Politique de confidentialité - Données personnelles | Information
1. Le contexte
APS PREVOYANCE est une Entreprise Solidaire d'Utilité Sociale (ESUS), intermédiaire d'assurances exerçant sous le contrôle de l'ACPR, immatriculée à l'ORIAS sous le n°12066301 et dont le siège social est 10, Bureau Parc des Baumes 13160 CHATEAURENARD.
Soucieux de la protection des données personnelles vous concernant, nous respectons :
- la loi n°78-17 du 6 janvier 1978 modifiée dite loi « Informatique et Libertés »
- le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dit règlement général sur la protection des données ou RGPD
- les avis et recommandations de la Commission Nationale Informatique et Libertés (CNIL), notamment le "Pack de conformité Assurance"
- les avis et recommandations du Comité Européen de la Protection des données (CEPD, anciennement Groupe G29)
- le secret professionnel auquel nous sommes tenus.
Pour s'adapter aux enjeux du numérique et garantir une meilleure maîtrise des données personnelles par les citoyens, le RGPD renforce les droits des personnes et responsabilise davantage les organismes (tant publics que privés).
Forte de son double engagement dans l'Utilité sociale et la Responsabilité Sociale des Entreprises, APS PREVOYANCE s'inscrit dans cette volonté de renforcer le contrôle, par les citoyens, de l'utilisation qui peut être faite des données les concernant et garantit l'effectivité d'exercice des droits issue des textes réglementaires.
La présente Politique générale de confidentialité vous informe sur les modalités dans lesquelles APS PREVOYANCE recueille et traite vos données personnelles. Elle s’applique à toute donnée personnelle que nous collectons auprès de vous ou qui nous est fournie par un tiers et qui peut vous concerner, et elle témoigne ainsi de notre engagement pour une utilisation responsable de ces données.
Elle vous précise les informations essentielles communes à tous les traitements mis en œuvre par APS PREVOYANCE et pourra être complétée par d’autres informations supplémentaires selon les contrats conclus avec APS PREVOYANCE ou les Assureurs. Elle n’est pas de nature contractuelle et ne créée pas d’obligation au-delà de ce qui est déjà prévu par la réglementation précitée en matière de protection des données personnelles ou par les engagements contractuels entre APS PREVOYANCE et vous (ou votre employeur).
La présente Politique générale de confidentialité vous informe principalement sur les traitements de données personnelles dont APS PREVOYANCE est responsable en qualité d'intermédiaire d'assurances.
APS PREVOYANCE peut également agir en qualité de délégataire de gestion pour le compte d’un Assureur. Dans ce cadre, APS PREVOYANCE gère l’exécution du contrat d’assurance pour le compte de l’Assureur ou conjointement avec l’Assureur. Des traitements de données supplémentaires sont alors réalisés par APS PREVOYANCE en qualité de sous-traitant ou de coresponsable avec l'Assureur. Les modalités des traitements réalisés dans ce cadre font alors l’objet d’une information spécifique avec votre contrat d’assurance ou dans des documents/notices d’information ou dans la politique de confidentialité de l'Assureur, en complément de la présente Politique générale de confidentialité.
2. Composition du portefeuille
Les traitements mis en œuvre par APS Prévoyance concernent plusieurs catégories de personnes :
- Des adhérents titulaires ou bénéficiaires de contrats individuels (contrats aidés ou non)
- Des adhérents titulaires ou bénéficiaires de contrats collectifs (employeurs et salariés)
- Des adhérents sous mesure de tutelle ou de curatelle
- Des employeurs
3. Votre interlocuteur au sein d'aps prevoyance pour repondre a vos questions sur les donnees personnelles
Afin de préserver votre vie privée et la protection de vos données personnelles, nous avons désigné un Délégué à la Protection des Données ("le DPO"). Il exerce son activité en toute indépendance. Le DPO est donc un gage de confiance.
Il est votre interlocuteur spécialisé pour toutes les questions touchant à la protection de vos données personnelles et de votre vie privée. Il est notamment chargé de veiller à la bonne application des règles de protection des données et il est l'interlocuteur privilégié de la CNIL au sein d'APS PREVOYANCE et de toute personne concernée par la collecte ou le traitement de données personnelles.
Le DPO est également chargé de gérer les révisions de la présente Politique générale de confidentialité. Elle est revue une fois par an et nécessairement en cas d'évolution de la réglementation, de survenance d'évènement exceptionnel ou en cas d'incident majeur.
Le DPO peut être contacté à l’adresse email suivante : dpidueo@aps-prevoyance.fr et à l’adresse postale suivante : APS PREVOYANCE, Délégué à la Protection des Données, 10 Bureau Parc des Baumes, 13160 Châteaurenard.
4. Les categories de donnees que nous traitons
Les données personnelles collectées et/ou traitées par APS PREVOYANCE sont strictement nécessaires à notre activité. Nous nous attachons à minimiser les données collectées, à les tenir exactes et à jour.
4.1. Nous traitons des donnees personnelles « classiques »
Afin d'atteindre les finalités poursuivies dans le cadre de notre activité, nous pouvons être amenés à collecter différentes catégories de données personnelles selon votre contrat et notamment :
- des informations relatives à votre identité et à votre état-civil : nom, prénom, date de naissance, lieu de naissance, nationalité, adresse postale (et preuves d’adresse) et électronique, numéro de téléphone, etc...;
- des informations relatives à votre situation familiale en relation avec les risques assurés : situation familiale, nombre d’enfants ou de personnes à charges, relations avec l’assuré ou le bénéficiaire, etc...;
- des informations relatives à votre vie professionnelle : statut et profession, type de contrat, salaire, date d'entrée dans l'entreprise, etc.);
- des données bancaires vous concernant (RIB, mandat SEPA, autorisation de prélèvement, etc.);
- des données relatives à votre situation patrimoniale et financière : estimation du patrimoine global, composition du patrimoine, revenu annuel, etc...; au titre de la Garantie+ et de demandes d’aide auprès de notre fonds social
- des données de connexion notamment lors de l’utilisation de nos services en ligne;
- des données relatives aux interactions avec nos collaborateurs : sur notre site Internet, lors des entretiens et conversations téléphoniques, dans les courriers électroniques, etc...;
- des données nécessaires à lutte contre la fraude, le blanchiment et le financement du terrorisme
- des données relatives au règlement des prestations : décomptes de la sécurité sociale, factures de professionnels de santé.
Les articles R. 115-1 et R. 115-2 du code de la Sécurité sociale autorisent APS PREVOYANCE à collecter et à utiliser le numéro de Sécurité sociale pour l’exercice de ses missions de mutuelle (indiqué par exemple sur les bulletins individuels d’affiliation aux contrats d’assurance communiqués à APS PREVOYANCE).
La complémentaire santé reste l’activité principale d'APS PREVOYANCE. Dans ce cadre, le numéro de Sécurité sociale sert à mettre en place le lien de télétransmission NOEMIE entre les services de gestion et les différentes Caisses Primaires d’Assurance Maladie (CPAM), pour accélérer et automatiser le remboursement des prestations des adhérents.
Sauf indication contraire, les services numériques d'APS PREVOYANCE ne sont pas destinés à être utilisés par des personnes physiques âgées de moins de dix-huit (18) ans, et si vous avez moins de dix-huit (18) ans, nous vous demandons de ne pas fournir de données à caractère personnel via les services numériques d'APS PREVOYANCE.
4.2. Nous traitons des donnees personnelles sensibles fournies par vous
Nous pouvons être amenés à traiter des données dites sensibles parmi lesquelles des données santé. A cet égard, nous pouvons être amenés à collecter :
- Dans le cadre du remboursement de soins au titre de la Garantie+ et de demandes d’aide auprès de notre Fonds social, des données médicales ou relatives à votre santé : condition physique, mentale ou médicale actuelle ou antérieure, blessure ou handicap, diagnostics médicaux, interventions subies et traitements administrés, habitudes personnelles (par exemple, tabagisme, consommation d’alcool), informations relatives aux prescriptions et antécédents médicaux;
- des données relatives aux demandes d’indemnisation ou sinistres antérieurs ou en cours ayant trait à la santé.
4.3. Nous traitons des donnees personnelles fournies par vous concernant des tiers
Vous êtes susceptibles de communiquer à APS PREVOYANCE des données personnelles concernant des tiers.
Par exemple, dans le cadre de la souscription à un contrat d’assurance, vous pouvez être amené(e) à nous communiquer des informations concernant :
- votre entourage (des informations relatives à votre conjoint(e), concubin(e) ou partenaire PACS, à vos enfants, à des personnes dont vous avez la charge (notamment nom, prénom, date et lieu de naissance, numéro de sécurité sociale, emploi, handicap, etc.) et toute autre personne dont les données sont nécessaires au contrat recherché et mis en place pour vous par APS PREVOYANCE, notamment les bénéficiaires;
- les salariés de votre entreprise et leur entourage (y compris leurs bénéficiaires) si vous êtes employeur souscripteur d’une assurance collective (notamment nom, prénom, date de naissance, sexe, situation de famille, date d’entrée dans l’entreprise, salaire brut annuel, type de contrat de travail (CDI, CDD, contrat d’apprentissage etc.), statut, coefficient hiérarchique, nombre d’enfants à charge, etc.) et toute autre donnée nécessaire au contrat recherché.
Nous attirons votre attention sur le fait que la règlementation applicable exige notamment la communication à ces personnes des informations figurant dans la présente Politique générale de confidentialité sur le traitement de leurs données par APS PREVOYANCE.
Vous devez vous assurer de la communication de la présente Politique générale de confidentialité à ces tiers concernés avant toute communication de leurs données à APS PREVOYANCE et, lorsque ce dernier est nécessaire (notamment en cas de collecte de données sensibles les concernant), du recueil de leur consentement exprès et spécifique dont vous vous portez fort à l’égard d'APS PREVOYANCE.
5. Les sources de vos donnees personnelles
Nous pouvons être amenés à collecter vos données à partir de différentes sources. Elles peuvent nous être communiquées notamment par :
- vous-même ou par les membres de votre famille ou entourage lors de nos échanges (appels téléphoniques, e-mails, rendez-vous, courriers, formulaires papier ou en ligne et autres communications)
- votre employeur
- d'autres acteurs du marché de l'assurance, tels que les Assureurs, et autres intermédiaires (comme des co-courtiers)
- nos apporteurs/indicateurs d’affaires
- toute base de données en matière de lutte contre la fraude et autre base de données de tiers, en ce compris des listes de sanctions des autorités de contrôle, telles que l’ACPR (l’Autorité de Contrôle Prudentiel et de Résolution)
- les organismes publics, comme les caisses de l'Assurance maladie
- les administrations sociales et fiscales
Nous pouvons également collecter des données, par le biais de notre site Internet, notamment par le biais de cookies et autres technologies similaires. Pour plus d’informations sur l’utilisation de ces cookies et technologie similaire sur notre site Internet, consultez notre page Cookies
.6. Les finalites et les fondements juridiques de nos traitements de donnees
Les données personnelles que nous traitons sont collectées pour des objectifs précis, les finalités. Elles ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités ou pour d'autres finalités que celles énoncées ci-dessous.
Elles sont collectées loyalement, en toute transparence, et aucune collecte n'est effectuée à l'insu des personnes et sans qu'elles en soient préalablement informées.
En application de la réglementation, tout traitement de données à caractère personnel doit, pour être licite, reposer sur l’un des fondements juridiques énoncés à l’article 6 du RGPD ou à l’article 9.2 du RGPD s’il s’agit de données dites sensibles.
Dans le cadre de votre contrat de complémentaire santé, la base légale du traitement de vos données est la protection sociale.
Conformément à la législation en vigueur, APS PREVOYANCE n'exerce pas de sélection de risques à partir de vos données de santé.
Le tableau ci-dessous expose les différentes finalités pouvant être poursuivies lors de nos traitements de vos données et les fondements juridiques sur lesquels repose la poursuite de chacune de ces finalités.
Finalités poursuivies | Fondements juridiques |
---|---|
Recherche et souscription des contrats d’assurance :
| Nécessaire à l’exécution du contrat auquel vous êtes partie ou exécution de mesures précontractuelles prises à votre demande. Intérêt légitime de votre employeur pour les assurances collectives (respect de ses propres obligations légales et aide au choix d’une police d’assurance adaptée à son entreprise). En cas de collecte de données sensibles : recueil du consentement explicite ou données manifestement rendues publiques. Respect des obligations légales auxquelles APS PREVOYANCE est soumise. |
Gestion de vos contrats, de la phase précontractuelle à la résiliation du contrat (mise à jour des informations vous concernant, opérations liées au paiement de vos cotisations) | Nécessaire à l’exécution du contrat auquel vous êtes partie ou exécution de mesures précontractuelles prises à votre demande. Intérêt légitime de votre employeur pour les assurances collectives (respect de ses propres obligations légales). En cas de collecte de données sensibles : recueil du consentement explicite ou données manifestement rendues publiques. Respect des obligations légales auxquelles APS PREVOYANCE est soumise. |
Exécution des garanties de votre contrat :
| Nécessaire à l’exécution du contrat auquel vous êtes partie ou exécution de mesures précontractuelles prises à votre demande. En cas de collecte de données sensibles : recueil du consentement explicite ou données manifestement rendues publiques. Respect des obligations légales auxquelles APS PREVOYANCE est soumise. |
Gestion et amélioration de notre relation client :
| Intérêts légitimes d'APS PREVOYANCE (amélioration de nos prestations et de nos offres – suivi de la relation client). |
Gestion et amélioration de notre qualité de service :
| Intérêts légitimes d'APS PREVOYANCE (amélioration de la qualité des services rendus). |
Opérations relatives à l'organisation de la vie institutionnelle relevant de nos statuts :
| Respect des obligations légales auxquelles APS PREVOYANCE est soumise. Intérêts légitimes d'APS PREVOYANCE |
Modélisation des risques | Intérêt légitime d'APS PREVOYANCE (établir des modèles de risque afin de mieux placer les risques de ses clients auprès des Assureurs). |
Prospection commerciale (envoi de newsletters ciblées ou de courriers ciblés ou appels téléphoniques, invitations à des événements) | Intérêt légitime d'APS PREVOYANCE (développement commercial) pour la prospection par voie postale ou téléphonique ou pour la prospection de clients actuels pour des services similaires quel que soit le moyen de communication. Consentement de la personne concernée pour la prospection par voie électronique de prospects non encore clients. |
Gestion de la sécurité des personnes et des biens | Intérêt légitime d'APS PREVOYANCE et des tiers. |
Lutte contre la fraude, le blanchiment de capitaux et le financement du terrorisme | Respect des obligations légales auxquelles APS PREVOYANCE est soumise. |
Vérification de la solvabilité | Intérêt légitime d'APS PREVOYANCE (prévention contre les impayés). |
Gestion des contrôles des autorités administratives, notamment l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) et la CNIL | Respect des obligations légales auxquelles APS PREVOYANCE est soumise. |
Gestion des contrôles des organismes d’assurance | Intérêts légitimes d'APS PREVOYANCE et des Assureurs (vérification du respect des contrats et des obligations légales). |
Gestion du suivi des impayés et des contentieux | Intérêts légitimes d'APS PREVOYANCE (comptabilité, recouvrement, anticipation et gestion de contentieux, constatation, exercice ou défense d'un droit en justice). |
Gestion des réclamations clients | Obligations légales auxquelles APS PREVOYANCE est soumise. |
Gestion de l'exercice de vos droits rappelés au point 9 | Respect des obligations légales auxquelles APS PREVOYANCE est soumise. |
Transmission de portefeuilles clients, vente de l’entreprise ou réorganisation | Intérêt légitime d'APS PREVOYANCE (en cas de restructuration de l'entreprise, de partenariat avec un tiers, de rachat ou de prise de participation). |
Dans certains cas, le consentement est nécessaire pour traiter vos données, par exemple :
- pour le traitement de données sensibles, telles que les données médicales ou de santé, nécessaires pour l’exécution de la Garantie+ et les demandes d’aide auprès de notre Fonds social. Ce consentement est alors une condition nécessaire pour fournir les services que vous ou votre employeur demandent à APS PREVOYANCE. L’absence de consentement à ce titre ou le retrait de ce consentement peut empêcher APS PREVOYANCE d’offrir ses services;
- si les finalités décrites ci-dessus donnaient lieu à une prise de décision automatisée produisant des effets juridiques vous concernant, nous vous informerions séparément de la raison sous-jacente ainsi que de l’importance et des conséquences prévues de ce traitement;
- si nous procédons à un traitement, à des fins autres que celles décrites ci-dessus, nous vous en informerons et si nécessaire vous demanderons votre consentement.
Enfin, dans le cadre de l’évaluation des risques et des audits ou contrôle par les Assureurs, APS PREVOYANCE est amené à fournir vos données aux Assureurs afin qu’ils examinent si les données fournies correspondent aux critères fixés par ces derniers pour assurer un risque. Nous vous invitons à consulter la politique de confidentialité de chaque Assureur pour obtenir plus de détails.
7. La collecte et le traitement de vos donnees sont-ils obligatoires ?
Lors de la souscription d’un contrat avec APS PREVOYANCE, certaines données doivent nous être obligatoirement communiquées.
Sur le site internet d'APS PREVOYANCE ainsi que sur nos différents formulaires d'adhésion, les données identifiées par un astérisque (*) sont nécessaires à la gestion du contrat, à des mesures précontractuelles ou au respect d'obligations légales. Les conséquences du défaut de la collecte de vos données dépendent des situations. A défaut de communiquer ces données obligatoires, vous ne pourrez notamment pas conclure de contrat par l'intermédiaire d'APS PREVOYANCE.
Par ailleurs, pour pouvoir exercer vos droits rappelés au point 9, nous pourrons être amenés à vous demander de nous communiquer certains justificatifs, notamment des justificatifs d’identité. La non-communication de ces justificatifs empêchera APS PREVOYANCE de répondre à vos demandes.
8. Les destinataires de vos donnees
Afin d’accomplir les finalités précitées, nous pouvons transmettre vos données personnelles uniquement :
- aux différents services internes d'APS PREVOYANCE;
- aux Assureurs;
- aux mandataires indépendants, intermédiaires ou co-courtiers;
- à nos sous-traitants réalisant des prestations pour notre compte (nos subdélégataires et prestataires informatiques);
- aux autorités financières, judiciaires ou agences d’État, organismes publics (notamment l’Autorité de Contrôle Prudentiel et de Résolution ou TRACFIN) dans la limite de ce qui est permis par la réglementation;
- à certaines professions réglementées telles qu’avocats, notaires, commissaires aux comptes, consultants;
- aux administrations sociales et fiscales.
En cas de communication de vos données à des sous-traitants, ces sous-traitants sont tenus d’une obligation de confidentialité et de sécurité, ainsi que d’autres obligations énumérées dans le RGPD. APS PREVOYANCE choisit avec soin ses sous-traitants et demeure en tout état de cause responsable du traitement des données par ses sous-traitants conformément à la loi Informatique et Libertés et au RGPD.
9. Vos droits
Vous disposez dans les conditions définies aux articles 15 et suivants du RGPD, sauf exceptions :
Droit d'accès Article 15 du RGPD | Droit d'obtenir d'APS PREVOYANCE la confirmation que des données personnelles vous concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données personnelles ainsi qu’à plusieurs informations sur nos traitements. |
---|---|
Droit de rectification Article 16 du RGPD | Droit d'obtenir d'APS PREVOYANCE la rectification des données personnelles vous concernant qui sont inexactes. |
Droit à l'effacement ou droit "à l'oubli" Article 17 du RGPD | Droit d'obtenir d'APS PREVOYANCE l'effacement de données personnelles vous concernant dans certains cas. |
Droit à la limitation du traitement Articles 18 et 19 du RGPD | Droit d'obtenir d'APS PREVOYANCE la limitation des traitements dans certains cas. |
Droit à la portabilité des données Article 20 du RGPD | Droit de recevoir les données que vous avez personnellement fournies à APS PREVOYANCE, dans un format structuré, et/ou de demander à APS PREVOYANCE de transmettre ces données à un autre responsable du traitement, lorsque le traitement est fondé sur le consentement ou sur le contrat et que le traitement est effectué à l'aide de procédés automatisés. |
Droit d'opposition Article 21-1 et 21-2 du RGPD | Droit d’obtenir à tout moment d'APS PREVOYANCE, pour des raisons tenant à votre situation particulière, que nous ne procédions plus aux traitements des données personnelles vous concernant dans certains cas. Droit de s'opposer à tout moment au traitement des données personnelles vous concernant à des fins de prospection. |
Droit de ne pas faire l'objet d'une décision individuelle automatisée Article 22 du RGPD | Droit de ne pas faire l’objet d'une décision fondée exclusivement sur un traitement automatisé (y compris le profilage) produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. |
Sort des données après le décès Article 85 de la Loi Informatique et Libertés modifiée | Droit de définir, modifier et révoquer à tout moment des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre mort. Ces directives peuvent être générales ou particulières. Nous pouvons être uniquement dépositaires des directives particulières concernant les données que nous traitons, les directives générales peuvent être recueillies et conservées par un tiers de confiance numérique certifié par la CNIL. Vous avez aussi le droit de désigner un tiers auquel les données vous concernant pourront être communiquées après votre mort. Vous vous engagez alors à informer ce tiers de votre démarche et du fait que des données permettant de l’identifier sans ambiguïté nous seront transmises, à lui communiquer la présente Politique générale de confidentialité. |
Droit d'introduire une réclamation auprès d'une autorité de contrôle Article 77 du RGPD | Droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (la CNIL) si vous estimez que nous avons manqué à nos obligations concernant vos données. |
L’existence ou non de ces différents droits dépend notamment du fondement juridique du traitement concerné par la demande. Ces droits ne sont pas non plus sans limites et, dans certains cas, APS PREVOYANCE pourra refuser votre demande (par exemple pour des motifs légitimes impérieux pour ce qui concerne le droit d’opposition). Ainsi, dans certaines hypothèses, il se peut que nous vous répondions que votre demande ne peut pas donner lieu à une réponse positive de la part d'APS PREVOYANCE et nous vous expliquerons la raison pour laquelle nous ne pouvons y déférer.
Conformément à l’article 19 du RGPD, APS PREVOYANCE notifiera chaque destinataire auquel vos données personnelles auront été communiquées toute demande de rectification, d’effacement ou de limitation du traitement effectué conformément à l'article 16, à l'article 17, paragraphe 1 ou à l'article 18 du RGPD, à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés. Si vous le demandez, APS PREVOYANCE vous fournira la liste de ces destinataires.
Sous réserve de respecter les conditions posées par la réglementation, vous pouvez exercer vos droits en nous écrivant à l’adresse électronique suivante : dpidueo@aps-prevoyance.fr ou à l’adresse postale suivante : APS PREVOYANCE, Délégué à la protection des données, 10 Bureau Parc des Baumes – 13160 Châteaurenard. En cas de doute raisonnable de la part d'APS PREVOYANCE, nous pourrons être amenés à vous demander des informations ou documents supplémentaires afin de vérifier votre identité (notamment une copie du recto de votre carte d’identité).
Aucun paiement n'est exigé pour répondre à vos demandes relatives à l’exercice des droits précités. Toutefois, conformément à l’article 12 du RGPD, lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, APS PREVOYANCE pourra exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ou refuser de donner suite à ces demandes.
APS PREVOYANCE doit répondre à la demande de la personne concernée d'exercer les droits que lui confèrent le RGPD et la loi "Informatique et Libertés" modifiée. Votre demande sera traitée dans les meilleurs délais et au plus tard dans un délai d’un (1) mois à compter de la réception de la demande. Au besoin, ce délai peut toutefois être porté à deux (2) mois si la demande est complexe. Dans ce dernier cas, il incombera à APS PREVOYANCE de démontrer la complexité de la demande.
Le DPO tient et met à jour régulièrement un tableau de suivi des demandes permettant de conserve l'historique des demandes et des réponses apportées.
Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (la CNIL).
10. VOS OBLIGATIONS
Vous devez vous assurer que les informations que vous nous avez transmises sont exactes, pertinentes et à jour.
Vous devez également nous informer, sans délai, de tout changement significatif dans votre situation.
Enfin, si vous nous fournissez des informations concernant un tiers, vous devez vous assurer qu'il vous y a autorisé.
11. Sous-traitance des donnees
Le RGPD porte une attention particulière aux relations entre les responsables de traitement et leurs sous-traitants. Les traitements comportant des données personnelles doivent être régis par un contrat, ou un autre acte juridique, liant le sous-traitant à l'égard du responsable de traitement.
Dans le cadre des contrats conclus avec ses sous-traitants, APS PREVOYANCE veille à ce que soit précisé dans les contrats :
- l'information qu'en cas d'utilisation de données à caractère personnel, ces données et les fichiers les contenant sont soumis au respect de la législation applicable à la protection des données personnelles et qu'ils relèvent de la vie privée et du secret professionnel
- l'engagement du sous-traitant à mettre en place toutes les procédures ou mesures nécessaires pour assurer la sécurité et la confidentialité des données personnelles transmises
- la responsabilité de chacun des acteurs (responsable de traitement, sous-traitant notamment) à l'égard de la protection des données à caractère personnel
- l'obligation de notifier à APS PREVOYANCE toute violation (accidentelle ou non) des données personnelles, et ce dans les meilleurs délais après en avoir pris connaissance
APS PREVOYANCE veille ainsi à ce que le sous-traitant présente des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité.
12. Transferts en dehors de l’espace economique europeen
Vos données ne font l’objet d’aucun transfert hors de l’Espace économique européen dans le cadre des traitements effectués par APS PREVOYANCE ou ses sous-traitants.
13. Durée de conservation des donnees
Les données sont conservées en base active (c’est-à-dire accessible au personnel opérationnel) pendant le temps nécessaire aux finalités décrites ci-dessus au point 3. Pour déterminer ces durées de conservation, APS PREVOYANCE se réfère aux recommandations de la CNIL lorsque des recommandations ont été fournies par cette dernière, le cas échéant en mettant à jour ces recommandations au regard de l’entrée en vigueur de nouveaux textes légaux ou réglementaires non pris en compte par les recommandations de la CNIL.
À l’expiration de ces durées, les données sont conservées sous forme d’archives (c’est-à-dire accessibles uniquement par un nombre limité de membres du personnel et uniquement en cas de réclamations, de contentieux, de demandes d’accès ou à des fins de preuves de la bonne exécution par APS PREVOYANCE de ses obligations contractuelles ou légales) pendant la durée de la prescription légale applicable ou de la durée nécessaire au respect d’une obligation légale (par exemple les exigences du Code de commerce relatives à la conservation des pièces comptables). Ces durées varient selon les finalités et les données concernées. En cas de différence de durée entre la prescription civile et la prescription pénale pour la même catégorie de données, la durée la plus longue est appliquée.
14. Sécurité des données
APS PREVOYANCE s'engage à traiter les données à caractère personnel de façon à garantir une sécurité appropriée des données et à minimiser le risque de survenance d'un incident. La protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentel, est mis en œuvre à l'aide de mesures techniques et organisationnelles garantissant un niveau de sécurité adapté aux risques. L'ensemble de ces mesures assurent la confidentialité, la disponibilité et l'intégrité des données à caractère personnel.
Chacun des traitements de données personnelles réalisés par APS PREVOYANCE doit respecter des règles de protection visant :
- la sécurité physique : mesures destinées à limiter, contrôler l'accès aux endroits où sont stockées les données aux seules personnes habilitées. Mesures destinées à prévenir et protéger les données contre les agressions accidentelles ou volontaires (incendie, dégât des eaux, etc...)
- la sécurité logique : mesures destinées à limiter et contrôler l'accès au Système d'information et de télécommunication aux seules personnes habilitées.
Les principales mesures techniques de sécurité sont :
- les applicatifs permettant de délivrer nos services en ligne sont basés sur des conceptions sécurisées incluant une gestion des droits d'accès.
- les accès aux données (dans leur intégralité ou à certaines d'entre elles seulement) sont strictement limités au personnel habilité (gestion des accès par login et mot de passe).
- les transferts de flux internes et externes s'effectuent via des protocoles standards sécurisés comme HTTPS, SSL, etc...
- des antivirus, des pare-feux et des anti-spams présents sur notre réseau et les messageries
- un système de repérage des activités anormales ou suspectes sur le réseau
- des pare-feux sur le réseau
- système de filtrage
- la mise en place de journalisations (logs) sur le réseau
Des mesures organisationnelles ont également été mises en place :
- procédures d'accès et revue de ces accès
- mise à jour des services en ligne par le seul personnel habilité
- sensibilisation de l'ensemble du personnel d'APS PREVOYANCE et des stagiaires à la protection et la sécurité des données
15. Gestion des violations de données
Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles (transmises, conservées ou traitées) ou l'accès non autorisé à de telles données, que ce soit de manière accidentelle ou illicite.
En cas de violation de données personnelles, APS PREVOYANCE a mis en place une procédure de gestion des incidents de sécurité permettant de détecter, d'évaluer et de répondre à cette violation. Il a été également mis en place un Plan de Continuité de Service par pallier l'indisponibilité critique de tout équipement.
Toute détection de violation fera l'objet d'une évaluation rapide avec la mise en place d'un dispositif adapté à l'identification de la cause racine de la violation afin de prévenir ou d'atténuer les effets causés par la violation.
Par ailleurs, en cas de violation de données personnelles, APS PREVOYANCE notifiera la violation à la CNIL dans les meilleurs délais et dans les 72 heures au plus tard après sa découverte (sauf si cette violation n'engendre aucun risque pour les droits et les libertés des personnes physiques). Dans certains cas, une communication sera faite aux personnes concernées par le préjudice de la violation de données.
Dans le cadre de nos contrats de sous-traitance, les sous-traitants ont l'obligation de remonter tout incident dans les meilleurs délais après leur découverte, et de mettre en œuvre toutes les mesures nécessaires pour limiter les conséquences de l'incident.
Bien entendu, APS PREVOYANCE prendra toutes les mesures nécessaires pour empêcher la reproduction des causes de la violation de données.
16. Modification de la politique générale de confidentialité
Le DPO est chargé de gérer les révisions de la Politique Générale de confidentialité.
Cette politique est revue au moins une fois par an, et obligatoirement dans les cas suivants :
- évolution de la réglementation
- évènement exceptionnel
- changement et incident majeurs
Toute mise à jour sera publiée sur notre site internet. Elle pourra nécessiter de votre part, l’information des tiers (notamment votre entourage ou vos salariés et leur propre entourage).
Annexe 1 : Définitions
Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
Personne physique identifiable : personne physique qui peut être identifiée directement par son nom et son prénom par exemple, ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l'image.
L'identification peut donc être réalisée à partir d'une seule donnée ou du croisement de plusieurs données.
Donnée concernant la santé : donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.
Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Responsable du traitement : personne physique ou morale, l’autorité publique, ou tout autre organisme qui, seul ou conjointement avec d’autre(s), détermine les finalités et les moyens du traitement. Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
Sous-traitant : personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Annexe 2 : Bases juridiques
La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.
Six bases légales sont prévues par le RGPD :
- le consentement;
- le contrat;
- l’obligation légale;
- la sauvegarde des intérêts vitaux;
- l’intérêt public;
- les intérêts légitimes.
Cette page a été mise à jour le : 19 mai 2022