Employee Benefits
AG EB ONLINE
FORMULAIRES
Menu
en fr nl
PARTICULIERS INDÉPENDANTS ET PME EMPLOYEE BENEFITS
EMPLOIS NEWSROOM À PROPOS D'AG INSURANCE
AG EB ONLINE
en fr nl
CONTACT FORMULAIRES
Menu

Publié le 31-05-2018

PARTAGEZ

FAQ - GDPR : impact sur votre plan de pension complémentaire et/ou votre assurance maladie liée à l’activité professionnelle

​​​

1
Pourquoi une convention sur le traitement des données à caractère personnel ?

La relation tripartite entre AG Insurance (l’organisme de pension/assureur), l’employeur (l’organisateur/preneur d’assurance) et les affiliés en faveur desquels est souscrite l’assurance est caractéristique des engagements de pension complémentaire/assurances maladie liées à l’activité professionnelle. Par conséquent, l’employeur et l’organisme de pension/assureur traitent tous deux des données à caractère personnel (‘personal data’) et travaillent en étroite collaboration. Il est indiqué d’établir des accords concrets à ce sujet. Toutefois, selon le GDPR, il est très important que la personne concernée sache à qui elle doit s’adresser pour pouvoir exercer ses droits.

C’est pourquoi l’annexe à votre assurance (de groupe) prévoit un accord clair et transparent concernant le traitement des données à caractère personnel. Cet accord garantit une protection efficace des personnes concernées en toute conformité avec le GDPR. Dans ce but, il est donc aussi important que vous nous renvoyiez cette annexe signée.

Cette annexe vaut pour tous les plans de pension complémentaire/assurances maladie liées à l’activité professionnelle que vous avez souscrits en tant qu’employeur chez AG Insurance et sera ajoutée à votre assurance (de groupe).

Nos conditions générales ont également été adaptées afin de les mettre en conformité avec le GDPR.

2
Qu’est-ce que le GDPR ?

​Le règlement général sur la protection des données entrera en vigueur le 25 mai 2018.
Ce règlement européen, plus connu sous sa dénomination anglaise General Data Protection Regulation (GDPR), modifie les règles à suivre en matière de protection de la vie privée et les harmonise pour tous les États-membres de l’Union européenne. Toute organisation qui traite des données à caractère personnel devra respecter le GDPR.

3
Quelles données à caractère personnel AG Insurance traite-t-elle et pour quelles finalités ?

En tant qu’employeur, lorsque vous souhaitez offrir à vos collaborateurs – et le cas échéant aux membres de leur famille – l’avantage extralégal d’une pension complémentaire ou d’une assurance soins de santé/incapacité de travail, vous pouvez souscrire une assurance (de groupe) chez AG Insurance. Dans le but d’exécuter cette assurance, vous partagez des données à caractère personnel avec AG Insurance. Cette dernière peut également recevoir des données à caractère personnel directement de la part de la personne concernée (‘data subject’) ou de tiers. Sans le traitement (‘processing’) de ces données à caractère personnel, AG Insurance ne sera pas en mesure d’affilier la personne concernée au plan de pension ou à l’assurance maladie liée à l’activité professionnelle. Ces données sont également nécessaires afin de pouvoir verser le capital de pension lors de la mise à la retraite ou de rembourser les frais d’hospitalisation.

Quelles données à caractère personnel AG Insurance peut-elle traiter ?

Dans le cadre de l’engagement de pension et/ou de l’assurance maladie liée à l’activité professionnelle, AG Insurance a besoin des données à caractère personnel suivantes : 

  •  données d’identification et de contact
  • données financières (telles que le salaire pour le calcul des cotisations et/ou de la rente d’invalidité) 
  • caractéristiques personnelles (par exemple, l’âge)
  • dans certains cas, la composition du ménage

Dans certains cas, la personne concernée devra répondre à un questionnaire afin que le risque soit accepté. Il est donc possible, dans ce cadre, qu’AG Insurance doive recueillir les données suivantes :

  • données relatives à la santé
  • profession et emploi, habitudes de vie
  • situations et comportements à risque

Dans certains cas tout à fait exceptionnels, et pour autant qu’il existe une loi nous offrant les garanties appropriées, AG Insurance peut traiter les données sensibles suivantes :

  • données judiciaires (par exemple, en cas de blanchiment d’argent)

Pour quelles finalités AG Insurance traite-t-elle les données à caractère personnel ?

Ensemble avec vous, nous traitons les données à caractère personnel pour les finalités suivantes:

  • la gestion de la pension complémentaire sur la base de la législation (Loi relative aux Pensions Complémentaires) ;
  • la gestion de l’assurance maladie liée à l’activité professionnelle sur la base de l’exécution du contrat.
    AG Insurance peut également traiter les données à caractère personnel pour les finalités suivantes:
  • la gestion du fichier des personnes pour l’exécution du contrat d’assurance ;
  • l’établissement de statistiques, la détection et la prévention d’abus et de fraude, la constitution de preuves, la sécurité des biens, des personnes, des réseaux et des systèmes informatiques d’AG Insurance, l’optimisation des processus (par exemple, en matière d’évaluation et d’acceptation d’un risque), et ce, sur base de l’intérêt légitime d’AG Insurance ; 
  • la fourniture de conseils, par exemple en matière de constitution de pension et quant aux options à la mise à la retraite, et ce, sur base de l’intérêt légitime d’AG Insurance, à moins que la personne concernée ne s’y oppose ;
  • la prospection sur base des données obtenues dans le cadre de l’assurance maladie liée à l’activité professionnelle, et ce, sur base de l’intérêt légitime d’AG Insurance, à moins que la personne concernée ne s’y oppose.

Pour chaque traitement, seules les données pertinentes à la réalisation de la finalité poursuivie seront traitées.
Si cela s’avère nécessaire afin d’atteindre les finalités précédemment citées, ces données pourront être partagées par AG Insurance avec des tiers tels qu’un intermédiaire d’assurances, conformément au GDPR.

4
AG Insurance n’est donc pas sous-traitant de l’employeur ?

​Selon la relation tripartite et les obligations spécifiques qui incombent à AG Insurance dans le cadre de ces assurances, AG Insurance n’exerce pas que de simples fonctions exécutives. À l’exception de quelques activités bien spécifiques, AG Insurance ne peut donc pas être considérée comme un sous-traitant (‘processor’) des données à caractère personnel (ce qui signifierait par ailleurs qu’AG Insurance n’aurait aucune obligation directe à l’égard des affiliés ou bénéficiaires concernant l’exercice de leurs droits).

5
Quelles sont vos obligations relatives au GDPR ?

En tant qu’employeur, vous traitez des données à caractère personnel entre autres pour l’administration de votre personnel. Pour tous vos traitements de données, aussi en vue d’autres finalités, vous devrez respecter le GDPR.

Que devez-vous faire pour les assurances liées à l’activité professionnelle que vous avez souscrites auprès d’AG Insurance ?

Informer
Le GDPR vous oblige à informer les affiliés sur les données (nom, prénom, adresse…) que vous traitez, les finalités de leur traitement (administration du personnel…) ainsi aux quels partenaires (secrétariat social…) vous partagez ces données (‘information to data subject’).
 
Vous devez donc également les prévenir que des données à caractère personnel seront partagées et traitées par AG Insurance dans le cadre de la pension complémentaire et/ou de l’assurance maladie liée à l’activité professionnelle que vous avez souscrite(s) en leur faveur.

Sur quoi devez-vous informer ?

  • La communication de données à caractère personnel à AG Insurance
  • Les finalités auxquelles sont destinées les données à caractère personnel et la base juridique pour le traitement 

Vous retrouvez ces informations à la question 3 ou dans les conditions générales que vous avez reçues avec l’accord relatif au traitement des données (voir question 1)

Le droit : 

  • de prendre connaissance des données traitées et, si nécessaire, de les faire corriger ; 
  • de s’opposer au traitement des données, limiter le traitement des données, faire supprimer les données ;
  • lorsqu’un consentement est demandé pour le traitement des données, de retirer à tout moment son consentement sans que cela ne porte préjudice à la légalité du traitement sur la base du consentement avant retrait de celui-ci ; 
  • d’introduire une plainte auprès d’une autorité de contrôle. 
  • Transmettre les coordonnées de notre Data Protection Officer (DPO) : voir question 7


Comment procéder concrètement ?

  • Vous pouvez expliquer sur votre Intranet comment AG Insurance traite les données. Si vous proposez un aperçu des avantages du personnel, vous pouvez alors aussi y indiquer ces informations. 
  • Vous pouvez indiquer dans une clause d’informations générale aux quels partenaires et pour quelles finalités vous partagez les données à caractère personnel. Vous pouvez par exemple le mentionner dans votre déclaration de confidentialité. 
  • Pour les nouvelles affiliations, vous pouvez ajouter une clause d’informations aux documents d’affiliation.
     
    Données relatives à la santé (‘health data’)
    Dans le cadre de la pension complémentaire et/ou des assurances maladie liées à l’activité professionnelle, il est possible qu’AG Insurance traite des données relatives à la santé. Étant donné qu’il s’agit de données sensibles, AG Insurance y porte toujours un intérêt particulier et veille à ce que leur traitement se fasse avec le consentement explicite des personnes concernées.

Afin de pouvoir traiter efficacement une affiliation/un sinistre, nous vous demandons d’obtenir le consentement explicite (‘explicit consent’) des affiliés (assuré principal et assurés secondaires) pour le traitement de leurs données de santé par AG Insurance. Il suffit d’obtenir ce consentement explicite qu’une seule fois.

Le recueil du consentement explicite est nécessaire par exemple pour pouvoir bénéficier de la garantie décès de l’assurance de groupe ou du remboursement de frais médicaux. Si vous avez souscrit que la garantie vie, il ne faut pas obtenir le consentement explicite.

Les affiliés ont le droit de retirer leur consentement pour le traitement des données relatives à la santé à tout moment. Toutefois, cela peut avoir pour conséquence qu’AG Insurance ne pourra donner suite à la demande d’intervention et/ou ne pourra pas exécuter la relation contractuelle.

Les données relatives à la santé confiées par les affiliés à AG Insurance sont traitées de manière strictement confidentielle par cette dernière sous le contrôle d’un professionnel des soins de santé.

Concrètement, comment procéder ?
Vous pouvez obtenir le consentement explicite en faisant signer un formulaire (en ligne) pour accord destiné à cet effet. Vous pouvez utiliser ce template (en fonction d’avoir souscrit une pension complémentaire et/ou une assurance maladie liée à l’activité professionnelle, vous pouvez supprimer dans ce template ce qui ne convient pas).
• Vous pouvez mettre ce formulaire à disposition sur votre intranet.
• Pour les nouveaux affiliés, vous pouvez ajouter ce formulaire aux documents qui seront transmis lors de l’entrée en service ou de l’affiliation.

6
Comment AG Insurance protège-t-elle les données à caractère personnel recueillies ?

Étant donné la nature de ses activités, AG Insurance est fortement dépendante de ses informations et systèmes d’information. Il est donc essentiel que ces informations soient protégées de façon appropriée contre toutes les menaces identifiables, internes ou externes, volontaires ou involontaires.

Afin de répondre à ces exigences, AG Insurance a instauré un Système de gestion pour la Sécurité de l’information. Dans ce contexte, la sécurité de l’information au sein d’AG Insurance vise d’abord la protection des informations qu’AG Insurance reçoit, traite et conserve, ainsi que la continuité et la fiabilité des activités quotidiennes.

Plus particulièrement, les objectifs du Système de gestion pour la Sécurité de l’information d’AG Insurance visent à garantir: 

  • la détermination des responsabilités sur le plan de la sécurité de l’information
  • la protection des actifs d’information contre l’accès non-autorisé
  • la confidentialité et la protection continues de l’information
  • l’intégrité et la disponibilité de l’information via des mesures de protection
  • le maintien des activités sensibles de l’entreprise
  • la mise en place de contrôles de sécurité proportionnels afin de protéger les actifs et de faire confiance aux parties concernées
  • la mise en place d’évaluations régulières de la sécurité de l’information afin de sans cesse s’améliorer
  • le contrôle des obligations légales et réglementaires

Preuve de notre engagement en faveur de votre sécurité et du respect de votre vie privée, nous avons obtenu plusieurs certifications externes, différents auditeurs ont approuvé nos comptes et nous procédons à des audits internes réguliers. Voici quelques-unes des certifications obtenues :

International Professional Practices, octroyée à notre département d’audit interne par l’IFACI en 2013
 
Afin de garantir la sécurité de l’infrastructure informatique, AG Insurance fait évaluer et valider ses contrôles de sécurité par Verizon, un leader sur le marché de la sécurité des informations. Les évaluations périodiques suivantes sont effectuées :

  • Évaluation de la politique (annuel)
  • Validation des processus et procédures (annuel)
  • Inspection physique (annuel)
  • Évaluation des risques externes (trimestriel)
  • Évaluation des risques internes (semestriel)
  • Tests de vérification de filtrage des e-mails (semestriel)
  • Évaluation des risques liés aux ordinateurs (semestriel)
  • Évaluation des risques liés à la composition intensive de numéros de téléphone (‘war dialing’) (semestriel)

Évaluation du réseau sans fil (semestriel)
AG Insurance a reçu la certification Verizon Cybertrust Enterprise à plusieurs reprises depuis 2010, dernière certification obtenue en 03/2018. Compte tenu de l’attention croissante sur le GDPR et la sécurité de l’information, Verizon finalise actuellement une nouvelle évaluation de sécurité qui devrait déboucher sur le renouvellement de notre certification dans les semaines à venir.

  • ISAE 3402, octroyée en 2012 pour la gestion des fonds de pension.
  • En mars 2019, le département IT d’AG Insurance a obtenu la certification ISO 27001:2013, une norme reconnue internationalement en matière de sécurisation des informations. Cette accréditation démontre qu’AG Insurance répond aux meilleures pratiques à adopter en matière de système de gestion de la sécurité de l'information.
7
À qui les affiliés peuvent-ils adresser leurs questions concernant le traitement des données par AG Insurance?

AG Insurance possède un point de contact pour les affiliés et bénéficiaires ayant des questions sur le traitement de leurs données à caractère personnel par AG Insurance ou qui souhaitent exercer leurs droits sur la base du GDPR. Ils peuvent s’adresser à notre Data Protection Officer (DPO). Si vous recevez des questions relatives au traitement des données à caractère personnel par AG Insurance de la part d’affiliés, vous pouvez contacter notre DPO :
AG Insurance – Data Protection Officer
Boulevard Emile Jacqmain, 53 1000 Bruxelles
AG_DPO@aginsurance.be

 

8
En tant qu’employeur, à qui pouvez-vous poser vos questions ?

Le Data Protection Officer ne traite que les questions des personnes concernées relatives à leur vie privée.

 

Pour plus d'informations sur la façon dont AG Insurance traite les données à caractère personnel, consultez les conditions générales ainsi que notre notice vie privée sur www.aginsurance.be. Si vous avez encore des questions, vous pouvez envoyer un email à GDPR.Campaign@aginsurance.be.

Solutions

Saviez-vous que

Moments-clés

Outils