Politique de protection des données

POLITIQUE DE PROTECTION DES DONNÉES

 

Table des matières

INTRODUCTION

PRINCIPAUX TERMES DE PROTECTION DES DONNÉES.

IDENTITÉ DU RESPONSABLE DU TRAITEMENT DES DONNÉES ET COORDONNÉES

INFORMATIONS PERSONNELLES QUI PEUVENT ÊTRE TRAITÉES

SOURCES DE DONNÉES PERSONNELLES

COMMENT NOUS UTILISONS ET DIVULGUONS VOS DONNÉES - PERTINENCE DES DONNÉES

LE TRAITEMENT DES DONNÉES DE SANTÉ

CONSENTEMENT

DURÉE DE CONSERVATION DES DONNÉES

MESURES DE SÉCURITÉ

LIMITATION DE LA COLLECTE ET DE LA CONSERVATION DES INFORMATIONS

TRANSMISSION TRANSFRONTALIÈRE D'INFORMATIONS PERSONNELLES

EXACTITUDE, RESPONSABILITÉ, OUVERTURE ET VOS DROITS

QUESTIONS, DEMANDES OU RÉCLAMATIONS

MODIFICATIONS APPORTÉES À LA PRÉSENTE POLITIQUE VIE PRIVÉE

 

INTRODUCTION

Cette politique a pour objectif d'encadrer la conformité des traitements de données à caractère personnel et le respect des droits des personnes concernées pour l’ensemble des données gérées par GEREP. Les textes de références de cette politique sont le RGPD (Règlement Général pour la Protection des Données) et la Loi dite " Informatique et Libertés ". Les notions utilisées dans cette politique sont définies dans le RGPD, notamment les notions de traitement, de données personnelles ou données à caractère personnel, personnes concernées et responsable de traitement.

GEREP s'efforce de protéger la confidentialité des données personnelles que la société traite en lien avec les services qu'elle fournit à ses clients.

 

PRINCIPAUX TERMES DE PROTECTION DES DONNÉES

  • Le RGPD est le Règlement Général sur la Protection des Données de l'UE et actes de mise en œuvre en vigueur dans l'État membre correspondant de l'UE où est établi Gerep.
  • Le Responsable du traitement des données est une entité qui recueille et conserve les données personnelles. Il décide quelles données personnelles il recueille à votre égard et comment ces données personnelles sont utilisées. Tout acteur du marché de l'assurance, lorsqu'il utilise vos données personnelles pour les fins énoncées au paragraphe "Comment nous utilisons et divulguons vos données", peut être un responsable du traitement des données.
  • Les données personnelles désignent toutes les données à partir desquelles vous pouvez être identifié et qui vous concernent. Elles peuvent inclure des données sur toute demande d'indemnisation que vous avez émise.
  • Le traitement des données personnelles comprend la collecte, l'utilisation, le stockage, la divulgation ou l'effacement de vos données personnelles.

 

IDENTITÉ DU RESPONSABLE DU TRAITEMENT DES DONNÉES ET COORDONNÉES

GEREP, 4 rue de VIENNE 75008 PARIS désigne le responsable du traitement des données à l'égard des données personnelles que nous recevons dans le cadre de la prestation de nos services.

 

INFORMATIONS PERSONNELLES QUI PEUVENT ÊTRE TRAITÉES

Nous sommes amenés à collecter et à traiter les données personnelles suivantes :

  • Informations individuelles : nom, adresse (et preuves d'adresse), autres coordonnées (par ex. : e-mail et numéros de téléphone), sexe, statut matrimonial, informations sur la famille, date et lieu de naissance, employeur, intitulé de poste professionnel et expérience professionnelle, liens avec l’assuré, le bénéficiaire ou le demandeur d'indemnisation.
  • Informations d'identification : numéros d'identification émis par des organismes ou des institutions gouvernementaux (par ex. : selon le pays dans lequel vous vous trouvez, le numéro de sécurité sociale ou d'assurance nationale, le numéro de passeport, le numéro de carte d'identité, le numéro d'identification fiscale, le numéro de permis de conduire).
  • Informations financières : numéro de carte de paiement, numéro de compte bancaire et informations de compte, informations sur le revenu et autres informations financières.
  • Risque assuré : informations appropriées au risque assuré.
  • Catégories spéciales de données personnelles : Les données suivantes sont considérées comme relevant d’une catégorie spéciale de données personnelles : les données médicales conditions médicales physiques ou mentales actuelles ou antérieures, état de santé, informations sur des blessures ou des invalidités, procédures médicales effectuées, habitudes personnelles pertinentes (par ex. : tabagisme ou consommation d'alcool), informations sur des prescriptions médicales, antécédents médicaux ;
  • Informations sur la police : informations sur les devis que reçoivent les particuliers et sur les polices qu'ils obtiennent.
  • Demandes d'indemnisation antérieures : informations sur les précédentes demandes d'indemnisation, qui peuvent inclure des catégories spéciales de données personnelles (telles que reprises dans la définition ci-dessus).
  • Demandes d'indemnisation en cours ? informations sur les demandes d'indemnisation en cours, qui peuvent inclure des Catégories spéciales de Données personnelles (telles que reprises dans la définition ci-dessus).
  • Données marketing : si oui ou non le particulier a consenti à recevoir de la publicité de notre part et de tierces parties.


Le traitement de catégories particulières de données est interdit, sauf dans les cas où :

  1. La personne concernée a donné son consentement exprès au traitement de catégories particulières de données en question, et ledit consentement est considéré comme valable en vertu de la législation et des réglementations en vigueur ; ou
  2. Le traitement est nécessaire à des fins de respect des obligations et droits spécifiques du responsable du traitement ou de la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où il est autorisé par une législation en vigueur prévoyant des garanties adéquates ; ou
  3. Le traitement de catégories particulières de données est nécessaire à des fins de médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de santé et soumis aux conditions et garanties si ces données sont traitées :
  • Par un professionnel de la santé soumis à une obligation de secret professionnel, ou par une autre personne également soumise à une obligation de secret ; ou
  • Le traitement est nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique selon le droit de l’Union ou le droit d’un État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ;
  1. Le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à la Réglementation européenne, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;

 

SOURCES DE DONNÉES PERSONNELLES

Nous recueillons les données personnelles auprès de sources diverses, comprenant (selon le pays dans lequel vous vous trouvez) :

  • Vous-même et les membres de votre famille, en ligne, par téléphone ou par correspondance écrite ;
  • Votre(vos) employeur(s) ;
  • Dans le cas d'une demande d'indemnisation, un tiers, y compris le demandeur d'indemnisation, le défendeur, les témoins, les experts (y compris les experts médicaux), les experts en sinistres, les avocats et les gestionnaires de demandes d'indemnisation ;
  • D'autres acteurs du marché de l'assurance, tels que les assureurs, les réassureurs et autres intermédiaires ;
  • Toute base de données en matière de lutte contre la fraude et autre base de données de tiers, en ce compris des listes de sanctions ;
  • Les organismes gouvernementaux, ainsi que les autorités fiscales ;
  • Les formulaires de demande d'indemnisation.

 

COMMENT NOUS UTILISONS ET DIVULGUONS VOS DONNÉES - PERTINENCE DES DONNÉES

Vos données sont collectées et traitées de manière loyale et licite. Cette politique s'inscrit dans cette démarche de transparence.

Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

La collecte et le traitement de vos données à caractère personnel sont nécessaires à la gestion et à l’exécution du contrat par GEREP.

Les données personnelles sont collectées pour des objectifs précis (finalités), portés à la connaissance des personnes concernées. Ces données ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités.

Ces données sont collectées loyalement ; aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées.

Ces « fondements juridiques » sont repris dans le Règlement général sur la protection des données (RGPD) et permettent aux entreprises de traiter des données personnelles uniquement lorsque le traitement est autorisé par les « fondements juridiques » spécifiques décrits dans la réglementation.

Veuillez noter qu'en plus des divulgations reprises dans le tableau ci-dessous, il se peut que nous divulguions des données personnelles, en respectant les finalités précisées dans cette politique, aux prestataires de services, qui effectuent des prestations pour notre compte. GEREP exige également que tous les prestataires de services présentent des garanties appropriées pour assurer la sécurité et la confidentialité des données personnelles.

 

tableau_rgpd
 
 

LE TRAITEMENT DES DONNÉES DE SANTÉ

GEREP peut être amené, dans le strict respect de l’objet de ses activités, à procéder au traitement de données concernant votre santé et, a fortiori, traiter vos données médicales. Sur ce point, outre le respect des principes précédemment exposés, GEREP apporte une attention particulière aux modalités de leur collecte et à la mise en œuvre de mesures de sécurité renforcées.

Vos données médicales sont couvertes par le secret médical. Elles sont uniquement destinées à notre Service Médical et à toute personne placée sous la responsabilité du Médecin Conseil Chef.

 

CONSENTEMENT

Le traitement des données concernant la santé de l’assuré, données sensibles au sens de la « loi Informatique et Libertés » et du RGPD, est soumis à son consentement écrit et préalable. En pratique, la conclusion du contrat d’assurance vaut recueil du consentement pour le traitement des données de santé à des fins de gestion du contrat. Pour tout autre service nécessitant le traitement de ces données, un consentement spécifique est recueilli.

Afin de faciliter la communication d’information marketing, nous avons besoin de votre consentement.

Vous, ainsi que toute personne autre que vous-même, peuvent à tout moment retirer leur consentement relatif au traitement des données personnelles. Toutefois, cela peut nous empêcher de continuer à offrir nos services.

 

DURÉE DE CONSERVATION DES DONNÉES

GEREP s’engage à ce que les données collectées soient conservées sous une forme permettant votre identification pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et traitées.

Dans le cadre la gestion du régime complémentaire des prestations santé et services associés, les données mentionnées ci-dessus de la présente politique de confidentialité sont conservées 10 ans après la fin de l’affiliation conformément à la durée nécessaire à l’exécution du contrat. Les durées de conservation doivent également permettre de respecter les délais de prescriptions qui résultent notamment du Code de la Mutualité, du Code des Assurances ainsi que des articles 2219 et suivants du Code Civil.

Dans le cadre de la gestion du site internet (consultation des décomptes, déclarations de changement de situation, les données mentionnées ci-dessus de la présente politique de confidentialité) sont conservées pendant 2 ans.

 

MESURES DE SÉCURITÉ

Nous avons pour objectif de toujours conserver vos données personnelles de la manière la plus sûre et la plus sécurisée, et uniquement pendant la durée nécessaire à la réalisation de la finalité poursuivie par le traitement. Dans cette perspective, nous prenons les mesures physiques, techniques et organisationnelles appropriées pour empêcher dans toute la mesure du possible toute altération ou perte de vos données ou tout accès non autorisé à celles-ci. Ces dispositifs de sécurité varieront en fonction du degré de sensibilité, du format, de l'emplacement, de la quantité, de la distribution et du stockage des données personnelles. Ils incluent des mesures visant à protéger les données personnelles contre tout accès non autorisé. Le cas échéant, les mesures de sécurité comprennent le cryptage des communications via SSL, le pare-feu, la formation des collaborateurs, les contrôles d'accès, la séparation des tâches et les protocoles de sécurité similaires.

Nous limitons l'accès aux données personnelles du personnel et des tiers qui nécessitent l'accès à de telles informations, à des fins légitimes, pertinentes et professionnelles.

 

LIMITATION DE LA COLLECTE ET DE LA CONSERVATION DES INFORMATIONS

Nos périodes de conservation de données personnelles sont basées sur les besoins de l'entreprise et les exigences légales. Nous conservons les données personnelles aussi longtemps que nécessaire pour les finalités des traitements pour lesquelles les informations ont été recueillies et pour toute autre finalité permise et liée, ou telle qu'exigée par la loi. Par exemple, nous pouvons conserver certaines informations de transaction et la correspondance associée, jusqu'à ce que le délai pour des demandes d'indemnisation découlant de la transaction ait expiré ou pour se conformer aux exigences réglementaires concernant la conservation de ces données. Lorsque des données personnelles ne sont plus nécessaires, soit nous rendons irréversiblement anonymes les données (et nous pouvons continuer à conserver et à utiliser les informations anonymes), soit nous détruisons les données de manière sécurisée.

 

TRANSMISSION TRANSFRONTALIÈRE D'INFORMATIONS PERSONNELLES

Nous ne transmettons pas des données personnelles à des pays extérieurs à l'Espace économique européen (EEE).

Vous pouvez demander des informations supplémentaires sur les mesures de protection spécifiques appliquées à l'exportation de vos données personnelles en contactant le délégué à la protection des données à l'adresse ci- dessous.

 

EXACTITUDE, RESPONSABILITÉ, OUVERTURE ET VOS DROITS

Nous nous efforçons de conserver des données personnelles qui sont exactes, complètes et actuelles. Veuillez nous contacter via le formulaire de contact sur le site http://www.gerep.fr/fr/contact pour mettre à jour vos informations.

Les questions concernant nos pratiques de respect de la vie privée devraient tout d'abord être dirigées à notre Délégué à la protection des données.

Sous certaines conditions, vous avez le droit de nous demander de :

  • Fournir de plus amples détails sur la manière dont nous utilisons et traitons vos données personnelles ;
  • Fournir une copie des données personnelles que nous conservons vous concernant ;
  • Mettre à jour toutes les inexactitudes figurant dans les données personnelles que nous détenons ;
  • Supprimer les données personnelles pour lesquelles nous n'avons plus de fondement juridique justifiant leur traitement ;
  • Retirer le consentement, lorsque le traitement est fondé sur le consentement ;
  • S’opposer à tout traitement de données personnelles que nous justifions par les fondements juridiques des « intérêts légitimes », à moins que nos raisons d'entreprendre ce traitement l'emportent sur tout préjudice causé à vos droits du respect de la vie privée ; et restreindre la façon dont nous traitons les données personnelles pendant que nous examinons votre demande.

 

Ces droits peuvent faire l'objet de certaines dérogations pour protéger l'intérêt public (par ex. : la prévention ou la détection d'une activité délictuelle) et nos intérêts. Nous répondrons à la plupart des demandes dans un délai de 30 jours.

Si nous sommes dans l'incapacité de répondre à une demande ou à une plainte, vous pouvez contacter :

CNIL

3, place de FONTENOY

TSA 80715

75334 PARIS CEDEX 07

 

QUESTIONS, DEMANDES OU RÉCLAMATIONS

Pour soumettre vos questions ou demandes concernant cette Politique vie privée ou nos pratiques de respect de la vie privée, veuillez écrire à notre le représentant local du Délégué à la Protection des Données :

GEREP

Délégué à la Protection des Données

4 Rue de VIENNE

75008 PARIS

 

MODIFICATIONS APPORTÉES À LA PRÉSENTE POLITIQUE VIE PRIVÉE

Cette politique vie privée est susceptible de changer à tout moment. Elle a été modifiée pour la dernière fois le [24.05.18]. Si nous apportons des modifications à cette Politique vie privée, nous mettrons à jour la date de sa dernière modification. Toute modification que nous apportons à cette Politique vie privée entre immédiatement en vigueur.

 

Notre politique de protection des données est téléchargeable à ce lien.