Politique de confidentialité

Politique de protection de données

 

I.                   Présentation

Dans le cadre des relations établies avec nos adhérents et personnes susceptibles d’adhérer, nous sommes en situation de collecter, traiter et communiquer vos données à caractère personnel pour vous proposer nos offres et exécuter les contrats que vous avez bien voulu nous confier. Nous avons bien conscience de l’importance de ces données pour vous et nous y apportons toute l’attention requise.

Ce document reprend nos principales pratiques en matière de recueil, d’utilisation et de partage de données, et décrit également les droits des adhérents et des personnes susceptibles d’adhérer au vu du règlement sur la protection des données à caractère personnel.

Cette politique s’adresse aux :

  • Adhérents à REPAM et leurs ayants-droit ;
  • Personnes susceptibles d’adhérer à REPAM.

Nous nous réservons le droit de modifier cette politique, de la réviser ou de la compléter afin d’en adapter les règles à l’apparition de nouvelles pratiques, lors de l’évolution de la réglementation ou encore dans le but d’en renforcer l’efficacité.

 

II.               Recueil de vos données à caractère personnel

Dans le cadre des finalités de traitement décrites dans le présent document, nous sommes susceptibles de collecter certaines données à caractère personnel soit directement auprès de vous, soit par l’intermédiaire de nos courtiers, de votre employeur et de nos partenaires.

Ceci concerne essentiellement les données suivantes :

  • Vos données d’identification (nom, prénom, date de naissance, coordonnées) et celles de vos ayants-droit ;
  • Des informations relevant de votre vie professionnelle, des informations relatives à votre situation familiale et, dans le cas des contrats de prévoyance, des informations sur vos habitudes de vie ;
  • Des informations économiques et financières, aux fins de définition de vos besoins puis de paiement de vos cotisations et de remboursement de vos prestations ;
  • Votre Numéro d’Identification National (NIR) ;
  • Les données de santé que vous nous communiquez, celles reçues d’un professionnel de santé et celles éventuellement présentes dans les documents qui sont adressés à REPAM.

III.            L’utilisation de vos données

Nous collectons vos données à caractère personnel en vue de répondre à vos demandes d’informations, envoi de devis et sollicitations, analyse de vos besoins mais également dans le cadre de la prise en compte de votre adhésion à une offre santé, prévoyance ou assurance emprunteur, ainsi que pour le traitement de votre dossier.

Avant adhésion, les données collectées sont utilisées pour répondre à vos demandes et vous orienter vers nos courtiers partenaires.

Si vous décidez d’adhérer, elles seront utilisées aux fins d’exécution de l’adhésion, et de traitement de votre dossier.

En conséquence, la majorité des traitements reposent sur une base contractuelle, c’est le cas de :

  • La gestion des adhésions et de la vie des contrats ;
  • La gestion des prestations santé et de la prévoyance ;
  • La distribution de l’assurance emprunteur ;
  • La gestion du fond social ;
  • La gestion des adhérents dans le cadre de l’association des assurés de REPAM ;
  • La relation commerciale et l’encaissement de commissions.

En outre, il est de notre intérêt légitime de :

  • Assurer un accueil téléphonique ;
  • Gérer le courrier et les mails ;
  • Assurer un traitement de vos réclamations ;
  • Réaliser des études sur vos besoins afin de vous proposer les garanties les plus adaptées.

 

IV.            Les destinataires de vos données

Dans le strict respect des finalités énoncées, vos données à caractère personnel sont traitées en premier lieu par nos services dans le cadre de l’exercice de leurs missions habituelles. Elles sont également susceptibles d’être échangées avec :– Nos partenaires : Courtiers, assureurs et réassureurs ;– Nos sous-traitants et prestataires (informatiques, gestion administrative, logistique…) ;– Les professionnels réglementés : avocats, médecins chargés d’expertise… ; – Les entreprises ayant souscrit une offre pour le compte de leurs salariés ;– Les banques.

Nous exigeons de l’ensemble de ces tiers qu’ils appliquent a minima les règles de sécurité élémentaires définies par la CNIL tant sur les aspects administratifs, techniques, qu’organisationnels afin de protéger vos données partagées contre toute divulgation, utilisation, modification et destruction illicite.

Nous nous interdisons de céder les données à caractère personnel que vous nous confiez à des tiers pour des utilisations qui leur seraient propres.

Par ailleurs, REPAM s’engage à ne pas transmettre vos données en dehors de l’Union Européenne.

 

V.                Les durées de conservation de vos données à caractère personnel

Vos données sont conservées pendant la durée nécessaire à la réalisation des finalités décrites dans le présent document et ceci dans le respect de la législation en vigueur. Elles sont ensuite archivées conformément à la politique d’archivage de REPAM permettant de garantir la justification de vos droits.

 

VI.            Sécurité

Des mesures de sécurité physiques, logiques et organisationnelles appropriées ont été prévues par REPAM pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé.

Vos données personnelles sont maintenues sur des réseaux sécurisés et accessibles par un nombre limité de collaborateurs et de tiers ayant des droits d’accès spécifiques sur de tels systèmes.

Nous veillons également à ce que nos sous-traitants présentent des garanties appropriées pour assurer la sécurité et la confidentialité de vos données personnelles.

Les sous-traitants de données de santé seront progressivement certifiés HDS (Hébergeurs de Données de Santé).

REPAM se doit de notifier aux autorités de contrôle, dans les meilleurs délais, et si possible, 72 heures après en avoir pris connaissance dès lors qu’il y a destruction, perte, altération, divulgation ou accès non autorisé, qu’ils soient accidentels ou illicites des données personnelles sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

 

Cette notification doit également vous être faite sauf si :

  • La violation des données personnelles n’est pas susceptible d’engendrer un risque élevé pour vos droits et libertés
  • Des mesures appropriées de protection techniques et organisationnelles étaient en place au moment de l’incident
  • Cette communication impliquerait des efforts disproportionnés

 

VII.         Vos droits

Ce chapitre liste l’ensemble de vos droits en matière d’utilisation des données recueillies. REPAM s’engage à ce que chaque droit soit respecté tel que le prévoit le règlement n°2016/679, dit Règlement Général sur la Protection des Données (RGPD).

 

1.      Droit à l’information

A cet effet, REPAM communique par la présente sa politique de protection des données (finalité du traitement, catégorie de données traitées, destinataires, durée de conservation des données personnelles, droits, information relative à la source des données, existence de prise de décision automatisée).

Outre le droit à l’information, la personne dispose du droit de demander au responsable de traitement d’effectuer d’autres actions sur les données personnelles :

  • Si la personne identifie une erreur parmi ses données ou si elle les juge incomplètes ou ambigües, elle peut également demander de les corriger, de les compléter ou de les clarifier
  • La personne peut également s’opposer à ce que ses données soient utilisées, notamment à des fins de prospection commerciale ou de communication à des tiers
  • Enfin, elle peut demander de supprimer, dans certaines conditions, toute donnée personnelle qui la concerne

2.      Droit d’accès

A tout moment, vous pouvez avoir accès à l’ensemble de vos données à caractère personnel que nous détenons à votre sujet et vérifier que nous les traitons conformément à la loi.

3.      Droit de rectification

Vous pouvez demander la rectification de vos données si elles sont inexactes ou les compléter selon les finalités de chaque traitement.

4.      Droit à l’effacement (droit à l’oubli)

Il s’agit du droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel concernant la personne. Le droit à l’effacement trouve à s’appliquer dans 6 cas :

  • Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou traitées
  • La personne a retiré son consentement au traitement de ses données
  • La personne a exercé son droit d’opposition et il n’existe pas de motif légitime impérieux pour le traitement
  • Le traitement est illicite
  • L’effacement correspond au respect d’une obligation légale
  • Les données ont été collectées dans le cadre de l’offre de services de la société de l’information pour les mineurs

5.      Droit à la limitation du traitement

Il s’agit du droit de demander la limitation du traitement, ce qui implique que, dans certains cas, la personne peut demander de suspendre momentanément le traitement des données ou de les conserver au-delà du temps nécessaire.

Ce droit ne peut s’exercer que dans le respect des obligations règlementaires.

6.      Droit à la Portabilité des données

Il s’agit du droit d’obtenir, voire de réutiliser, des données personnelles pour des besoins personnels. Les données sont fournies dans un format structuré, communément utilisé et lisible par une machine. De plus, il est possible d’obtenir du responsable de traitement qu’il transmette les données personnelles directement à un autre responsable de traitement.

Ce droit à la portabilité ne peut s’exercer que sur les données personnelles fournies personnellement et qui sont traitées par des moyens automatisés (absence de registres papier). Ce droit ne concerne que les traitements reposant sur un consentement ou lorsque les données sont traitées aux fins d’exécution d’un contrat de mise en œuvre ou de mesures précontractuelles. Enfin, ce droit ne doit pas porter atteinte aux droits et liberté de tiers.

Ce droit ne peut s’exercer que dans le respect des obligations règlementaires.

7.      Droit d’opposition

Il s’agit du droit de s’opposer à tout moment à un traitement des données personnelles à moins que le responsable du traitement ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

Ce droit ne peut s’exercer que dans le respect des obligations règlementaires.

Si vous souhaitez exercer vos droits ou en savoir plus, vous pouvez adresser votre demande à l’adresse indiquée au paragraphe  » Votre contact privilégié « .

 

VIII.     Votre contact privilégié

Le responsable des traitements est David SALAT, Président du Directoire de REPAM.

Pour toute information ou exercice de vos droits, il vous suffit de nous contacter sur l’adresse mail : rgpd@repam.fr ou par courrier à l’adresse suivante : REPAM – service juridique 217 cours Lafayette 69006 LYON

Les demandes adressées sur l’adresse mail rgpd@repam.fr ne concernent que des questions relatives à la loi informatique et libertés et/ou au RGPD, toute autre demande ne sera pas traitée et restera sans réponse.

Pour toute information complémentaire ou réclamation, vous pouvez contacter la Commission Nationale de l’Informatique et des Libertés (CNIL).

Annexe 1 : Tableau de synthèse des traitements / Fondement juridique / Destinataire

Annexe 2 : Lexique

Autorité de contrôle : l’autorité publique indépendante chargée de contrôler la bonne application des obligations des entreprises. Pour le RGPD, il s’agit de la CNIL.

CNIL : Commission Nationale de l’Informatique et des Libertés. Elle informe et accompagne les professionnels et particuliers dans la protection des données à caractère personnel. Elle a également un rôle de contrôle et de sanction dans le cas où les obligations légales ne seraient pas respectées.

Consentement : Un des fondements de la licéité d’un traitement dans le cadre de RGPD. Il s’agit de la manifestation de la volonté de la personne concernée, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Ce consentement peut être retiré à tout moment par la personne concernée.

Data Protection Officer (DPO) ou Délégué à la protection des données : une personne désignée pour faciliter le respect des règles établies dans le cadre du RGPD. Ces missions peuvent être entre autre d’informer et de conseiller sur les obligations qui leur incombent, de contrôler le respect du règlement et de coopérer avec les autorités de contrôle en faisant office de point de contact.

Données à Caractère Personnel (DCP) : toute information qui à elle seule ou par croisement avec d’autres données permet d’identifier une personne (dénommée « personne concernée »).  Ces informations peuvent correspondre par exemple à un numéro d’identification, les nom/prénom, une donnée de localisation, une adresse mail…

Données de santé : DCP relatives à la santé physique ou mentale d’une personne, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Finalité d’un traitement : l’objectif principal du traitement. Il doit être clair, compréhensible et légitime. La finalité permet de déterminer la pertinence des données collectées.

Licéité du traitement : le RGPD prévoit une liste limitative de conditions auxquelles un traitement de données personnelles peut être licite. La première est le consentement de la personne dont les données sont traitées. Parmi les autres conditions de licéité, le RGPD considère notamment que sera licite un traitement nécessaire “à l’exécution d’un contrat auquel la personne concernée est partie“, “au respect d’une obligation légale“, “à la sauvegarde des intérêts vitaux de la personne concernée“, “à l’exécution d’une mission d’intérêt public” ou encore “aux fins des intérêts légitimes poursuivis par le responsable du traitement“.

Traitement : Toute opération ou ensemble d’opérations effectuées manuellement ou automatiquement telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de DCP.