En 2016, la Commission européenne a adopté le Règlement général sur la protection des données (ci-après « GDPR »). Elle instaure dès lors un cadre législatif uniformisé à l’ensemble du territoire de l’Union Européenne en ce qui concerne le traitement des données à caractère personnel. Le GDPR répond notamment à un double objectif : il responsabilise les organismes qui traitent les données et renforce les droits des personnes dont les données sont traitées.
Le GDPR est entré en vigueur le 25 mai 2018 et s’applique à toute organisation ou entreprise qui traite des données à caractère personnel pour son compte ou non, dès lors qu’elle est établie dans l’Union Européenne ou que son activité cible directement les résidents européens. Le GDPR est donc applicable à Ethias SA
Chez Ethias SA (ci-après « Ethias » ou « nous »), nous mettons tout en œuvre pour assurer le respect de votre vie privée et la protection de vos données à caractère personnel. La « protection des données dès la conception » (ci-après « privacy by design ») est également une priorité au sein de notre entreprise. Ce principe signifie que la protection des données est prise en compte lors du développement de nos projets et de nos produits mais également, tout au long de leurs évolutions.
Nous traitons vos données à caractère personnel afin de pouvoir vous offrir un service optimal et adapté à vos besoins. Celles-ci sont traitées dans le respect des finalités pour lesquelles vous nous les avez confiées et en toute transparence.
Dans le souci de souligner notre engagement en matière de vie privée, nous avons élaboré cette Charte relative à la protection des données (ci-après, la « Charte »). Celle-ci vise à vous informer des traitements qu’Ethias réalise, au travers de ses différentes marques (Ethias et Flora), de la manière dont Ethias protège vos données personnelles et des droits dont vous disposez.
Nous vous invitons à lire attentivement cette Charte qui souligne, par ailleurs, nos valeurs fondamentales, à savoir l’Humain et la Satisfaction du client. Pour toute autre question, n’hésitez pas à nous contacter à l’adresse suivante : DPO@ethias.be.
Nous attirons votre attention sur le fait que nos sites Internet peuvent parfois contenir des liens vers des sites de tiers (médias sociaux, organisateurs d’événements que nous sponsorisons, etc.) dont les conditions d’utilisation ne tombent pas sous le champ d’application de cette Charte ni sous notre responsabilité. Nous vous recommandons par conséquent de lire attentivement leur Charte de protection des données à caractère personnel pour savoir comment ils respectent votre vie privée.
Le GDPR est un règlement européen qui vise à établir un cadre uniforme en matière de protection des données. Il est applicable au sein de tous les États Membres de l’Union Européenne depuis le 25 mai 2018.
En droit belge, il existe une loi qui vient compléter et préciser certaines dispositions du GDPR. Il s’agit de la loi du 30 juillet 2018, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
À la fin de cette Charte (Voir infra, Chapitre 19), vous trouverez une liste de définitions utile à la compréhension des termes utilisés. Nous vous invitons à la parcourir et à vous familiariser avec son contenu.
Cette Charte est destinée aux personnes physiques dont Ethias est amenée à traiter les données à caractère personnel telles que :
Les données des personnes morales ne sont concernées ni par le GDPR ni par la présente Charte.
Ethias S.A. (ci-après « Ethias » ou « nous ») est le responsable du traitement de vos données à caractère personnel qu’elle traite au travers de ses différentes marques (Ethias et Flora). Ethias est une société de droit belge, dont le siège social est situé Rue des Croisiers 24 à 4000 Liège, Belgique, enregistrée à la Banque Carrefour des Entreprises de Belgique sous le numéro 0404.484.654.
En qualité de responsable de traitement, nous déterminons les finalités (le « pourquoi ») et les moyens (le « comment ») du traitement de vos données à caractère personnel, et sommes votre interlocuteur principal (ainsi que celui des autorités de contrôle) pour toute question relative au traitement de celles-ci. La présente Charte vise à vous informer sur le traitement de vos données dont la responsabilité nous incombe.
Notre délégué à la protection des données (ci-après « DPD », « Data Protection Officer » ou « DPO ») est chargé du suivi de la politique en matière de protection des données. Il exerce sa mission conformément au GDPR en s’appuyant sur un réseau de « collaborateurs GDPR ». Via son réseau interne GDPR, Ethias garantit le bon suivi de toute question relative au GDPR, à l’exercice de vos droits ou à la présente Charte (le chapitre 4 est consacré à la question de la mise en place d’une structure de gouvernance vie privée au sein d’Ethias). Vous pouvez le contacter :
Nous mettons un point d’honneur à respecter votre vie privée et à traiter vos données à caractère personnel dans la plus stricte confidentialité et conformément à la législation en vigueur. C’est pourquoi nous avons mis en place de solides pratiques de gouvernance de données à caractère personnel. Cet engagement s’implémente notamment dans les mesures suivantes :
Nous traitons vos données en toute transparence pour les finalités spécifiées lors de leurs collectes.
Les données à caractère personnel traitées appartiennent aux catégories développées ci-dessous.
Cette catégorie se rapporte aux données qui permettent de vous identifier directement (par exemple votre nom ou prénom) ou indirectement (par ex. votre numéro de téléphone ou la plaque d’immatriculation de votre véhicule).
En fonction du type d’assurance que vous contractez, les données suivantes peuvent être collectées :
Certaines données à caractère personnel, en raison de leur caractère particulièrement sensible, bénéficient d’une protection particulière et ne peuvent être traitées que moyennant le respect de conditions spécifiques figurant à l'article 9 du GDPR. Il s’agit notamment d’informations qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Vos données sensibles ne sont en aucun cas traitées sans votre consentement préalable explicite lorsqu’il est requis ou à des fins de prospection.
Nous ne traitons les données relatives aux condamnations pénales et aux infractions que dans les cas suivants :
Nous collectons vos données à caractère personnel directement lorsque par exemple :
Nous collectons vos par l’intermédiaire de tiers qui nous les ont communiquées dans le cadre de la souscription ou de la gestion d’un contrat ou de la gestion d’un sinistre ou dans le cadre de nos activités promotionnelles organisées conformément à la règlementation applicable en matière de e-privacy et de protection des données à caractère personnel.
C’est notamment le cas :
Conformément au GDPR, chaque traitement de données s’appuie sur une base légale et répond à une/des finalité(s) spécifique(s).
Il est basé sur une seule base légale. Cette dernière est déterminée en fonction des éléments suivants :
Si vous visitez un de nos sites Internet ou vous utilisez une de nos applications mobiles, vous pouvez choisir si vous acceptez ou non les cookies et, le cas échéant, les autres moyens technologiques qui récoltent des données et des informations relatives à vos habitudes de navigation. Les cookies sont essentiels au bon fonctionnement de nos sites. Ils remplissent divers rôles: retenir vos préférences, collecter des données statistiques, adapter le contenu et/ ou la publicité des sites selon vos besoins.
Pour plus d’informations, nous vous invitons à consulter notre Cookie Policy.
Sur base de notre intérêt légitime ou de votre consentement, selon les cas, nous pouvons traiter vos données à caractère personnel à des fins de prospection.
Nous nous appuierons sur nos intérêts légitimes pour de la prospection :
Si vous souhaitez vous opposer à nos communications de prospection basées sur nos intérêts légitimes, nous vous invitons à :
Le profilage vise un traitement de données à caractère personnel d’une personne en vue d’analyser et de prédire son comportement. Il inclut également le ciblage utilisé notamment lors de campagnes ou segmentations marketing.
Pour les activités de profilage, selon les cas, nous nous basons soit sur notre intérêt légitime, soit sur votre consentement (opt-in) en fonction des cas (finalités poursuivies, impact sur la personne concernée et éventuelle prise de décision automatisée). Selon les cas, une autre base légale peut être invoquée (par ex. une obligation légale ou l’exécution du contrat.
Nous pouvons avoir recours au profilage en vue de mieux connaitre nos clients et d’adapter nos communications et offres et ainsi, améliorer l’efficacité de nos campagnes marketing. Pour ce faire, seules les données nécessaires à ces communications sont collectées à savoir notamment :
Hormis les cas où le GPDR ou toute disposition légale en vigueur en Belgique s’y opposent, vous disposez des droits suivants :
Vous avez le droit d’accéder à vos données à caractère personnel qui sont en notre possession. Ce droit vous permet également d’obtenir les informations caractéristiques du traitement à savoir :
Il est primordial que vous conserviez la maitrise de vos données. Dès lors, si vous constatez que les données en notre possession sont inexactes, vous pouvez à tout moment nous demander de les compléter ou de les rectifier.
Après votre confirmation des changements apportés, veuillez compter un délai d’un mois à partir de la vérification de votre identité pour que vos données soient mises à jour.
Vous avez le droit de demander la suppression des données à caractère personnel en notre possession. La loi prévoit les cas pour lesquels le droit à l’oubli peut être exercé, il s’agit notamment des cas suivants :
La loi prévoit les cas dans lesquels vous pouvez demander la limitation du traitement de vos données à caractère personnel. Il s’agit des hypothèses suivantes :
Lorsque vos données à caractère personnel sont traitées sur base de votre consentement ou parce qu’elles sont nécessaires à l’exécution d’un contrat, vous bénéficiez d’un droit à la portabilité. Ce dernier vous permet de récupérer une partie de vos données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine. De plus, ce droit vous permet de nous demander à ce que vos données soient transmises à un autre responsable de traitement à condition toutefois que cette opération soit techniquement possible.
Lorsque nous traitons vos données à caractère personnel sur base de notre intérêt légitime, vous avez le droit de vous opposer à ce traitement sous réserve de raisons tenant à votre situation particulière. Nous pouvons refuser votre demande d’opposition lorsque des motifs légitimes et impérieux nous imposent de poursuivre le traitement ou lorsque celui-ci est justifié pour la constatation, l’exercice ou la défense de droits en justice.
Notez que nous ne pouvons refuser le droit d’opposition au traitement de vos données à caractère personnel au profilage ou à des fins de prospection ou marketing direct.
Afin de vous offrir un service de qualité, nous automatisons certains traitements de données afin de faciliter la prise de décision. Ces traitements automatisés doivent répondre à des conditions strictes, ils doivent être soit :
Lorsque le traitement de vos données à caractère personnel est exclusivement basé sur votre consentement, vous pouvez décider de le retirer à tout moment. Nous nous assurerons que les données soient supprimées sauf si un autre motif juridique nous permet de les traiter (par ex. lorsque le traitement est nécessaire pour honorer un contrat).
Si les données supprimées sont traitées pour différentes finalités, nous ne pouvons pas utiliser ces données pour la partie du traitement pour laquelle votre consentement a été retiré, ni pour aucune des finalités, selon la nature du retrait de votre consentement.
Notez toutefois que lorsque votre demande porte sur des données relatives à la santé, celles-ci sont indispensables à la détermination de l’ampleur de l’indemnisation dans le cadre d’une demande d’intervention. En conséquence, nous pourrons nous trouver dans l’impossibilité de donner suite à votre demande ou d’appliquer le contrat.
De plus, l’exercice de ce droit ne remet pas en cause la légalité du traitement de vos données à caractère personnel effectué durant la période précédant votre demande.
Si vous estimez que le traitement de vos données à caractère personnel constitue une atteinte à votre vie privée, vous avez également le droit d’introduire une plainte auprès de l’Autorité de protection des données (ci-après « APD ») :
Conformément aux dispositions relatives au blanchiment d’argent, nous sommes tenus de prévenir, détecter et signaler les opérations de blanchiment d’argent aux autorités. Nous traitons à cet effet les données à caractère personnel que vous nous avez communiquées ainsi que celles de canaux tels que World-Check de Thomson Reuteur ou d’autres moteurs de recherche en ligne. À la suite de ce traitement, nous pouvons être amenés à bloquer certaines transactions et à les signaler à la Cellule de Traitement des Informations Financières (CTIF). Les droits mentionnés ci-dessus ne peuvent alors pas être exercés et nous vous invitons à vous adresser à l’APD.
Vos données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation de ces finalités, en général vos données sont conservées jusqu’à la fin de l’exécution de votre contrat ou du sinistre et parfois au-delà comme expliqué ci-après. La durée de conservation varie selon le type de données et les législations applicables en la matière. Au-delà de cette durée, vos données sont supprimées.
Certaines de vos données sont cependant conservées en vue :
En tant qu’assureur, nous sommes contraints de communiquer vos données à caractère personnel à des tiers afin de mener à bien nos missions, de répondre aux demandes d’indemnisations de parties sinistrées, de respecter nos obligations légales ou dans le cadre de nos activités promotionnelles. Ces tiers peuvent être implantés au sein de l’Espace Economique Européen (ci-après « EEE ») mais également en dehors de celui-ci.
Au sein de l’EEE, vos données à caractère personnel peuvent être communiquées :
En ce qui concerne nos sous-traitants, nous contractons systématiquement avec chacun d’entre eux un contrat de traitements de données. Ceux-ci doivent respecter les principes repris dans cette Charte. Nous réalisons des audits afin d’assurer leurs conformités aux règles contractuelles et règlementaires applicables. Nos sous-traitants sont également tenus de répercuter vis-à-vis de leurs propres sous-traitants ces obligations de conformité.
Notez que pour la communication de vos données à des fins commerciales ne peut avoir lieu sans votre consentement
Si nous devions transférer vos données personnelles en dehors de l’EEE, nous vérifions que le pays en question dispose du même niveau de protection que celui en vigueur au sein de l’EEE, que des garanties appropriées ont été mises en place (encryption, pseudonymisation, clauses contractuelles types,...), ou encore, que des dérogations peuvent être invoquées.
Dans le cas de la gestion des sinistres, en fonction des situations, nous pourrions être appelés à transférer des données personnelles hors EEE, afin d’assurer la bonne exécution de notre contrat avec notre client.
Nous utilisons des cookies sur nos sites internet. Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web. Ces cookies nous permettent d’améliorer notre site, de faciliter votre navigation, de vous offrir une expérience optimale ou d’analyser notre audience (voir ci-dessous « Section 19. Définitions ».
Pour en savoir plus sur notre Politique en matière de cookies, nous vous invitons à consulter la page suivante : https://www.ethias.be/part/fr/legal/cookie-infopage.html.
Sensibiliser notre personnel à la protection des données et aux principes du GDPR est une mission qui nous tient à cœur. Raison pour laquelle, nos employés bénéficient d’un programme de formations adapté à leurs fonctions et aux opérations de traitement de données qu’ils mènent.
De plus, notre réseau collaborateurs GDPR (voir ci-dessus « Sections 3 et 4 ») assure la sensibilisation du personnel et la promotion de la protection de la vie privée au sein de chacun de nos départements.
En termes de sécurité, nous implémentons des mesures techniques et organisationnelles appropriées afin de nous protéger contre la destruction, la perte, l’altération, la divulgation non-autorisée ou l’accès aux données à caractère personnel transmises, stockées ou traitées.
Afin de définir le niveau de sécurité adéquat pour notre organisation, nous évaluons les risques liés à chacun des traitements de données que nous opérons en fonction de leurs contextes (nature, finalité, portée, catégories de données traitées) et des moyens technologiques disponibles.
En termes de gouvernance, nous adoptons les procédures nécessaires pour veiller à l’accomplissement des obligations et exigences du GDPR à savoir :
Cette Charte peut être mise à jour à tout moment et sans avis de modification. Nous vous invitons à la consulter régulièrement sur notre site internet.
Dernière mise à jour : 13/04/2021
Termes |
Définitions |
Analyses d’impact sur la protection des données (AIPD)/ Data Protection Impact Assessment (DPIA) | Une analyse d’impact sur la protection des données est une étude qui doit être menée lorsqu'un traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. |
Autorité Protection des données (APD) | L’Autorité publique indépendante chargée de |
Cookies | Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est-à-dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine. Il peut permettre d’identifier une personne physique sur base des données personnelles qu’il collecte. |
Délégué à la protection des données (DPD)/Data Protection Officer (DPO) |
Le délégué à la protection des données, data protection officer ou « DPO » est chargé de mettre en oeuvre la conformité au GDPR au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en oeuvre par cet organisme. Dans certains cas, sa désignation est obligatoire. |
Données à caractère personnel ou données-personnelles |
Les données à caractère personnel sont des données se rapportant à une personne physique identifiée ou identifiable par la combinaison d’informations. |
Données sensibles | Les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. |
Intérêt légitime | L’intérêt légitime est une des bases légales prévues par le GDPR sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. |
Minimisation (Principe de) | Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. |
Personne concernée | Toutes les personnes physiques dont Ethias est amené à traiter les données. |
Profilage | Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à un individu, notamment pour analyser ou prédire son comportement. |
Responsable du traitement | Une personne physique ou morale (comme Ethias) qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. |
Tiers | Un tiers est une toute personne (physique ou morale), autorité publique, ou autre organisme autorisé à traiter les données à caractère personnel. |
La protection de votre vie privée : un engagement à l’échelle de notre entreprise.
Ethias, soucieuse de préserver la confidentialité et l’intégrité de ses données, a communiqué le présent engagement à l’ensemble de son personnel.
Simplifier l'assurance pour apporter sécurité, tranquillité et liberté d'entreprise avec des services et des produits innovants. Partenaire de votre quotidien, nous mettons notre expertise et notre énergie à votre service.