Déclaration sur la protection des données

Par la présente déclaration sur la protection des données, nous informons sur le traitement des données à caractère personnel dans le cadre de nos activités et opérations, y compris notre site web sous le nom de domaine graubuenden.ch. Nous précisons notamment à quelles finalités, comment et où nous traitons quelles données personnelles. Nous informons également sur les droits des personnes concernées dont nous traitons les données.

Pour certaines activités ou opérations supplémentaires, nous pouvons publier d’autres déclarations sur la protection des données ou informations en la matière.

Nous sommes soumis au droit suisse ainsi qu’à tout droit étranger applicable, notamment au droit de l’Union européenne (UE) avec le Règlement général sur la protection des données (RGPD).

La Commission européenne a reconnu par décision du 26 juillet 2000 que le droit suisse sur la protection des données garantit un niveau adéquat de protection. Par le rapport du 15 janvier 2024, la Commission européenne a confirmé cette décision d’adéquation.

1. Coordonnées

Au sens de la loi sur la protection des données, le responsable du traitement est :

Graubünden Ferien
Alexanderstrasse 24
7001 Chur
Suisse

contact@graubuenden.ch

Dans certains cas, des tiers peuvent être responsables du traitement des données personnelles ou il peut exister une responsabilité conjointe avec des tiers. Nous informons volontiers les personnes concernées, sur demande, de la répartition des responsabilités.

1.1 Délégué ou conseiller à la protection des données

Nous disposons du délégué ou conseiller suivant pour la protection des données, point de contact pour les personnes concernées et les autorités :

Manuela Ruinatscha
Graubünden Ferien
Alexanderstrasse 24
7001 Chur
Suisse

manuela.ruinatscha@graubuenden.ch

1.2 Représentant pour la protection des données dans l’Espace économique européen (EEE)

Nous avons désigné le représentant suivant conformément à l’Art. 27 RGPD :

VGS Datenschutzpartner GmbH
Am Kaiserkai 69
20457 Hamburg
Allemagne

datenschutz@graubuenden.ch

Le représentant sert de contact « supplémentaire » pour les personnes concernées et les autorités de l’UE et du reste de l’EEE.

2. Définitions et bases juridiques

2.1 Définitions

Personne concernée : personne physique à qui se rapportent les données personnelles traitées.

Données personnelles : toute information relative à une personne physique identifiée ou identifiable.

Données sensibles : données relatives aux convictions syndicales, politiques, religieuses ou philosophiques, à la santé, à la vie sexuelle ou orientation sexuelle, à l’origine ethnique ou raciale, aux données génétiques, biométriques identifiantes, aux sanctions pénales ou administratives, ou à l’assistance sociale.

Traitement : toute opération ou ensemble d’opérations sur les données personnelles, quels que soient les moyens et procédés employés (collecte, enregistrement, organisation, conservation, adaptation, consultation, diffusion, suppression, destruction, etc.).

Espace économique européen (EEE) : États membres de l’Union européenne plus le Liechtenstein, l’Islande et la Norvège.

2.2 Bases juridiques

Nous traitons les données personnelles conformément au droit suisse, notamment à la Loi fédérale sur la protection des données (LPD) et à l’Ordonnance sur la protection des données (OPD).

Lorsque le RGPD s’applique, nous traitons les données personnelles en vertu d’au moins l’une des bases juridiques suivantes :

• Art. 6(1)(b) RGPD : exécution d’un contrat ou mesures précontractuelles.
• Art. 6(1)(f) RGPD : intérêts légitimes, sauf si prévalent les droits et libertés fondamentaux de la personne concernée.
• Art. 6(1)(c) RGPD : respect d’une obligation légale.
• Art. 6(1)(e) RGPD : mission d’intérêt public.
• Art. 6(1)(a) RGPD : consentement de la personne concernée.
• Art. 6(1)(d) RGPD : protection d’intérêts vitaux de la personne concernée ou d’une autre personne physique.
• Art. 9(2) sqq. RGPD : traitement de catégories particulières de données, notamment avec consentement explicite.

Le RGPD désigne le traitement des données personnelles comme “processing of personal data” et le traitement des données sensibles comme “processing of special categories of personal data” (Art. 9 RGPD).

3. Nature, étendue et finalité du traitement des données personnelles

Nous traitons uniquement les données strictement nécessaires pour exercer durablement, de manière respectueuse, sûre et fiable nos activités et opérations. Cela peut inclure les données de navigateur et appareil, contenus, communications, métadonnées, données d’usage, données de base (identité et contact), localisation, transactions, contrat, paiements, et le cas échéant données sensibles.

Nous pouvons également traiter des données reçues de tiers, issues de sources publiques ou collectées dans le cadre de nos activités, dans la mesure où le traitement est licite.

Le traitement peut être fondé sur le consentement, mais dans de nombreux cas il est possible de traiter sans consentement (ex. obligations légales, intérêts légitimes). Nous pouvons toutefois demander le consentement même s’il n’est pas obligatoire.

Nous conservons les données personnelles pour la durée nécessaire aux finalités et les anonymisons ou supprimons selon les durées légales et de prescription.

4. Automatisation et intelligence artificielle (IA)

Nous pouvons traiter les données de façon automatisée ou recourir à l’intelligence artificielle.

Nous pouvons utiliser le profilage pour évaluer automatiquement certains aspects personnels, comme l’analyse ou la prédiction d’intérêts, de comportements ou de préférences.

Nous informons lorsque des décisions basées uniquement sur un traitement automatisé entraînent des effets juridiques ou significatifs (décisions individualisées automatisées).

5. Communication des données personnelles à des tiers

Nous pouvons communiquer, faire traiter ou traiter conjointement des données personnelles avec des tiers, notamment des prestataires spécialisés.

Parmi ces tiers figurent notamment banques, autorités, établissements d’enseignement, conseillers et avocats, associations professionnelles, prestataires informatiques, partenaires, agences d’informations commerciales, logistique, marketing, médias, organisations, assurances et prestataires de paiement.

6. Communication

Nous traitons les données pour communiquer avec personnes, autorités, organisations et entreprises. Cela inclut les données fournies lors du contact (courrier, e-mail), stockées dans un carnet d’adresses ou équivalent.

Les tiers nous transmettant des données doivent assurer la protection de ces données, garantir leur exactitude et leur licéité.

Nous utilisons des services choisis de fournisseurs qualifiés pour faciliter et améliorer la communication : ces services peuvent traiter les données au-delà de la communication directe.

En particulier, nous utilisons :

• Salesforce : gestion de la relation client (CRM) ; fournisseurs : Salesforce.com Inc. (USA) / Salesforce.com Germany GmbH (Allemagne) ; confidentialité : Datenschutz, Datenschutzerklärung.

7. Candidatures

Nous traitons les données des candidats dans la mesure nécessaire pour évaluer l’aptitude à un emploi ou pour l’exécution ultérieure du contrat de travail. Les données requises sont celles demandées (ex. offres d’emploi). Nous pouvons diffuser les annonces via des tiers (supports électroniques ou imprimés, portails emploi).

Nous traitons également les données volontairement fournies (lettre de motivation, CV, profils en ligne).

Lorsque le RGPD est applicable, nous traitons les données des candidats selon Art. 9(2)(b) RGPD.

8. Sécurité des données

Nous mettons en place des mesures techniques et organisationnelles adaptées au risque pour garantir la confidentialité, la disponibilité, l’intégrité et la traçabilité des données, sans pouvoir assurer une sécurité absolue.

L’accès à notre site et présence digitale se fait via chiffrement (SSL/TLS, HTTPS). La plupart des navigateurs signalent les sites non chiffrés.

La communication numérique peut faire l’objet de surveillance de masse par des autorités de sécurité en Suisse, Europe, États-Unis et ailleurs. Nous n’avons pas d’influence sur le traitement par les services secrets, la police ou autres autorités de sécurité et ne pouvons prévenir une surveillance ciblée.

9. Données personnelles à l’étranger

Nous traitons principalement en Suisse et dans l’EEE, mais pouvons exporter ou transférer des données dans d’autres pays pour traitement.

Nous pouvons exporter vers tous les États du monde et même vers l’univers, si le niveau de protection est adéquat selon le arrêté du Conseil fédéral et, si applicable, selon les décisions d’adéquation de la Commission européenne.

Vers des pays sans niveau adéquat, nous transférons si des garanties appropriées existent (clauses contractuelles standard ou autres). Exceptionnellement, nous pouvons transférer sans ces garanties si des conditions particulières sont remplies (consentement explicite, nécessité contractuelle). Nous fournissons volontiers sur demande des informations ou copies de ces garanties.

10. Droits des personnes concernées

10.1 Droits en matière de protection des données

Les personnes concernées bénéficient de tous les droits prévus par la loi, notamment :

• Accès : droit de savoir si et quelles données nous traitons, et d’obtenir les informations nécessaires pour exercer leurs droits (finalités, durée, transferts, origine, etc.).
• Rectification et limitation : droit de corriger des données inexactes, compléter des données incomplètes et limiter le traitement.
• Point de vue et contrôle humain : droit, en cas de décision automatisée individuelle, de présenter son point de vue et d’exiger un contrôle humain.
• Effacement et opposition : droit d’effacer les données (« droit à l’oubli ») et de s’opposer au traitement futur.
• Portabilité : droit de recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable.

Nous pouvons différer, restreindre ou refuser l’exercice de ces droits, conformément à la loi (secret professionnel, intérêts prévalents, obligations de conservation).

Nous pouvons, exceptionnellement, prévoir des frais pour l’exercice des droits et informerons à l’avance.

Nous devons identifier de manière appropriée la personne demandant l’exercice des droits ; la coopération est requise.

10.2 Voie de recours

Les personnes concernées peuvent exercer leurs droits par voie judiciaire ou déposer plainte auprès d’une autorité de surveillance.

En Suisse, l’autorité de surveillance pour les responsables privés et organes fédéraux est le Préposé fédéral à la protection des données et à la transparence (PFPDT).

Dans l’UE et l’EEE, les autorités de surveillance sont membres du Comité européen de la protection des données (EDPB). Dans certains États de l’EEE, elles sont organisées selon une structure fédérale (ex. Allemagne).

11. Utilisation du site web

11.1 Cookies

Nous pouvons utiliser des cookies propriétaires (first-party) et tiers (third-party). Les données stockées ne se limitent pas au format texte traditionnel.

Les cookies peuvent être « session » (effacés à la fermeture du navigateur) ou « persistants » (durée déterminée). Ils permettent de reconnaître le navigateur et de mesurer la portée du site, ainsi que des usages marketing.

Il est possible de désactiver, restreindre ou supprimer les cookies via les paramètres du navigateur, y compris automatiquement. Sans cookies, le site peut fonctionner partiellement. Nous demandons, si la loi l’exige, le consentement explicite.

Pour les cookies de mesure ou de publicité, un « opt-out » général est souvent disponible via AdChoices (Canada), Network Advertising Initiative, YourAdChoices ou Your Online Choices (EDAA).

11.2 Journalisation

Nous pouvons journaliser pour chaque accès au site et présence digitale : date et heure avec fuseau, adresse IP, code HTTP, système d’exploitation et version, navigateur et version, page demandée et données transférées, référent.

Ces données, pouvant inclure des données personnelles, sont enregistrées dans des fichiers de log pour garantir la disponibilité et la sécurité du site, y compris via des tiers.

11.3 Balises invisibles (web beacons)

Nous pouvons intégrer des balises invisibles (web beacons) ou pixel de suivi, internes ou tiers : petites images invisibles ou scripts qui collectent les mêmes informations que les logs.

12. Notifications et communications

12.1 Mesure de performance et portée

Les notifications peuvent inclure des liens ou pixels qui enregistrent l’ouverture et les clics afin de mesurer la portée et d’optimiser l’envoi de manière efficace et respectueuse.

12.2 Consentement et opposition

Sauf obligations légales, l’utilisation des adresses e-mail et autres contacts nécessite un consentement. Nous pouvons utiliser le « double opt-in » et enregistrer l’IP et l’horodatage comme preuve.

Vous pouvez retirer votre consentement et vous opposer à tout moment, y compris à la mesure statistique, sous réserve des notifications légales impératives.

12.3 Prestataires de notifications et communications

Nous envoyons notifications et communications avec l’aide de prestataires spécialisés.

13. Réseaux sociaux

Nous sommes présents sur des plateformes sociales et autres plateformes en ligne pour communiquer et informer sur nos activités. Dans ce contexte, les données peuvent être traitées hors Suisse et EEE.

Les conditions générales, conditions d’utilisation et politiques de confidentialité des exploitants s’appliquent, définissant notamment les droits des personnes à l’égard de la plateforme.

Pour notre présence Facebook (pages Insights), lorsque le RGPD s’applique, nous sommes coresponsables avec Meta Platforms Ireland Limited (Irlande), partie du groupe Meta (USA). Les Insights fournissent des statistiques d’interaction.

Plus d’informations sur le traitement des données par Facebook : politique de confidentialité Facebook. Nous avons conclu l’« Controller Addendum » pour garantir les droits des personnes. Détails sur les Insights : « Informations sur les pages Insights » et « Informations sur les données Insights ».

14. Services de tiers

Nous utilisons des services tiers pour intégrer fonctionnalités et contenus ; ces services peuvent temporairement collecter les adresses IP des utilisateurs.

Pour des finalités de sécurité, statistiques et techniques, les tiers peuvent traiter des données agrégées, anonymisées ou pseudonymisées.

Notamment :

• Services Google : Google LLC (USA) et Google Ireland Limited (Irlande) ; confidentialité : Principes de protection et sécurité, Comment Google utilise les données, Politique de confidentialité, Conformité au RGPD, Guide confidentialité produits, Données des sites partenaires, Cookies et technologies similaires, Gestion de la pub personnalisée.
• Services Microsoft : Microsoft Ireland Operations Limited (Irlande) pour UE/EEE/Suisse/Royaume-Uni et Microsoft Corporation (USA) pour le reste du monde ; confidentialité : Confidentialité Microsoft, Confidentialité & sécurité, Déclaration de confidentialité, Paramètres de confidentialité.

14.1 Infrastructure numérique

Nous utilisons des services tiers pour l’infrastructure (hébergement, stockage).

Notamment :

• Microsoft Azure : infrastructure et stockage ; confidentialité : Confidentialité Azure.

14.2 Automatisation et intégration d’applications et de services

Nous utilisons des plateformes no-code pour intégrer et automatiser des processus entre applications et services tiers.

Notamment :

• Microsoft Power Automate et Microsoft Power Platform ; confidentialité : Conformité et confidentialité des données, Stockage et gouvernance, Sécurité.
• Zapier : automatisation et intégration ; confidentialité : Politique de confidentialité, Data Privacy at Zapier, FAQ Privacy & Security, Security and Compliance.

14.3 Planification de rendez-vous

Nous utilisons des services pour fixer des rendez-vous en ligne (réunions). Les conditions et politiques de confidentialité des services s’appliquent.

Notamment :

• Doodle : planification en ligne ; confidentialité : Politique de confidentialité, General Terms of Data Processing.
• Microsoft Bookings : planification de rendez-vous ; confidentialité : FAQ Microsoft Bookings.

14.4 Collaboration en ligne

Nous utilisons des services tiers pour la collaboration en ligne. Leurs conditions et politiques de confidentialité s’appliquent.

Notamment :

• Asana : plateforme de collaboration ; confidentialité : Trust at Asana, Privacy Statement, Bug Bounty.
• Microsoft Teams : collaboration audio/vidéo ; confidentialité : Security & Compliance in Microsoft Teams.
• Miro : tableau blanc ; confidentialité : Privacy Policy, Miro Trust Center.

14.5 Fonctions et contenus de réseaux sociaux

Nous intégrons des fonctionnalités et contenus de réseaux sociaux via des plugins tiers.

Notamment :

• Instagram Platform : intégration de contenus Instagram ; confidentialité : Privacy Instagram, Privacy Facebook.

14.6 Cartes

Nous intégrons des cartes via des services tiers.

Notamment :

• map.geo.admin.ch : service cartographique ; confidentialité : Confidentialité, Bases légales.
• OpenStreetMap (OSM) : service cartographique ; confidentialité : Privacy Policy.

14.7 Contenus numériques

Nous intégrons des contenus numériques (images, vidéos, musique, podcasts) via des services tiers.

Notamment :

• YouTube : plateforme vidéo ; confidentialité : Centre confidentialité YouTube, Mes données sur YouTube.

14.8 Publicité

Nous pouvons diffuser de la publicité ciblée sur des plateformes tierces (réseaux sociaux, moteurs de recherche) pour toucher des audiences intéressées (remarketing, ciblage), en transmettant parfois des données personnelles. Nous mesurons l’efficacité (suivi des conversions).

Les tiers diffusant notre publicité et auxquels vous êtes connecté·e·s peuvent associer votre visite à votre profil.

Notamment :

• Google Ads : publicité sur moteurs ; confidentialité : Privacy Ads, Gestion des annonces.
• Meta Ads : publicité Facebook/Instagram ; confidentialité : Meta-Pixel, Custom Audiences, Lookalike Audiences, Privacy Policy, Préférences publicitaires.
• TikTok Ads : publicité TikTok ; confidentialité : TikTok-Pixel, Privacy Policy, Privacy mineurs, Privacy partenaires, Cookie Policy.

15. Extensions pour le site web

Nous utilisons des extensions pour ajouter des fonctionnalités, via des services tiers ou notre propre infrastructure.

16. Mesure de performance et portée

Nous mesurons le succès et la portée de nos activités ; nous pouvons réaliser des tests A/B pour optimiser.

Pour cela, nous collectons généralement les adresses IP pseudonymisées, utilisons des cookies et créons des profils pseudonymisés, sans identifier les individus. Les tiers peuvent associer les données si vous êtes connecté·e à leurs services.

Notamment :

• fusedeck : mesure de performance ; confidentialité : Privacy & Opt-out, Privacy Fusedeck, Privacy Statement.
• Google Marketing Platform : mesure (Google Analytics) ; confidentialité : suivi cross-device, IP pseudonymisées, Privacy Analytics, Module de désactivation.
• Google Tag Manager : gestion de balises ; confidentialité : Privacy Tag Manager.

17. Notes finales sur la déclaration

Cette déclaration a été rédigée à l’aide du générateur de déclarations sur la protection des données de Datenschutzpartner .

Nous pouvons mettre à jour cette déclaration à tout moment. Nous informerons des mises à jour de manière appropriée, notamment en publiant la version mise à jour sur notre site.