• en
  • nl
  • de
  • it
  • tr
  • es
  • zh

Politique de confidentialité

Introduction
Dans le cadre de nos conseils et de la souscription de produits ou services financiers, nous recueillons de nombreuses informations confidentielles auprès de nos clients. Les clients d’InsureToStudy doivent pouvoir compter sur nous pour traiter leurs données avec soin et ne pas les partager avec des tiers sans leur consentement explicite.

Le respect de la vie privée et la gestion rigoureuse des données personnelles sont donc essentiels à un service financier de qualité. La confidentialité est une valeur fondamentale de notre entreprise, partagée par tous les professionnels qui y travaillent.

Pour exercer efficacement nos activités, nous devons parfois partager certaines données personnelles avec des prestataires, comme des assureurs, des réparateurs de dommages ou des parties adverses. Cela fait partie intégrante de notre rôle de prestataire de services financiers. Par ailleurs, nous pouvons être tenus de transmettre certaines informations à des autorités comme l’administration fiscale néerlandaise ou l’Autorité des marchés financiers (Autoriteit Financiële Markten), conformément à la loi.

Nous avons recensé les traitements de données personnelles dans un registre interne. Les clients et autres personnes concernées peuvent en demander une copie. Ce registre fournit des informations sur les données que nous traitons et sur les parties avec lesquelles nous sommes susceptibles de les partager.

Wij hebben de door ons gehouden persoonsadministratie in kaart gebracht en verwerkt in ons intern gehouden verwerkingsregister. Klanten en andere betrokkenen kunnen deze, op verzoek, ontvangen. Hier vinden zij informatie over de gegevens die wij verwerken en over de partijen met wie wij deze gegevens kunnen uitwisselen.

1. Définitions
Dans le présent règlement, les termes suivants sont définis comme suit :

– la loi : le Règlement général sur la protection des données (RGPD) et la loi néerlandaise d’application du RGPD (Uitvoeringswet AVG) ;
– données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable ;
– traitement de données à caractère personnel : toute opération ou ensemble d’opérations portant sur des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, la mise à jour, la modification, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, ainsi que le verrouillage, l’effacement ou la destruction de ces données ;
– fichier : tout ensemble structuré de données à caractère personnel, accessible selon des critères déterminés, que cet ensemble soit centralisé ou réparti de manière fonctionnelle ou géographique, et concernant plusieurs personnes ;
– responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ;
– sous-traitant : la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement, sans être soumise à son autorité directe ;
– personne concernée : la personne physique à laquelle se rapportent les données à caractère personnel ;
– tiers : toute personne autre que la personne concernée, le responsable du traitement, le sous-traitant, ou toute personne placée sous l’autorité directe du responsable ou du sous-traitant et autorisée à traiter les données ;
– destinataire : la personne à laquelle les données à caractère personnel sont communiquées ;
– consentement de la personne concernée : toute manifestation de volonté, libre, spécifique, éclairée et univoque, par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ;
– autorité de contrôle : l’Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) ;
– communication de données à caractère personnel : le fait de rendre des données accessibles ou de les divulguer ;
– collecte de données à caractère personnel : l’acquisition ou la réception de données à caractère personnel.

2. Champ d’application

  1. Le présent règlement s’applique aux traitements de données à caractère personnel effectués, en tout ou en partie, de manière automatisée. Il s’applique également aux traitements non automatisés de données à caractère personnel contenues dans un fichier ou destinées à y figurer.

  2. Ce règlement s’applique au sein d’InsureToStudy et concerne le traitement des données à caractère personnel des clients, des employés et d’autres personnes physiques concernées.

3. Finalité

  1. La collecte et le traitement des données à caractère personnel ont pour objectif de disposer des informations nécessaires à la réalisation des finalités définies dans les statuts, les plans annuels et autres documents stratégiques d’InsureToStudy, ainsi qu’à la poursuite des objectifs légaux et à la mise en œuvre de la politique et de la gestion dans ce cadre.

  2. Les finalités pour lesquelles InsureToStudy collecte et traite des données sont décrites de manière explicite en annexe.

4. Représentation de la personne concernée

  1. Si la personne concernée est mineure et n’a pas encore atteint l’âge de seize ans, ou si elle est majeure mais placée sous tutelle, le consentement de son représentant légal est requis en lieu et place de celui de la personne concernée. Ce consentement doit être consigné par écrit. Si la personne concernée a délivré une procuration écrite autorisant un représentant à agir auprès du responsable du traitement, le consentement du mandataire désigné par écrit est également requis.

  2. Le consentement peut être retiré à tout moment par la personne concernée, son représentant légal ou son mandataire désigné par écrit.

5. Responsabilité de la gestion et responsabilité civile

  1. Le responsable du traitement est responsable du bon fonctionnement du traitement et de la gestion des données. Sous la responsabilité du responsable, un gestionnaire est généralement chargé de l’administration effective des données à caractère personnel.

  2. Le responsable veille à la mise en œuvre de mesures techniques et organisationnelles appropriées afin de protéger les données contre toute perte ou tout traitement illicite.

  3. La responsabilité mentionnée au paragraphe 1 ainsi que les obligations prévues au paragraphe 2 restent pleinement applicables même lorsque le traitement est effectué par un sous-traitant. Cette relation est encadrée par un contrat (ou un autre acte juridique) entre le responsable du traitement et le sous-traitant.

  4. Le responsable du traitement est tenu pour responsable des dommages ou préjudices résultant du non-respect des dispositions légales ou du présent règlement. Le sous-traitant est responsable des dommages ou préjudices résultant de ses propres actes.

6. Traitement licite

  1. Les données à caractère personnel sont traitées de manière licite, loyale et transparente, conformément à la loi et au présent règlement.

  2. Les données à caractère personnel ne sont collectées que pour les finalités définies dans le présent règlement, et ne sont pas traitées ultérieurement d’une manière incompatible avec ces finalités.

  3. Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées ou traitées. Aucune donnée ne doit être collectée ou traitée au-delà de ce qui est strictement requis pour les objectifs de l’enregistrement.

  4. Les données à caractère personnel ne peuvent être traitées que dans l’un des cas suivants :
    – la personne concernée a donné son consentement explicite et non équivoque au traitement ;
    – le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie (par exemple un contrat d’assurance ou un contrat de travail), ou pour prendre, à la demande de la personne concernée, des mesures précontractuelles ;
    – le traitement est nécessaire au respect d’une obligation légale incombant au responsable du traitement ;
    – le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
    – le traitement est nécessaire à la poursuite d’un intérêt légitime du responsable du traitement ou d’un tiers, sauf si cet intérêt est supplanté par les droits et intérêts fondamentaux de la personne concernée.

– Le numéro d’identification fiscal néerlandais (burgerservicenummer) ne sera enregistré que s’il existe une base légale spécifique. En principe, une telle base ne s’applique pas à nos services.

– Toute personne agissant sous l’autorité du responsable du traitement ou du sous-traitant — y compris le sous-traitant lui-même — ne traite les données à caractère personnel que sur instruction du responsable, sauf obligation légale contraire.

– Les données ne sont traitées que par des personnes tenues à une obligation de confidentialité sur la base d’un contrat (de travail ou autre).

7. Traitement des données à caractère personnel

  1. Le traitement est effectué par les employés de notre entreprise ou par d’autres personnes physiques agissant sous notre responsabilité dans le cadre de la fourniture de services financiers.

  2. Le traitement a généralement lieu dans le cadre de l’exécution d’un contrat, à savoir le contrat de prestation de services. Lorsqu’il ne s’agit pas de l’exécution d’un tel contrat, le traitement se fait avec le consentement explicite de la personne concernée.

  3. Le traitement est nécessaire à l’exercice de nos activités de conseil et/ou d’intermédiation en matière de produits et services financiers.

8. Données particulières

  1. Le traitement de données à caractère personnel relatives à la religion ou aux convictions philosophiques, à l’origine ethnique, aux opinions politiques, à la santé, à la vie sexuelle, à l’appartenance syndicale ou à des données à caractère personnel d’ordre pénal est interdit, sauf dans les cas prévus expressément par la loi, précisant par qui, à quelles fins et sous quelles conditions ces données peuvent être traitées (articles 9 et 10 du RGPD).

  2. En tant que prestataire de services financiers, nous sommes autorisés à traiter des données relatives à votre santé, dans la mesure où cela est nécessaire à la bonne exécution de nos services. Nous pouvons également vous demander des informations concernant d’éventuels antécédents judiciaires si cela est requis pour une exécution correcte du contrat, à condition que vous ayez donné votre consentement explicite.

9. Traitement des données

Données obtenues auprès de la personne concernée

  1. Lorsque les données à caractère personnel sont obtenues directement auprès de la personne concernée, le responsable du traitement lui communique, avant la collecte :
    – son identité ;
    – la finalité du traitement prévu, sauf si cette finalité est déjà connue de la personne concernée.
    Le responsable fournit également toute autre information utile, en fonction de la nature des données, des circonstances de leur collecte ou de leur utilisation, dans le but de garantir un traitement loyal et transparent vis-à-vis de la personne concernée.

Données obtenues auprès de tiers

  1. Outre les informations reçues de la personne concernée, le responsable du traitement peut, dans le cadre des finalités définies, collecter des données auprès de sources externes qu’il juge fiables. Il peut s’agir par exemple de Roy-data pour les déclarations bonus/malus, du RDW pour les données relatives à un véhicule, ou de la fondation CIS dans le cadre de la prévention et de la lutte contre la fraude dans le secteur de l’assurance.

  2. Le responsable du traitement veille à ce que, lors de chaque opération de traitement, seules soient traitées des données exactes, adéquates, pertinentes et non excessives par rapport à la finalité poursuivie.

10. Droit d’accès

  1. La personne concernée a le droit d’accéder aux données à caractère personnel la concernant qui ont été traitées.

  2. Le responsable du traitement informe toute personne qui en fait la demande — dans les meilleurs délais et au plus tard dans un délai de quatre semaines après réception de la demande — si des données à caractère personnel la concernant sont ou non traitées. Des frais peuvent être facturés pour fournir cette information. De plus, une copie d’une pièce d’identité valide peut être exigée de la personne concernée pour toute demande d’accès à son dossier personnel.

  3. Si des données sont effectivement traitées, le responsable du traitement fournit, sur demande, un aperçu complet — dans les meilleurs délais et au plus tard dans un délai de quatre semaines — contenant les informations suivantes : la ou les finalités du traitement, les données ou catégories de données traitées, les destinataires ou catégories de destinataires des données, ainsi que la source des données.

  4. Si un intérêt majeur de la personne concernée l’exige, le responsable du traitement peut satisfaire à la demande sous une forme autre qu’écrite, adaptée à cet intérêt.

  5. Le responsable du traitement peut refuser de satisfaire à une demande si, et dans la mesure où, cela est nécessaire pour :
    – la détection et la poursuite d’infractions pénales ;
    – la protection de la personne concernée ou des droits et libertés d’autrui.

11. Communication de données à caractère personnel

  1. En principe, les données à caractère personnel ne sont communiquées à des tiers qu’avec le consentement de la personne concernée ou de son représentant, sauf disposition légale contraire ou cas d’urgence.

  2. Une exception à cette règle concerne l’échange d’informations avec des parties ayant besoin de données pour l’exécution du contrat, telles que les compagnies d’assurance, les banques, les organismes de crédit ou les parties impliquées dans la gestion des sinistres.

  3. Enfin, nous pouvons également transmettre des données à caractère personnel afin de respecter des obligations légales, notamment envers l’administration fiscale néerlandaise (Belastingdienst) ou l’Autorité néerlandaise des marchés financiers (Autoriteit Financiële Markten).

12. Droit de rectification, de complément, de suppression

  1. À la demande écrite d’une personne concernée, le responsable du traitement procède à la rectification, au complément, à la suppression et/ou au verrouillage des données à caractère personnel la concernant, si et dans la mesure où ces données sont inexactes, incomplètes au regard de la finalité du traitement, non pertinentes, excessives ou traitées en violation d’une disposition légale. La demande doit indiquer les modifications à apporter.

  2. Le responsable du traitement informe la personne concernée, dans les meilleurs délais et au plus tard dans un délai de quatre semaines après réception de la demande, s’il y donne suite. Si le responsable décide de ne pas (entièrement) accéder à la demande, il doit en motiver la raison. La personne concernée peut alors saisir la commission des plaintes du responsable du traitement.

  3. Le responsable veille à ce que toute décision de rectification, complément, suppression ou verrouillage soit mise en œuvre dans un délai de 14 jours ouvrables, ou, si cela s’avère raisonnablement impossible, dans les plus brefs délais par la suite.

13. Conservation des données

  1. Les données à caractère personnel ne sont pas conservées sous une forme permettant l’identification de la personne concernée plus longtemps que nécessaire pour la réalisation des finalités pour lesquelles elles ont été collectées ou traitées ultérieurement.

  2. Le responsable du traitement détermine la durée de conservation des données enregistrées.

  3. Lorsque la durée de conservation est expirée, ou lorsque la personne concernée demande la suppression de ses données avant l’échéance, les données concernées sont supprimées dans un délai de trois mois.

  4. La suppression ne sera pas effectuée s’il existe des motifs raisonnables de supposer que :
    – la conservation est d’une importance majeure pour une personne autre que la personne concernée ;
    – la conservation est exigée par une disposition légale (par exemple en vertu de la loi néerlandaise sur la surveillance financière — Wet op het financieel toezicht) ; ou
    – un accord spécifique a été conclu à ce sujet entre la personne concernée et le responsable du traitement.

14. Registre des traitements

  1. Tout traitement de données à caractère personnel, automatisé en tout ou en partie, destiné à atteindre une finalité ou un ensemble de finalités connexes, est recensé dans un registre interne des traitements que nous avons établi avant le début du traitement.

  2. Dans les cas où un traitement automatisé présente un risque élevé pour les droits et libertés de la personne concernée — compte tenu de la nature et du contexte des données traitées —, nous effectuons une analyse d’impact relative à la protection des données (AIPD) avant le lancement du traitement. Nous veillons à gérer de manière appropriée les risques identifiés afin de garantir la protection des droits des personnes concernées.

  3. Le registre interne des traitements contient les informations suivantes :
    – le nom et l’adresse du responsable du traitement ;
    – la ou les finalités du traitement ;
    – une description des catégories de personnes concernées et des (catégories de) données les concernant ;
    – les destinataires ou catégories de destinataires auxquels les données peuvent être communiquées ;
    – les durées de conservation appliquées.

15. Violations de données

  1. Si le responsable du traitement est confronté à une violation de données, il examine si des données à caractère personnel ont été perdues ou si un traitement illicite ne peut être exclu.

  2. Si cet examen révèle qu’il y a eu une fuite de données sensibles, ou qu’il existe un risque important de conséquences négatives pour la protection des données traitées, le responsable du traitement informe l’Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens).

  3. Si toutes les données compromises n’ont pas été correctement chiffrées, ou si la violation présente, pour d’autres raisons, des conséquences probables défavorables pour la vie privée des personnes concernées, le responsable du traitement notifie également la violation à l’Autorité des marchés financiers (Autoriteit Financiële Markten). En concertation avec ces autorités de contrôle, il peut également être décidé d’en informer directement les personnes concernées.

16. Procédure de réclamation

Si la personne concernée estime que les dispositions du présent règlement ne sont pas respectées, elle peut s’adresser aux instances suivantes:

– le responsable du traitement ;
– si la personne concernée n’est pas satisfaite du traitement de sa réclamation, elle peut saisir l’Institut de traitement des réclamations pour les services financiers (Klachteninstituut Financiële Dienstverlening) à La Haye ;
– l’Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens), en lui demandant d’intervenir en tant que médiateur et de fournir des conseils dans le litige opposant la personne concernée au responsable du traitement ;
– le tribunal compétent.

17. Modification, entrée en vigueur et copie

  1. Toute modification du présent règlement est effectuée par le responsable du traitement.

  2. Les modifications entrent en vigueur quatre semaines après leur notification aux personnes concernées.

  3. Le règlement peut être consulté auprès du responsable du traitement. Une copie peut être obtenue, sur demande, moyennant le remboursement des frais de reproduction.

18. Cas non prévus

Dans les cas non couverts par le présent règlement, le responsable du traitement statue en tenant compte des dispositions légales en vigueur ainsi que de l’objectif et de l’esprit du présent règlement.

Informations concernant le Règlement général sur la protection des données (RGPD) :
– Texte officiel du règlement : https://autoriteitpersoonsgegevens.nl/uploads/imported/verordening_2016_-_679_definitief.pdf
– Site de l’Autorité néerlandaise de protection des données : https://www.autoriteitpersoonsgegevens.nl