1. Introduction
POLARIS (ci-après également dénommée « plateforme ») est un système de gestion de clubs développé et exploité par le Rotary Communication Services Suisse-Liechtenstein, une association de droit suisse dont le siège est à Zoug (« RCS »). Il est utilisé par les organisations affiliées à POLARIS, notamment Rotary, Rotaract, Interact et Inner Wheel, ainsi que leurs clubs, districts et autres unités organisationnelles (ci-après dénommés collectivement « communauté »).
Tous les utilisateurs de POLARIS acceptent, lors de leur première utilisation, les « Conditions générales d'utilisation de POLARIS » (« CGU ») ainsi que la « Déclaration sur la protection des données pour les utilisateurs de POLARIS » (« Déclaration sur la protection des données »). Ces documents définissent les termes, régissent l'utilisation de la plateforme et définissent les conditions de traitement des données à caractère personnel.
La présente déclaration de confidentialité (« déclaration ») complète ces documents. Il s'applique de manière obligatoire à toutes les personnes auxquelles sont accordés des droits d'administration au sein de POLARIS (« administrateurs »). Elle régit le traitement des données à caractère personnel, des données des clubs et d'autres informations confidentielles auxquelles les administrateurs ont accès dans le cadre de leurs activités et constitue la base juridique nécessaire à ce rôle élargi. En cas de contradiction entre les CGU, la Politique de confidentialité et la présente Déclaration, les dispositions de la présente déclaration prévalent.
2. Champ d'application et objectif
La présente déclaration s'applique à tous les administrateurs qui, en raison de leur fonction, bénéficient de droits d'accès particuliers aux données à caractère personnel, aux données du club et aux données techniques d'administration.
L'objectif de la présente déclaration est de sensibiliser de façon accrue les administrateurs à la sécurité et à leurs responsabilités, d'assurer le respect des dispositions légales en matière de protection des données (en particulier le RGPD et la LPD) et de définir de manière contraignante le traitement confidentiel de toutes les données auxquelles les administrateurs ont accès.
3. Accès et catégories de données
Les administrateurs ont accès aux catégories de données suivantes uniquement dans le cadre de leurs tâches administratives :
Données des membres (par exemple, coordonnées, fonctions, appartenance à un club)
Données relatives aux clubs et aux organisations (par exemple, structures, événements, communication interne)
Données techniques d'administration (par exemple, fichiers journaux, droits d'utilisateur)
L'accès est toujours basé sur le principe du besoin de savoir (« need-to-know »), c'est-à-dire uniquement dans la mesure où cela est nécessaire à l'accomplissement des tâches administratives.
4. Obligations de l'administrateur
L'administrateur s'engage expressément
a) Confidentialité
à traiter de manière strictement confidentielle toutes les données personnelles, les données du club et les autres informations confidentielles auxquelles il a accès dans le cadre de son activité et de ne permettre à aucune personne non autorisée d'accéder à ces données.
b) Finalité
à traiter les informations confidentielles exclusivement dans le cadre des tâches administratives qui lui sont confiées par l'unité organisationnelle concernée.
c) Interdiction d'utilisation abusive
à s'abstenir
d'utiliser des informations confidentielles à des fins privées ou étrangères à la communauté,
de faire des copies, des exportations ou des captures d'écran ou de les enregistrer localement, sauf si cela est expressément nécessaire ou autorisé,
de transmettre ou rendre accessibles des données à des tiers non autorisés.
d) Mesures de sécurité techniques et organisationnelles
à respecter toutes les mesures de protection appropriées afin de garantir la confidentialité, la disponibilité et l'intégrité des données à caractère personnel, les données du club et autres informations confidentielles, afin de garantir un niveau de protection adéquat et notamment d'empêcher la destruction non autorisée ou accidentelle, la perte accidentelle, le vol ou l'utilisation illicite de ces données, leur modification non autorisée, leur copie non autorisée ou tout autre traitement non autorisé, entre autres par :
l'utilisation de mots de passe forts et tenus secrets,
l’utilisation de l'authentification à deux facteurs,
l’utilisation des appareils terminaux à jour et sécurisés,
des mises à jour régulières, d’utilisation de systèmes firewall et de mesures de protection antivirus,
la transmission des données à caractère personnel exclusivement via des connexions cryptées.
e) Restitution et suppression
à supprimer immédiatement, au moment de fin de sa fonction d'administrateur, tous les accès, fichiers d'exportation, copies et autres données stockées localement ou de les remettre à l'unité organisationnelle compétente.
5. Traitement des droits des personnes concernées
L'administrateur aide l'unité organisationnelle concernée à respecter les droits des personnes concernées (en particulier le droit d'accès, de rectification, de suppression et de limitation du traitement), mais ne prend aucune décision indépendante et juridiquement contraignante. Les actions administratives ne sont effectuées que dans le cadre d'instructions expresses ou de pouvoirs clairement définis.
6. Signalement des incidents de sécurité et limitation des dommages
L'administrateur est tenu de signaler immédiatement à l'unité organisationnelle compétente tout accès non autorisé, réel ou présumé, à des données à caractère personnel ou tout autre incident lié à la sécurité.
Il doit prendre toutes les mesures raisonnables pour limiter les dommages, notamment :
empêcher immédiatement tout nouvel accès non autorisé,
récupérer les données concernées, dans la mesure où cela est autorisé,
assurer la suppression ou la remise des copies locales.
Ces obligations s'appliquent indépendamment de toute faute de l'administrateur.
7. Aucune concession de droits de propriété intellectuelle
Les droits d'administration ne confèrent aucun droit de propriété intellectuelle sur les données, les contenus ou les composants du système. Tous les droits restent la propriété du RCS ou de l'unité organisationnelle concernée. L'administrateur ne bénéficie que du droit non transférable et révocable d'utiliser les données dans le cadre de ses tâches administratives.
8. Sanctions et responsabilité
En cas de violation fautive des obligations énoncées dans la présente déclaration, l'administrateur est responsable des dommages qui en résultent dans le cadre des dispositions légales.
Le RCS et l'unité organisationnelle concernée se réservent le droit, en cas d'infraction :
de retirer les droits d'administration,
de prendre des mesures conformément au droit des associations,
d'examiner les éventuelles mesures civiles ou pénales à prendre
9. Durée de validité de la déclaration
La présente déclaration entre en vigueur dès l'activation des droits d'administration octroyés par l'unité organisationnelle concernée.
Elle ne prend pas fin automatiquement avec la perte des droits d'administration, mais s'applique sans limitation dans le temps à toutes les données et informations dont l'administrateur a pris connaissance dans le cadre de ses activités.
10. Droit applicable et for juridique
La présente déclaration est soumise au droit matériel du pays dans lequel l'unité organisationnelle pour laquelle l'administrateur travaille a son siège statutaire ou son domicile commercial.
Le même lieu est le for juridique exclusif pour tous les litiges découlant de la présente déclaration.
Declaration de confidentialité pour les administrateurs de Polaris / Version 1.0, mars 2026
Ce document a été traduit. La version allemande fait autorité pour l’interprétation de ses règlements.