Protection des données relative aux prestations de services de Zurich Compagnie d’Assurances SA

Les «données personnelles» (également appelées données à caractère personnel») désignent des données qui se rapportent à une personne définie ou définissable, c’est-à-dire qu’il est possible d’identifier cette personne à partir des données elles-mêmes ou de données complémentaires correspondantes. Les «données sensibles» (également appelées «catégories particulières de données personnelles» sont une catégorie de données personnelles dont le traitement peut être soumis à des exigences particulières. Par exemple, sont considérées comme des données sensibles les données desquelles découle l’origine ethnique, les données de santé, les données relatives aux convictions religieuses ou philosophiques, les données biométriques à des fins d’identification et les données concernant l’appartenance à un syndicat. Le point 3 contient des informations sur les données que nous traitons dans le cadre de la présente politique de protection des données. 
Le «traitement» désigne toute utilisation des données personnelles, par exemple l’obtention, l’enregistrement, l’emploi, la communication et la suppression. 

Pour chaque traitement des données, un ou plusieurs service(s) assume(nt) la responsabilité principale de veiller à ce que le traitement des données respecte les prescriptions légales en matière de protection des données. Cette entité est appelée «responsable». Ce dernier est notamment responsable de répondre aux demandes de renseignements (chiff. 10) ou de garantir que les données personnelles sont sécurisées et qu’elles ne seront pas utilisées dans des finalités autres que celles que nous vous communiquons ou qui sont autorisées par la loi. Vous trouverez des informations sur les tiers avec lesquels nous coopérons et qui sont responsables de leurs traitements de leur côté aux chiff. 3 et 6. 

Les données de base comprennent en premier lieu les données comme le nom, l’adresse, l’adresse e-mail, le numéro de téléphone et d’autres données de contact, la date de naissance et le  lieu, l’âge, le sexe, la nationalité et le lieu d’origine, les données figurant sur les documents d’identification (sur votre passeport ou votre carte d’identité, par exemple), votre numéro client et d’autres informations, comme votre numéro fiscal ou votre pays d’imposition.

Les données concernant les relations avec des tiers également concernés par le traitement des données, qui comprennent notamment les données concernant les ayants droit économiques des valeurs patrimoniales, les destinataires de la correspondance et autres personnes impliquées dans le contrat et, le cas échéant, les proches.

S’agissant des clients et autres cocontractants qui sont des entreprises, nous traitons des données concernant nos interlocuteurs, par exemple le nom et l’adresse, les données sur les titres, la fonction dans l’entreprise, les qualifications et, éventuellement, des données sur les supérieurs hiérarchiques et les collaborateurs. Selon le secteur d’activité, nous sommes également tenus d’examiner en détail l’entreprise en question et ses employés, par exemple en effectuant un contrôle de sécurité. Dans ce cas, nous collectons et traitons des données complémentaires, éventuellement de prestataires tiers également. 

Nous recevons fréquemment de votre part des données de base, dans des documents de proposition par ex., et dans certaines circonstances, nous collectons également des données de tiers, par exemple de prestataires de service d’actualisation d’adresses ou du registre de commerce. 

Ces données incluent notamment les informations sur la conclusion du contrat, les contrats eux-mêmes, par exemple type et la date de la conclusion ainsi que des informations issues du processus de proposition ou d’autres renseignements sur le contrat concerné, des informations issues de l’administration, de l’exécution et de l’application des contrats (p. ex. données en lien avec la facturation, le conseil, le service à la clientèle, les paiements, les rappels, les encaissements et le recouvrement de créances). Les données contractuelles incluent aussi les données sur les réclamations et les avenants à un contrat, ainsi que les données sur la satisfaction clients, que nous pouvons collecter par le biais de sondages, par exemple.

Les données de comportement désignent les données relatives à certains actes, par exemple les données sur des paiements, sur l’utilisation des messages électroniques (par exemple si et quand vous avez ouvert un e-mail), sur votre utilisation de nos sites web (par exemple votre lieu et d’autres informations si vous utilisez l’un de nos sites; veuillez observer à cet effet les mentions correspondantes séparées relatives à la protection des données), sur l’utilisation de nos produits et prestations de services, sur votre interaction avec nos profils sur les réseaux sociaux, sur vos contacts avec des partenaires de distribution et sur votre participation à des événements, des jeux, des concours et des manifestations similaires.

Les données de préférence nous informent par exemple de vos besoins, des produits ou prestations susceptibles de vous intéresser et des heures auxquelles vous réagissez à nos communications et comment, afin que nous puissions mieux vous connaître, mieux personnaliser nos conseils et nos offres et améliorer nos offres de façon générale. Nous obtenons ces données à partir de l’analyse des données existantes, par exemple les données de comportement. Pour améliorer la qualité de nos analyses, nous pouvons établir un lien entre ces données et d’autres que nous pouvons également obtenir auprès de tiers tels que les fournisseurs d’adresses, des sites Internet et autorités, p. ex. avec des données concernant la taille de votre ménage, votre catégorie de revenus et votre pouvoir d’achat, votre comportement d’achat et les coordonnées de vos proches ainsi que des données anonymes provenant d’offices statistiques.

Les données de communication comprennent votre nom et vos coordonnées, le type, la manière, le lieu et l’heure de la communication et son contenu, par exemple des informations dans les e-mails ou courriers que vous recevez de tiers ou envoyez à des tiers, pour autant que celles-ci vous concernent. Nous enregistrons les données de communication, par exemple quand vous nous contactez via le Service à la clientèle, le Conseiller à la clientèle, un site web, une application ou un chatbot sur Internet.

Les procédures administratives ou judiciaires génèrent des données (p. ex. des pièces ou éléments de preuve) qui peuvent aussi vous concerner. Nous pouvons également collecter des données pour des raisons de protection de la santé (p. ex. dans le cadre de concepts de protection). Nous pouvons obtenir ou réaliser des photos, des vidéos et des enregistrements audio dans lesquels vous pouvez être identifiable (p. ex. lors d’événements, par des caméras de sécurité, etc.). Nous pouvons aussi collecter des données permettant de savoir qui pénètre quand dans certains bâtiments ou possède les droits d’accès correspondants (y compris en cas de contrôles des accès, sur la base des données d’enregistrement ou des listes des visiteurs, etc.), qui participe quand à des manifestations ou actions (concours p. ex.) ou qui utilise quand nos systèmes et notre infrastructure.

Il s’agit par exemple, d’autres entreprises du Groupe Zurich et des partenaires de distribution, de bureaux de renseignements économiques, de sociétés d’observation des médias, de prestataires de services financiers et de banques depuis lesquels vous nous transférez des actifs ou effectuez des versements, de fournisseurs d’adresses, de services d’analyses Internet, d’autorités, d’autres assureurs, de parties à une procédure et de sources publiques telles que le registre de commerce, de médias et de sources en ligne, de registres publics, etc.

Nous mettons à votre disposition certaines offres telles que l’utilisation d’un portail en ligne de Zurich ou de l’un de nos partenaires ou la participation à un événement virtuel uniquement si vous nous communiquez vos données d’inscription car nous ou nos partenaires voulons savoir qui utilise nos prestations de services ou a reçu une invitation parce que cela est nécessaire techniquement ou parce que nous voulons communiquer avec vous. Si vous ou une personne que vous représentez (votre employeur p. ex.) voulez conclure ou exécuter un contrat avec nous, nous devons obtenir de votre part les données de base, les données  contractuelles et les données de communication appropriées, et nous traitons des données techniques si vous utilisez notre site Internet ou d’autres offres électroniques. Si vous ne nous communiquez pas les données nécessaires à la conclusion du contrat et à son exécution, vous devez vous attendre à ce que nous refusions de conclure le contrat, à ce que vous soyez susceptible de violer un contrat ou à ce que nous ne puissions pas exécuter un contrat. De même, nous pouvons vous envoyer une réponse à une demande que vous avez effectuée uniquement si nous traitons les données de communication correspondantes et – si vous communiquez avec nous en ligne – également les données techniques. De plus, l’utilisation de notre site Internet est impossible si nous n’obtenons pas les données techniques. Quand nous interagissons ensemble, des données de comportement sont générées.

Nous traitons vos données personnelles notamment dans les finalités suivantes et d’autres finalités y afférentes:

nous traitons les données personnelles afin de satisfaire aux exigences légales et réglementaires et de respecter les lois, directives et recommandations des autorités et les réglementations internes («compliance»).

Dans le cadre de la préparation et de la conclusion du contrat, nous collectons des données personnelles – notamment des données de base, des données contractuelles et des données de communication – sur les clients potentiels en vue du conseil et de l’appréciation du risque (par exemple dans un formulaire de proposition et via notre organisation de distribution d’une manière générale). Nos partenaires de distribution comprennent p. ex. des agents généraux indépendants, des intermédiaires et des brokers. La conformité des données collectées pour la préparation et la conclusion du contrat aux prescriptions légales est vérifiée (p. ex. respect des dispositions relatives à la lutte contre le blanchiment d’argent et contre la fraude). Dans le cadre de la préparation et de la conclusion du contrat, dans certaines circonstances, nous traitons aussi des données sensibles, telles que des données sur la santé, pour le conseil, l’examen du risque et le calcul de la prime. 

Dans le cadre de la gestion des relations contractuelles, nous traitons des données relatives à la fourniture et à l’obtention de prestations, la gestion de la relation client et le service à la clientèle (y compris pour évaluer et documenter la rémunération des partenaires de distribution). La revendication de droits découlant de contrats (encaissement, procédures en justice, etc.) fait également partie de l’exécution, au même titre que la comptabilité, la résiliation des contrats et les communications officielles.

Pour la conclusion du contrat et l’exécution des relations contractuelles, nous recourons à des tiers tels que des sociétés de services informatiques et de logistique, des prestataires de services publicitaires, des banques, des assurances ou sociétés de renseignements économiques, qui peuvent nous transmettre des données de leur côté.

Dans le cadre de la collaboration avec des entreprises et des partenaires commerciaux, par ex. des partenaires dans des projets ou des parties à des litiges, nous traitons également des données à des fins de préparation et d’exécution du contrat, de planification, de comptabilité et dans d'autres finalités en lien avec le contrat.

Dans ce contexte, nous traitons en particulier des données de base, des données contractuelles, mais aussi des données de communication et des données de comportement. Aux fins précitées et afin de vous et de nous protéger contre des actes délictuels ou abusifs, nous pouvons également établir des profils et les traiter (voir également à ce sujet le chiff. 5).

Nous nous efforçons d’améliorer nos produits et services en permanence et de réagir rapidement aux évolutions des besoins. C’est pourquoi nous effectuons des analyses, par exemple pour savoir quels produits sont utilisés par quels groupes de personnes et comment, et savoir comment nous pouvons concevoir nos nouveaux produits et prestations de services. Ces analyses nous renseignent sur l’acceptation des produits et prestations de services existants par le marché et sur le potentiel commercial de nouveaux produits et prestations. À cet effet, nous traitons non seulement vos données de base, de comportement et de préférences, mais aussi des données sur la communication et des données provenant d’enquêtes clients, de sondages et d’études, ainsi que d’autres informations, figurant par exemple dans les médias, sur les réseaux sociaux, sur Internet ou provenant d’autres sources publiques. Cependant et dans la mesure du possible, nous utilisons des données pseudonymisées et anonymisées dans ce contexte. Nous pouvons aussi solliciter des services de veille médiatique ou réaliser cette veille nous-mêmes et, dans ce contexte, traiter des données personnelles aux fins des activités de relations publiques ou pour comprendre les évolutions et tendances actuelles et y réagir.

Par exemple, nous pouvons vous communiquer des informations, de la publicité et des offres pour nos produits et ceux de tiers dans le domaine de l’assurance et d’autres domaines, ainsi que des newsletters et d’autres communications, imprimées ou par téléphone. Ces communications ont également lieu dans le cadre d’actions marketing isolées (p. ex. manifestations, concours, etc.). Nous personnalisons certaines de ces communications afin de vous communiquer des informations individualisées et vous soumettre des offres qui correspondent à vos besoins et centres d’intérêt. À cet effet, nous mettons en relation des données que nous traitons à votre sujet, déterminons vos données de préférence et les utilisons comme fondement pour la personnalisation (cf. chiff. 3 à ce sujet). Nous pouvons également établir des profils à des fins de marketing (cf. chiff. 5). Nous traitons des données également dans le cadre de concours, jeux-concours et manifestations similaires. La gestion des relations clients implique également des données personnalisées éventuellement d’après les données de comportement et de préférence – civilité des clients existants et tenue des événements clients (par ex. sponsoring , événements sportifs et culturels et opérations publicitaires). Dans le cadre des événements clients, nous traitons des données personnelles aux fins de la tenue des événements, mais aussi pour informer les participants et leur transmettre des informations et de la publicité avant, lors de et après la tenue de l’événement.

Tous ces traitements sont importants pour nous afin de mettre en avant nos offres de la façon la plus adaptée à vos besoins, pour personnaliser nos relations avec les clients et d’autres tiers et utiliser efficacement nos moyens.

Nous contrôlons et améliorons constamment le niveau de sécurité adéquat de nos installations, de nos bâtiments et de notre équipement informatique. Pour ce faire, nous traitons des données en lien avec la surveillance des bâtiments et des locaux accessibles au public par exemple. La garantie d’une sécurité adaptée est également très importante pour les produits digitalisés. Comme dans toutes les entreprises, une sécurité de pointe ne permet pas d’exclure des violations de la sécurité des données mais nous faisons notre possible pour réduire les risques. Par conséquent, nous traitons des données par exemple afin de surveiller, contrôler, analyser et tester nos réseaux et infrastructures informatiques, afin de contrôler les systèmes et les erreurs, à des fins de documentation et dans le cadre des copies de sécurité.

Ces autres finalités comprennent par exemple des finalités de formation et de perfectionnement, des finalités administratives (p. ex. l’administration des données de base, la comptabilité et l’archivage des données ou l’administration des biens immobiliers et le contrôle, l’administration et l’amélioration constante de l’infrastructure informatique), la défense de nos droits (p. ex. pour faire valoir des droits par voie judiciaire, pré-judiciaire ou extrajudiciaire ou pour nous défendre contre des prétentions, p. ex. par une consignation des preuves, par des clarifications juridiques et par la participation à une procédure judiciaire ou administrative), l’évaluation et l’amélioration des processus internes et, de façon générale, la réalisation de statistiques et d’évaluations anonymes. Dans le cadre du développement de l’entreprise, nous pouvons aussi vendre des activités, des parties de l’entreprise ou l’entreprise à d’autres entreprises ou effectuer des acquisitions auprès d’elles, ou bien nouer des partenariats, ce qui peut donner lieu à l’échange et au traitement de données (également les vôtres, p. ex. en tant que client, fournisseur ou représentant d’un fournisseur). Cela inclut également la défense d’autres intérêts légitimes, dont l’énumération ne saurait être exhaustive.

Les établissements de profils sont des traitements automatisés de données à des fins d’analyse et de prévision. Les principaux exemples sont les établissements de profils visant à lutter contre le blanchiment d’argent et le financement du terrorisme, à lutter contre les abus, à vérifier la solvabilité, à entretenir la relation client et à des fins de marketing. Dans ces mêmes finalités, nous pouvons également établir des profils, c.-à-d. que nous pouvons combiner vos données de comportement et de préférences ainsi que des données de base et données contractuelles et vos données techniques afin de mieux comprendre votre personne et vos différents centres d’intérêt et besoins personnels. Dans les deux cas, nous veillons à la proportionnalité et à la fiabilité des résultats et nous prenons des mesures contre toute utilisation abusive de ces profils ou d’un profilage.

Dans tous les cas, nous vous informons lorsqu’une décision automatisée entraîne des conséquences juridiques négatives ou crée un préjudice considérable comparable. Dans ce cas, si vous n’êtes pas d’accord avec le résultat de la décision, vous pouvez exercer les droits cités au chiff. 10.

Outre les données de base, cela concerne notamment les données relatives à la durée du contrat, à l’exécution et à la résiliation du contrat, d’autres informations nécessaires au calcul et à la documentation de l’indemnisation, ainsi que des données éventuellement personnalisées relatives à la commercialisation de nos produits. Nos partenaires de distribution sont tenus par la loi et le contrat de respecter les dispositions de la loi sur la protection des données.

Nous pouvons recourir à des tiers pour la vérification d’adresses, pour les examens de la solvabilité et pour le recouvrement de créances, auquel cas nous leur communiquons des données, par exemple concernant des créances non recouvrées et votre comportement de paiement.

Dans la mesure où cela est nécessaire, nous pouvons communiquer vos données à d’autres sociétés appartenant au Groupe Zurich. Pour vous proposer des solutions de financement aussi personnalisées que possible par exemple, nous pouvons communiquer vos données – en particulier vos données de base, vos données contractuelles et d’enregistrement ainsi que des données relatives au comportement et aux préférences – à d’autres sociétés du Groupe Zurich afin de vous proposer des prestations taillés sur mesure.

Dans le cadre de l’exercice des droits, de la contestation de créances et de la satisfaction des exigences juridiques, dans certaines circonstances, nous communiquons des données personnelles aux autorités, offices, tribunaux et autres services officiels, par exemple dans le cadre de procédures administratives, judiciaires, précontentieuses et extrajudiciaires et dans le cadre d’obligations légales d’informer et de collaborer. Des données sont également communiquées lorsque nous obtenons des informations de services publics. Les autorités traitent les données vous concernant que nous leur transmettons sous leur propre responsabilité.

Nous pouvons par exemple communiquer des données à des personnes qui sont parties dans une procédure judiciaire ou administrative, mais aussi aux potentiels acheteurs d’entreprises, de créances et d’autres actifs, à des sociétés de financement en cas de titrisations, ainsi qu’à d’autres tiers, au sujet desquels nous vous informons dans la mesure du possible, par exemple dans des lettres de consentement ou des mentions particulières relatives à la protection des données. Les autres personnes sont, en particulier, le bénéficiaire d’un paiement, les mandataires, les banques de correspondance, d’autres établissements financiers et d’autres services impliqués dans un acte juridique.

Afin que nous puissions fournir nos produits et prestations en toute sécurité et de façon aussi rentable que possible et afin que nous puissions nous concentrer sur notre cœur de métier, nous recourons aux prestations de tiers. Ces prestations concernent par exemple la distribution par certains partenaires de distribution (cf. chiff. 4), les services informatiques, l’envoi d’informations, des services de marketing, de distribution, de communication, d’impression, des services de gestion, de sécurité et de nettoyage des bâtiments, des services d’organisation et de réalisation de manifestations et de réception, le recouvrement, les services de renseignements économiques, les mesures de lutte contre la fraude et les prestations de sociétés de conseil et de sociétés de révision. Nous leur transmettons les données dont ils ont besoin pour fournir leurs prestations. On peut citer pour exemple les prestataires d’hébergement, qui conservent des données électroniques pour nous et parfois des données sensibles telles que des données de santé. Nos prestataires sont soumis à des devoirs de confidentialité contractuels et/ou au secret professionnel légal. À titre exceptionnel, dans des cas justifiés, ils peuvent également utiliser ces données à leurs propres fins, par exemple des informations sur des créances non recouvrées et votre comportement de paiement dans le cas des services de renseignements économiques, ou des données anonymisées, afin d’améliorer les prestations de services.

Dans de nombreux cas, il est nécessaire de communiquer des données confidentielles également aux fins de l’exécution des contrats ou de la fourniture d'autres prestations. Généralement, même les accords de confidentialité n’excluent pas de telles transmissions de données, de même que la transmission à des prestataires. En fonction de la sensibilité des données et d’autres circonstances, nous veillons toutefois à ce que ces tiers opèrent une gestion pertinente des données.

À l’heure actuelle, beaucoup d’États en dehors de la Suisse, de l’UE et de l’EEE ne possèdent pas de lois garantissant un niveau de protection des données adéquat au regard de la LPD ou du RGPD. Les précautions contractuelles évoquées permettent de compenser en partie cette protection moindre ou absente. Les précautions contractuelles ne peuvent toutefois pas exclure l’ensemble des risques (notamment le risque d’accès par les gouvernements étrangers). Vous devez avoir conscience de ces risques résiduels, même si le risque peut être faible au cas par cas, et nous prenons des mesures complémentaires (p. ex. pseudonymisation ou anonymisation) pour les réduire autant que possible.

La durée de notre conservation des données dépend par conséquent des prescriptions légales et internes et des finalités du traitement (cf. chiff. 4), dont fait partie la sauvegarde de nos intérêts (p. ex. pour exercer des droits ou contester des prétentions, à des fins d’archivage et pour garantir la sécurité informatique). 
Les finalités de documentation et de preuve comprennent nos intérêts, processus, interactions et d’autres faits en cas de prétentions, désaccords, finalités de la sécurité de l’informatique et de l’infrastructure et la preuve d’une bonne gouvernance d’entreprise et d’une bonne compliance. Une conservation peut être indispensable d’un point de vue technique si certaines données ne peuvent être séparées d’autres données et que nous sommes donc contraints de les conserver (p. ex. en cas de sauvegardes ou de systèmes de systèmes de gestion documentaire). 

Nos mesures de sécurité incluent des mesures telles que le codage et la pseudonymisation des données, l’établissement de procès-verbaux, les restrictions d’accès, l’enregistrement de copies de sécurité, des directives à nos collaborateurs, des accords de confidentialité, des contrôles, etc. Nous obligeons également nos gestionnaires à prendre des mesures de sécurité appropriées. Toutefois, en règle générale, les risques de sécurité ne peuvent pas être totalement exclus; certains risques résiduels sont inévitables. 

Nous protégeons vos données personnelles transmises sur nos sites Internet pendant leur transfert par des mécanismes de cryptage adéquats. Cependant, nous ne pouvons sécuriser que les domaines que nous contrôlons. 
Si vous nous contactez par e-mail, vous agissez à vos propres risques et acceptez que nous vous répondions via le même canal, à l’adresse de l’expéditeur. Si vous nous transmettez des e-mails non cryptés via Internet, ceux-ci peuvent potentiellement être accessibles par des tiers, qui pourront les consulter ou les manipuler. 

Nous sommes notamment tenus de traiter et d’enregistrer vos données personnelles afin d’exécuter un contrat avec vous, de défendre nos propres intérêts dignes de protection tels que la revendication, l’exercice et la défense de droits, ou de respecter des obligations légales. Par conséquent, dès lors que la loi l’autorise, pour protéger les droits et les libertés d’autres personnes concernées et pour sauvegarder des intérêts dignes de protection, nous pouvons refuser la requête d’une personne concernée en tout ou partie (p. ex. en noircissant certains contenus qui concernent des tiers ou nos secrets commerciaux).