Politique de protection des données personnelles
La présente politique de protection des données personnelles s’applique aux données à caractère personnel vous concernant que nous sommes amenés à collecter et à traiter dans le cadre de nos activités professionnelles.
Zurich France attache une grande importance à la protection de vos données personnelles et plus généralement à votre vie privée.
Toutes vos données personnelles sont traitées par nos soins conformément à la règlementation applicable en la matière, en particulier celle issue du Règlement européen n°2016/679 du 27 avril 2016 sur la Protection des Données Personnelles (« RGPD ») et à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version en vigueur.
Vous trouverez sur cette page toutes les informations utiles concernant les traitements de données personnelles que nous effectuons en fonction de votre lien avec nous. Pour cela, il vous suffit de sélectionner ci-dessous la ligne correspondant à votre situation.
Responsable du traitement
Vos données personnelles sont traitées sous la responsabilité de Zurich France, succursale française de Zurich Insurance Europe AG (société d’assurance de droit allemand dont le siège social est situé Platz der Einheit 2, 60327 Frankfurt, Allemagne, immatriculée en Allemagne sous le numéro HRB 133359 et soumise au contrôle de la BaFin, Autorité Fédérale de Supervision Financière, Bundesanstalt für Finanzdienstleistungsaufsicht), située 112 avenue de Wagram, 75017 Paris, et immatriculée au R.C.S. de Paris sous le numéro 484 373 295. Au sens de la réglementation applicable, Zurich France est responsable des traitements concernés.
Comment vos données personnelles sont-elles protégées ?
Nous nous engageons à protéger vos données personnelles. Pour ce faire, Zurich France veille à prendre toutes les mesures physiques, techniques et organisationnelles utiles pour faire obstacle à tout traitement non autorisé ou illicite, ainsi qu’à toute perte, destruction ou dégradation accidentelle de vos données personnelles.
Quels sont vos droits ?
Vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation et d’opposition concernant le traitement de vos données personnelles, ainsi qu’un droit à la portabilité et un droit de décider du sort de vos données en cas de décès, en formulant votre demande aux adresses indiquées dans la rubrique « Nous contacter » ci-après. Vous devez nous indiquer quel droit vous entendez exercer, et nous fournir l’ensemble des précisions nécessaires pour que nous puissions répondre à votre demande.
Ces droits s’exercent dans les conditions posées par la règlementation applicable.
- Le droit d’accès signifie que vous pouvez nous demander de vous indiquer si nous traitons des données personnelles vous concernant et, le cas échéant, de vous indiquer quelles sont les données personnelles concernées, l’origine des informations vous concernant, ainsi que les caractéristiques du ou des traitements effectués.
- Le droit de rectification signifie que vous pouvez nous demander la rectification de vos données personnelles lorsqu’elles sont inexactes. Vous pouvez également demander à ce que de vos données personnelles soient complétées si elles sont incomplètes, dans la mesure où cela est pertinent au regard de la finalité du traitement en cause.
- Le droit à l’effacement signifie que vous pouvez nous demander d’effacer vos données personnelles notamment lorsque : (i) leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées, (ii) vos données personnelles sont traitées sur le fondement de votre consentement, vous souhaitez retirer ce consentement, et il n’existe pas d'autre fondement juridique susceptible de justifier le traitement, (iii) vous vous êtes opposé au traitement de vos données personnelles et vous souhaitez en conséquence qu’elles soient effacées, (iv) vos données personnelles ont fait l'objet d'un traitement illicite, (v) vos données personnelles doivent être effacées pour respecter une obligation légale qui est prévue soit par le droit de l'Union Européenne, soit par le droit français.
- Le droit à la limitation signifie que vous pouvez nous demander de procéder à la limitation du traitement de vos données personnelles (i) lorsque vous contestez l’exactitude de vos données personnelles, pendant une durée nous permettant de vérifier celles-ci, (ii) lorsque, suite à un traitement établi comme non conforme, vous préférez la limitation du traitement à l’effacement complet de vos données personnelles, (iii) lorsque nous n’avons plus besoin de vos données personnelles aux fins du traitement mais que celles-ci vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice, (iv) lorsque vous vous êtes opposé au traitement de vos données personnelles et souhaitez une limitation du traitement pendant la durée nous permettant de vérifier si le motif légitime que vous invoquez se justifie. La limitation du traitement signifie que le traitement s’entendra alors du seul stockage de vos données personnelles correspondantes. Nous n’effectuerons alors plus aucune autre opération sur celles-ci.
- Le droit d’opposition signifie que vous pouvez vous opposer au traitement de vos données personnelles par nos soins, lorsque ce traitement est fondé sur la poursuite de l’intérêt légitime de Zurich France. Le droit d’opposition s’exerce sous réserve de justifier d’un motif légitime tenant à votre situation particulière. Nous cesserons alors le traitement en cause, sauf s’il existe des motifs légitimes et impérieux en justifiant la poursuite en conformité avec la règlementation applicable.
Lorsque vos données personnelles sont traitées à des fins de prospection commerciale, vous pouvez vous opposer à tout moment au traitement de vos données personnelles à cette fin, sans avoir à justifier d’un motif légitime.
L’exercice du droit d’opposition ne vaut que pour l’avenir et ne remet pas en cause la licéité du traitement effectué préalablement.
- Le droit à la portabilité signifie que vous pouvez nous demander, dans les conditions posées par la réglementation applicable, de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de vous les transmettre, ou de nous demander de les transmettre directement à un tiers de votre choix lorsque cela est juridiquement et techniquement possible.
Lorsque nous traitons vos données personnelles sur la base de votre consentement, vous disposez de la faculté de retirer votre consentement à tout moment. Toutefois, le retrait de votre consentement ne remet pas en cause la validité du traitement effectué avant ce retrait.
- Le droit de décider du sort de vos données personnelles en cas de décès signifie que vous pouvez nous communiquer des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès. Le cas échéant, vos héritiers justifiant de leur identité peuvent nous informer de votre décès afin de procéder à l'actualisation de vos données.
Lorsque nous traitons vos données personnelles sur la base de votre consentement, vous disposez de la faculté de retirer votre consentement à tout moment. Toutefois, le retrait de votre consentement ne remet pas en cause la validité du traitement effectué avant ce retrait.
Nous contacter
Pour toute question concernant la présente politique de protection des données personnelles ainsi que pour l’exercice de vos droits, vous pouvez contacter notre Délégué à la Protection des Données :
- par email : dpo.france@zurich.com
- par courrier :
Zurich France
Délégué à la Protection des Données
Service Juridique et Conformité
112 avenue de Wagram
75017 Paris
Si la réponse apportée ne vous satisfait pas, vous disposez du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
- par courrier :Commission Nationale de l’Informatique et des Libertés
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
- sur le site Internet de la CNIL : www.cnil.fr
Quelles sont les catégories de données personnelles que nous collectons ?
Zurich France fournit principalement des solutions d’assurance pour les entreprises. Nous sommes amenés dans ce cadre à recueillir des données personnelles sur les employés de nos clients existants ou potentiels. Sauf cas spécifiques, il s’agit de données générales d’identification professionnelle telles que les noms, prénoms, fonctions exercées et coordonnées professionnelles de nos interlocuteurs au sein des entreprises concernées.
Les données personnelles collectées le sont soit directement, soit indirectement par l’intermédiaire de partenaires (ex : courtiers, assureurs, réassureurs).
Nous ne collectons que les données strictement nécessaires à la poursuite des finalités détaillées ci-après. Ainsi, la communication de vos données personnelles est indispensable à la poursuite de ces finalités.
Pourquoi et comment procédons-nous au traitement de vos données personnelles ?
Nous ne traitons vos données personnelles que pour des finalités déterminées et uniquement si le traitement repose sur l’une des bases juridiques prévues par la règlementation applicable. Les bases juridiques sur lesquelles reposent les traitements de données personnelles que nous opérons sont (i) l’exécution d’un contrat auquel vous intervenez et/ou de mesures précontractuelles, (ii) la poursuite de notre intérêt légitime, (iii) l’exécution d’une obligation légale qui nous incombe. Nous ne conservons vos données personnelles que pour la durée qui est strictement nécessaire au regard de la finalité du traitement.
Par principe, vos données personnelles sont stockées au sein de serveurs localisés dans l’Union Européenne. Toutefois, et du fait de notre appartenance au Groupe Zurich, elles peuvent être partagées avec le personnel d’autres entités du Groupe, y compris des entités situées en dehors de l’Union Européenne. Les transferts de données personnelles au sein du Groupe Zurich sont encadrés notamment par le biais de contrats de transfert de données garantissant une protection appropriée aux données personnelles concernées.
De plus, et compte tenu de la nature de nos activités qui portent principalement sur la mise en place de programmes internationaux d’assurance à la demande de nos clients, nous sommes amenés à partager les données personnelles que nous collectons avec des destinataires, tiers à Zurich, situés dans différents pays, y compris hors de l’Union Européenne. Lorsqu’ils existent, ces transferts de données personnelles vers des pays tiers à l’Union Européenne sont encadrés afin d’assurer un niveau de protection appropriée, soit par une décision de la Commission européenne (décision d’adéquation), soit par le biais d’instruments tels que des contrats de transferts de données et autres mesures supplémentaires appropriées.
Pour toute demande concernant les transferts de données personnelles que nous effectuons en dehors de l’Union Européenne, vous pouvez nous contacter aux adresses indiquées dans la rubrique « Nous contacter » ci-dessus.
Les traitements de données personnelles auxquels nous procédons sont détaillés ci-dessous.
- La passation, la gestion et l’exécution d’un contrat ou d’un programme d’assurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la passation, la gestion et l’exécution du contrat ou du programme d’assurance de l’entreprise ou du groupe d’entreprises que nous assurons.
Ces traitements sont nécessaires aux mesures précontractuelles et, le cas échéant, à l’exécution du contrat ou du programme d’assurance de l’entreprise ou du groupe d’entreprises concerné, auquel vous intervenez.
Au stade précontractuel, ces données personnelles sont nécessaires pour l’étude des besoins spécifiques de l’entreprise ou du groupe d’entreprise concerné, ainsi que pour l’analyse de risque que nous réalisons afin de proposer, le cas échéant, une offre adaptée et conforme à notre politique de souscription.
Au stade de l’exécution du contrat ou du programme d’assurance, ces données personnelles sont nécessaires pour les opérations relatives à sa gestion (émission du contrat, appel et règlement des primes, établissement d’avenants en cas de modification ultérieure des garanties, etc.), ainsi que pour l’exécution des garanties qu’il prévoit. Ceci inclut notamment la gestion des sinistres (y compris les éventuels recours que nous pouvons être amenés à diligenter contre les tiers responsables du dommage que nous avons indemnisé), ainsi que, le cas échéant, la gestion des réclamations ou des contentieux qui peuvent s’élever à l’occasion du contrat ou du programme d’assurance concerné.
La durée de conservation de vos données personnelles varie en fonction de la typologie de garanties prévues au contrat d’assurance concerné, de l’existence ou non de sinistres déclarés au titre de celui-ci et, le cas échéant, de l’existence ou non de procédures judiciaires.
Selon les cas, nous pouvons être amenés à partager vos données personnelles avec le personnel d’autres entités du Groupe Zurich, avec des intermédiaires en assurance et en réassurance (bénéficiant, le cas échéant, d’une délégation de gestion), avec des organismes d’assurance partenaires offrant des garanties ou des prestations complémentaires, avec des coassureurs et réassureurs, avec des fonds de garanties et autres organismes professionnels, avec des prestataires de services tels que des experts, des avocats, des médecins ou des sociétés auxquelles nous avons délégué la gestion de certains sinistres, ainsi qu’avec des autorités administratives ou judiciaires.
-La passation, la gestion et l’exécution d’un contrat de prestations de services en ingénierie des risques
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la passation, la gestion et l’exécution du contrat de prestations de services en ingénierie des risques de l’entreprise ou du groupe d’entreprises que nous assurons.
Nous conservons les données pendant toute la durée du contrat de prestations de services conclu, ainsi que pendant la durée de prescription légale française ou étrangère applicable, soit 5 ans dans l’hypothèse où le droit français s’applique. Cette durée est le cas échéant, étendue pour tenir compte notamment de nos obligations comptables.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion du contrat ou avec des prestataires externes, ainsi qu’avec l’intermédiaire d’assurance mandaté dans le cadre du suivi de la relation avec l’entreprise ou du groupe d’entreprises assuré.
- La mise en place et le suivi des relations avec la captive de réassurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la mise en place et le suivi des relations commerciales et contractuelles avec la captive de réassurance de l’entreprise ou du groupe d’entreprise que nous assurons. Le traitement de vos données personnelles est nécessaire aux mesures précontractuelles et à l’exécution du contrat de réassurance concerné, auquel vous intervenez.
Nous conservons les données pendant toute la durée du contrat de réassurance conclu avec la captive de réassurance concernée jusqu’à l’extinction de l’ensemble des obligations qu’il prévoit, ainsi que pendant la durée de prescription légale française ou étrangère applicable, soit 5 ans dans l’hypothèse où le contrat est soumis au droit français. Cette durée est le cas échéant est étendue pour tenir compte notamment de nos obligations comptables.
Nous partageons vos données personnelles avec le personnel d’autres entités du Groupe Zurich chargé de la gestion des captives d’assurance et de réassurance. Nous les partageons également avec l’intermédiaire d’assurance et de réassurance mandaté dans le cadre de la mise en place et du suivi de la relation avec la captive de réassurance concernée. Nous pouvons être amenés à partager les données avec des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires.
- La réalisation d’enquêtes de satisfaction
Nous sommes amenés à collecter et à traiter vos données personnelles pour la réalisation d’enquêtes de satisfaction. Ce traitement s’inscrit dans le cadre de la gestion de nos relations clients et, plus généralement, de notre intérêt légitime à mesurer la satisfaction de nos clients et en vue d’améliorer nos services.
Nous conservons les données pendant toute la durée de la relation commerciale ainsi que pendant la durée de prescription légale française ou étrangère applicable, soit 5 ans dans l’hypothèse où le droit français s’applique.
Dans ce cadre, vos données personnelles sont transférées à notre maison-mère en Suisse qui s’appuie sur l’expérience de prestataires externes pour réaliser ces enquêtes de satisfaction.
- Les opérations de communications externes et de prospection commerciale
Nous sommes amenés à collecter et à traiter vos données personnelles à des fins d’opérations de communication externes ou de prospection commerciale (par exemple, l’envoi de newsletters ou d’invitations à des évènements professionnels). Ce traitement repose sur la poursuite de notre intérêt légitime à diffuser des informations commerciales auprès de nos clients actuels et potentiels.
Sous réserve de l’exercice de votre droit d’opposition, nous conservons les données (i) pendant toute la durée de la relation commerciale et jusqu’à 3 ans après qu’elle ait pris fin s’agissant de nos clients existants, et (ii) pendant 3 ans à compter de la collecte des données de la personne concernée ou de notre dernier contact professionnel avec elle s’agissant de clients potentiels.
Ces opérations sont généralement réalisées directement par Zurich France. Nous pouvons toutefois être amenés à partager les informations dont nous disposons avec le personnel d’autres entités du Groupe Zurich chargé de la communication et des relations clients, et à utiliser les services de prestataires externes tels que des agences de marketing pour la réalisation d’emailings ou des plateformes de sondage.
- La lutte contre la fraude à l’assurance
Vos données personnelles sont susceptibles d’être traitées dans le cadre de la lutte contre la fraude à l’assurance. Il est en effet dans l’intérêt légitime de Zurich France de détecter et prévenir les éventuelles fraudes ainsi que, le cas échéant, d’enquêter et d’engager des poursuites en cas de fraude avérée.
La durée de conservation des données personnelles varie notamment en fonction des durées de prescriptions légales françaises ou étrangères applicables. Par exemple, et sous réserve de l’application du droit français, nous conservons les données le temps nécessaire aux premières investigations permettant de qualifier l’alerte. Au terme de ces premières investigations, qui ne peuvent excéder 6 mois à compter de l’émission de l’alerte, nous supprimons les données si l’alerte n’est pas qualifiée. De même, nous supprimons les données sans délai si l’alerte est qualifiée de « non pertinente ». Dans l’hypothèse où les suspicions de fraude s’avèrent au contraire avérées, nous conservons les données pendant le temps nécessaire à la gestion du dossier de fraude et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pourrons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de fraude, des prestataires externes tels que des experts ou des avocats, des autorités administratives ou judiciaires, d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci, les victimes de la fraude s’il y en a, ainsi qu’avec l’association ALFA (Agence pour la Lutte contre la Fraude à l'Assurance).
- La lutte contre le blanchiment des capitaux et le financement du terrorisme, et le respect des sanctions économiques et financières internationales
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (articles L.561-5 et suivants du Code Monétaire et Financier) et de respect des régimes de sanctions économiques et financières internationales telles qu’édictées notamment par l’ONU, l’Union Européenne, la France, le Royaume Uni, la Suisse et les États-Unis d’Amérique. A ce titre, nous pouvons être amenés à traiter des données d’infraction telles que des données issues de procès-verbaux de police ou de gendarmerie ou des données relatives aux infractions, condamnations et mesures de sûretés dans le respect des dispositions légales applicables.
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de lutte contre le blanchiment et de conformité aux régimes de sanctions économiques et financières internationales, avec des prestataires externes tels que des experts ou des avocats, avec des autorités administratives ou judiciaires (en particulier la cellule de renseignement financier TRACFIN), ainsi qu’avec d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci.
- La lutte contre la corruption
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre la corruption (article 445-1 du Code Pénal).
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de corruption, avec des prestataires externes tels que des experts ou des avocats, ainsi que, le cas échéant, avec des autorités administratives ou judiciaires.
- Activités de traitement liées à la conformité RGPD
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales issues du Règlement européen n°2016/679 du 27 avril 2016 sur la Protection des Données Personnelles (« RGPD »), qui s’impose à Zurich France dans le contexte de toute requête découlant des articles 15 à 23, 33 et 34 dudit Règlement.
En effet, en vue de satisfaire à ses obligations réglementaires en la matière, Zurich France peut être amené à gérer et conserver des dossiers relatifs aux demandes des personnes concernées relativement à l’exercice de leurs droits, ou encore dans le contexte d’une violation de données personnelles ou de tout autre incident relatif aux données personnelles traitées.
Nous conservons ces données pendant 5 ans à compter de la date de clôture de la demande d’exercice de droits ou, dans le cas d’une violation de données, pendant le temps nécessaire à la gestion du dossier correspondant et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure administrative ou judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pouvons être amenés à partager les données avec les sous-traitants de données personnelles concernés, avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des demandes d’exercice de droits et/ou des violations de données, des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires (en particulier la CNIL).
Quelles sont les catégories de données personnelles que nous collectons ?
Zurich France fournit principalement des solutions d’assurance pour les entreprises. Nous sommes amenés dans ce cadre à travailler en étroite collaboration avec des courtiers en assurance et en réassurance. Nos interactions quotidiennes avec ces acteurs essentiels du secteur de l’assurance nous amènent à recueillir des données personnelles sur leurs employés. Sauf cas spécifiques, il s’agit de données générales d’identification professionnelle telles que les noms, prénoms, fonctions exercées et coordonnées professionnelles de nos interlocuteurs au sein des sociétés de courtage concernées.
Les données personnelles collectées le sont soit directement, soit indirectement par l’intermédiaire de clients ou d’autres partenaires commerciaux.
Nous ne collectons que les données strictement nécessaires à la poursuite des finalités détaillées ci-après. Ainsi, la communication de vos données personnelles est indispensable à la poursuite de ces finalités.
Pourquoi et comment procédons-nous au traitement de vos données personnelles ?
Nous ne traitons vos données personnelles que pour des finalités déterminées et uniquement si le traitement repose sur l’une des bases juridiques prévues par la règlementation applicable. Les bases juridiques sur lesquelles reposent les traitements de données personnelles que nous opérons sont (i) l’exécution d’un contrat auquel vous intervenez et/ou de mesures précontractuelles, (ii) la poursuite de notre intérêt légitime, (iii) l’exécution d’une obligation légale qui nous incombe. Nous ne conservons vos données personnelles que pour la durée qui est strictement nécessaire au regard de la finalité du traitement.
Par principe, vos données personnelles sont stockées au sein de serveurs localisés dans l’Union Européenne. Toutefois, et du fait de notre appartenance au Groupe Zurich, elles peuvent être partagées avec le personnel d’autres entités du Groupe, y compris des entités situées en dehors de l’Union Européenne. Les transferts de données personnelles au sein du Groupe Zurich sont encadrés notamment par le biais de contrats de transfert de données garantissant une protection appropriée aux données personnelles concernées.
De plus, et compte tenu de la nature de nos activités qui portent principalement sur la mise en place de programmes internationaux d’assurance à la demande de nos clients, nous sommes amenés à partager les données personnelles que nous collectons avec des destinataires, tiers à Zurich, situés dans différents pays, y compris hors de l’Union Européenne. Lorsqu’ils existent, ces transferts de données personnelles vers des pays tiers à l’Union Européenne sont encadrés afin d’assurer un niveau de protection appropriée, soit par une décision de la Commission européenne (décision d’adéquation), soit par le biais d’instruments tels que des contrats de transferts de données et autres mesures supplémentaires appropriées.
Pour toute demande concernant les transferts de données personnelles que nous effectuons en dehors de l’Union Européenne, vous pouvez nous contacter aux adresses indiquées dans la rubrique « Nous contacter » ci-dessus.
Les traitements de données personnelles auxquels nous procédons sont détaillés ci-dessous.
- La passation, la gestion et l’exécution d’un contrat ou d’un programme d’assurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la passation, la gestion et l’exécution du contrat ou du programme d’assurance de l’entreprise ou du groupe d’entreprises que nous assurons.
Ces traitements sont nécessaires aux mesures précontractuelles et, le cas échéant, à l’exécution du contrat ou du programme d’assurance de l’entreprise ou du groupe d’entreprises concerné, auquel vous intervenez.
Au stade précontractuel, ces données personnelles sont nécessaires pour l’étude des besoins spécifiques de l’entreprise ou du groupe d’entreprise concerné, ainsi que pour l’analyse de risque que nous réalisons afin de proposer, le cas échéant, une offre adaptée et conforme à notre politique de souscription.
Au stade de l’exécution du contrat ou du programme d’assurance, ces données personnelles sont nécessaires pour les opérations relatives à sa gestion (émission du contrat, appel et règlement des primes, établissement d’avenants en cas de modification ultérieure des garanties, etc.), ainsi que pour l’exécution des garanties qu’il prévoit. Ceci inclut notamment la gestion des sinistres (y compris les éventuels recours que nous pouvons être amenés à diligenter contre les tiers responsables du dommage que nous avons indemnisé), ainsi que, le cas échéant, la gestion des réclamations ou des contentieux qui peuvent s’élever à l’occasion du contrat ou du programme d’assurance concerné.
La durée de conservation de vos données personnelles varie en fonction de la typologie de garanties prévues au contrat d’assurance concerné, de l’existence ou non de sinistres déclarés au titre de celui-ci et, le cas échéant, de l’existence ou non de procédures judiciaires.
Selon les cas, nous pouvons être amenés à partager vos données personnelles avec le personnel d’autres entités du Groupe Zurich, avec des intermédiaires en assurance et en réassurance (bénéficiant, le cas échéant, d’une délégation de gestion), avec des organismes d’assurance partenaires offrant des garanties ou des prestations complémentaires, avec des coassureurs et réassureurs, avec des fonds de garanties et autres organismes professionnels, avec des prestataires de services tels que des experts, des avocats, des médecins ou des sociétés auxquelles nous avons délégué la gestion de certains sinistres, ainsi qu’avec des autorités administratives ou judiciaires.
-La passation, la gestion et l’exécution d’un contrat de prestations de services en ingénierie des risques
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la passation, la gestion et l’exécution du contrat de prestations de services en ingénierie des risques de l’entreprise ou du groupe d’entreprises que nous assurons.
Nous conservons les données pendant toute la durée du contrat de prestations de services conclu, ainsi que pendant la durée de prescription légale française ou étrangère applicable, soit 5 ans dans l’hypothèse où le droit français s’applique. Cette durée est le cas échéant, étendue pour tenir compte notamment de nos obligations comptables.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion du contrat ou avec des prestataires externes, ainsi qu’avec l’intermédiaire d’assurance mandaté dans le cadre du suivi de la relation avec l’entreprise ou du groupe d’entreprises assuré.
- La mise en place et le suivi des relations avec nos courtiers partenaires
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la mise en place et du suivi des relations commerciales et contractuelles avec nos courtiers partenaires, y compris, le cas échéant, en cas de délégations de gestion spécifiques.
Ces traitements sont nécessaires aux mesures précontractuelles et à l’exécution des contrats que nous sommes amenés à conclure avec les sociétés de courtage concernées, auxquels vous intervenez.
Nous conservons les données pendant toute la durée de la relation commerciale et jusqu’à 5 ans après sa cessation. Lorsqu’elles sont en lien avec un contrat, nous les conservons pendant toute la durée du contrat concerné, à laquelle s’ajoute la durée de prescription française ou étrangère applicable. A titre d’exemple, la durée de prescription applicable en droit français est de 5 ans (articleL110-4 du Code de Commerce).
Selon les cas, nous pouvons être amenés à partager vos données personnelles avec le personnel d’autres entités du Groupe Zurich, notamment celui chargé des relations avec nos partenaires courtiers et, en ce qui concerne plus particulièrement la mise en place de délégations de gestion spécifiques, le personnel chargé de valider la mise en place de la délégation au profit du courtier concerné, qu’il s’agisse d’une délégation de gestion portant sur des actes de souscription ou de gestion en lien avec des contrats d’assurance (tels que par exemple l’émission d’attestations d’assurance) ou d’une délégation de gestion de sinistres. Nous pouvons également être amenés à partager les données avec des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires.
- La mise en place et le suivi des relations avec la captive de réassurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la mise en place et du suivi des relations commerciales et contractuelles avec la captive de réassurance de l’entreprise ou du groupe d’entreprise que nous assurons.
Le traitement de vos données personnelles est nécessaire aux mesures précontractuelles et à l’exécution du contrat de réassurance concerné, auquel vous intervenez en tant que courtier d’assurance et de réassurance.
Nous conservons les données pendant toute la durée du contrat de réassurance conclu avec la captive de réassurance concernée jusqu’à l’extinction de l’ensemble des obligations qu’il prévoit, ainsi que pendant la durée de prescription légale française ou étrangère applicable, soit 5 ans dans l’hypothèse où le contrat est soumis au droit français. Cette durée est le cas échéant est étendue pour tenir compte notamment de nos obligations comptables.
Nous partageons vos données personnelles avec le personnel d’autres entités du Groupe Zurich chargé de la gestion des captives d’assurance et de réassurance, ainsi qu’avec la captive de réassurance concernée. Nous pouvons être amenés à partager les données avec des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires.
- La mise en place et le suivi d’accords et/ou de contrats de réassurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la mise en place et du suivi des accords et contrats de réassurance.
Le traitement de vos données personnelles est nécessaire aux mesures précontractuelles et à l’exécution de l’accord ou du contrat de réassurance concerné, auquel vous intervenez en tant que courtier d’assurance et de réassurance.
Nous conservons les données pendant toute la durée de la relation commerciale avec le réassureur concerné, ainsi que pendant la durée de prescription légale française ou étrangère applicable, soit 5 ans dans l’hypothèse où le contrat est soumis au droit français.
Nous partageons vos données personnelles avec le personnel d’autres entités du Groupe Zurich chargé de la gestion des accords de réassurance (Suisse), ainsi qu’avec les réassureurs concernés. Nous pouvons être amenés à partager les données avec des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires.
- La réalisation d’enquêtes de satisfaction
Nous sommes amenés à collecter et à traiter vos données personnelles pour la réalisation d’enquêtes de satisfaction. Ce traitement s’inscrit dans le cadre de la gestion de notre relation avec nos courtiers et, plus généralement, de notre intérêt légitime à mesurer la satisfaction de nos courtiers et en vue d’améliorer nos services.
Nous conservons les données pendant toute la durée de la relation commerciale ainsi que pendant la durée de prescription légale française ou étrangère applicable, soit 5 ans dans l’hypothèse où le contrat est soumis au droit français.
Dans ce cadre, vos données personnelles sont transférées à notre maison-mère en Suisse qui s’appuie sur l’expérience de prestataires pour réaliser ces enquêtes de satisfaction.
- Les opérations de communications externes et de prospection commerciale
Nous sommes amenés à collecter et à traiter vos données personnelles à des fins d’opérations de communication externes ou de prospection commerciale (par exemple, l’envoi de newsletters ou d’invitations à des évènements professionnels). Ce traitement repose sur la poursuite de notre intérêt légitime à diffuser des informations commerciales auprès de nos courtiers partenaires actuels et potentiels.
Sous réserve de l’exercice de votre droit d’opposition, nous conservons les données (i) pendant toute la durée de la relation commerciale et jusqu’à 3 ans après qu’elle ait pris fin s’agissant de nos courtiers partenaires existants, et (ii) pendant 3 ans à compter de la collecte des données de la personne concernée ou de notre dernier contact professionnel avec elle s’agissant de courtiers partenaires potentiels.
Ces opérations sont généralement réalisées directement par Zurich France. Nous pouvons toutefois être amenés à partager les informations dont nous disposons avec le personnel d’autres entités du Groupe Zurich chargé de la communication et, plus généralement, des relations courtiers, et à utiliser les services de prestataires externes tels que des agences de marketing pour la réalisation d’emailings ou des plateformes de sondage.
- La lutte contre la fraude à l’assurance
Vos données personnelles sont susceptibles d’être traitées dans le cadre de la lutte contre la fraude à l’assurance. Il est en effet dans l’intérêt légitime de Zurich France de détecter et prévenir les éventuelles fraudes ainsi que, le cas échéant, d’enquêter et d’engager des poursuites en cas de fraude avérée.
La durée de conservation des données personnelles varie notamment en fonction des durées de prescriptions légales françaises ou étrangères applicables. Par exemple, et sous réserve de l’application du droit français, nous conservons les données le temps nécessaire aux premières investigations permettant de qualifier l’alerte. Au terme de ces premières investigations, qui ne peuvent excéder 6 mois à compter de l’émission de l’alerte, nous supprimons les données si l’alerte n’est pas qualifiée. De même, nous supprimons les données sans délai si l’alerte est qualifiée de « non pertinente ». Dans l’hypothèse où les suspicions de fraude s’avèrent au contraire avérées, nous conservons les données pendant le temps nécessaire à la gestion du dossier de fraude et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pourrons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de fraude, des prestataires externes tels que des experts ou des avocats, des autorités administratives ou judiciaires, d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci, les victimes de la fraude s’il y en a, ainsi qu’avec l’association ALFA (Agence pour la Lutte contre la Fraude à l'Assurance).
- La lutte contre le blanchiment des capitaux et le financement du terrorisme, et le respect des sanctions économiques et financières internationales
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (articles L.561-5 et suivants du Code Monétaire et Financier) et de respect des régimes de sanctions économiques et financières internationales telles qu’édictées notamment par l’ONU, l’Union Européenne, la France, le Royaume Uni, la Suisse et les États-Unis d’Amérique. A ce titre, nous pouvons être amenés à traiter des données d’infraction telles que des données issues de procès-verbaux de police ou de gendarmerie ou des données relatives aux infractions, condamnations et mesures de sûretés dans le respect des dispositions légales applicables.
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de lutte contre le blanchiment et de conformité aux régimes de sanctions économiques et financières internationales, avec des prestataires externes tels que des experts ou des avocats, avec des autorités administratives ou judiciaires (en particulier la cellule de renseignement financier TRACFIN), ainsi qu’avec d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci.
- La lutte contre la corruption
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre la corruption (article 445-1 du Code Pénal).
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de corruption, avec des prestataires externes tels que des experts ou des avocats, ainsi que, le cas échéant, avec des autorités administratives ou judiciaires.
- Le respect de nos obligations fiscales
Vos données personnelles sont susceptibles d’être traitées dans le cadre du respect de nos obligations fiscales qui nous imposent notamment d’effectuer certaines déclarations aux autorités fiscales (article 240 du Code Général des Impôts).
Nous conservons les données pendant les durées prévues par la règlementation fiscale applicable.
Nous partageons ces données avec les autorités fiscales ainsi que, le cas échéant, avec nos prestataires externes intervenant dans la mise en œuvre de ces déclarations fiscales obligatoires.
- Activités de traitement liées à la conformité RGPD
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales issues du Règlement européen n°2016/679 du 27 avril 2016 sur la Protection des Données Personnelles (« RGPD »), qui s’impose à Zurich France dans le contexte de toute requête découlant des articles 15 à 23, 33 et 34 dudit Règlement.
En effet, en vue de satisfaire à ses obligations réglementaires en la matière, Zurich France peut être amené à gérer et conserver des dossiers relatifs aux demandes des personnes concernées relativement à l’exercice de leurs droits, ou encore dans le contexte d’une violation de données personnelles ou de tout autre incident relatif aux données personnelles traitées.
Nous conservons ces données pendant 5 ans à compter de la date de clôture de la demande d’exercice de droits ou, dans le cas d’une violation de données, pendant le temps nécessaire à la gestion du dossier correspondant et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure administrative ou judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pouvons être amenés à partager les données avec les sous-traitants de données personnelles concernés, avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des demandes d’exercice de droits et/ou des violations de données, des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires (en particulier la CNIL).
Quelles sont les catégories de données personnelles que nous collectons ?
Zurich France fournit principalement des solutions d’assurance pour les entreprises. Nous sommes amenés dans ce cadre à travailler en étroite collaboration avec de nombreux partenaires commerciaux du secteur de l’assurance : des courtiers bien entendu, mais également d’autres entreprises d’assurance qui peuvent notamment agir en qualité de coassureurs ou de réassureurs sur un contrat ou un programme d’assurance souscrit par une entreprise cliente, ou offrir des garanties ou des prestations complémentaires aux nôtres (telles que, par exemple, des prestations d’assistance), ainsi que nos propres réassureurs. Nos interactions quotidiennes avec ces différents acteurs du secteur de l’assurance nous amènent à recueillir des données personnelles sur leurs employés. Il s’agit de données générales d’identification professionnelle telles que les noms, prénoms, fonctions exercées et coordonnées professionnelles de nos interlocuteurs au sein des sociétés d’assurance et de réassurance concernées.
Les données personnelles collectées le sont soit directement, soit indirectement par l’intermédiaire de clients ou d’autres partenaires commerciaux.
Nous ne collectons que les données strictement nécessaires à la poursuite des finalités détaillées ci-après. Ainsi, la communication de vos données personnelles est indispensable à la poursuite de ces finalités.
Pourquoi et comment procédons-nous au traitement de vos données personnelles ?
Nous ne traitons vos données personnelles que pour des finalités déterminées et uniquement si le traitement repose sur l’une des bases juridiques prévues par la règlementation applicable. La base juridique sur laquelle reposent les traitements de données personnelles que nous opérons est l’exécution d’un contrat auquel vous intervenez et/ou de mesures précontractuelles. Nous ne conservons vos données personnelles que pour la durée qui est strictement nécessaire au regard de la finalité du traitement.
Par principe, vos données personnelles sont stockées au sein de serveurs localisés dans l’Union Européenne. Toutefois, et du fait de notre appartenance au Groupe Zurich, elles peuvent être partagées avec le personnel d’autres entités du Groupe, y compris des entités situées en dehors de l’Union Européenne. Les transferts de données personnelles au sein du Groupe Zurich sont encadrés notamment par le biais de contrats de transfert de données garantissant une protection appropriée aux données personnelles concernées.
De plus, et compte tenu de la nature de nos activités qui portent principalement sur la mise en place de programmes internationaux d’assurance à la demande de nos clients, nous sommes amenés à partager les données personnelles que nous collectons avec des destinataires, tiers à Zurich, situés dans différents pays, y compris hors de l’Union Européenne. Lorsqu’ils existent, ces transferts de données personnelles vers des pays tiers à l’Union Européenne sont encadrés afin d’assurer un niveau de protection appropriée, soit par une décision de la Commission européenne (décision d’adéquation), soit par le biais d’instruments tels que des contrats de transferts de données et autres mesures supplémentaires appropriées.
Pour toute demande concernant les transferts de données personnelles que nous effectuons en dehors de l’Union Européenne, vous pouvez nous contacter aux adresses indiquées dans la rubrique « Nous contacter » ci-dessus.
Les traitements de données personnelles auxquels nous procédons sont détaillés ci-dessous.
- La passation, la gestion et l’exécution d’un contrat ou d’un programme d’assurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la passation, la gestion et l’exécution du contrat ou du programme d’assurance de l’entreprise ou du groupe d’entreprises que nous assurons.
Ces traitements sont nécessaires aux mesures précontractuelles et à l’exécution du contrat ou du programme d’assurance de l’entreprise ou du groupe d’entreprises concerné, auquel vous intervenez en tant que partenaire assureur ou réassureur. La durée de conservation des données personnelles varie en fonction de la typologie de garanties prévues au contrat d’assurance concerné, de l’existence ou non de sinistres déclarés au titre de celui-ci et, le cas échéant, de l’existence ou non de procédures judiciaires.
Selon les cas, nous pouvons être amenés à partager vos données personnelles avec le personnel d’autres entités du Groupe Zurich, avec des intermédiaires en assurance et en réassurance (bénéficiant, le cas échéant, d’une délégation de gestion), avec d'autres organismes d’assurance partenaires offrant des garanties ou des prestations complémentaires, avec d'autres coassureurs et réassureurs, avec des fonds de garanties et autres organismes professionnels tels que le Bureau Central de Répartition (gestion de la coassurance), avec des prestataires de services tels que des experts, des avocats, des médecins ou des sociétés auxquelles nous avons délégué la gestion de certains sinistres, ainsi qu’avec des autorités administratives ou judiciaires.
- La mise en place et le suivi des relations avec nos partenaires assureurs et réassureurs
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la mise en place et du suivi des relations commerciales et contractuelles avec nos partenaires assureurs et réassureurs.
Le traitement de vos données personnelles est nécessaire aux mesures précontractuelles et à l’exécution du contrat conclu avec l’assureur ou le réassureur concerné, auquel vous intervenez.
Nous conservons les données pendant toute la durée de la relation commerciale et jusqu'à 5 ans après sa cessation. Lorsqu'elles sont en lien avec un contrat, nous les conservons pendant toute la durée du contrat concerné, ainsi que pendant la durée de prescription légale française ou étrangère applicable, soit 5 ans dans l’hypothèse où le contrat est soumis au droit français.
Nous partageons vos données personnelles avec le personnel d’autres entités du Groupe Zurich, notamment celui chargé de la gestion des accords de réassurance (Suisse). Nous pouvons également être amenés à partager les données avec des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires.
- La lutte contre la corruption
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre la corruption (article 445-1 du Code Pénal).
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de corruption, avec des prestataires externes tels que des experts ou des avocats, ainsi que, le cas échéant, avec des autorités administratives ou judiciaires.
- Activités de traitement liées à la conformité RGPD
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales issues du Règlement européen n°2016/679 du 27 avril 2016 sur la Protection des Données Personnelles (« RGPD »), qui s’impose à Zurich France dans le contexte de toute requête découlant des articles 15 à 23, 33 et 34 dudit Règlement.
En effet, en vue de satisfaire à ses obligations réglementaires en la matière, Zurich France peut être amené à gérer et conserver des dossiers relatifs aux demandes des personnes concernées relativement à l’exercice de leurs droits, ou encore dans le contexte d’une violation de données personnelles ou de tout autre incident relatif aux données personnelles traitées.
Nous conservons ces données pendant 5 ans à compter de la date de clôture de la demande d’exercice de droits ou, dans le cas d’une violation de données, pendant le temps nécessaire à la gestion du dossier correspondant et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure administrative ou judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pouvons être amenés à partager les données avec les sous-traitants de données personnelles concernés, avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des demandes d’exercice de droits et/ou des violations de données, des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires (en particulier la CNIL).
Quelles sont les catégories de données personnelles que nous collectons ?
Zurich France fournit principalement des solutions d’assurance pour les entreprises. Selon la typologie de garanties souscrites par nos clients, celles-ci peuvent couvrir des personnes physiques qui bénéficient alors de la qualité d’assuré. Ainsi, par exemple, nous proposons des contrats d’assurance « Responsabilité des dirigeants » couvrant la responsabilité que les dirigeants personnes physiques de l’entreprise souscriptrice du contrat sont susceptibles d’encourir dans le cadre de leurs fonctions en tant que mandataires sociaux. Indépendamment de ces assurances professionnelles souscrites par des entreprises, Zurich France peut également être amenée à assurer des contrats d’assurance directement souscrits par des personnes physiques.
La typologie de données personnelles concernant ces assurés personnes physiques que nous sommes susceptibles de collecter et traiter varie en fonction de la nature des garanties du contrat d’assurance. Il s’agit généralement de données relatives à l’identification des personnes concernées (telles que nom, prénom, adresse, email, téléphone), auxquelles peuvent s’ajouter selon les cas des données relatives à leur situation professionnelle, familiale, financière ou patrimoniale, des données relatives aux usages des biens en relation avec les risques assurés (par exemple, pour les assurances de véhicules professionnels), des données de santé (dans le cadre par exemple de la gestion de sinistres corporels), voire le cas échéant, dans certains cas précis, des données d’infraction telles que des données issues de procès-verbaux de police ou de gendarmerie (dans le cadre par exemple de dossiers sinistres concernant des accidents de la circulation en assurance automobile). Nous collectons ces données personnelles dans le respect des dispositions légales applicables.
Les données personnelles collectées le sont soit directement, soit indirectement par l’intermédiaire notamment de l’entreprise souscriptrice du contrat d’assurance concerné ou du courtier en assurance qui l’accompagne.
Nous ne collectons que les données strictement nécessaires à la poursuite des finalités détaillées ci-après. Ainsi, la communication de vos données personnelles est indispensable à la poursuite de ces finalités.
Pourquoi et comment procédons-nous au traitement de vos données personnelles ?
Nous ne traitons vos données personnelles que pour des finalités déterminées et uniquement si le traitement repose sur l’une des bases juridiques prévues par la règlementation applicable. Les bases juridiques sur lesquelles reposent les traitements de données personnelles que nous opérons sont (i) l’exécution d’un contrat auquel vous intervenez et/ou de mesures précontractuelles, et (ii) l’exécution d’une obligation légale qui nous incombe. Nous ne conservons vos données personnelles que pour la durée qui est strictement nécessaire au regard de la finalité du traitement.
Par principe, vos données personnelles sont stockées au sein de serveurs localisés dans l’Union Européenne. Toutefois, et du fait de notre appartenance au Groupe Zurich, elles peuvent être partagées avec le personnel d’autres entités du Groupe, y compris des entités situées en dehors de l’Union Européenne. Les transferts de données personnelles au sein du Groupe Zurich sont encadrés notamment par le biais de contrats de transfert de données garantissant une protection appropriée aux données personnelles concernées.
De plus, et compte tenu de la nature de nos activités qui portent principalement sur la mise en place de programmes internationaux d’assurance à la demande de nos clients, nous sommes amenés à partager les données personnelles que nous collectons avec des destinataires, tiers à Zurich, situés dans différents pays, y compris hors de l’Union Européenne. Lorsqu’ils existent, ces transferts de données personnelles vers des pays tiers à l’Union Européenne sont encadrés afin d’assurer un niveau de protection appropriée, soit par une décision de la Commission européenne (décision d’adéquation), soit par le biais d’instruments tels que des contrats de transferts de données et autres mesures supplémentaires appropriées.
Pour toute demande concernant les transferts de données personnelles que nous effectuons en dehors de l’Union Européenne, vous pouvez nous contacter aux adresses indiquées dans la rubrique « Nous contacter » ci-dessus.
Les traitements de données personnelles auxquels nous procédons sont détaillés ci-dessous.
- La passation, la gestion et l’exécution d’un contrat ou d’un programme d’assurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la passation, la gestion et l’exécution du contrat ou du programme d’assurance de l’entreprise ou du groupe d’entreprises que nous assurons ou, selon le cas, du contrat d’assurance que vous avez directement souscrit auprès de nous.
Ces traitements sont nécessaires aux mesures précontractuelles et, le cas échéant, à l’exécution du contrat ou du programme d’assurance de l’entreprise ou du groupe d’entreprises concerné, auquel vous intervenez en tant qu’assuré, ou, selon le cas, du contrat d’assurance que vous avez directement souscrit auprès de nous.
Au stade précontractuel, ces données personnelles sont parfois nécessaires, selon la typologie d'assurance, pour l’étude des besoins spécifiques de l’entreprise ou du groupe d’entreprise concerné ou de vos propres besoins en tant que souscripteur du contrat d’assurance que vous avez directement souscrit auprès de nous, ainsi que pour l’analyse de risque que nous réalisons afin de proposer, le cas échéant, une offre adaptée et conforme à notre politique de souscription.
Au stade de l’exécution du contrat ou du programme d’assurance, ces données personnelles sont nécessaires pour les opérations relatives à sa gestion (ex : émission d'attestations), ainsi que pour l’exécution des garanties qu’il prévoit. Ceci inclut notamment la gestion des sinistres (y compris les éventuels recours que nous pouvons être amenés à diligenter contre les tiers responsables du dommage que nous avons indemnisé), ainsi que, le cas échéant, la gestion des réclamations ou des contentieux qui peuvent s’élever à l’occasion du contrat ou du programme d’assurance concerné.
La durée de conservation de vos données personnelles varie en fonction de la typologie de garanties prévues au contrat d’assurance concerné, de l’existence ou non de sinistres déclarés au titre de celui-ci et, le cas échéant, de l’existence ou non de procédures judiciaires.
Selon les cas, nous pouvons notamment être amenés à partager vos données personnelles avec nos interlocuteurs habituels au sein des entreprises que nous assurons et des courtiers qui les accompagnent, avec le personnel d’autres entités du Groupe Zurich, avec des organismes d’assurance partenaires offrant des garanties ou des prestations complémentaires aux nôtres, avec les coassureurs et réassureurs concernés, avec des intermédiaires en assurance et en réassurance (le cas échéant bénéficiant d’une délégation de gestion), avec des prestataires de services tels que des experts, des avocats, des médecins ou des sociétés auxquelles nous avons délégué la gestion de certains sinistres, avec des représentants des tiers impliqués dans le sinistre (tels que les assureurs ou les conseils des victimes ou des tiers responsables), avec des fonds de garanties, avec les organismes sociaux, avec des organismes professionnels tels que le Bureau Central de Répartition (gestion de la coassurance) ou l’AGIRA (Trans PV), ainsi qu’avec des autorités administratives ou judiciaires.
- La lutte contre la fraude à l’assurance
Vos données personnelles sont susceptibles d’être traitées dans le cadre de la lutte contre la fraude à l’assurance. Il est en effet dans l’intérêt légitime de Zurich France de détecter et prévenir les éventuelles fraudes ainsi que, le cas échéant, d’enquêter et d’engager des poursuites en cas de fraude avérée.
La durée de conservation des données personnelles varie notamment en fonction des durées de prescriptions légales françaises ou étrangères applicables. Par exemple, et sous réserve de l’application du droit français, nous conservons les données le temps nécessaire aux premières investigations permettant de qualifier l’alerte. Au terme de ces premières investigations, qui ne peuvent excéder 6 mois à compter de l’émission de l’alerte, nous supprimons les données si l’alerte n’est pas qualifiée. De même, nous supprimons les données sans délai si l’alerte est qualifiée de « non pertinente ». Dans l’hypothèse où les suspicions de fraude s’avèrent au contraire avérées, nous conservons les données pendant le temps nécessaire à la gestion du dossier de fraude et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pourrons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de fraude, des prestataires externes tels que des experts ou des avocats, des autorités administratives ou judiciaires, d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci, les victimes de la fraude s’il y en a, ainsi qu’avec l’association ALFA (Agence pour la Lutte contre la Fraude à l'Assurance).
- La lutte contre le blanchiment des capitaux et le financement du terrorisme, et le respect des sanctions économiques et financières internationales
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (articles L.561-5 et suivants du Code Monétaire et Financier) et de respect des régimes de sanctions économiques et financières internationales telles qu’édictées notamment par l’ONU, l’Union Européenne, la France, le Royaume Uni, la Suisse et les États-Unis d’Amérique. A ce titre, nous pouvons être amenés à traiter des données d’infraction telles que des données issues de procès-verbaux de police ou de gendarmerie ou des données relatives aux infractions, condamnations et mesures de sûretés dans le respect des dispositions légales applicables.
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de lutte contre le blanchiment et de conformité aux régimes de sanctions économiques et financières internationales, avec des prestataires externes tels que des experts ou des avocats, avec des autorités administratives ou judiciaires (en particulier la cellule de renseignement financier TRACFIN), ainsi qu’avec d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci.
- Activités de traitement liées à la conformité RGPD
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales issues du Règlement européen n°2016/679 du 27 avril 2016 sur la Protection des Données Personnelles (« RGPD »), qui s’impose à Zurich France dans le contexte de toute requête découlant des articles 15 à 23, 33 et 34 dudit Règlement.
En effet, en vue de satisfaire à ses obligations réglementaires en la matière, Zurich France peut être amené à gérer et conserver des dossiers relatifs aux demandes des personnes concernées relativement à l’exercice de leurs droits, ou encore dans le contexte d’une violation de données personnelles ou de tout autre incident relatif aux données personnelles traitées.
Nous conservons ces données pendant 5 ans à compter de la date de clôture de la demande d’exercice de droits ou, dans le cas d’une violation de données, pendant le temps nécessaire à la gestion du dossier correspondant et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure administrative ou judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pouvons être amenés à partager les données avec les sous-traitants de données personnelles concernés, avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des demandes d’exercice de droits et/ou des violations de données, des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires (en particulier la CNIL).
Quelles sont les catégories de données personnelles que nous collectons ?
Zurich France fournit principalement des solutions d’assurance pour les entreprises. Indépendamment de ces assurances professionnelles souscrites par des entreprises, Zurich France peut également être amenée à assurer des contrats d’assurance directement souscrits par des personnes physiques. Lorsqu’un sinistre survient au titre d’un contrat d’assurance que nous assurons, nous sommes susceptibles de recueillir des données personnelles sur les personnes physiques concernées par le sinistre, qu’il s’agisse de victimes, de témoins, ou de tiers responsables du sinistre.
La typologie de données personnelles que nous sommes susceptibles de collecter dans ce cadre varie en fonction du sinistre. Il s’agit généralement de données relatives à l’identification des personnes concernées (telles que nom, prénom, adresse, email, téléphone), auxquelles peuvent s’ajouter selon les cas des données relatives à leur situation professionnelle, familiale, financière ou patrimoniale, des données de santé (dans le cadre par exemple de la gestion de sinistres corporels), voire le cas échéant, dans certains cas précis, des données d’infraction telles que des données issues de procès-verbaux de police ou de gendarmerie (dans le cadre par exemple de dossiers sinistres concernant des accidents de la circulation en assurance automobile) . Nous collectons ces données personnelles dans le respect des dispositions légales applicables.
Nous collectons ces données personnelles soit directement auprès des personnes concernées, soit indirectement par l’intermédiaire de leurs représentants (tels que leurs propres assureurs ou conseils) ou par l’intermédiaire de notre assuré ou de son courtier en assurance.
Pourquoi et comment procédons-nous au traitement de vos données personnelles ?
Nous ne traitons vos données personnelles que pour des finalités déterminées et uniquement si le traitement repose sur l’une des bases juridiques prévues par la règlementation applicable. Les bases juridiques sur lesquelles reposent les traitements de données personnelles que nous opérons sont (i) l’exécution d’un contrat auquel vous intervenez et/ou de mesures précontractuelles, (ii) l’exécution d’une obligation légale qui nous incombe. Nous ne conservons vos données personnelles que pour la durée qui est strictement nécessaire au regard de la finalité du traitement.
Par principe, vos données personnelles sont stockées au sein de serveurs localisés dans l’Union Européenne. Toutefois, et du fait de notre appartenance au Groupe Zurich, elles peuvent être partagées avec le personnel d’autres entités du Groupe, y compris des entités situées en dehors de l’Union Européenne. Les transferts de données personnelles au sein du Groupe Zurich sont encadrés notamment par le biais de contrats de transfert de données garantissant une protection appropriée aux données personnelles concernées.
De plus, et compte tenu de la nature de nos activités qui portent principalement sur la mise en place de programmes internationaux d’assurance à la demande de nos clients, nous sommes amenés à partager les données personnelles que nous collectons avec des destinataires, tiers à Zurich, situés dans différents pays, y compris hors de l’Union Européenne. Lorsqu’ils existent, ces transferts de données personnelles vers des pays tiers à l’Union Européenne sont encadrés afin d’assurer un niveau de protection appropriée, soit par une décision de la Commission européenne (décision d’adéquation), soit par le biais d’instruments tels que des contrats de transferts de données et autres mesures supplémentaires appropriées.
Pour toute demande concernant les transferts de données personnelles que nous effectuons en dehors de l’Union Européenne, vous pouvez nous contacter aux adresses indiquées dans la rubrique « Nous contacter » ci-dessus.
Les traitements de données personnelles auxquels nous procédons sont détaillés ci-dessous
- La gestion et l’exécution d’un contrat ou d’un programme d’assurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la gestion et l’exécution du contrat ou du programme d’assurance que nous assurons, qui inclut notamment la gestion des sinistres (y compris les éventuels recours que nous pouvons être amenés à diligenter contre les tiers responsables du dommage que nous avons indemnisé), ainsi que, le cas échéant, la gestion des réclamations ou des contentieux qui peuvent s’élever à l’occasion du contrat ou du programme d’assurance concerné.
Ces traitements sont en effet nécessaires à l’exécution du contrat ou du programme d’assurance concerné, auquel vous intervenez en tant que tiers concerné par un sinistre.
La durée de conservation de vos données varie en fonction de la typologie de garanties prévues au contrat d’assurance concerné, de la nature du sinistre concerné et, le cas échéant, de l’existence ou non de procédures judiciaires.
Selon les cas, nous pouvons notamment être amenés à partager vos données personnelles avec nos interlocuteurs habituels au sein des entreprises que nous assurons et des courtiers qui les accompagnent, avec le personnel d’autres entités du Groupe Zurich, avec des organismes d’assurance partenaires offrant des garanties ou des prestations complémentaires aux nôtres, avec les coassureurs et réassureurs concernés, avec des intermédiaires en assurance et en réassurance (le cas échéant bénéficiant d’une délégation de gestion), avec des prestataires de services tels que des experts, des avocats, des médecins ou des sociétés auxquelles nous avons délégué la gestion de certains sinistres, avec des représentants des tiers impliqués dans le sinistre (tels que les assureurs ou les conseils des victimes ou des tiers responsables), avec des fonds de garanties, avec les organismes sociaux, avec des organismes professionnels tels que le Bureau Central de Répartition (gestion de la coassurance) ou l’AGIRA (Trans PV), ainsi qu’avec des autorités administratives ou judiciaires.
- La lutte contre la fraude à l’assurance
Vos données personnelles sont susceptibles d’être traitées dans le cadre de la lutte contre la fraude à l’assurance. Il est en effet dans l’intérêt légitime de Zurich France de détecter et prévenir les éventuelles fraudes ainsi que, le cas échéant, d’enquêter et d’engager des poursuites en cas de fraude avérée.
La durée de conservation des données personnelles varie notamment en fonction des durées de prescriptions légales françaises ou étrangères applicables. Par exemple, et sous réserve de l’application du droit français, nous conservons les données le temps nécessaire aux premières investigations permettant de qualifier l’alerte. Au terme de ces premières investigations, qui ne peuvent excéder 6 mois à compter de l’émission de l’alerte, nous supprimons les données si l’alerte n’est pas qualifiée. De même, nous supprimons les données sans délai si l’alerte est qualifiée de « non pertinente ». Dans l’hypothèse où les suspicions de fraude s’avèrent au contraire avérées, nous conservons les données pendant le temps nécessaire à la gestion du dossier de fraude et jusqu’à 5 ans après sa clôture ou, le cas échéant, pendant toute la durée de la procédure judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pourrons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de fraude, des prestataires externes tels que des experts ou des avocats, des autorités administratives ou judiciaires, d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci, les victimes de la fraude s’il y en a, ainsi qu’avec l’association ALFA (Agence pour la Lutte contre la Fraude à l'Assurance).
- La lutte contre le blanchiment des capitaux et le financement du terrorisme, et le respect des sanctions économiques et financières internationales
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (articles L.561-5 et suivants du Code Monétaire et Financier) et de respect des régimes de sanctions économiques et financières internationales telles qu’édictées notamment par l’ONU, l’Union Européenne, la France, le Royaume Uni, la Suisse et les États-Unis d’Amérique. A ce titre, nous pouvons être amenés à traiter des données d’infraction telles que des données issues de procès-verbaux de police ou de gendarmerie ou des données relatives aux infractions, condamnations et mesures de sûretés dans le respect des dispositions légales applicables.
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de lutte contre le blanchiment et de conformité aux régimes de sanctions économiques et financières internationales, avec des prestataires externes tels que des experts ou des avocats, avec des autorités administratives ou judiciaires (en particulier la cellule de renseignement financier TRACFIN), ainsi qu’avec d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci.
- Activités de traitement liées à la conformité RGPD
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales issues du Règlement européen n°2016/679 du 27 avril 2016 sur la Protection des Données Personnelles (« RGPD »), qui s’impose à Zurich France dans le contexte de toute requête découlant des articles 15 à 23, 33 et 34 dudit Règlement.
En effet, en vue de satisfaire à ses obligations réglementaires en la matière, Zurich France peut être amené à gérer et conserver des dossiers relatifs aux demandes des personnes concernées relativement à l’exercice de leurs droits, ou encore dans le contexte d’une violation de données personnelles ou de tout autre incident relatif aux données personnelles traitées.
Nous conservons ces données pendant 5 ans à compter de la date de clôture de la demande d’exercice de droits ou, dans le cas d’une violation de données, pendant le temps nécessaire à la gestion du dossier correspondant et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure administrative ou judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pouvons être amenés à partager les données avec les sous-traitants de données personnelles concernés, avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des demandes d’exercice de droits et/ou des violations de données, des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires (en particulier la CNIL).
Quelles sont les catégories de données personnelles que nous collectons ?
Zurich France fournit principalement des solutions d’assurance pour les entreprises. Indépendamment de ces assurances professionnelles souscrites par des entreprises, Zurich France peut également être amenée à assurer des contrats d’assurance souscrits directement par des personnes physiques. Nous sommes amenés dans ce cadre à travailler avec des prestataires externes tels que des experts, des avocats, des médecins ou d’autres prestataires de services qui interviennent dans le cadre de nos activités en tant qu’assureur.
Comme toute entreprise, nous travaillons également avec des fournisseurs externes pour les besoins de nos services généraux tels que la sécurité de nos locaux, nos services d’accueil, ou encore nos fournisseurs de services informatiques.
Nos interactions quotidiennes avec ces différents prestataires / fournisseurs externes nous amènent à recueillir des données personnelles sur leurs employés. Il s’agit de données générales d’identification professionnelle telles que les noms, prénoms, fonctions exercées et coordonnées professionnelles de nos interlocuteurs au sein de ces différentes entreprises.
Les données personnelles collectées le sont soit directement, soit indirectement par l’intermédiaire de l’entreprise qui les emploie ou qui les supervise lorsqu’ils interviennent en sous-traitance.
Pourquoi et comment procédons-nous au traitement de vos données personnelles ?
Nous ne traitons vos données personnelles que pour des finalités déterminées et uniquement si le traitement repose sur l’une des bases juridiques prévues par la règlementation applicable. Les bases juridiques sur lesquelles reposent les traitements de données personnelles que nous opérons sont (i) l’exécution d’un contrat auquel vous intervenez et/ou de mesures précontractuelles, (ii) l’exécution d’une obligation légale qui nous incombe. Nous ne conservons vos données personnelles que pour la durée qui est strictement nécessaire au regard de la finalité du traitement.
Par principe, vos données personnelles sont stockées au sein de serveurs localisés dans l’Union Européenne. Toutefois, et du fait de notre appartenance au Groupe Zurich, elles peuvent être partagées avec le personnel d’autres entités du Groupe, y compris des entités situées en dehors de l’Union Européenne. Les transferts de données personnelles au sein du Groupe Zurich sont encadrés notamment par le biais de contrats de transfert de données garantissant une protection appropriée aux données personnelles concernées.
De plus, et compte tenu de la nature de nos activités qui portent principalement sur la mise en place de programmes internationaux d’assurance à la demande de nos clients, nous sommes amenés à partager les données personnelles que nous collectons avec des destinataires, tiers à Zurich, situés dans différents pays, y compris hors de l’Union Européenne. Lorsqu’ils existent, ces transferts de données personnelles vers des pays tiers à l’Union Européenne sont encadrés afin d’assurer un niveau de protection appropriée, soit par une décision de la Commission européenne (décision d’adéquation), soit par le biais d’instruments tels que des contrats de transferts de données et autres mesures supplémentaires appropriées.
Pour toute demande concernant les transferts de données personnelles que nous effectuons en dehors de l’Union Européenne, vous pouvez nous contacter aux adresses indiquées dans la rubrique « Nous contacter » ci-dessus.
Les traitements de données personnelles auxquels nous procédons sont détaillés ci-dessous.
- La passation, la gestion et l’exécution d’un contrat ou d’un programme d’assurance
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la passation, la gestion et l’exécution du contrat ou du programme d’assurance que nous assurons, qui inclut notamment la gestion des sinistres (y compris les éventuels recours que nous pouvons être amenés à diligenter contre les tiers responsables du dommage que nous avons indemnisé), ainsi que, le cas échéant, la gestion des réclamations ou des contentieux qui peuvent s’élever à l’occasion du contrat ou du programme d’assurance concerné.
Ces traitements sont nécessaires aux mesures précontractuelles et, le cas échéant, l’exécution du contrat ou du programme d’assurance concerné, auquel vous intervenez en tant qu’expert, avocat, médecin ou autre prestataire de services.
La durée de conservation de vos données personnelles varie en fonction de la nature de votre intervention au regard du contrat d’assurance concerné.
Selon les cas, nous pouvons notamment être amenés à partager vos données personnelles avec nos interlocuteurs habituels au sein des entreprises que nous assurons et des courtiers qui les accompagnent, avec le personnel d’autres entités du Groupe Zurich, avec des organismes d’assurance partenaires offrant des garanties ou des prestations complémentaires aux nôtres, avec les coassureurs et réassureurs concernés, avec des intermédiaires en assurance et en réassurance (le cas échéant bénéficiant d’une délégation de gestion), avec d’autres prestataires de services externes tels que des experts, des avocats, des médecins ou des sociétés auxquelles nous avons délégué la gestion de certains sinistres, avec des représentants des tiers impliqués dans le sinistre (tels que les assureurs ou les conseils des victimes ou des tiers responsables), avec des fonds de garanties, avec les organismes sociaux, avec des organismes professionnels tels que le Bureau Central de Répartition (gestion de la coassurance) ou l’AGIRA (Trans PV), ainsi qu’avec des autorités administratives ou judiciaires.
- La mise en place et le suivi des relations avec les prestataires ou fournisseurs externes concernés
Nous sommes amenés à collecter et à traiter vos données personnelles pour les besoins de la mise en place et du suivi des relations commerciales et contractuelles avec les prestataires ou fournisseurs externes concernés, y compris, le cas échéant, en cas de délégations de gestion spécifiques.
Ces traitements sont nécessaires aux mesures précontractuelles et à l’exécution des contrats que nous sommes amenés à conclure avec les entreprises et sociétés concernées, auxquels vous intervenez.
Nous conservons les données pendant toute la durée de la relation commerciale et jusqu’à 5 ans après sa cessation. Lorsqu’elles sont en lien avec un contrat, nous les conservons pendant toute la durée du contrat concerné, à laquelle s’ajoute la durée de prescription française ou étrangère applicable. A titre d’exemple, la durée de prescription applicable en droit français est de 5 ans (article L110-4 du Code de Commerce).
Selon les cas, nous pouvons être amenés à partager vos données personnelles avec le personnel d’autres entités du Groupe Zurich concerné par la mise en place et le suivi des relations commerciales et contractuelles avec nos prestataires et fournisseurs externes. Dans l’hypothèse de la mise en place de délégations de gestion spécifiques, nous sommes également susceptibles de partager les données avec le personnel d’autres entités du Groupe Zurich chargé de valider la mise en place de la délégation au profit du prestataire externe concerné, qu’il s’agisse d’une délégation de gestion portant sur des actes de souscription ou de gestion en lien avec des contrats d’assurance (tels que par exemple l’émission d’attestations d’assurance) ou d’une délégation de gestion de sinistres. Dans le cadre de la surveillance de nos activités déléguées, nous sommes également susceptibles de partager les données avec des prestataires chargés de réaliser des audits pour notre compte, et avec nos autorités de contrôle. Nous pouvons être amenés à partager les données avec d’autres prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires.
- La lutte contre la fraude à l’assurance
Vos données personnelles sont susceptibles d’être traitées dans le cadre de la lutte contre la fraude à l’assurance. Il est en effet dans l’intérêt légitime de Zurich France de détecter et prévenir les éventuelles fraudes ainsi que, le cas échéant, d’enquêter et d’engager des poursuites en cas de fraude avérée.
La durée de conservation des données personnelles varie notamment en fonction des durées de prescriptions légales françaises ou étrangères applicables. Par exemple, et sous réserve de l’application du droit français, nous conservons les données le temps nécessaire aux premières investigations permettant de qualifier l’alerte. Au terme de ces premières investigations, qui ne peuvent excéder 6 mois à compter de l’émission de l’alerte, nous supprimons les données si l’alerte n’est pas qualifiée. De même, nous supprimons les données sans délai si l’alerte est qualifiée de « non pertinente ». Dans l’hypothèse où les suspicions de fraude s’avèrent au contraire avérées, nous conservons les données pendant le temps nécessaire à la gestion du dossier de fraude et jusqu’à 5 ans après sa clôture ou, le cas échéant, pendant toute la durée de la procédure judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution, soit au plus tard 10 ans à compter du prononcé de la décision.
Selon les cas, nous pourrons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de fraude, des prestataires externes tels que des experts ou des avocats, des autorités administratives ou judiciaires, d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci, les victimes de la fraude s’il y en a, ainsi qu’avec l’association ALFA (Agence pour la Lutte contre la Fraude à l'Assurance).
- La lutte contre le blanchiment des capitaux et le financement du terrorisme, et le respect des sanctions économiques et financières internationales
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (articles L.561-5 et suivants du Code Monétaire et Financier) et de respect des régimes de sanctions économiques et financières internationales telles qu’édictées notamment par l’ONU, l’Union Européenne, la France, le Royaume Uni, la Suisse et les États-Unis d’Amérique. A ce titre, nous pouvons être amenés à traiter des données d’infraction telles que des données issues de procès-verbaux de police ou de gendarmerie ou des données relatives aux infractions, condamnations et mesures de sûretés dans le respect des dispositions légales applicables.
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de lutte contre le blanchiment et de conformité aux régimes de sanctions économiques et financières internationales, avec des prestataires externes tels que des experts ou des avocats, avec des autorités administratives ou judiciaires (en particulier la cellule de renseignement financier TRACFIN), ainsi qu’avec d’autres organismes d’assurance ou intermédiaires intervenant dans le dossier ou concernés par celui-ci.
- La lutte contre la corruption
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales en matière de lutte contre la corruption (article 445-1 du Code Pénal).
Nous conservons les données personnelles pendant les durées de prescription françaises ou étrangères applicables aux infractions y afférentes.
Selon les cas, nous pouvons être amenés à partager les données avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des dossiers ou de maîtrise du risque de corruption, avec des prestataires externes tels que des experts ou des avocats, ainsi que, le cas échéant, avec des autorités administratives ou judiciaires.
- Le respect de nos obligations fiscales
Vos données personnelles sont susceptibles d’être traitées dans le cadre du respect de nos obligations fiscales qui nous imposent notamment d’effectuer certaines déclarations aux autorités fiscales (article 240 du Code Général des Impôts).
Nous conservons les données pendant les durées prévues par la règlementation fiscale applicable.
Nous partageons ces données avec les autorités fiscales ainsi que, le cas échéant, avec nos prestataires externes intervenant dans la mise en œuvre de ces déclarations fiscales obligatoires.
- Activités de traitement liées à la conformité RGPD
Vos données personnelles sont susceptibles d’être traitées dans le cadre de nos obligations légales issues du Règlement européen n°2016/679 du 27 avril 2016 sur la Protection des Données Personnelles (« RGPD »), qui s’impose à Zurich France dans le contexte de toute requête découlant des articles 15 à 23, 33 et 34 dudit Règlement.
En effet, en vue de satisfaire à ses obligations réglementaires en la matière, Zurich France peut être amené à gérer et conserver des dossiers relatifs aux demandes des personnes concernées relativement à l’exercice de leurs droits, ou encore dans le contexte d’une violation de données personnelles ou de tout autre incident relatif aux données personnelles traitées.
Nous conservons ces données pendant 5 ans à compter de la date de clôture de la demande d’exercice de droits ou, dans le cas d’une violation de données, pendant le temps nécessaire à la gestion du dossier correspondant et jusqu’à 5 ans après sa clôture, ou, le cas échéant, pendant toute la durée de la procédure administrative ou judiciaire si une telle procédure est engagée jusqu'à l’obtention d'une décision définitive et de son exécution.
Selon les cas, nous pouvons être amenés à partager les données avec les sous-traitants de données personnelles concernés, avec le personnel d’autres entités du Groupe Zurich qui interviennent dans la gestion des demandes d’exercice de droits et/ou des violations de données, des prestataires externes tels que des experts ou des avocats, et des autorités administratives ou judiciaires (en particulier la CNIL).