Politique de protection de données
I. Présentation
Dans le cadre des relations établies avec nos adhérents et personnes susceptibles d’adhérer, nous sommes en situation de collecter, traiter et communiquer vos données à caractère personnel pour vous proposer nos offres et exécuter les contrats que vous avez bien voulu nous confier. Nous avons bien conscience de l’importance de ces données pour vous et nous y apportons toute l’attention requise.
Ce document reprend nos principales pratiques en matière de recueil, d’utilisation et de partage de données, et décrit également les droits des adhérents et des personnes susceptibles d’adhérer conformément au Règlement général sur la protection des données dit « RGPD » du 27 avril 2016 n°2016/679 et la Loi du janvier 1978 dite « Loi informatique et libertés » n°78-17 modifiée. |
Cette politique s’adresse aux :
- Adhérents à REPAM et leurs ayants-droit ;
- Personnes susceptibles d’adhérer à REPAM.
Nous nous réservons le droit de modifier cette politique, de la réviser ou de la compléter afin d’en adapter les règles à l’apparition de nouvelles pratiques, lors de l’évolution de la réglementation ou encore dans le but d’en renforcer l’efficacité.
II. Recueil de vos données à caractère personnel
Dans le cadre des finalités de traitement décrites dans le présent document, nous sommes susceptibles de collecter certaines données à caractère personnel soit directement auprès de vous, soit par l’intermédiaire de nos courtiers, de votre employeur et de nos partenaires. Conformément au principe de minimisation des données, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire aux finalités décrites en paragraphe 6, sont collectées. |
Ceci concerne essentiellement les données suivantes :
- Vos données d’identification (état civil, nom, prénom, date de naissance, coordonnées) et celles de vos ayants-droit ;
- Des informations relevant de votre vie professionnelle, des informations relatives à votre situation familiale et, dans le cas des contrats de prévoyance, des informations sur vos habitudes de vie ;
- Des informations économiques et financières, aux fins de définition de vos besoins puis de paiement de vos cotisations et de remboursement de vos prestations ;
- Votre Numéro d’Identification National (NIR) ;
- Les données de santé que vous nous communiquez, celles reçues d’un professionnel de santé et celles éventuellement présentes dans les documents qui sont adressés à REPAM.
- Données d’utilisation du service (adresse IP…).
III. L’utilisation de vos données
Nous collectons vos données à caractère personnel en vue de répondre à vos demandes d’informations, envoi de devis et sollicitations, analyse de vos besoins mais également dans le cadre de la prise en compte de votre adhésion à une offre santé, prévoyance ou assurance emprunteur, ainsi que pour le traitement de votre dossier. |
La réglementation en vigueur impose que le traitement de vos données à caractère personnel ait un ou plusieurs fondement(s) juridique(s). À ce titre, le traitement que nous réalisons à partir de vos données a pour base légale :
- L’exécution d’un contrat conclu (par exemple pour le remboursement de soins) ;
- Le consentement que vous nous avez fourni (par exemple quand vous remplissez un formulaire de contact, nous vous demandons si vous acceptez de recevoir par e-mail des informations et des offres, lors de votre demande de devis) ;
- Le respect d’une obligation légale nous incombant (par exemple pour la lutte contre le blanchiment de capitaux) ;
- La protection de nos intérêts légitimes (par exemple pour la lutte contre la fraude) ;
- La préservation de l’intérêt public.
Nous nous engageons à utiliser et traiter vos données uniquement dans le cadre des opérations suivantes :
- La prospection commerciale et les communications non commerciales.
- L’adhésion et la gestion, y compris commerciale, des contrats.
- L’ouverture, le traitement et/ou le règlement des prestations.
- Le traitement des réclamations.
- La création et la mise en place des contrats d’assurance sur mesure.
- La gestion opérationnelle des différents services au sein de Repam.
- La gestion des données d’essai pour la maintenance et l’introduction de système et de services informatiques afin de garantir la sécurité, le fonctionnement et la fiabilité des systèmes et services informatiques, ainsi que pour optimiser les services de manière continue.
- L’amélioration constante de la qualité de service et la satisfaction de la clientèle.
- L’élaboration de statistiques afin de mieux évaluer vos besoins et intérêts (statistiques sur les différentes rubriques du site internet, sur la sinistralité…).
- L’exécution des dispositions légales, règlementaires et administratives en vigueur (dispositif de lutte contre la fraude, de lutte contre le financement du terrorisme et le blanchiment des capitaux, …).
- Le contrôle des activités via notamment les missions d’audit.
Repam est susceptible de mettre en œuvre des traitements de profilage fondés sur l’analyse de vos données. Il s’agit d’un traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels pouvant avoir des impacts sur les caractéristiques de votre contrat. Le profilage est considéré comme une nécessité pour répondre aux obligations de conseil, de détermination de garanties ou de prestations pour vous proposer des contrats et services adaptés à vos besoins.
Nous vous invitons à ne pas nous transmettre vos données sensibles par email et à privilégier l’envoi de ces éléments par courrier postal avec la mention « confidentiel », ou à intégrer directement vos pièces dans votre espace adhérent ou espace sécurisé de notre site internet. A défaut de l’utilisation de ces moyens, Repam ne peut être tenu pour responsable en cas de fuite ou altération de données.
IV. Conséquences en cas de refus ou de retrait de votre consentement
Le refus ou le retrait de votre consentement au traitement de tout ou partie de vos données personnelles pourra avoir des conséquences sur le traitement de votre demande, par exemple votre demande de devis ne pourra être traitée en l’absence de données d’identification. Ce retrait sera alors considéré comme l’abandon de votre demande. De même, le traitement de données médicales dans le cadre de la gestion de votre contrat et de vos sinistres est soumis à votre consentement. En cas de retrait de votre consentement, nous ne serons pas en mesure de traiter votre dossier.
V. Les destinataires de vos données
Dans le strict respect des finalités énoncées, vos données à caractère personnel sont traitées en premier lieu par les personnes dûment habilitées au sein de nos services dans le cadre de l’exercice de leurs missions habituelles. Elles sont également susceptibles d’être échangées avec :
– Nos partenaires : Courtiers, assureurs et réassureurs ;
– Nos sous-traitants et prestataires (informatiques, gestion administrative, logistique…) ;
– Les professionnels réglementés : avocats, médecins chargés d’expertise, huissiers, CAC… ;
– Les entreprises ayant souscrit une offre pour le compte de leurs salariés ;
– Les banques
– Les organismes de droit public ou privé, lorsque cela est prévu par la loi (organismes d’assurance ou organismes sociaux des personnes impliquées, dans le cadre de recours, ainsi que les personnes intéressées au contrat.
– Le DPD |
Nous exigeons de l’ensemble de ces tiers qu’ils appliquent a minima les règles de sécurité élémentaires définies par la CNIL tant sur les aspects administratifs, techniques, qu’organisationnels afin de protéger vos données partagées contre toute divulgation, utilisation, modification et destruction illicite.
Nous nous interdisons de céder les données à caractère personnel que vous nous confiez à des tiers pour des utilisations qui leur seraient propres.
Par ailleurs, REPAM s’engage à ne pas transmettre vos données en dehors de l’Union Européenne.
VI. Les durées de conservation de vos données à caractère personnel
Vos données sont conservées pendant la durée nécessaire à la réalisation des finalités décrites dans le présent document et ceci dans le respect de la législation en vigueur. Elles sont ensuite archivées conformément à la politique d’archivage de REPAM permettant de garantir la justification de vos droits. |
Les délais de conservation des données varient selon la nature des données, la finalité des traitements ou les exigences légales ou réglementaires. Ces délais varient également selon que vous bénéficiez ou non d’un contrat d’assurance et, si vous en bénéficiez, de la résiliation du contrat d’assurance.
Par exemple, si vous avez demandé des informations sur les produits d’assurance mais que le contrat n’a pas été accepté, vos données à caractère personnel seront supprimées 3 ans après le dernier contact entre vous et votre Assureur.
Les données à caractère personnel vous concernant qui sont nécessaires pour la mise en œuvre du contrat d’assurance, seront conservées pendant toute la durée de vie du contrat puis seront supprimées après l’expiration de la durée de prescription légale, au plus tôt 5 ans après l’expiration du contrat d’assurance, 30 ans à compter du décès de l’assuré dans le cadre d’une assurance vie.
Les données comptables sont conservées pendant 10 ans.
La durée de conservation générale de vos données à caractère personnel peut exceptionnellement être prolongée dans la mesure où cela est requis pour la constatation, l’exercice ou la défense d’un droit en justice.
VII. Sécurité
Des mesures de sécurité physiques, logiques et organisationnelles appropriées ont été prévues par REPAM pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé.
Vos données personnelles sont maintenues sur des réseaux sécurisés et accessibles par un nombre limité de collaborateurs et de tiers ayant des droits d’accès spécifiques sur de tels systèmes.
Nous veillons également à ce que nos sous-traitants présentent des garanties appropriées pour assurer la sécurité et la confidentialité de vos données personnelles.
REPAM se doit de notifier aux autorités de contrôle, dans les meilleurs délais, et si possible, 72 heures après en avoir pris connaissance dès lors qu’il y a destruction, perte, altération, divulgation ou accès non autorisé, qu’ils soient accidentels ou illicites des données personnelles sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Néanmoins, nous vous rappelons que vous êtes responsable de la protection de vos identifiants de connexion aux espaces adhérents, notamment le mot de passe que vous avez choisi. Ces informations de connexion sont réservées à votre propre usage. Vous n’êtes pas autorisé à partager vos identifiants ou autres informations de compte avec toute autre personne. Vous devez nous contacter immédiatement si vous découvrez une violation de sécurité ou une utilisation non autorisée de vos identifiants
Cette notification doit également vous être faite sauf si :
- La violation des données personnelles n’est pas susceptible d’engendrer un risque élevé pour vos droits et libertés
- Des mesures appropriées de protection techniques et organisationnelles étaient en place au moment de l’incident
- Cette communication impliquerait des efforts disproportionnés
VIII. Vos droits
Ce chapitre liste l’ensemble de vos droits en matière d’utilisation des données recueillies. REPAM s’engage à ce que chaque droit soit respecté tel que le prévoit le règlement n°2016/679, dit Règlement Général sur la Protection des Données (RGPD). |
1. Droit à l’information
A cet effet, REPAM communique par la présente sa politique de protection des données (finalité du traitement, catégorie de données traitées, destinataires, durée de conservation des données personnelles, droits, information relative à la source des données, existence de prise de décision automatisée).
Outre le droit à l’information, la personne dispose du droit de demander au responsable de traitement d’effectuer d’autres actions sur les données personnelles. Notamment, si la personne identifie une erreur parmi ses données ou si elle les juge incomplètes ou ambigües, elle peut également demander de les corriger, de les compléter ou de les clarifier
2. Droit d’accès
A tout moment, vous pouvez avoir accès à l’ensemble de vos données à caractère personnel que nous détenons à votre sujet et vérifier que nous les traitons conformément à la loi.
Votre droit d’accès est strictement limité aux données que vous nous fournissez à l’exception de tout élément établi par nos services relativement à l’analyse de votre dossier de souscription, de gestion du sinistre ou de réclamation.
Vous disposez également du droit d’obtenir une copie des données à caractère personnel vous concernant faisant l’objet d’un traitement par REPAM. Pour toute demande de copie supplémentaire, nous sommes susceptibles d’exiger de votre part que vous supportiez la charge financière de ce coût. Si votre demande est exprimée par voie électronique, les informations fournies le seront sous une forme électronique d’usage courant sauf demande contraire.
3. Droit de rectification
Vous pouvez demander la rectification de vos données si elles sont inexactes ou les compléter selon les finalités de chaque traitement.
4. Droit à l’effacement (droit à l’oubli)
Il s’agit du droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel concernant la personne. Le droit à l’effacement trouve à s’appliquer dans 6 cas :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou traitées
- La personne a retiré son consentement au traitement de ses données
- La personne a exercé son droit d’opposition et il n’existe pas de motif légitime impérieux pour le traitement
- Le traitement est illicite
- L’effacement correspond au respect d’une obligation légale
- Les données ont été collectées dans le cadre de l’offre de services de la société de l’information pour les mineurs
Veuillez noter qu’une fois vos données supprimées, REPAM pourra ne plus être en mesure de vous apporter ses services. Si vous souhaitez vous réinscrire auprès de REPAM, vous devrez à nouveau saisir vos données.
5. Droit à la limitation du traitement
Il s’agit du droit de demander la limitation du traitement, ce qui implique que, dans certains cas, la personne peut demander de suspendre momentanément le traitement des données ou de les conserver au-delà du temps nécessaire.
Ce droit ne peut s’exercer que dans le respect des obligations règlementaires.
6. Droit à la Portabilité des données
Il s’agit du droit d’obtenir, voire de réutiliser, des données personnelles pour des besoins personnels. Les données sont fournies dans un format structuré, communément utilisé et lisible par une machine. De plus, il est possible d’obtenir du responsable de traitement qu’il transmette les données personnelles directement à un autre responsable de traitement.
Ce droit à la portabilité ne peut s’exercer que sur les données personnelles fournies personnellement et qui sont traitées par des moyens automatisés (absence de registres papier). Ce droit ne concerne que les traitements reposant sur un consentement ou lorsque les données sont traitées aux fins d’exécution d’un contrat de mise en œuvre ou de mesures précontractuelles. Enfin, ce droit ne doit pas porter atteinte aux droits et liberté de tiers.
Ce droit ne peut s’exercer que dans le respect des obligations règlementaires.
7. Droit d’opposition
Il s’agit du droit de s’opposer à tout moment à un traitement des données personnelles à moins que le responsable du traitement ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
Ce droit ne peut s’exercer que dans le respect des obligations règlementaires.
8. Droit d’introduire une réclamation auprès d’une autorité de contrôle
Vous pouvez introduire une réclamation auprès de notre autorité de contrôle, la Commission Nationale Informatique et Libertés « CNIL », si vous considérez que le traitement de vos données à caractère personnel constitue une violation de la réglementation applicable en la matière, via le site www.cnil.fr ou par courrier postal à l’adresse suivante : Cnil –Service des plaintes, 3 place de Fontenay – TSA 80715, 75334 Paris Cedex 07.
Si vous souhaitez exercer vos droits ou en savoir plus, vous pouvez adresser votre demande à l’adresse indiquée au paragraphe » Votre contact privilégié « . |
IX. Votre contact privilégié
REPAM en sa qualité de responsable de traitement des DCP, est la seule entité compétente pour collecter et traiter vos données.
Pour toute information ou exercice de vos droits, il vous suffit de nous contacter sur l’adresse mail : rgpd@repam.fr ou par courrier à l’adresse suivante : REPAM – service juridique 217 cours Lafayette 69006 LYON |
Les demandes adressées sur l’adresse mail rgpd@repam.fr ne concernent que des questions relatives à la loi informatique et libertés et/ou au RGPD, toute autre demande ne sera pas traitée et restera sans réponse.
Pour toute information complémentaire ou réclamation, vous pouvez contacter la Commission Nationale de l’Informatique et des Libertés (CNIL).
Annexe 1 : Lexique
Autorité de contrôle : l’autorité publique indépendante chargée de contrôler la bonne application des obligations des entreprises. Pour le RGPD, il s’agit de la CNIL.
CNIL : Commission Nationale de l’Informatique et des Libertés. Elle informe et accompagne les professionnels et particuliers dans la protection des données à caractère personnel. Elle a également un rôle de contrôle et de sanction dans le cas où les obligations légales ne seraient pas respectées.
Consentement : Un des fondements de la licéité d’un traitement dans le cadre de RGPD. Il s’agit de la manifestation de la volonté de la personne concernée, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Ce consentement peut être retiré à tout moment par la personne concernée.
Data Protection Officer (DPO) ou Délégué à la protection des données : une personne désignée pour faciliter le respect des règles établies dans le cadre du RGPD. Ces missions peuvent être entre autre d’informer et de conseiller sur les obligations qui leur incombent, de contrôler le respect du règlement et de coopérer avec les autorités de contrôle en faisant office de point de contact.
Données à Caractère Personnel (DCP) : toute information qui à elle seule ou par croisement avec d’autres données permet d’identifier une personne (dénommée « personne concernée »). Ces informations peuvent correspondre par exemple à un numéro d’identification, les nom/prénom, une donnée de localisation, une adresse mail…
Données de santé : DCP relatives à la santé physique ou mentale d’une personne, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.
Finalité d’un traitement : l’objectif principal du traitement. Il doit être clair, compréhensible et légitime. La finalité permet de déterminer la pertinence des données collectées.
Licéité du traitement : le RGPD prévoit une liste limitative de conditions auxquelles un traitement de données personnelles peut être licite. La première est le consentement de la personne dont les données sont traitées. Parmi les autres conditions de licéité, le RGPD considère notamment que sera licite un traitement nécessaire “à l’exécution d’un contrat auquel la personne concernée est partie“, “au respect d’une obligation légale“, “à la sauvegarde des intérêts vitaux de la personne concernée“, “à l’exécution d’une mission d’intérêt public” ou encore “aux fins des intérêts légitimes poursuivis par le responsable du traitement“.
Traitement : Toute opération ou ensemble d’opérations effectuées manuellement ou automatiquement telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de DCP.
Personne concernée : est la personne physique dont les données font l’objet d’un traitement, à savoir dans le cadre de cette charte : les visiteurs de nos pages et les adhérents (ayant créé ou non un compte sur notre site internet).
Responsable de traitement : est la personne, physique ou morale, ou l’organisme qui, seul ou conjointement, détermine les objectifs et les modalités de traitement des données personnelles.
Collecter: est recueillir des données personnelles.
Destinataire : est la personne, physique ou morale, ou l’organisme qui reçoit les données personnelles, qu’il s’agisse ou non d’un tiers tel que défini au point (« Destinataire de vos données à caractère personnel »).