Déclaration de protection des données de Zurich Suisse Services SA

SkyKey

Déclaration de protection des données de Zurich Suisse Services SA

Zurich Suisse Services SA collecte, enregistre et traite les données personnelles de ses clients et de tiers dans la mesure où cela est nécessaire.

Notre déclaration de protection des données de Zurich Suisse Services SA explique en détail quelles données sont collectées par Zurich Suisse Services SA, pourquoi elles le sont et comment vous pouvez influencer l'utilisation de vos données.

1. De quoi est-il question dans la présente déclaration de protection des données personnelles?

Zurich Suisse Services SA, c/o Zurich Compagnie d’Assurances SA, Hagenholzstrasse 60, 8050 Zurich («ZUSAG»; ci-après également désignée par «nous»; cf. chiff. 2) traite des données personnelles qui vous concernent ou qui concernent d’autres personnes (les «tiers»). Vous trouverez de plus amples informations sur ZUSAG au chiff. 2.

Les «données personnelles» (également appelées «données à caractère personnel») désignent des données qui se rapportent à une personne définie ou définissable, c’est-à-dire qu’il est possible d’identifier cette personne à partir des données elles-mêmes ou de données complémentaires correspondantes. Les «données sensibles» (également appelées «catégories particulières de données personnelles») sont une catégorie de données personnelles dont le traitement peut être soumis à des exigences particulières. Par exemple, sont considérées comme des données sensibles les données desquelles découlent l’origine ethnique, les données de santé, les données relatives aux convictions religieuses ou philosophiques, les données biométriques à des fins d’identification et les données concernant l’appartenance à un syndicat. Le point 3 contient des informations sur les données que nous traitons dans le cadre de la présente déclaration de protection des données. 

Le «traitement» désigne toute utilisation des données personnelles, par exemple l’obtention, l’enregistrement, l’emploi, la communication et la suppression. 

La présente déclaration de protection des données contient des informations sur le traitement, par nos soins, de données liées à nos prestations de services (nous employons ici le terme «données», qui a la même signification que «données personnelles»). Le traitement concerne par ex. les personnes suivantes (désignées ci-après par «vous»): les prospects et cocontractants dans le cadre de contrats, les interlocuteurs des clients entreprises, les fournisseurs et partenaires, les personnes impliquées dans l’organisation de distribution de la Zurich Compagnie d’Assurances SA («ZIC»), ainsi que les interlocuteurs des autorités et des offices.

Vous trouverez des informations complémentaires sur notre gestion des données en particulier dans les informations figurant sur zurich.ch, dans les informations concernant chaque prestation respective et dans les dispositions contractuelles correspondantes. Pour certains produits, prestations et offres, vous trouverez des informations complémentaires sur les traitements des données notamment dans les autres déclarations de protection des données et informations qui s’appliquent en plus de la présente déclaration de protection des données, disponibles sur www.zurich.ch/protection-des-donnes

Afin de faciliter la lecture de la présente déclaration de protection des données, nous utilisons uniquement des formulations au masculin, mais elles englobent bien évidemment les personnes de tous les sexes.

Nous restons à votre disposition pour répondre à vos questions (chiff. 2).

2. Qui est responsable du traitement de vos données?

La responsabilité des traitements des données selon la présente déclaration de protection des données incombe à ZUSAG, sauf communication contraire au cas par cas, par exemple dans d’autres déclarations de protection des données, sur des formulaires ou dans les conditions contractuelles. ZUSAG est une société anonyme de droit suisse.

Pour chaque traitement des données, un ou plusieurs service(s) assume(nt) la responsabilité principale de veiller à ce que le traitement des données respecte les prescriptions légales en matière de protection des données. Cette entité est appelée «responsable». Ce dernier est notamment responsable de répondre aux demandes de renseignements (chiff. 10) ou de garantir que les données personnelles sont sécurisées et qu’elles ne seront pas utilisées dans des finalités autres que celles que nous vous communiquons ou qui sont autorisées par la loi. Vous trouverez des informations sur les tiers avec lesquels nous coopérons et qui sont responsables de leurs traitements de leur côté aux chiff. 3 et 6.

Si vous souhaitez nous contacter à ce sujet, n’hésitez pas à nous contacter à l’adresse mentionnée (ch. 1). Cependant, pour que nous puissions traiter au mieux votre demande, merci d’utiliser l’adresse suivante:

Zurich Suisse Services SA
c/o Zurich Compagnie d’Assurances SA
Hagenholzstrasse 60
Case postale
8050 Zurich 
datenschutz.zvolt@zurich.ch

Vous pouvez faire valoir vos droits en faisant parvenir la demande correspondante accompagnée d’une photocopie d’un document d’identité par e-mail à l’adresse suivante: datenschutz.zvolt@zurich.ch.

Dans certains cas, nous transmettons également les données à des tiers responsables, p. ex. ZIC en tant que responsable de la distribution, les sociétés du groupe Zurich, les autorités ou d’autres entités. Vous trouverez de plus amples informations à ce sujet aux chiff. 4 et 6 de la présente déclaration de protection des données.

3. Quelles données traitons-nous?

Selon la situation et la finalité, nous traitons différentes données provenant de différentes sources. Vous trouverez des informations sur les finalités du traitement au chiff. 4.

Nous collectons ces données en premier lieu directement auprès de vous, par exemple quand vous nous transmettez une proposition pour un contrat, quand vous communiquez avec nous ou quand vous entrez en contact avec nous directement ou par le biais d’un partenaire de distribution. Cependant, nous pouvons aussi collecter des données qui proviennent d’autres sources (de «tiers»). Vous trouverez des informations complémentaires à ce sujet ci-dessous.

Nous traitons avant tout les catégories de données décrites ci-dessous, cette énumération n’étant pas exhaustive. En cas de modification des données dans le temps (p. ex. en cas de changement d’adresse ou d’une autre modification), nous pouvons les conserver dans leur état actuel et antérieur.

Données de base: Nous appelons données de base les données fondamentales dont nous avons besoin, en plus des données contractuelles (voir ci-dessous), pour le traitement de nos relations contractuelles et autres relations commerciales ainsi qu’à des fins de marketing ou de publicité. Nous traitons vos données de base si, par exemple, vous êtes un cocontractant ou un interlocuteur de notre cocontractant ou un collaborateur d’un fournisseur, ou parce que nous voulons vous contacter pour nos propres finalités ou pour les finalités d’un cocontractant (p. ex. dans le cadre d’opérations marketing et de publicité, par des invitations à des événements, des bons, des newsletters, etc.; vous trouverez de plus amples informations à ce sujet au chiff. 4).

Les données de base comprennent en premier lieu les données comme le nom, l’adresse, l’adresse e-mail, le numéro de téléphone et d’autres données de contact, la date de naissance et le lieu, l’âge, le sexe, la nationalité et le lieu d’origine, d'autres données figurant sur les documents d’identification (sur votre passeport ou votre carte d’identité, par exemple) ou votre numéro client.

Les données concernant les relations avec des tiers qui sont également concernés par le traitement des données, qui comprennent notamment les données sur les destinataires de la correspondance et les autres personnes impliquées dans le contrat, ou sur les membres de la famille.

S’agissant des clients et autres cocontractants qui sont des entreprises, nous traitons des données concernant nos interlocuteurs, par exemple le nom et l’adresse, les données sur les titres, la fonction dans l’entreprise, les qualifications et, éventuellement, des données sur les supérieurs hiérarchiques et les collaborateurs. Selon le secteur d’activité, nous sommes également tenus d’examiner en détail l’entreprise en question et ses employés, par exemple en effectuant un contrôle de sécurité. Dans ce cas, nous collectons et traitons des données complémentaires, éventuellement de prestataires tiers également. Nous recevons fréquemment de votre part des données de base, dans le cadre de la conclusion d’un contrat par ex., et dans certaines circonstances, nous collectons également des données de tiers, par exemple de prestataires de services d’actualisation d’adresses ou du registre de commerce.

Données de contrat: Il s’agit d’informations en lien avec la conclusion du contrat (ou le conseil par ex.) ou l’exécution du contrat, qui peuvent également inclure des données portant sur des tiers. Nous pouvons aussi obtenir de telles données d'autres entités telles que des partenaires de distribution, des autorités et offices, des employeurs, des assureurs ou des banques, le cas échéant sur la base d’une procuration correspondante.

Ces données incluent notamment les informations sur la conclusion du contrat, les contrats eux-mêmes (p. ex. le type et la date de la conclusion ou d’autres renseignements sur le contrat concerné), des informations issues de l’administration, de l’exécution et de l’application des contrats (p. ex. données en lien avec la facturation, le conseil, le service à la clientèle, les paiements, les rappels, les encaissements et le recouvrement de créances). Les données contractuelles incluent aussi les données sur les réclamations et les avenants à un contrat, ainsi que les données sur la satisfaction clients, que nous pouvons collecter par le biais de sondages, par exemple.

Données relatives au comportement et aux préférences: Nous nous efforçons d’apprendre à mieux vous connaître malgré notre grand nombre de clients afin de vous proposer un conseil et des offres qui vous correspondent au mieux. Pour ce faire, nous pouvons traiter certaines données à votre sujet et concernant votre comportement. Par données de comportement, nous entendons les données concernant votre attitude dans le cadre de vos interactions avec nous. Nous pouvons associer ces données à d’autres données – également des données de tiers – et déterminer à partir de ces données si vous pourriez être intéressé par certains produits ou prestations de services de Zurich ou pourriez en avoir besoin (données de préférence).

Les données de comportement désignent les données relatives à certains actes, par exemple les données sur des paiements, sur l’utilisation des messages électroniques (par exemple si et quand vous avez ouvert un e-mail), sur votre utilisation de nos sites web (par exemple votre lieu et d’autres informations si vous utilisez l’un de nos sites; veuillez observer à cet effet les mentions correspondantes séparées relatives à la protection des données), sur l’utilisation de nos produits et prestations de services, sur votre interaction avec nos profils sur les réseaux sociaux, sur vos contacts avec des partenaires de distribution et sur votre participation à des événements, des jeux, des concours et des manifestations similaires. Vous trouverez des informations complémentaires sur le traitement des données de comportement en lien avec notre site web sur www.zurich.ch/protection-des-donnes.

Les données de préférence nous informent par exemple de vos besoins, des produits ou prestations susceptibles de vous intéresser et des heures auxquelles vous réagissez à nos communications et comment, afin que nous puissions mieux vous connaître, mieux personnaliser nos conseils et nos offres et améliorer nos offres de façon générale. Nous obtenons ces données à partir de l’analyse des données existantes, par exemple les données de comportement. Pour améliorer la qualité de nos analyses, nous pouvons établir un lien entre ces données et d’autres données anonymes ou personnelles que nous pouvons également obtenir auprès de tiers tels que la poste, les bureaux de renseignements, des sites Internet et des offices.

Données de communication: Il s’agit des données concernant notre communication avec vous. Lorsque vous nous contactez via le formulaire de contact, par e-mail, par téléphone ou sur le chat, par courrier ou par tout autre moyen de communication, nous traitons les données échangées avec vous, vos données de base (p. ex. la durée d’une éventuelle relation contractuelle, le numéro client, etc.) et d’autres données sur la communication. Nous vous informons lorsque nous enregistrons les appels téléphoniques. Si nous souhaitons ou voulons vérifier votre identité, p. ex. pour répondre à une demande d’information, une demande d’accès aux médias, etc., nous collectons des données nous permettant de vous identifier (p. ex. une copie d’une pièce d’identité).

Les données de communication comprennent votre nom et vos coordonnées, le type, la manière, le lieu et l’heure de la communication et son contenu, par exemple des informations dans les e-mails ou courriers que vous recevez de tiers ou envoyez à des tiers, pour autant que celles-ci vous concernent. Nous enregistrons les données de communication, par exemple quand vous nous contactez via le Service à la clientèle, le Conseiller à la clientèle, un site web, une application ou un chatbot sur Internet.

Nous traitons d'autres données suivant le produit ou le service concerné, à savoir: Dans le cadre de la mise à disposition et de l’exploitation de l'application Z Volt, nous traitons d’autres données contractuelles collectées au moment de l’enregistrement. Celles-ci comprennent notamment les informations sur la plaque de contrôle ou sur une relation client existante avec la ZIC ou avec nos partenaires, par exemple pour vérifier le droit à un rabais. Par ailleurs, nous traitons les données sur la consommation d’électricité, les informations de paiement et les données concernant l’installation et l’utilisation de l’application Z Volt, par exemple concernant le navigateur et l’appareil utilisés, et des informations approximatives sur l’emplacement de l’accès ou la catégorie d’âge. Nous utilisons ces données de façon anonyme et recourons pour ce faire à des prestataires tels qu’entre autres Google pour Google Analytics ou Tealium. Dans le cadre de la mise à disposition et de l’exploitation de l’application Z Volt, il se peut également que nous communiquions des données personnelles dans la mesure nécessaire à notre partenaire autoSense AG, Badenerstrasse 141, 8004 Zurich.

Autres données: Nous collectons également des données dans d’autres situations que nous ne pouvons pas mentionner de façon exhaustive dans la présente déclaration de protection des données.

Les procédures administratives ou judiciaires génèrent des données (p. ex. des pièces ou éléments de preuve) qui peuvent aussi vous concerner. Nous pouvons également collecter des données pour des raisons de protection de la santé (p. ex. dans le cadre de concepts de protection). Nous pouvons obtenir ou réaliser des photos, des vidéos et des enregistrements audios dans lesquels vous pouvez être identifiable (p. ex. lors d’événements, par des caméras de sécurité, etc.). Nous pouvons aussi collecter des données permettant de savoir qui pénètre quand dans certains bâtiments ou possède les droits d’accès correspondants (y compris en cas de contrôles des accès, sur la base des données d’enregistrement ou des listes des visiteurs, etc.), qui participe quand à des manifestations ou actions (concours p. ex.) ou qui utilise quand nos systèmes et notre infrastructure.

Nous recueillons les données précédemment citées auprès de vous et dans certaines circonstances auprès d’autres services.

Il s’agit par exemple d’autres entreprises du Groupe Zurich et des partenaires de distribution, de bureaux de renseignements économiques, de sociétés d’observation des médias, de prestataires de services financiers et de banques depuis lesquels vous nous transférez des actifs ou effectuez des versements, de fournisseurs d’adresses, de services d’analyses Internet, d’autorités, d’autres assureurs, de parties à une procédure et de sources publiques telles que le registre de commerce, de médias et de sources en ligne, de registres publics, etc.

Les données que nous traitons en vertu de la présente déclaration de protection des données concernent non seulement nos clients mais aussi parfois des tiers (vous trouverez des remarques à ce propos au chiff. 1). Si vous nous transmettez des données relatives à des tiers, nous partons du principe que vous y êtes autorisé et que ces données sont exactes. Votre transmission des données relatives à des tiers vaut confirmation de ces suppositions. Par conséquent, veuillez informer ces tiers du traitement de leurs données par nos soins et leur transmettre une copie de la présente déclaration de protection des données. Si nous vous informons de l’existence de nouvelles versions de ces documents, veuillez leur transmettre également ces nouvelles versions.

Vous n’êtes pas contraint de nous communiquer des données à l’exception de certains cas, p. ex. dans le cadre de concepts de protection contraignants (obligations légales). Cependant, pour des raisons juridiques et opérationnelles, nous devons parfois traiter des données pour justifier et gérer le rapport contractuel. Si vous ne voulez pas mettre ces données à notre disposition (en particulier les données de base, les données contractuelles et les données de comportement en général), nous ne serons pas en mesure d’examiner, de conclure ou de poursuivre un rapport contractuel. Pour utiliser notre site Internet, le traitement de certaines données techniques est indispensable. Si vous souhaitez accéder à certains systèmes ou bâtiments, vous devez nous communiquer vos données d’enregistrement.

L’utilisation de certaines offres nécessite parfois un enregistrement, par exemple si vous acceptez une invitation à un événement ou que vous vous connectez à notre site. Si vous ou une personne que vous représentez (votre employeur p. ex.) voulez conclure ou exécuter un contrat avec nous, nous devons obtenir de votre part les données de base, les données contractuelles et les données de communication appropriées, et nous traitons des données techniques si vous utilisez notre site Internet ou d’autres offres électroniques. Si vous ne nous communiquez pas les données nécessaires à la conclusion du contrat et à son exécution, vous devez vous attendre à ce que nous refusions de conclure le contrat, à ce que vous soyez susceptible de violer un contrat ou à ce que nous ne puissions pas exécuter un contrat. De même, nous pouvons vous envoyer une réponse à une demande que vous avez effectuée uniquement si nous traitons les données de communication correspondantes et – si vous communiquez avec nous en ligne – également les données techniques. De plus, l’utilisation de notre site Internet est impossible si nous n’obtenons pas les données techniques. Quand nous interagissons ensemble, des données de comportement sont générées.

4. Dans quelles finalités traitons-nous vos données?

Nous traitons vos données personnelles notamment dans les finalités suivantes et d’autres finalités y afférentes:

Nous traitons les données personnelles afin de satisfaire aux exigences légales et réglementaires et de respecter les lois, directives et recommandations des autorités et les réglementations internes («compliance»).

Dans certains cas, il se peut que nous soyons tenus d’enquêter un peu sur vous («Know Your Customer», p. ex. pour appliquer des dispositions en matière de sanctions). D’autres obligations telles que les obligations d’archivage, l’assistance dans la prévention, la constatation et la clarification de délits et d’autres infractions peuvent elles aussi nécessiter le traitement de données à caractère personnel. Cela inclut la réception et le traitement des réclamations et d’autres communications, la surveillance de la communication, les enquêtes ou la présentation de documents à une autorité, lorsque nous avons une raison objective de le faire ou que nous y sommes tenus par la loi. Dans ce contexte, nous traitons en particulier des données de base, des données contractuelles, des données de communication et dans certains cas des données de comportement. Les obligations juridiques peuvent être des obligations relevant du droit suisse ainsi que de dispositions étrangères auxquelles nous sommes soumis, par exemple des réglementations internes, des normes sectorielles, la propre «gouvernance d’entreprise» et des instructions et requêtes des autorités.

Nous traitons aussi des données pour la conclusion du contrat, y compris pour l’information sur les risques, ainsi que pour l’exécution du contrat et sa gestion. Dans ce contexte, nous pouvons également établir des profils (cf. chiff. 5).

Dans le cadre de la préparation et de la conclusion du contrat, nous collectons des données personnelles – notamment des données de base, des données contractuelles et des données de communication – sur les clients potentiels (y compris par le biais de l’organisation de distribution de ZIC).

Dans le cadre de la gestion des relations contractuelles, nous traitons des données relatives à la fourniture et à l’obtention de prestations, la gestion de la relation client et le service à la clientèle (y compris pour évaluer et documenter la rémunération des partenaires de distribution). La revendication de droits découlant de contrats (encaissement, procédures en justice, etc.) fait également partie de l’exécution, au même titre que la comptabilité, la résiliation des contrats et les communications officielles.

Pour la conclusion du contrat et l’exécution des relations contractuelles, nous recourons à des tiers tels que ZIC pour la distribution, des sociétés de services informatiques et de logistique, des prestataires de services publicitaires, des banques, des assurances ou sociétés de renseignements économiques, qui peuvent nous transmettre des données de leur côté.

Dans le cadre de la collaboration avec des entreprises et des partenaires commerciaux, par ex. des partenaires dans des projets ou des parties à des litiges, nous traitons également des données à des fins de préparation et d’exécution du contrat, de planification, de comptabilité et dans d’autres finalités en lien avec le contrat.

Nous traitons également des données aux fins de la prévention des abus et lors des procédures judiciaires, aux fins de notre gestion des risques et dans le cadre d’une gestion prudente de l’entreprise, y compris de l’organisation opérationnelle et du développement de l’entreprise.

Dans ce contexte, nous traitons en particulier des données de base, des données contractuelles, mais aussi des données de communication et des données de comportement. Aux fins précitées et afin de vous et de nous protéger contre des actes délictuels ou abusifs, nous pouvons également établir des profils et les traiter (voir également à ce sujet le chiff. 5).

Nous pouvons également traiter vos données à des fins d'étude de marché, afin d'améliorer nos prestations et notre fonctionnement opérationnel et dans le cadre du développement de produits.

Nous nous efforçons d’améliorer nos produits et services en permanence et de réagir rapidement aux évolutions des besoins. C’est pourquoi nous effectuons des analyses, par exemple pour savoir quels produits sont utilisés par quels groupes de personnes et comment, et savoir comment nous pouvons concevoir nos nouveaux produits et prestations de services. Ces analyses nous renseignent sur l’acceptation des produits et prestations de services existants par le marché et sur le potentiel commercial de nouveaux produits et prestations. À cet effet, nous traitons non seulement vos données de base, de comportement et de préférences, mais aussi des données sur la communication et des données provenant d’enquêtes clients, de sondages et d’études, ainsi que d’autres informations, figurant par exemple dans les médias, sur les réseaux sociaux, sur Internet ou provenant d’autres sources publiques. Cependant et dans la mesure du possible, nous utilisons des données pseudonymisées et anonymisées dans ce contexte. Nous pouvons aussi solliciter des services de veille médiatique ou réaliser cette veille nous-mêmes et, dans ce contexte, traiter des données personnelles aux fins des activités de relations publiques ou pour comprendre les évolutions et tendances actuelles et y réagir.

Comme toutes les entreprises concurrentes, nous pouvons également traiter des données telles que des données de base, des données contractuelles, des données de comportement et de préférences et des données de communication également à des fins de marketing, par exemple pour personnaliser et communiquer des informations sur nos produits et prestations de services et ceux de tiers ou aux fins de l’entretien de nos relations. Vous pouvez refuser ce type de contacts à tout moment (cf. fin du présent chiff. 4).

Par exemple, nous pouvons vous communiquer des informations, de la publicité et des offres pour nos produits, ceux de sociétés du Groupe Zurich et ceux de tiers dans le domaine de l’assurance et d’autres domaines, ainsi que des newsletters et d’autres communications régulières, imprimées ou par téléphone. Ces communications ont également lieu dans le cadre d’actions marketing isolées (p. ex. manifestations, concours, etc.). Nous personnalisons certaines de ces communications afin de vous communiquer des informations personnalisées et de vous soumettre des offres qui correspondent à vos besoins et centres d’intérêt. À cet effet, nous mettons en relation des données que nous traitons à votre sujet, déterminons vos données de préférence et les utilisons en tant que fondement pour la personnalisation (cf. chiff. 3 à ce sujet). Nous pouvons également établir des profils à des fins de marketing (cf. chiff. 5 à ce sujet). Nous traitons des données également dans le cadre de concours, jeux-concours et manifestations similaires. La gestion des relations clients implique également des données personnalisées éventuellement d’après les données de comportement et de préférence – civilité des clients existants et tenue des événements clients (par ex. sponsoring, événements sportifs et culturels et opérations publicitaires). Dans le cadre des événements clients, nous traitons des données personnelles aux fins de la tenue des événements, mais aussi pour informer les participants et leur transmettre des informations et de la publicité avant, lors de et après la tenue de l’événement.

Tous ces traitements sont importants pour nous afin de mettre en avant nos offres de la façon la plus adaptée à vos besoins, pour personnaliser nos relations avec les clients et d’autres tiers et utiliser efficacement nos moyens.

Vous pouvez à tout moment vous opposer au traitement à des fins de marketing en nous en informant par message. En sont exclus les messages générés automatiquement qui ne peuvent pas être personnalisés, comme par exemple les textes des factures. Vous trouverez des informations complémentaires sur vos droits au chiff. 10.

Nous pouvons également traiter vos données à des fins de sécurité et de contrôle des accès.

Nous contrôlons et améliorons constamment le niveau de sécurité adéquat de nos installations, de nos bâtiments et de notre équipement informatique. Pour ce faire, nous traitons des données en lien avec la surveillance des bâtiments et des locaux accessibles au public par exemple. La garantie d’une sécurité adaptée est également très importante pour les produits digitalisés. Comme dans toutes les entreprises, une sécurité de pointe ne permet pas d’exclure des violations de la sécurité des données mais nous faisons notre possible pour réduire les risques. Par conséquent, nous traitons des données par exemple afin de surveiller, contrôler, analyser et tester nos réseaux et infrastructures informatiques, afin de contrôler les systèmes et les erreurs, à des fins de documentation et dans le cadre des copies de sécurité.

Nous pouvons traiter vos données dans d’autres finalités, p. ex. dans le cadre de nos processus internes et de l’administration.

Ces autres finalités comprennent par exemple des finalités de formation et de perfectionnement, des finalités administratives (p. ex. l’administration des données de base, la comptabilité et l’archivage des données ou l’administration des biens immobiliers et le contrôle, l’administration et l’amélioration constante de l’infrastructure informatique), la défense de nos droits (p. ex. pour faire valoir des droits par voie judiciaire, pré-judiciaire ou extrajudiciaire et face à des autorités en Suisse ou à l’étranger, ou pour nous défendre contre des prétentions, p. ex. par une consignation des preuves, par des clarifications juridiques et par la participation à une procédure judiciaire ou administrative), l’évaluation et l’amélioration des processus internes, des statistiques personnelles et, de façon générale, la réalisation de statistiques et d’évaluations anonymes. Dans le cadre du développement de l’entreprise, nous pouvons aussi vendre des activités, des parties de l’entreprise ou l’entreprise à d’autres entreprises ou effectuer des acquisitions auprès d’elles, ou bien nouer des partenariats, ce qui peut donner lieu à l’échange et au traitement de données (également les vôtres, p. ex. en tant que client, fournisseur ou représentant d’un fournisseur). Cela inclut également la défense d’autres intérêts légitimes, dont l’énumération ne saurait être exhaustive.

Dès lors que nous vous demandons votre consentement pour certains traitements, nous vous informons des finalités de traitement correspondantes séparément. Vous pouvez révoquer à tout moment votre consentement en nous en informant par écrit; vous trouverez nos coordonnées au chiff. 2. Dès lors que nous recevons la notification relative à la révocation de votre consentement, nous cessons de traiter vos données dans les finalités indiquées, excepté si un autre fondement juridique justifie le traitement. La révocation de votre consentement n’affecte en rien la légalité du traitement réalisé avant la révocation.

Dans la mesure où nous nous conformons au règlement général sur la protection des données (RGPD) pour le traitement de vos données personnelles, ce traitement repose sur le fait que le traitement est requis ou autorisé par la loi (art. 6 al. 1 let. c RGPD), qu’elles sont nécessaires à la préparation et à l’exécution du contrat avec vous ou l’entité que vous représentez (p. ex. traitement de données de base et contractuelles aux fins de l’examen des propositions, de la prévention des abus, du contrôle de la solvabilité et de la capacité de crédit, de l’exécution de transactions, etc.; art. 6 al. 1 let. b et art. 9 al. 2 let. g et h RGPD et art. 21 al. 1 let. a chiff. 2 LPD-PL), qu’elles sont nécessaires dans le cadre de nos intérêts légitimes ou de ceux de tiers (p. ex. traitement à des fins administratives et de sécurité, aux fins du contrôle de la solvabilité et à des fins d’étude de marché, de marketing et d’amélioration de nos prestations, ou de développement de produits; art. 6 al. 1 let. f RGPD) ou que vous avez donné votre consentement, par exemple concernant des données de santé en vue d’une éventuelle conclusion de contrat (art. 6 al. 1 let. a et art. 9 al. 2 let. a RGPD).

Si nous recevons des données sensibles (par exemple données de santé), dans la mesure où cela est nécessaire, nous pouvons également traiter ces données sur d’autres fondements juridiques, par exemple en cas de désaccords sur la nécessité du traitement pour une éventuelle procédure ou pour exercer ou défendre des droits (art. 9 al. 2 let. f RGPD). D’autres motifs juridiques peuvent intervenir au cas par cas, que nous vous communiquons séparément dans la mesure du nécessaire.

5. Quelles sont les règles régissant l’établissement de profils et les décisions individuelles automatisées?

Dans les finalités énoncées au chiff. 4, nous pouvons traiter et analyser vos données (chiff. 3) de façon automatisée, c.-à-d. assistée par ordinateur, afin d’en dégager vos données de préférence, d’identifier les risques d’abus et pour la sécurité, d’effectuer des analyses statistiques ou à des fins de planification opérationnelle. Ces processus de traitement comprennent également des profilages («profiling»).

Les établissements de profils sont des traitements automatisés de données à des fins d’analyse et de prévision. Nous établissons des profils principalement aux fins du contrôle de la solvabilité, de l’entretien des relations clients et à des fins marketing le cas échéant. Dans ces mêmes finalités, nous pouvons également établir des profils, c.-à-d. que nous pouvons combiner vos données de comportement et de préférences ainsi que des données de base et données contractuelles et vos données techniques afin de mieux comprendre votre personne et vos différents centres d’intérêt et besoins personnels. Dans les deux cas, nous veillons à la proportionnalité et à la fiabilité des résultats et nous prenons des mesures contre toute utilisation abusive de ces profils ou d’un profilage.

Afin de garantir l’efficacité et l’harmonisation de nos processus de décision, nous pouvons également prendre certaines décisions de façon automatisée, c.-à-d. assistée par ordinateur, d’après certaines règles et sans qu’un collaborateur n’examine lui-même les données.

Dans tous les cas, nous vous informons lorsqu’une décision automatisée entraîne des conséquences juridiques négatives ou crée un préjudice considérable comparable. Dans ce cas, si vous n’êtes pas d’accord avec le résultat de la décision, vous pouvez exercer les droits cités au chiff. 10.

6. À qui transmettons-nous vos données?

Nos produits et prestations de services sont mis à disposition et gérés en collaboration avec des tiers et des prestataires, qui peuvent par conséquent obtenir des données vous concernant. Vous trouverez ci-dessous un aperçu des catégories de destinataires auxquels nous pouvons communiquer des données personnelles. Vous trouverez des remarques complémentaires aux chiff. 3 et 4.

Distribution: Nous transmettons à ZIC et aux partenaires de distribution qui en sont responsables les données dont ils ont besoin pour vendre nos produits et les données – éventuellement personnalisées – relatives à la commercialisation de nos produits. Nos partenaires de distribution sont tenus par la loi et le contrat de respecter les dispositions de la loi sur la protection des données.

Vérification d’adresses, examen de la solvabilité et recouvrement: Nous pouvons recourir à des tiers pour la vérification d’adresses, pour les examens de la solvabilité et pour le recouvrement de créances.

Nous pouvons recourir à des tiers pour la vérification d’adresses, pour les examens de la solvabilité et pour le recouvrement de créances, auquel cas nous leur communiquons des données, par exemple concernant des créances non recouvrées et votre comportement de paiement.

Sociétés du Groupe Zurich: Nous pouvons communiquer des données personnelles à d’autres sociétés du Groupe Zurich.

Dans la mesure où cela est nécessaire, nous pouvons communiquer vos données à d’autres sociétés appartenant au Groupe Zurich. Il se peut que nous transmettions vos données – en particulier vos données de base et données contractuelles ainsi que les données concernant vos habitudes et vos préférences – à d’autres sociétés du Groupe Zurich afin qu’elles puissent vous proposer des offres de produits ou de services personnalisées. Par ailleurs, il se peut que nous recourions aux services de sociétés du Groupe Zurich, notamment des services de distribution et autres prestations.

Autorités et offices: Nous pouvons transmettre des données personnelles aux autorités, offices, tribunaux et à d’autres entités publiques si la loi nous contraint de ou nous autorise à les transmettre ou lorsque la transmission est nécessaire à la défense de nos intérêts.

Dans le cadre de l’exercice des droits, de la contestation de créances et de la satisfaction des exigences juridiques, dans certaines circonstances, nous communiquons des données personnelles aux autorités, offices, tribunaux et autres services officiels, par exemple dans le cadre de procédures administratives, judiciaires, précontentieuses et extrajudiciaires et dans le cadre d’obligations légales d’informer et de collaborer. Des données sont également communiquées lorsque nous obtenons des informations de services publics. Les autorités traitent les données vous concernant que nous leur transmettons sous leur propre responsabilité.

Autres personnes: S’il est recouru à des tiers aux fins du traitement selon le chiff. 4, du fait de votre consentement donné séparément ou en raison d’exigences légales ou réglementaires, de directives et de recommandations émises par des autorités ou des réglementations internes, des données peuvent également être communiquées à d’autres destinataires.

Nous pouvons par exemple communiquer des données à certains partenaires, ou à des personnes qui sont parties dans une procédure judiciaire ou administrative , mais aussi aux potentiels acheteurs d’entreprises, de créances et d’autres actifs, à des sociétés de financement en cas de titrisations, ainsi qu’à d’autres tiers, au sujet desquels nous vous informons dans la mesure du possible, par exemple dans des lettres de consentement ou des mentions particulières relatives à la protection des données. Les autres personnes sont, en particulier, le bénéficiaire d’un paiement, les mandataires, les banques de correspondance, d’autres établissements financiers et d’autres services impliqués dans un acte juridique.

Prestataires: Nous collaborons avec des prestataires en Suisse et à l’étranger qui font ou non partie du Groupe Zurich, qui traitent des données vous concernant pour notre compte ou dans le cadre d’une responsabilité commune avec nous, ou qui traitent des données vous concernant que nous leur avons communiquées sous leur propre responsabilité.

Afin que nous puissions fournir nos produits et prestations en toute sécurité et de façon aussi rentable que possible et afin que nous puissions nous concentrer sur notre cœur de métier, nous recourons aux prestations de tiers. Ces prestations concernent par exemple la distribution par ZIC (cf. chiff. 4), les services informatiques, l’envoi d’informations, des services de marketing, de distribution, de communication, d’impression, des services de gestion, de sécurité et de nettoyage des bâtiments, des services d’organisation et de réalisation de manifestations et de réception, le recouvrement, les services de renseignements économiques et les prestations de sociétés de conseil et de sociétés de révision. Nous leur transmettons les données dont ils ont besoin pour fournir leurs prestations. On peut citer pour exemple les prestataires d’hébergement, qui conservent des données électroniques pour nous et parfois des données sensibles telles que des données de santé. Nos prestataires sont soumis à des devoirs de confidentialité contractuels et/ou au secret professionnel légal. À titre exceptionnel, dans des cas justifiés, ils peuvent également utiliser ces données à leurs propres fins, par exemple des informations sur des créances non recouvrées et votre comportement de paiement dans le cas des services de renseignements économiques, ou des données anonymisées, afin d’améliorer les prestations de services.

Dans la mesure autorisée par la loi, ces catégories de destinataires peuvent recourir de leur côté à des tiers et ce faisant, mettre vos données à leur disposition.

Nous nous réservons le droit de communiquer ces données même s’il s’agit de données confidentielles.

Dans de nombreux cas, il est nécessaire de communiquer des données confidentielles également aux fins de l’exécution des contrats ou de la fourniture d’autres prestations. Généralement, même les accords de confidentialité n’excluent pas de telles transmissions de données, de même que la transmission à des prestataires. En fonction de la sensibilité des données et d’autres circonstances, nous veillons toutefois à ce que ces tiers opèrent une gestion pertinente des données.

Nous permettons aussi à certains tiers de collecter des données personnelles vous concernant sur notre site Internet et lors de manifestations (p. ex. photographes de presse, prestataires d’outils qui sont reliés à notre site Internet). Dès lors que nous ne sommes pas impliqués de façon décisive dans ces collectes de données, les tiers en assument l’entière responsabilité. En cas de demandes particulières ou pour exercer vos droits en matière de protection des données, veuillez-vous adresser directement à ces tiers.

Les communications de données précitées en Suisse et à l’étranger (cf. chiff. 7) sont nécessaires pour des raisons juridiques ou opérationnelles. Par conséquent, les devoirs de confidentialité légaux et contractuels ne s’opposent pas à ces communications.

7. Est-ce que nous transmettons des données personnelles à l’étranger?

Comme nous l’avons expliqué au chiff. 6, vos données personnelles sont traitées non seulement par nos soins mais également par des tiers et des prestataires. Dans ce contexte, vos données peuvent également être communiquées à l’étranger, par exemple lors de la communication de données personnelles à d’autres sociétés du Groupe Zurich ou à des prestataires et, dans certaines circonstances, à des tiers qui participent à l’exécution du contrat, à des autorités et tribunaux ainsi qu’à d’autres entités. Vos données peuvent donc être traitées dans le monde entier, même en dehors de l’UE ou de l’Espace économique européen (c.-à-d. également dans des pays tiers, p. ex. aux États-Unis). Actuellement, de nombreux pays tiers ne disposent pas de lois offrant un niveau de protection des données comparable à celui en vigueur en Suisse. Par conséquent, nous prenons des mesures contractuelles pour compenser par contrat ce niveau de protection légale de niveau inférieur. À cet effet, nous utilisons généralement les clauses contractuelles standard établies ou reconnues par la Commission européenne et le Préposé fédéral à la protection des données et à la transparence (PFPDT) (vous trouverez des informations complémentaires à ce sujet et une copie de ces clauses sur https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/uebermittlung-ins-ausland.html), dès lors que le destinataire n’est pas déjà soumis à une réglementation légalement reconnue visant à garantir la protection des données et que nous ne pouvons pas nous fonder sur une clause d’exemption. Une exception peut être envisagée notamment en cas de procédure judiciaire à l’étranger, et également en cas d’intérêts publics prépondérants ou dans les cas où une telle communication est exigée, si vous avez donné votre consentement ou s’il s’agit de données rendues publiques, pour lesquelles vous ne pouvez-vous opposer au traitement.

À l’heure actuelle, beaucoup d’États en dehors de la Suisse, de l’UE et de l’EEE ne possèdent pas de lois garantissant un niveau de protection des données adéquat au regard de la LPD ou du RGPD. Les précautions contractuelles évoquées permettent de compenser en partie cette protection moindre ou absente. Les précautions contractuelles ne peuvent toutefois pas exclure l’ensemble des risques (notamment le risque d’accès par les gouvernements étrangers). Vous devez avoir conscience de ces risques résiduels, même si le risque peut être faible au cas par cas, et nous prenons des mesures complémentaires (p. ex. pseudonymisation ou anonymisation) pour les réduire autant que possible.

Veuillez également noter que les données échangées sur Internet transitent souvent par des pays tiers. De ce fait, vos données peuvent aussi être transmises à l’étranger alors que l’expéditeur et le destinataire se trouvent dans le même pays.

8. Pendant combien de temps traitons-nous vos données?

Nous enregistrons vos données personnelles aussi longtemps que nos finalités de traitement, les délais de conservation légaux et nos intérêts légitimes dans le traitement le requièrent à des fins de documentation et de preuve, ou tant que l’enregistrement est indispensable d’un point de vue technique.

La durée de notre conservation des données dépend par conséquent des prescriptions légales et internes et des finalités du traitement (cf. chiff. 4), dont fait partie la sauvegarde de nos intérêts (p. ex. pour exercer des droits ou contester des prétentions, à des fins d’archivage et pour garantir la sécurité informatique).

Les finalités de documentation et de preuve comprennent nos intérêts, processus, interactions et d’autres faits en cas de prétentions, désaccords, finalités de la sécurité de l’informatique et de l’infrastructure et la preuve d’une bonne gouvernance d’entreprise et d’une bonne compliance. Une conservation peut être indispensable d’un point de vue technique si certaines données ne peuvent être séparées d’autres données et que nous sommes donc contraints de les conserver (p. ex. en cas de sauvegardes ou de systèmes de systèmes de gestion documentaire).

9. Comment protégeons-nous vos données?

Nous traitons vos données de façon confidentielle et prenons des mesures de sécurité techniques et organisationnelles appropriées, afin de préserver la confidentialité, l’intégrité et la disponibilité de vos données personnelles, de les protéger contre tout traitement non autorisé ou illicite et de prévenir le risque de perte, de modification imprévue, de divulgation non intentionnelle ou d’accès non autorisé. Nous nous alignons sur des normes de sécurité reconnues telles que la norme ISO 27001.

Nos mesures de sécurité incluent des mesures telles que le codage et la pseudonymisation des données, l’établissement de procès-verbaux, les restrictions d’accès, l’enregistrement de copies de sécurité, des directives à nos collaborateurs, des accords de confidentialité, des contrôles, etc. Nous obligeons également nos gestionnaires à prendre des mesures de sécurité appropriées. Toutefois, en règle générale, les risques de sécurité ne peuvent pas être totalement exclus; certains risques résiduels sont inévitables.

Nous protégeons vos données personnelles transmises sur nos sites Internet pendant leur transfert par des mécanismes de cryptage adéquats. Cependant, nous ne pouvons sécuriser que les domaines que nous contrôlons. Si vous nous contactez par e-mail, vous agissez à vos propres risques et acceptez que nous vous répondions via le même canal, à l’adresse de l’expéditeur. Si vous nous transmettez des e-mails non cryptés via Internet, ceux-ci peuvent potentiellement être accessibles par des tiers, qui pourront les consulter ou les manipuler.

Par ailleurs, nous prenons des mesures de sécurité techniques et organisationnelles appropriées afin de réduire le risque sur nos sites Internet. Votre terminal se trouve toutefois en dehors de notre sphère d’influence en matière de sécurité. Vous devez donc vous informer vous-même des précautions de sécurité nécessaires et prendre des mesures appropriées en la matière.

10. Quels sont vos droits?

Dans certaines circonstances, la législation en matière de protection des données en vigueur vous confère le droit de vous opposer au traitement de vos données, en particulier à des fins de marketing direct, d’établissement de profils exploités pour la publicité directe, ainsi que d’autres intérêts légitimes.

Afin de vous faciliter le contrôle sur vos données personnelles, vous disposez de différents droits en lien avec notre traitement des données dans le cadre du droit applicable:

  • le droit de nous demander si nous traitons vos données et quelles données nous traitons vous concernant;
  • le droit à la rectification des données si elles sont inexactes;
  • le droit de vous opposer à notre traitement dans certaines finalités et de demander la limitation du traitement ou la suppression de vos données dès lors que nous n’avons pas l’obligation ou le droit de poursuivre le traitement;
  • le droit de nous demander de communiquer certaines données personnelles dans un format électronique courant ou de nous demander leur transmission à un autre responsable;
  • le droit de révoquer un consentement que vous avez donné, dès lors que notre traitement repose sur votre consentement.

Si nous vous informons d’une décision automatisée (chiff. 5), vous avez le droit d’exprimer votre point de vue et de demander la vérification de la décision par une personne physique.

Veuillez noter que certaines conditions doivent être réunies pour pouvoir exercer ces droits et que des exceptions ou des restrictions peuvent s’appliquer (p. ex. pour protéger des tiers ou des secrets commerciaux). Nous vous en informerons en conséquence le cas échéant.

Nous sommes notamment tenus de traiter et d’enregistrer vos données personnelles afin d’exécuter un contrat avec vous, de défendre nos propres intérêts dignes de protection tels que la revendication, l’exercice et la défense de droits, ou de respecter des obligations légales. Par conséquent, dès lors que la loi l’autorise, pour protéger les droits et les libertés d’autres personnes concernées et pour sauvegarder des intérêts dignes de protection, nous pouvons refuser la requête d’une personne concernée en tout ou partie (p. ex. en noircissant certains contenus qui concernent des tiers ou nos secrets commerciaux).

Si vous souhaitez exercer vos droits à notre encontre, veuillez nous contacter par écrit (cf. chiff. 2). Afin que nous puissions exclure tout abus, nous devons vous identifier (par ex. avec une copie de votre pièce d’identité si c’est la seule manière envisageable). Vous disposez des mêmes droits à l’encontre des autres entités qui collaborent avec nous sous leurs propres responsabilités – merci de vous adresser directement à celles-ci si vous souhaitez exercer vos droits en lien avec le traitement qu’elles opèrent de leur côté.

Si vous n’êtes pas d’accord avec notre traitement de vos droits ou la protection des données, veuillez en informer le service cité au point 2. Vous pouvez contacter l’autorité suisse de surveillance en matière de protection des données à cette adresse: https://www.edoeb.admin.ch/edoeb/fr/home/le-pfpdt/contact/adresse.html.