Politique de Protection des Données Personnelles

1. Préambule

La MCCI fait partie de la SGAPS UGO qui a pour objectifs :
• De nouer des relations financières fortes et durables entre les organismes affiliés ;
• De renforcer leur développement respectif ;
• D’élaborer une stratégie de groupe ouverte aux organismes du secteur mutualiste, paritaire ou coopératif partageant les mêmes valeurs.
Tout en conservant leur identité et leur existence juridique propres, les organismes affiliés ont la volonté de s’inscrire dans un champ de synergies de développement et de mises en commun de moyens.

La SGAPS UGO exerce effectivement une influence dominante, au moyen d’une coordination centralisée, sur les décisions, y compris financières, de ses organismes affiliés. Elle dispose de pouvoirs de contrôle des organismes affiliés.

La Mutuelle des Chambres de Commerce et de l’Industrie (MCCI), dans le cadre de son activité est amenée à exploiter des informations confidentielles ainsi que des données massives, des données personnelles et des données de santé à caractère personnel sensibles qui concernent ses adhérents et clients.

La présente Politique exprime les engagements de la MCCI en matière de protection de confidentialité et de protection des données personnelles et l’attachement aux des libertés et des droits fondamentaux des personnes physiques dans l’utilisation de celles-ci.

Elle s’inscrit dans le respect des textes de référence suivants :
o Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit Règlement RGPD
o La Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique aux fichiers et aux libertés dite Loi Informatique et Libertés
o Le pack de conformité assurance de novembre 2014 établi par la Commission Nationale Informatique et Libertés (CNIL) et les organisations professionnelles du secteur de l’assurance
o L’article 226-13 du code pénal relatifs aux sanctions en cas de non-respect du secret professionnel
Elle est complétée de procédures et processus opérationnelles internes relatifs aux finalités des traitements de données à caractère personnel concernant les personnes, les destinataires des données, leurs durées de conservation, et les modalités d’exercice des droits des personnes, et portée à la connaissance des personnes par tout moyen et tout support.

Processus de validation par les instances de gouvernance : Pour l’année 2021, la politique de Gouvernance a été validée par le Conseil d’Administration du 9 avril 2021.


2. Périmètre d’application

Le présent document s’applique à tous les clients, partenaires prestataires de la MCCI ainsi qu’à l’ensemble de leurs collaborateurs.


3. Finalités et mise en œuvre des traitements

Les traitements des données personnelles mis en œuvre par la MCCI répondent à des finalités déterminées, explicites et légitimes qui sont les suivantes :
o Gérer les contrats de frais de santé
o Effectuer les règlements des prestations
Chaque traitement mis en œuvre possède une base légale renseignée dans le registre des traitements conformément aux exigences réglementaires et dans l’intérêt légitime de la MCCI qui pourrait notamment concerner les activités de marketing et de prévention de la fraude externe.
La MCCI collecte et traite les données personnelles de manière loyale et licite.
Les données collectées par la Mutuelle sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.


4. Respect des droits des personne physiques

Dans le cadre de la mise en œuvre des traitements, la Mutuelle informe les personnes concernées de la finalité des traitements portant sur les données personnelles, des destinataires de ces traitements, de la durée de conservation des informations collectées ainsi que de leurs droits.

La Mutuelle met en œuvre les moyens nécessaires pour assurer aux personnes concernées l’exercice de leurs droits d’accès, d’information, de transparence, de rectification, d’effacement, de limitation, d’opposition ainsi que de portabilité de toute donnée à caractère personnel les concernant lorsqu’elles en font la demande. Les données peuvent être rectifiées, complétées, mises à jour, verrouillées ou effacées lorsqu’elles sont inexactes, incomplètes, équivoques, périmées ou lorsque leur collecte, utilisation, communication ou conservation est interdite.

Les droits susmentionnés peuvent être exercées par e-mail ou par courrier auprès du Délégué à la protection des données (DPO) de la Mutuelle.


5. Destinataires des données

Les données personnelles peuvent être transmises à des sous-traitants uniquement pour le compte et selon les instructions de la MCCI dès lors que le contrat mentionne les obligations en matière de protection de sécurité et de confidentialité des données et précise les objectifs de sécurité à atteindre.

Les organismes, auxiliaires de justice et officiers ministériels dans le cadre de leurs missions de recouvrement des créances, de lutte contre la fraude externe ainsi que les Autorités de contrôle (CNIL, ACPR etc.) peuvent être destinataires des données personnelles.

En interne, la Direction Générale a accès aux données personnelles dans le cadre de ses prérogatives et dans la limite de leurs attributions respectives, peuvent avoir accès aux données personnelles, les collaborateurs habilités dans l’exécution de leurs missions.


6. Durée de conservation des données à caractère personnel

La Mutuelle s’engage à ne pas conserver les données personnelles pour une durée plus longue que celle initialement prévue à moins de pouvoir le justifier. En outre, elle considère la possibilité de détruire les données à caractère personnel ou de procéder à l’anonymisation des données en effaçant de façon permanente tout lien entre les données personnelles et la personne physique concernée en cas de demande de cette dernière.


7. Sécurité et notification des incidents

La Mutuelle détermine et met en œuvre les moyens et les mesures techniques et organisationnelles nécessaires à la protection des traitements des données à caractère personnel pour éviter tout accès par un tiers non autorisé et prévenir toute perte, altération et divulgation des données.

Toute violation des données personnelles susceptible d’engendrer un risque pour les droits et les libertés des personnes physiques est considérée comme un incident majeur au sein de la Mutuelle.

MCCI en qualité de responsable de traitement, s’engage à notifier à la CNIL, tout incident de cette nature dans les 72 heures au plus tard après en avoir eu connaissance et dans les meilleurs délais à la personne concernée.

En cas de recours à la sous-traitance, la Mutuelle s’assure que ses Partenaires intègrent le processus de notification d’incident afin de maîtriser l’exposition aux risques et disposer le plus rapidement possible des informations nécessaires, pour répondre à l’obligation de notification. Les modalités de traitement, de qualification, les éléments constitutifs d’une documentation des violations de données tels que prévus par la réglementation actuelle sont décrits dans une procédure interne dédiée.


8. Termes et définitions

Pour les besoins et la compréhension du présent document, les termes et définitions suivants s’appliquent :

Commission Nationale Informatiques et libertés (CNIL) : Autorité de publique indépendante désignée par un Etat membre pour effectuer des contrôles conformément à l’article 51 RGPD.

Données à caractère personnel : Information concernant toute personne physique identifiée ou identifiable directement ou indirectement par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique ou sociale.

Mesures techniques et organisationnelles : Ensemble d’actions prises en vue de protéger les données personnelles contre la destruction ou perte accidentelle, l’altération, la divulgation ou l’accès non autorisé, notamment lorsque le traitement suppose la transmission des données par réseau et contre toute forme illicite de traitement.

Politique : Intentions et dispositions générales exprimées par la Direction.

Responsable de traitement : Entité qui détermine, en tant que personne morale, seule ou avec d’autres, les finalités et les moyens du traitement des données personnelles.

Risque : Combinaison de la probabilité d’un événement et de ses conséquences.

SI : Ensemble des dispositifs matériels, logiciels, procéduraux, organisationnels, qui concourent à conserver, traiter et échanger des informations sous forme immatérielle et matérielle, notamment les documents et supports amovibles.

Sous-traitant : Prestataire ou délégataire qui traite des données personnelles pour le compte du responsable de traitement.

Traitement : Opération ou ensemble d’opérations réalisées sur les données personnelles de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, alignement ou combinaison, la suppression, la restriction ou la destruction.

Violation des données personnelles : Incident de sécurité entraînant la destruction accidentelle ou illicite, la perte, l’altération, la divulgation ou l’accès non autorisé aux données personnelles transmises, conservées ou traitées d’une autre façon