Déclaration relative à la protection des données

2. Interlocuteurs pour les questions relatives à la protection des données

3. Définitions

Pour une meilleure compréhension, nous souhaitons tout d’abord clarifier les principales notions utilisées dans la présente déclaration relative à la protection des données. À cet égard, nous nous en tenons aux définitions de la loi suisse sur la protection des données.

• Données personnelles: toutes les informations se rapportant à une personne physique identifiée ou identifiable;
• personnes concernées: les personnes physiques dont les données sont traitées;
• données personnelles sensibles:
  (1) données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales,
  (2) données relatives à la santé, à la sphère intime ou à l’appartenance à une race ou à une ethnie,
  (3) données génétiques,
  (4) données biométriques identifiant clairement une personne physique,
  (5) données relatives aux poursuites ou sanctions administratives et pénales et
  (6) données relatives aux mesures d’aide sociale;
• traitement: toute manipulation de données personnelles, quels que soient les moyens et procédés utilisés, notamment le recueil, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données;
• profilage: toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels se rapportant à une personne physique, notamment pour analyser ou prédire des aspects relatifs au rendement au travail, à la situation économique, à la santé, aux préférences personnelles, aux intérêts, à la fiabilité, au comportement, à la localisation ou aux déplacements de cette personne physique;
• responsable du traitement: personne privée ou organe fédéral qui, seul ou conjointement avec d’autres, décide des finalités et des moyens du traitement;
• sous-traitant: personne privée ou organe fédéral qui traite des données personnelles pour le compte du responsable.

4. Bases légales

La présente déclaration relative à la protection des données est conforme aux exigences de la loi fédérale suisse sur la protection des données («LPD»), de l’ordonnance correspondante («OPDo») et du règlement général sur la protection des données («RGPD») de l’Union européenne. La nature et l’étendue de la législation applicable dépendent du cas d’espèce. Le droit étranger sur la protection des données ne s’applique que dans la mesure où le droit applicable le prévoit impérativement et uniquement pour les processus de traitement des données et les personnes concernés.

Lors du traitement des données personnelles, nous respectons les dispositions applicables en matière de protection des données.

Le traitement des données personnelles ne doit pas porter atteinte de manière illicite à la personnalité des personnes concernées. Pour cette raison, un tel traitement de données doit satisfaire aux principes de traitement de la loi sur la protection des données et/ou être légitimé par un motif de justification. Nous sommes notamment autorisés à traiter des données personnelles lorsque le traitement:

• repose sur une base légale.
  Le traitement de données personnelles peut être exigé par la loi ou légitimé. C’est notamment le cas dans le contexte de la mise en œuvre de l’assurance-maladie sociale (art. 84 LAMal) et de l’assurance-accidents obligatoire (art. 96 LAA). Dans ce domaine, nous agissons en tant qu’organe fédéral, de sorte que notre action doit reposer sur une base légale;
• est nécessaire pour l’exécution d’un contrat conclu avec la personne concernée ou pour des mesures précontractuelles.
  La majeure partie du traitement des données personnelles intervient dans le cadre de l’exécution d’obligations contractuelles (p. ex. mise en œuvre de l’assurance-maladie obligatoire ou de l’assurance complémentaire, fourniture de services de conseil en assurance);
• est nécessaire à la défense d’intérêts légitimes, qu’il s’agisse des nôtres ou de ceux de tiers.
  Il y a intérêt légitime pour Sympany lorsque le traitement de données personnelles intervient dans le cadre des finalités ainsi que de la communication de données et des buts qui y sont liés;
• repose sur un consentement.
  Dans la mesure où un traitement de données personnelles repose sur votre consentement, nous vous en informons séparément et de manière transparente. Vous pouvez à tout moment révoquer votre consentement avec effet pour l’avenir en nous le communiquant par écrit (cf. interlocuteurs). Après réception de votre révocation, nous cesserons le traitement des données concerné, à moins que nous puissions nous appuyer sur un autre motif de justification;
• est nécessaire au respect de prescriptions légales nationales et étrangères.

5. Catégories de données personnelles

En fonction des produits et services que vous utilisez et de la relation qui nous lie, nous traitons en particulier les catégories de données personnelles suivantes:

• données de base: p. ex. civilité, nom, prénom, sexe, date de naissance, âge, données d’adresse et de contact telles qu’adresse, numéros de téléphone, adresses e-mail, langue, nationalité, profession, numéros de client, noms d’utilisateur, informations financières, membres de la famille, personnes de contact;
• données contractuelles: p. ex. informations issues du processus de proposition, informations en rapport avec les candidatures, conclusion et cessation de contrats, adaptations de contrats, produits d’assurance actifs/inactifs, étendue des prestations, évaluations des risques, informations sur les assurances antérieures, sinistres survenus, déclarations de santé, solvabilité, informations de paiement, coordonnées bancaires, paiements de primes, réductions de primes, arriérés, rappels, encaissement/décaissement, franchises choisies, informations sur l’employeur;
• données de communication: p. ex. noms, coordonnées, contenu de la correspondance écrite, électronique et orale (y c. messages instantanés, publications et messages sur les réseaux sociaux, commentaires sur des sites Internet, etc.), données issues d’enquêtes, informations sur l’heure, le lieu, le type, etc. de la communication, justificatifs d’identité, données secondaires;
• données de traitement des prestations: p. ex. informations sur les demandes de remboursement, données de santé, informations sur les objets ou activités assurés, informations sur le traitement des sinistres, informations sur les tiers impliqués, données de paiement;
• données relatives au comportement: p. ex. informations sur la participation à des événements et à des concours, informations sur l’utilisation et le comportement sur nos sites Internet et applications (cf. également notre politique en matière de cookies), informations sur l’utilisation de notre infrastructure (wi-fi, canaux de communication électroniques, etc.);
• données techniques: p. ex. adresses IP, informations générales sur le système d’exploitation et le navigateur, informations sur la visite de nos sites Internet et applications (date, heure, durée de la visite, nombre de visites, contenus consultés), source du visiteur (site Internet de référence), identifiants d’appareil, données d’accès, cookies (cf. également notre politique en matière de cookies);
• données marketing: p. ex. informations sur les préférences et intérêts personnels, inscriptions et désinscriptions aux newsletters, contenu de la correspondance marketing, profilage;
• enregistrements audio et vidéo: p. ex. enregistrements de conversations téléphoniques et de vidéoconférence (n’a lieu qu’après annonce préalable et si nécessaire avec votre accord), enregistrements de systèmes de vidéosurveillance, enregistrements en relation avec des événements clients ou du personnel;
• données relatives à la compliance: p. ex. données en rapport avec des clarifications, des évaluations et des mesures dans le domaine de la compliance (y c. incidents de compliance).

6. Origine des données

Nous recueillons une grande partie des données personnelles directement auprès de vous en tant que personne concernée. En font notamment partie les données de base, les données contractuelles, les données de communication, les données relatives au traitement des prestations et les données relatives aux préférences. Ces données personnelles sont recueillies dans le cadre de l’établissement et de l’exécution de relations d’affaires ainsi que de l’utilisation de nos produits et services. Si vous nous communiquez des données sur d’autres personnes (p. ex. membres de votre famille), vous devez vous assurer que vous en avez l’autorisation et que les données sont correctes. En outre, la présente déclaration relative à la protection des données doit être portée à la connaissance préalable des personnes concernées.

Nous pouvons également recueillir nous-mêmes ou de manière automatisée des données personnelles vous concernant ou encore les extraire de données existantes. Il s’agit notamment de données relatives au comportement et aux préférences, ainsi que de données techniques.

Enfin, nous recevons également des données personnelles d’entreprises du groupe Sympany et d’autres tiers, dans la mesure où la loi le permet. Font notamment partie de ces tiers des personnes de votre entourage, des prestataires, des partenaires commerciaux, d’autres assurances, des banques, des partenaires de distribution, des intermédiaires, des fournisseurs de services en ligne (p. ex. portails de comparaison), des autorités, des administrations, des tribunaux, des employeurs, des parties et leurs représentants légaux dans le cadre de litiges juridiques, etc. Nous pouvons également recueillir des données personnelles de sources publiques (p. ex. agences de renseignements).

7. Finalités du traitement des données

Nous traitons les données recueillies afin de remplir nos obligations légales et contractuelles à l’égard de nos assurés, personnes intéressées, requérants, candidats, partenaires commerciaux, collaborateurs, autorités et autres personnes impliquées (p. ex. payeurs de primes, destinataires de correspondance, membres de la famille, personnes lésées, bénéficiaires, personnes de contact et représentants). Ces finalités comprennent notamment:

• la mise en œuvre de l’assurance-maladie sociale, notamment dans le cadre de l’art. 84 LAMal (p. ex. pour garantir le respect de l’obligation d’assurance, calculer et percevoir les primes, évaluer les droits aux prestations ainsi que calculer, octroyer et coordonner les prestations avec les prestations d’autres assurances sociales, évaluer les droits à des réductions de primes ainsi que calculer et octroyer les réductions, faire valoir un droit de recours à l’encontre d’un tiers responsable, exercer la surveillance sur l’exécution des lois applicables, tenir des statistiques, attribuer ou vérifier le numéro AVS, calculer la compensation des risques, demander des renseignements à des tiers, communiquer des données à des tiers conformément à l’art. 84a LAMal sur l’assurance-maladie);
• la mise en œuvre de l’assurance-accidents obligatoire et facultative (p. ex. pour calculer et percevoir les primes, évaluer les droits aux prestations, calculer, octroyer et coordonner les prestations avec les prestations d’autres assurances sociales, exercer la surveillance sur l’application des prescriptions sur la prévention des accidents et des maladies professionnelles, exercer un droit de recours à l’encontre d’un tiers responsable, exercer la surveillance sur l’exécution des lois applicables, tenir des statistiques, attribuer ou vérifier le numéro AVS, établir des offres, demander des renseignements à des tiers, communiquer des données à des tiers conformément aux art. 97 ss. LAA);
• la mise en œuvre des assurances complémentaires dans le domaine des frais de guérison et de l’assurance-accidents (p. ex. pour calculer et percevoir les primes, évaluer et calculer les droits aux prestations et les coordonner avec d’autres assurances sociales, exercer des droits de recours à l’encontre de tiers, établir des statistiques et des offres, procéder à des évaluations des risques et demander des renseignements à des tiers);
• la réalisation d’assurances indemnités journalières selon l’art. 67 LAMal et selon la LCA (p. ex. pour évaluer et calculer le droit aux prestations, demander des renseignements à des tiers);
• la vérification de l’adéquation des candidats aux postes vacants ainsi que la conclusion et l’exécution des contrats de travail correspondants;
• l’établissement, la gestion et l’exécution d’autres relations contractuelles;
• la garantie du suivi des contacts et de la clientèle (également en dehors d’une relation contractuelle);
• le respect des lois et recommandations des autorités suisses et étrangères et des réglementations internes au groupe («compliance»), ainsi que la garantie de la gestion des risques;
• le développement, la mise à disposition et l’amélioration des produits, prestations, informations et services que vous souhaitez, ainsi que la gestion de l’accès à ceux-ci;
• le compréhension du comportement, des activités, des préférences et des besoins (y c. l’analyse et l’évaluation de l’utilisation de nos sites Internet);
• l’organisation de formations;
• la réalisation de mesures publicitaires et de marketing, dans la mesure où nous y sommes autorisés, p. ex. sur la base de votre consentement;
• le suivi et l’amélioration de la performance de nos services;
• la mise en œuvre de nos prétentions légales et la défense contre des prétentions injustifiées en Suisse et à l’étranger;
• l’identification, la suppression et l’élucidation d’activités illégales (y c. la fraude à l’assurance);
• l’échange d’informations entre des sociétés du groupe, dans la mesure où un tel échange est nécessaire et autorisé par la loi;
• la garantie générale de nos activités commerciales et de l’infrastructure nécessaire à cet effet (notamment infrastructure informatique, sites Internet, etc.);
• la garantie des procédures administratives (p. ex. archivage des données, comptabilité, gestion des données de base, assurance qualité).

8. Profiling

Dans la mesure où la loi le permet, le profilage (cf. définition) nous permet de combiner et d’analyser notamment des données comportementales, de base et contractuelles ainsi que des données techniques vous concernant afin de mieux vous comprendre avec vos différents intérêts, caractéristiques et besoins personnels. Sur la base de ces résultats, nous pouvons vous soumettre des recommandations de produits ou des offres personnalisées, améliorer l’expérience client et procéder à des évaluations statistiques. Enfin, de telles procédures nous permettent également d’identifier les risques d’abus et de sécurité.

9. Décisions individuelles automatisées

Dans la mesure où nous prenons des décisions qui reposent exclusivement sur un traitement automatisé et qui ont pour vous des conséquences juridiques ou vous portent gravement atteinte (décision individuelle automatisée), nous vous en informons séparément. Dans de tels cas, vous avez le droit de demander à une personne de vérifier la décision.

10. Durée de traitement des données personnelles

Nous traitons vos données personnelles aussi longtemps que nous y sommes légalement tenus (p. ex. obligations de conservation et d’archivage), que nos intérêts commerciaux légitimes l’exigent (p. ex. mise en œuvre ou défense de prétentions, garantie de la sécurité informatique), que la finalité de la saisie de vos données l’exige ou que leur conservation est techniquement nécessaire. Les contrats sont généralement conservés pendant la durée de la relation contractuelle ainsi que pendant les délais de conservation légaux allant au-delà.

Dans certains cas, nous conservons vos données personnelles plus longtemps si vous avez donné votre consentement (p. ex. dossiers de candidature que nous gardons en suspens).

Cela peut avoir pour conséquence que vos données personnelles ou des extraits de celles-ci doivent encore être conservés plusieurs années après la fin de la relation contractuelle qui nous lie. Si vos données personnelles ne sont plus nécessaires aux fins susmentionnées, elles sont en principe et dans la mesure du possible effacées ou anonymisées.

Nous avons défini de manière contraignante la durée de conservation des données personnelles dans des réglementations internes. Vous trouverez ci-après un aperçu général des principaux délais de conservation:

• données de base et données contractuelles: nous conservons généralement ces données pendant dix ans à compter de la fin de l’exercice au cours duquel le contrat a pris fin. Ce délai peut toutefois être prolongé si une conservation plus longue est nécessaire pour des raisons de preuve, en raison de prescriptions légales ou contractuelles ou pour des motifs techniques;
• caractéristiques techniques: nous conservons généralement les données de journal pendant 18 mois. Les cookies de session sont supprimés lorsque vous quittez nos sites Internet ou à la fin de votre session. La durée de conservation des autres cookies (p. ex. cookies permanents) est de quelques jours à deux ans, à moins que vous ne les supprimiez manuellement;
• données de communication: les données personnelles générées dans le cadre de notre communication (p. ex. e-mail, correspondance écrite, communications via des formulaires de contact, etc.) sont généralement conservées pendant 10 ans;
• données des candidats: nous supprimons les données des candidats dans les six mois suivant la fin du processus de candidature dès lors que la candidature n’a pas débouché sur un rapport de travail. Dans le cas contraire, vos données de candidature sont transférées dans votre dossier personnel. Avec votre consentement, nous pouvons conserver vos données de candidature plus longtemps;
• enregistrements audio et vidéo: nous conservons les enregistrements des caméras de sécurité pendant 3 jours et les supprimons ensuite dans la mesure où nous n’en avons pas besoin pour poursuivre des infractions, etc. Nous conservons les enregistrements téléphoniques pendant 3 mois;
• portail clients mySympany: les données personnelles sont enregistrées pendant la durée du compte. Si la suppression du compte est demandée, les données sont supprimées dans un délai maximal de 20 jours. En cas de désactivation du compte suite à une utilisation frauduleuse, les données sont supprimées dès que nous en avons connaissance. Si le portail n’est pas utilisé, les données ne sont pas supprimées;
• données marketing: nous supprimons les données personnelles que nous traitons dans le cadre de nos activités de marketing après révocation de votre consentement. Font exception les cas dans lesquels nous pouvons nous appuyer sur un autre motif de justification du traitement des données.

11. Communication de données personnelles à des tiers

Dans la mesure où nous y sommes autorisés ou tenus par la loi, nous pouvons également transmettre des données personnelles à des tiers. Il s’agit notamment des catégories de destinataires suivantes:

• sociétés du groupe Sympany;
• prestataires et autres assurances;
• clients commerciaux (p. ex. employeur dans le cadre de la réalisation de l’assurance indemnités journalières en cas de maladie et de l’assurance-accidents);
• prestataires externes (p. ex. banques, gestionnaires de fortune, conseillers, avocats, experts, sociétés de recouvrement, agences de renseignements, fournisseurs informatiques, prestataires de consultation médicale par téléphone, entreprises de logistique);
• partenaires commerciaux (p. ex. revendeurs, fournisseurs, sous-traitants);
• intermédiaires;
• autorités, services officiels et tribunaux suisses et étrangers;
• autres parties dans le cadre de procédures administratives et judiciaires;
• participants à des transactions relevant du droit des sociétés (p. ex. achat, vente ou regroupement de sociétés, secteurs d’activité, etc.)

Dans la mesure où ces tiers ne sont pas conjointement avec nous ou individuellement responsables du traitement des données concerné, ils agissent en tant que sous-traitants. Nous avons conclu des contrats de sous-traitance correspondants avec nos sous-traitants. Ceux-ci s’y engagent à respecter les dispositions relatives à la protection et à la sécurité des données. En outre, ils ne peuvent traiter les données personnelles que conformément à nos instructions. Ils nous accordent également des droits d’examen et de contrôle étendus ainsi que des droits d’accès, de rectification et de suppression.

Selon la nature et le contenu de la communication de données personnelles à des tiers, nous assurons le respect des secrets professionnels et de fonction applicables ainsi que des obligations légales de confidentialité en prenant les mesures appropriées.

Pour l’exploitation du portail des carrières, Sympany utilise le service de jacando AG, Münchensteinerstrasse 41, 4052 Bâle, ainsi que de Prospective Media Services PMS AG, Seestrasse 513, 8038 Zurich. Les prestataires de services sont contractuellement tenus de ne pas utiliser les données à leurs propres fins et de respecter la législation en matière de protection des données, les normes de sécurité et les instructions de Sympany actuellement en vigueur.

12. Communication de données personnelles à l’étranger

En règle générale, nous traitons et enregistrons les données personnelles en Suisse et dans l’Espace économique européen (EEE). Dans certains cas, il se peut que nous communiquions également des données personnelles à des prestataires et à des destinataires qui se trouvent en dehors de ce territoire, ou traitions des données personnelles en dehors de ce territoire, en principe dans n’importe quel pays du monde. Vous devez notamment vous attendre à la divulgation de données personnelles dans tous les pays dans lesquels se trouvent les prestataires auxquels nous faisons appel ainsi que leurs sous-traitants (notamment les États-Unis).

Nous garantissons le respect des prescriptions légales en prenant des mesures appropriées. En l’absence de décision constatant le caractère adéquat de l’autorité compétente, la transmission des données personnelles s’effectue sur la base de garanties appropriées (en particulier des clauses contractuelles types approuvées par la Commission européenne et le Préposé fédéral à la protection des données et à la transparence [PFPDT]), ou il existe des exceptions dans certaines situations (exécution du contrat, application de la loi à l’étranger, etc.) ou nous vous demandons votre consentement explicite.

13. Sécurité des données

Nous mettons en œuvre des mesures de sécurité techniques (p. ex. cryptage, pseudonymisation, journalisation, restriction d’accès, sauvegarde des données, etc.) et organisationnelles (p. ex. instructions à nos collaborateurs, accords de confidentialité, vérifications) adaptées à l’état actuel de la technique afin de pouvoir garantir au mieux la confidentialité, la disponibilité et l’intégrité de vos données.

Nos collaborateurs sont soumis à une obligation de garder le secret tant contractuelle que légale (p. ex. art. 62 LPD et art. 33 LPGA). Par ailleurs, nous formons et sensibilisons régulièrement nos collaborateurs dans le domaine de la protection des données. Nos experts en protection des données et en sécurité de l’information sont également consultés et impliqués de manière proactive dans le cadre de projets.

Les détails relatifs à la gestion des données clients sont réglés dans le document Règlement du traitement pour la collecte des données. Pour le traitement de données selon le modèle de rémunération DRG, Sympany collabore avec le partenaire d’externalisation Centris AG, Soleure. Tant Sympany que Centris AG, Soleure, sont certifiées par la SQS en tant que services de réception des données dans le domaine DRG (certificat Vivao Sympany AG). Les détails du traitement des données sont définis dans un règlement.

Nous attirons votre attention sur le fait que malgré toutes les mesures prises, des violations de la sécurité des données ne peuvent pas être totalement exclues. Il subsiste toujours un certain risque résiduel.

En particulier, les e-mails non cryptés adressés à Sympany peuvent éventuellement être consultés par des tiers non autorisés. Vos données peuvent également être consultées par des tiers à l’étranger, car le trafic sur Internet passe régulièrement par des pays tiers. Sympany ne peut pas garantir la sécurité des données des e-mails non cryptés reçus et décline par conséquent toute garantie et responsabilité correspondante. Cette remarque s’applique notamment aussi à l’envoi de données personnelles sensibles (p. ex. données de santé) par e-mail non crypté. La sécurité est garantie pour la communication sur le portail clients mySympany. Si vous souhaitez une communication sécurisée et cryptée avec nous, la chose est possible p. ex. via HIN ou Fex. Notre service à la clientèle se tient à votre disposition pour vous conseiller.

14. Droits des personnes concernées

Dans la mesure où les conditions du droit en vigueur en matière de protection des données sont remplies et qu’aucune exception légale n’est applicable, vous disposez des droits suivants dans le cadre du traitement de vos données personnelles:

• le droit d’exiger des informations sur vos données personnelles traitées par nos soins;
• le droit de corriger des données personnelles inexactes ou incomplètes;
• le droit d’exiger la suppression ou l’anonymisation de vos données personnelles;
• le droit d’exiger la limitation du traitement de vos données personnelles;
• le droit de recevoir certaines données personnelles dans un format électronique couramment utilisé ou de les transmettre à un autre responsable;
• le droit de vous opposer à un traitement de vos données personnelles, en particulier dans la mesure où un traitement repose sur des intérêts légitimes ou sert au marketing direct;
• le droit d’exposer votre point de vue sur d’éventuelles décisions individuelles exclusivement automatisées et d’exiger que la décision soit contrôlée par une personne physique;
• le droit de révoquer un consentement donné avec effet pour l’avenir.

Veuillez noter que ces droits peuvent, dans certains cas, être restreints ou exclus (p. ex. pour protéger des tiers ou des secrets d’affaires).

Vous trouverez de plus amples informations sur vos droits en tant que personne concernée dans le Règlement du traitement pour la collecte des données.

Pour faire valoir vos droits de personne concernée ou pour toute question relative à la présente déclaration relative à la protection des données ainsi qu’aux processus de traitement qui y sont décrits, vous pouvez vous adresser aux services mentionnés au chiffre 2 par courrier postal accompagné d’une copie d’une pièce d’identité officielle.

Si vous pensez que vos données ont été traitées de manière illicite, nous vous serions reconnaissants de nous contacter directement. Vous pouvez également déposer une réclamation auprès de l’autorité de contrôle compétente dans votre cas. L’autorité de surveillance de la protection des données en Suisse est le Préposé fédéral à la protection des données et à la transparence (PFPDT). Dans l’UE, la plainte doit être déposée auprès de l’autorité nationale compétente en matière de protection des données.

15. Modifications de la présente déclaration relative à la protection des données

Nous pouvons modifier la présente déclaration relative à la protection des données à tout moment et sans préavis. La version actuelle publiée sur notre site Internet fait foi.

Les dispositions relatives à la protection des données ont été rédigées en plusieurs langues. En cas de différences de contenu, la version allemande fait foi.