Orion collecte, enregistre et traite les données personnelles de ses clients et de tiers dans la mesure où cela est nécessaire (p. ex. à des fins de consultation, de vérification des sinistres). Notre déclaration de protection des données des produits d’assurance relative aux produits d’assurance explique en détail quelles données sont collectées par Orion, pourquoi elles le sont et comment vous pouvez influencer l'utilisation de vos données.
1. De quoi est-il question dans cette déclaration relative à la protection des données personnelles ?
2. Qui est responsable du traitement de vos données?
3. Quelles données traitons-nous?
4. Quelle est la finalité du traitement de vos données?
5. Quelles sont les règles concernant l’établissement de profils et les décisions individuelles automatisées?
6. À qui communiquons-nous vos données?
7. Communiquons-nous des données personnelles à l’étranger?
8. Pendant combien de temps traitons-nous vos données?
9. Comment protégeons-nous vos données?
10. Quels sont vos droits?
11. La présente déclaration relative à la protection des données personnelles est-elle modifiable?
Orion (ci-après également désignée par «nous»; cf. ch. 2) traite des données personnelles qui vous concernent ou qui concernent d’autres personnes («tiers»). Vous trouverez de plus amples informations sur Orion au ch. 2 ci-dessous.
Les «données personnelles» désignent des données qui se rapportent à une personne définie ou définissable, c’est-à-dire qu’il est possible d’identifier cette personne à partir des données elles-mêmes ou de données complémentaires correspondantes. Les «données sensibles» sont une catégorie de données personnelles, dont le traitement peut être soumis à des exigences particulières. Par exemple, sont réputées considérées comme des données sensibles les données desquelles découle l’origine ethnique, les données sur la santé, les données sur des convictions religieuses ou philosophiques, les données biométriques à des fins d’identification et les données sur l’appartenance à un syndicat. Le chiffre 3 contient des informations sur les données que nous traitons dans le cadre de la présente déclaration relative à la protection des données personnelles .
Le «traitement» désigne chaque utilisation des données personnelles, par exemple l’obtention, l’enregistrement, l’emploi, la communication et la suppression.
La présente déclaration relative à la protection des données personnelles contient des informations sur le traitement que nous faisons des données (nous employons ici le terme «données», qui a la même signification que «données personnelles»). Par exemple, sont concernées les personnes suivantes (désignées respectivement ci-après par «vous»):
• le prospect, le preneur d’assurance et les personnes assurées
• le mandataire (représentant légal, par exemple)
• le requérant, la personne lésée et les autres personnes impliquées
• les interlocuteurs de clients entreprises, de coassureurs et de réassureurs, de fournisseurs et de partenaires, ainsi que des autorités et offices.
La présente déclaration relative à la protection des données personnelles explique notre utilisation des données personnelles et se rapporte au traitement des données personnelles déjà collectées et des futures données personnelles. Elle s’applique à toutes nos prestations de services et activités, pour autant que nous ne vous remettions pas pour ces dernières de déclarations de protection des données propres.
Vous trouverez des informations complémentaires sur nos traitements des données dans les documents suivants:
• l’information client, qui vous est remise avec les Conditions générales d’assurance (CGA) ou d’autres documents contractuels, et la déclaration finale, qui se trouve en général à la suite du formulaire de proposition ou d’offre;
• les Conditions générales d’assurance (CGA) ou les autres dispositions contractuelles du produit, qui contiennent des informations sur les finalités et les circonstances de nos traitements;
• les descriptions des produits et des prestations;
• notre site web.
Pour certains produits, prestations et offres, vous trouverez des informations complémentaires sur les traitements des données dans les autres déclarations de protection des données personnelles, qui s’appliquent en plus de la présente déclaration relative à la protection des données personnelles.
Par souci de lisibilité, dans la présente déclaration relative à la protection des données personnelles , nous employons le masculin mais cette forme inclut bien évidemment les personnes de tout sexe.
Nous restons à votre disposition pour répondre à vos questions (ch. 2).
La responsabilité des traitements des données selon la présente déclaration relative à la protection des données personnelles incombe à Orion Assurance de Protection Juridique SA, sauf communication contraire au cas par cas, par exemple dans d’autres déclarations de protection des données, sur des formulaires ou dans les conditions contractuelles.
Pour chaque traitement des données, un ou plusieurs service(s) a/ont la responsabilité principale de veiller à ce que le traitement des données respecte les prescriptions du droit de la protection des données. Ce service est appelé «le responsable». Il est par exemple compétent pour répondre à des demandes de renseignements (ch. 10) ou pour garantir que les données personnelles sont sécurisées et qu’elles ne seront pas utilisées à des fins autres que celles que nous vous communiquons ou qui sont autorisées par la loi. Vous trouverez des informations sur les tiers avec lesquels nous coopérons et qui, pour leur part, sont responsables de leurs traitements aux ch. 3 et 6.
Si vous souhaitez nous contacter dans ce cadre, veuillez nous envoyer un courrier à l’adresse suivante:
Orion Assurance de Protection Juridique SA
Protection des données
Aeschenvorstadt 50
Case postale
40002 Bâle
datenschutz@orion.ch
Selon la situation et la finalité, nous traitons différentes données provenant de différentes sources. Vous trouverez des informations sur les finalités du traitement au ch. 4.
Nous collectons ces données en premier lieu directement auprès de vous, par exemple quand vous nous transmettez une proposition d’assurance, quand vous communiquez avec nous, quand vous entrez en contact avec nous par le biais d’un intermédiaire ou quand vous déclarez un sinistre. Cependant, nous pouvons aussi collecter des données qui proviennent d’autres sources (de «tiers»). Vous trouverez des informations supplémentaires à ce sujet au ch. 3.
Nous traitons avant tout les catégories de données décrites ci-dessous, cette énumération n’étant pas exhaustive. En cas de modification des données dans le temps (p. ex. en cas de changement d’adresse ou d’une autre modification), nous pouvons les conserver dans leur état actuel et antérieur.
Données de base: nous appelons données de base les données fondamentales dont nous avons besoin, en plus des données contractuelles (voir ci-dessous), pour le traitement de nos relations contractuelles et commerciales autres ou à des fins de marketing et de publicité. Nous traitons vos données de base si, par exemple, vous êtes un preneur d’assurance ou un collaborateur d’un autre assureur ou d’un fournisseur, ou parce que nous voulons vous contacter pour nos propres finalités ou pour les finalités d’un cocontractant (par exemple dans le cadre d’opérations marketing et de publicité, par des invitations à des événements, des bons, des newsletters, etc.; vous trouverez de plus amples informations à ce sujet au ch. 4).
Les données de base comprennent en premier lieu les données comme le nom, l’adresse, l’adresse e-mail, le numéro de téléphone et d’autres données de contact, la date de naissance et le lieu, l’âge, le sexe, la nationalité et le lieu d’origine, les données figurant sur les documents d’identification (sur votre passeport ou votre carte d’identité, par exemple), votre numéro client et d’autres informations, comme par exemple votre numéro fiscal ou votre pays d’imposition.
Cette catégorie comprend en outre les données sur les relations avec des tiers, qui sont également concernés par le traitement des données, par exemple les co-assurés, sur les destinataires des correspondances, sur les débiteurs des primes et sur les autres personnes parties au contrat et, éventuellement, sur les membres de la famille.
Concernant les clients et autres contractants qui sont des entreprises, nous traitons des données sur nos interlocuteurs, par exemple le nom et l’adresse, les données sur les titres, la fonction dans l’entreprise, les qualifications et, éventuellement, des données sur les supérieurs hiérarchiques et les collaborateurs. Selon le secteur d’activité, nous sommes en outre tenus d’examiner en détail l’entreprise en question et ses employés, par exemple en effectuant un contrôle de sécurité. Dans ce cas, nous collectons et traitons des données supplémentaires, éventuellement aussi de prestataires tiers.
Nous recevons fréquemment de votre part des données de base, par exemple dans des documents de proposition, et collectons également, dans certaines circonstances, des données de tiers, par exemple de prestataires de service d’actualisation d’adresses ou du registre du commerce.
Données sur le contrat et les sinistres: il s’agit d’informations en lien avec la conclusion du contrat (proposition) ou l’exécution du contrat, par exemple des informations en lien avec le risque assuré ou avec le traitement des sinistres. En outre dans le traitement des cas juridiques, Orion sera également amenée à traiter de données sensibles. Il peut s'agir notamment données médicales, données biométriques ou des données aux convictions religieuses ou philosophiques, les opinions politique, l'appartenance à un syndicat. Dans le cadre des données relatives aux contrats ou aux dommages, il peut également s'agir de données concernant des tiers , par exemple sur des parties lésées et d’autres parties. Nous pouvons aussi obtenir de telles données de tiers, comme par exemple des intermédiaires, des autorités et des offices, des employeurs, d’autres assureurs, des banques, des prestataires médicaux et des experts, de ou encore des avocats externes. Par la transmission de la proposition d’assurance ou de la déclaration d’un cas de sinistre ou de prestation, vous déliez ces services de leur éventuel devoir de discrétion.
Ces données comprennent les données relatives à la conclusion du contrat (également les conseils et notre estimation des risques), les données relatives à vos contrats, par exemple la nature et la date de conclusion du contrat, et les données issues du processus de proposition, comme par exemple les faits, et d’autres informations sur le contrat en question (p. ex. le risque assuré, l’objet assuré, la somme d’assurance, la somme des salaires, la prime, la durée du contrat, les informations sur les assurances antérieures et d’autres assurances), ainsi que les données sur des éventuels sinistres passés et qui résultent de l’exécution et de l’administration des contrats (p. ex. les informations en lien avec la facturation, le conseil et le service à la clientèle). Les données contractuelles incluent aussi les données sur les réclamations et les avenants à un contrat, ainsi que les données sur la satisfaction clients, que nous pouvons collecter par le biais de sondages, par exemple.
Dans le cadre du traitement des sinistres, nous traitons toutes les données relatives aux situations personnelles qui sont en lien avec le cas juridique comme par exemple la déclaration de sinistre, le numéro de sinistre, le nombre de sinistres, des données sur des tiers, tels que des personnes lésées ou impliquées, , et d’autres données en lien avec l’examen des sinistres,. Nous collaborons à cet effet avec des tiers, par exemple avec des experts et des médecins ainsi que d’autres prestataires de services, auprès desquels nous collectons aussi des données – y compris des données sur la santé –, le cas échéant avec votre déclaration de levée du devoir de discrétion distincte. En particulier lors du traitement des sinistre nous traitons régulièrement de données sensibles comme par exemple les données relatives à l'état de santé.
Selon le produit d’assurance, nous traitons des données supplémentaires en lien avec le contrat d’assurance, comme par exemple des données relatives à la situation familale et financière, fiscales, les revenus, la fortune, les poursuites, relatives à l'état de santé ainsi qu'à des accidents ou maladies antérieurs, la capacité de travail, le droit à des rentes, les litiges, les couvertures d'assurance, le lieu de domicile (financement, propriété), les hypothèques, contrats de bail, les contrats de travail, cautionnements et garanties ainsi que les informations des assureurs passés, actuels et réassureurs. Par ailleurs, nous traitons également des données concernant les entreprises comme les codes NOGA, forme juridique, chiffre d'affaires annuel, somme des salaires annuels AVS, données personnelles et autres informations sur les entreprises.
Données financières: il s’agit des données relatives à la situation financière, aux paiements et au recouvrement des créances.
Ces données comprennent des données permettant de déterminer la solvabilité (c.-à-d. des informations permettant de déduire la probabilité que des créances soient réglées) et des données sur le paiement des primes (y compris des données sur la relation bancaire, le numéro de compte et les cartes de crédit), les sommations et le recouvrement des créances (par exemple créances de primes).
Ces données nous sont fournies par vos soins, par exemple dans le cadre des paiement que vous effectuez, ainsi que par des bureaux de renseignements économiques et proviennent aussi de sources publiques.
Données relatives au comportement et aux préférences: malgré notre grand nombre de clients, nous nous efforçons d’apprendre à mieux vous connaître et de personnaliser de façon optimale nos conseils et nos offres. En conséquence, nous traitons certaines données sur vous et sur votre comportement. Nous entendons par «données comportementales» les données relatives à votre comportement quand vous interagissez avec nous. Nous pouvons associer ces données à d’autres données – également des données de tiers – et déterminer à partir de ces données si vous pourriez être intéressé par certains produits ou prestations de services d'Orion ou pourriez en avoir besoin (données sur les préférences).
Les données comportementales désignent les données relatives à certains actes, par exemple les données sur des paiements, sur l’utilisation des messages électroniques (par exemple si et quand vous avez ouvert un e-mail), sur votre utilisation de nos sites web (p. ex. votre lieu et d’autres informations si vous utilisez l’un de nos sites; veuillez observer à cet effet les mentions correspondantes séparées relatives à la protection des données), sur l’utilisation de nos produits et prestations de services, sur votre interaction avec nos profils sur les réseaux sociaux, sur vos contacts avec des intermédiaires et sur votre participation à des événements, des jeux, des concours et des manifestations similaires.
Les données relatives aux préférences nous renseignent par exemple sur les besoins que vous pouvez avoir, sur les produits ou prestations qui pourraient vous intéresser ou sur le moment où et la manière dont vous réagissez vraisemblablement à nos messages, afin que nous puissions mieux vous connaître, mieux personnaliser nos conseils et nos offres et améliorer nos offres de façon générale. Nous obtenons ces données à partir de l’analyse des données existantes, par exemple les données sur le comportement. Afin d’améliorer la qualité de nos analyses, nous pouvons relier ces données à d’autres données, que nous obtenons aussi de tiers, tels que les fournisseurs d’adresses, les sites web et les offices, par exemple à des données sur la taille de votre foyer, la catégorie de vos revenus et votre pouvoir d’achat, votre comportement d’achat et les coordonnées de vos proches, ainsi qu’à des données anonymes d’offices de statistique.
Données relatives à la communication: il s’agit de données en lien avec notre communication avec vous et des données sur votre utilisation de notre site web (vous trouverez des informations complémentaires à ce sujet dans la déclaration relative à la protection des données personnelles distincte sur www.orion.ch/protection-des-donnees). Lorsque vous nous contactez via le formulaire de contact, par e-mail, par téléphone ou sur le chat, par courrier ou par tout autre moyen de communication, nous enregistrons les données échangées avec vous, vos coordonnées et d’autres données sur la communication (métadonnées). Quand nous enregistrons des appels téléphoniques, nous vous en informons. Si nous voulons ou devons vous identifier, par exemple en cas de demande de renseignements, de demande d’accès à des médias, etc., nous collectons des données à cet effet (p. ex. copie d’une pièce d’identité).
Les données de communication comprennent votre nom et vos coordonnées, le type, la manière, le lieu et l’heure de la communication et son contenu, par exemple des informations dans les e-mails ou courriers que vous recevez de tiers ou envoyez à des tiers, pour autant que celles-ci vous concernent. Nous enregistrons les données de communication, par exemple quand vous nous contactez via le Service à la clientèle, le Conseiller à la clientèle, un site web, une application ou un chatbot sur Internet.
Autres données: Nous collectons également vos données dans d’autres situations qu’il nous est impossible de décrire de façon exhaustive dans la présente déclaration relative à la protection des données personnelles .
Il existe en lien avec des procédures administratives ou judiciaires des données (p. ex. des pièces ou des moyens de preuve), qui peuvent aussi vous concerner. Pour des raisons de protection de la santé, nous pouvons également collecter des données (p. ex. dans le cadre de plans de protection). Nous pouvons obtenir ou réaliser des photos, des vidéos et des enregistrements sonores, dans lesquels vous pouvez être identifié (p. ex. lors de manifestations, par des caméras de sécurité, etc.). Nous pouvons aussi collecter des données permettant de savoir qui pénètre quand dans certains bâtiments ou possède les droits d’accès correspondants (y compris en cas de contrôles des accès, sur la base des données d’enregistrement ou des listes des visiteurs, etc.), qui participe quand à des manifestations ou actions (concours p. ex.) ou qui utilise quand nos systèmes et infrastructure.
Nous recueillons auprès de vous les données précédemment citées et, dans certaines circonstances, auprès de tiers.
Ces tiers sont, par exempledes intermédiaires, des bureaux de renseignements économiques, des sociétés d’observation des médias, des fournisseurs d’adresses, des services d’analyses Internet, des autorités, d’autres assureurs, des parties à une procédure et des sources publiques, telles que le registre du commerce, les médias et des sources disponibles sur Internet, des registres publics, des médias, etc.
Les données que nous traitons en vertu de la présente déclaration relative à la protection des données personnelles concernent non seulement nos clients mais aussi parfois des tiers (vous trouverez des remarques à ce propos au ch. 1). Lorsque vous nous transmettez des données sur des tiers, nous supposons que vous y êtes autorisé et que ces données sont exactes. Votre transmission des données sur des tiers vaut confirmation de ces suppositions. Veuillez informer ces tiers du traitement que nous faisons de leurs données et leur transmettre une copie de la présente déclaration relative à la protection des données personnelles ou de la fiche d’information client sur la protection des données. Si nous vous informons de l’existence d’une nouvelle version de ces documents, veuillez leur transmettre également ces nouvelles versions.
Vous n’êtes pas obligé de nous communiquer des données, sous réserve de cas individuels, par exemple dans le cadre de concepts de protection impératifs (obligations légales). Cependant, pour des raisons juridiques et opérationnelles, nous devons traiter une grande quantité de données pour justifier et gérer le rapport contractuel, y compris le règlement des sinistres. Si vous ne voulez pas mettre ces données à notre disposition (en particulier les données de base, les données contractuelles et les données des sinistres, les données financières et les données générales sur le comportement), nous ne serons pas en mesure d’examiner, de conclure ou de poursuivre un rapport contractuel. Pour utiliser notre site web, le traitement des données techniques est inévitable. Si vous souhaitez accéder à certains systèmes ou bâtiments, vous devez nous communiquer vos données d’inscription.
Nous mettons à votre disposition certaines offres, telles que l’utilisation d’un portail en ligne d'Orion ou de l’un de nos partenaires, une déclaration de sinistre en ligne ou la participation à un événement virtuel, seulement si vous nous communiquez vos données d’inscription car nous ou nos partenaires voulons savoir qui utilise nos prestations de services ou a reçu une invitation parce que cela est nécessaire techniquement ou parce que nous voulons communiquer avec vous. Si vous ou une personne que vous représentez (votre employeur p. ex.) voulez conclure ou exécuter un contrat avec nous, nous devons obtenir de votre part les données de base, les données contractuelles et les données de communication appropriées , et nous traitons des données techniques si vous utilisez notre site web ou d’autres offres électroniques. Si vous ne nous communiquez pas les données nécessaires à la conclusion du contrat et à son exécution, vous devez vous attendre à ce que nous refusions de conclure le contrat, à ce que vous soyez susceptible de violer un contrat ou à ce que nous ne puissions pas exécuter un contrat. De la même façon, nous pouvons vous envoyer une réponse à une demande que vous avez faite uniquement si nous traitons les données de communication correspondantes et – si vous communiquez en ligne avec nous – également les données techniques. L’utilisation de notre site web est également impossible si nous n’obtenons pas les données techniques. Quand nous interagissons avec vous ou que vous interagissez avec nous, des données de conduite sont générées.
Nous traitons vos données personnelles en particulier aux finalités suivantes dont il doit être convenu:
Nous traitons les données personnelles afin de satisfaire aux exigences légales et réglementaires et de respecter les lois, directives et recommandations des autorités et des réglementations internes («compliance»).
La lutte contre le blanchiment d’argent réglementée par la loi et le financement du terrorisme en font partie. Par conséquent, dans certains cas, nous pouvons être tenus de procéder à des clarifications («Know Your Customer») ou d’envoyer des notifications. De surcroît, la réalisation des obligations de renseignement, d’information ou de déclaration en lien avec des obligations prudentielles et fiscales suppose de traiter des données ou implique leur traitement, comme par exemple dans le cadre de l’échange automatique de renseignements, de l’accomplissement d’obligations d’archivage et de l’aide à la prévention, à la constatation et à la clarification de délits et d’autres infractions. Cela inclut aussi la réception et le traitement des réclamations et d’autres communications, la surveillance de la communication, les enquêtes internes ou la présentation de documents à une autorité, lorsque nous avons une raison objective de le faire ou y sommes juridiquement tenus. Dans certaines circonstances, des enquêtes externes, menées par exemple par une autorité de réglementation, peuvent donner lieu à un traitement de vos données personnelles. À ces finalités, nous traitons en particulier vos données de base, vos données contractuelles et relatives aux sinistres, vos données financières, de communication et, dans certaines circonstances, vos données comportementales. Les obligations juridiques peuvent être des obligations relevant du droit suisse ainsi que de dispositions étrangères auxquelles nous sommes soumis, par exemple des autorégulations, des normes sectorielles, la propre «gouvernance d’entreprise» et des instructions et requêtes des autorités.
Nous traitons aussi des données pour la conclusion du contrat, y compris pour l’information sur les risques, ainsi que pour l’exécution du contrat et sa gestion. Nous traitons également des données pour régler des cas de sinistre ou des cas de prestation et pour faire valoir des prétentions récursoires. Dans ce cadre, nous pouvons également établir des profils (cf. ch. 5). De plus, nous traitons des données dans le cadre de renseignements juridiques dispensés par téléphone à nos assurés (Orionline). A des fins de contrôle de qualité et de formation interne certains appels peuvent être enregistrés.
Dans le cadre de la conclusion du contrat, des données personnelles – en particulier données de base, données contractuelles, données financières et données de communication – de clients possibles sont collectées pour le conseil et l’examen du risque (dans un formulaire de proposition p. ex.). La conformité de ces données aux prescriptions légales est vérifiée (par exemple respect des dispositions relatives à la lutte contre le blanchiment d’argent et contre la fraude). Dans le cadre de la conclusion du contrat, dans certaines circonstances, nous traitons aussi des données sensibles, telles que des données sur la santé, pour le conseil, l’examen du risque et le calcul de la prime.
Dans le cadre de la gestion des relations contractuelles, nous traitons des données pour gérer la relation client, régler les cas de sinistre et de prestation, pour le conseil et pour le service à la clientèle (y compris pour évaluer et documenter la rémunération des intermédiaires). L’examen des cas de sinistre et de prestation en fait partie. En particulier, nous traitons aussi des données des sinistres, y compris des données sur la santé, des données que nous obtenons de tiers, tels que les experts externes et les médecins (vous trouverez des informations complémentaires à ce sujet au ch. 3), ainsi que d’autres données qui sont générées ou requises à ces fins. Dans un cas de sinistre ou de prestation, en cas de recours contre un tiers civilement responsable (ou son assureur responsabilité civile), il est possible que les données requises à cet effet soient traitées et communiquées. La revendication de droits découlant de contrats (encaissement, procédures en justice, etc.) fait également partie de l’exécution, au même titre que la comptabilité, la fin des contrats et la communication officielle.
Pour la conclusion du contrat et l’exécution des relations contractuelles, nous recourons à des tiers, par exemple à des sociétés de services informatiques et de logistiques, des prestataires de services publicitaires, des banques, d’autres assurances ou services d’informations sur les crédits, qui, de leur côté, peuvent nous transmettre des données.
Dans le cadre de la collaboration avec des entreprises et des partenaires commerciaux, par exemple des partenaires dans des projets ou des parties dans des litiges, nous traitons également des données à des fins de conclusion et d’exécution du contrat, de planification, de comptabilité et à d’autres fins en lien avec le contrat.
En outre, nous traitons des données afin de prévenir et d’identifier des usages abusifs de l’assurance, de prévenir des cas de sinistre et de prestation et pour des procédures juridiques, aux fins de notre gestion des risques et dans le cadre d’une gestion prudente de l’entreprise, y compris de l’organisation de l’exploitation et du développement de l’entreprise.
À cette fin, nous traitons en particulier les données de base, les données contractuelles et les données des sinistres, les données financières, ainsi que les données relatives au comportement et aux communications. Par exemple, nous sommes tenus de prendre des mesures contre l’usage abusif de l’assurance. Ces mesures incluent des clarifications en cas de sinistre ou de prestation, également auprès de tiers, tels que médecins et experts,. Aux fins précitées et afin de vous et de nous protéger contre des actes délictuels ou abusifs, nous pouvons également établir des profils et les traiter (voir également à ce sujet le ch. 5).
Nous traitons également vos données dans le cadre d’ études de marché, pour améliorer nos prestations de services et notre exploitation et pour développer nos produits.
Nous nous efforçons d’améliorer constamment nos produits et prestations de services et de réagir rapidement aux évolutions des besoins. C’est pourquoi nous effectuons des analyses, par exemple pour savoir quels produits sont utilisés par quels groupes de personnes et de quelle façon, et savoir comment nous pouvons concevoir nos nouveaux produits et prestations de services. Ces analyses nous renseignent sur l’acceptation des produits et prestations de services existants par le marché et sur le potentiel de nouveaux produits et prestations sur le marché. À cet effet, nous traitons non seulement vos données de base, vos données relatives à votre comportement et à vos préférences, mais aussi des données de communication et des données provenant d’enquêtes clients, de sondages et d’études, ainsi que d’autres informations, par exemple dans les médias, les réseaux sociaux, sur Internet ou provenant d’autres sources publiques. Néanmoins, dans la mesure du possible, nous utilisons à cette fin des données pseudonymisées ou anonymisées. Nous pouvons aussi solliciter des services d’observation des médias ou les observer nous-mêmes et, dans ce cadre, traiter des données personnelles afin d’exploiter le travail des médias ou comprendre les évolutions et tendances actuelles et réagir à ces dernières.
Comme toutes les entreprises concurrentes, nous traitons également des données, telles que les données de base, les données contractuelles, les données sur le comportement, sur les préférences et sur les communications également à des fins de marketing, par exemple pour personnaliser et communiquer des informations sur nos produits et prestations de services et ceux de tiers, et pour entretenir les relations. Vous pouvez refuser ces contacts à tout moment (voir à la fin de ce ch. 4).
Par exemple, nous vous communiquons des informations, de la publicité et des offres pour nos produits et ceux de tiers dans le domaine de l’assurance et d’autres domaines, ainsi que des newsletters et d’autres communications, imprimées ou par téléphone. Ces communications ont également lieu dans le cadre d’actions marketing isolées (p. ex. manifestations, concours, etc.). Nous personnalisons certaines de ces communications afin de vous communiquer des informations individualisées et vous soumettre des offres qui correspondent à vos besoins et centres d’intérêt. Nous les associons à des données que nous traitons à votre sujet, nous générons des données sur les préférences que nous utilisons comme base pour la personnalisation (cf. ch. 3). Nous pouvons également établir des profils (cf. ch. 5) à des fins de marketing. Nous traitons aussi des données dans le cadre de concours, jeux et manifestations similaires. Les mesures de suivi des clients comprennent aussi le contact des clients existants – le cas échéant, personnalisé à partir des données sur le comportement et les préférences ou des données issues de sondages clients – et la réalisation de manifestations clients (p. ex. sponsoring , manifestations sportives et culturelles et événements publicitaires). Pour les manifestations clients, nous traitons des données personnelles pour l’organisation des manifestations, mais aussi pour informer les participants et leur communiquer des informations et de la publicité avant, pendant et après leur organisation.
Tous ces traitements sont importants pour nous afin de mettre en avant nos offres de la façon la plus adaptée à vos besoins, pour personnaliser nos relations avec les clients et d’autres tiers et utiliser efficacement nos moyens.
Vous pouvez à tout moment vous opposer au traitement à des fins de marketing en nous en informant par message. En sont exclus les messages générés automatiquement qui ne peuvent pas être personnalisés, comme par exemple les textes des factures. Vous trouverez des informations complémentaires sur vos droits au ch. 10.
Nous pouvons également traiter vos données à des fins de sécurité et de contrôle des accès.
Nous contrôlons et améliorons constamment le niveau de sécurité approprié de nos installations, de nos bâtiments et de notre équipement informatique. Pour cela, nous traitons des données, par exemple en lien avec la surveillance des bâtiments et des locaux accessibles au public. La garantie d’une sécurité appropriée est également très importante pour les produits digitalisés. Comme toutes les entreprises, une sécurité de pointe ne permet pas d’exclure des violations de la sécurité des données mais nous faisons notre possible pour réduire les risques. Par conséquent, nous traitons des données, par exemple afin de surveiller, contrôler, analyser et tester nos réseaux et infrastructures informatiques, afin de contrôler les systèmes et les erreurs, à des fins de documentation et dans le cadre des copies de sécurité.
Nous pouvons traiter vos données à d’autres fins, par exemple dans le cadre de nos processus internes et de notre administration.
Ces autres fins comprennent par exemple des fins d’enseignement et de formation, des fins administratives (p. ex. l’administration des données de base, la comptabilité et l’archivage des données ou l’administration des biens immobiliers et le contrôle, l’administration et l’amélioration constante de l’infrastructure informatique), la sauvegarde de nos droits (p. ex. pour faire valoir des droits par voie judiciaire, pré-judiciaire ou extrajudiciaire ou pour nous défendre contre des prétentions, p. ex. par une consignation des preuves, par des clarifications juridiques et par la participation à une procédure judiciaire ou administrative), l’évaluation et l’amélioration des processus internes et, de façon générale, la réalisation de statistiques et d’analyses anonymes. Dans le cadre du développement de l’entreprise, nous pouvons aussi vendre des activités, des parties de l’entreprise ou l’entreprise à d’autres entreprises ou effectuer des acquisitions auprès d’elles, ou bien nouer des partenariats, ce qui peut donner lieu à l’échange et au traitement de données (également les vôtres, p. ex. en tant que client, fournisseur ou représentant d’un fournisseur). Cela inclut également la défense d’autres intérêts légitimes, dont l’énumération ne peut être exhaustive.
Si nous vous demandons votre consentement pour certains traitements, nous vous informons spécifiquement des finalités du traitement. Vous pouvez révoquer à tout moment votre consentement en nous en informant par écrit; vous trouverez nos coordonnées au ch. 2. Une fois que nous avons reçu le message de révocation de votre consentement, nous ne traiterons plus vos données aux finalités indiquées, sauf si nous avons un autre fondement juridique pour le faire. La révocation de votre consentement n’affecte pas la légalité du traitement effectué en vertu du consentement jusqu’à la révocation.
Nous fondons le traitement de vos données personnelles sur le fait que celui-ci est nécessaire pour préparer et exécuter le contrat avec vous ou le service représenté par vous (p. ex. traitement des données de base, des données de transactions, des données financières et des données sur le risque pour examiner la demande, prévenir la fraude, vérifier la solvabilité et la capacité de crédit, exécuter des transactions, etc.), sur le fait que celui-ci est légalement prescrit ou autorisé, sur le fait qu’il est nécessaire pour nos intérêts légitimes et ceux de tiers (p. ex. traitement à des fins administratives ou de sécurité, pour vérifier la solvabilité et à des fins d’études de marché, de marketing, d’amélioration de nos prestations et de développement des produits) ou sur le fait que vous avez consenti au traitement.
Si nous recevons des données sensibles (par exemple données sur la santé), dans la mesure où cela est nécessaire, nous pouvons également traiter ces données sur d’autres fondements juridiques, par exemple en cas de désaccords sur la nécessité du traitement pour une éventuelle procédure ou pour exercer ou défendre des droits. Dans certains cas individuels, d’autres raisons juridiques peuvent être invoquées, que nous vous communiquons séparément si nécessaire.
Aux fins énoncées au ch. 4, nous pouvons traiter et analyser vos données (ch. 3) de façon automatisée, c.-à-d. assistée par ordinateur afin d’obtenir des données sur les préférences, afin d’identifier des risques d’abus et de sécurité, d’effectuer des analyses statistiques ou à des fins de planification opérationnelle. Ces processus de traitement incluent également l’établissement de profils («profiling»).
Les établissements de profils sont des traitements automatisés de données à des fins d’analyses et de prévisions. Les principaux exemples sont l’établissement de profils afin de lutter contre le blanchiment d’argent, le financement du terrorisme et les abus , de vérifier la solvabilité, de mesurer les risques de façon individualisée et de les évaluer en tant que base de calcul nécessaire pour le contrat d’assurance, pour conseiller le client et à des fins de marketing. Nous pouvons établir des profils aux mêmes fins. Cela veut dire que nous pouvons combiner des données sur le comportement et sur les préférences, ainsi que des données de base et des données contractuelles avec des données techniques qui vous sont attribuées afin de mieux vous comprendre en tant que personne avec vos différents centres d’intérêt et besoins personnels. Dans les deux cas, nous veillons à la proportionnalité et à la fiabilité des résultats et nous prenons des mesures contre toute utilisation abusive de ces profils ou d’un profiling.
Pour garantir l’efficacité et l’uniformité de nos processus décisionnels, nous pouvons prendre certaines décisions de façon automatisée, c.-à-d. assistée par ordinateur, selon des règles définies et sans qu’elles ne soient contrôlées par un collaborateur.
Dans tous les cas, nous vous informons lorsqu’une décision automatisée a des conséquences juridiques négatives ou crée un préjudice considérable comparable. Dans ce cas, si vous n’êtes pas d’accord avec le résultat de la décision, vous pouvez exercer les droits cités au ch. 10.
Nos produits et prestations de services sont mis à disposition et gérés en collaboration avec des tiers et des prestataires, qui peuvent donc obtenir des donnés qui vous concernent. En particulier, en rapport avec les traitements des sinistres, des clarifications avec des tiers et, dans ce contexte, des communications de données peuvent être nécessaires. Vous trouverez ci-dessous un aperçu des catégories des destinataires auxquels nous pouvons communiquer des données personnelles. Vous trouverez des remarques complémentaires aux ch. 3 et 4.
Traitement des sinistres: dans le cadre du traitement des sinistres et des clarifications qui vont avec, des données personnelles sont communiquées à des tiers impliqués, par exemple à des autorités, des avocats, des experts et des services de renseignements.
Dans le cadre du traitement des sinistres et des clarifications s’y rapportant, des avocats des médecins et d’autres prestataires de services, des experts, des autorités, des tribunaux et des tiers appelés à fournir des renseignements, par exemple, peuvent être impliqués et, dans ce contexte, peuvent obtenir des données personnelles.
Autres assureurs: nous échangeons des données avec d’autres assureurs, par exemple des assureurs antérieurs, des coassureurs et des réassureurs ainsi qu’avec des organismes d’assurance sociale.
Dans l’intérêt de tous les preneurs d’assurance, un échange de données a lieu avec des assureurs antérieurs, des coassureurs et des réassureurs en Suisse et à l’étranger en vue de l’examen du risque et de sa répartition. Par exemple, nous demandons à des assureurs antérieurs, en leur communiquant vos données personnelles (p. ex. nom, prénom, adresse et date de naissance), si un sinistre était assuré chez eux et s’ils ont fourni des prestations. Nous pouvons aussi échanger des données avec des assureurs sociaux ou des assureurs responsabilité civile, en particulier en cas de recours. Dans le cadre du traitement des sinistres, nous pouvons également – le cas échéant, avec votre consentement donné séparément – échanger des données connexes avec d’autres assureurs. Vous trouverez de plus amples informations à ce sujet aux ch. 3 et 4.
Médiation en matière d’assurance: nous communiquons à des intermédiaires d’assurance (p. ex. des agences générales et d’autres intermédiaires liés et non liés) les données dont ils ont besoin pour votre suivi et votre conseil et pour la commercialisation de nos produits.
Ces données comprennent par exemple, en plus des données de base, des données sur la durée du contrat, sur l’exécution du contrat et la fin du contrat, la somme d’assurance et la couverture, des informations sur le calcul de l’indemnisation et pour la commercialisation – notamment personnalisée – de nos produits. Les intermédiaires sont légalement et contractuellement tenus de respecter les dispositions de la loi sur la protection des données.
Vérification d’adresses, examen de la solvabilité et recouvrement: nous pouvons recourir à des tiers pour vérifier des adresses, pour des examens de solvabilité et pour le recouvrement de créances.
Nous pouvons recourir à des tiers pour vérifier des adresses, pour des examens de solvabilité et pour le recouvrement de créances, auquel cas nous leur communiquons des données, par exemple sur des créances non recouvrées et votre comportement de paiement.
Autorités et offices: nous pouvons communiquer des données personnelles aux autorités, aux offices, aux tribunaux et à d’autres services officiels si nous sommes juridiquement tenus ou en droit de les communiquer ou si leur communication est nécessaire pour sauvegarder nos intérêts.
En lien avec l’exercice des droits, de la contestation de créances et de l’accomplissement des exigences juridiques, dans certaines circonstances, nous communiquons des données personnelles aux autorités, offices, tribunaux et autres services officiels, par exemple dans le cadre de procédures administratives, judiciaires, préjudiciaires et extrajudiciaires et dans le cadre d’obligations légales d’information et de collaboration. Des données sont également communiquées lorsque nous obtenons des informations de services officiels, par exemple en lien avec le traitement des sinistres. Les autorités sont responsables du traitement des données vous concernant que nous leur avons communiquées.
Autres personnes: s’il est recouru à des tiers aux fins du traitement selon le ch. 4, du fait de votre consentement donné séparément ou en raison d’exigences légales ou réglementaires, de directives et de recommandations émises par des autorités ou des réglementations internes, des données peuvent également être communiquées à d’autres destinataires.
Par exemple, nous pouvons communiquer des données à des personnes qui sont parties dans une procédure judiciaire ou administrative (p. ex. en cas de recours [voie de recours] contre un tiers civilement responsable ou son assureur responsabilité civile), aux potentiels acheteurs d’entreprises, de créances et d’autres actifs, à des sociétés de financement en cas de titrisations, ainsi qu’à d’autres tiers, au sujet desquels nous vous informons dans la mesure du possible, par exemple dans des lettres de consentement ou des mentions particulières relatives à la protection des données. Les autres personnes sont, en particulier, le bénéficiaire d’un paiement, les mandataires, les banques de correspondance, d’autres établissements financiers et d’autres services impliqués dans un acte juridique.
Prestataires: nous collaborons avec des prestataires en Suisse et à l’étranger, qui traitent, pour notre compte ou dans le cadre d’une responsabilité commune avec nous, des données vous concernant ou qui traitent de leur propre responsabilité des données vous concernant que nous leur avons communiquées. Les données sur la santé peuvent en faire partie.
Nous sollicitons des prestations de services de tiers afin de proposer nos produits et prestations de façon sûre et efficiente en termes de coûts et afin que nous puissions nous concentrer sur nos compétences. Ces prestations de services concernent par exemple les services informatiques, l’envoi d’informations, les services de marketing, de distribution, de communication, d’impression, les services de gestion, sécurité et nettoyage de bâtiments, les services d’organisation et de réalisation de manifestations et de réceptions, l’encaissement, les services de renseignements économiques, les mesures de lutte contre la fraude et les prestations de sociétés de conseil, de sociétés de révision et de prestataires de sinistres. Nous communiquons aux prestataires les données qui leur sont nécessaires pour fournir leurs prestations. C’est par exemple le cas des prestataires d’hébergement, qui conservent des données électroniques pour nous et, dans certaines circonstances, des données sensibles, comme par exemple des données sur la santé. Ces prestataires sont soumis aux obligations contractuelles et/ou légales de confidentialité et de protection des données respectives. Exceptionnellement, dans des cas justifiés, ils peuvent également utiliser ces données à leurs propres fins, par exemple des informations sur des créances non recouvrées et votre conduite de paiement en cas d’informations sur les crédits ou des données rendues anonymes, afin d’améliorer les prestations de services.
Dans la mesure autorisée par la loi, ces catégories de destinataires peuvent recourir de leur côté à des tiers et, ce faisant, mettre vos données à leur disposition.
Nous nous réservons le droit de communiquer ces données même s’il s’agit de données confidentielles.
Dans de nombreux cas, il est également nécessaire de communiquer des données confidentielles afin de pouvoir exécuter des contrats ou fournir des prestations. En général, les accords de confidentialité n’excluent pas de telles communications de données et n’excluent pas non plus leur communication à des prestataires. Néanmoins, en fonction de la sensibilité des données et d’autres circonstances, nous veillons à ce que ces tiers utilisent les données de façon raisonnable.
Nous permettons aussi à certains tiers de collecter des données personnelles vous concernant sur notre site web et lors de manifestations (p. ex. photographes de presse, prestataires d’outils qui sont reliés à notre site web, etc.). Dans la mesure où nous ne participons pas de façon déterminante à ces collectes de données, de telles collectes relèvent exclusivement de la responsabilité de ces tiers. Si vous avez des questions et pour faire valoir vos droits de protection des données, veuillez vous adresser directement à ces tiers.
Les communications de données précitées en Suisse et à l’étranger (cf. ch. 7) sont nécessaires pour des raisons juridiques ou opérationnelles. Par conséquent, les obligations de confidentialité légales et contractuelles ne s’opposent pas à ces communications de données.
Comme nous l’avons expliqué au ch. 6, vos données personnelles sont traitées non seulement par nos soins mais également par des tiers et des prestataires. Dans ce cadre, vos données peuvent également être communiquées à l’étranger, par exemple lors de la communication de données personnelles à des prestataires et, dans certaines circonstances, à des tiers qui participent à l’exécution du contrat, à des coassureurs et réassureurs, à des autorités et tribunaux ainsi qu’à d’autres services. Vos données peuvent donc être traitées dans le monde entier, même en dehors de l’UE ou de l’Espace économique européen (c.-à-d. également dans des pays tiers, p. ex. aux États-Unis). Actuellement, les lois de nombreux pays tiers ne garantissent pas le même niveau de protection des données que le droit suisse. Par conséquent, nous prenons des mesures contractuelles pour compenser par contrat ce niveau de protection légale inférieur. À cet effet, nous utilisons généralement les clauses contractuelles standard établies ou reconnues par la Commission européenne et le Préposé fédéral à la protection des données et à la transparence www.edoeb.admin.ch ), dès lors que le destinataire n’est pas déjà soumis à une réglementation légalement reconnue visant à garantir la protection des données et que nous ne pouvons pas nous fonder sur une clause d’exemption. Une exception peut être possible en cas de procédure judiciaire à l’étranger, et également en cas d’intérêts publics prépondérants ou dans les cas où une telle communication est exigée, si vous avez donné votre consentement ou s’il s’agit de données rendues publiques, dont vous ne pouvez vous opposer au traitement.
À l’heure actuelle, beaucoup d’États en dehors de la Suisse, de l’UE et de l’EEE ne possèdent pas de lois garantissant un niveau de protection des données approprié au regard de la LPD ou du RGPD. Les mesures contractuelles évoquées permettent de compenser en partie cette protection légale inférieure ou absente, mais elles ne permettent pas d’éliminer tous les risques (à savoir les risques d’interventions étatiques à l’étranger). Vous devez avoir conscience de ces risques résiduels, même si, au cas par cas, le risque peut être faible et nous prenons des mesures supplémentaires (p. ex. pseudonymisation ou anonymisation) pour les réduire au maximum.
Veuillez également noter que les données échangées sur Internet transitent souvent par des États tiers. De ce fait, vos données peuvent donc aussi se retrouver à l’étranger alors que l’expéditeur et le destinataire se trouvent dans le même pays.
Nous enregistrons vos données aussi longtemps que nos finalités de traitement, les délais de conservation légaux et nos intérêts légitimes dans le traitement à des fins de documentation et de preuve l’exigent ou qu’un enregistrement est techniquement nécessaire.
La durée de notre conservation des données dépend donc des prescriptions légales et internes et des finalités du traitement (cf. ch. 4), dont fait partie la sauvegarde de nos intérêts (p. ex.pour exercer des droits ou contester des prétentions, à des fins d’archivage et pour garantir la sécurité informatique).
Les fins de documentation et de preuve comprennent nos intérêts, processus, interactions et d’autres faits en cas de prétentions, désaccords, finalités de la sécurité de l’informatique et de l’infrastructure et la preuve d’une bonne gouvernance d’entreprise et d’une bonne compliance. Une conservation peut être nécessaire techniquement s’il est impossible de dissocier certaines données d’autres données et si nous sommes donc contraints de les conserver (p. ex. en cas de sauvegardes («backups») ou de systèmes de gestion de documents).
Nous traitons vos données de façon confidentielle et prenons des mesures de sécurité appropriées, de nature technique et organisationnelle, afin de préserver la confidentialité, l’intégrité et la disponibilité de vos données personnelles, de les protéger contre tout traitement non autorisé ou illicite et de prévenir le risque de perte, de modification imprévue, de divulgation non intentionnelle ou d’accès non autorisé. Nous nous alignons sur des normes de sécurité reconnues, telles que la norme ISO 27001.
Nos mesures de sécurité incluent des mesures telles que le codage et la pseudonymisation des données, l’établissement de procès-verbaux, les restrictions d’accès, l’enregistrement de copies de sécurité, des directives à nos collaborateurs, des accords de confidentialité, des contrôles, etc. Nous obligeons également nos gestionnaires à prendre des mesures de sécurité appropriées. Cependant, de manière générale, les risques de sécurité ne peuvent pas être totalement exclus; certains risques résiduels sont inévitables.
Nous protégeons vos données personnelles transmises sur nos sites web pendant leur transport par des mécanismes de codage adéquats. Néanmoins, nous ne pouvons sécuriser que les domaines que nous contrôlons.
Quand vous nous contactez par e-mail, c’est vous qui prenez un risque et vous acceptez que nous vous répondions à l’adresse de l’expéditeur via le même canal. Si vous nous envoyez des e-mails non codés sur Internet, il est possible que des tiers puissent accéder à ces e-mails, les consulter et les manipuler.
Par ailleurs, nous prenons des mesures de sécurité appropriées aux plans technique et organisationnel afin de réduire le risque sur nos sites Internet. Toutefois, votre terminal se trouve dans une zone de sécurité que nous ne contrôlons pas. Par conséquent, vous êtes tenu de vous renseigner sur les mesures de sécurité requises et de prendre des mesures appropriées à cet égard.
Dans certaines circonstances, le droit de la protection des données applicable vous confère le droit de vous opposer au traitement de vos données, en particulier à des fins de marketing direct, à l’établissement de profils exploités pour la publicité directe, ainsi que d’autres intérêts légitimes.
Afin de vous simplifier le contrôle du traitement de vos données personnelles, vous possédez différents droits en lien avec notre traitement des données:
• le droit de nous demander si nous traitons vos données et quelles données vous concernant nous traitons;
• le droit de nous demander de rectifier vos données si celles-ci sont incorrectes;
• le droit de vous opposer à notre traitement à certaines finalités et de demander la suppression de vos données dès lors que nous n’avons pas l’obligation ou le droit de poursuivre le traitement;
• le droit de nous demander de communiquer certaines données personnelles dans un format électronique courant ou de nous demander leur transmission à un autre responsable;
• le droit de révoquer unconsentement, dès lors que notre traitement est fondé survotre consentement.
Si nous vous informons d’une décision automatisée (ch. 5),vous avez le droit d’exprimer votre point de vue et de demander la vérification de la décision par une personne physique.
Veuillez noter que certaines conditions doivent être réunies pour pouvoir exercer ces droits et que des exceptions ou des restrictions peuvent s’appliquer (p. ex. pour protéger des tiers ou des secrets commerciaux). Nous vous en informerons le cas échéant.
En particulier, nous sommes tenus de traiter et d’enregistrer vos données personnelles afin d’exécuter un contrat avec vous, de défendre des propres intérêts dignes de protection, tels que la revendication, l’exercice et la défense de droits, ou de respecter des obligations légales. Par conséquent, dès lors que la loi le permet, en particulier pour protéger les droits et les libertés d’autres personnes concernées et pour sauvegarder des intérêts dignes de protection, nous pouvons refuser une requête de personnes concernées en totalité ou en partie (p. ex. en noircissant certains contenus qui concernent des tiers ou nos secrets commerciaux).
Si vous voulez exercer vos droits à notre encontre, veuillez nous contacter par écrit (cf. ch. 2). Afin d’exclure tout abus, nous devons vérifier votre identité (p. ex. au moyen d’une copie d’une pièce d’identité si cela n’est pas possible autrement). Vous possédez aussi ces droits à l’encontre d’autres services qui collaborent de leur propre responsabilité avec nous. Si vous voulez exercer des droits en lien avec le traitement effectué par ces services, veuillez les contacter directement.
Si vous n’êtes pas d’accord avec notre traitement de vos droits ou la protection des données, veuillez en informer le service cité au chiffre 2. Vous pouvez contacter l’autorité suisse de surveillance aux adresses suivantes: Pour la Suisse: www.edoeb.admin.ch
La présente déclaration relative à la protection des données personnelles n’est pas une partie intégrante du contrat conclu avec vous. Nous pouvons la modifier à tout moment. La version publiée sur ce site web est la version en vigueur.