Protection des données

Généralités

La présente politique de protection des données s'applique au traitement des données personnelles collectées sur le site Internet css.ch et des données recueillies en rapport avec tous les produits et services des sociétés du Groupe CSS (en particulier CSS Assurance-maladie SA, CSS Assurance SA et CSS Assurance-vie SA; ensemble «la CSS» ou «nous»).

Dans la présente politique de protection des données, nous expliquons comment nous collectons et traitons les données personnelles. Des indications supplémentaires concernant des traitements de données spécifiques figurent dans la politique relative aux cookies, les règlements et les conditions générales d'assurance, les conditions de participation, les déclarations de consentement et d'autres documents.

La présente politique de protection des données couvre nos activités de traitement des données concernant les personnes physiques, y compris les personnes qui s'intéressent à un produit ou à des services de la CSS, les personnes qui sont ou ont été assurées auprès de la CSS ou qui sont bénéficiaires ou autrement impliquées dans une assurance de la CSS, qui interagissent avec la CSS dans le cadre de leur activité pour le compte de fournisseurs de prestations, d'autorités et d'offices publics, ainsi que concernant les utilisatrices et utilisateurs des sites Internet, applis et autres offres numériques de la CSS.

Responsable, conseiller à la protection des données, représentation

Responsable

La société de la CSS qui est votre partenaire contractuel est responsable du traitement des données relatives à votre contrat d'assurance. La CSS Assurance-maladie SA est responsable de tous les autres traitements.

Si plusieurs sociétés de la CSS sont conjointement responsables d'un traitement particulier, nous le signalons séparément.

Conseiller à la protection des données

Nous avons nommé un conseiller à la protection des données. En cas de questions ou de préoccu-pations concernant la protection des données, n’hésitez pas à nous contacter aux coordonnées suivantes:

CSS
Conseiller à la protection des données
Tribschenstrasse 21
Case postale 2568
CH-6002 Lucerne
E-mail: datenschutz@css.ch

Représentation pour les questions de protection des données au sein de l’UE ou qui entrent dans le domaine d’application du RGPD

Dans le cadre de nos activités de traitement des données entrant dans le domaine d’application du règlement général sur la protection des données (RGPD) de l’Union européenne, Martina Schmid est notre représentante au sens de l’art. 27 du RGPD. Martina Schmid est joignable aux coordonnées suivantes:

Martina Schmid
BWO GmbH
Bauernwaldstrasse 77
D-70195 Stuttgart
E-mail: privacy-eu@css.ch

Quelles sont les données personnelles traitées par la CSS?

On entend par «données personnelles» toutes les informations se rapportant à une personne physique identifiée ou identifiable. Selon la nature de votre relation avec nous (p. ex. preneur d'assurance, personne assurée, bénéficiaire, ayant droit économique, payeur de primes) et, le cas échéant, selon le type de produits, nous pouvons traiter notamment les catégories de données personnelles suivantes:

• Données vous concernant: en particulier nom, informations de contact et financières, date et lieu de naissance, adresse, langues, appartenance familiale, nationalité, canton et commune de résidence, numéro de téléphone, adresse e-mail, sexe, profession, renseignements issus des données d'identification (p. ex. passeport, carte d'identité), photos, lieu de séjour, numéro AVS, numéro de contrat et d'assuré, signature, curatelle;
• Données relatives au contrat: notamment relations bancaires, données contractuelles relatives au traitement des paiements (p. ex. numéros de compte), versements de primes et éventuelles réductions de primes, arriérés et rappels; produit d'assurance, nature et étendue des prestations, dates d'entrée et de sortie de l'assurance, suspensions et franchises;
• Evaluations des risques vous concernant et concernant l'objet assuré lors de l'examen des propositions, en particulier informations sur les assurances antérieures et les autres assurances ainsi que sur les cas d'assurance survenus; profession et données relatives à la santé et, dans certaines circonstances, indications permettant de déterminer votre solvabilité;
• Données pour le traitement des droits aux prestations: dans le domaine de l'assurance-maladie (assurance de base) ainsi que des assurances selon la LCA, nous traitons en particulier les informations suivantes: demandes de remboursement, données de facturation et données de santé. Il s'agit notamment de données relatives au diagnostic et au traitement, de rapports médicaux et d'autres informations qui nous sont transmises par des médecins, des hôpitaux, des pharmacies ou d'autres fournisseurs de prestations. Pour les autres produits d'assurance, il s'agit de données relatives aux objets, bâtiments ou activités assurés et, le cas échéant, à leur financement, ainsi qu'au traitement des sinistres, par exemple la déclaration de sinistre, le numéro de sinistre, les données en rapport avec l'examen du sinistre, le nombre de sinistres et les données relatives aux tiers, comme les personnes lésées et les personnes impliquées;
• Données de communication: notamment les informations sur le canal de communication préféré, les informations et le contenu de la correspondance par courrier, e-mail, téléphone, via myCSS ou par d'autres canaux de communication, ainsi que les enregistrements relatifs à la satisfaction de la clientèle. Les conversations téléphoniques et vidéo peuvent être enregistrées à des fins de traçabilité, d'assurance qualité, de formation et de preuve. Si une telle conversation est enregistrée, une information à cet effet le mentionnera expressément;
• Données en rapport avec l'utilisation du site Internet ou du portail client myCSS: notamment adresse IP et autres identificateurs d'appareils, données d'accès (y compris mots de passe), date, heure et nombre de visites du site Internet ainsi que pages et contenus consultés, pages Internet comportant des liens vers les sites de la CSS; cookies. Vous trouverez de plus amples informations sur les cookies utilisés et les technologies similaires dans la politique relative aux cookies;
• Données en rapport avec les activités de marketing: notamment préférences et intérêts personnels, inscriptions et désinscriptions aux newsletters, communications marketing transmises et réactions à ces communications.

Nous collectons les données personnelles des individus concernés avant tout dans le cadre d'une relation commerciale existante ou à venir avec des personnes assurées, des clientes et clients et d'autres partenaires commerciaux, des fournisseurs de prestations et des prestataires de services ou lors de l'utilisation de nos sites Internet, applis et autres outils similaires par les utilisatrices et utilisateurs. Cela se fait par exemple via des formulaires de contact et de proposition, dans le cadre de la correspondance par e-mail ou par courrier, par téléphone, lors de la participation à des jeux-concours et à des enquêtes ainsi que dans le cadre de relations contractuelles, comme lors de la vérification des prestations ou au moment des paiements.

Dans certaines situations, nous collectons également des données personnelles auprès de tiers, par exemple des fournisseurs de prestations, des partenaires commerciaux, des assureurs sociaux dans le cadre de l'entraide administrative, d'autres assureurs privés, de curateurs, de représentants légaux ou de sources publiques. Vous trouverez des informations sur les différents types de collecte de données dans le chapitre «Rapport d'assurance».

Si vous nous communiquez des données concernant des tiers, nous partons du principe que vous avez l'autorisation de le faire et que ces données sont exactes. Par la transmission de ces données, vous le confirmez expressément. Merci d'informer alors les tiers concernés que nous allons traiter leurs données et leur remettre une copie de la présente politique de protection des données. Si nous vous informons de l'existence d'une nouvelle version de ce document, merci de leur faire également parvenir cette nouvelle version.

A quelles fins traitons-nous vos données personnelles?

Consultation des sites Internet de la CSS

Données collectées automatiquement

Lors de la consultation de ses sites Internet, la CSS collecte, sauvegarde et utilise des données techniques ainsi que certaines données d'utilisation. En cas d'accès à nos sites Internet, les données suivantes sont enregistrées dans des fichiers journaux: adresse IP; informations générales sur le système d'exploitation et le navigateur utilisés, modèle d'appareil utilisé (API), date, heure et durée de la consultation; demande dans le navigateur; add-ons utilisés; source des visiteurs (site Internet comportant des renvois); informations générales sur le comportement en ligne, telles que cliquer sur des bannières publicitaires, remplir des formulaires ou télécharger des fichiers.

Nous utilisons ces données afin d'améliorer l'expérience de navigation, notamment en personnalisant nos sites Internet. Les données collectées nous permettent de mettre à disposition les services proposés sur nos sites. Elles servent aussi de base à des évaluations.

Formulaires

Les données que vous envoyez à la CSS via des formulaires sur ses sites Internet sont transmises sous forme cryptée conformément à l'état actuel de la technique. Ces données sont utilisées au sein de la CSS dans un but précis, pour le traitement de l'offre et à des fins de marketing (à l'exception de l'assurance de base).

Si vous êtes déjà client de la CSS ou que vous souhaitez le devenir, nous pouvons associer les données personnelles collectées que vous mettez à notre disposition via le site Internet à celles déjà disponibles.

Calculateur de primes et demande en ligne

Lorsque vous saisissez vos données dans le calculateur de primes, vous acceptez que la CSS vous contacte par téléphone ou d'une autre manière dans le cadre de l'établissement d'une offre. Vos données personnelles ne nous seront transmises que si vous remplissez intégralement le formulaire de contact électronique en communiquant vos données personnelles et que vous allez jusqu'au terme de la procédure. Vous trouverez des informations détaillées sur le traitement des données en rapport avec la proposition et la conclusion de l'assurance dans le formulaire de proposition correspondant et dans les informations à la clientèle de votre assurance ainsi que dans la fiche d'information relative à la protection des données ci-jointe.

Dans la mesure où, pour traiter votre demande via Internet / par téléphone ou pour traiter le contrat, des prestations de tiers sont nécessaires, nous transmettons vos données à un partenaire prestataire mandaté par nos soins. En nous communiquant vos données, vous nous autorisez à procéder de la sorte. Ce partenaire est lié contractuellement à la CSS et soumis de la même manière aux dispositions en matière de protection des données.

Conversation en direct via un assistant numérique (SIA)

Lors de l'utilisation de la conversation en direct, les données saisies sont traitées afin de répondre rapidement aux questions et d'améliorer l'expérience de navigation. Ces données sont également traitées, entre autres, à l'aide de l'intelligence artificielle (IA). Vous trouverez de plus amples informations dans la politique relative aux cookies.

Rapport d’assurance

Assurance de base selon la loi sur l’assurance-maladie (LAMal)

Les informations contenues dans cette section s’appliquent aussi bien au modèle standard qu’aux modèles alternatifs. Dans le cadre de l’assurance de base, nous traitons les données conformément aux bases légales correspondantes, en particulier aux fins mentionnées à l’art. 84 LAMal, notamment pour:

• veiller au respect de l’obligation de s’assurer;
• calculer et percevoir les primes;
• établir le droit aux prestations, les calculer, les allouer et les coordonner avec celles d’autres assurances sociales;
• établir le droit à des réductions de primes, les calculer et les verser;
• faire valoir une prétention récursoire contre le tiers responsable;
• établir des statistiques;
• attribuer ou vérifier le numéro d’assuré AVS;
• calculer la compensation des risques.
  

Modèles alternatifs d’assurance dans l’assurance de base

Outre le modèle standard, des modèles alternatifs sont proposés dans le cadre de l’assurance de base. Voici les précisions utiles à ce sujet:

Modèles du médecin de famille: En souscrivant l’assurance du médecin de famille, les personnes assurées acceptent d’accorder à leur médecin coordinateur l’accès aux données relatives à leur diagnostic, à leur traitement et à la facturation de leurs soins médicaux nécessaires pour ce modèle d’assurance. Cette forme d’assurance nécessite en outre un échange de données entre le médecin coordinateur, la CSS et d’éventuels tiers.

Il s’agit de données relatives au diagnostic des assurés, à leur traitement et à la facturation de leurs soins. Ces données sont communiquées notamment aux spécialistes, aux hôpitaux et aux autres personnes et institutions qui prennent part à la fourniture de prestations médicales et organisationnelles en vue de l’exécution du contrat ou lors d’un changement de médecin coordinateur.

Modèles Telmed: En concluant un modèle Telmed, les personnes assurées acceptent que la CSS traite leurs données personnelles afin de déterminer la prime, de gérer les sinistres et de procéder à des évaluations statistiques.

La CSS peut, dans la mesure où cela est requis et autorisé légalement, communiquer des données à des tiers autorisés (p. ex. des coassureurs ou des réassureurs). Dès lors que la loi le permet, la CSS peut en outre demander aux fournisseurs de prestations, à d’autres assureurs et aux autorités de lui transmettre les données dont elle a besoin pour clarifier le droit aux prestations.

Dans le cadre de cette forme d’assurance, la CSS fournit au centre de télémédecine les données de la personne assurée nécessaires à l’exécution du contrat, notamment numéro d’assuré, nom, prénom, date de naissance, sexe, adresse, décomptes de prestations et informations sur la couverture d’assurance.

Le centre de télémédecine fournit à la CSS les données nécessaires pour vérifier le droit aux prestations, en particulier les informations relatives au moment de l’appel téléphonique et à la recommandation émise. Les données de santé de la personne assurée sont exclusivement communiquées au service du médecin-conseil de la CSS.

Multimed: En concluant l’assurance Multimed, les personnes assurées acceptent que la CSS traite leurs données personnelles afin de déterminer la prime, de gérer les sinistres et de procéder à des évaluations statistiques concernant Multimed. La CSS peut, dans la mesure où cela est nécessaire et autorisé par la loi, communiquer des données à des tiers autorisés (p. ex. fournisseurs de prestations, autres assureurs et autorités) ou se procurer des données auprès de ceux-ci.

Les données nécessaires au traitement peuvent être consultées par l’ensemble des personnes qui prennent part au traitement (fournisseurs de prestations ou partenaires de coordination) et peuvent notamment être échangées ou traitées entre ces personnes pour assurer la qualité et garantir un traitement optimal. Il s’agit notamment de données relatives au diagnostic de la personne assurée, à son traitement et à la facturation.

Modèle HMO / Assurance Cabinets de santé (ACS): En concluant l’assurance Cabinets de santé (modèle HMO), les personnes assurées acceptent d’accorder à leur médecin coordinateur l’accès aux données relatives à leur diagnostic, à leur traitement et à la facturation de leurs soins médicaux nécessaires pour ce modèle d’assurance. Cette forme d’assurance nécessite en outre un échange de données entre le médecin coordinateur, la CSS et d’éventuels tiers.

Il s’agit de données relatives au diagnostic des personnes assurées, à leur traitement et à la facturation. Ces données sont communiquées notamment aux spécialistes, aux hôpitaux et aux autres personnes et institutions qui prennent part à la fourniture de prestations médicales et organisationnelles en vue de l’exécution du contrat ou lors d’un changement de médecin coordinateur.

Assurances selon la loi sur le contrat d’assurance (LCA)

La CSS propose notamment les assurances suivantes selon la LCA:

Assurances-maladie complémentaires

• Assurances pour médecine alternative
• Assurances ambulatoires
• Assurances hospitalisation
• Assurances pour soins dentaires
  

Assurances spéciales

• Assurances de choses (inventaire du ménage, bâtiments)
• Assurances responsabilité civile
• Assurances de capital en cas de maladie ou d’accident
• Assurances voyages
• Assurances de protection juridique
  

Assurances-vie

• Plan de prévoyance
• Assurance en cas de décès
• Assurance en cas d’incapacité de gain
• Plan de placement
• Plan de versement
• Assurances de capital en cas de maladie ou d’accident

La CSS traite les données issues des documents (pré)contractuels ou de l’exécution du contrat ou qu’elle a obtenues de tiers, et les utilise en particulier pour exécuter l’assurance, notamment pour déterminer la prime, clarifier le risque, traiter les cas d’assurance et pour des évaluations statistiques.

Dans la mesure nécessaire, la CSS peut transmettre des données pour traitement aux tiers impliqués dans l’exécution du contrat, en particulier aux sociétés de la CSS ainsi qu’aux institutions de prévoyance, aux assureurs, coassureurs, réassureurs et assureurs sociaux, aux tiers responsables ou à leurs assureurs responsabilité civile, au personnel médical et à leurs personnes auxiliaires, ainsi qu’aux autorités chargées des enquêtes pénales, à la police et à d’autres autorités en Suisse et à l’étranger. En cas de soupçons de délit contre le patrimoine ou de faux dans les titres et dans les cas où la CSS se départ du contrat en raison d’une prétention frauduleuse (art. 40 LCA), une déclaration peut être effectuée à l’Association Suisse d’Assurances (ASA) en vue d’une inscription dans le système d’information central (ZIS).

Pour l’examen du droit aux prestations, la CSS peut transmettre les données aux mandataires. En outre, la CSS peut demander des renseignements utiles aux services administratifs et autres tiers (p. ex. fournisseurs de prestations, assureurs ou leurs services médicaux). Cela est valable que le contrat correspondant soit ou non conclu.

Traitement de données à d’autres fins

Offres et services de santé

Pour les offres et services de santé, nous traitons les données nécessaires à leur exécution. Pour l’offre «coaches de santé», il s’agit par exemple de données supplémentaires de coaching (notamment le sujet de coaching, le plan de coaching, le plan de sécurité, l’anamnèse).

Traitements à des fins publicitaires

Nous pouvons traiter des données personnelles à des fins de marketing, y compris pour promouvoir des assurances, des produits et des services par voie électronique, téléphonique ou postale. Les données personnelles ne sont pas vendues à des tiers à des fins marketing. Vous trouverez de plus amples informations sur la divulgation des données personnelles dans le chapitre «Transmission à des tiers».

Participation à des jeux-concours, à des manifestations publicitaires, à des événe-ments de parrainage et à des activités similaires

Nous collectons et traitons des données personnelles lorsque vous participez à des jeux-concours, à des manifestations publicitaires, à des événements de parrainage ou à des activités similaires. La nature et l’étendue des données personnelles traitées dans ce cadre sont spécifiées dans les condi-tions de participation correspondantes. Nous y indiquons également l’objet et l’étendue des éven-tuels consentements requis.

Utilisation du Wi-Fi

Lorsque vous utilisez dans nos locaux un réseau wifi que nous mettons à votre disposition, vous devez vous inscrire en indiquant votre nom et votre numéro de téléphone mobile ou votre adresse e-mail. Nous collectons alors des données spécifiques à l’appareil et à l’utilisation, en particulier la date, l’heure et la durée de la connexion.

Zones sous vidéosurveillance

Nous procédons à des enregistrements vidéo dans certains locaux de la CSS, identifiés comme tels, ou dans les environs. Nous traitons les données qui en résultent dans le but de garantir la sécurité de nos collaboratrices et collaborateurs et à des fins de preuve. En cas de suspicion d’infractions pénales, nous pouvons mettre les enregistrements à la disposition des autorités pénales, dans le cadre des dispositions légales.

Etudes, science et demandes officielles

Nous traitons les données personnelles afin de les utiliser à des fins scientifiques (notamment pour des études) et pour répondre aux demandes des autorités. Dans la mesure du possible, ces données personnelles sont utilisées sous forme anonymisée.

Gestion de la sécurité

Afin d’assurer la sécurité des locaux et des collaboratrices et collaborateurs de la CSS, nous traitons les données relatives aux personnes qui constituent une menace pour ceux-ci. Nous tenons par exemple une liste des personnes interdites d’accès.

Comptabilité, constitution de réserves

Nous traitons les données personnelles afin d’assurer une comptabilité conforme et de pouvoir calculer et verser des indemnités au titre des contrats d’assurance et, le cas échéant, d’en réclamer le remboursement.

Bases juridiques en cas d’applicabilité du RGPD

Dans la mesure où le traitement des données personnelles par la CSS est soumis au RGPD, le traitement de vos données personnelles repose sur une ou plusieurs des bases juridiques suivantes.

Préparation et exécution du contrat

La plupart des données que nous traitons sont nécessaires à l’exécution de nos obligations contractuelles à votre égard, par exemple pour la mise en œuvre de l’assurance-maladie obligatoire ou de l’assurance complémentaire. Il en va de même des données de santé, qui sont traitées pour évaluer les cas de prestations. Quant au traitement des données en vue de la conclusion de contrats, y compris l’évaluation des risques, il se fonde sur la nécessité d’exécuter les mesures précontractuelles, et dès lors que nous traitons des données de santé, sur votre consentement distinct.

Obligations légales

L’obligation de traiter des données peut résulter de certaines dispositions légales.

Consentement

Nous pouvons procéder aux traitements de données à d’autres fins sur la base d’un consentement. Si nous vous demandons votre consentement pour certains traitements de données, nous vous informerons spécifiquement des finalités de ce traitement. Vous pouvez révoquer votre consentement à tout moment par écrit; vous trouverez nos coordonnées dans le chapitre «Responsable, conseiller à la protection des données, représentation». A réception de la révocation de votre consentement, nous ne traiterons plus vos données aux fins que vous aviez approuvées initialement, à moins qu’une autre base juridique en autorise le traitement. La révocation de votre consentement n’affecte pas la légalité du traitement effectué sur la base de ce consentement jusqu’à sa révocation.

Intérêts légitimes

Nous traitons des données personnelles en nous fondant sur nos intérêts légitimes, dans la mesure où vos intérêts ne s’y opposent pas et ne prévalent pas, par exemple à des fins administratives et de sécurité, pour vérifier la solvabilité et à des fins d’étude de marché, de marketing, d’amélioration de nos services, de développement des produits et de respect des dispositions du droit suisse.

Que se passe-t-il en cas de profilage?

On entend par «profilage» l’évaluation de certaines caractéristiques d’une personne sur la base de données personnelles traitées de manière automatisée, notamment pour analyser ou prédire la productivité, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le lieu de séjour ou le changement de lieu d’une personne physique.

La CSS utilise de tels traitements automatisés de données, dans la mesure où la loi le permet, à des fins d’analyse et de prévision. Les principaux domaines d’application du profilage sont l’évaluation des risques, le contrôle de la solvabilité, la vérification des prestations, la lutte contre le blanchiment d’argent et le financement du terrorisme, le suivi de la clientèle et, le cas échéant, le marketing. La CSS peut combiner des données comportementales et de préférence, mais également des données de base et contractuelles avec les données techniques qui vous sont attribuées, afin de mieux vous comprendre en tant que personne, avec vos différents intérêts et besoins propres.

La CSS prend-elle des «décisions individuelles automatisées»?

Dans le cadre du processus de demande d’une assurance-vie, la CSS prend des décisions qui reposent exclusivement sur un traitement automatisé et qui conduisent à un refus (décision individuelle automatisée). Il est possible de faire examiner cette décision par une personne physique.

Transmission à des tiers: à qui transmettons-nous vos données personnelles?

Nous transmettons des données personnelles à des tiers afin qu’ils puissent poursuivre leurs propres objectifs dès lors que nous y sommes légalement tenus ou autorisés ou si vous avez donné votre accord en ce sens. Dans de tels cas de figure, les destinataires agissent soit en tant que responsables indépendants (p. ex. des autorités), soit en tant que sous-traitants qui traitent les données à caractère personnel pour notre compte (p. ex. des fournisseurs de services informatiques). Nous ne vendons en aucun cas vos données personnelles à des tiers. Nous ne faisons pas le commerce de vos données personnelles.

En fonction de votre statut actuel ou passé de personne assurée auprès de la CSS, de votre intérêt pour un produit de la CSS, de votre qualité de fournisseur de prestations, d’autorité ou d’utilisatrice ou d’utilisateur du présent site Internet, nous pouvons communiquer des données personnelles aux catégories suivantes de destinataires:

• Nos prestataires de services (p. ex. banques, assurances, conseillers, fournisseurs de services informatiques, prestataires de services dans le domaine du marketing, sociétés de recouvrement et sociétés de renseignement de solvabilité, centre de télémédecine, etc.);
• Intermédiaires;
• Commerçants, fournisseurs, sous-traitants et autres partenaires commerciaux;
• Dans le cadre d’obligations légales, autorités nationales et étrangères, assureurs sociaux et privés, services administratifs ou tribunaux;
• Acquéreurs ou personnes intéressées par l’acquisition de secteurs d’activité, de sociétés ou d’autres composantes de la CSS;
• Autres parties impliquées dans des procédures administratives ou judiciaires potentielles ou effectives;
• Autres sociétés du Groupe CSS, y compris à des fins de marketing telles que la promotion de leurs assurances, produits et services par voie électronique, téléphonique ou postale, dans le respect des restrictions légales en matière de transmission qui s’appliquent par exemple à l’assurance obligatoire des soins, pour le respect des exigences légales, pour la prévention et la lutte contre les abus, ainsi que pour la sécurité de leurs locaux et de leurs collaboratrices et collaborateurs;
• Partenaires de contrats collectifs pour vérifier le droit au rabais.

Ces destinataires peuvent avoir leur siège en Suisse ou à l’étranger. Vous devez notamment vous attendre à ce que vos données soient transférées dans tous les pays où se trouvent les fournisseurs de prestations auxquels nous faisons appel et leurs sous-traitants.

Sécurité des données: comment protégeons-nous vos données personnelles?

Les données présentes dans nos systèmes sont protégées de manière adéquate contre la perte, la modification involontaire, l’utilisation abusive, la falsification et la divulgation ou l’accès non autorisé. Pour ce faire, nous prenons des mesures de sécurité appropriées de nature technique (p. ex. cryptage, pseudonymisation, établissement de procès-verbaux, limitation de l’accès, sauvegarde des données, etc.) et organisationnelle (p. ex. instructions données à nos collaboratrices et collaborateurs, accords de confidentialité, contrôles, etc.). Les collaboratrices et collaborateurs de la CSS sont soumis à une obligation contractuelle et légale de garder le secret (notamment en vertu de l’art. 33 LPGA). Les collaboratrices et collaborateurs de la CSS sont formés et sensibilisés aux questions de protection des données, et les processus de traitement des données sont contrôlés et optimisés en permanence.

La sécurité de nos systèmes est soumise à une vérification permanente, à l’interne comme à l’externe. Le service IT de la CSS a été certifié selon la norme ISO 27001. Cette norme internationale précise les exigences relatives à l’établissement, la mise en œuvre, l’introduction, l’exploitation, la surveillance, l’entretien et l’amélioration d’un système de gestion de la sécurité de l’information. Les autres certifications indiquées ci-dessous soulignent également combien la protection des données est un sujet important pour la CSS:

Le service du médecin-conseil (SMC) de la CSS bénéficie du label de qualité GoodPriv@cy. De plus, il est certifié selon l’ordonnance sur les certifications en matière de protection des données (OCPD).

Conformément à l’art. 59a de l’ordonnance sur l’assurance-maladie, la CSS dispose d’un service certifié de réception des données (selon OCPD et GoodPriv@cy). Les règles standardisées dont elle s’est dotée garantissent, d’une part, la protection des données des personnes assurées à la CSS et ouvrent, d’autre part, la voie à une facturation avec les hôpitaux rapide et orientée sur la clientèle. Ainsi, la CSS peut décompter efficacement et conformément à la loi les factures de type DRG des fournisseurs de prestations stationnaires.

La procédure de réception et de numérisation des documents au format papier et des documents échangés par e-mail ainsi que via l’application et le portail est validée par le certificat GoodPriv@cy, reconnu à l’échelle internationale, et certifiée selon l’OCPD.

Les certificats selon l’OCPD et GoodPriv@cy sont établis par l’Association Suisse pour Systèmes de Qualité et de Management (SQS) de façon indépendante et confirmés dans le cadre de vérifications annuelles.

Durant combien de temps conservons-nous vos données?

Les obligations légales de conservation s’appliquent à l’archivage de vos données personnelles. Certaines données sont soumises à une période de conservation de dix ans après la fin de la relation contractuelle. Pour d’autres, des délais d’archivage plus courts s’appliquent, par exemple pour les enregistrements de vidéosurveillance ou pour les enregistrements de certains processus sur Internet (fichiers journaux).

Nous conservons également les données personnelles si certains aspects exigent qu’elles soient conservées pour une plus longue durée. Cela peut notamment être le cas lorsque nous avons besoin de données personnelles pour faire valoir des droits ou nous défendre contre des prétentions, à des fins d’archivage et pour garantir la sécurité informatique. Dans certains cas, nous pouvons également vous demander votre consentement pour conserver vos données personnelles plus longtemps.

Quels sont vos droits?

Vous disposez en outre des droits énumérés ci-dessous, sous réserve des restrictions prévues par la loi sur la protection des données, pour autant que les conditions légales correspondantes soient remplies et qu’il n’y ait pas de raisons de limiter ou de différer ces droits. Pour toute question concernant l’exercice de vos droits, vous pouvez écrire à l’adresse mentionnée dans le chapitre «Responsable, conseiller à la protection des données, représentation». Pour vous identifier, merci de nous envoyer une copie d’une pièce d’identité officielle (p. ex. passeport ou carte d’identité). Les informations non nécessaires (p. ex. photo, taille, lieu d’origine) peuvent être caviardées.

Renseignements

Vous avez le droit de demander des renseignements sur les données personnelles que nous avons enregistrées.

Rectification

Vous avez le droit de demander à ce que vos données personnelles inexactes ou incomplètes soient rectifiées ou complétées et d’obtenir la confirmation de leur rectification.

Opposition, limitation et suppression

En ce qui concerne le traitement que nous faisons de vos données à des fins de marketing (promotion d’assurances, de produits et de services), vous avez le droit de vous y opposer, d’en exiger la limitation ou de demander la suppression de vos données personnelles.

Modification de la présente politique de protection des données

La CSS se réserve le droit de modifier à tout moment la présente politique de protection des don-nées. La version publiée sur le site Internet de la CSS fait toujours foi.

Abréviations et lois

• Abréviations et lois
• Loi fédérale sur la partie générale du droit des assurances sociales (LPGA)
• Loi fédérale sur la protection des données (LPD)
• Loi fédérale sur la surveillance de l’assurance-maladie sociale (Loi sur la surveillance de l’assurance-maladie, LSAMal)
• Loi fédérale sur l’assurance-maladie (LAMal)
• Loi fédérale sur le contrat d’assurance (LCA)
• Règlement général de l’EU sur la protection des données (RGPD)