Déclaration de protection des données relative aux produits d’assurance

Les «données personnelles» (également désignées «données à caractère personnel») désignent des données qui se rapportent à une personne définie ou définissable, c’est-à-dire qu’il est possible d’identifier cette personne à partir des données elles-mêmes ou de données complémentaires correspondantes. Les «données sensibles» (également désignées «catégories particulières de données à caractère personnel») sont une catégorie de données personnelles, dont le traitement peut être soumis à des exigences particulières. Par exemple, sont réputées considérées comme des données sensibles les données desquelles découle l’origine ethnique, les données sur la santé, les données sur des convictions religieuses ou philosophiques, les données biométriques à des fins d’identification et les données sur l’appartenance à un syndicat. Le chiffre 3 contient des informations sur les données que nous traitons dans le cadre de la présente déclaration de protection des données. 

Le «traitement» désigne chaque utilisation des données personnelles, par exemple l’obtention, l’enregistrement, l’emploi, la communication et la suppression. 

Pour chaque traitement des données, un ou plusieurs service(s) a/ont la responsabilité principale de veiller à ce que le traitement des données respecte les prescriptions du droit de la protection des données. Ce service est appelé «le responsable». Il est par exemple compétent pour répondre à des de-mandes de renseignements (ch. 10) ou pour garantir que les données personnelles sont sécurisées et qu’elles ne seront pas utilisées à des fins autres que celles que nous vous communiquons ou qui sont autorisées par la loi. Vous trouverez des informations sur les tiers avec lesquels nous coopérons et qui, de leur côté, sont responsables de leurs traitements aux ch. 3, 4 et 6.

Les données de base comprennent en premier lieu les données comme le nom, l’adresse, l’adresse e-mail, le numéro de téléphone et d’autres données de contact, la date de naissance et le  lieu, l’âge, le sexe, la nationalité et le lieu d’origine, les données figurant sur les documents d’identification (sur votre passeport ou votre carte d’identité, par exemple), votre numéro client et d’autres informations, comme par exemple votre numéro fiscal ou votre pays d’imposition.

Cette catégorie comprend en outre les données sur les relations avec des tiers, qui sont également concernés par le traitement des données, par exemple sur le conducteur principal (p. ex. nom, date de naissance ou nationalité) dans l’assurance de véhicules à moteur, sur les employés assurés dans les assurances de personnes collectives, ou sur les bénéficiaires ou les ayants droit économiques dans l’assurance vie, sur les destinataires des correspondances, sur les débiteurs des primes et sur les autres personnes parties au contrat et, éventuellement, sur les membres de la famille.

Concernant les clients et autres contractants qui sont des entreprises, nous traitons des données sur nos interlocuteurs, par exemple le nom et l’adresse, les données sur les titres, la fonction dans l’entreprise, les qualifications et, éventuellement, des données sur les supérieurs hiérarchiques et les collaborateurs. Selon le secteur d’activité, nous sommes en outre tenus d’examiner en détail l’entreprise en question et ses employés, par exemple en effectuant un contrôle de sécurité. Dans ce cas, nous collectons et traitons des données supplémentaires, éventuellement aussi de prestataires tiers. 

Nous recevons fréquemment de votre part des données de base, par exemple dans des documents de proposition, et collectons également, dans certaines circonstances, des données de tiers, par exemple de prestataires de service d’actualisation d’adresses ou du registre du commerce. 

Ces données comprennent les données relatives à la conclusion du contrat (également les conseils et notre estimation des risques), les données relatives à vos contrats, par exemple la nature et la date de conclusion du contrat, et les données issues du processus de proposition, comme par exemple les faits, et d’autres informations sur le contrat en question (p. ex. le risque assuré, l’objet assuré, la somme d’assurance, la somme des salaires, la prime, la durée du contrat, les informations sur les assurances antérieures et d’autres assurances), ainsi que les données sur des éventuels sinistres passés et qui résultent de l’exécution et de l’administration des contrats (p. ex. les informations en lien avec la facturation, le conseil et le service à la clientèle). Les données contractuelles incluent aussi les données sur les réclamations et les avenants à un contrat, ainsi que les données sur la satisfaction clients, que nous pouvons collecter par le biais de sondages, par exemple.

Dans le cadre du traitement des sinistres, nous traitons des données supplémentaires, comme par exemple la déclaration de sinistre, le numéro de sinistre, le nombre de sinistres, des données sur des tiers, tels que des personnes lésées ou impliquées, comme par exemple les passagers, et d’autres données en lien avec l’examen des sinistres, également des données sensibles, telles que les données sur la santé. Nous collaborons à cet effet avec des tiers, par exemple avec des experts et des médecins ainsi que d’autres prestataires de services, auprès desquels nous collectons aussi des données – y compris des données sur la santé –, le cas échéant avec votre déclaration de levée du devoir de discrétion distincte. En outre, nous participons au système «HIS», un système d’information et de signalement du secteur de l’assurance, et, dans le cadre des examens des sinistres dans les assurances véhicules à moteur, responsabilité civile privée et professionnelle, bâtiments, inventaire du ménage, techniques et dans les autres assurances choses, nous collectons des données sur certaines situations, que nous pouvons transmettre ou consulter dans le HIS. Avec votre consentement donné séparément, si le résultat de la consultation est positif, nous pouvons ainsi échanger des données y relatives avec d’autres assureurs. Vous trouverez de plus amples informations sur le système HIS au ch. 4 ci-dessous.

Selon le produit d’assurance, nous traitons des données supplémentaires en lien avec le contrat d’assurance, comme par exemple,

• dans l’assurance de cautionnement et en particulier dans l’assurance garantie de loyer, des données relatives à la caution, aux coassurés, aux destinataires des correspondances, aux bailleurs, aux gérances d’immeubles, à l’objet loué, aux assurances existantes, aux faits, aux poursuites en cours et aux entreprises impliquées, ainsi que des données provenant de documents à joindre, comme les contrats de bail, les polices de responsabilité civile, les rapports d’activité et les business plans, et des données sur les bénéficiaires du cautionnement; 
• dans l’assurance construction et de garantie de construction, des données sur l’ouvrage, les faits, l’activité concernée, les cautionnements, le chiffre d’affaires, la somme des salaires, les adhésions à des associations, et des données sur les interlocuteurs, les destinataires des correspondances, les bénéficiaires des cautionnements et des garanties, les partenaires ARGE et les courtiers; 
• dans l’assurance bâtiments, des données sur les rapports de propriété et de financement dans la propriété foncière et du logement, le lieu, le type de bâtiment, le type de construction, le prix de vente, des données supplémentaires sur le bien immobilier y compris la documentation photographique, ainsi que, le cas échéant, des données sur le nouveau propriétaire; 
• dans l’assurance inventaire du ménage, des données sur la situation de vie et le logement, par exemple le nombre de pièces, le canton de résidence, la valeur du mobilier du ménage, les rapports de propriété, le nombre de personnes vivant dans le même foyer; 
• dans l’assurance choses et l’assurance technique, des données sur le type d’exploitation, la marque, le modèle, la valeur et l’âge des objets à assurer, des photos et justificatifs d’achat de ces derniers, leur lieu, les assurances existantes, les faits, le code NOGA, la forme juridique, le chiffre d’affaires annuel, l’inventaire commercial, le lieu d’assurance principal et le lieu d’assurance secondaire, la masse salariale annuelle AVS, le montant des honoraires, les moyens d’extinction, le type de construction, les dispositifs de sécurité pour le feu et le vol, ainsi que des données sur les coassurés, les exploitants, les propriétaires fonciers, les fournisseurs, les sociétés d’audit et les clients chargés de réaliser des audits, les bénéficiaires des garanties, les cessionnaires et les courtiers; 
• dans l’assurance responsabilité civile privée et l’assurance responsabilité civile professionnelle, par exemple des données sur l’activité ou la manifestation, les assurances précédentes, les faits, la situation de vie et le logement, ainsi que le canton de résidence. Le cas échéant, nous traitons également les données relatives aux entreprises, telles que la somme des salaires, les chiffres d’affaires, les ventilations des chiffres d’affaires, les données sur le personnel, ainsi que d’autres données sur l’exploitation, les produits et les prestations de services, sur les contrats avec les clients, les acquéreurs et les cocontractants, et des données sur les formations, les coassurés, les interlocuteurs, les exploitants, les propriétaires fonciers, ainsi que des informations issues de contrats d’utilisation, de servitude et de coopérations à joindre;
• dans l’assurance de perte de salaire en cas d’accident et de maladie, par exemple des données sur l’entreprise, le lieu, les personnes à assurer, leurs taux d’occupation et somme des salaires, des données sur l’état de santé et des accidents et/ou maladies antérieur(e)s, ainsi que des informations provenant d’assureurs précédents, de coassureurs et de réassureurs, des données sur les destinataires des correspondances, les médecins et courtiers impliqués;
• dans l’assurance de véhicules à moteur, par exemple des données sur la plaque de contrôle, le véhicule à moteur et la puissance du véhicule (p. ex. données relatives à un retrait du permis de conduire), les catégories d’absence de cas de sinistre et les cas de sinistre (bonus/malus), le financement du véhicule et son usage à des fins privées ou professionnelle, et également des données provenant de CarClaims-Info, un système de lutte contre les abus dans le domaine de l’assurance de véhicules à moteur (vous trouverez de plus amples informations sur CarClaims-Info au ch. 4), des données sur l’état de santé, la date de naissance, le sexe et la nationalité et des données sur le contrôle effectué afin de savoir si un sinistre a déjà été indemnisé par une autre compagnie d’assurances; 
• dans l’assurance de garantie pour les véhicules à moteur et la garantie immobilière, par exemple la marque, le modèle, la motorisation, la plaque de contrôle, le numéro de châssis et de la fiche d’homologation pour les véhicules à moteur, ou le type d’objet, l’ancienneté, l’âge des différents éléments de construction, ainsi que des informations supplémentaires sur le bien immobilier, y compris la documentation photographique et, éventuellement, des données sur le nouveau propriétaire pour les biens immobiliers;
• dans l’assurance transport, par exemple des données sur le chiffre d’affaires annuel des transports, les moyens de transport et les itinéraires, les assurances existantes et les faits; 
• dans l’assurance vie, par exemple des informations sur la situation familiale et financière (par ex. le nombre de personnes vivant dans le même foyer, données sur l’activité professionnelle et la branche), des informations sur la santé et sur la capacité de travail, sur les faits et les assurances jusqu’ici, des données sur les différentes parties au contrat et les coordonnées des médecins traitants. 

Ces données comprennent par exemple les données sur les revenus de l’activité professionnelle, les rentes et les produits des placements de capitaux, les données sur la fortune et les données sur vos profil de risque et profil de placement, votre capacité de risque, ainsi que vos connaissances et expérience des produits financiers. Elles englobent aussi des données permettant de déterminer la solvabilité (c.-à-d. des informations permettant de déduire la probabilité que des créances soient réglées) et des données sur la provenance des actifs, ainsi que des données sur le paiement des primes (y compris des données sur la relation bancaire, le numéro de compte et les cartes de crédit), les sommations et le recouvrement des créances (par exemple créances de primes). 

Ces données nous sont fournies par vos soins, par exemple dans le cadre des paiement que vous effectuez, ainsi que par des bureaux de renseignements économiques et proviennent aussi de sources publiques.

Les données comportementales désignent les données relatives à certains actes, par exemple les données sur des paiements, sur l’utilisation des messages électroniques (par exemple si et quand vous avez ouvert un e-mail), sur votre utilisation de nos sites web (p. ex. votre lieu et d’autres informations si vous utilisez l’un de nos sites; veuillez observer à cet effet les mentions correspondantes séparées relatives à la protection des données), sur l’utilisation de nos produits et prestations de services, sur votre interaction avec nos profils sur les réseaux sociaux, sur vos contacts avec des partenaires de distribution et sur votre participation à des événements, des jeux, des concours et des manifestations similaires.

Les données relatives aux préférences nous renseignent par exemple sur les besoins que vous pouvez avoir, sur les produits ou prestations qui pourraient vous intéresser ou sur le moment où et la manière dont vous réagissez vraisemblablement à nos messages, afin que nous puissions mieux vous connaître, mieux personnaliser nos conseils et nos offres et améliorer nos offres de façon générale. Nous obtenons ces données à partir de l’analyse des données existantes, par exemple les données sur le comportement. Afin d’améliorer la qualité de nos analyses, nous pouvons relier ces données à d’autres données, que nous obtenons aussi de tiers, tels que les fournisseurs d’adresses, les sites web et les offices, par exemple à des données sur la taille de votre foyer, la catégorie de vos revenus et votre pouvoir d’achat, votre comportement d’achat et les coordonnées de vos proches, ainsi qu’à des données anonymes d’offices de statistique.

Les données de communication comprennent votre nom et vos coordonnées, le type, la manière, le lieu et l’heure de la communication et son contenu, par exemple des informations dans les e-mails ou courriers que vous recevez de tiers ou envoyez à des tiers, pour autant que celles-ci vous concernent. Nous enregistrons les données de communication, par exemple quand vous nous contactez via le Service à la clientèle, le Conseiller à la clientèle, un site web, une application ou un chatbot sur Internet. 

Il existe en lien avec des procédures administratives ou judiciaires des données (p. ex. des pièces ou des moyens de preuve), qui peuvent aussi vous concerner. Pour des raisons de protection de la santé, nous pouvons également collecter des données (p. ex. dans le cadre de plans de protection). Nous pouvons obtenir ou réaliser des photos, des vidéos et des enregistrements sonores, dans lesquels vous pouvez être identifié (p. ex. lors de manifestations, par des caméras de sécurité, etc.). Nous pouvons aussi collecter des données permettant de savoir qui pénètre quand dans certains bâtiments ou possède les droits d’accès correspondants (y compris en cas de contrôles des accès, sur la base des données d’enregistrement ou des listes des visiteurs, etc.), qui participe quand à des manifestations ou actions (concours p. ex.) ou qui utilise quand nos systèmes et infrastructure.

Il s’agit par exemple d’autres entreprises du Groupe Zurich et de partenaires de distribution, de bureaux de renseignements économiques, de sociétés d’observation des médias, de prestataires de services financiers et de banques depuis lesquels vous nous transférez des actifs ou effectuez des virements à notre attention, de fournisseurs d’adresses, de services d’analyses Internet, d’autorités, d’autres assureurs, de parties à une procédure et de sources publiques telles que le registre de commerce, de médias et de sources en ligne, de registres publics, médias, etc.

Nous mettons à votre disposition certaines offres, telles que l’utilisation d’un portail en ligne de Zurich ou de l’un de nos partenaires, une déclaration de sinistre en ligne ou la participation à un événement virtuel, seulement si vous nous communiquez vos données d’inscription car nous ou nos partenaires voulons savoir qui utilise nos prestations de services ou a reçu une invitation parce que cela est nécessaire techniquement ou parce que nous voulons communiquer avec vous. Si vous ou une personne que vous représentez (votre employeur p. ex.) voulez conclure ou exécuter un contrat avec nous, nous devons obtenir de votre part les données de base, les données contractuelles et les données de communication appropriées , et nous traitons des données techniques si vous utilisez notre site web ou d’autres offres électroniques. Si vous ne nous communiquez pas les données nécessaires à la conclusion du contrat et à son exécution, vous devez vous attendre à ce que nous refusions de conclure le contrat, à ce que vous soyez susceptible de violer un contrat ou à ce que nous ne puissions pas exécuter un contrat. De la même façon, nous pouvons vous envoyer une réponse à une demande que vous avez faite uniquement si nous traitons les données de communication correspondantes et – si vous communiquez en ligne avec nous – également les données techniques. L’utilisation de notre site web est également impossible si nous n’obtenons pas les données techniques. Quand nous interagissons avec vous ou que vous interagissez avec nous, des données de conduite sont générées.

La lutte contre le blanchiment d’argent réglementée par la loi et le financement du terrorisme en font partie. Par conséquent, dans certains cas, nous pouvons être tenus de procéder à des clarifications («Know Your Customer») ou d’envoyer des notifications. De surcroît, la réalisation des obligations de renseignement, d’information ou de déclaration en lien avec des obligations prudentielles et fiscales suppose de traiter des données ou implique leur traitement, comme par exemple dans le cadre de l’échange automatique de renseignements, de l’accomplissement d’obligations d’archivage et de l’aide à la prévention, à la constatation et à la clarification de délits et d’autres infractions. Cela inclut aussi la réception et le traitement des réclamations et d’autres communications, la surveillance de la communication, les enquêtes internes ou la présentation de documents à une autorité, lorsque nous avons une raison objective de le faire ou y sommes juridiquement tenus. Dans certaines circonstances, des enquêtes externes, menées par exemple par une autorité de réglementation, peuvent donner lieu à un traitement de vos données personnelles. À ces finalités, nous traitons en particulier vos données de base, vos données contractuelles et relatives aux sinistres, vos données financières, de communication et, dans certaines circonstances, vos données comportementales. Les obligations juridiques peuvent être des obligations relevant du droit suisse ainsi que de dispositions étrangères auxquelles nous sommes soumis, par exemple des autorégulations, des normes sectorielles, la propre «gouvernance d’entreprise» et des instructions et requêtes des autorités. 

Dans le cadre de la préparation et de la conclusion du contrat, des données personnelles (en particulier les données de base, données contractuelles, données financières et données de communication) de clients potentiels sont collectées pour le conseil et l’examen du risque. Nous collectons ces données  (par ex. via un formulaire de proposition) et de manière générale via notre organisation de distribution. Font partie de nos partenaires de distribution par ex. des agents généraux indépendants, des intermédiaires et des brokers. La conformité des données collectées pour la préparation et la conclusion du contrat avec les prescriptions légales est vérifiée (par ex. respect des dispositions relatives à la lutte contre le blanchiment d’argent et contre la fraude). Dans le cadre de la préparation et de la conclusion du contrat, nous traitons aussi, dans certaines circonstances, des données sensibles, telles que des données sur la santé, pour le conseil, l’examen du risque et le calcul de la prime. 

Dans le cadre de la gestion des relations contractuelles, nous traitons des données pour gérer la relation client, régler les cas de sinistre et de prestation, pour le conseil et pour le service à la clientèle (y compris pour évaluer et documenter la rémunération des partenaires de distribution ). L’examen des cas de sinistre et de prestation en fait partie. En particulier, nous traitons aussi des données des sinistres, y compris des données sur la santé, des données que nous obtenons de tiers, tels que les experts externes et les médecins (vous trouverez des informations complémentaires à ce sujet au ch. 3), ainsi que d’autres données qui sont générées ou requises à ces fins. Dans un cas de sinistre ou de prestation, en cas de recours contre un tiers civilement responsable (ou son assureur responsabilité civile), il est possible que les données requises à cet effet soient traitées et communiquées. La revendication de droits découlant de contrats (encaissement, procédures en justice, etc.) fait également partie de l’exécution, au même titre que la comptabilité, la fin des contrats et la communication officielle.

Pour la conclusion du contrat et l’exécution des relations contractuelles, nous recourons à des tiers, par exemple à des sociétés de services informatiques et de logistiques, des prestataires de services publicitaires, des banques, d’autres assurances ou services d’informations sur les crédits, qui, de leur côté, peuvent nous transmettre des données.

Dans le cadre de la collaboration avec des entreprises et des partenaires commerciaux, par exemple des partenaires dans des projets ou des parties dans des litiges, nous traitons également des données à des fins de conclusion et d’exécution du contrat, de planification, de comptabilité et à d’autres fins en lien avec le contrat.

À cette fin, nous traitons en particulier les données de base, les données contractuelles et les données des sinistres, les données financières, ainsi que les données relatives au comportement et aux communications. Par exemple, nous sommes tenus de prendre des mesures contre l’usage abusif de l’assurance. Pour les preneurs d’assurance sis ou domiciliés en Suisse, nous pouvons également consulter les systèmes d’information HIS et CarsClaims-Info pour l’assurance de véhicules à moteur. HIS est un système d’information et de signalement exploité par SVV Solution AG, Zurich. Les assureurs qui y participent déclarent certaines circonstances justifiant un examen approfondi d’un cas de sinistre et peuvent consulter les déclarations des autres assureurs. Avec votre consentement donné séparément, si le résultat de la consultation est positif, nous pouvons ainsi échanger des données y relatives avec d’autres assureurs participants. Les données provenant du HIS sont utilisées uniquement dans le cadre de l’examen du sinistre. Vous trouverez des informations complémentaires sur le système HIS et vos droits s’y rapportant sur www.svv.ch/de/his. Pour lutter contre l’usage abusif de l’assurance, dans l’assurance de véhicules à moteur, nous transmettons en plus des données des sinistres relatives aux véhicules à SVV Solution AG afin de les enregistrer dans le fichier électronique CarClaims-Info. Cela permet de vérifier si un sinistre automobile déclaré a déjà été indemnisé par une autre compagnie d’assurances. En cas de soupçon fondé, un échange de données correspondant peut avoir lieu entre les compagnies (p. ex. l’expertise automobile, l’accord d’indemnisation). Aux fins précitées et afin de vous et de nous protéger contre des actes délictuels ou abusifs, nous pouvons également établir des profils et les traiter (voir également à ce sujet le ch. 5).

Nous nous efforçons d’améliorer constamment nos produits et prestations de services et de réagir rapidement aux évolutions des besoins. C’est pourquoi nous effectuons des analyses, par exemple pour savoir quels produits sont utilisés par quels groupes de personnes et de quelle façon, et savoir comment nous pouvons concevoir nos nouveaux produits et prestations de services. Ces analyses nous renseignent sur l’acceptation des produits et prestations de services existants par le marché et sur le potentiel de nouveaux produits et prestations sur le marché. À cet effet, nous traitons non seulement vos données de base, vos données relatives à votre comportement et à vos préférences, mais aussi des données de communication et des données provenant d’enquêtes clients, de sondages et d’études, ainsi que d’autres informations, par exemple dans les médias, les réseaux sociaux, sur Internet ou provenant d’autres sources publiques. Néanmoins, dans la mesure du possible, nous utilisons à cette fin des données pseudonymisées ou anonymisées. Nous pouvons aussi solliciter des services d’observation des médias ou les observer nous-mêmes et, dans ce cadre, traiter des données personnelles afin d’exploiter le travail des médias ou comprendre les évolutions et tendances actuelles et réagir à ces dernières.

Par exemple, nous pouvons vous communiquer des informations, de la publicité et des offres pour nos produits et ceux de tiers dans le domaine de l’assurance et d’autres domaines,ainsi que des newsletters et d’autres communications régulières. Le cas échéant, ces communications ont également lieu dans le cadre d’actions marketing isolées (par ex. manifestations, concours, etc.). Nous personnalisons certaines de ces communications afin de vous communiquer des informations individualisées et vous soumettre des offres qui correspondent à vos besoins et centres d’intérêt. Nous les associons à des données que nous traitons à votre sujet, nous générons des données sur les préférences que nous utilisons comme base pour la personnalisation (cf. ch. 3). Nous pouvons également établir des profils (cf. ch. 5) à des fins de marketing. Nous traitons aussi des données dans le cadre de concours, jeux et manifestations similaires. Les mesures de suivi des clients comprennent aussi le contact des clients existants – le cas échéant, personnalisé à partir des données sur le comportement et les préférences ou des données issues de sondages clients – et la réalisation de manifestations clients (p. ex. sponsoring , manifestations sportives et culturelles et événements publicitaires). Pour les manifestations clients, nous traitons des données personnelles pour l’organisation des manifestations, mais aussi pour informer les participants et leur communiquer des informations et de la publicité avant, pendant et après leur organisation.

Tous ces traitements sont importants pour nous afin de mettre en avant nos offres de la façon la plus adaptée à vos besoins, pour personnaliser nos relations avec les clients et d’autres tiers et utiliser efficacement nos moyens. Pour ces traitements, nous nous en tenons au droit applicable et, le cas échéant, veillons à obtenir votre consentement séparé.

Nous contrôlons et améliorons constamment le niveau de sécurité approprié de nos installations, de nos bâtiments et de notre équipement informatique. Pour cela, nous traitons des données, par exemple en lien avec la surveillance des bâtiments et des locaux accessibles au public. La garantie d’une sécurité appropriée est également très importante pour les produits digitalisés. Comme toutes les entreprises, une sécurité de pointe ne permet pas d’exclure des violations de la sécurité des données mais nous faisons notre possible pour réduire les risques. Par conséquent, nous traitons des données, par exemple afin de surveiller, contrôler, analyser et tester nos réseaux et infrastructures informatiques, afin de contrôler les systèmes et les erreurs, à des fins de documentation et dans le cadre des copies de sécurité. 

Ces autres fins comprennent par exemple des fins d’enseignement et de formation, des fins administratives (p. ex. l’administration des données de base, la comptabilité et l’archivage des données ou l’administration des biens immobiliers et le contrôle, l’administration et l’amélioration constante de l’infrastructure informatique), la sauvegarde de nos droits (p. ex. pour faire valoir des droits par voie judiciaire, pré-judiciaire ou extrajudiciaire ou pour nous défendre contre des prétentions, p. ex. par une consignation des preuves, par des clarifications juridiques et par la participation à une procédure judiciaire ou administrative), l’évaluation et l’amélioration des processus internes et, de façon générale, la réalisation de statistiques et d’analyses anonymes. Dans le cadre du développement de l’entreprise, nous pouvons aussi vendre des activités, des parties de l’entreprise ou l’entreprise à d’autres entreprises ou effectuer des acquisitions auprès d’elles, ou bien nouer des partenariats, ce qui peut donner lieu à l’échange et au traitement de données (également les vôtres, p. ex. en tant que client, fournisseur ou représentant d’un fournisseur). Cela inclut également la défense d’autres intérêts légitimes, dont l’énumération ne peut être exhaustive.

Les établissements de profils sont des traitements automatisés de données à des fins d’analyses et de prévisions. Les principaux exemples sont l’établissement de profils afin de lutter contre le blanchiment d’argent, le financement du terrorisme et les abus, d’examiner la solvabilité, de mesurer les risques de façon individualisée et de les  évaluer en tant que base de calcul nécessaire pour le contrat d’assurance, pour conseiller le client et, le cas échéant, à des fins de marketing. Nous pouvons établir des profils aux mêmes fins. Cela veut dire que nous pouvons combiner des données sur le comportement et sur les préférences, ainsi que des données de base et des données contractuelles avec des données techniques qui vous sont attribuées afin de mieux vous comprendre en tant que personne avec vos différents centres d’intérêt et besoins personnels. Dans les deux cas, nous veillons à la proportionnalité et à la fiabilité des résultats et nous prenons des mesures contre toute utilisation abusive de ces profils ou d’un profiling. 

Dans tous les cas, nous vous informons lorsqu’une décision automatisée a des conséquences juridiques négatives ou crée un préjudice considérable comparable. Dans ce cas, si vous n’êtes pas d’accord avec le résultat de la décision, vous pouvez exercer les droits cités au ch. 10.

Dans le cadre du traitement des sinistres et des clarifications s’y rapportant, des médecins et d’autres prestataires de services, des experts, des services d’informations tels que SVV Solution AG (en lien avec les systèmes «CarClaims-Info» et «HIS»; cf. ch. 3 et 4), des autorités, des tribunaux, des tiers appelés à fournir des renseignements et des avocats, par exemple, peuvent être impliqués et, dans ce contexte, peuvent obtenir des données personnelles.

Dans l’intérêt de tous les preneurs d’assurance, un échange de données a lieu avec des assureurs antérieurs, des coassureurs et des réassureurs en Suisse et à l’étranger en vue de l’examen du risque et de sa répartition. Par exemple, nous demandons à des assureurs antérieurs, en leur communiquant vos données personnelles (p. ex. nom, prénom, adresse et date de naissance), si un sinistre était assuré chez eux et s’ils ont fourni des prestations. Nous pouvons aussi échanger des données avec des assureurs sociaux ou des assureurs responsabilité civile, en particulier en cas de recours. Dans le cadre du traitement des sinistres, nous pouvons également – le cas échéant, avec votre consentement donné séparément – échanger des données connexes avec d’autres assureurs. Vous trouverez de plus amples informations à ce sujet aux ch. 3 et 4.

Outre les données de base, cela concerne notamment les données relatives à la durée du contrat, à l’exécution et à la résiliation  du contrat, à la somme d’assurance et à la couverture, aux sinistres et d’autres données nécessaires au calcul de l’indemnisation et à la commercialisation de nos produits, éventuellement personnalisée. Nos partenaires de distribution sont tenus par la loi et le contrat de respecter les dispositions de la loi sur la protection des données. 

Nous pouvons recourir à des tiers pour vérifier des adresses, pour des examens de solvabilité et pour le recouvrement de créances, auquel cas nous leur communiquons des données, par exemple sur des créances non recouvrées et votre comportement de paiement. 

Dans la mesure où cela est nécessaire, nous pouvons communiquer vos données à d’autres sociétés appartenant au Groupe Zurich, en particulier pour l’appréciation du risque et son  évaluation et pour proposer des solutions de réassurance. Pour vous offrir la meilleure couverture d’assurance possible et des solutions de financement aussi personnalisées que possible, nous pouvons communiquer vos données – en particulier vos données de base, vos données contractuelles et vos données d’inscription ainsi que les données sur votre comportement et vos préférences – à d’autres sociétés faisant partie du Groupe Zurich afin de vous proposer des produits et des prestations taillés sur mesure pour vous. 

En lien avec l’exercice des droits, de la contestation de créances et de l’accomplissement des exigences juridiques, dans certaines circonstances, nous communiquons des données personnelles aux autorités, offices, tribunaux et autres services officiels, par exemple dans le cadre de procédures administratives, judiciaires, préjudiciaires et extrajudiciaires et dans le cadre d’obligations légales d’information et de collaboration. Des données sont également communiquées lorsque nous obtenons des informations de services officiels, par exemple en lien avec le traitement des sinistres. Les autorités sont responsables du traitement des données vous concernant que nous leur avons communiquées.

Par exemple, nous pouvons communiquer des données à des personnes qui sont parties dans une procédure judiciaire ou administrative (p. ex. en cas de recours [voie de recours] contre un tiers civilement responsable ou son assureur responsabilité civile), aux potentiels acheteurs d’entreprises, de créances et d’autres actifs, à des sociétés de financement en cas de titrisations, ainsi qu’à d’autres tiers, au sujet desquels nous vous informons dans la mesure du possible, par exemple dans des lettres de consentement ou des mentions particulières relatives à la protection des données. Les autres personnes sont, en particulier, le bénéficiaire d’un paiement, les mandataires, les banques de correspondance, d’autres établissements financiers et d’autres services impliqués dans un acte juridique.

Nous sollicitons des prestations de services de tiers afin de proposer nos produits et prestations de façon sûre et efficiente en termes de coûts et afin que nous puissions nous concentrer sur nos compétences. Ces prestations de services concernent par exemple la distribution par le biais de certains partenaires de distribution (cf. ch. [3] à ce sujet),les services informatiques, l’envoi d’informations, les services de marketing, de distribution, de communication, d’impression, les services de gestion, sécurité et nettoyage de bâtiments, les services d’organisation et de réalisation de manifestations et de réceptions, l’encaissement, les services de renseignements économiques, les mesures de lutte contre la fraude et les prestations de sociétés de conseil, de sociétés de révision et de prestataires de sinistres. Nous communiquons aux prestataires les données qui leur sont nécessaires pour fournir leurs prestations. C’est par exemple le cas des prestataires d’hébergement, qui conservent des données électroniques pour nous et, dans certaines circonstances, des données sensibles, comme par exemple des données sur la santé. Ces prestataires sont soumis aux obligations contractuelles et/ou légales de confidentialité et de protection des données respectives. Exceptionnellement, dans des cas justifiés, ils peuvent également utiliser ces données à leurs propres fins, par exemple des informations sur des créances non recouvrées et votre conduite de paiement en cas d’informations sur les crédits ou des données rendues anonymes, afin d’améliorer les prestations de services.

Dans de nombreux cas, il est également nécessaire de communiquer des données confidentielles afin de pouvoir exécuter des contrats ou fournir des prestations. En général, les accords de confidentialité n’excluent pas de telles communications de données et n’excluent pas non plus leur communication à des prestataires. Néanmoins, en fonction de la sensibilité des données et d’autres circonstances, nous veillons à ce que ces tiers utilisent les données de façon raisonnable. 

À l’heure actuelle, beaucoup d’États en dehors de la Suisse, de l’UE et de l’EEE ne possèdent pas de lois garantissant un niveau de protection des données approprié au regard de la LPD ou du RGPD. Les mesures contractuelles évoquées permettent de compenser en partie cette protection légale inférieure ou absente, mais elles ne permettent pas d’éliminer tous les risques (à savoir les risques d’interventions étatiques à l’étranger). Vous devez avoir conscience de ces risques résiduels, même si, au cas par cas, le risque peut être faible et nous prenons des mesures supplémentaires (p. ex. pseudonymisation ou anonymisation) pour les réduire au maximum.

La durée de notre conservation des données dépend donc des prescriptions légales et internes et des finalités du traitement (cf. ch. 4), dont fait partie la sauvegarde de nos intérêts (p. ex.pour exercer des droits ou contester des prétentions, à des fins d’archivage et pour garantir la sécurité informatique). 

Les fins de documentation et de preuve comprennent nos intérêts, processus, interactions et d’autres faits en cas de prétentions, désaccords, finalités de la sécurité de l’informatique et de l’infrastructure et la preuve d’une bonne gouvernance d’entreprise et d’une bonne compliance. Une conservation peut être nécessaire techniquement s’il est impossible de dissocier certaines données d’autres données et si nous sommes donc contraints de les conserver (p. ex. en cas de sauvegardes («backups») ou de systèmes de gestion de documents).

Nos mesures de sécurité incluent des mesures telles que le codage et la pseudonymisation des données, l’établissement de procès-verbaux, les restrictions d’accès, l’enregistrement de copies de sécurité, des directives à nos collaborateurs, des accords de confidentialité, des contrôles, etc. Nous obligeons également nos gestionnaires à prendre des mesures de sécurité appropriées. Cependant, de manière générale, les risques de sécurité ne peuvent pas être totalement exclus; certains risques résiduels sont inévitables. 

Nous protégeons vos données personnelles transmises sur nos sites web pendant leur transport par des mécanismes de codage adéquats. Néanmoins, nous ne pouvons sécuriser que les domaines que nous contrôlons.

Quand vous nous contactez par e-mail, c’est vous qui prenez un risque et vous acceptez que nous vous répondions à l’adresse de l’expéditeur via le même canal. Si vous nous envoyez des e-mails non codés sur Internet, il est possible que des tiers puissent accéder à ces e-mails, les consulter et les manipuler. 

En particulier, nous sommes tenus de traiter et d’enregistrer vos données personnelles afin d’exécuter un contrat avec vous, de défendre des propres intérêts dignes de protection, tels que la revendication, l’exercice et la défense de droits, ou de respecter des obligations légales. Par conséquent, dès lors que la loi le permet, en particulier pour protéger les droits et les libertés d’autres personnes concernées et pour sauvegarder des intérêts dignes de protection, nous pouvons refuser une requête de personnes concernées en totalité ou en partie (p. ex. en noircissant certains contenus qui concernent des tiers ou nos secrets commerciaux).