En 2016, la Commission européenne a adopté le Règlement général sur la protection des données (ci-après « GDPR »). Elle instaure dès lors un cadre législatif uniformisé à l’ensemble du territoire de l’Union Européenne en ce qui concerne le traitement des données à caractère personnel. Le GDPR répond notamment à un double objectif : il responsabilise les organismes qui traitent les données et renforce les droits des personnes dont les données sont traitées.
Le GDPR est entré en vigueur le 25 mai 2018 et s’applique à toute organisation ou entreprise qui traite des données à caractère personnel pour son compte ou non, dès lors qu’elle est établie dans l’Union Européenne ou que son activité cible directement les résidents européens. Le GDPR est donc applicable à Ethias SA
Chez Ethias SA (ci-après « Ethias » ou « nous »), nous mettons tout en œuvre pour assurer le respect de votre vie privée et la protection de vos données à caractère personnel. La « protection des données dès la conception » (ci-après « privacy by design ») est également une priorité au sein de notre entreprise. Ce principe signifie que la protection des données est prise en compte lors du développement de nos projets et de nos produits mais également, tout au long de leurs évolutions.
Nous traitons vos données à caractère personnel afin de pouvoir vous offrir un service optimal et adapté à vos besoins. Celles-ci sont traitées dans le respect des finalités pour lesquelles vous nous les avez confiées et en toute transparence.
Dans le souci de souligner notre engagement en matière de vie privée, nous avons élaboré cette Charte relative à la protection des données (ci-après, la « Charte »). Celle-ci vise à vous informer des traitements qu’Ethias réalise, au travers de ses différentes marques (Ethias et Flora), de la manière dont Ethias protège vos données personnelles et des droits dont vous disposez.
Nous vous invitons à lire attentivement cette Charte qui souligne, par ailleurs, nos valeurs fondamentales, à savoir l’Humain et la Satisfaction du client. Pour toute autre question, n’hésitez pas à nous contacter à l’adresse suivante : DPO@ethias.be.
Nous attirons votre attention sur le fait que nos sites Internet peuvent parfois contenir des liens vers des sites de tiers (médias sociaux, organisateurs d’événements que nous sponsorisons, etc.) dont les conditions d’utilisation ne tombent pas sous le champ d’application de cette Charte ni sous notre responsabilité. Nous vous recommandons par conséquent de lire attentivement leur Charte de protection des données à caractère personnel pour savoir comment ils respectent votre vie privée.
1. Règlement général sur la protection des données
Le GDPR est un règlement européen qui vise à établir un cadre uniforme en matière de protection des données. Il est applicable au sein de tous les États Membres de l’Union Européenne depuis le 25 mai 2018.
En droit belge, il existe une loi qui vient compléter et préciser certaines dispositions du GDPR. Il s’agit de la loi du 30 juillet 2018, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
À la fin de cette Charte (Voir infra, Chapitre 19), vous trouverez une liste de définitions utile à la compréhension des termes utilisés. Nous vous invitons à la parcourir et à vous familiariser avec son contenu.
2. A qui s’adresse cette Charte ?
Cette Charte est destinée aux personnes physiques dont Ethias est amenée à traiter les données à caractère personnel telles que :
des prospects ou candidats-preneurs d’assurance ;
des personnes concernées par un contrat d’assurance (preneurs d’assurance, assurés, bénéficiaires) ;
des personnes impliquées dans un sinistre (parties préjudiciées, témoins, et leurs éventuels représentants) ;
des différentes personnes appelées à intervenir lors de la conclusion d’un contrat d’assurance ou de la gestion d’un sinistre (intermédiaires d’assurances, experts médicaux, réparateurs, dépanneurs, prestataires de soins, etc.) ;
des personnes qui soumettent leur candidature pour un poste vacant auprès d’Ethias.
Les données des personnes morales ne sont concernées ni par le GDPR ni par la présente Charte.
3. Responsable du traitement des données
Ethias S.A. (ci-après « Ethias » ou « nous ») est le responsable du traitement de vos données à caractère personnel qu’elle traite au travers de ses différentes marques (Ethias et Flora). Ethias est une société de droit belge, dont le siège social est situé Rue des Croisiers 24 à 4000 Liège, Belgique, enregistrée à la Banque Carrefour des Entreprises de Belgique sous le numéro 0404.484.654.
En qualité de responsable de traitement, nous déterminons les finalités (le « pourquoi ») et les moyens (le « comment ») du traitement de vos données à caractère personnel, et sommes votre interlocuteur principal (ainsi que celui des autorités de contrôle) pour toute question relative au traitement de celles-ci. La présente Charte vise à vous informer sur le traitement de vos données dont la responsabilité nous incombe.
Notre délégué à la protection des données (ci-après « DPD », « Data Protection Officer » ou « DPO ») est chargé du suivi de la politique en matière de protection des données. Il exerce sa mission conformément au GDPR en s’appuyant sur un réseau de « collaborateurs GDPR ». Via son réseau interne GDPR, Ethias garantit le bon suivi de toute question relative au GDPR, à l’exercice de vos droits ou à la présente Charte (le chapitre 4 est consacré à la question de la mise en place d’une structure de gouvernance vie privée au sein d’Ethias). Vous pouvez le contacter :
par courrier à l’adresse suivante : Ethias SA - DIM-Spoc GDPR Rue des Croisiers 24 4000 Liège
Nous mettons un point d’honneur à respecter votre vie privée et à traiter vos données à caractère personnel dans la plus stricte confidentialité et conformément à la législation en vigueur. C’est pourquoi nous avons mis en place de solides pratiques de gouvernance de données à caractère personnel. Cet engagement s’implémente notamment dans les mesures suivantes :
la tenue d’un registre de traitements des données à caractère personnel lorsque nous agissons en qualité de responsable de traitement ;
la mise en place d’une structure de gouvernance vie privée au sein d’Ethias. Nous avons désigné un Data Protection Officer. Comme expliqué ci-dessus, celui-ci est notre point de contact unique pour toutes questions relatives à la protection des données. Nous avons également mis en place un réseau de « collaborateurs GDPR » spécialement formés en matière de vie privée. Ces derniers sont déployés au sein des directions et départements : ils assurent le relais entre le DPO et les directions/départements, se chargent de la conformité GDPR et répondent aux questions spécifiques relatives à la protection des données ;
la réalisation d’analyse d’impact sur la protection des données (ci-après « AIPD », « Data Protection Impact Assessment » ou « DPIA ») pour tout traitement de données présentant un risque élevé pour vos droits et libertés et, lorsque ce risque est avéré, l’élaboration et l’implémentation de mesures pour réduire ce risque. La réalisation de ces DPIAs vise à garantir qu’Ethias gère de manière adéquate les risques que posent les opérations de traitement « à risque » pour la protection des données et de la vie privée. En proposant une réflexion structurée sur les risques pour les personnes concernées et sur la manière de les atténuer, le DPIA nous aide à nous conformer à l’exigence de la « protection des données dès la conception » (« privacy by design »).
5. Données traitées
Nous traitons vos données en toute transparence pour les finalités spécifiées lors de leurs collectes.
Les données à caractère personnel traitées appartiennent aux catégories développées ci-dessous.
A. Données à caractère personnel
Cette catégorie se rapporte aux données qui permettent de vous identifier directement (par exemple votre nom ou prénom) ou indirectement (par ex. votre numéro de téléphone ou la plaque d’immatriculation de votre véhicule).
En fonction du type d’assurance que vous contractez, les données suivantes peuvent être collectées :
Certaines données à caractère personnel, en raison de leur caractère particulièrement sensible, bénéficient d’une protection particulière et ne peuvent être traitées que moyennant le respect de conditions spécifiques figurant à l'article 9 du GDPR. Il s’agit notamment d’informations qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Vos données sensibles ne sont en aucun cas traitées sans votre consentement préalable explicite lorsqu’il est requis ou à des fins de prospection.
c. Données relatives aux condamnations pénales et aux infractions
Nous ne traitons les données relatives aux condamnations pénales et aux infractions que dans les cas suivants :
lorsqu’une loi prévoyant des garanties adéquates l’y autorise ;
lorsque nous en avons besoin pour gérer nos propres contentieux ;
lorsque vous nous avez donné votre consentement de manière explicite ;
lors de conseils juridiques, pour autant que la défense de nos clients l’exige
6. Moyens de collecte de vos données à caractère personnel
Nous collectons vos données à caractère personnel soit directement auprès de vous ou soit par l’intermédiaire d’un tiers.
a. Données collectées directement auprès de vous
Nous collectons vos données à caractère personnel directement lorsque par exemple :
vous devenez client ;
vous remplissez tout formulaire approprié que nous vous soumettons ;
vous utilisez nos services et produits ;
vous vous abonnez à nos newsletters, répondez à nos invitations (conférences, etc.), participez à nos concours, etc. ;
vous nous contactez par les différents canaux de communication mis à votre disposition ;
vos données sont transmises par des personnes que vous avez mandatées (assureurs, avocats, experts, membres de la famille etc.) ou qui sont autorisées à le faire en vertu d’une réglementation;
vous êtes filmé par nos caméras de surveillance situées dans et aux abords de nos bâtiments. Les images sont enregistrées uniquement dans le but de préserver la sécurité des biens et des personnes ainsi que de prévenir les abus, fraudes et autres infractions dont nos clients et nous-même pourrions être victimes (leur présence est signalée par des autocollants munis de nos coordonnées de contact) ;
vous communiquez des données lors de l’utilisation de nos sites Internet (y compris nos pages sur les réseaux sociaux) et de nos applications mobiles, par exemple lorsque : - vous nous communiquez vos données lors de la souscription à notre newsletter ; - vous demandez en ligne une offre d’assurance ; - vous remplissez vos données en ligne pour soumettre votre candidature pour un poste vacant auprès d’Ethias ; - vous déclarez un sinistre ou vous demandez de l’assistance ; - vous déclarez une hospitalisation ; - vous souscrivez des contrats en ligne ; - vous remplissez vos données dans les « zones privées » des sites Internet ; - vous créez votre personnage Ethias ;
vous visitez un de nos sites Internet ou vous utilisez une de nos applications mobiles qui contiennent des cookies et autres technologies similaires. Pour plus d’informations sur les cookies que nous utilisons, nous vous invitons à consulter notre Cookie Policy: https://www.ethias.be/part/fr/legal/cookie-infopage.html.
Lorsque nous vous demandons de nous communiquer des données à caractère personnel, vous avez le droit de ne pas y répondre. Ce refus pourrait toutefois empêcher la naissance de relations contractuelles, modifier la nature de celles-ci ou en influencer la gestion.
b. Données collectées par l’intermédiaire de tiers
Nous collectons vos donnéespar l’intermédiaire de tiers qui nous les ont communiquées dans le cadre de la souscription ou de la gestion d’un contrat ou de la gestion d’un sinistre ou dans le cadre de nos activités promotionnelles organisées conformément à la règlementation applicable en matière de e-privacy et de protection des données à caractère personnel.
C’est notamment le cas :
d’un employeur qui souscrit pour le compte de son personnel une assurance de groupe, une assurance accident de travail une assurance collective soins de santé ;
d’un établissement scolaire qui nous communique l’identité des personnes accidentées ou impliquées dans un sinistre ;
d’une fédération sportive ou d’un club sportif qui nous communique l’identité des membres assurés et des personnes accidentées ou impliquées dans un sinistre ;
des parties impliquées dans un sinistre qui nous communiquent l’identité des parties adverses ou des témoins ;
des partenaires commerciaux d’Ethias dans le cadre des activités promotionnelles d’Ethias.
Nous collectons également vos données qui sont publiées (Moniteur belge).
7. Bases légales et finalités du traitement des données
Conformément au GDPR, chaque traitement de données s’appuie sur une base légale et répond à une/des finalité(s) spécifique(s).
Il est basé sur une seule base légale. Cette dernière est déterminée en fonction des éléments suivants :
la nature des données à caractère personnel ;
la finalité spécifique (l’objectif ou le « pourquoi ») pour laquelle nous souhaitons traiter vos données.
Base légale : en vue de la conclusion, l’exécution et/ou de la gestion d’un contrat à votre demande. Vos données non-sensibles peuvent être collectées pour :
la gestion de la relation client ;
l’évaluation de l’opportunité de conclure un contrat d’assurance et/ou des conditions à y assortir;
la fourniture de services ;
la gestion et le traitement de réclamations ;
la préparation et la collecte des factures ;
le suivi des discussions commerciales et des litiges avec nos clients et la réponse aux questions éventuelles ;
la fourniture d’un soutien technique ;
la gestion des contrats et des sinistres.
Base légale : en vue de respecter les obligations, légales, réglementaires et administratives nous incombant en notre qualité d’assureur.
Vos données peuvent être collectées pour :
la gestion des accidents du travail, assurance de groupe ou de pensions, prêt hypothécaire, prévention du blanchiment de capitaux ;
la mise en œuvre de la législation Insurance Distribution Directive ;
la lutte contre la fraude fiscale ;
l’exécution des obligations sociales et fiscales d’Ethias ;
l’exécution de notre obligation de répondre aux questions des autorités de contrôle ou gouvernementales telles que l'Autorité de protection des données (APD), l'Autorité des services et marchés financiers (FSMA), la Banque Nationale de Belgique (BNB), les Organisations sectorielles ou de consommateurs (par ex. Ombudsman des Assurances), etc.
Base légale Lorsqu’il relève de notre intérêt légitime ou de celui de tiers (tels que nos assurés et créanciers). Dans cette hypothèse, nous procédons à une évaluation approfondie afin de maintenir un juste équilibre entre notre intérêt légitime ou celui du tiers et le respect de votre vie privée
Vos données non-sensibles peuvent être collectées pour :
l’analyse des besoins de nos assurés dans le cadre d’une politique de marketing saine et efficace, dans la mesure où la prospection commerciale qui en découle n’entraine pas de décision automatisée ayant un effet juridique. Pour plus d’informations sur le profilage : voir infra, Chapitre 9 ;
la détection et la prévention des abus et fraudes ;
la protection des biens de l’entreprise ;
la sécurité des biens et des personnes, ainsi que de nos réseaux et systèmes informatiques ;
la sauvegarde de nos intérêts propres et à ceux de nos assurés ;
la révélation de tout abus portant ou susceptible de porter un préjudice sérieux à notre statut financier, nos résultats et/ou à notre réputation ;
la constitution de preuve(s) ;
le suivi de nos activités et la connaissance administrative des différentes personnes liées à Ethias, qui permet l’identification des dossiers, de l’intermédiaire et d’autres intervenants ;
la réalisation d’enquêtes de satisfaction ;
une candidature que vous soumettez en communiquant à Ethias vos données en ligne.
la gestion des fichiers clients afin d’avoir une vision plus globale (par ex. l’établissement de statistiques en vue de savoir qui sont nos clients et comment les connaitre davantage) ;
la réalisation de tests évaluation des risques, simplification, optimalisation et/ou automatisation ;
la mise en œuvre de processus purement internes à Ethias afin de les rendre plus efficaces ;
la mise en œuvre de systèmes en ligne afin d’améliorer votre expérience en tant qu’utilisateur (par ex. résoudre des bugs sur nos sites Internet et applications mobiles, vous contacter pour résoudre des problèmes techniques lorsque nous avons constaté que vous avez commencé à remplir vos données en ligne pour bénéficier d’un service mais que vous n’avez pas pu continuer ce processus, etc.) ;
l’optimisation et gestion des canaux de distribution d’Ethias.
Base légale – Lorsque nous vous avons demandé votre consentement et que vous (ou votre représentant légal) nous l’avez donné. Dans ce cas, vos données à caractère personnel sont traitées pour la ou les finalité(s) spécifique(s) auxquelles vous avez consentie(s) via nos documents contractuels, nos formulaires-type, ou des intermédiaires d’assurance.
Vos données non-sensibles peuvent être collectées pour :
la gestion de contrats d’assurances (assurance-vie, hospitalisation, revenu garanti, etc.), d’un sinistre avec dommage corporel ou de votre dossier médical (accident de roulage, du travail, sportif etc.) en ce qui concerne les données relatives à la santé ; et/ou
afin de vous représenter dans le cadre d’assurances liées à votre activité professionnelle (par ex. assurance de groupe, accident du travail, etc.) lorsque vous mandatez un délégué syndical.
Vos données à caractère personnel relatives aux condamnations pénales et aux infractions peuvent être collectées pour :
l’évaluation de l’opportunité de conclure un contrat d’assurance auto et/ou des conditions à y assortir
Base légale – Lorsque le traitement est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice / Gestion de nos propres contentieux.
Nous pouvons être amenés à devoir traiter vos données à caractère personnel, y compris vos données de santé et/ou vos données à caractère personnel relatives aux condamnations pénales et aux infractions pour les cas suivants : soit pour la constatation, l'exercice ou la défense d’éventuels droits en justice, soit pour la gestion de nos propres litiges, lors de conseils juridiques, pour autant que la défense de nos clients l'exige.
8. Traitements de données à des fins de prospection
Si vous visitez un de nos sites Internet ou vous utilisez une de nos applications mobiles, vous pouvez choisir si vous acceptez ou non les cookies et, le cas échéant, les autres moyens technologiques qui récoltent des données et des informations relatives à vos habitudes de navigation. Les cookies sont essentiels au bon fonctionnement de nos sites. Ils remplissent divers rôles: retenir vos préférences, collecter des données statistiques, adapter le contenu et/ ou la publicité des sites selon vos besoins.
Pour plus d’informations, nous vous invitons à consulter notre Cookie Policy.
a. Prospection par Ethias
Sur base de notre intérêt légitime ou de votre consentement, selon les cas, nous pouvons traiter vos données à caractère personnel à des fins de prospection.
Nous nous appuierons sur nos intérêts légitimes pour de la prospection :
par courrier ordinaire, par téléphone.
Nous nous appuierons sur votre consentement pour de la prospection :
par email et sms conformément à la Directive e-Privacy qui a été transposée dans le Code de droit économique (« Livre XII - Droit de l’économie électronique ») et dans l’arrêté royal du 4 avril 2003 visant à réglementer l'envoi de publicités par courrier électronique. Il existe toutefois une exception pour nos clients existants qui ont fourni leurs coordonnées électroniques dans le cadre de l’achat de produits ou services similaires et à condition qu’il leur soit toujours offert la possibilité d’exercer leur droit d’opposition. Le consentement n’est en outre pas nécessaire pour les adresses impersonnelles des personnes morales.
En l’absence d’un consentement préalable de votre part, nous ne transférons et ne communiquons pas vos données à des tiers pour leurs propres prospections.
Si le traitement est basé sur le consentement, vous pouvez à tout moment le retirer comme expliqué à la section « Droits » 12, h.
Le but est d’apprendre à mieux connaître vos attentes et besoins afin de vous envoyer des offres et propositions pertinentes.
La liste ci-dessous indique les cas pour lesquels vous pouvez être contacté :
afin de vous informer sur nos nouveaux produits d’assurance (similaires) à ceux que vous avez contractés ;
afin d’optimiser le portefeuille d’assurances que vous avez souscrit ;
afin de bénéficier de la tarification la plus avantageuse ;
afin de vous proposer des produits d’assurances plus adaptés à votre situation familiale ou professionnelle ;
afin de vous envoyer des offres ou des propositions telles que des offres d’assurance ; ou
afin de vous envoyer des propositions à participer à des concours.
Dans le cadre de cette prospection, nous pouvons vous contacter par des moyens de communication traditionnels (téléphone, courrier ordinaire, etc.) ou électroniques (courriel, SMS, etc.).
Nous utilisons uniquement les données :
que vous avez communiquées de manière directe ou indirecte lors de vos interactions avec nous (par exemple, concernant vos habitudes de paiement des avis d’échéance, votre sinistralité, etc.) ;
que nous avons obtenues de la part de nos partenaires commerciaux après que votre consentement ait été donné ;
que nous avons obtenues via des cookies (et/ou autres technologies similaires) que vous avez acceptés lors de votre navigation sur nos sites web et applications mobiles, en ce compris les pages d’Ethias sur les réseaux sociaux (par exemple, notre page Facebook). Ces données peuvent, le cas échéant, être corrigées par un fournisseur professionnel de données.
En aucun cas, nous n’utilisons vos données sensibles (à savoir celles visées au Chapitre 5, point b) et c), telles que vos données santés) dans le cadre de la prospection.
b. Prospection et enfants
Toute modification de la présente Charte fera l’objet d’une information spécifique via le site Internet d’Ethias, par le biais d’un onglet spécialement dédicacé.
Nous n’adressons pas de publicité relative à des produits d’assurance directement aux mineurs de moins de 16 ans sauf en cas de consentement donné par le titulaire de la responsabilité parentale.
c. S’opposer à la prospection
Si vous souhaitez vous opposer à nos communications de prospection basées sur nos intérêts légitimes, nous vous invitons à :
cocher la case prévue à cet effet dans nos documents contractuels ; ou
envoyer une demande datée et signée accompagnée d’une copie recto-verso de votre pièce d’identité par courrier à l’adresse suivante : Ethias SA, Data Protection Officer, Rue des Croisiers 24 à 4000 Liège ou par e-mail: DPO@ethias.be ; ou
désactiver les cookies (et autres technologies similaires) présents sur nos sites web et applications mobiles, y compris sur nos pages de réseaux sociaux.
9. Traitements de données : profilage
Le profilage vise un traitement de données à caractère personnel d’une personne en vue d’analyser et de prédire son comportement. Il inclut également le ciblage utilisé notamment lors de campagnes ou segmentations marketing.
Pour les activités de profilage, selon les cas, nous nous basons soit sur notre intérêt légitime, soit sur votre consentement (opt-in) en fonction des cas (finalités poursuivies, impact sur la personne concernée et éventuelle prise de décision automatisée). Selon les cas, une autre base légale peut être invoquée (par ex. une obligation légale ou l’exécution du contrat.
Nous pouvons avoir recours au profilage en vue de mieux connaitre nos clients et d’adapter nos communications et offres et ainsi, améliorer l’efficacité de nos campagnes marketing. Pour ce faire, seules les données nécessaires à ces communications sont collectées à savoir notamment :
nom, prénom ;
langue ;
numéro de téléphone, adresse e-mail, adresse du domicile ;
état civil, composition du ménage ;
activité professionnelle et secteur d’activités ;
loisirs et intérêts.
Le traitement de profilage est également utilisé à des fins de prospection afin d’assurer que vous recevez des offres pertinentes et adaptées à vos besoins. En d’autres mots, cela implique :
la segmentation par profils généraux ou spécifiques en vue de prévoir et estimer au mieux vos besoins, comportements et/ou votre potentiel d’achat. Pour ce faire, nous prenons en compte votre catégorie de preneur d’assurances et les moments « charnières » de votre vie pour lesquels un produit ou service d’assurance peut s’avérer utile (ex. premier emploi, achat d’un véhicule ou d’une habitation, naissance, départ à la pension, etc.) ;
l’évaluation de vos attentes vis-à-vis d’Ethias en qualité de prestataire de services tels que votre proactivité en termes d’assurances, votre volonté de disposer périodiquement d’un commentaire à propos de votre portefeuille, etc. ;
le suivi de votre intérêt par rapport aux produits et services proposés par Ethias via entre autres :
• la participation à un concours ;
• la réalisation d’une simulation ;
• l’utilisation d’une application ;
• la demande d’information ;
• les événements futurs (par exemple, l’achat d’une nouvelle maison, d’une nouvelle voiture, etc.) ;
l’examen de vos produits et services afin de vous faire une proposition d’un ensemble de produits et services similaires susceptibles de vous procurer un avantage global ;
l’examen de l’utilisation de vos produits et services afin de pouvoir vous en proposer d’autres plus adéquats à votre situation personnelle.
Si vous souhaitez vous opposer à nos activités de profilage ou retirer votre consentement, nous vous invitons à nous communiquer votre demande datée et signée accompagnée d’une copie recto-verso de votre pièce d’identité par courrier à l’adresse suivante : Ethias SA, DIM-Spoc GDPR, Rue des Croisiers 24 à 4000 Liège ou par e-mail : DPO@ethias.be.
10. Minimisation et proportionnalité
Seules les données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées (principe de minimisation) sont collectées. Pour chaque traitement de données, nous vérifions si celui-ci est nécessaire pour atteindre la finalité visée et déterminons s’il s’agit de la mesure la moins intrusive par rapport aux autres moyens permettant de réaliser le même objectif.
11. Transparence
Nous mettons tout en œuvre pour vous fournir des informations concises et claires quant aux traitements de données effectués et à leurs finalités. Nous adaptons la langue, les termes et le moyen de communication utilisés en fonction du public visé.
12. Vos droits
Hormis les cas où le GPDR ou toute disposition légale en vigueur en Belgique s’y opposent, vous disposez des droits suivants :
droit d’accès ;
droit de rectification ;
droit à l’effacement (« droit à l’oubli ») ;
droit à la limitation de traitement ;
droit à la portabilité de vos données ;
droit à l’opposition ;
droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire ;
droit de retirer votre consentement.
Nous mettons en place des procédures qui vous permettent d’exercer efficacement vos droits liés au traitement des données à caractère personnel. Ces procédures visent également à assurer le traitement de vos demandes dans les meilleurs délais. En tant qu’assureur, Ethias ne peut prendre le risque de donner suite à une demande qui n’émanerait pas d’une personne autorisée. C’est pourquoi, nous devons vérifier l’identité de notre interlocuteur et vous demandons de nous communiquer une copie recto-verso de votre carte d’identité.
Pour exercer vos droits ou pour toute question relative à la protection de vos données à caractère personnel, nous vous invitons à nous communiquer votre demande datée et signée accompagnée d’une copie rectoverso de votre pièce d’identité par courrier à l’adresse suivante : Ethias SA, DIM-Spoc GDPR , Rue des Croisiers 24 à 4000 Liège ou par e-mail: DPO@ethias.be.
a. Droit d'accès
Vous avez le droit d’accéder à vos données à caractère personnel qui sont en notre possession. Ce droit vous permet également d’obtenir les informations caractéristiques du traitement à savoir :
la finalité du traitement des données ;
les catégories de données à caractère personnel traitées ;
les destinataires auxquels vos données sont communiquées ;
lorsque cela est possible, leur durée de conservation, ou le cas échéant, les critères utilisés pour déterminer cette durée ;
l’existence d’une prise de décision automatisée (y compris le profilage) et dans ce cas, la logique sousjacente, ainsi que de l’importance et des conséquences de cette décision (voir « Section 12 g »).
Notez que pour tout accès relatif à des données médicales, le délai pour en recevoir l’accès est d’un mois à partir de la réception de la demande ou de deux mois si les données demandées remontent à plus de 5 ans
b. Droit de rectification
Il est primordial que vous conserviez la maitrise de vos données. Dès lors, si vous constatez que les données en notre possession sont inexactes, vous pouvez à tout moment nous demander de les compléter ou de les rectifier.
Après votre confirmation des changements apportés, veuillez compter un délai d’un mois à partir de la vérification de votre identité pour que vos données soient mises à jour.
c. Droit à l'effacement (« droit à l’oubli »)
Vous avez le droit de demander la suppression des données à caractère personnel en notre possession. La loi prévoit les cas pour lesquels le droit à l’oubli peut être exercé, il s’agit notamment des cas suivants :
vos données ne sont plus nécessaires au regard des finalités pour lesquelles nous les avons collectées ;
le traitement de vos données est fondé exclusivement sur votre consentement et vous décidez de retirer celui-ci ;
vous êtes opposé au traitement de vos données et il n’existe pas dans notre chef de motifs légitimes impérieux qui prévalent sur les vôtres ;
vous estimez que le traitement est illicite est le cas est avéré.
Ce droit n’est toutefois pas absolu. Nous pouvons conserver vos données lorsque celles-ci sont nécessaires :
à l’exécution d’une obligation légale ;
à l’exécution de nos obligations contractuelles ;
à des fins statistiques étant entendu que dans ce cas, nous prenons toutes les mesures techniques et organisationnelles pour assurer le respect du principe de minimisation des données ;
à la constatation, à l’exercice ou à la défense de droits en justice.
Après votre confirmation de supprimer vos données en notre possession, veuillez compter un délai d’un mois maximum à partir de la vérification de votre identité pour que vos données soient supprimées.
d. Droit à la limitation du traitement
La loi prévoit les cas dans lesquels vous pouvez demander la limitation du traitement de vos données à caractère personnel. Il s’agit des hypothèses suivantes :
vous contestez l’exactitude des données à caractère personnel, pendant une durée nous permettant de vérifier l’exactitude ou non des données ;
le traitement est illicite et vous vous opposez à leur effacement et exigez à la place une limitation de leur utilisation ;
vous constatez que vos données à caractère personnel ne nous sont plus nécessaires et souhaitez en limiter le traitement à la constatation, l’exercice ou la défense de vos droits en justice ;
vous vous êtes opposé au traitement de vos données à caractère personnel lors de la vérification portant sur le point de savoir si nos motifs légitimes de poursuivre le traitement prévalent sur les vôtres.
Dans ces hypothèses, notez que le traitement de vos données peut tout de même avoir lieu si :
- vous consentez à ce traitement ; ou - le traitement de vos données est nécessaire à la constatation, l’exercice ou la défense de droits en justice ; ou - le traitement est nécessaire à la protection des droits d’une autre personne physique ou morale ; ou - le traitement est nécessaire pour des motifs importants d’intérêt public.
e. Droit à la portabilité
Lorsque vos données à caractère personnel sont traitées sur base de votre consentement ou parce qu’elles sont nécessaires à l’exécution d’un contrat, vous bénéficiez d’un droit à la portabilité. Ce dernier vous permet de récupérer une partie de vos données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine. De plus, ce droit vous permet de nous demander à ce que vos données soient transmises à un autre responsable de traitement à condition toutefois que cette opération soit techniquement possible.
f. Droit d’opposition
Lorsque nous traitons vos données à caractère personnel sur base de notre intérêt légitime, vous avez le droit de vous opposer à ce traitement sous réserve de raisons tenant à votre situation particulière. Nous pouvons refuser votre demande d’opposition lorsque des motifs légitimes et impérieux nous imposent de poursuivre le traitement ou lorsque celui-ci est justifié pour la constatation, l’exercice ou la défense de droits en justice.
Notez que nous ne pouvons refuser le droit d’opposition au traitement de vos données à caractère personnel au profilage ou à des fins de prospection ou marketing direct.
g. Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire
Afin de vous offrir un service de qualité, nous automatisons certains traitements de données afin de faciliter la prise de décision. Ces traitements automatisés doivent répondre à des conditions strictes, ils doivent être soit :
nécessaires à la conclusion ou à l’exécution du contrat ;
basés sur votre consentement explicite ;
légalement autorisés.
Au regard de cette décision automatisée, vous bénéficiez des droits suivants :
être informé qu’une décision entièrement informatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire a été prise à votre encontre ;
demander et être informé de la logique qui sous-tend une telle décision, sa signification et les conséquences qui en découlent ;
de contester la décision et d’exprimer votre point de vue ;
de demander l’intervention d’un être humain pour le réexamen de la décision.
h. Droit de retirer votre consentement
Lorsque le traitement de vos données à caractère personnel est exclusivement basé sur votre consentement, vous pouvez décider de le retirer à tout moment. Nous nous assurerons que les données soient supprimées sauf si un autre motif juridique nous permet de les traiter (par ex. lorsque le traitement est nécessaire pour honorer un contrat).
Si les données supprimées sont traitées pour différentes finalités, nous ne pouvons pas utiliser ces données pour la partie du traitement pour laquelle votre consentement a été retiré, ni pour aucune des finalités, selon la nature du retrait de votre consentement.
Notez toutefois que lorsque votre demande porte sur des données relatives à la santé, celles-ci sont indispensables à la détermination de l’ampleur de l’indemnisation dans le cadre d’une demande d’intervention. En conséquence, nous pourrons nous trouver dans l’impossibilité de donner suite à votre demande ou d’appliquer le contrat.
De plus, l’exercice de ce droit ne remet pas en cause la légalité du traitement de vos données à caractère personnel effectué durant la période précédant votre demande.
i. Droit de réclamation
Si vous estimez que le traitement de vos données à caractère personnel constitue une atteinte à votre vie privée, vous avez également le droit d’introduire une plainte auprès de l’Autorité de protection des données (ci-après « APD ») :
j. Exceptions à l’exercice de vos droits : dispositions particulières en matière de blanchiment d’argent
Conformément aux dispositions relatives au blanchiment d’argent, nous sommes tenus de prévenir, détecter et signaler les opérations de blanchiment d’argent aux autorités. Nous traitons à cet effet les données à caractère personnel que vous nous avez communiquées ainsi que celles de canaux tels que World-Check de Thomson Reuteur ou d’autres moteurs de recherche en ligne. À la suite de ce traitement, nous pouvons être amenés à bloquer certaines transactions et à les signaler à la Cellule de Traitement des Informations Financières (CTIF). Les droits mentionnés ci-dessus ne peuvent alors pas être exercés et nous vous invitons à vous adresser à l’APD.
13. Conservation des données
Vos données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation de ces finalités, en général vos données sont conservées jusqu’à la fin de l’exécution de votre contrat ou du sinistre et parfois au-delà comme expliqué ci-après. La durée de conservation varie selon le type de données et les législations applicables en la matière. Au-delà de cette durée, vos données sont supprimées.
Certaines de vos données sont cependant conservées en vue :
de répondre à nos obligations légales de conservation ;
de répondre à nos obligations découlant de législations sociales ;
d’assurer l’exécution de réclamations contractuelles jusqu’à l’expiration du délai de prescription applicable ;
de répondre à tout litige potentiel ou réel.
Le stockage de vos données implique des risques. Certains moyens peuvent être mis en oeuvre en vue de limiter la conservation de celles-ci à savoir :
restreindre les droits d’accès normaux aux données stockées ;
moyens dédiés de stockage/archivage des données ;
ségrégation des données ;
utilisation de techniques de chiffrement ou cryptage, les données stockées seront inaccessibles via les paramètres standard des droits d’accès utilisateur et pour toutes opérations de traitement
Nous veillons à ce que ces exigences de conservation soient également respectées par nos partenaires et fournisseurs qui traitent des données à caractère personnel en notre nom (nos sous-traitants).
Pour obtenir plus d’informations sur la durée de conservation de vos données à caractère personnel, nous vous invitons à vous adresser à l’adresse électronique suivante: DPO@ethias.be.
14. Transferts de données et destinataires
En tant qu’assureur, nous sommes contraints de communiquer vos données à caractère personnel à des tiers afin de mener à bien nos missions, de répondre aux demandes d’indemnisations de parties sinistrées, de respecter nos obligations légales ou dans le cadre de nos activités promotionnelles. Ces tiers peuvent être implantés au sein de l’Espace Economique Européen (ci-après « EEE ») mais également en dehors de celui-ci.
a. Transferts de données au sein de l’EEE – Destinataires
Au sein de l’EEE, vos données à caractère personnel peuvent être communiquées :
à nos collaborateurs et conseillers ;
aux autres entités du groupe, leurs collaborateurs et conseillers ;
à d’autres entreprises d’assurances intervenant dans la gestion de contrats ou de sinistres, à leurs représentants en Belgique et à leurs correspondants à l’étranger ;
à « Datassur » ;
aux entreprises de réassurance ;
aux banques ;
à des bureaux de règlement de sinistres (nationaux ou internationaux) ;
dans certains cas, aux intermédiaires d’assurance avec lesquels nous collaborons ;
à tous les experts médicaux ou techniques, avocats, conseils techniques, réparateurs, intervenant dans le cadre de la gestion d’un contrat ou d’un sinistre ;
aux détectives privés pour les éventuelles enquêtes en matière de fraude ;
à nos prestataires de services informatiques (NRB, Assurcard, etc.) ;
à nos partenaires commerciaux (sous réserve de votre consentement) comme par ex. des associations de consommateurs, assurances.be, Ethias Services, etc. ;
aux bureaux de marketing et de communication ;
aux entreprises en charge de la gestion documentaire (scanning, archivage, expédition de courriers, etc.) ;
aux autorités sociales, fiscales, administratives déterminées par la loi ;
aux autorités de contrôle et à l’ombudsman des assurances.
Conformément aux pratiques usuelles en matière de sécurité et de protection des données, nous veillons à ne transférer que les données nécessaires à l’exercice de leurs tâches, à l’exécution d’une obligation contractuelle/légale, ou au regard de l’intérêt légitime qui justifie ce transfert. Ces tiers se sont également engagés auprès de nous à traiter ces données confidentiellement et dans les limites de la finalité pour laquelle elles ont été transférées.
En ce qui concerne nos sous-traitants, nous contractons systématiquement avec chacun d’entre eux un contrat de traitements de données. Ceux-ci doivent respecter les principes repris dans cette Charte. Nous réalisons des audits afin d’assurer leurs conformités aux règles contractuelles et règlementaires applicables. Nos sous-traitants sont également tenus de répercuter vis-à-vis de leurs propres sous-traitants ces obligations de conformité.
Notez que pour la communication de vos données à des fins commerciales ne peut avoir lieu sans votre consentement
b. Transferts de données au tiers à l’extérieur de l’EEE – Destinataires
Si nous devions transférer vos données personnelles en dehors de l’EEE, nous vérifions que le pays en question dispose du même niveau de protection que celui en vigueur au sein de l’EEE, que des garanties appropriées ont été mises en place (encryption, pseudonymisation, clauses contractuelles types,...), ou encore, que des dérogations peuvent être invoquées.
Dans le cas de la gestion des sinistres, en fonction des situations, nous pourrions être appelés à transférer des données personnelles hors EEE, afin d’assurer la bonne exécution de notre contrat avec notre client.
15. Cookies
Nous utilisons des cookies sur nos sites internet. Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web. Ces cookies nous permettent d’améliorer notre site, de faciliter votre navigation, de vous offrir une expérience optimale ou d’analyser notre audience (voir ci-dessous « Section 19. Définitions ».
Sensibiliser notre personnel à la protection des données et aux principes du GDPR est une mission qui nous tient à cœur. Raison pour laquelle, nos employés bénéficient d’un programme de formations adapté à leurs fonctions et aux opérations de traitement de données qu’ils mènent.
De plus, notre réseau collaborateurs GDPR (voir ci-dessus « Sections 3 et 4 ») assure la sensibilisation du personnel et la promotion de la protection de la vie privée au sein de chacun de nos départements.
17. Sécurité et gouvernance: mesures techniques et organisationnelles
En termes de sécurité, nous implémentons des mesures techniques et organisationnelles appropriées afin de nous protéger contre la destruction, la perte, l’altération, la divulgation non-autorisée ou l’accès aux données à caractère personnel transmises, stockées ou traitées.
Afin de définir le niveau de sécurité adéquat pour notre organisation, nous évaluons les risques liés à chacun des traitements de données que nous opérons en fonction de leurs contextes (nature, finalité, portée, catégories de données traitées) et des moyens technologiques disponibles.
En termes de gouvernance, nous adoptons les procédures nécessaires pour veiller à l’accomplissement des obligations et exigences du GDPR à savoir :
les analyses d’impact sur la protection des données (AIPD) ou Data Protection Impact Assessment (DPIA) ;
les méthodologies d’évaluation des risques, notamment dans le cadre de transferts hors EEE (« Transfer Impact Assessments » ou « TIA ») ;
les méthodologies de protection des données dès la conception et par défaut (« Privacy par design and Privacy par default »).
Ces procédures nous permettent de déterminer si le traitement des données est légal, si celui-ci présente des risques et si tel est le cas, les mesures techniques et organisationnelles à mettre en place pour réduire ces risques.
18. Modification de la Chart
Cette Charte peut être mise à jour à tout moment et sans avis de modification. Nous vous invitons à la consulter régulièrement sur notre site internet.
Dernière mise à jour : 15-06-22
19. Définitions
Termes
Définitions
Analyses d’impact sur la protection des données (AIPD)/ Data Protection Impact Assessment (DPIA)
Une analyse d’impact sur la protection des données est une étude qui doit être menée lorsqu'un traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
Autorité Protection des données (APD)
L’Autorité publique indépendante chargée de contrôler l’application des lois et règlements applicables en matière de protection des données.
Cookies
Un cookie est un petit fichier stocké par un serveur
dans le terminal (ordinateur, téléphone, etc.) d’un
utilisateur et associé à un domaine web (c’est-à-dire
dans la majorité des cas à l’ensemble des pages d’un
même site web). Ce fichier est automatiquement
renvoyé lors de contacts ultérieurs avec le même
domaine. Il peut permettre d’identifier une personne
physique sur base des données personnelles qu’il
collecte.
Délégué à la protection des données (DPD)/Data Protection Officer (DPO)
Le délégué à la protection des données, data protection officer ou « DPO » est chargé de mettre en oeuvre la conformité au GDPR au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en oeuvre par cet organisme. Dans certains cas, sa désignation est obligatoire.
Données à caractère personnel ou données-personnelles
Les données à caractère personnel sont des données
se rapportant à une personne physique identifiée ou identifiable par la combinaison d’informations.
Données sensibles
Les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Intérêt légitime
L’intérêt légitime est une des bases légales prévues par le GDPR sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.
Minimisation (Principe de)
Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Personne concernée
Toutes les personnes physiques dont Ethias est amené à traiter les données.
Profilage
Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à un individu, notamment pour analyser ou prédire son comportement.
Responsable du traitement
Une personne physique ou morale (comme Ethias) qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
Tiers
Un tiers est une toute personne (physique ou morale), autorité publique, ou autre organisme autorisé à traiter les données à caractère personnel.
La protection de votre vie privée : un engagement à l’échelle de notre entreprise. Ethias, soucieuse de préserver la confidentialité et l’intégrité de ses données, a communiqué le présent engagement à l’ensemble de son personnel. Simplifier l'assurance pour apporter sécurité, tranquillité et liberté d'entreprise avec des services et des produits innovants. Partenaire de votre quotidien, nous mettons notre expertise et notre énergie à votre service.
Inscris-toi à la newsletter Ethias On Tour
Je voudrais être tenu informé de :
Tu t'es inscrit avec succès à la newsletter Ethias On Tour.
Nous utilisons des cookies pour vous garantir un confort de navigation optimum et vous proposer du contenu ciblé, tel que des publicités adaptée à vos centres d'intérêts. Vous pouvez les accepter ou paramétrer leur utilisation vous-même.
Définissez les catégories de cookies que vous acceptez, puis enregistrez vos préférences :
Cookies essentiels
Ces cookies sont nécessaires au bon fonctionnement du site au niveau technique. Il n’est pas possible de les refuser si vous souhaitez visiter notre site internet. Ces cookies sont placés dès que vous accédez au site internet.
Cookies fonctionnels
Ces cookies permettent de faciliter la visite sur le Site Web et de naviguer de manière optimale. Ils ne sont placés qu’après que vous ayez effectué un choix au niveau du placement des cookies.
Cookies de tracking
Ces cookies permettent à Ethias d'analyser l'activité des utilisateurs afin de leur proposer un contenu adapté et des publicités ciblées.