Politique de protection des données personnelles
Préambule
La Mutuelle des Chambres de Commerce et de l’Industrie (MCCI) fait partie de la SGAPS UGO qui a pour objectifs :
- De nouer des relations financières fortes et durables entre les organismes affiliés ;
- De renforcer leur développement respectif ;
- D’élaborer une stratégie de groupe ouverte aux organismes du secteur mutualiste, paritaire ou coopératif partageant les mêmes valeurs.
Tout en conservant leur identité et leur existence juridique propres, les organismes affiliés ont la volonté de s’inscrire dans un champ de synergies de développement et de mises en commun de moyens.
La SGAPS UGO exerce effectivement une influence dominante, au moyen d’une coordination centralisée, sur les décisions, y compris financières, de ses organismes affiliés. Elle dispose de pouvoirs de contrôle des organismes affiliés.
La MCCI dans le cadre de son activité est amenée à exploiter des informations confidentielles ainsi que des données massives, des données personnelles et des données de santé à caractère personnel sensibles qui concernent ses adhérents et clients.
La présente Politique exprime les engagements de la MCCI en matière de protection de la confidentialité et de protection des données personnelles et l’attachement aux des libertés et des droits fondamentaux des personnes physiques dans l’utilisation de celles-ci.
Elle est complétée de procédures et processus opérationnelles internes relatifs aux finalités des traitements de données à caractère personnel concernant les personnes, les destinataires des données, leurs durées de conservation, et les modalités d’exercice des droits des personnes, et portée à la connaissance des personnes par tout moyen et tout support.
Cadre de la politique de protection des données personnelles
Objectif et périmètre
La présente Politique décrit le dispositif que la MCCI applique en matière de protection des données personnelles pour garantir la mise en œuvre de traitements équitables et transparents.
Les grands principes déclinés dans ce document témoignent des engagements mis en œuvre par la MCCI, pour respecter les libertés et les droits fondamentaux des personnes physiques, dans le cadre de ses activités quotidiennes.
Cette Politique est actualisée régulièrement pour prendre en compte les évolutions législatives et réglementaires, et tout changement dans l’organisation de l’Institution. Elle est mise à la disposition de l’ensemble de ses Clients et Partenaires.
La présente Politique de Protection des Données Personnelles est complétée de procédures et processus opérationnels internes.
Exigences légales et règlementaires
La Politique de protection des données personnelles s’inscrit dans le respect des textes de référence suivants :
- Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit Règlement RGPD.
- La Loi n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, dite Loi Informatique et Libertés.
- Le pack de conformité assurance de Juin 2021 établi par la Commission Nationale Informatique et Libertés (CNIL) et les organisations professionnelles du secteur de l’assurance.
- L’article 226-13 du Code pénal relatifs aux sanctions en cas de non-respect du secret professionnel.
Rôles et responsabilités
Principes d’organisation
Au sein de la MCCI, l’organisation de la protection des données personnelles se décline selon une approche par les risques.
La cartographie des risques opérationnels intègre l’analyse des risques de gestion des données à caractère personnel.
La MCCI met en place une organisation et des moyens techniques qui permettent d’assurer la maîtrise des risques inhérents.
Attributions et responsabilités en matière d’informatique et libertés
Fonction | Missions |
Direction Générale |
|
Délégué à la Protection des Données (DPO) |
|
Système information |
|
Gestion des risques |
|
Contrôle Interne |
|
Audit interne |
|
Conformité |
|
Responsables des traitements |
|
Règles de protection des données personnelles
Finalités et mise en œuvre des traitements
Les traitements des données personnelles mis en œuvre par la MCCI répondent à des finalités déterminées, explicites et légitimes qui sont notamment les suivantes :
- Gérer les contrats de frais de santé
- Effectuer les règlements des prestations
- Gérer les contentieux judiciaires liés aux contrats
- Exécuter les dispositions légales et réglementaires en matière de lutte contre le blanchiment et le financement du terrorisme
- Lutte contre la fraude à l’assurance
Chaque traitement mis en œuvre possède une base légale renseignée dans le registre des traitements conformément aux exigences réglementaires et dans l’intérêt légitime de la MCCI.
La MCCI collecte et traite les données personnelles de manière loyale et licite.
Les données collectées par la Mutuelle sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Respect des droits des personne physiques
Dans le cadre de la mise en œuvre des traitements, la Mutuelle informe les personnes concernées de la finalité des traitements portant sur les données personnelles, des destinataires de ces traitements, de la durée de conservation des informations collectées ainsi que de leurs droits.
La Mutuelle met en œuvre les moyens nécessaires pour assurer aux personnes concernées l’exercice de leurs droits d’accès, d’information, de transparence, de rectification, d’effacement, de limitation, d’opposition ainsi que de portabilité de toute donnée à caractère personnel les concernant lorsqu’elles en font la demande. Les données peuvent être rectifiées, complétées, mises à jour, verrouillées ou effacées lorsqu’elles sont inexactes, incomplètes, équivoques, périmées ou lorsque leur collecte, utilisation, communication ou conservation est interdite.
Les droits susmentionnés peuvent être exercées par e-mail ou par courrier auprès du Délégué à la protection des données (DPO) de la Mutuelle à l’adresse suivante ;
DPO : dpo@mcci.fr – 26 rue fortuny 75017 PARIS
Destinataires des données
Les données personnelles peuvent être transmises à des sous-traitants uniquement pour le compte et selon les instructions de la MCCI dès lors que le contrat de gestion mentionne les obligations en matière de protection de sécurité et de confidentialité des données et précise les objectifs de sécurité à atteindre.
Les organismes, auxiliaires de justice et officiers ministériels dans le cadre de leurs missions de recouvrement des créances, de lutte contre la fraude externe ainsi que les Autorités de contrôle (CNIL, ACPR etc.) peuvent être destinataires des données personnelles.
En interne, la Direction Générale a accès aux données personnelles dans le cadre de ses prérogatives et dans la limite de leurs attributions respectives, peuvent avoir accès aux données personnelles, les collaborateurs habilités dans l’exécution de leurs missions.
Durée de conservation des données à caractère personnel
La Mutuelle s’engage à ne pas conserver les données personnelles pour une durée plus longue que celle initialement prévue à moins de pouvoir le justifier. En outre, elle considère la possibilité de détruire les données à caractère personnel ou de procéder à l’anonymisation des données en effaçant de façon permanente tout lien entre les données personnelles et la personne physique concernée en cas de demande de cette dernière.
Sécurité et notification des incidents
La Mutuelle détermine et met en œuvre les moyens et les mesures techniques et organisationnelles nécessaires à la protection des traitements des données à caractère personnel pour éviter tout accès par un tiers non autorisé et prévenir toute perte, altération et divulgation des données.
Toute violation des données personnelles susceptible d’engendrer un risque pour les droits et les libertés des personnes physiques est considérée comme un incident majeur au sein de la Mutuelle.
MCCI en qualité de responsable de traitement, s’engage à notifier à la CNIL, tout incident de cette nature dans les 72 heures au plus tard après en avoir eu connaissance et dans les meilleurs délais à la personne concernée.
En cas de recours à la sous-traitance, la Mutuelle s’assure que ses Partenaires intègrent le processus de notification d’incident afin de maîtriser l’exposition aux risques et disposer le plus rapidement possible des informations nécessaires, pour répondre à l’obligation de notification.
Les modalités de traitement, de qualification, les éléments constitutifs d’une documentation des violations de données tels que prévus par la réglementation actuelle sont décrits dans une procédure interne dédiée.
Transfert des données personnelles
L’Institution n’autorise pas les transferts hors Union Européenne des données dans ses relations avec ses sous- traitants (délégataires de gestion inclus) à moins que :
- L’Etat destinataire des données personnelles dans lequel se situe la filiale du sous-traitant, offre un niveau de protection suffisante au moins équivalent à celui garanti au niveau de l’Union Européenne
- Le sous-traitant a adopté les Règles internes d’entreprise (ou BCR) qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des Etats tiers.
Termes et définitions
Pour les besoins et la compréhension du présent document, les termes et définitions suivants s’appliquent :
Commission Nationale Informatiques et Libertés (CNIL)
| Autorité de publique indépendante désignée par un Etat membre pour effectuer des contrôles conformément à l’article 51 RGPD.
|
Données à caractère personnel | Information concernant toute personne physique identifiée ou identifiable directement ou indirectement par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique ou sociale.
|
Mesures techniques et organisationnelles | Ensemble d’actions prises en vue de protéger les données personnelles contre la destruction ou perte accidentelle, l’altération, la divulgation ou l’accès non autorisé, notamment lorsque le traitement suppose la transmission des données par réseau et contre toute forme illicite de traitement. |
Politique | Intentions et dispositions générales exprimées par la Direction. |
Responsable de traitement | Entité qui détermine, en tant que personne morale, seule ou avec d’autres, les finalités et les moyens du traitement des données personnelles. |
Risque | Combinaison de la probabilité d’un événement et de ses conséquences. |
SI | Ensemble des dispositifs matériels, logiciels, procéduraux, organisationnels, qui concourent à conserver, traiter et échanger des informations sous forme immatérielle et matérielle, notamment les documents et supports amovibles. |
Sous-traitant | Prestataire ou délégataire qui traite des données personnelles pour le compte du responsable de traitement. |
Traitement | Opération ou ensemble d’opérations réalisées sur les données personnelles de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, alignement ou combinaison, la suppression, la restriction ou la destruction. |
Violation des données personnelles | Incident de sécurité entraînant la destruction accidentelle ou illicite, la perte, l’altération, la divulgation ou l’accès non autorisé aux données personnelles transmises, conservées ou traitées d’une autre façon. |