En 2016, la Commission européenne a adopté le Règlement général sur la protection des données (ci-après « GDPR »). Elle instaure dès lors un cadre législatif uniformisé à l’ensemble du territoire de l’Union Européenne en ce qui concerne le traitement des données à caractère personnel. Le GDPR répond principalement à un double objectif : responsabiliser les organismes qui traitent les données et renforcer les droits des personnes dont les données sont traitées.
Le GDPR est entré en vigueur le 25 mai 2018 et s’applique à toute organisation ou entreprise qui traite des données à caractère personnel pour son compte ou non, dès lors qu’elle est établie dans l’Union Européenne ou que son activité cible directement les résidents européens. Le GDPR est donc applicable à Ethias S.A.
Chez Ethias S.A. (ci-après « Ethias » ou « nous »), nous mettons tout en œuvre pour assurer le respect de votre vie privée et la protection de vos données à caractère personnel. La « protection des données dès la conception » (ci-après « privacy by design ») est également une priorité au sein de notre entreprise. Ce principe signifie que la protection des données est prise en compte dès la phase initiale du développement de nos projets et de nos produits mais également, tout au long de leurs évolutions.
Nous traitons vos données à caractère personnel afin de pouvoir vous offrir un service optimal et adapté à vos besoins. Celles-ci sont traitées dans le respect des finalités pour lesquelles vous nous les avez confiées et en toute transparence.
Dans le souci de souligner notre engagement en matière de vie privée, nous avons élaboré cette Charte relative à la protection des données (ci-après, la « Charte »). Celle-ci vise à vous informer des traitements qu’Ethias réalise, au travers de ses différentes marques (Ethias et Flora), de la manière dont Ethias protège vos données personnelles et des droits dont vous disposez.
Nous vous invitons à lire attentivement cette Charte qui souligne, par ailleurs, nos valeurs fondamentales, à savoir l’Humain et la Satisfaction du client. Pour toute autre question, n’hésitez pas à nous contacter à l’adresse suivante : DPO@ethias.be ou privacy_request@ethias.be si vous voulez exercer les droits que vous reconnaît le GDPR.
Nous attirons votre attention sur le fait que nos sites Internet peuvent parfois contenir des liens vers des sites de tiers (médias sociaux, organisateurs d’événements que nous sponsorisons, etc.) dont les conditions d’utilisation ne tombent pas sous le champ d’application de cette Charte ni sous notre responsabilité. Nous vous recommandons par conséquent de lire attentivement leur Charte de protection des données à caractère personnel pour savoir comment ils respectent votre vie privée.
Ci-dessous, vous trouverez un aperçu des différents chapitres développés au sein de notre Charte.
Pour un accès rapide à un chapitre, cliquez sur le lien relatif au chapitre. Si vous souhaitez accéder à la Charte dans son entièreté, nous vous invitons à faire défiler le texte.
Le GDPR est un Règlement européen qui vise à établir un cadre uniforme en matière de protection des données. Il est applicable au sein de tous les États Membres de l’Union Européenne depuis le 25 mai 2018.
En droit belge, il existe une loi qui vient compléter et préciser certaines dispositions du GDPR. Il s’agit de la loi du 30 juillet 2018, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
A la fin de cette Charte (Voir infra, Chapitre 19), vous trouverez une liste de définitions utile à la compréhension des termes utilisés. Nous vous invitons à la parcourir et à vous familiariser avec son contenu.
Cette Charte est destinée aux personnes physiques dont Ethias est amenée à traiter les données à caractère personnel telles que :
Les données des personnes morales en tant que telles ne sont concernées ni par le GDPR ni par la présente Charte.
Ethias S.A. (ci-après « Ethias » ou « nous ») est le responsable du traitement de vos données à caractère personnel qu’elle traite au travers de ses différentes marques (Ethias et Flora). Ethias est une société de droit belge, dont le siège social est situé Rue des Croisiers 24 à 4000 Liège, Belgique, enregistrée à la Banque Carrefour des Entreprises de Belgique sous le numéro 0404.484.654.
En qualité de responsable de traitement, nous déterminons les finalités (le « pourquoi ») et les moyens (le « comment ») du traitement de vos données à caractère personnel, et sommes votre interlocuteur principal (ainsi que celui des autorités de contrôle) pour toute question relative au traitement de celles-ci. La présente Charte vise à vous informer sur le traitement de vos données dont la responsabilité nous incombe.
Notre délégué à la protection des données (ci-après « DPD », « Data Protection Officer » ou « DPO ») est chargé du suivi de la politique en matière de protection des données. (le chapitre 4 est consacré à la question de la mise en place d’une structure de gouvernance vie privée au sein d’Ethias). Vous pouvez le contacter :
Nous traitons vos données en toute transparence pour les finalités spécifiées lors de leurs collectes.
Les données à caractère personnel traitées appartiennent aux catégories développées ci-dessous.
Nous mettons un point d’honneur à respecter votre vie privée et à traiter vos données à caractère personnel dans la plus stricte confidentialité et conformément à la législation en vigueur. C’est pourquoi nous avons mis en place de solides pratiques de gouvernance de données à caractère personnel. Cet engagement s’implémente notamment dans les mesures suivantes :
Nous traitons vos données en toute transparence pour les finalités spécifiées lors de leurs collectes.
Les données à caractère personnel traitées appartiennent aux catégories développées ci-dessous.
Cette catégorie se rapporte aux données qui permettent de vous identifier directement (par exemple votre nom ou prénom) ou indirectement (par ex. votre numéro de téléphone ou la plaque d’immatriculation de votre véhicule).
En fonction du type d’assurance que vous contractez, les données suivantes peuvent être collectées :
Certaines données à caractère personnel, en raison de leur caractère particulièrement sensible, bénéficient d’une protection particulière. Il s’agit notamment d’informations qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Vos données sensibles ne sont en aucun cas traitées sans votre consentement préalable explicite lorsqu’il est requis. Elles ne sont jamais traitées à des fins de prospection.
Nous ne traitons les données relatives aux condamnations pénales et aux infractions que dans les cas suivants :
Nous collectons vos données à caractère personnel directement lorsque par exemple :
Lorsque nous vous demandons de nous communiquer des données à caractère personnel, vous avez le droit de ne pas y répondre. Ce refus pourrait toutefois empêcher la naissance de relations contractuelles, modifier la nature de celles-ci ou en influencer la gestion.
Nous collectons vos données à caractère personnel par l’intermédiaire de tiers qui nous les ont communiquées dans le cadre de la souscription ou de la gestion d’un contrat ou de la gestion d’un sinistre ou dans le cadre de nos activités promotionnelles organisées conformément à la règlementation applicable en matière de e-privacy et de protection des données à caractère personnel.
C’est notamment le cas :
Nous collectons également vos données qui sont publiées (Moniteur belge).
Conformément au GDPR, chaque traitement de données s’appuie sur une base légale et répond à une/des finalité(s) spécifique(s).
Il est basé sur une seule base légale. Cette dernière est déterminée en fonction des éléments suivants :
Vos données peuvent être collectées pour :
Vos données peuvent être collectées pour :
Dans cette hypothèse, nous procédons à une évaluation approfondie afin de maintenir un juste équilibre entre notre intérêt légitime ou celui du tiers et le respect de votre vie privée.
Sur base de notre intérêt légitime, nous pouvons traiter vos données à caractère personnel à des fins de prospection.
Sauf opposition de votre part, nous sommes susceptibles de vous adresser des offres
· par courrier ordinaire, par téléphone
· par voie électronique pour nos produits et services similaires à ceux auxquels vous avez déjà souscrits.
Nous nous assurons que ces offres commerciales aient une plus-value par rapport aux produits et services dont vous bénéficiez déjà afin de nous assurer du juste équilibre entre nos intérêts respectifs.
En aucun cas, nous n’utilisons vos données sensibles (à savoir celles visées au Chapitre 5, point b) et c), telles que vos données santés) dans le cadre de la prospection. En outre, en l’absence d’un consentement préalable de votre part, nous ne transférons et ne communiquons pas vos données à des tiers pour leurs propres prospections.
Nous n’adressons pas de publicité relative à des produits d’assurance directement aux mineurs de moins de 16 ans sauf en cas de consentement donné par le titulaire de la responsabilité parentale.
Dans ce cas, vos données à caractère personnel sont traitées pour la ou les finalité(s) spécifique(s) auxquelles vous avez consentie(s) via nos documents contractuels, nos formulaires-type, ou des intermédiaires d’assurance.
Nous vous rappelons que vous pouvez retirer votre consentement à tout moment.
Nous demanderons en particulier votre consentement :
Vos données sensibles peuvent être collectées, notamment, pour :
Hormis les cas où le GPDR ou toute disposition légale en vigueur en Belgique s’y opposent, vous disposez des droits suivants :
Nous mettons en place des procédures qui vous permettent d’exercer efficacement vos droits liés au traitement des données à caractère personnel. Ces procédures visent également à assurer le traitement de vos demandes dans les meilleurs délais. En tant qu’assureur, Ethias ne peut prendre le risque de donner suite à une demande qui n’émanerait pas d’une personne autorisée. C’est pourquoi, nous devons vérifier l’identité de notre interlocuteur et vous demandons de nous communiquer une copie recto-verso de votre carte d’identité.
Pour exercer vos droits, nous vous invitons à nous communiquer votre demande datée et signée accompagnée d’une copie recto-verso de votre pièce d’identité par courrier à l’adresse suivante : Ethias SA, DIM-Spoc GDPR , Rue des Croisiers 24 à 4000 Liège ou par e-mail: privacy_request@ethias.be.
Vous avez le droit d’accéder à vos données à caractère personnel qui sont en notre possession. Ce droit vous permet également d’obtenir les informations caractéristiques du traitement à savoir :
Notez que pour tout accès relatif à des données médicales, le délai pour en recevoir l’accès est d’un mois à partir de la réception de la demande ou de deux mois si les données demandées remontent à plus de 5 ans.
Il est primordial que vous conserviez la maitrise de vos données. Dès lors, si vous constatez que les données en notre possession sont inexactes, vous pouvez à tout moment nous demander de les compléter ou de les rectifier.
Après votre confirmation des changements apportés, veuillez compter un délai d’un mois à partir de la vérification de votre identité pour que vos données soient mises à jour.
Vous avez le droit de demander la suppression des données à caractère personnel en notre possession. La loi prévoit les cas pour lesquels le droit à l’oubli peut être exercé, il s’agit notamment des cas suivants :
Ce droit n’est toutefois pas absolu. Nous pouvons conserver vos données lorsque celles-ci sont nécessaires :
La loi prévoit les cas dans lesquels vous pouvez demander la limitation du traitement de vos données à caractère personnel. Il s’agit des hypothèses suivantes :
Lorsque nous traitons vos données à caractère personnel sur base de notre intérêt légitime, vous avez le droit de vous opposer à ce traitement sous réserve de raisons tenant à votre situation particulière. Nous pouvons refuser votre demande d’opposition lorsque des motifs légitimes et impérieux nous imposent de poursuivre le traitement ou lorsque celui-ci est justifié pour la constatation, l’exercice ou la défense de droits en justice.
Notez que vous avez toujours le droit de vous opposer au traitement de vos données à caractère personnel au profilage ou à des fins de prospection ou marketing direct.
Afin de vous offrir un service de qualité, nous automatisons certains traitements de données afin de faciliter la prise de décision. Ces traitements automatisés doivent répondre à des conditions strictes, ils doivent être soit :
Au regard de cette décision automatisée, vous bénéficiez des droits suivants :
Si vous estimez que le traitement de vos données à caractère personnel constitue une atteinte à votre vie privée, vous avez également le droit d’introduire une plainte auprès de l’Autorité de protection des données (ci-après « APD ») :
Autorité de protection des données
Rue de la Presse 35
1000 Bruxelles Tél : +32 2 274 48 00
Vos données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation de ces finalités, en général vos données sont conservées jusqu’à la fin de l’exécution de votre contrat ou du sinistre et parfois au-delà comme expliqué ci-après. La durée de conservation varie selon le type de données et les législations applicables en la matière. Au-delà de cette durée, vos données sont supprimées.
Certaines de vos données sont cependant conservées en vue :
de répondre à nos obligations légales de conservation ;
Le stockage de vos données implique des risques. Certains moyens peuvent être mis en œuvre en vue de limiter la conservation de celles-ci à savoir :
Nous veillons à ce que ces exigences de conservation soient également respectées par nos partenaires et fournisseurs qui traitent des données à caractère personnel en notre nom (nos sous-traitants).
Pour obtenir plus d’informations sur la durée de conservation de vos données à caractère personnel, nous vous invitons à vous adresser à l’adresse électronique suivante: DPO@ethias.be.
En tant qu’assureur, nous sommes contraints de communiquer vos données à caractère personnel à des tiers afin de mener à bien nos missions, de répondre aux demandes d’indemnisations de parties sinistrées, de respecter nos obligations légales ou dans le cadre de nos activités promotionnelles. Ces tiers peuvent être implantés au sein de l’Espace Economique Européen (ci-après « EEE ») mais également en dehors de celui-ci.
Au sein de l’EEE, vos données à caractère personnel peuvent être communiquées :
Conformément aux pratiques usuelles en matière de sécurité et de protection des données, nous veillons à ne transférer que les données nécessaires à l’exercice de leurs tâches, à l’exécution d’une obligation contractuelle/légale, ou au regard de l’intérêt légitime qui justifie ce transfert. Ces tiers se sont également engagés auprès de nous à traiter ces données confidentiellement et dans les limites de la finalité pour laquelle elles ont été transférées.
En ce qui concerne nos sous-traitants, nous contractons systématiquement avec chacun d’entre eux un contrat de traitements de données. Ceux-ci doivent respecter les principes repris dans cette Charte. Nous réalisons des audits afin d’assurer leurs conformités aux règles contractuelles et règlementaires applicables. Nos sous-traitants sont également tenus de répercuter vis-à-vis de leurs propres sous-traitants ces obligations de conformité.
Notez que pour la communication de vos données à des fins commerciales ne peut avoir lieu sans votre consentement.
Si nous devions transférer vos données personnelles en dehors de l’EEE, nous vérifions que le pays en question dispose du même niveau de protection que celui en vigueur au sein de l’EEE, que des garanties appropriées ont été mises en place (encryption, pseudonymisation, clauses contractuelles types,...), ou encore, que des dérogations peuvent être invoquées.
Dans le cas de la gestion des sinistres, en fonction des situations, nous pourrions être appelés à transférer des données personnelles hors EEE, afin d’assurer la bonne exécution de notre contrat avec notre client.
Nous utilisons des cookies sur nos sites internet.
Pour en savoir plus sur notre Politique en matière de cookies, nous vous invitons à consulter la page suivante : https://www.ethias.be/part/fr/legal/cookie-infopage.html.
Sensibiliser notre personnel à la protection des données et aux principes du GDPR est une mission qui nous tient à cœur. Raison pour laquelle, nos employés bénéficient d’un programme de formations adapté à leurs fonctions et aux opérations de traitement de données qu’ils mènent.
De plus, notre réseau collaborateurs GDPR (voir ci-dessus « Sections 3 et 4 ») assure la sensibilisation du personnel et la promotion de la protection de la vie privée au sein de chacun de nos départements.
En termes de sécurité, nous implémentons des mesures techniques et organisationnelles appropriées afin de nous protéger contre la destruction, la perte, l’altération, la divulgation non-autorisée ou l’accès aux données à caractère personnel transmises, stockées ou traitées.
Afin de définir le niveau de sécurité adéquat pour notre organisation, nous évaluons les risques liés à chacun des traitements de données que nous opérons en fonction de leurs contextes (nature, finalité, portée, catégories de données traitées) et des moyens technologiques disponibles.
En termes de gouvernance, nous adoptons les procédures nécessaires pour veiller à l’accomplissement des obligations et exigences du GDPR à savoir :
Ces procédures nous permettent de déterminer si le traitement des données est légal, si celui-ci présente des risques et si tel est le cas, les mesures techniques et organisationnelles à mettre en place pour réduire ces risques.
Cette Charte peut être mise à jour à tout moment et sans avis de modification. Nous vous invitons à la consulter régulièrement sur notre site internet.
Dernière mise à jour 2 avril 2024.
Termes |
Définitions |
Analyses d’impact sur la protection des données (AIPD)/ Data Protection Impact Assessment (DPIA) | Une analyse d’impact sur la protection des données est une étude qui doit être menée lorsqu'un traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. |
Autorité Protection des données (APD) | L’Autorité publique indépendante chargée de |
Cookies | Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est-à-dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine. Il peut permettre d’identifier une personne physique sur base des données personnelles qu’il collecte. |
Délégué à la protection des données (DPD)/Data Protection Officer (DPO) |
Le délégué à la protection des données, data protection officer ou « DPO » est chargé de mettre en oeuvre la conformité au GDPR au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en oeuvre par cet organisme. Dans certains cas, sa désignation est obligatoire. |
Données à caractère personnel ou données-personnelles |
Les données à caractère personnel sont des données se rapportant à une personne physique identifiée ou identifiable par la combinaison d’informations. |
Données sensibles | Les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. |
Intérêt légitime | L’intérêt légitime est une des bases légales prévues par le GDPR sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. |
Minimisation (Principe de) | Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. |
Personne concernée | Toutes les personnes physiques dont Ethias est amené à traiter les données. |
Profilage | Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à un individu, notamment pour analyser ou prédire son comportement. |
Responsable du traitement | Une personne physique ou morale (comme Ethias) qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. |
Tiers | Un tiers est une toute personne (physique ou morale), autorité publique, ou autre organisme autorisé à traiter les données à caractère personnel. |
La protection de votre vie privée : un engagement à l’échelle de notre entreprise.
Ethias, soucieuse de préserver la confidentialité et l’intégrité de ses données, a communiqué le présent engagement à l’ensemble de son personnel.
Simplifier l'assurance pour apporter sécurité, tranquillité et liberté d'entreprise avec des services et des produits innovants. Partenaire de votre quotidien, nous mettons notre expertise et notre énergie à votre service.