons les données générées dans le cadre de l’utilisation de notre site ou communiquées par les utilisateurs (par ex. lors de l’inscription à une lettre d’information ou à une manifestation, ou lors du renseignement de formulaires en ligne).

Les données personnelles englobent les informations sur la personne (nom, adresse et autres coordonnées, date et lieu de naissance et nationalité) et les données relatives aux pièces d’identité. Il peut en outre s’agir de données contractuelles, de données issues de l’exécution de nos obligations contractuelles, de données publicitaires et de vente, de données issues de documents ou d’autres données comparables aux catégories citées. Nous ne recueillons aucune donnée personnelle lors de la consultation de notre site à des fins purement informatives, c’est-à-dire lorsque l’utilisateur ne remplit aucun formulaire en ligne, ne s’inscrit à aucune manifestation ni ne nous transmet d’information d’aucune sorte. Seules sont recueillies les données transmises par le navigateur, par ex. adresse IP masquée, parcours, date et heure de la visite, type et version du navigateur, type du terminal, site référent, etc. Ces données ne permettent aucune identification.

Dans quel but et sur quelle base juridique traitons-nous les données ?

Nous traitons les données personnelles dans le respect des dispositions de la loi sur l’information et la protection des données (IDG) du canton de Zurich, de la loi fédérale sur la protection des données (LPD) et du règlement général sur la protection des données (RGPD) de l’Union européenne, dans la mesure où ces dispositions sont applicables. Comme l'exige le RGPD et dans la mesure où celui-ci s’applique, nous indiquons ci-après toutes les bases juridiques sur lesquelles repose notre traitement. Pour le traitement de données personnelles selon l’IDG ou la LPD, nous nous appuyons sur des bases juridiques comparables.

Exécution des obligations contractuelles (art. 6 al. 1b RGPD)

Le traitement de données s’effectue en vue de la fourniture de prestations de la ZHAW, dans le cadre de l'exécution de nos contrats (par ex. en matière de formation continue) avec nos client.e.s, ou de l'exécution de mesures précontractuelles prises à la demande de ceux-ci. Le traitement des données porte en premier lieu sur la prestation concrète et peut englober, entre autres, des activités comme formations ou conseil. Les documents contractuels et conditions générales peuvent contenir d’autres détails sur les objectifs du traitement des données.

Intérêts (art. 6 al. 1f RGPD)

Si nécessaire, nous traitons les données, au-delà de l'exécution proprement dite du contrat, aux fins des intérêts légitimes poursuivis par nous-mêmes ou par un tiers. Exemples :

• Recherche
• Publicité, études de marché et d’opinion, dans la mesure où la personne ne s’est pas opposée à l’utilisation de ses données
• Revendication de droits et défense en cas de litige
• Lettre d’information, inscription à une manifestation et commande (dans la mesure où l’envoi peut être attendu de la personne concernée)
• Garantie de la sécurité et des activités informatiques
• Analyse du trafic sur notre site, amélioration de la fonctionnalité de notre site
• Prévention et détection d’infractions pénales
• Mesures de pilotage et perfectionnement de prestations et produits

Consentement (art. 6 al. 1a RGPD)

Dans la mesure où la personne concernée consent au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (par ex. transfert de données, évaluation des données à caractère personnel à des fins de recherche ou de marketing ; lettre d’information dans la mesure où aucune base juridique n’existe au sens de la let. b), la licéité du traitement est donnée. Un consentement peut être retiré à tout moment. Cette règle s’applique aussi aux consentements donnés avant l’entrée en vigueur du RGPD, c’est-à-dire avant le 25 mai 2018. La révocation du consentement ne touche en rien la licéité des données traitées jusque-là.

Obligation légale (art. 6 al. 1c RGPD) ou mission d’intérêt public (art. 6 al. 1e RGPD)

La ZHAW est soumise au droit des universités et aux autres dispositions légales de la législation suisse. Par conséquent, un traitement des données personnelles peut aussi avoir lieu si les dispositions légales l’exigent ou s’il relève d’une mission d’intérêt public. Cette disposition se fonde notamment, en particulier pour les études et la formation continue, sur le paragraphe 6a de la loi sur les hautes écoles spécialisées.

Confidentialité/Sécurité

Les données transmises par formulaire sont cryptées. Elles sont sauvegardées sur nos serveurs, conservées avec tout le soin requis et à l’abri des personnes non autorisées. Seules ont accès aux données les collaborateurs qui en ont besoin dans l'exécution de leurs tâches. La ZHAW ne communique des données à des tiers que s’il en est fait expressément mention ailleurs. Elle peut les transmettre à des prestataires externes qui traitent ces données pour le compte de la ZHAW, dans le cadre d’un contrat. Les données recueillies servent uniquement aux fins déclarées et ne sont pas transmises.

Lettres d’information

Nos diverses lettres d’information traitent de l’actualité de la ZHAW et permettent de découvrir nos produits. L’envoi d’une lettre d’information requiert, au minimum, l’adresse e-mail, le nom et le sexe du destinataire et, le cas échéant, son adresse (afin de pouvoir déterminer le droit applicable). Quiconque s’inscrit à une ou plusieurs lettres d’information peut saisir ces données dans les champs prévus à cet effet. Une fois ces données envoyées, la personne reçoit un e-mail de notre part l’enjoignant de confirmer son adresse électronique.

Il est possible de se désabonner à tout moment de nos lettres d’information et de s’opposer ainsi à l’utilisation des données personnelles. À la fin de chaque lettre d’information de la ZHAW, le destinataire a la possibilité de retirer son adresse de la liste de diffusion.

Qui a accès aux données ?

Ont accès aux données, au sein de la ZHAW, les personnes qui en ont besoin pour l'exécution de nos obligations contractuelles et légales. À ces fins, nous pouvons aussi confier ces données à des prestataires et à des auxiliaires engagés par nos soins. Ces derniers travaillent notamment dans les domaines de l’informatique, de la logistique, de l’impression, des télécommunications, du conseil, de la vente et du marketing.
Parmi les destinataires de données personnelles figurent :

• des organismes et institutions publics (par ex. autorités judiciaires) en cas d’obligation légale ou administrative ;
• des services internes de gestion des risques en raison d’obligations légales ou administratives.

La liste des destinataires peut s’étendre aux organismes pour lesquels la personne concernée nous a fourni un consentement de transmission des données ou pour lesquels un accord ou une autorisation nous libère du secret professionnel.

Les données sont-elles transmises à des pays tiers ou à des organisations internationales ?

Il y a transmission des données (par ex. dans le cadre de partenariats de recherche avec des universités/organisations étrangères) à des organismes dans des pays hors de la Suisse et de l’Union européenne (pays tiers) dans la mesure où :

• la loi le prescrit ;
• ou la personne concernée nous a donné son accord ;
• ou nous avons prévu des garanties adéquates par le biais de mécanismes appropriés (par ex. contrats).
  

Combien de temps les données sont-elles conservées ?

Nous traitons et conservons les données personnelles pour la durée nécessaire à l’exécution de nos obligations contractuelles ou légales, ou pour la durée nécessaire aux fins poursuivies, ou tant que nos intérêts légitimes perdurent ou que le consentement donné n’a pas été révoqué.
Une fois les données utilisées pour l’exécution de nos obligations contractuelles ou légales, elles sont supprimées à intervalles réguliers, à moins qu’un traitement ultérieur (temporaire) ne soit requis aux fins suivantes :

• Obligation de conservation en vertu du droit du commerce et du droit fiscal. Il convient de citer ici le Code des obligations (CO) et la législation fiscale. Le délai de conservation prévu est, en règle générale, de dix ans.
• Conservation de preuves dans le cadre des dispositions légales en matière de prescription. Selon les art. 127 ss. CO, les délais de prescription peuvent aller jusqu’à dix ans. La durée de conservation des diplômes est même de cinquante ans.

Quels sont les droits des utilisateurs en matière de protection des données ?

Les utilisateurs disposent de différents droits, en fonction de la législation applicable. Dans la mesure où l’IDG ou la LPD s’appliquent, les droits découlent de ces textes.

Dans la mesure où le RGPD prévaut, les dispositions suivantes s’appliquent. Chaque personne concernée a le droit d’accès conformément à l’art. 15 RGPD, le droit de rectification conformément à l’art. 16 RGPD, le droit à l’effacement conformément à l’art. 17 RGPD, le droit à la limitation du traitement conformément à l’art. 18 RGPD, le droit d’opposition conformément à l’art. 21 RGPD et le droit à la portabilité des données conformément à l’art. 20 RGPD. Elle jouit aussi du droit d’introduire une réclamation auprès d’une autorité de contrôle (art. 77 RGPD).

Il est possible de s’opposer à tout moment au traitement des données personnelles. Cette règle s’applique aussi aux consentements donnés avant l’entrée en vigueur du RGPD, c’est-à-dire avant le 25 mai 2018. Il convient de noter qu’une opposition ne peut s’appliquer avec effet rétroactif. Elle ne saurait concerner les traitements effectués jusque-là.

Existe-t-il une obligation de fournir des données ?

Dans le cadre d’une relation commerciale, nous devons disposer des données personnelles nécessaires à la mise en œuvre et au déroulement de ladite relation et à l'exécution des obligations contractuelles qui en découlent ou dont la loi exige la collecte. En règle générale, en l'absence de ces données, nous ne sommes pas en mesure de conclure ni d’exécuter un contrat.

Dans quelle mesure procédons-nous à une décision individuelle automatisée ?

En principe, nous ne procédons à aucune décision individuelle automatisée au sens de l’art. 22 RGPD dans la justification et l’exécution de la relation commerciale. Si nous devions y recourir au cas par cas, nous en informerions les personnes concernées dans la mesure où la loi le prescrit.

Procédons-nous à un profilage ?

Nous traitons certaines données de façon automatisée dans le but d’évaluer certains aspects personnels (profilage). Nous procédons par ex. à un profilage dans le cas suivant :

• Nous utilisons des outils d’évaluation afin de pouvoir fournir des informations et des conseils ciblés sur nos produits. Ils permettent une communication et une publicité adaptées aux besoins, y compris les études de marché et d’opinion.

Cookies/Stockage web local

La ZHAW peut recourir à des cookies et à un stockage web local sur son site.

Cookies
Les cookies sont des fichiers déposés et stockés par le navigateur dans un espace spécifique de l’ordinateur. Un paramétrage du navigateur utilisé permet de bloquer à tout moment l’enregistrement de cookies par notre site et de s’opposer ainsi au dépôt de cookies. Par ailleurs, il est possible de supprimer à tout moment les cookies déposés à l’aide d’un navigateur ou d’autres logiciels.

Stockage web local
Le stockage web local (également appelé stockage DOM ou supercookies) est une technique d’enregistrement de données dans un navigateur. Il permet un enregistrement permanent des données, comme avec les cookies, mais aussi un enregistrement local de session.

À l’inverse des cookies, accessibles à la fois par les serveurs et les clients (navigateur), le stockage DOM est entièrement défini par le client (navigateur). Les données ne sont pas transmises au serveur à chaque requête HTTP, et un serveur ne peut pas inscrire directement des données dans le stockage DOM. L’accès s’effectue exclusivement par le biais de scripts sur le site.

Nous avons recours au mécanisme de session de la norme DOM pour, par ex., enregistrer les filtres lors de la recherche d’offres de formation continue. Supprimées automatiquement dès la fermeture de la fenêtre de navigation, ces données ne sont donc plus disponibles lors de sessions ultérieures.

Il est possible d’interdire l’enregistrement de données en stockage DOM en refusant les cookies. Nous attirons cependant l'attention sur le fait que le refus du stockage web local peut limiter le fonctionnement des sites de la ZHAW.

Statistiques/Journaux système

Statistiques
Le site www.zhaw.ch et les sous-pages directes utilisent des logiciels d’analyse (pour le moment www.matomo.org et siteimprove.de). Ces logiciels dits de tracking peuvent être désactivés au moyen de l’option Do Not Track des navigateurs courants. Une fois ce paramètre activé, le navigateur envoie la balise « Do Not Track » avec la requête, et les actions de l’internaute ne sont pas analysées.

Journaux système
À chaque utilisation d’Internet, par ex. à la consultation de sites ou à l’envoi d’e-mails, le système transmet automatiquement des données en partie considérées comme personnelles enregistrées dans des journaux système. La ZHAW enregistre ces journaux pour l’identification de pannes et des raisons de sécurité. Une fois les données utilisées pour l’exécution de nos obligations opérationnelles ou légales, elles sont supprimées.

Liens vers les réseaux sociaux

Nous attirons en outre l’attention sur les points suivants : les liens vers les réseaux sociaux sont susceptibles de transmettre des données à Facebook ou à d’autres plateformes dès la simple consultation des sites. Les liens de partage sur notre site se comportent comme des liens conventionnels. Tant que l’internaute ne clique pas sur les liens et ne quitte pas notre site pour passer, par ex., à Facebook à l’intérieur du navigateur, aucune donnée utilisateur n’est transmise à ces plateformes.

Pour afficher les contenus de réseaux sociaux sur son site, par ex. des tweets ou des posts Instagram, la ZHAW utilise un agrégateur. Il permet de réunir des contributions postées sur nos réseaux sociaux et de les publier sur le site de la ZHAW. Les données utilisateur ne sont ni transmises à l’agrégateur, à l’éditeur de l’agrégateur ou aux réseaux sociaux ni mises en cache par la ZHAW. Les publications qui mentionnent la ZHAW peuvent ainsi s’afficher sur notre site. La ZHAW ne divulgue aucune information sur les auteurs de ces publications, à l’exception des données publiques comme nom d’utilisateur, liens vers des photos ou des vidéos, etc. Grâce à cet agrégateur, la ZHAW peut renoncer aux extensions courantes, qui transmettent les données des internautes directement aux réseaux sociaux. Font exception les contenus que nous ne pouvons intégrer sur notre site au moyen de l’agrégateur. À ce sujet, se reporter au point suivant « Contenus externes ».

Contenus externes

Le site présente, notamment via Iframe, des contenus externes de YouTube, Vimeo, SRF, Issue, Soundcloud, Slideshare et Google Maps. L’adresse IP est transmise, et les fournisseurs de contenus peuvent utiliser des cookies, etc. Si l’internaute est aussi inscrit dans le réseau du fournisseur tiers, la consultation du site peut, en fonction du fournisseur, être rattachée à son compte utilisateur. La ZHAW n’a aucune influence sur la manière dont les données sont communiquées et trouve un intérêt légitime dans l’intégration de ces contenus.

Modifications de la politique de confidentialité

Nous nous réservons le droit de modifier les présentes dispositions à tout moment. La date de la dernière mise à jour figure à la fin du document.