L'ISO collecte des données à caractère personnel de personnes engagées dans les travaux de normalisation à travers ses outils et ses services informatiques. Dans le contexte de l'ISO, la notion de « Données personnelles » recouvre toutes les informations concernant une personne physique identifiée ou identifiable – nom, adresses e-mail, adresses physiques, numéros de téléphone et rôles – qui sont collectées et utilisées dans le cadre de l'objet de l'ISO (décrit ci-après). En raison de la structure internationale de l'ISO, ces Données personnelles peuvent être utilisées (c’est-à-dire, en termes juridiques « transférées » et « traitées ») dans le territoire de la Suisse et en dehors de celui-ci par le Secrétariat central de l'ISO (ISO/CS), les membres de l'ISO, des tiers et d'autres personnes dans presque tous les pays du monde. La présente Politique de protection des données (ci-après désignée « Politique ») à mettre en œuvre par les membres de l'ISO s'applique aux Données personnelles quel que soit le pays dans lequel elles sont collectées ou utilisées. Elle ne s'applique pas aux Données personnelles qu'un membre de l'ISO collecte et utilise à d'autres fins que celles faisant partie de l'objet de l'ISO.
En qualité de membre de l'ISO, il vous appartient de protéger les Données personnelles conformément à la présente Politique, même si vous donnez accès à ces Données personnelles à :
- des personnes au sein de votre organisation (y compris les administrateurs des utilisateurs des comités membres «MBUA», les Managers de comités, les membres du personnel informatique, etc.)
- des tiers (y compris les organismes affiliés, les agents, les sous-traitants, etc.) à l'extérieur de votre organisation.
- d'autres par le biais des interfaces informatiques.
En qualité de membre de l'ISO vous êtes tenu de :
1. veiller à ce que les personnes dont vous accédez les Données personnelles*:
- comprennent que l'ISO et ses membres sont liés par une Politique ISO visant la protection des données à caractère personnel de tous ceux qui participent au système de l'ISO;
- consentent à ce que leurs Données personnelles soient collectées, utilisées, partagées et archivées pour le développement de la normalisation et de ses activités connexes;
- conviennent que leurs données personnelles puissent être transmises dans des pays dont la législation peut ne pas garantir le même niveau de protection des données que celle de leur propre pays ou de la Suisse (où est situé l'ISO/CS), et
- sachent que vous vous tenez à leur disposition, ainsi que l'ISO, pour répondre à toutes les questions concernant le contenu et la finalité de leurs données personnelles.
2. veiller à ce que les personnes auxquelles vous donnez accès à des Données personnelles*:
- acceptent de n'utiliser les Données personnelles auxquelles elles ont accès que pour le développement de la normalisation et des activités connexes dans le monde en vue de (i) faciliter entre les nations les échanges de marchandises et les prestations de services et de (ii) favoriser la coopération dans les domaines intellectuel, scientifique, technique et économique (objet de l'ISO);
- s'engagent à respecter les règles pertinentes de l'ISO et toutes lois applicables; et
- comprennent qu'elles demeurent liées par ces obligations, même après avoir cessé de participer aux activités d'élaboration des normes.
Si les personnes en question ne souscrivent pas aux conditions décrites dans les paragraphes 1 et 2 ci-dessus, il convient de ne pas enregistrer leurs Données personnelles dans les outils TI de l'ISO (ou de les supprimer si elles y figurent).
3. collecter, utiliser, partager et archiver (c'est à dire « traiter ») les Données personnelles seulement pour promouvoir et améliorer le développement de la normalisation et de ses activités connexes et des services dans le monde en vue (i) de faciliter entre les nations les échanges de marchandises et les prestations de services et (ii) de favoriser la coopération dans les domaines intellectuel, scientifique, technique et économique – ce qui signifie que les Données personnelles ne peuvent être collectées et utilisées à des fins commerciales, sauf si la personne concernée en a également donné explicitement l'autorisation à l'ISO ou au membre de l'ISO;
4. prendre des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles avant leur traitement, y compris en désignant au moins une personne que l'ISO/CS pourra contacter pour toutes questions éventuelles associées à la protection des données;
5. informer immédiatement la personne à laquelle se rapportent les Données personnelles et l'ISO/CS si vous ne pouvez pas vous conformer à la présente Politique;
6. informer immédiatement l'ISO et coopérer avec elle en cas d'accès accidentel ou non autorisé;
7. veiller à ce que les Données personnelles soient tenues à jour et, le cas échéant, supprimées du Répertoire général ( Global Directory ) de l'ISO et de tout autre outil TI de l'ISO dans lequel les membres sont priés d'entrer des Données personnelles;
8. coopérer pleinement et rapidement avec l'ISO en répondant aux demandes de renseignements venant de personnes dont nous détenons les Données personnelles; l'ISO s'engage à coopérer pleinement et rapidement avec les membres de l'ISO qui reçoivent des demandes de renseignements;
9. si vous cessez d'être membre de l'ISO, détruire toutes les Données personnelles et les copies de celles-ci auxquelles s'applique la présente Politique et confirmer leur destruction par écrit à l'ISO, et
10. veiller à ce que vos employés et tous les tiers habilités à enregistrer des Données personnelles ou à y accéder pour votre compte acceptent la présente Politique ou des conditions équivalentes ou plus strictes. En tout état de cause, vous assumez la responsabilité de faire respecter la présente Politique par ces tiers;
L'ISO peut modifier la présente Politique en concertation avec ses membres. Les membres seront informés et les modifications seront mises en ligne.
La responsabilité de la protection des Données personnelles incombe aux membres de l'ISO, qui assument également cette responsabilité les uns envers les autres. Tout membre de l'ISO inquiet des pratiques d'un autre membre de l'ISO devra prendre contact avec le membre en question et informer l'ISO à l’adresse DataProtection@iso.org.
L'ISO peut demander à des membres de l'ISO de supprimer l'accès à certains tiers soupçonnés ne pas respecter la présente Politique. Le Secrétaire général peut également décider de prendre des mesures à l'encontre des membres de l'ISO qui ne se conforment pas à la présente Politique.
Les éventuelles règles ou lois relatives à la protection des données auxquelles les membres de l'ISO sont normalement soumis continuent de s'appliquer. La présente Politique vient compléter, et ne remplace pas de telles lois. Lorsque les lois nationales de protection des données offrent une protection égale ou plus stricte, elles peuvent prévaloir sur la présente Politique. Les membres ont l'obligation de signaler à l'ISO/CS les autres contradictions entre la présente Politique et les lois auxquelles ils sont tenus de se conformer.
La présente Politique est régie exclusivement par le droit suisse, à l'exclusion de son droit international privé. Le for juridique exclusif est à Genève, en Suisse.
Pour en savoir plus sur les autres règles de l’ISO en matière de confidentialité pertinentes, nous vous invitons à consulter la Déclaration relative au droit d’auteur et à la protection des données engageant les participants aux activités de l’ISO et la Avis de Confidentialité. Vous pouvez également contacter l’ISO à l’adresse DataProtection@iso.org.
*L'ISO prêtera assistance au membre à cet égard en avisant par e-mail les personnes dont les données personnelles sont enregistrées pour la première fois dans le Répertoire général (Global Directory) de l'ISO. Les membres désirant désactiver ce service devront prendre contact avec le helpdesk@iso.org.