Protection des données
Lors du traitement de données de santé de ses clients, la CSS est soumise à des dispositions strictes en matière de protection des données. En plus des dispositions légales, les collaborateurs de la CSS doivent observer des directives internes.
Généralités
Le genre masculin utilisé dans le présent document pour une question de lisibilité inclut également le genre féminin.
La présente politique de protection des données s’applique au traitement des données personnelles collectées sur le site Internet css.ch et des données recueillies en rapport avec tous les produits et services du Groupe CSS.
Le Groupe CSS comprend la CSS Assurance-maladie SA et la CSS Assurance SA.
Nous sommes ravis que vous vous intéressiez à la manière dont nous traitons vos données person-nelles. Dans cette politique de protection des données, nous expliquons comment nous collectons et traitons les données personnelles. Vous trouverez des indications supplémentaires concernant des traitements de données spécifiques dans la politique relative aux cookies, les règlements et les conditions générales d’assurance, les conditions de participation, les déclarations de consentement et d’autres documents. Dès lors que des dispositions légales contraignantes s’appliquent, nous renonçons en principe à les reproduire.
Cette politique de protection des données couvre nos activités de traitement des données concer-nant les personnes qui sont ou ont été assurées auprès de la CSS, les personnes qui s’intéressent à un produit de la CSS, les fournisseurs de prestations, les autorités et les offices publics ou leurs interlocuteurs et les utilisateurs des sites Internet de la CSS.
Responsabilité
Responsable
La CSS Assurance-maladie SA (ci-après dénommée «la CSS» ou «nous») est en principe respon-sable du traitement des données selon la présente politique de protection des données.
Conseiller à la protection des données
Nous avons nommé un conseiller à la protection des données. En cas de questions ou de préoccu-pations concernant la protection des données, n’hésitez pas à nous contacter aux coordonnées suivantes:
CSS Assurance-maladie SA
Conseiller à la protection des données
Tribschenstrasse 21
Case postale 2568
CH-6002 Lucerne
E-mail: datenschutz@css.ch
Téléphone: 058 277 11 11
Représentation pour les questions de protection des données au sein de l’UE ou qui entrent dans le domaine d’application du RGPD
Dans le cadre de nos activités de traitement des données entrant dans le domaine d’application du règlement général sur la protection des données (RGPD) de l’Union européenne, Martina Schmid est notre représentante au sens de l’art. 27 du RGPD. Martina Schmid est joignable aux coordonnées suivantes:
Martina Schmid
BWO GmbH
Bauernwaldstrasse 77
D-70195 Stuttgart
E-mail: privacy-eu@css.ch
Quelles sont les données personnelles traitées par la CSS?
On entend par «données personnelles» toutes les informations se rapportant à une personne phy-sique identifiée ou identifiable. Selon la nature de votre relation avec nous et, le cas échéant, selon le type de produits, nous traitons notamment les catégories de données personnelles suivantes:
- Données vous concernant: notamment nom, informations de contact et financières, date de nais-sance, adresse, langues, nationalité, canton et commune de résidence, numéro de téléphone, adresse e-mail, âge, genre, profession;
- Données relatives au contrat: notamment relations bancaires, données contractuelles relatives au traitement des paiements (p. ex. numéros de compte), versements de primes et éventuelles réduc-tions de primes, arriérés et rappels; produit d’assurance, nature et étendue des prestations, dates d’entrée et de sortie de l’assurance, suspensions et franchises;
- Evaluations des risques vous concernant et concernant l’objet assuré lors de l’examen des proposi-tions, en particulier informations sur les assurances antérieures et les autres assurances ainsi que sur les cas d’assurance survenus; profession et données relatives à la santé et, dans certaines cir-constances, indications permettant de déterminer votre solvabilité;
- Données pour le traitement des droits aux prestations: dans le domaine de l’assurance-maladie, il s’agit en particulier des informations relatives aux demandes de remboursement, des données de facturation ainsi que des données de santé, comme par exemple des rapports médicaux et autres données des fournisseurs de prestations. Pour les autres produits d’assurance, il s’agit de données relatives aux objets, bâtiments ou activités assurés et, le cas échéant, à leur financement, ainsi qu’au traitement des sinistres, par exemple la déclaration de sinistre, le numéro de sinistre, les don-nées en rapport avec l’examen du sinistre, le nombre de sinistres et les données relatives aux tiers, comme les personnes lésées et les personnes impliquées;
- Données de communication: notamment les informations sur le canal de communication préféré, les informations et le contenu de la correspondance par courrier, e-mail, téléphone, via myCSS ou par d’autres canaux de communication, ainsi que les enregistrements relatifs à la satisfaction de la clien-tèle. Les conversations téléphoniques peuvent être enregistrées à des fins de traçabilité, d’assurance qualité, de formation et de preuve. Si une conversation est enregistrée, vous en êtes expressément informé;
- Données en rapport avec l’utilisation du site Internet ou du portail client myCSS: notamment adresse IP et autres identificateurs d’appareils, données d’accès (y compris mots de passe), date, heure et nombre de visites du site Internet ainsi que pages et contenus consultés, pages Internet comportant des liens vers les sites de la CSS; cookies. Vous trouverez de plus amples informations sur les cookies utilisés et les technologies similaires dans la politique relative aux cookies.
Données en rapport avec les activités de marketing: notamment préférences et intérêts personnels, inscriptions et désinscriptions aux newsletters, communications marketing transmises et réactions à ces communications.
Nous collectons les données personnelles des individus concernés avant tout dans le cadre d’une relation commerciale existante ou à venir avec des personnes intéressées, des assurés, des clients et d’autres partenaires commerciaux, des fournisseurs de prestations et des prestataires de services ou lors de l’utilisation de nos sites Internet, applications et autres outils similaires par les utilisateurs. Cela se fait par exemple via des formulaires de contact et de proposition, dans le cadre de la cor-respondance par e-mail ou par courrier, par téléphone, lors de la participation à des jeux-concours et à des enquêtes ainsi que dans le cadre de relations contractuelles, comme lors de la vérification des prestations ou au moment des paiements.
Dans certaines situations, nous collectons également des données personnelles auprès de tiers, par exemple des fournisseurs de prestations, des partenaires commerciaux, des assureurs sociaux dans le cadre de l’entraide administrative, d’autres assureurs privés ou de sources publiques. Vous trouverez des informations sur les différents types de collecte de données dans le chapitre «Contrat d’assurance».
Si vous nous communiquez des données concernant des tiers, nous partons du principe que vous êtes autorisé à le faire et que ces données sont exactes. Par la transmission de ces données, vous le confirmez expressément. Veuillez alors informer les tiers concernés que nous allons traiter leurs données et leur remettre une copie de la présente politique de protection des données. Si nous vous informons de l’existence d’une nouvelle version de ce document, veuillez également leur faire parvenir cette nouvelle version.
A quelles fins traitons-nous vos données personnelles?
Visite des sites Internet de la CSS, calculateur de primes
Données collectées automatiquement
Lors de la consultation de ses sites Internet, la CSS collecte, sauvegarde et utilise des données techniques ainsi que certaines données d’utilisation. En cas d’accès à nos sites Internet, les don-nées suivantes sont enregistrées dans des fichiers journaux:
- Adresse IP;
- Informations générales sur le système d’exploitation et le navigateur utilisés;
- Date, heure et durée de la visite;
- Demande du navigateur;
- Add-ons utilisés;
- Source des visiteurs (site Internet comportant des liens vers les sites de la CSS);
- Informations générales sur le comportement en ligne, telles que cliquer sur des bannières publicitaires, remplir des formulaires ou télécharger des fichiers.
Nous utilisons ces données afin d’améliorer nos sites Internet. Les données collectées nous permet-tent de mettre à disposition les services proposés sur nos sites. Elles servent aussi de base à des évaluations statistiques.
Formulaires
Les données personnelles confidentielles que vous envoyez à la CSS via des formulaires sur ses sites Internet sont transmises sous forme cryptée conformément à l’état actuel de la technique. Ces données sont utilisées au sein de la CSS dans un but précis, pour le traitement de l’offre et à des fins de marketing (à l’exception de l’assurance de base).
Si vous êtes déjà client de la CSS ou que vous souhaitez le devenir, nous pouvons associer les données personnelles collectées que vous mettez à notre disposition via le site Internet à celles déjà disponibles.
Calculateur de primes et demande en ligne
Lorsque vous saisissez vos données dans le calculateur de primes, vous acceptez que les sociétés de la CSS vous contactent par téléphone ou d’une autre manière dans le cadre de l’établissement d’une offre. Vos données personnelles ne nous seront transmises que si vous remplissez intégrale-ment le formulaire de contact électronique en communiquant vos données personnelles et que vous allez jusqu’au terme de la procédure. Vous trouverez des informations détaillées sur le traitement des données en rapport avec la proposition et la conclusion de l’assurance dans le formulaire de proposition correspondant et dans les informations à la clientèle de votre assurance ainsi que dans la fiche d’information relative à la protection des données ci-jointe.
Dans la mesure où, pour traiter votre demande via Internet / par téléphone ou pour traiter le contrat, des prestations de tiers sont nécessaires, nous transmettons vos données à un partenaire presta-taire mandaté par nos soins. En nous communiquant vos données, vous nous autorisez à procéder de la sorte. Ce partenaire est lié contractuellement à la CSS et soumis de la même manière aux dis-positions en matière de protection des données.
Conversation en direct via un assistant numérique (SIA)
Afin d’améliorer l’expérience utilisateur et de répondre rapidement à toute question, nous vous pro-posons de communiquer via un système de chatbot (SIA). Pour la reconnaissance intuitive des don-nées saisies par l’utilisateur (Natural Language Understanding, abrégé NLU), nous utilisons le service Dialogflow de Google (Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Toutes les données de l’utilisateur sont analysées dans le but de comprendre sa demande et de lui fournir la réponse et les contenus CSS adéquats. Aucune donnée personnalisée n’est analysée ou enregistrée.
Bases juridiques
Dans la mesure où le traitement des données personnelles correspondant au «Visite des sites Internet de la CSS, calculateur de primes» ci-dessus est soumis au RGPD, le traitement de vos données personnelles repose sur une ou plusieurs des bases juridiques suivantes.
Préparation et exécution du contrat
La plupart des données que nous traitons sont nécessaires à l’exécution de nos obligations contrac-tuelles à votre égard, par exemple pour la mise en œuvre de l’assurance-maladie obligatoire ou de l’assurance complémentaire. Il en va de même des données de santé, qui sont traitées pour évaluer les cas de prestations. Quant au traitement des données en vue de la conclusion de contrats, y compris l’évaluation des risques, il se fonde sur la nécessité d’exécuter les mesures précontrac-tuelles et, dès lors que nous traitons des données de santé, sur votre consentement distinct.
Obligations légales
L’obligation de traiter des données peut résulter de certaines dispositions légales.
Consentement
Nous pouvons procéder aux traitements de données à d’autres fins sur la base d’un consentement. Si votre consentement est demandé pour certains traitements de données, vous serez informés spécifiquement des finalités de ce traitement. Vous pouvez révoquer votre consentement à tout moment par écrit; vous trouverez nos coordonnées au «Responsable». A réception de la révocation de votre consentement, nous ne traiterons plus vos données aux fins que vous aviez approuvées initiale-ment, à moins de disposer d’un autre fondement juridique pour cela. La révocation de votre consen-tement n’affecte pas la légalité du traitement effectué sur la base de ce consentement jusqu’à sa révocation.
Intérêts légitimes
Nous traitons vos données personnelles en nous fondant aussi sur nos intérêts légitimes, dans la mesure où vos intérêts ne s’y opposent pas et ne prévalent pas, par exemple à des fins administra-tives et de sécurité, pour vérifier votre solvabilité et à des fins d’étude de marché, de marketing, d’amélioration de nos services, de développement des produits et de respect des dispositions du droit suisse.
Contrat d’assurance
Assurance de base selon la LAMal
Dans le cadre de l’assurance de base selon la LAMal, nous traitons les données conformément aux bases légales correspondantes, en particulier aux fins mentionnées à l’art. 84 LAMal, notamment pour:
- veiller au respect de l’obligation de s’assurer;
- calculer et percevoir les primes;
- établir le droit aux prestations, les calculer, les allouer et les coordonner avec celles d’autres assurances sociales;
- établir le droit à des réductions de primes, les calculer et les verser;
- faire valoir une prétention récursoire contre le tiers responsable;
- établir des statistiques;
- attribuer ou vérifier le numéro d’assuré AVS;
- calculer la compensation des risques.
Modèles alternatifs d’assurance
Modèles du médecin de famille: En souscrivant l’assurance du médecin de famille, les personnes assurées acceptent d’accorder à leur médecin coordinateur l’accès aux données relatives à leur diagnostic, à leur traitement et à la facturation de leurs soins médicaux nécessaires pour ce modèle d’assurance. Cette forme d’assurance nécessite en outre un échange de données entre le médecin coordinateur, la CSS et d’éventuels tiers.
Il s’agit de données relatives au diagnostic des assurés, à leur traitement et à la facturation de leurs soins. Ces données sont communiquées notamment aux spécialistes, aux hôpi-taux et aux autres personnes et institutions qui prennent part à la fourniture de prestations médicales et organisationnelles en vue de l’exécution du contrat ou lors d’un changement de médecin coordi-nateur.
Modèles Telmed: En souscrivant un modèle Telmed, les personnes assurées acceptent que la CSS traite leurs don-nées personnelles afin de déterminer la prime, de gérer les sinistres et de procéder à des évalua-tions statistiques.
La CSS peut, dans la mesure où cela est requis et autorisé légalement, communiquer des données à des tiers autorisés (p. ex. des coassureurs ou des réassureurs). Dès lors que la loi le permet, la CSS peut en outre demander aux fournisseurs de prestations, à d’autres assureurs et aux autorités de lui transmettre les données dont elle a besoin pour clarifier le droit aux prestations.
Les collaborateurs du centre de télémédecine sont également soumis à l’obligation légale de garder le secret ainsi qu’aux dispositions légales et réglementaires relatives à la protection des données.
Dans le cadre de cette forme d’assurance, la CSS fournit au centre de télémédecine les données de la personne assurée nécessaires à l’exécution du contrat (notamment numéro d’assuré, nom, pré-nom, date de naissance, sexe, adresse, décomptes de prestations et informations sur la couverture d’assurance).
Le centre de télémédecine fournit à la CSS les données nécessaires pour vérifier le droit aux presta-tions, en particulier les informations relatives au moment de l’appel téléphonique et à la recomman-dation émise. Les données de santé de la personne assurée sont exclusivement communiquées au service du médecin-conseil de la CSS.
Multimed: En souscrivant l’assurance Multimed, les personnes assurées acceptent que la CSS traite leurs don-nées personnelles afin de déterminer la prime, de gérer les sinistres et de procéder à des évalua-tions statistiques concernant Multimed. La CSS peut, dans la mesure où cela est nécessaire et auto-risé par la loi, communiquer des données à des tiers autorisés (p. ex. fournisseurs de prestations, autres assureurs et autorités) ou se procurer des données auprès de ceux-ci.
Les données nécessaires au traitement peuvent être consultées par l’ensemble des personnes qui prennent part au traitement (fournisseurs de prestations ou partenaires de coordination) et peuvent notamment être échangées ou traitées entre ces personnes pour assurer la qualité et garantir un traitement optimal. Il s’agit notamment de données relatives au diagnostic de l’assuré, à son traite-ment et à la facturation.
Modèle HMO / Assurance Cabinets de santé (ACS): En souscrivant l’assurance Cabinets de santé (modèle HMO), les personnes assurées acceptent d’accorder à leur médecin coordinateur l’accès aux données relatives à leur diagnostic, à leur traite-ment et à la facturation de leurs soins médicaux nécessaires pour ce modèle d’assurance. Cette forme d’assurance nécessite en outre un échange de données entre le médecin coordinateur, la CSS et d’éventuels tiers.
Il s’agit de données relatives au diagnostic des assurés, à leur traitement et à la facturation de leurs soins. Ces données sont communiquées notamment aux spécialistes, aux hôpitaux et aux autres personnes et institutions qui prennent part à la fourniture de prestations médicales et organisation-nelles en vue de l’exécution du contrat ou lors d’un changement de médecin coordinateur.
Assurances-maladie complémentaires selon la LCA
En ce qui concerne les assurances-maladie selon la loi fédérale sur le contrat d’assurance (LCA), il s’agit notamment des produits suivants:
Frais de guérison LCA
- Assurances pour médecine alternative
- Assurances ambulatoires
- Assurances hospitalisation
- Assurances pour soins dentaires
Assurances spéciales LCA
La CSS propose les assurances suivantes selon la LCA:
- Assurances-accidents
- Assurances d’indemnités journalières
- Assurances de choses (inventaire du ménage, bâtiments)
- Assurances responsabilité civile
- Assurances de capital en cas de maladie
La CSS traite les données issues des documents (pré)contractuels ou de l’exécution du contrat et les utilise en particulier pour déterminer la prime, clarifier le risque, traiter les cas d’assurance et pour des évaluations statistiques.
Dans la mesure nécessaire, la CSS peut transmettre des données pour traitement aux tiers impliqués dans l’exécution du contrat en Suisse et à l'étranger, en particulier à des sociétés du Groupe CSS ainsi qu'à des coassureurs et réassureurs. En cas de soupçons de délit contre le patrimoine ou de faux dans les titres et dans les cas où la CSS se départ du contrat en raison d’une prétention frau-duleuse (art. 40 LCA), une déclaration peut être effectuée à l’Association Suisse d’Assurances (ASA) en vue d’une inscription dans le système d’information central (ZIS).
Pour l'examen des décomptes de prestations émanant de fournisseurs de prestations étrangers, la CSS peut transmettre les données à leur mandataire. En outre, la CSS peut demander des rensei-gnements utiles aux services administratifs et autres tiers (p. ex. fournisseurs de prestations, assu-reurs ou leurs services médicaux). Cela est valable que le contrat correspondant soit ou non conclu.
Traitement de données à d’autres fins
Communications électroniques
Les communications électroniques à caractère publicitaire (p. ex. sous forme de newsletters) ne sont envoyées à nos clients et aux personnes intéressées qu’avec leur consentement distinct.
Nos e-mails de marketing (newsletter, invitations, enquêtes par e-mail) sont envoyés avec la solution de marketing par e-mail Adobe Campaign, hébergée sur les serveurs de la CSS. Les données per-sonnelles qui sont collectées dans le cadre de l’abonnement à la newsletter sont enregistrées sur les ordinateurs de la CSS. Dans chaque newsletter, nous vous offrons la possibilité de corriger, mettre à jour ou supprimer les informations mises à disposition par les destinataires.
Toutes les communications électroniques à caractère publicitaire peuvent être annulées à tout mo-ment via un lien figurant à la fin de l’e-mail. Les données vous concernant que vous enregistrez chez nous pour recevoir la newsletter sont conservées jusqu’à ce que vous mettiez un terme à votre abonnement et sont supprimées une fois que la newsletter est annulée. Les données ayant été enre-gistrées chez nous à d’autres fins ne sont pas concernées.
Votre adresse e-mail est uniquement utilisée pour l’envoi de nos propres informations. Nous ne transmettons pas votre adresse à des tiers. La manière dont vous cliquez sur les liens hypertextes contenus dans les e-mails et sur les sites Internet est enregistrée à titre anonyme uniquement.
Participation à des jeux-concours, à des manifestations publicitaires, à des événe-ments de parrainage et à des activités similaires
Nous collectons et traitons des données personnelles lorsque vous participez à des jeux-concours, à des manifestations publicitaires, à des événements de parrainage ou à des activités similaires. La nature et l’étendue des données personnelles traitées dans ce cadre sont spécifiées dans les condi-tions de participation correspondantes. Nous y indiquons également l’objet et l’étendue des éven-tuels consentements requis.
Utilisation du Wi-Fi
Lorsque vous utilisez dans nos locaux un réseau Wi-Fi que nous mettons à votre disposition, vous devez vous inscrire en indiquant votre nom et votre numéro de téléphone mobile ou votre adresse e-mail. Nous collectons alors des données spécifiques à l’appareil et à l’utilisation, en particulier la date, l’heure et la durée de la connexion.
Zones sous vidéosurveillance
Nous procédons à des enregistrements vidéo dans certains locaux de la CSS, identifiés comme tels. Nous traitons les données qui en résultent dans le but de garantir la sécurité de nos collabora-teurs et à des fins de preuve. En cas de suspicion d’infractions pénales, nous pouvons mettre les enregistrements à la disposition des autorités pénales, dans le cadre des dispositions légales.
Que se passe-t-il en cas de profilage?
On entend par «profilage» l’évaluation de certaines caractéristiques d’une personne sur la base de données personnelles traitées de manière automatisée, notamment pour analyser ou prédire la pro-ductivité, la situation économique, la santé, le comportement, les préférences, le lieu de séjour ou la mobilité d’une personne.
La CSS utilise ces traitements automatisés de données, dans la mesure où la loi le permet, à des fins d’analyse et de prévision. Les principaux domaines d’application du profilage sont l’évaluation des risques, le contrôle de la solvabilité, la vérification des prestations, la lutte contre la fraude, le suivi de la clientèle et, le cas échéant, à des fins de marketing. La CSS peut combiner et mettre en lien des données comportementales et de préférence, mais également des données de base et contractuelles avec les données techniques qui vous sont attribuées, afin de mieux vous comprendre en tant que personne, avec vos différents intérêts et besoins personnels.
La CSS prend-elle des «décisions individuelles automatisées»?
La CSS ne prend pas de décisions reposant exclusivement sur un traitement automatisé et qui en-traînent des conséquences juridiques pour vous ou qui vous affectent considérablement (décision individuelle automatisée).
Transmission à des tiers – A qui transmettons-nous vos données personnelles et dans quel but?
Nous transmettons des données personnelles à des tiers afin qu’ils puissent poursuivre leurs propres objectifs dès lors que nous y sommes légalement tenus ou autorisés ou si vous avez don-né votre accord en ce sens. Dans de tels cas de figure, le destinataire des données doit être consi-déré comme un responsable indépendant du point de vue de la protection des données. Nous ne vendons en aucun cas vos données personnelles à des tiers. Nous ne faisons pas le commerce de vos données personnelles.
En fonction de la façon dont vous êtes ou avez été assuré auprès de la CSS, si vous vous intéres-sez à un produit de la CSS, et selon si vous êtes un fournisseur de prestations, une autorité ou un utilisateur de ce site Internet, nous pouvons communiquer des données personnelles aux catégories suivantes de destinataires:
- Nos prestataires de services (p. ex. banques, assurances, conseillers, fournisseurs de services informatiques, prestataires de services dans le domaine du marketing, sociétés de recouvrement et sociétés de renseignement de solvabilité, etc.);
- Intermédiaires;
- Commerçants, fournisseurs, sous-traitants et autres partenaires commerciaux;
- Dans le cadre d’obligations légales, autorités nationales et étrangères, assureurs sociaux et pri-vés, services administratifs ou tribunaux;
- Acquéreurs ou personnes intéressées par l’acquisition de secteurs d’activité, de sociétés ou d’autres composantes de la CSS;
- Autres parties impliquées dans des procédures administratives ou judiciaires potentielles ou ef-fectives;
- Autres sociétés du Groupe CSS.
Ces destinataires peuvent avoir leur siège en Suisse ou à l’étranger. Vous devez notamment vous attendre à ce que vos données soient transférées dans tous les pays où se trouvent les fournis-seurs de prestations auxquels nous faisons appel et leurs sous-traitants (p. ex. [Microsoft], [SAP], [Amazon] et [Salesforce.com]). Si nous transférons des données à un destinataire situé dans un pays n’ayant pas instauré une protection légale adéquate des données, nous assurons un niveau de protection approprié par le biais de contrats adéquats (généralement sur la base des clauses con-tractuelles types de la Commission européenne), dans la mesure où le destinataire n’est pas déjà soumis à un ensemble de règles reconnues par la loi visant à garantir la protection des données et que nous ne pouvons pas invoquer une clause d’exception. Une exception peut notamment s’appliquer en cas de procédure juridique à l’étranger, mais aussi dans des cas d’intérêts publics prépondérants ou lorsque l’exécution d’un contrat exige une communication de ce type, si vous avez donné votre consentement ou s’il s’agit de données que vous avez rendues publiques et pour lesquelles vous ne vous êtes pas opposé/e au traitement.
Sécurité des données – Comment protégeons-nous vos données personnelles?
Les données présentes dans nos systèmes sont protégées de manière adéquate contre la perte, la modification involontaire, l’utilisation abusive, la falsification et la divulgation ou l’accès non autori-sé. Pour ce faire, nous prenons des mesures de sécurité appropriées de nature technique (p. ex. cryptage, pseudonymisation, journalisation, limitation de l’accès, sauvegarde des données, etc.) et organisationnelle (p. ex. instructions données à nos collaborateurs, accords de confidentialité, véri-fications, etc.). Les collaborateurs de la CSS sont soumis à une obligation contractuelle et légale de garder le secret (en vertu de l’art. 33 LPGA). Les collaborateurs de la CSS sont formés et sensibili-sés aux questions de protection des données, et les processus de traitement des données sont contrôlés et optimisés en permanence. De manière générale, les risques de sécurité ne peuvent tou-tefois pas être totalement exclus.
La sécurité de nos systèmes est soumise à une vérification permanente, en interne comme à l’externe. Le service IT de la CSS a été certifié selon la norme ISO 27001:2022. Cette norme internationale spécifie les exigences relatives à l’établissement, la mise en œuvre, l’introduction, l’exploitation, la surveillance, l’entretien et l’amélioration d’un système de gestion de la sécurité de l’information. Les autres certifications indiquées ci-dessous soulignent également combien la protec-tion des données est un sujet important pour la CSS:
Le service du médecin-conseil (SMC) de la CSS bénéficie du label de qualité GoodPriv@cy*. De plus, il est certifié selon l’ordonnance sur les certifications en matière de protection des données (OCPD).
Conformément à l’art. 59a de l’ordonnance sur l’assurance-maladie, la CSS dispose d’un service certifié de réception des données (selon OCPD et GoodPriv@cy). Les règles standar-disées dont elle s’est dotée garantissent d’une part la protection des données des assurés de la CSS et ouvrent d’autre part la voie à une facturation avec les hôpitaux rapide et orientée sur la clien-tèle. Ainsi, la CSS peut décompter efficacement et conformément à la loi les factures de type DRG des fournisseurs de prestations stationnaires.
La procédure de réception et de numérisation des documents au format papier et des documents échangés par e-mail ainsi que via l’application et le portail est validée par le certificat GoodPriv@cy, reconnu à l’échelle internationale, et certifiée selon l’OCPD.
* Le certificat international GoodPriv@cy est attribué par l’Association Suisse pour Systèmes de Qualité et de Management (SQS) en tant qu’entreprise indépendante et confirmé dans le cadre de vérifications annuelles.
Durant combien de temps conservons-nous vos données?
Nous conservons vos données personnelles aussi longtemps que nécessaire pour la poursuite du but dans lequel nous les avons collectées, en règle générale au moins pour la durée de la relation contractuelle. Nous conservons également les données personnelles si certains aspects exigent qu’elles soient conservées pour une plus longue durée. Cela peut notamment être le cas lorsque nous avons besoin de données personnelles pour faire valoir des droits ou nous défendre contre des prétentions, à des fins d’archivage et pour garantir la sécurité informatique. Nous conservons en outre vos données personnelles aussi longtemps qu’elles sont soumises à une obligation légale de d’archivage. Pour certaines données, l’obligation d’archivage est de dix ans. Pour d’autres, des délais d’archivage plus courts s’appliquent, par exemple pour les enregistrements de vidéosurveil-lance ou pour les enregistrements de certains processus sur Internet (fichiers journaux). Dans cer-tains cas, nous pouvons également vous demander votre consentement pour conserver vos don-nées personnelles plus longtemps.
Les données personnelles de connexion à myCSS sont conservées pendant toute la durée du compte. Si vous demandez à supprimer votre compte, les données seront immédiatement effacées. En cas de désactivation du compte (p. ex. en cas d’inactivité ou de blocage suite à une utilisation abusive), les données seront supprimées après 24 mois.
Quels sont vos droits?
Dans certaines circonstances, vous avez le droit de vous opposer au traitement de vos données, notamment à leur traitement à des fins de marketing direct.
Vous disposez en outre des droits énumérés ci-dessous, pour autant que les conditions légales correspondantes soient remplies et qu’il n’y ait pas de raisons de limiter ou de différer ces droits. Pour toute question concernant l’exercice de vos droits, vous pouvez vous adresser aux personnes mentionnées au «Responsable». Pour vous identifier, veuillez nous envoyer une copie d’une pièce d’identité officielle (p. ex. passeport ou carte d’identité). Les informations non nécessaires (p. ex. photo, taille, lieu d’origine) peuvent être caviardées.
Renseignements
Vous avez le droit de demander à tout moment des renseignements sur les données personnelles que nous avons enregistrées. Vous pourrez ainsi vérifier quelles données personnelles nous traitons vous concernant.
Rectification
Vous avez le droit de demander à ce que vos données personnelles inexactes ou incomplètes soient rectifiées ou complétées et d’être informé de leur rectification.
Opposition, limitation et suppression
En ce qui concerne le traitement que nous faisons de vos données à des fins spécifiques, vous avez le droit de vous y opposer, d’en exiger la limitation ou de demander la suppression de vos données personnelles.
Droit à la transmission des données
Vous avez le droit d’exiger de nous la remise de certaines données personnelles dans un format électronique habituel ou leur transmission à un autre responsable.
Révocation du consentement
Vous avez le droit de révoquer votre consentement à tout moment, dans la mesure où le traitement repose sur votre consentement. La révocation ne vaut que pour le traitement futur de vos données personnelles.
Réclamation
Si vous estimez que nous ne traitons pas les données conformément aux dispositions légales, vous avez le droit de déposer une réclamation auprès du Préposé fédéral à la protection des données et à la transparence.
Modification de la présente politique de protection des données
La CSS se réserve le droit de modifier à tout moment la présente politique de protection des don-nées. La version publiée sur le site Internet de la CSS fait toujours foi.
Abréviations et lois
- Abréviations et lois
- Loi fédérale sur la partie générale du droit des assurances sociales (LPGA)
- Loi fédérale sur la protection des données (LPD)
- Loi fédérale sur la surveillance de l’assurance-maladie sociale (Loi sur la surveillance de l’assurance-maladie, LSAMal)
- Loi fédérale sur l’assurance-maladie (LAMal)
- Loi fédérale sur le contrat d’assurance (LCA)
- Règlement général de l’EU sur la protection des données (RGPD)