Déclaration de protection des données de la prévoyance professionnelle

Porte-bloc avec note

Protection des données

Dans la déclaration générale de protection des données relative aux produits d’assurance, vous trouverez des informations sur la manière dont les données à caractère personnel sont collectées et traitées dans le cadre des produits d'assurance, ainsi que des informations sur nos autres traitements des données à caractère personnel et sur vos droits.

1. De quoi est-il question dans la présente déclaration de protection des données?

Les institutions de prévoyance citées au point 2 (ci-après également désignées par «nous») traitent des données personnelles vous concernant ou concernant d’autres personnes (appelées «tiers»). Vous trouverez de plus amples informations au point 2.

Les «données personnelles» désignent des données qui se rapportent à une personne identifiée ou identifiable, c’est-à-dire que des conclusions peuvent être tirées sur son identité sur la base des données elles-mêmes ou avec des données supplémentaires correspondantes. Les «données personnelles particulièrement sensibles» sont une catégorie de données personnelles qui sont particulièrement protégées par la loi applicable en matière de protection des données. Sont notamment considérées comme des données sensibles les données desquelles découle l’origine raciale et ethnique, les données de santé, les données relatives aux convictions religieuses ou philosophiques ou les données concernant l’appartenance à un syndicat.

Le point 3 contient des informations sur les données que nous traitons dans le cadre de la présente déclaration de protection des données.

Le «traitement» désigne chaque utilisation des données personnelles, par exemple l’obtention, l’enregistrement, l’utilisation, la divulgation et la suppression.

Nous menons nos activités dans le domaine de la prévoyance professionnelle obligatoire et surobligatoire. Dans le domaine de la prévoyance obligatoire, le traitement de vos données personnelles repose sur les dispositions légales applicables. Nous sommes libérés de l’obligation d’information expresse concernant notre traitement des données dans ce domaine. Néanmoins, dans la présente déclaration de protection des données, nous vous informons concernant l’ensemble de nos domaines d’activité, et sauf avis contraire de notre part, les mentions contenues dans la présente déclaration de protection des données s’appliquent au domaine obligatoire et au domaine surobligatoire.

La présente déclaration de protection des données contient des informations sur le traitement des données par nos soins (nous employons ici le terme «données», qui a la même signification que «données personnelles»). Cela concerne notamment les personnes suivantes (ci-après désignées par «vous»):

  • les personnes assurées dans le régime de la prévoyance professionnelle obligatoire, surobligatoire et volontaire,
  • les employeurs précédents, actuels et futurs ou leurs interlocuteurs, les membres de leur famille et leurs employés,
  • les membres de la famille des assurés (par ex. anciens et actuels époux et partenaires enregistrés, conjoints, enfants et parents et autres personnes bénéficiaires),
  • les mandataires (représentants légaux par exemple),
  • les requérants, les personnes civilement responsables et autres personnes impliquées,
  • les membres de nos organes,
  • les interlocuteurs d’assureurs sociaux et privés, d’autres institutions de prévoyance et institutions de libre passage, de réassureurs, de fournisseurs et de partenaires, ainsi que des autorités et offices.

La présente déclaration de protection des données présente notre utilisation des données personnelles vous concernant. Elle se rapporte au traitement des données personnelles déjà collectées et des futures données personnelles. Elle s’applique à toutes nos prestations de services et contrats, sauf si nous vous fournissons une déclaration de protection des données distincte.

Vous trouverez des informations complémentaires sur nos traitements de données dans les documents suivants:

  • documents de la fondation (par ex. le règlement de prévoyance),
  • formulaires séparés (par ex. formulaire de sortie, formulaire de départ à la retraite),
  • nos sites Internet.

Pour certains produits et prestations, vous trouverez également des informations complémentaires sur les traitements de données dans les autres déclarations de protection des données qui s’appliquent en plus de la présente déclaration de protection des données, par exemple dans le cadre de votre utilisation de nos sites Internet.

Nous restons à votre disposition pour répondre à vos questions (point 2).

Veuillez noter que dans un souci de lisibilité, nous employons le genre masculin pour désigner les personnes dans la présente déclaration de protection des données. Les femmes sont bien évidemment incluses.

2. Qui est responsable du traitement de vos données?

Les traitements de données selon la présente déclaration de protection des données relèvent de la responsabilité de l’une des institutions de prévoyance suivantes («nous»), à savoir le premier service compétent selon le droit de la protection des données, sauf avis contraire (par ex. dans d’autres politiques de protection des données, dans des formulaires ou dans des conditions contractuelles):

  • Fondation collective Vita,
  • Fondation collective Vita Select de la Zurich Compagnie d’Assurances sur la Vie SA
  • Fondation collective Vita Invest de la Zurich Compagnie d'Assurances sur la Vie SA
  • Fondation collective Vita Plus de la Zurich Compagnie d'Assurances sur la Vie SA

chacune sise à l’adresse Hagenholzstrasse 60, 8050 Zurich.

Vous trouverez l’institution de prévoyance compétente pour vous dans votre attestation de prévoyance.

Pour chaque traitement des données, un ou plusieurs organisme(s) assume(nt) la responsabilité principale de veiller à ce que le traitement des données respecte les prescriptions légales en matière de protection des données. Cet organisme est appelé «le responsable». Ce dernier est notamment responsable de répondre aux demandes de renseignements (point 10) ou de garantir que les données personnelles sont sécurisées et qu’elles ne seront pas utilisées dans des finalités autres que celles que nous vous communiquons ou qui sont autorisées par la loi. Vous trouverez des informations sur les tiers avec lesquels nous coopérons et qui sont à leur tour responsables de leurs traitements aux points 3 et 6.

Si vous souhaitez nous contacter à ce sujet, veuillez nous envoyer un courrier à l’adresse suivante:

Zurich Compagnie d'Assurances SA
Protection des données
Case postale
CH 8085 Zurich
datenschutz@zurich.ch 

La Zurich Compagnie d’Assurances SA traite votre demande en notre nom. Vous pouvez également envoyer un courrier à l’institution de prévoyance responsable.

3. Quelles données traitons-nous?

Comme chaque prestataire propose des produits et des prestations complexes, nous traitons différentes données provenant de sources variées. Vous trouverez des informations sur ces données au point 3 et des informations sur les finalités de leur traitement au point 4.

Nous collectons fréquemment des données auprès de l’employeur de la personne assurée, par exemple quand il vous déclare chez nous en tant que nouvel employé, quand il déclare pour vous un départ, une modification du salaire, une autre mutation ou un cas de prévoyance, ou directement auprès de vous, par exemple quand vous voulez vous affilier chez nous en tant que travailleur indépendant, quand vous nous communiquez des données de santé, quand vous déclarez un bénéficiaire ou un partenariat enregistré, quand vous effectuez un rachat dans la caisse de pension ou quand vous souhaitez percevoir votre prestation de sortie ou, en cas de changement de poste, quand la prestation de libre passage est transférée vers une autre institution de prévoyance ou de libre passage ou quand vous communiquez autrement avec nous. Cependant, nous pouvons aussi collecter des données qui proviennent d’autres sources. Vous trouverez des informations complémentaires à ce sujet au point 3.

Nous traitons avant tout les catégories de données suivantes, cette énumération n’étant pas exhaustive. En cas de modification des données dans le temps (p. ex. en cas de changement d’adresse ou autre modification), nous traitons les données actuelles et éventuellement les anciennes données également. Les données des bénéficiaires en lien avec la prévoyance professionnelle obligatoire sont traitées uniquement dans le cadre de la loi fédérale sur la prévoyance professionnelle vieillesse, survivants et invalidité (LPP).

Données de base: Nous appelons données de base les données fondamentales dont nous avons besoin, en plus des données contractuelles (voir ci-dessous), pour le traitement de nos relations contractuelles et autres relations commerciales. Nous traitons notamment vos données de base si vous êtes une personne assurée ou un membre de la famille ou un bénéficiaire d'une personne assurée, si vous êtes un interlocuteur d'un employeur, d'une autre institution de prévoyance ou d'un fournisseur ou si vous agissez pour l'un d’entre eux ou parce que nous voulons vous contacter à un autre titre, pour nos propres finalités ou les finalités d'un partenaire contractuel.

Les données de base comprennent en premier lieu le nom, l’adresse et les coordonnées et, en fonction de ces données, la date et le lieu de naissance ainsi que l’âge et le sexe.

S’agissant des personnes assurées, les données de base comprennent également les coordonnées privées et professionnelles telles que l’adresse e-mail et le numéro de téléphone, l’état civil et, le cas échéant, la date du mariage ou du divorce ou la date de l’enregistrement ou de la dissolution du partenariat, la date de naissance et le lieu, l’âge, le sexe, la nationalité et le lieu d'origine, les données issues de données d’identification (par ex. issues de votre passeport, de votre carte d’identité ou d’autres documents d’identification), dans le cadre des dispositions légales le numéro AVS, vos numéros de contrat, de police et d’assuré, de même que, le cas échéant, les informations concernant une précédente institution de prévoyance ou de libre passage, la date d’arrivée et de départ de l’entreprise employeuse, la catégorie de personnel, le degré de capacité de travail, le taux d’occupation, le terme du rapport de travail, ainsi que le salaire annuel déclaré et assuré et le salaire annuel LPP.

Les données concernant les relations avec des tiers qui sont également concernés par le traitement des données, qui comprennent notamment les données sur les membres de la famille et les bénéficiaires.

Concernant les employeurs et les autres cocontractants qui sont des entreprises, nous traitons les données de nos interlocuteurs, par exemple le nom et l’adresse, les données sur les titres, la fonction dans l’entreprise, les qualifications et éventuellement les données concernant les supérieurs hiérarchiques et les collaborateurs. Selon le secteur d’activité, nous sommes également tenus d’examiner en détail l’entreprise en question et ses employés, par exemple en effectuant un contrôle de sécurité. Dans ce cas, nous collectons et traitons des données supplémentaires, éventuellement aussi de prestataires tiers.

Nous collectons fréquemment des données de base auprès de votre employeur et de vous-même, mais nous recourons aussi à d’autres données de tiers. Les tiers auprès desquels nous pouvons collecter des données sont par exemple d’autres sociétés du Groupe Zurich et des bureaux de renseignements économiques, des sociétés de veille médiatique, des prestataires de services financiers et des banques au travers desquels vous nous effectuez des versements, des fournisseurs d’adresses, des services d’analyse Internet, des autorités, des parties à une procédure et des sources publiques, telles que le registre du commerce, des médias et sources disponibles en ligne, des registres publics, des médias, etc.

Données relatives à des contrats, des cas et des prestations: Il s’agit des données qui découlent d’un contrat d’adhésion potentiel ou effectif ou de sa résiliation, de l’exécution d’un contrat et de l'admission d'assurés dans la prévoyance professionnelle, ainsi que de données en lien avec la réception de communications et le traitement de cas de prévoyance (c.-à-d. retraite, invalidité et décès) et en ou d’autres prestations, telles qu’un virement ou un versement de la prestation de sortie. Ces données comprennent aussi des données de santé et des informations sur des tiers, par exemple des données sur la survenance de l’incapacité de travail ou le décès de personnes impliquées. Nous pouvons également collecter de telles informations auprès de tiers, comme des autorités et des offices (par ex. assureurs ou services sociaux), des employeurs, d’autres assureurs, des prestataires médicaux et des experts, des tribunaux ou des avocats extérieurs.

Ces données comprennent les informations relatives à conclusion du contrat d’adhésion avec l’employeur, par exemple le type et la date de conclusion du contrat, ainsi que son exécution et sa gestion (par ex. informations en lien avec la facturation, le conseil et le service à la clientèle). Les données contractuelles incluent également les données relatives aux réclamations et avenants aux contrats ainsi que les données sur la satisfaction client, que nous pouvons collecter par le biais de sondages, par exemple.

Pendant le rapport de prévoyance, nous traitons aussi des données relatives à la prestation de sortie, par ex. son montant et les rachats possibles et effectués. Nous obtenons ces données de la part de la personne assurée, de son employeur et d’autres institutions de prévoyance et de libre passage.

Dans le cadre du traitement des cas de prévoyance, nous collectons des données telles que la déclaration de la survenance du cas de prévoyance, le numéro de sinistre, des données sur le motif du cas de prévoyance (en cas d’incapacité de travail, par ex. la cause (accident ou maladie)) et la date de l’événement, des informations en rapport avec l’examen du cas de prévoyance, des informations sur d’autres assurances et assureurs, éventuellement des informations sur des tiers tels que des personnes impliquées, et également des données personnelles sensibles comme des données de santé. Nous nous procurons ces données des personnes assurées auprès de leur employeur et collaborons aussi avec des tiers, notamment d’autres assureurs tels que l’assurance invalidité, des experts, des médecins et d’autres prestataires, auprès desquels nous collectons également des données – y compris des données de santé – éventuellement en concluant une déclaration séparée de levée du secret professionnel.

S’agissant des autres cas de prestations, nous traitons les données y afférentes, par exemple en cas de versement de la prestation de sortie, les données en rapport avec le motif du versement (par ex. démarrage d’une activité lucrative indépendante, rachats effectués dans le 2e pilier, départ définitif de la Suisse ou montant de la prestation de sortie insignifiant), les données relatives à votre compte privé ou à l'institution de libre passage que vous avez choisie et, éventuellement, le consentement de l’époux ou du partenaire enregistré et l’authentification de la signature. En cas de divorce ou de dissolution d’un partenariat enregistré, nous traitons des données en lien avec la compensation de la prévoyance (par ex. date du divorce ou de la dissolution d’un partenariat enregistré, prestations de sortie acquises, prélèvements anticipés ou rentes d’invalidité perçues et décisions de justice y afférentes). Nous obtenons ces données de la part de la personne assurée, de son époux/épouse ou partenaire enregistré ainsi que des autorités et tribunaux.

En fonction du produit, nous traitons des données supplémentaires.

Données financières: Il s’agit des données relatives à la situation financière, aux paiements et au recouvrement des créances.

Les données financières comprennent notamment les données en rapport avec des paiements et des relations bancaires. Ces données comprennent les données en lien avec les paiements des primes de l’employeur et le recouvrement des créances. Pour les personnes assurées, les données financières comprennent également les informations sur le salaire, les rachats dans la prévoyance professionnelle et les versements de prestations de sortie et rentes. Nous traitons également des données financières relatives aux bénéficiaires, par exemple concernant les rentes versées aux conjoints et partenaires enregistrés survivants, à des enfants et à d’autres bénéficiaires. Ces données nous sont fournies par la personne assurée, par exemple dans le cadre de rachats ou de versements de la prestation de sortie, mais également par des banques, des bureaux de renseignements économiques et des sources publiques.

Données relatives à la communication: Il s’agit des données en lien avec notre communication avec vous et des données relatives à votre utilisation de notre site Internet. Lorsque vous nous contactez via un formulaire de contact, par e-mail, par téléphone ou sur le chat, par courrier ou par tout autre moyen de communication, nous enregistrons les données échangées entre nous, y compris vos coordonnées et les données annexes de la communication. Nous vous informons lorsque nous enregistrons les appels téléphoniques. Si nous voulons ou devons vous identifier, par exemple en cas de demande de renseignements, de demande d'accès à des médias, etc., nous collectons des données à cet effet (par ex. copie d’une pièce d’identité).

Les données relatives à la communication comprennent votre nom et vos coordonnées, le type, la manière, le lieu et l’heure de la communication et, en général, son contenu, par exemple les informations figurant dans les e-mails ou courriers que vous recevez ou que vous nous envoyez, ou que vous recevez de tiers ou envoyez à des tiers, pour autant que celles-ci vous concernent. Ces données comprennent également les contacts directs ou indirects avec nous, par exemple avec le service à la clientèle et votre conseiller à la clientèle (par ex. sur un site Internet ou une application, dans un chatbot en ligne ou une application).

Autres données: Nous collectons aussi vos données dans d’autres situations. Les procédures administratives ou judiciaires génèrent des données (p. ex. des pièces ou des moyens de preuve) qui peuvent aussi vous concerner. Pour des raisons de protection de la santé, nous pouvons également collecter des données (par exemple dans le cadre de plans de protection). Nous pouvons obtenir ou réaliser des photos, des vidéos et des enregistrements audio dans lesquels vous pouvez être identifiable (p. ex. lors d’événements, par des caméras de sécurité, etc.). Nous pouvons aussi collecter des données permettant de savoir qui pénètre dans certains bâtiments et à quel moment ou qui possède les droits d’accès correspondants (y compris en cas de contrôles des accès, d’après les données d’enregistrement ou des listes des visiteurs, etc.), qui participe à des événements ou actions (concours p. ex.) et quand ou qui utilise nos systèmes et infrastructures et à quel moment.

Les données que nous traitons en vertu de la présente politique de protection des données concernent non seulement des personnes assurées mais aussi souvent des tiers (vous trouverez des remarques à ce propos aux points 1 et 3). Nous collectons parfois des données concernant des tiers auprès de l’employeur (par ex. en cas d’avis de décès) et de sources tierces, mais en premier lieu directement auprès de la personne assurée. Lorsque vous nous transmettez des données sur des tiers, nous supposons que vous y êtes autorisé et que ces données sont exactes. Votre transmission des données relatives à des tiers vaut confirmation de ces suppositions. Par conséquent, veuillez informer ces tiers du traitement de leurs données par nos soins et leur transmettre une copie de la présente politique de protection des données ou de la fiche d’information client sur la protection des données. Si nous vous informons de l’existence de nouvelles versions de ces documents, veuillez leur transmettre également ces nouvelles versions.

Certaines données doivent nous être communiquées dans le cadre de la prévoyance obligatoire en vertu d’une obligation légale, par exemple lors de l’affiliation à la prévoyance, dans le cadre des obligations de collaborer des employeurs et des personnes assurées en cas de prestation et dans le cadre des obligations légales d’autres assureurs. Néanmoins, il existe de nombreux cas dans lesquels vous n’avez pas l’obligation de nous communiquer des données, à l’exception des cas particuliers tels que dans le cadre de concepts de protection impérieux. Pour des raisons légales et opérationnelles, nous devons traiter des données en rapport avec des opérations volontaires telles que les rachats ou les versements de la prestation de sortie. Si vous ne voulez pas mettre ces données à notre disposition, nous ne serons pas en mesure de traiter ces opérations. Pour utiliser notre site Internet, le traitement de certaines données techniques (en général non personnelles) est inévitable.

Nous mettons à votre disposition certaines prestations uniquement si vous nous communiquez vos données d’inscription car nous – ou nos cocontractants – voulons savoir qui a reçu une invitation à une manifestation parce que cela est techniquement nécessaire ou parce que nous voulons communiquer avec vous. Si vous ou une personne que vous représentez (une entreprise qui est votre employeur par ex.) voulez conclure ou exécuter un contrat avec nous, nous devons obtenir de votre part les données de base, les données contractuelles et les données relatives aux communications, et nous traitons des données techniques si vous voulez utiliser notre site Internet ou d’autres offres électroniques à cet effet. De même, nous pouvons vous envoyer une réponse à une demande que vous avez effectuée uniquement si nous traitons les données de communication correspondantes et – si vous communiquez en ligne avec nous – éventuellement les données techniques également. De plus, l’utilisation de notre site Internet est impossible si nous n’obtenons pas les données techniques.

4. Quelles sont les finalités du traitement de vos données?

Nos activités et prestations sont complexes. C’est la raison pour laquelle nous traitons vos données personnelles (en particulier les catégories de données citées au point 3) dans différentes finalités. Ces finalités comprennent en particulier les finalités suivantes et ainsi convenues:

Nous traitons les données avant tout pour la réalisation de la prévoyance professionnelle, par exemple pour les contrats d’adhésion avec des employeurs et des travailleurs indépendants, pour l’admission des personnes assurées et pour examiner et traiter des cas de prévoyance, y compris la coordination avec d’autres assureurs tels que l’assurance invalidité, et l’exercice des prétentions récursoires. Dans ce contexte, nous pouvons également établir des profils (cf. point 5). Dans le domaine de la prévoyance obligatoire, cette activité est réglementée par la législation sur la prévoyance professionnelle, en particulier par la loi fédérale sur la prévoyance professionnelle vieillesse, survivants et invalidité (LPP) et la loi fédérale sur le libre passage dans la prévoyance professionnelle (LFLP) et les ordonnances y afférentes. En tant qu’organe fédéral, nous traitons vos données personnelles en la matière dans le cadre des autorisations légales de traitement (par ex. art. 85a ss. LPP). Dans le domaine de la prévoyance surobligatoire, notre traitement des données est régi non pas par les dispositions relatives à la protection des données de la LPP, mais par celles de la loi sur la protection des données (LPD).

La réalisation de la prévoyance professionnelle comprend la préparation et la conclusion du contrat d’adhésion avec l’employeur ou le travailleur indépendant qui s’affilie. À cet effet, nous traitons des données personnelles – en particulier des données de base, des données contractuelles, des données financières et des données relatives à la communication – des employeurs ou de leurs interlocuteurs et éventuellement des intermédiaires. Le conseil à nos clients et le service à la clientèle en font également partie, de même que l’exercice des prétentions juridiques découlant des contrats (recouvrement, procédures judiciaires, etc.), la comptabilité, la résiliation des contrats et la communication officielle.

La réalisation de la prévoyance professionnelle comprend également la réception et le traitement de l’admission des nouvelles personnes assurées. À cet effet, nous traitons en particulier vos données de base. Pour chaque personne assurée, nous tenons alors un compte de capital de prévoyance pour lequel nous traitons des données sur les montants, les rachats, l’avoir de vieillesse et les versements.

La réalisation de la prévoyance professionnelle implique par ailleurs l’examen et le traitement des cas de prévoyance. Si un cas de prévoyance survient et nous est déclaré, nous traitons avant tout les données relatives au contrat, au cas et aux prestations de la personne assurée, des membres de la famille et des bénéficiaires afin d’examiner le droit à l’indemnité (vous trouverez des informations complémentaires à ce sujet dans les paragraphes suivants) et éventuellement verser des prestations. À cet effet, nous pouvons aussi traiter des données de santé, de même que des données que nous obtenons de tiers tels que des experts externes et médecins (vous trouverez des informations complémentaires à ce sujet au point 3) ainsi que d’autres données qui sont générées ou requises dans ces finalités. Si une incapacité de travail survient, en cas de recours contre un tiers civilement responsable (ou son assureur responsabilité civile), il est possible que les données requises à cet effet soient traitées et communiquées.

Pour la conclusion du contrat et l’exécution des relations contractuelles, nous pouvons recourir à des tiers, par exemple à des sociétés de services informatiques et de logistique, des prestataires de services publicitaires, des banques, d’autres assurances ou des sociétés de renseignements économiques, qui peuvent à leur tour nous transmettre des données.

Dans le cadre de la collaboration avec des entreprises et des partenaires commerciaux, par exemple des partenaires dans des projets ou des parties dans des litiges, nous traitons également des données à des fins de conclusion et d’exécution du contrat, de planification, de comptabilité et d’autres fins en lien avec le contrat.

Nous traitons les données personnelles afin de satisfaire à d’autres exigences légales et réglementaires et de respecter les directives et recommandations des autorités et des réglementations internes («compliance»).

Cela comprend la satisfaction des obligations de renseignement, d’information ou de déclaration, par exemple en lien avec des obligations prudentielles, la satisfaction d’obligations d’archivage et l’assistance dans la prévention, la constatation et la clarification de délits et d’autres infractions. Cela inclut aussi la réception et le traitement des réclamations et d’autres communications, la surveillance de la communication, les enquêtes internes ou externes ou la communication de documents à une autorité, lorsque nous avons une raison objective de le faire ou que nous y sommes tenus par la loi. Dans ces finalités, nous traitons notamment des données de base, des données contractuelles et des données financières, des données sur la communication et également dans certaines circonstances des données sur le comportement d’employeurs et de leurs interlocuteurs, de travailleurs indépendants et, dans certains cas de personnes assurées (par ex. en cas de soupçon d’obtention frauduleuse de prestations).

Nous traitons également des données pour notre gestion des risques, pour la prévention de l’usage abusif de l’assurance, pour des procédures juridiques et dans le cadre d’une gestion prudente de l’entreprise, y compris de l'organisation opérationnelle et du développement de l’entreprise.

Dans ces finalités, nous traitons en particulier les données de base, les données contractuelles et les données des cas et des prestations, les données financières ainsi que les données relatives au comportement et à la communication. Nous pouvons notamment procéder à des examens des risques précontractuels. Comme tous les assureurs, nous devons également prendre des mesures contre l’usage abusif de l'assurance. Cela comprend des clarifications en cas de prévoyance également auprès de tiers, tels que par exemple des médecins et des experts, et auprès de sources publiques.

En outre, dans le domaine de la prévoyance surobligatoire, nous pouvons traiter vos données à des fins d'étude de marché, d’amélioration de nos prestations et de notre entreprise et de développement de produits.

Nous nous efforçons d’améliorer constamment nos produits et prestations de services et de réagir rapidement aux évolutions des besoins. C’est pourquoi nous effectuons des analyses, par exemple pour savoir comment les offres sont utilisées dans le domaine surobligatoire et comment nous pouvons concevoir nos nouveaux produits et prestations de services. Ces analyses nous renseignent sur l’acceptation des produits et prestations de services existants par le marché et sur le potentiel commercial de nouveaux produits et prestations. À cet effet, nous traitons non seulement vos données de base, mais aussi des données sur la communication et des données provenant d’enquêtes clients, de sondages et d’études, ainsi que d’autres informations, figurant par exemple dans les médias, sur les réseaux sociaux, sur Internet ou provenant d’autres sources publiques. Néanmoins, dans la mesure du possible, nous utilisons à cette fin des données pseudonymisées ou anonymisées. Nous pouvons aussi solliciter des services de veille médiatique ou réaliser cette veille nous-mêmes et, dans ce contexte, traiter des données personnelles aux fins des activités de relations publiques ou pour comprendre les évolutions et tendances actuelles et y réagir.

Nous traitons aussi des données à des fins de marketing, afin de contacter des employeurs ou leurs interlocuteurs et de leur transmettre des informations – également personnalisées – sur nos produits et prestations et ceux de tiers, et afin d'entretenir les relations. Nous menons des activités de marketing à l’égard des bénéficiaires uniquement en vertu d’un consentement séparé. Vous pouvez à tout moment vous opposer au traitement à des fins de marketing en nous en informant par message. Vous trouverez des informations complémentaires sur vos droits au point 10.

Nous pouvons communiquer aux employeurs ou à leurs interlocuteurs des informations, de la publicité et des offres pour nos produits et des produits de tiers (par ex. de sociétés du Groupe Zurich), sous forme de newsletter, d’imprimés ou par téléphone, à intervalles réguliers ou dans le cadre d’actions ponctuelles (par ex. pour des manifestations, des concours, etc.). Nous pouvons également personnaliser des communications afin que nos informations et nos offres correspondent mieux aux besoins et centres d'intérêt. Sur la base d’un consentement donné séparément, nous pouvons également transmettre des communications marketing aux bénéficiaires. À cette fin, nous mettons en relation des données existantes et les utilisons comme fondement pour la personnalisation (cf. point 3).

Nous pouvons également traiter vos données à des fins de sécurité et de contrôle des accès.

Nous contrôlons et améliorons constamment le niveau de sécurité adéquat de nos installations, de nos bâtiments et de notre équipement informatique. Pour ce faire, nous traitons des données en lien avec la surveillance des bâtiments et des locaux accessibles au public par exemple. Une sécurité de pointe ne permet pas d’exclure avec certitude toute violation de la sécurité des données, mais nous faisons notre possible pour réduire les risques. Par conséquent, nous traitons des données par exemple afin de surveiller, contrôler, analyser et tester nos réseaux et infrastructures informatiques, afin de contrôler les systèmes et les erreurs, à des fins de documentation et dans le cadre des copies de sécurité.

Nous pouvons traiter vos données à d’autres fins, par exemple dans le cadre de nos processus internes et de notre administration.

Ces autres finalités comprennent par exemple des finalités de formation et de perfectionnement, des finalités administratives (p. ex. l’administration des données de base, la comptabilité et l’archivage des données ou l’administration des biens immobiliers et le contrôle, l’administration et l’amélioration constante de l’infrastructure informatique), la défense de nos droits (p. ex. pour faire valoir des droits par voie judiciaire, pré-judiciaire ou extrajudiciaire ou pour nous défendre contre des prétentions, p. ex. par une consignation des preuves, par des clarifications juridiques et par la participation à une procédure judiciaire ou administrative), l’évaluation et l’amélioration des processus internes. Dans le cadre du développement de l’entreprise, nous pouvons aussi vendre des activités, des parties de l’entreprise ou des entreprises à d’autres entreprises ou effectuer des acquisitions auprès d’elles, ou bien nouer des partenariats, ce qui peut donner lieu à l’échange et au traitement de données (également les vôtres, p. ex. en tant que client, fournisseur ou représentant d’un fournisseur). Cela inclut également la défense d’autres intérêts légitimes, dont l’énumération ne saurait être exhaustive.

Si nous vous demandons votre consentement pour certains traitements, nous vous informons spécifiquement des finalités du traitement. Vous pouvez révoquer votre consentement à tout moment en nous en informant par écrit; vous trouverez nos coordonnées au point 2. Une fois que nous avons reçu la révocation de votre consentement, nous ne traitons plus vos données pour les finalités concernées, sous réserve qu’un autre fondement juridique nous autorise à poursuivre leur traitement. La révocation de votre consentement n’affecte en rien la légalité du traitement réalisé avant la révocation.

5. Quelles sont les règles concernant l’établissement de profils et les décisions individuelles automatisées?

Dans les finalités énoncées au point 4, nous pouvons traiter et analyser vos données (point 3) de façon automatisée, c.-à-d. assistée par ordinateur, afin d’identifier les risques d’abus, de sécurité et de réputation, d’effectuer des analyses statistiques ou à des fins de planification opérationnelle. Ces processus de traitement incluent également l’établissement de profils («profiling»).

Les établissements de profils sont des traitements automatisés de données à des fins d’analyse et de prévision. Les principaux exemple sont les établissements de profils visant à lutter contre les abus, à identifier des risques pour la sécurité et la réputation, à entretenir la relation client et à des fins de marketing (tel que décrit plus en détail au point 4).

Dans tous les cas, nous veillons à la proportionnalité et à la fiabilité des résultats et nous prenons des mesures contre toute utilisation abusive d’un profiling. Dans le domaine surobligatoire, ces traitements de données sont régis non seulement par la loi sur la protection des données, mais aussi par la législation sur la prévoyance professionnelle.

Pour garantir l’efficacité et l’uniformité de nos processus décisionnels, nous pouvons prendre certaines décisions de façon automatisée, c.-à-d. assistée par ordinateur, selon des règles définies et sans qu’elles ne soient contrôlées par un collaborateur. Cela peut notamment comprendre des décisions portant sur la conclusion du contrat, sa résiliation ou des exclusions de risques.

Nous vous en informons au cas par cas ou identifions cette décision en conséquence lorsqu’elle est prise de façon automatisée et qu’elle a des conséquences juridiques qui vous sont défavorables ou qui constituent un préjudice important comparable. Dans ce cas, si vous n’êtes pas d’accord avec le résultat de la décision, vous pouvez exercer les droits cités au point 10.

6. À qui communiquons-nous vos données?

La prévoyance professionnelle est réalisée dans un processus de répartition des tâches, auquel participent non seulement des institutions de prévoyance, mais aussi d’autres entités – employeurs, institutions de libre passage, autres assureurs, prestataires médicaux, etc. Par conséquent, vos données ne sont pas traitées uniquement par nous, elles le sont également par des tiers. Vous trouverez ci-dessous un aperçu des catégories de destinataires auxquels nous pouvons communiquer des données personnelles.

Ce point 6 explique les principales communications de données et précise les données en question. Vous trouverez des remarques complémentaires aux points 3 et 4.

Employeur: Nous ne communiquons à votre employeur aucune donnée sur votre santé et sur des opérations telles que les rachats, prélèvements anticipés, etc. Il est seulement informé qu’une mutation a eu lieu, sans plus de détails.

Communication en cas de prévoyance: Dans le cadre de la déclaration et la survenance d’un cas de prévoyance (c.-à-d. retraite, invalidité et décès) et d’autres prestations telles qu’un virement ou un versement de la prestation de sortie, nous pouvons échanger des données, par exemple avec des institutions de libre passage, d’autres institutions de prévoyance, des autorités et des offices (par ex. assureurs sociaux, tels que notamment l’assurance invalidité ou des offices sociaux), d’autres assureurs, des prestataires médicaux et des experts, des banques et des prêteurs, des tribunaux et des avocats extérieurs.

Dans le cadre du traitement des cas de prévoyance et des clarifications y afférentes, nous pouvons nous procurer des données auprès de tiers (point 3) et également leur en communiquer, à des médecins et d’autres prestataires de services, à des experts, à des autorités, à des tribunaux, à des tiers appelés à fournir des renseignements et des avocats par exemple. Nous informons notamment d’autres assureurs sociaux et privés au sujet de certains cas de prévoyance afin de coordonner les obligations de verser des prestations et de clarifier et d’exercer les prétentions récursoires. En cas de divorce ou de dissolution d’un partenariat enregistré et en cas de litiges successoraux en particulier, nous communiquons des données personnelles à des tribunaux ou à d’autres institutions de prévoyance ou de libre passage.

Vérification d’adresses, examen de la solvabilité et recouvrement: nous pouvons recourir à des tiers pour les examens de la solvabilité et pour le recouvrement de créances.

Nous pouvons recourir à des tiers pour les examens de la solvabilité et pour le recouvrement de créances, auquel cas nous leur communiquons des données, par exemple concernant des créances non recouvrées et le comportement de paiement.

Sociétés du Groupe Zurich: nous pouvons communiquer des données personnelles à des sociétés du Groupe Zurich.

Dans la mesure du nécessaire, nous pouvons communiquer vos données à des sociétés du Groupe Zurich, en particulier pour l’appréciation du risque et son évaluation et pour proposer d’autres prestations de soutien. Pour vous offrir en votre qualité d’employeur la meilleure couverture d’assurance possible et des solutions de financement aussi personnalisées que possible, nous pouvons communiquer vos données – en particulier vos données de base, vos données contractuelles et d’enregistrement – à d’autres sociétés du Groupe Zurich afin de vous proposer des produits et des prestations taillés sur mesure (aucune donnée personnelle sensible).

Autorités et offices: nous pouvons communiquer des données personnelles aux autorités, aux organismes, aux tribunaux et à d’autres services officiels si nous sommes juridiquement tenus ou en droit de les communiquer ou si leur communication est nécessaire pour sauvegarder nos intérêts.

Dans le cadre de l’exercice des droits, de la contestation de créances et de la satisfaction des exigences juridiques, dans certaines circonstances, nous communiquons des données personnelles aux autorités, organismes, tribunaux et autres services officiels, par exemple dans le cadre de procédures administratives, judiciaires, pré-judiciaires et extra-judiciaires et dans le cadre d’obligations légales d’informer et de collaborer. Les destinataires sont par exemple des offices des poursuites, des juridictions pénales et des autorités d’instruction pénale, des administrations fiscales ou des autorités d’assurance sociale. Des données sont également communiquées lorsque nous obtenons des informations auprès de services officiels, par exemple en lien avec le traitement de cas de prévoyance (voir ci-dessus). Les autorités sont responsables du traitement des données vous concernant que nous leur avons communiquées.

Autres personnes: En cas de recours à des tiers découlant des finalités énoncées au point 4, des données peuvent être communiquées à d’autres destinataires.

Nous pouvons par exemple communiquer des données à des personnes qui sont parties dans une procédure judiciaire ou administrative (p. ex. en cas de recours contre un tiers civilement responsable ou son assureur responsabilité civile), ou, dans la mesure du nécessaire, à des réassureurs, aux potentiels acheteurs d’entreprises, de créances et d’autres actifs, à des sociétés de financement en cas de titrisations ainsi qu’à d’autres tiers, au sujet desquels nous vous informons dans la mesure du possible, par exemple dans des déclarations de consentement ou des mentions particulières relatives à la protection des données. Les autres personnes sont, en particulier, le bénéficiaire d’un paiement, les mandataires, les banques de correspondance, d’autres établissements financiers et d’autres services impliqués dans un acte juridique.

Prestataires: Nous collaborons avec des prestataires en Suisse et à l’étranger, qui traitent des données vous concernant pour notre compte ou dans le cadre d’une responsabilité commune avec nous, ou qui traitent des données vous concernant que nous leur avons communiquées sous leur propre responsabilité. Celles-ci peuvent comprendre des données de santé.

Nous sollicitons des prestations de services de tiers afin de proposer nos produits et prestations de façon sûre et efficiente en termes de coûts et afin que nous puissions nous concentrer sur nos compétences. Ces prestations de services concernent par exemple les services informatiques, l’envoi d’informations, des services de marketing, de distribution, de communication, d’impression, des services de gestion, de sécurité et de nettoyage des bâtiments, des services d’organisation et de réalisation de manifestations et de réception, le recouvrement, les services de renseignements économiques, les mesures de lutte contre la fraude et les prestations de sociétés de conseil, de sociétés de révision ainsi que les prestataires de sinistres. Nous communiquons aux prestataires les données qui leur sont nécessaires pour fournir leurs prestations. On peut citer pour exemple les prestataires d’hébergement, qui conservent des données électroniques pour nous et parfois des données sensibles telles que des données de santé. Ces prestataires sont soumis aux obligations contractuelles et/ou légales de confidentialité et de protection des données respectives. À titre exceptionnel, dans des cas justifiés, ils peuvent également utiliser ces données à leurs propres fins, par exemple des informations sur des créances non recouvrées et votre comportement de paiement dans le cas des services de renseignements économiques, ou des données anonymisées, afin d’améliorer les prestations de services.

Dans la mesure autorisée par la loi, ces catégories de destinataires peuvent recourir de leur côté à des tiers et ce faisant, mettre vos données à leur disposition.

Nous nous réservons le droit de communiquer ces données même s’il s’agit de données confidentielles, sous réserve de prescriptions légales impératives relatives à la confidentialité.

Dans de nombreux cas, il est également nécessaire de communiquer des données confidentielles afin de pouvoir exécuter des contrats ou fournir des prestations. En général, les accords de confidentialité n’excluent pas de telles communications de données et n’excluent pas non plus leur communication à des prestataires. Néanmoins, en fonction de la sensibilité des données et d’autres circonstances, nous veillons à ce que ces tiers utilisent les données de façon raisonnable.

Intermédiaires: Nous communiquons à des intermédiaires d’assurance (p. ex. des agences générales et d’autres intermédiaires liés et non liés) les données dont ils ont besoin pour assurer votre suivi et vous fournir des conseils et pour la commercialisation de nos produits.

Les données que nous communiquons aux intermédiaires d’assurance comprennent en particulier des données de base, des données contractuelles, des données sur des cas et des prestations. Les intermédiaires sont légalement et contractuellement tenus de respecter les dispositions de la loi sur la protection des données.

Nous permettons aussi à certains tiers de collecter des données personnelles vous concernant sur notre site Internet et lors de manifestations (p. ex. photographes de presse, prestataires d’outils qui sont reliés à notre site Internet, etc.). Dans la mesure où nous ne participons pas de façon déterminante à ces collectes de données, de telles collectes relèvent exclusivement de la responsabilité de ces tiers.

Les communications de données précitées en Suisse et à l’étranger (cf. point 7) sont nécessaires pour des raisons juridiques ou opérationnelles. Par conséquent, les obligations de confidentialité légales et contractuelles ne s’opposent pas à ces communications de données. Les données des bénéficiaires en lien avec la prévoyance professionnelle obligatoire sont communiquées uniquement dans le cadre de la LPP.

7. Communiquons-nous des données personnelles à l’étranger?

Comme nous l'avons expliqué au point 6, nous traitons vos données personnelles et des tiers en font de même. Lors de la transmission de données personnelles à des sociétés du Groupe Zurich ou à des prestataires par exemple, vos données peuvent aussi être transmises à l’étranger. Ces destinataires ne se trouvent pas uniquement en Suisse. Vos données peuvent donc être traitées dans le monde entier, même en dehors de l’UE ou de l’Espace économique européen (dans des «pays tiers», par ex. aux États-Unis). Actuellement, les lois de nombreux pays tiers ne garantissent pas le même niveau de protection des données que le droit suisse. Par conséquent, nous prenons des mesures contractuelles pour compenser les faiblesses de la protection légale dans un contrat, pour autant que le droit de la protection des données n’autorise pas la communication au cas par cas pour d’autres motifs. À cet effet, nous utilisons généralement les clauses contractuelles standard établies ou reconnues par la Commission européenne et le Préposé fédéral à la protection des données et à la transparence (PFPDT) (vous trouverez des informations complémentaires à ce sujet et une copie de ces clauses sur www.edoeb.admin.ch), dès lors que le destinataire n’est pas déjà soumis à une réglementation légalement reconnue visant à garantir la protection des données et que nous ne pouvons pas nous fonder sur une clause d’exemption. Une exception peut être envisagée notamment en cas de procédure judiciaire à l’étranger, et également en cas d’intérêts publics prépondérants ou dans les cas où une telle communication est exigée, si vous avez donné votre consentement ou s’il s’agit de données rendues publiques, pour lesquelles vous ne pouvez vous opposer au traitement.

À l’heure actuelle, beaucoup d’États en dehors de la Suisse, de l’UE et de l’EEE ne possèdent pas de lois garantissant un niveau de protection des données adéquat au regard de la LPD ou du RGPD (Règlement général sur la protection des données). Les mesures contractuelles évoquées permettent de compenser en partie les faiblesses ou l’absence de cette protection légale, mais elles ne permettent pas d’éliminer tous les risques (à savoir les risques d’interventions étatiques à l’étranger). Vous devez avoir conscience de ces risques résiduels, même si le risque peut être faible au cas par cas, et nous prenons des mesures supplémentaires (p. ex. pseudonymisation ou anonymisation) pour les réduire autant que possible.

Veuillez également noter que les données échangées sur Internet transitent souvent par des pays tiers. De ce fait, vos données peuvent aussi être transmises à l’étranger alors que l’expéditeur et le destinataire se trouvent dans le même pays.

8. Pendant combien de temps traitons-nous vos données?

Nous enregistrons vos données aussi longtemps que nos finalités de traitement, les délais de conservation légaux et nos intérêts légitimes dans le traitement à des fins de documentation et de preuve l’exigent ou qu’un enregistrement est techniquement nécessaire. Vous trouverez des informations complémentaires sur la durée d’enregistrement et de traitement dans les différentes catégories de données au point 3.

La durée de notre conservation des données dépend donc des prescriptions légales et internes et des finalités du traitement (cf. point 4), dont fait partie la sauvegarde de nos intérêts (p. ex. pour exercer des droits ou contester des prétentions, à des fins d’archivage et pour garantir la sécurité informatique). Si ces finalités sont atteintes ou n’existent plus et s’il n’y a plus d’obligation de conservation, nous effaçons ou anonymisons vos données dans le cadre de nos processus usuels.

Les finalités de documentation et de preuve comprennent nos intérêts, processus, interactions et d’autres faits en cas de prétentions, désaccords, finalités de la sécurité de l’informatique et de l’infrastructure et la preuve d’une bonne gouvernance d’entreprise et d’une bonne compliance. Une conservation peut être nécessaire techniquement s’il est impossible de dissocier certaines données d’autres données et si nous sommes donc contraints de les conserver (p. ex. en cas de sauvegardes («backups») ou de systèmes de gestion de documents).

9. Comment protégeons-nous vos données?

Nous traitons vos données de façon confidentielle et prenons des mesures de sécurité techniques et organisationnelles appropriées, afin de préserver la confidentialité, l’intégrité et la disponibilité de vos données personnelles, de les protéger contre tout traitement non autorisé ou illicite et de prévenir le risque de perte, de modification imprévue, de divulgation non intentionnelle ou d’accès non autorisé. Nous nous alignons sur des normes de sécurité reconnues telles que la norme ISO 27001.

Nos mesures de sécurité peuvent notamment inclure des mesures telles que le codage et la pseudonymisation des données, l’établissement de procès-verbaux, les restrictions d’accès, l’enregistrement de copies de sécurité, des directives à nos collaborateurs, des accords de confidentialité, des contrôles, etc. Nous obligeons également nos sous-traitants de données à prendre des mesures de sécurité appropriées. Cependant, en règle générale, les risques de sécurité ne peuvent pas être totalement exclus; certains risques résiduels sont inévitables.

Nous protégeons vos données personnelles transmises sur nos sites Internet pendant leur transport par des mécanismes de codage adéquats. Néanmoins, nous ne pouvons sécuriser que les domaines que nous contrôlons.

Quand vous nous contactez par e-mail, c’est vous qui prenez un risque et vous acceptez que nous vous répondions à l’adresse de l’expéditeur via le même canal. Si vous nous envoyez des e-mails non codés sur Internet, il est possible que des tiers puissent accéder à ces e-mails, les consulter et les manipuler.

Par ailleurs, nous prenons des mesures de sécurité techniques et organisationnelles appropriées afin de réduire le risque sur nos sites Internet. Toutefois, votre terminal se trouve dans une zone de sécurité que nous ne contrôlons pas. Par conséquent, vous êtes tenu de vous renseigner sur les mesures de sécurité requises et de prendre des mesures appropriées à cet égard.

10. Quels sont vos droits?

Dans certaines circonstances, la législation en matière de protection des données en vigueur vous confère le droit de vous opposer au traitement de vos données, en particulier à des fins de marketing direct, d’établissement de profils exploités pour la publicité directe, ainsi que d’autres intérêts légitimes au traitement.

Afin de vous simplifier le contrôle du traitement de vos données personnelles, vous possédez différents droits en lien avec notre traitement des données:

  • le droit de nous demander si nous traitons vos données et quelles données nous traitons vous concernant;
  • le droit de nous demander de rectifier vos données si celles-ci sont incorrectes;
  • le droit de vous opposer à notre traitement dans certaines finalités et de demander la suppression de vos données dès lors que nous n’avons pas l’obligation ou le droit de poursuivre le traitement;
  • le droit de nous demander de communiquer certaines données personnelles dans un format électronique courant ou de nous demander leur transmission à un autre responsable;
  • le droit de révoquer un consentement, dès lors que notre traitement est fondé sur votre consentement.

Si nous vous informons d’une décision automatisée (point 5),vous avez le droit – à quelques exceptions près – d’exprimer votre point de vue et de demander la vérification de la décision par une personne physique.

Veuillez noter que certaines conditions doivent être réunies pour pouvoir exercer ces droits et que des exceptions ou des restrictions peuvent s’appliquer (p. ex. pour protéger des tiers ou des secrets commerciaux). Nous vous en informerons le cas échéant.

Nous sommes notamment tenus de traiter et d’enregistrer vos données personnelles afin d’exécuter un contrat avec vous, de défendre nos propres intérêts dignes de protection tels que la revendication, l’exercice et la défense de droits, ou de respecter des obligations légales. Par conséquent, dès lors que la loi le permet, pour protéger les droits et les libertés d’autres personnes concernées et pour sauvegarder des intérêts dignes de protection en particulier, nous pouvons refuser la requête d’une personne concernée en tout ou partie (p. ex. en noircissant certains contenus qui concernent des tiers ou nos secrets commerciaux).

Si vous voulez exercer vos droits à notre encontre, veuillez nous contacter par courrier (cf. point 2). Afin d’exclure tout abus, nous devons vérifier votre identité (p. ex. au moyen d’une copie d’une pièce d’identité si cela n’est pas possible autrement).

Si vous n’êtes pas d’accord avec notre traitement de vos droits ou la protection des données, veuillez en informer le service cité au point 2. Vous pouvez contacter l’autorité suisse de surveillance à cette adresse: www.edoeb.admin.ch.