Préambule : la bonne gestion de vos données, notre priorité

En 2016, la Commission européenne a adopté le Règlement général sur la protection des données (ci-après « GDPR »). Elle instaure dès lors un cadre législatif uniformisé à l’ensemble du territoire de l’Union Européenne en ce qui concerne le traitement des données à caractère personnel. Le GDPR répond notamment à un double objectif : il responsabilise les organismes qui traitent les données et renforce les droits des personnes dont les données sont traitées.

Le GDPR est entré en vigueur le 25 mai 2018 et s’applique à toute organisation ou entreprise qui traite des données à caractère personnel pour son compte ou non, dès lors qu’elle est établie dans l’Union Européenne ou que son activité cible directement les résidents européens. Le GDPR est donc applicable à Ethias Services S.A.

Chez Ethias Services S.A. (ci-après « Ethias Services » ou « nous »), nous mettons tout en œuvre pour assurer le respect de votre vie privée et la protection de vos données à caractère personnel. La « protection des données dès la conception » (ci-après « privacy by design ») est également une priorité au sein de notre entreprise. Ce principe signifie que la protection des données est prise en compte lors du développement de nos projets et de nos produits mais également, tout au long de leurs évolutions.

Nous traitons vos données à caractère personnel afin de pouvoir vous offrir un service optimal et adapté à vos besoins. Celles-ci sont traitées dans le respect des finalités pour lesquelles vous nous les avez confiées et en toute transparence.

Dans le souci de souligner notre engagement en matière de vie privée, nous avons élaboré cette Charte relative à la protection des données (ci-après, la « Charte »). Celle-ci vise à vous informer des traitements qu’Ethias Services réalise, de la manière dont Ethias Services  protège vos données personnelles et des droits dont vous disposez.

Nous vous invitons à lire attentivement cette Charte qui souligne, par ailleurs, nos valeurs fondamentales, à savoir l’Humain et la Satisfaction du client. Pour toute autre question, n’hésitez pas à nous contacter à l’adresse suivante : dpo.ethias.services@ethias.be.

Nous attirons votre attention sur le fait que nos sites Internet peuvent parfois contenir des liens vers des sites de tiers dont les conditions d’utilisation ne tombent pas sous le champ d’application de cette Charte ni sous notre responsabilité. Nous vous recommandons par conséquent de lire attentivement leur Charte de protection des données à caractère personnel pour savoir comment ils respectent votre vie privée.

Charte relative à la protection des données

Ci-dessous, vous trouverez un aperçu des différents chapitres développés au sein de notre Charte.

Pour un accès rapide à un chapitre, cliquez sur le lien relatif au chapitre. Si vous souhaitez accéder à la Charte dans son entièreté, nous vous invitons à faire défiler le texte.

1. Règlement général sur la protection des données

Le GDPR est un règlement européen qui vise à établir un cadre uniforme en matière de protection des données. Il est applicable au sein de tous les États Membres de l’Union Européenne depuis le 25 mai 2018.

En droit belge, il existe une loi qui vient compléter et préciser certaines dispositions du GDPR. Il s’agit de la loi du 30 juillet 2018, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

À la fin de cette Charte (Voir infra, Chapitre 19), vous trouverez une liste de définitions utile à la compréhension des termes utilisés. Nous vous invitons à la parcourir et à vous familiariser avec son contenu.

2. À qui s’adresse cette Charte ?

Cette Charte est destinée aux personnes physiques dont Ethias Services est amenée à traiter les données à caractère personnel telles que :

• des prospects ;
• des clients, utilisateurs et bénéficiaires des services proposés par Ethias Services ;
• des visiteurs de ses sites et plateformes ;
• des différentes personnes appelées à intervenir lors de la conclusion ou de l’exécution d’un contrat de prestation de services (fournisseurs, experts, réparateurs, dépanneurs, prestataires de services, etc.).

Les données des personnes morales ne sont concernées ni par le GDPR ni par la présente Charte.

3. Responsable du traitement des données

Ethias Services S.A. (ci-après « Ethias Services » ou « nous ») est le responsable du traitement de vos données à caractère personnel qu’elle traite. Ethias Services est une société de droit belge, dont le siège social est situé Rue des Croisiers 24 à 4000 Liège, Belgique, enregistrée à la Banque Carrefour des Entreprises de Belgique sous le numéro 0825.876.113.

En qualité de responsable de traitement, nous déterminons les finalités (le « pourquoi ») et les moyens (le « comment ») du traitement de vos données à caractère personnel, et sommes votre interlocuteur principal (ainsi que celui des autorités de contrôle) pour toute question relative au traitement de celles-ci. La présente Charte vise à vous informer sur le traitement de vos données dont la responsabilité nous incombe.

Notre délégué à la protection des données (ci-après « DPD », « Data Protection Officer » ou « DPO ») est chargé du suivi de la politique en matière de protection des données. Il exerce sa mission conformément au GDPR en s’appuyant sur un réseau de « collaborateurs GDPR ». Via son réseau interne GDPR, Ethias Services garantit le bon suivi de toute question relative au GDPR, à l’exercice de vos droits ou à la présente Charte (le chapitre 4 est consacré à la question de la mise en place d’une structure de gouvernance vie privée au sein d’Ethias Services). Vous pouvez le contacter :

• par courrier à l’adresse suivante :
  Ethias Services SA – DIM-Spoc GDPR Rue des Croisiers 24 4000 Liège
• par e-mail à l’adresse dpo.ethias.services@ethias.be.

4. Notre engagement

Nous mettons un point d’honneur à respecter votre vie privée et à traiter vos données à caractère personnel dans la plus stricte confidentialité et conformément à la législation en vigueur. C’est pourquoi nous avons mis en place de solides pratiques de gouvernance de données à caractère personnel. Cet engagement s’implémente notamment dans les mesures suivantes :

• la tenue d’un registre de traitements des données à caractère personnel lorsque nous agissons en qualité de responsable de traitement ;
• la mise en place d’une structure de gouvernance vie privée au sein d’Ethias Services. Nous avons désigné un Data Protection Officer. Comme expliqué ci-dessus, celui-ci est notre point de contact unique pour toutes questions relatives à la protection des données. Nous avons également mis en place un réseau de « collaborateurs GDPR » spécialement formés en matière de vie privée. Ces derniers assurent le relais entre le DPO et les services internes, se chargent de la conformité GDPR et répondent aux questions spécifiques relatives à la protection des données ;
• la mise en place d’un processus de gestion de projets garantissant le principe du « Privacy by design ». L’objectif de celui-ci est d’assurer la conformité des projets en cours de développement et des traitements existants aux législations et bonnes pratiques privacy en vigueur. Pour tout nouveau projet ou produit d’Ethias Services, le réseau GDPR est impliqué dès le début. En outre, le DPO y exerce son contrôle ;
• la réalisation d’analyse d’impact sur la protection des données (ci-après « AIPD », « Data Protection Impact Assessment » ou « DPIA ») pour tout traitement de données présentant un risque élevé pour vos droits et libertés et, lorsque ce risque est avéré, l’élaboration et l’implémentation de mesures pour réduire ce risque. La réalisation de ces DPIAs vise à garantir qu’Ethias Services gère de manière adéquate les risques que posent les opérations de traitement « à risque » pour la protection des données et de la vie privée. En proposant une réflexion structurée sur les risques pour les personnes concernées et sur la manière de les atténuer, le DPIA nous aide à nous conformer à l’exigence de la « protection des données dès la conception » (« privacy by design »).

5. Données traitées

Nous traitons vos données en toute transparence pour les finalités spécifiées lors de leurs collectes.

Les données à caractère personnel traitées appartiennent aux catégories développées ci-dessous.

1. Données à caractère personnelCette catégorie se rapporte aux données qui permettent de vous identifier directement (par exemple votre nom ou prénom) ou indirectement (par ex. votre numéro de téléphone ou la plaque d’immatriculation de votre véhicule).

   En fonction du type de service concerné, les données suivantes peuvent être collectées :

   • données d’identification (nom, prénom, adresse, etc.) ;
   • données de contact (adresse, adresse électronique, n° de téléphone, etc.) ;
   • composition du ménage (état civil, nombre d’enfants, etc.) ;
   • données financières et vue financière globale (votre numéro de compte bancaire, vos biens immobiliers, contrats d’assurances etc.) ;
   • caractéristiques du logement, du véhicule ;
   • profession (fonction exercée, formation, etc.) ;
   • données de localisation en relation avec la prestation de services concernée ;
   • loisirs et intérêts.
2. Données sensiblesCertaines données à caractère personnel, en raison de leur caractère particulièrement sensible, bénéficient d’une protection particulière et ne peuvent être traitées que moyennant le respect de conditions spécifiques figurant à l’article 9 du GDPR. Il s’agit notamment d’informations qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

   Vos données sensibles ne sont en aucun cas traitées sans votre consentement préalable explicite lorsqu’il est requis ou à des fins de prospection.

3. Données relatives aux condamnations pénales et aux infractionsNous ne traitons les données relatives aux condamnations pénales et aux infractions que dans les cas suivants :
   • lorsqu’une loi prévoyant des garanties adéquates l’y autorise ;
   • lorsque nous en avons besoin pour gérer nos propres contentieux.
4. Données traitées en qualité de sous-traitantDans certains cas, Ethias Services peut également être amenée à traiter vos données personnelles en qualité de sous-traitant pour le compte d’un responsable de traitement. C’est notamment le cas lorsqu’Ethias Services gère pour le compte d’un responsable de traitement les engagements de pension légale (1er pilier) ou les paiements de rentes « accidents du travail » ou encore lorsqu’elle fournit pour le compte de ses clients des services en matière de risques psychosociaux, de prévention incendie ou de riskmanagement.

   Ethias Services ne traite alors vos données que conformément aux instructions du responsable de traitement. Un contrat de traitement des données est établi entre Ethias Services et le responsable de traitement dans le but de définir les conditions dans lesquelles Ethias Services s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel. Toutes les informations détaillées relatives au traitement de vos données personnelles vous sont communiquées par le responsable de traitement dans le cadre de l’obligation d’information qui lui incombe en vertu du GDPR.

   Les données que nous traitons en qualité de sous-traitant peuvent notamment porter sur les catégories suivantes, sans que cette liste soit exhaustive :

   • données d’identification (nom, prénom, adresse, etc) ;
   • données de contact (adresse, adresse électronique, n° de téléphone, etc.) ;
   • données financières (numéro de compte bancaire, rémunérations, etc) ;
   • profession (fonction exercée, formation, etc) ;
   • composition du ménage (état civil, nombre d’enfants, etc) ;
   • données relatives à la santé physique et/ou psychique ;
   • données relatives aux condamnations pénales et aux infractions.

6. Moyens de collecte de vos données à caractère personnel

Nous collectons vos données à caractère personnel soit directement auprès de vous ou soit par l’intermédiaire d’un tiers.

1. Données collectées directement auprès de vousNous collectons vos données à caractère personnel directement lorsque par exemple :
   • vous devenez client ;
   • vous remplissez tout formulaire approprié que nous vous soumettons ;
   • vous utilisez nos services et produits ;
   • vous vous abonnez à nos newsletters, répondez à nos invitations (conférences, etc.), participez à nos concours, etc. ;
   • vous nous contactez par les différents canaux de communication mis à votre disposition ;
   • vos données sont transmises par des personnes que vous avez mandatées ou qui sont autorisées à le faire en vertu d’une réglementation;
   • vous communiquez des données lors de l’utilisation de nos sites Internet, de nos plateformes et de nos applications mobiles, par exemple lorsque :
     • vous nous communiquez vos données lors de la souscription à notre newsletter ;
     • vous créez un compte d’accès sur l’une de nos plateformes ;
     • vous demandez en ligne une offre de services ;
     • vous souscrivez des services en ligne ;
     • vous remplissez vos données dans les « zones privées » des sites Internet ;
   • vous visitez un de nos sites Internet ou vous utilisez une de nos plateformes ou de nos applications mobiles qui contiennent des cookies et autres technologies similaires. Pour plus d’informations sur les cookies que nous utilisons, nous vous invitons à consulter notre Cookie Policy : https://solutions.ethias.be/fr/politique-de-cookies/

   Lorsque nous vous demandons de nous communiquer des données à caractère personnel, vous avez le droit de ne pas y répondre. Ce refus pourrait toutefois empêcher la naissance de relations contractuelles, modifier la nature de celles-ci ou en influencer la gestion.

2. Données collectées par l’intermédiaire de tiersNous collectons vos données à caractère personnel par l’intermédiaire de tiers qui nous les ont communiquées dans le cadre de la relation contractuelle nouée avec Ethias Services ou dans le cadre de nos activités promotionnelles organisées conformément à la règlementation applicable en matière de e-privacy et de protection des données à caractère personnel.

   C’est notamment le cas :

   • d’un employeur qui transmet des données personnelles des membres de son personnel en vue de permettre la bonne exécution de la prestation de services (à des fins de facturation par exemple) ou en vue de la réalisation d’enquêtes de satisfaction ;
   • des partenaires commerciaux d’Ethias Services dans le cadre des activités promotionnelles d’Ethias Services.

   Nous collectons également vos données qui sont publiées (Moniteur belge).

7. Bases légales et finalités du traitement des données

Conformément au GDPR, chaque traitement de données s’appuie sur une base légale et répond à une/des finalité(s) spécifique(s).

Il est basé sur une seule base légale. Cette dernière est déterminée en fonction des éléments suivants :

• la nature des données à caractère personnel ; et
• la finalité spécifique (l’objectif ou le « pourquoi ») pour laquelle nous souhaitons traiter vos données.

Base légale : En vue de la conclusion, l’exécution et/ou de la gestion d’un contrat à votre demande.

Vos données non-sensibles peuvent être collectées pour :

• la gestion de la relation client ;
• l’évaluation de l’opportunité de conclure un contrat de prestation de services et/ou des conditions à y assortir;
• la fourniture de services ;
• la gestion et le traitement de réclamations ;
• la préparation et la collecte des factures ;
• le suivi des discussions commerciales et des litiges avec nos clients et la réponse aux questions éventuelles ;
• la fourniture d’un soutien technique ;
• la gestion des contrats de prestation de services.

Base légale : En vue de respecter les obligations, légales, réglementaires et administratives nous incombant.

Vos données peuvent être collectées pour :

• la mise en œuvre de la législation Insurance Distribution Directive ;
• La prévention du blanchiment de capitaux ;
• la lutte contre la fraude fiscale ;
• l’exécution des obligations sociales et fiscales d’Ethias Services ;
• l’exécution de notre obligation de répondre aux questions des autorités de contrôle ou gouvernementales telles que l’Autorité de protection des données (APD), l’Autorité des services et marchés financiers (FSMA), les Organisations sectorielles ou de consommateurs, etc.

Base légale – Lorsqu’il relève de notre intérêt légitime ou de celui de tiers. Dans cette hypothèse, nous procédons à une évaluation approfondie afin de maintenir un juste équilibre entre notre intérêt légitime ou celui du tiers et le respect de votre vie privée.

Vos données non-sensibles peuvent être collectées pour :

• l’analyse des besoins de nos clients dans le cadre d’une politique de marketing saine et efficace, dans la mesure où la prospection commerciale qui en découle n’entraine pas de décision automatisée ayant un effet juridique. Pour plus d’informations sur le profilage : voir infra, Chapitre 9;
• la détection et la prévention des abus et fraudes ;
• la protection des biens de l’entreprise ;
• la sécurité des biens et des personnes, ainsi que de nos réseaux et systèmes informatiques ;
• la sauvegarde de nos intérêts propres et ceux de nos clients ;
• la révélation de tout abus portant ou susceptible de porter un préjudice sérieux à notre statut financier, nos résultats et/ou à notre réputation ;
• la constitution de preuve(s) ;
• le suivi de nos activités et la connaissance administrative des différentes personnes liées à Ethias Services, qui permet l’identification des dossiers et d’autres intervenants ;
• la réalisation d’enquêtes de satisfaction ;
• la gestion des fichiers clients afin d’avoir une vision plus globale (par ex. l’établissement de statistiques en vue de savoir qui sont nos clients et comment les connaitre davantage) ;
• la réalisation de tests évaluation des risques, simplification, optimalisation et/ou automatisation ;
• la mise en œuvre de processus purement internes à Ethias Services afin de les rendre plus efficaces ;
• la mise en œuvre de systèmes en ligne afin d’améliorer votre expérience en tant qu’utilisateur (par ex. résoudre des bugs sur nos sites Internet et applications mobiles, vous contacter pour résoudre des problèmes techniques lorsque nous avons constaté que vous avez commencé à remplir vos données en ligne pour bénéficier d’un service mais que vous n’avez pas pu continuer ce processus, etc.) ;
• l’optimisation et gestion des canaux de distribution d’Ethias Services.

Base légale – Lorsque nous vous avons demandé votre consentement et que vous (ou votre représentant légal) nous l’avez donné. Dans ce cas, vos données à caractère personnel sont traitées pour la ou les finalité(s) spécifique(s) auxquelles vous avez consentie(s) via nos documents contractuels ou nos formulaires-type.

Vos données non-sensibles peuvent être collectées pour :

• le suivi d’une simulation via notre souscription en ligne ;
• vous informer sur nos nouveaux produits ou services similaires à ceux que vous avez contractés ;
• bénéficier de la tarification la plus avantageuse ;
• vous proposer des produits ou services plus adaptés à votre situation familiale ou professionnelle.

Base légale – Lorsque nous vous avons demandé votre consentement explicite.

Vos données sensibles peuvent être collectées pour :

• la fourniture d’un service en ce qui concerne les données relatives à la santé.

Base légale – Lorsque le traitement est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice. / Gestion de nos propres contentieux.

Nous pouvons être amenés à devoir traiter vos données à caractère personnel, y compris vos données de santé et/ou vos données à caractère personnel relatives aux condamnations pénales et aux infractions pour les cas suivants : soit pour la constatation, l’exercice ou la défense d’éventuels droits en justice, soit pour la gestion de nos propres litiges.

8. Traitements de données à des fins de prospection

1. Prospection par Ethias ServicesSur base de notre intérêt légitime ou de votre consentement, selon les cas, nous pouvons traiter vos données à caractère personnel à des fins de prospection.

   Nous nous appuierons sur nos intérêts légitimes pour de la prospection :

   • par courrier ordinaire, par téléphone

   Nous nous appuierons sur votre consentement pour de la prospection :

   • par email et sms conformément à la Directive e-Privacy qui a été transposée dans le Code de droit économique (« Livre XII – Droit de l’économie électronique ») et dans l’arrêté royal du 4 avril 2003 visant à réglementer l’envoi de publicités par courrier électronique. Il existe toutefois une exception pour nos clients existants qui ont fourni leurs coordonnées électroniques dans le cadre de l’achat de produits ou services similaires et à condition qu’il leur soit toujours offert la possibilité d’exercer leur droit d’opposition. Le consentement n’est en outre pas nécessaire pour les adresses impersonnelles des personnes morales ;

   En l’absence d’un consentement préalable de votre part, nous ne transférons et ne communiquons pas vos données à des tiers pour leurs propres prospections.

   Si le traitement est basé sur le consentement, vous pouvez à tout moment le retirer comme expliqué à la section « Droits » 12, h.

   Le but est d’apprendre à mieux connaître vos attentes et besoins afin de vous envoyer des offres et propositions pertinentes.

   La liste ci-dessous indique les cas pour lesquels vous pouvez être contacté :

   • afin de vous informer sur nos nouveaux produits et services (similaires) à ceux que vous avez contractés ;
   • afin de bénéficier de la tarification la plus avantageuse ;
   • afin de vous proposer des produits ou services plus adaptés à votre situation familiale ou professionnelle ;
   • afin de vous envoyer des offres ou des propositions telles que des offres de services ; ou
   • afin de vous envoyer des propositions à participer à des concours.

   Dans le cadre de cette prospection, nous pouvons vous contacter par des moyens de communication traditionnels (téléphone, courrier ordinaire, etc.) ou électroniques (courriel, SMS, etc.).

   Nous utilisons uniquement les données :

   • que vous avez communiquées de manière directe ou indirecte lors de vos interactions avec nous;
   • que nous avons obtenues de la part de nos partenaires commerciaux après que votre consentement ait été donné ;
   • que nous avons obtenues via des cookies (et/ou autres technologies similaires) que vous avez acceptés lors de votre navigation sur nos sites web et applications mobiles. Ces données peuvent, le cas échéant, être corrigées par un fournisseur professionnel de données.

   En aucun cas, nous n’utilisons vos données sensibles (à savoir celles visées au Chapitre 5, point b) et c), telles que vos données santés) dans le cadre de la prospection.

2. Prospection et enfantsNous n’adressons pas de publicité relative à nos produits et services directement aux mineurs de moins de 16 ans sauf en cas de consentement donné par le titulaire de la responsabilité parentale.
3. S’opposer à la prospectionSi vous souhaitez vous opposer à nos communications de prospection basées sur nos intérêts légitimes, nous vous invitons à:
   • cocher la case prévue à cet effet dans nos documents contractuels ; ou
   • envoyer une demande datée et signée accompagnée d’une copie recto-verso de votre pièce d’identité par courrier à l’adresse suivante : Ethias Services SA, Data Protection Officer, Rue des Croisiers 24 à 4000 Liège ou par e-mail: dpo.ethias.services@ethias.be ; ou
   • désactiver les cookies (et autres technologies similaires) présents sur nos sites web et applications mobiles.

9. Traitements de données : profilage

Le profilage vise un traitement de données à caractère personnel d’une personne en vue d’analyser et de prédire son comportement. Il inclut également le ciblage utilisé notamment lors de campagnes ou segmentations marketing.

Pour les activités de profilage, selon les cas, nous nous basons soit sur notre intérêt légitime, soit sur votre consentement (opt-in) en fonction des cas (finalités poursuivies, impact sur la personne concernée et éventuelle prise de décision automatisée). Selon les cas, une autre base légale peut être invoquée (par ex. une obligation légale ou l’exécution du contrat).

Nous pouvons avoir recours au profilage en vue de mieux connaitre nos clients et d’adapter nos communications et offres et ainsi, améliorer l’efficacité de nos campagnes marketing. Pour ce faire, seules les données nécessaires à ces communications sont collectées à savoir notamment :

• nom, prénom ;
• langue ;
• numéro de téléphone, adresse e-mail, adresse du domicile ;
• état civil, composition du ménage ;
• activité professionnelle et secteur d’activités ;
• loisirs et intérêts.

Le traitement de profilage est également utilisé à des fins de prospection afin d’assurer que vous recevez des offres pertinentes et adaptées à vos besoins. En d’autres mots, cela implique :

• la segmentation par profils généraux ou spécifiques en vue de prévoir et estimer au mieux vos besoins, comportements et/ou votre potentiel d’achat. Pour ce faire, nous prenons en compte votre catégorie de client et les moments « charnières » de votre vie pour lesquels un produit ou service peut s’avérer utile (ex. premier emploi, achat d’un véhicule ou d’une habitation, naissance, départ à la pension, etc.) ;
• l’évaluation de vos attentes vis-à-vis d’Ethias Services en qualité de prestataire de services telles que votre proactivité en termes de recherche de services, votre volonté à discuter des solutions que vous aimeriez voir mises en place pour répondre à des problèmes ponctuels ou quotidiens;
• le suivi de votre intérêt par rapport aux produits et services proposés par Ethias Services via entre autres :
  • la participation à un concours ;
  • la réalisation d’une simulation ;
  • l’utilisation d’une application ;
  • la demande d’information ;
  • les événements futurs (par exemple, l’achat d’une nouvelle maison, d’une nouvelle voiture, etc.) ;
• l’examen des produits et services auxquels vous avez souscrits afin de vous faire une proposition d’un ensemble de produits et services similaires susceptibles de vous procurer un avantage global ;
• l’examen de l’utilisation des produits et services auxquels vous avez souscrits afin de pouvoir vous en proposer d’autres plus adéquats à votre situation personnelle.

Si vous souhaitez vous opposer à nos activités de profilage ou retirer votre consentement, nous vous invitons à nous communiquer votre demande datée et signée accompagnée d’une copie recto-verso de votre pièce d’identité par courrier à l’adresse suivante : Ethias Services SA, DIM-Spoc GDPR, Rue des Croisiers 24 à 4000 Liège ou par e-mail: dpo.ethias.services@ethias.be.

10. Minimisation et proportionnalitée

Seules les données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées (principe de minimisation) sont collectées. Pour chaque traitement de données, nous vérifions si celui-ci est nécessaire pour atteindre la finalité visée et déterminons s’il s’agit de la mesure la moins intrusive par rapport aux autres moyens permettant de réaliser le même objectif.

11. Transparence

Nous mettons tout en œuvre pour vous fournir des informations concises et claires quant aux traitements de données effectués et à leurs finalités. Nous adaptons la langue, les termes et le moyen de communication utilisés en fonction du public visé.

12. Vos droits

Hormis les cas où le GPDR ou toute disposition légale en vigueur en Belgique s’y opposent, vous disposez des droits suivants :

• droit d’accès ;
• droit de rectification ;
• droit à l’effacement (« droit à l’oubli ») ;
• droit à la limitation de traitement ;
• droit à la portabilité de vos données ;
• droit à l’opposition ;
• droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire ;
• droit de retirer votre consentement.

Nous mettons en place des procédures qui vous permettent d’exercer efficacement vos droits liés au traitement des données à caractère personnel. Ces procédures visent également à assurer le traitement de vos demandes dans les meilleurs délais. Ethias Services ne peut prendre le risque de donner suite à une demande qui n’émanerait pas d’une personne autorisée. C’est pourquoi, nous devons vérifier l’identité de notre interlocuteur et vous demandons de nous communiquer une copie recto-verso de votre carte d’identité.

Pour exercer vos droits ou pour toute question relative à la protection de vos données à caractère personnel, nous vous invitons à nous communiquer votre demande datée et signée accompagnée d’une copie recto-verso de votre pièce d’identité par courrier à l’adresse suivante : Ethias Services SA, DIM-Spoc GDPR , Rue des Croisiers 24 à 4000 Liège ou par e-mail: dpo.ethias.services@ethias.be.

1. Droit d’accèsVous avez le droit d’accéder à vos données à caractère personnel qui sont en notre possession. Ce droit vous permet également d’obtenir les informations caractéristiques du traitement à savoir :
   • la finalité du traitement des données ;
   • les catégories de données à caractère personnel traitées ;
   • les destinataires auxquels vos données sont communiquées ;
   • lorsque cela est possible, leur durée de conservation, ou le cas échéant, les critères utilisés pour déterminer cette durée ;
   • l’existence d’une prise de décision automatisée (y compris le profilage) et dans ce cas, la logique sous-jacente, ainsi que de l’importance et des conséquences de cette décision (voir « Section 12 g) »).

   Notez que pour tout accès relatif à des données médicales, le délai pour en recevoir l’accès est d’un mois à partir de la réception de la demande ou de deux mois si les données demandées remontent à plus de 5 ans.

2. Droit de rectificationIl est primordial que vous conserviez la maitrise de vos données. Dès lors, si vous constatez que les données en notre possession sont inexactes, vous pouvez à tout moment nous demander de les compléter ou de les rectifier.

   Après votre confirmation des changements apportés, veuillez compter un délai d’un mois à partir de la vérification de votre identité pour que vos données soient mises à jour.

3. Droit à l’effacement (« droit à l’oubli »)Vous avez le droit de demander la suppression des données à caractère personnel en notre possession. La loi prévoit les cas pour lesquels le droit à l’oubli peut être exercé, il s’agit notamment des cas suivants :
   • vos données ne sont plus nécessaires au regard des finalités pour lesquelles nous les avons collectées ;
   • le traitement de vos données est fondé exclusivement sur votre consentement et vous décidez de retirer celui-ci ;
   • vous vous êtes opposé au traitement de vos données et il n’existe pas dans notre chef de motifs légitimes impérieux qui prévalent sur les vôtres ;
   • vous estimez que le traitement est illicite et le cas est avéré.

   Ce droit n’est toutefois pas absolu. Nous pouvons conserver vos données lorsque celles-ci sont nécessaires :

   • à l’exécution d’une obligation légale ;
   • à l’exécution de nos obligations contractuelles ;
   • à des fins statistiques étant entendu que dans ce cas, nous prenons toutes les mesures techniques et organisationnelles pour assurer le respect du principe de minimisation des données ;
   • à la constatation, à l’exercice ou à la défense de droits en justice.

   Après votre confirmation de supprimer vos données en notre possession, veuillez compter un délai d’un mois maximum à partir de la vérification de votre identité pour que vos données soient supprimées.

4. Droit à la limitation du traitementLa loi prévoit les cas dans lesquels vous pouvez demander la limitation du traitement de vos données à caractère personnel. Il s’agit des hypothèses suivantes :
   • vous contestez l’exactitude des données à caractère personnel, pendant une durée nous permettant de vérifier l’exactitude ou non des données ;
   • le traitement est illicite et vous vous opposez à leur effacement et exigez à la place une limitation de leur utilisation ;
   • vous constatez que vos données à caractère personnel ne nous sont plus nécessaires et souhaitez en limiter le traitement à la constatation, l’exercice ou la défense de vos droits en justice ;
   • vous vous êtes opposé au traitement de vos données à caractère personnel lors de la vérification portant sur le point de savoir si nos motifs légitimes de poursuivre le traitement prévalent sur les vôtres.Dans ces hypothèses, notez que le traitement de vos données peut tout de même avoir lieu si :
     • vous consentez à ce traitement ; ou
     • le traitement de vos données est nécessaire à la constatation, l’exercice ou la défense de droits en justice ; ou
     • le traitement est nécessaire à la protection des droits d’une autre personne physique ou morale ; ou
     • le traitement est nécessaire pour des motifs importants d’intérêt public.
5. Droit à la portabilitéLorsque vos données à caractère personnel sont traitées sur base de votre consentement ou parce qu’elles sont nécessaires à l’exécution d’un contrat, vous bénéficiez d’un droit à la portabilité. Ce dernier vous permet de récupérer une partie de vos données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine. De plus, ce droit vous permet de nous demander à ce que vos données soient transmises à un autre responsable de traitement à condition toutefois que cette opération soit techniquement possible.
6. Droit d’oppositionLorsque nous traitons vos données à caractère personnel sur base de notre intérêt légitime, vous avez le droit de vous opposer à ce traitement sous réserve de raisons tenant à votre situation particulière. Nous pouvons refuser votre demande d’opposition lorsque des motifs légitimes et impérieux nous imposent de poursuivre le traitement ou lorsque celui-ci est justifié pour la constatation, l’exercice ou la défense de droits en justice.

   Notez que nous ne pouvons refuser le droit d’opposition au traitement de vos données à caractère personnel au profilage ou à des fins de prospection ou marketing direct.

7. Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire.Afin de vous offrir un service de qualité, nous automatisons certains traitements de données afin de faciliter la prise de décision. Ces traitements automatisés doivent répondre à des conditions strictes, ils doivent être soit :
   • nécessaires à la conclusion ou à l’exécution du contrat ;
   • basés sur votre consentement explicite ;
   • légalement autorisés.

   Au regard de cette décision automatisée, vous bénéficiez des droits suivants :

   • être informé qu’une décision entièrement informatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire a été prise à votre encontre ;
   • demander et être informé de la logique qui sous-tend une telle décision, sa signification et les conséquences qui en découlent ;
   • de contester la décision et d’exprimer votre point de vue ;
   • de demander l’intervention d’un être humain pour le réexamen de la décision.
8. Droit de retirer votre consentementLorsque le traitement de vos données à caractère personnel est exclusivement basé sur votre consentement, vous pouvez décider de le retirer à tout moment. Nous nous assurerons que les données soient supprimées sauf si un autre motif juridique nous permet de les traiter (par ex. lorsque le traitement est nécessaire pour honorer un contrat).

   Si les données supprimées sont traitées pour différentes finalités, nous ne pouvons pas utiliser ces données pour la partie du traitement pour laquelle votre consentement a été retiré, ni pour aucune des finalités, selon la nature du retrait de votre consentement.

   Notez toutefois que lorsque votre demande porte sur des données relatives à la santé, celles-ci peuvent être indispensables à l’exécution de la prestation de services demandée. En conséquence, nous pourrons nous trouver dans l’impossibilité de donner suite à votre demande ou d’appliquer le contrat.

   De plus, l’exercice de ce droit ne remet pas en cause la légalité du traitement de vos données à caractère personnel effectué durant la période précédant votre demande.

9. Droit de réclamationSi vous estimez que le traitement de vos données à caractère personnel constitue une atteinte à votre vie privée, vous avez également le droit d’introduire une plainte auprès de l’Autorité de protection des données (ci-après « APD ») :
   • via leur site internet : www.autoriteprotectiondonnees.be
   • par courrier à l’adresse suivante :
     Autorité de protection des données – Rue de la Presse 35 – 1000 Bruxelles Tél : +32 2 274 48 00
   • par mail : contact@apd-gba.be
10. Exceptions à l’exercice de vos droits : dispositions particulières en matière de blanchiment d’argentConformément aux dispositions relatives au blanchiment d’argent, nous sommes tenus de prévenir, détecter et signaler les opérations de blanchiment d’argent aux autorités. Nous traitons à cet effet les données à caractère personnel que vous nous avez communiquées ainsi que celles de canaux tels que World-Check de Thomson Reuteur ou d’autres moteurs de recherche en ligne. À la suite de ce traitement, nous pouvons être amenés à bloquer certaines transactions et à les signaler à la Cellule de Traitement des Informations Financières (CTIF). Les droits mentionnés ci-dessus ne peuvent alors pas être exercés et nous vous invitons à vous adresser à l’APD.

13. Conservation des données

Vos données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation de ces finalités, en général vos données sont conservées jusqu’à la fin de l’exécution de votre contrat et parfois au-delà comme expliqué ci-après. La durée de conservation varie selon le type de données et les législations applicables en la matière. Au-delà de cette durée, vos données sont supprimées.

Certaines de vos données sont cependant conservées en vue :

• de répondre à nos obligations légales de conservation ;
• de répondre à nos obligations découlant de législations sociales ;
• d’assurer l’exécution de réclamations contractuelles jusqu’à l’expiration du délai de prescription applicable ;
• de répondre à tout litige potentiel ou réel.

Le stockage de vos données implique des risques. Certains moyens peuvent être mis en oeuvre en vue de limiter la conservation de celles-ci à savoir :

• restreindre les droits d’accès normaux aux données stockées ;
• moyens dédiés de stockage/archivage des données ;
• ségrégation des données ;
• utilisation de techniques de chiffrement ou cryptage, les données stockées seront inaccessibles via les paramètres standard des droits d’accès utilisateur et pour toutes opérations de traitement.

Nous veillons à ce que ces exigences de conservation soient également respectées par nos partenaires et fournisseurs qui traitent des données à caractère personnel en notre nom (nos sous-traitants).

Pour obtenir plus d’informations sur la durée de conservation de vos données à caractère personnel, nous vous invitons à vous adresser à l’adresse électronique suivante : dpo.ethias.services@ethias.be.

14. Transferts de données et destinataires

Nous sommes parfois contraints de communiquer vos données à caractère personnel à des tiers afin de mener à bien nos missions, de répondre à vos demandes de prestations de services, de respecter nos obligations légales ou dans le cadre de nos activités promotionnelles. Ces tiers peuvent être implantés au sein de l’Espace Economique Européen (ci-après « EEE ») mais également en dehors de celui-ci.

1. Transferts de données au sein de l’EEE – DestinatairesAu sein de l’EEE, vos données à caractère personnel peuvent être communiquées :
   • à nos collaborateurs et conseillers ;
   • aux autres entités du groupe, leurs collaborateurs et conseillers ;
   • aux prestataires de paiement en ligne ;
   • à tous les experts médicaux ou techniques, avocats, conseils techniques, professionnels de la santé, réparateurs, intervenant dans le cadre de la prestation de services ;
   • aux entreprises d’assurance avec lesquelles nous collaborons ;
   • aux détectives privés pour les éventuelles enquêtes en matière de fraude ;
   • à nos prestataires de services informatiques (NRB, etc.) ;
   • à nos partenaires commerciaux (sous réserve de votre consentement) comme par ex. Ethias S.A. ;
   • aux bureaux de marketing et de communication ;
   • aux entreprises en charge de la gestion documentaire (scanning, archivage, expédition de courriers, etc.) ;
   • aux autorités sociales, fiscales, administratives déterminées par la loi ;
   • aux autorités de contrôle.

   Conformément aux pratiques usuelles en matière de sécurité et de protection des données, nous veillons à ne transférer que les données nécessaires à l’exercice de leurs tâches, à l’exécution d’une obligation contractuelle/légale, ou au regard de l’intérêt légitime qui justifie ce transfert. Ces tiers se sont également engagés auprès de nous à traiter ces données confidentiellement et dans les limites de la finalité pour laquelle elles ont été transférées.

   En ce qui concerne nos sous-traitants, nous contractons systématiquement avec chacun d’entre eux un contrat de traitements de données. Ceux-ci doivent respecter les principes repris dans cette Charte. Nous réalisons des audits afin d’assurer leurs conformités aux règles contractuelles et règlementaires applicables. Nos sous-traitants sont également tenus de répercuter vis-à-vis de leurs propres sous-traitants ces obligations de conformité.

   Notez que la communication de vos données à des fins commerciales ne peut avoir lieu sans votre consentement.

2. Transferts de données au tiers à l’extérieur de l’EEE – DestinatairesSi nous devions transférer vos données personnelles en dehors de l’EEE, nous vérifions que le pays en question dispose du même niveau de protection que celui en vigueur au sein de l’EEE, que des garanties appropriées ont été mises en place (encryption, pseudonymisation, clauses contractuelles types,…), ou encore, que des dérogations peuvent être invoquées.

   Dans le cas de la gestion de la relation contractuelle, en fonction des situations, nous pourrions être appelés à transférer des données personnelles hors EEE, afin d’assurer la bonne exécution de notre contrat avec notre client.

15. Cookies

Nous utilisons des cookies sur nos sites internet. Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web. Ces cookies nous permettent d’améliorer notre site, de faciliter votre navigation, de vous offrir une expérience optimale ou d’analyser notre audience (voir ci-dessous « Section 19. Définitions »

Pour en savoir plus sur notre Politique en matière de cookies, nous vous invitons à consulter la page suivante : https://solutions.ethias.be/fr/politique-de-cookies/

16. Formation et sensibilisation

Sensibiliser le personnel affecté aux missions d’Ethias Services à la protection des données et aux principes du GDPR est une mission qui nous tient à cœur. Raison pour laquelle, celui-ci bénéficie d’un programme de formations adapté à ses fonctions et aux opérations de traitement de données qu’il mène.

De plus, notre réseau collaborateurs GDPR (voir ci-dessus « Sections 3 et 4 ») assure la sensibilisation du personnel et la promotion de la protection de la vie privée au sein de chacun de nos départements.

17. Sécurité et gouvernance: mesures techniques et organisationnelles

En termes de sécurité, nous implémentons des mesures techniques et organisationnelles appropriées afin de nous protéger contre la destruction, la perte, l’altération, la divulgation non-autorisée ou l’accès aux données à caractère personnel transmises, stockées ou traitées.

Afin de définir le niveau de sécurité adéquat pour notre organisation, nous évaluons les risques liés à chacun des traitements de données que nous opérons en fonction de leurs contextes (nature, finalité, portée, catégories de données traitées) et des moyens technologiques disponibles.

En termes de gouvernance, nous adoptons les procédures nécessaires pour veiller à l’accomplissement des obligations et exigences du GDPR à savoir :

• les analyses d’impact sur la protection des données (AIPD) ou Data Protection Impact Assessment (DPIA) ;
• les méthodologies d’évaluation des risques, notamment dans le cadre de transferts hors EEE (« Transfer Impact Assessments » ou « TIA ») ;
• les méthodologies de protection des données dès la conception et par défaut (« Privacy par design and Privacy par default »).

Ces procédures nous permettent de déterminer si le traitement des données est légal, si celui-ci présente des risques et si tel est le cas, les mesures techniques et organisationnelles à mettre en place pour réduire ces risques.

18. Modification de la Charte

Cette Charte peut être mise à jour à tout moment et sans avis de modification. Nous vous invitons à la consulter régulièrement sur notre site internet.

Dernière mise à jour 23/05/2022.

19. Définitions