Protection des données / Politique de protection des données personnelles

Politique de protection des données personnelles

La règlementation sur la protection des données personnelles protège la vie privée et les droits des individus. Elle s'applique à toute personne qui gère ou a accès aux données personnelles de personnes physiques vivantes. Avec ce contexte, les entités du Groupe LALUX collectent les données de manière plus transparente. Cette politique définit et informe les personnes concernées par les données personnelles détenues par ces entités de la manière dont elles utilisent et protègent les informations que les personnes concernées lui transmettent. Cette politique a pour but de garantir que les données personnelles sont traitées correctement, en toute sécurité et conformément à la règlementation sur la protection des données. Elle s'applique à l'information quelle que soit la façon dont elle est utilisée, enregistrée et stockée et si elle est conservée dans des dossiers papier ou par voie électronique.

1. Champ d'application de la politique

La donnée personnelle est toute information qui se rapporte à une personne physique vivante qui peut être identifiée à partir de l'information. Le Groupe LALUX collecte des informations sur ses clients / prospects dans le cadre de la gestion des contrats d’assurance. Exemple de données personnelles : Nom, adresse, numéro de téléphone, numéro de permis de conduire, plaque d'immatriculation, données santé,….

2. Les principes de protection des données

La règlementation est basée sur des principes de protection des données, ou des règles de «bonne gestion de l'information», à savoir les données doivent être :

  • Traitées de manière licite, loyale et transparente au regard de la personne concernée,
  • Collectées pour des finalités déterminées, explicites et légitimes,
  • Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées,
  • Exactes et, si nécessaire, tenues à jour,
  • Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées,
  • Traitées de façon à garantir une sécurité appropriée des données personnelles.

3. Responsable du traitement

Au sein du Groupe LALUX, les responsables de traitement des données personnelles sont les suivants:

  • LALUX Group Société Anonyme,
  • LA LUXEMBOURGEOISE Société Anonyme d’Assurances,
  • LA LUXEMBOURGEOISE-VIE Société Anonyme d’Assurances (ci-après LALUX Vie),
  • DKV Luxembourg Société Anonyme, • APROBAT lalux-assurances Société Anonyme,
  • PECOMA Actuarial and Risk S.A.


Chaque responsable de traitement déclare respecter la législation luxembourgeoise sur la protection de la vie privée, ainsi que les dispositions du règlement sur la protection des données personnelles en vigueur.

4. Finalités du traitement des données personnelles

Conformément au règlement général sur la protection des données personnelles, le responsable du traitement collecte et traite les données personnelles que les personnes concernées lui ont communiquées ainsi que celles communiquées ultérieurement pour les finalités suivantes (excepté pour PECOMA Actuarial and Risk S.A) :
 

  • Apprécier les risques, préparer, établir, gérer, exécuter les contrats d’assurance. Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée (c’est-à-dire le preneur d’assurance et/ou l’(ou les) assuré(s)) est partie ou dont la personne concernée est bénéficiaire ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, telles que des demandes d’offre / devis. Les données personnelles sont donc communiquées aux employés du Groupe LALUX, à des agents du réseau LALUX, au partenaire bancaire du réseau LALUX pour la commercialisation de certains produits de LALUX Vie, aux médecins conseils, aux experts, à des tiers comme les garagistes, à des sous-traitants, à des courtiers d’assurance et à des réassureurs.
  • Collecter les données requises et les transmettre le cas échéant à l’Administration des Contributions Directes aux fins d’être le cas échéant communiquées à l’autorité compétente étrangère de la (les) résidence(s) fiscale(s) de la personne concernée, conformément à la loi du 18/12/2015 concernant l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale. Ce traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement LALUX Vie est soumis.
  • Collecter les données requises et les transmettre le cas échéant à l’inspection générale de la sécurité sociale selon la loi modifiée du 08/06/1999 relative aux régimes complémentaires de pension. Si applicable, ce traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement LALUX Vie est soumis.
  • Collecter les données requises et les transmettre le cas échéant au Commissariat Aux Assurances dans le contexte de la loi modifiée du 07/12/2015 sur le secteur des assurances. Ce traitement est nécessaire au respect d'une obligation légale à laquelle les responsables du traitement sont soumis.
  • Collecter les données requises et les transmettre le cas échéant aux auditeurs externes dans le cadre de travaux requis par la loi modifiée du 08/12/1994 sur les comptes annuels des entreprises d’assurances et de réassurances. Ce traitement est nécessaire au respect d'une obligation légale à laquelle les responsables du traitement sont soumis.
  • Prévenir ou détecter tout risque de fraude ou délit financier (y compris le financement du terrorisme, le blanchiment d'argent et les interdictions et mesures financières restrictives à l’encontre de personnes, entreprises ou groupes). Ce traitement est nécessaire au respect d'une obligation légale à laquelle les responsables du traitement sont soumis ou à la protection des intérêts légitimes des responsables du traitement. Les données personnelles sont le cas échéant, partagées avec une autorité compétente telle que la cellule de renseignement financier dans le strict respect de la loi applicable.
  • Gérer la relation commerciale avec ses clients – y compris (sauf refus de leur part) de les informer sur des produits ou services analogues ou complémentaires à ceux dont ils ont déjà souscrits et également sur des nouveaux produits et services. Cela inclut un profilage permettant de fournir un service et des informations adaptés au besoin du client. Le traitement est basé sur les intérêts légitimes des responsables du traitement pour rendre attentifs leurs clients et les conseiller sur les produits et services d’assurance. Les données personnelles sont donc communiquées aux employés des responsables du traitement du Groupe LALUX et à des agents du réseau LALUX. Dans le cadre de cette finalité, les données de la santé ne sont pas communiquées ; celles-ci sont traitées par la société qui les a collectées.
  • Correspondre avec ses avocats, conseillers, médecins ou tout autre intervenant et leur transmettre, ainsi qu’au Commissariat Aux Assurances, à l’ACA (Association des Compagnies d’Assurances et Réassurances du Grand-Duché de Luxembourg) voire aux magistrats en charge et aux experts désignés, les données nécessaires afin de protéger ses droits notamment dans le cadre de la défense ou de la protection de ses droits et intérêts (par exemple le recouvrement de sommes dues, la contestation des conditions d’intervention), d’actions en justice, de la gestion de réclamations ou de litiges, etc. Le traitement est nécessaire au respect d’une obligation légale ou aux intérêts légitimes des responsables du traitement. Les données personnelles sont donc communiquées aux parties mentionnées ci-dessus.
     

Les responsables du traitement agissent conformément aux modalités et conditions énoncées à l’article 300 de la loi modifiée sur le secteur des assurances concernant le secret professionnel en matière d’assurances.

PECOMA Actuarial and Risk S.A (PECOMA) en tant que responsable de traitement traite et collecte les données personnelles pour les finalités suivantes :
Calculer les droits et établir les certificats des affiliés de régimes de pension complémentaires souscrits par leurs employeurs,
Établir des informations financières destinées aux employeurs des affiliés ayant souscrits un régime complémentaire de pension,
Collecter les données requises et les transmettre le cas échéant à l’inspection générale de la sécurité sociale selon la loi modifiée du 08/06/1999 relative aux régimes complémentaires de pension. Si applicable, ce traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement PECOMA est soumis,
Collecter les données requises et les transmettre le cas échéant aux auditeurs externes dans le cadre de travaux requis par la loi modifiée du 08/12/1994 sur les comptes annuels des entreprises d’assurances et de réassurances. Ce traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis,
Prévenir ou détecter tout risque de fraude ou délit financier,
Gérer la relation commerciale avec les employeurs des affiliés ayant souscrits un régime complémentaire de pension, et
Correspondre ave des avocats, conseillers ou tout autre intervenant afin de protéger les droits et intérêts de PECOMA Actuarial and Risk S.A.

Parfois, il peut arriver que les personnes concernées aient exprimé leur volonté de ne pas voir leurs données utilisées mais que le responsable du traitement soit tout de même dans l’obligation de les utiliser pour différentes raisons. Dans un tel cas de figure, le responsable du traitement continuera à les utiliser si (i) la loi l’y oblige, (ii) il doit exécuter une obligation contractuelle ou une mesure précontractuelle, (iii) il est dans l’intérêt public de le faire ou (iv) il a un intérêt légitime à le faire.

5. Fourniture de données personnelles

Si les personnes concernées par les données personnelles n’autorisent plus le traitement de leurs données personnelles par les responsables du traitement pour les finalités suivantes :
Apprécier les risques, préparer, établir, gérer, d’exécuter les contrats d’assurance,
Transmettre les données personnelles à des institutions / organismes qui ont légalement le droit de les demander,
Prévenir ou détecter tout risque de fraude ou délit financier,
Gérer la relation commerciale avec ses clients, hormis la prospection commerciale, ceci entraîne la résiliation du contrat et, le cas échéant, le paiement par le responsable du traitement de la valeur de rachat au moment de la résiliation pour les produits ayant une valeur de rachat, sous déduction des frais éventuellement dus. Par conséquent, l'exigence de fourniture de données personnelles a un caractère contractuel et elle conditionne la conclusion du contrat.

En vue d’informer sur des produits ou services d’assurance, si les personnes concernées par les données personnelles s’opposent au traitement, alors elles ne recevront plus d’informations.

6. Prise de décision automatisée, y compris un profilage

Le responsable du traitement est susceptible d’utiliser des systèmes automatisés d’aide à la décision, par exemple lors de contrôles visant à prévenir le risque de fraude, de blanchiment ou de financement du terrorisme. Il est susceptible d’utiliser de tels procédés afin de lui permettre de déterminer si l’activité d'un client ou d'un contrat implique un risque (de fraude ou de délit financier). Par conséquent, des pièces justificatives supplémentaires peuvent être demandées par le responsable du traitement et celui-ci a le droit de ne pas accepter la souscription.

Cependant, les responsables du traitement n’effectuent pas de traitement consistant en une évaluation automatisée basée sur des aspects personnels, à l’exception d’un produit distribué par un intermédiaire d’assurance spécifique. Hormis le produit distribué par un intermédiaire spécifique, toutes les décisions sont prises de façon humaine et de façon non automatisée, en traitant des données personnelles impliquant une intervention humaine. Il existe un séquençage destiné à cibler les campagnes marketing, qui n’implique aucune décision et n’engage en rien les personnes concernées envers les responsables du traitement.

7. Durée de conservation

La durée de conservation des données est limitée à la durée du contrat d’assurance et à la période postérieure pendant laquelle la conservation des données est nécessaire pour permettre aux responsables du traitement de respecter ses obligations en fonction des délais de prescription ou en application d’autres dispositions légales.

Pour les données personnelles collectées de personnes qui ne sont pas clientes auprès des responsables du traitement, ces données personnelles seront supprimées des systèmes après un délai de trois ans après leur dernier contact avec un agent ou un employé d’un responsable du traitement. S’ils donnent leur autorisation explicite de traiter leurs données pendant ce délai, cette période sera prolongée de trois ans.

8. Droits relatifs aux données personnelles

Les personnes concernées par les données personnelles détenues par le responsable du traitement disposent d’un droit de demander au responsable du traitement l'accès aux données personnelles, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif aux données personnelles, ou du droit de s'opposer au traitement et du droit à la portabilité des données. Ces personnes peuvent exercer ces droits en adressant une demande, pour toutes les entités à dpo@lalux.lu, excepté pour PECOMA à dpo@pecoma.lu.

Les personnes concernées disposent également de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle à l’égard de la protection des données à caractère personnel.

9. Responsabilités

9.1
Le responsable du traitement doit :
Gérer et traiter correctement les données personnelles
Protéger la vie privée des personnes concernées
Permettre à une personne concernée d'accéder à toutes les données personnelles la concernant détenues par le du responsable du traitement.

9.2
Le responsable du traitement a la responsabilité légale de se conformer à la règlementation.

Le responsable de traitement détient et utilise des données personnelles. Il décide comment et pourquoi l'information est utilisée et a la responsabilité d'établir des pratiques et des politiques conformes à la règlementation. LALUX est une marque du Groupe LA LUXEMBOURGEOISE 09.01.2019 | page 4 / 5

9.3
Chaque membre du personnel et chaque agent du réseau LALUX qui détient des données personnelles doit se conformer à la règlementation sur la protection des données personnelles lorsqu'il gère ces données.

9.4
Les sous-traitants du responsable du traitement qui détiennent des données personnelles doivent se conformer à la règlementation sur la protection des données personnelles lorsqu'ils gèrent ces données.

9.5
Le responsable du traitement s'engage à respecter les principes de la protection des données, Voir section 2.

Cette politique est susceptible d’évoluer ou d’être modifiée, en vue notamment de se conformer aux évolutions règlementaires, législatives, jurisprudentielles ou technologiques et d’inviter la personne concernée à la consulter régulièrement.

Pour toute question / demande relative à la protection des données personnelles, merci d’envoyer un message à dpo@lalux.lu.