Notice RGPD

POLITIQUE PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL

Notice RGPD

Date d’entrée en vigueur	25 mai 2018
Dates de mise à jour	25/02/2019
Références	Règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016

 

Pour commencer, APA ASSURANCE a élaboré une politique en matière de protection des données à caractère personnel suite à la mise en place du RGPD au 25 mai 2018.

Ceci, afin de se conformer à la réglementation applicable. Et notamment au règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques. Et ce, à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

Responsable du traitement :

SARL APA ASSURANCE

7 rue Eugène Buhan 33170 GRADIGNAN

1. Périmètre

1.1 Objet

Les données auxquelles APA ASSURANCE accède dans l’exercice de ses activités peuvent relever de la vie privée de leurs clients. Par exemple : données relatives au patrimoine, situation familiale, etc…

Le respect par APA ASSURANCE de la réglementation relative à la protection des données à caractère personnel est un facteur de transparence et de confiance à l’égard de ses clients.

1.2 Glossaire

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est une «personne physique identifiable » une personne physique identifiable directement ou indirectement. Notamment par référence à un identifiant. Tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne. Ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel. Qu’il s’agisse ou non d’un tiers.

Responsable du traitement : la personne morale (APA ASSURANCE), l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel. Telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation. Ou encore la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel. Pour le compte du responsable du traitement.

G29 : Groupe des « CNIL » européennes

 

RGPD : Règlement Général sur la Protection des données

2. Principes généraux applicables au RGPD

APA ASSURANCE applique les principes suivants :

2.1 Principe de finalité du RGPD

APA ASSURANCE recueille et traite les données à caractère personnel. Et pour une finalité déterminée explicite et légitime, correspondant aux objectifs poursuivis. Exemple : gestion de la clientèle : passation et gestion des contrats, suivi clientèle, traitement des réclamations, exécution d’obligations légales. Ou encore gestion du personnel : recrutement, formation, mise à disposition d’outils informatiques…

2.2 Principe de proportionnalité

APA ASSURANCE ne recueille et traite que les seules informations adéquates, pertinentes et nécessaires à la finalité du traitement peuvent faire l’objet d’un traitement de données à caractère personnel.

Par exemple, il n’est pas utile d’enregistrer des informations sur l’entourage familial d’une personne. Notamment si au regard des finalité d’un traitement et de la nature de la prestation, seuls sont nécessaires des éléments relatifs à la composition de son patrimoine.

2.3 Principe de minimisation des données

En application des principes issus du RGPD, APA ASSURANCE se conforme au principe de minimisation des données, selon lequel des données à caractère personnel ne peuvent faire l’objet d’un traitement. Sauf si les finalités du traitement ne peuvent être atteintes par le traitement d’informations ne contenant pas de données à caractère personnel.

Dans ce cadre APA ASSURANCE s’engage à :

• s’interroger sur la nécessité de traiter des données à caractère personnel pour atteindre les finalités recherchées par le traitement ;
• s’interroger sur la question de savoir si le traitement de données à caractère personnel s’avère nécessaire. Limiter le traitement des données au minimum, en ce qui concerne :
• identifier les catégories de données traitées ;
• identifier le volume ou la quantité de données traitées ;
• s’interroger sur la question de savoir si les données collectées sont nécessaires au traitement.

2.4 Durée de conservation limitée des données

APA ASSURANCE ne conserve pas indéfiniment les informations figurant dans un fichier. Il établit une durée de conservation en fonction de la finalité de chaque fichier et de la législation en vigueur

 

2.5 Droit à l’oubli

L’article 17 du RGPD prévoit le droit à l’effacement ou droit à l’oubli. Les personnes concernées ont le droit d’obtenir du responsable du traitement, dans les meilleurs délais, l’effacement des données à caractère personnel les concernant.

APA ASSURANCE ne mettra pas en œuvre le droit à l’effacement irréversible des données  avant l’expiration de la durée de prescription de la responsabilité civile professionnelle d’intermédiaire en assurance. Par ailleurs, le droit à l’oubli ne prévaut pas sur certaines obligations d’archivage de données pendant des périodes déterminées, notamment pour des raisons de conformité aux obligations fiscales.

2.6 Principes de sécurité et de confidentialité

Les données ne peuvent être consultées que par les personnes habilitées à y accéder en raison de leurs fonctions. Exemple : personnel en charge des activités d’intermédiation.

APA ASSURANCE s’astreint à une obligation de sécurité. Il doit ainsi prendre toutes les mesures nécessaires pour en garantir la confidentialité et éviter toute divulgation d’information.

APA ASSURANCE veille à ce que chaque personne habilitée à accéder aux informations dispose d’un mot de passe individuel. Celui-ci se compose, si l’authentification repose uniquement sur un identifiant et un mot de passe, de 8 caractères minimum et de majuscules, minuscules, chiffres et caractères spéciaux. Il se renouvelle régulièrement et les droits d’accès sont précisément définis en fonction des besoins réels.

2.7 Respect du droit des personnes

En application de l’article 13 du RGPD, APA ASSURANCE communique les informations suivantes lorsque les données sont collectées auprès de la personne concernée :

• les coordonnées du responsable du traitement ;
• les finalités du traitement auquel sont destinées les données à caractère personnel ;
• la base juridique du traitement ;
• les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
• le fait que le responsable de traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ;
• le cas échéant, l’existence ou l’absence d’une décision d’adéquation rendue par la CNIL, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
• la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
• l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
• lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
• le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel. Ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel. Ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
• l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

Toute personne a le droit de s’opposer, pour un motif légitime, à ce que des données la concernant soient traitées, sauf si le traitement concerné présente un caractère obligatoire.

Par ailleurs, toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel notamment pour :

• savoir si des données qui la concernent y figurent ou non ;
• obtenir la communication des données qui la concernent sous une forme compréhensible, d’une part, et de toutes les informations disponibles quant à leurs origines, d’autre part ;
• obtenir des informations sur la finalité du traitement, les données collectées et les destinataires.

2.8 Portabilité des données

APA ASSURANCE se conforme au droit à la portabilité des données du RGPD. Ce qui permetet aux personnes concernées d’exiger des responsables de traitement la transmission de leurs données à caractère personnel à un autre responsable de traitement. Et ce, sans que le responsable de traitement ayant initialement collecté les données ne puisse s’y opposer.

Dans ce cadre, les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable de traitement. Dans un format structuré, couramment utilisé et lisible par machine. Et de les transmettre à un autre responsable de traitement et le droit d’obtenir que les données soient transmises directement d’un responsable de traitement à un autre lorsque cela est techniquement possible.

APA ASSURANCE qui a initialement traité les données à caractère personnel, est tenu de communiquer les données à caractère personnel relatives à son client ou à un confrère, lorsque le traitement initial repose sur l’un des fondements suivants :

• le client a exprimé son consentement au traitement de ses données à caractère personnel. Ou encore, le traitement est nécessaire à l’exécution d’un contrat auquel le client est parti ou à l’exécution de mesures pré-contractuelles prises à la demande du client ;
• et le traitement est effectué à l’aide de procédés automatisés.

APA ASSURANCE devra donc faire droit à la demande de son client si celui-ci demande la transmission de ses données à caractère personnel à un confrère. Elles seront transmises dans un format structuré, couramment utilisé et lisible par machine.

Selon le G29, le droit à la portabilité des données s’applique uniquement si le traitement des données est effectué à l’aide de procédés automatisés. Et, par conséquent, ne couvre pas la plupart des dossiers papier.

2.9 Capacité à suivre les destinataires de données à caractère personnel

APA ASSURANCE doit être en mesure de suivre et d’identifier les destinataires des données à caractère personnel qu’il traite.

3. Traitement des données personnelles et gestion des clients et prospects de APA ASSURANCE

3.1 Principes généraux

Dans le cadre de ces activités, les données à caractère personnel relatives à la clientèle correspondent à toutes les données à caractère personnel nécessaires dans la constitution du dossier du client, dans la prestation de conseil et/ou d’intermédiation. Puis dans le suivi de ce dernier dans la durée.

Ces données peuvent concerner des données relatives tant à la vie personnelle qu’à la vie professionnelle. Dès lors que APA ASSURANCE conseille le client au regard des éléments de connaissance qu’il aura recueillie. Situation patrimoniale, financière, professionnelle, connaissances et expériences, tolérance au risque, capacité à supporter les pertes, objectifs, besoins…

APA ASSURANCE ne traite pas des informations sensibles relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, dans le cadre de ces activités .

En effet, l’article 9, al.1, du RGPD prévoit l’interdiction de principe du traitement de telles données et, conformément à l’article 5 du RGPD, APA ASSURANCE ne collecte que des données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.

3.2 Dispositif de traitement des données dans le cadre du RGPD

Information des clients

Les clients et prospects de APA ASSURANCE disposent de l’information :

• De l’identité et des coordonnées du responsable de traitement (APA Assurance) ;
• Ainsi que de l’objectif poursuivi (gestion et suivi des dossiers de ses clients) ;
• Sur la base juridique du traitement (exécution contractuelle ou pré-contractuelle à la demande du client) ;
• De l’intérêt légitime s’il s’agit de la base légale du traitement ;
• Des destinataires des données (des sous-traitants, des huissiers, etc.) ;
• De la durée de conservation ;
• Des droits dont ils disposent ;
• Des conditions d’exercice de ces droits ;
• Du droit de retirer son consentement s’il s’agit de la base légale du traitement ;
• Du droit d’introduire une réclamation auprès d’une autorité de contrôle ;
• Des informations sur le caractère réglementaire ou contractuel du traitement lorsqu’il s’agit de la base légale du traitement.

Ces informations peuvent figurer au sein du DER ou des documents contractuels. Ces informations peuvent également faire l’objet d’une communication par courriel ou par document distinct. Notamment pour régulariser la situation auprès des clients quine sont pas correctement informés.

Conservation des données :

Les données à caractère personnel sont conservées le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.

Les données relatives aux clients peuvent être conservées le temps de la relation contractuelle entre APA ASSURANCE  et son client. Elles ne doivent pas être conservées au-delà d’un an à l’issue de la relation contractuelle au sein des dossiers courants.

Au-delà, les données sont archivées pour la période où la responsabilité de APA ASSURANCE pourrait être mise en cause. Et ce, afin de respecter les dispositions relatives à la lutte anti-blanchiment et le financement du terrorisme, avant suppression définitive des données :

• Tous dossiers clients ayant souscrit à un investissement : durée de l’investissement/prêt : 5 ans,
• Les dossiers clients conseillés mais n’ayant pas souscrit à un investissement : 5 ans à compter de la fin de la relation contractuelle.
• Ou bien les dossiers clients ayant souscrit à un contrat d’assurance de bien et/ou de personne : 10 ans à compter de la fin de la relation contractuelle.

En particulier et dans le cadre de la lutte anti-blanchiment, APA ASSURANCE conserve les documents et informations, quel qu’en soit le support. Dès lors qu’ils sont relatifs à l’identité des clients habituels ou occasionnels. La durée est de cinq ans à compter de la cessation des relations avec eux (art. L. 561-12 CMF).

Les données à caractère personnel relatives à un prospect non client peuvent se conserver pendant un délai de trois ans. Et ce, à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect. Par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel. En revanche, l’ouverture d’un courriel ne correspond pas à un contact émanant du prospect.

Le choix du mode d’archivage appartient à l’appréciation de APA assurance. Des données peuvent ainsi s’archiver :

• dans une base d’archive spécifique, distincte de la base active. Avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions. Par exemple : mot de passe, habilitation,…
• ou dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique. Afin de les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter.

Sécurité des données :

L’accès aux locaux où APA Assurance stocke les dossiers est suffisamment sécurisé. Également, la sécurité du système d’information stockant les dossiers sous format numérique.

4. Fournisseurs et prestataires

4.1 Notion de sous-traitant

Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel. Et ce, pour le compte du responsable de traitement ». Il peut s’agir de plus d’un comptable, un éditeur de logiciel, un hébergeur, etc.

4.2 Obligations en matière de traitement des données personnelles

Le contrat liant APA ASSURANCE au sous-traitant doit comporter :

• l’objet ;
• la durée ;
• la nature ;
• la finalité ;
• le type de données à caractère personnel ;
• les catégories de personnes concernées ;
• les droits et obligations du responsable de traitement ;
• les mesures de sécurité mises en œuvre qui concernent le traitement de données à caractère personnel réalisé.
• la possibilité de ne traiter les données que sur instruction documentée du responsable du traitement. Même en ce qui concerne les flux transfrontières ;
• la confidentialité des données ;
• l’exercice des droits des personnes concernées ;
• l’aide qu’il doit fournir au responsable de traitement par des mesures techniques et organisationnelles appropriées. Ce, afin de s’acquitter de l’obligation de donner suite aux demandes des personnes concernées ;
• l’aide fournie au responsable de traitement. Afin de garantir le respect de ses obligations. Et ce, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;
• la suppression des données concernées à l’issue du traitement, ou leur renvoi au responsable de traitement ou leur conservation. Dès lors qu’il est tenu par une disposition nationale ou européenne ;
• la mise à disposition du responsable du traitement de toutes les informations nécessaires pour démontrer le respect de ces obligations. Et ainsi permettre la réalisation d’audits. Y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté;
• l’éventuel recrutement par le sous-traitant d’un sous-traitant ultérieur, d’un nouveau sous-traitant, et l’obtention de l’autorisation préalable écrite du responsable de traitement relative à ce recrutement doit être formalisé par un contrat mentionnant l’ensemble des obligations ci-dessus énumérées.

Obligations :

De ce fait, APA ASSURANCE a l’obligation de ne recourir qu’à « des sous-traitants qui présentent des garanties suffisantes. Et ce, quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. De manière à ce que le traitement réponde aux exigences du RGPD. Mais aussi, garantisse la protection des droits de la personne concernée »

De même, APA ASSURANCE doit interroger ses sous-traitants sur les garanties qu’ils ont mises en place. Ceci afin de garantir leur conformité au RGPD. Dans le cas où APA ASSURANCE identifie des lacunes dans les mesures utilisées par le sous-traitant, ils devront conclure un avenant au contrat afin de les combler.

5. Politique de sécurité des données

 

5.1 Mesures générales

 

C’est pourquoi, APA ASSURANCE met également en place des mesures générales de sécurité des données personnelles :

• limiter accès aux locaux ;
• ne pas stocker ou archiver les données personnelles dans des locaux accessibles à tous ;
• alarmes, …

 

5.2 Mesures de sécurité informatiques

 

APA ASSURANCE met aussi en place des mesures de sécurité informatiques des données personnelles :

• authentifier les utilisateurs. Avec mot de passe de minimum 8 caractères contenant une majuscule, une minuscule, un chiffre et un caractère spécial
• déterminer les personnes qui habilitées à accéder aux données à caractère personnel ;
• supprimer les permissions d’accès obsolètes ;
• sécuriser l’informatique mobile ;
• mettre en place des sauvegardes régulières, stocker les supports de sauvegarde dans un endroit sûr, etc.

6. Procédure en cas de violation des données

Par ailleurs, La violation de données à caractère personnel est une violation de la sécurité. Celle-ci pouvant entraîner, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Sauf dans les cas où la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. APA ASSURANCE la notifie à la CNIL. Toujours dans les meilleurs délais. Et si possible, au plus tard dans les 72 heures après en avoir pris connaissance.

Si APA ASSURANCE a un sous-traitant, il devra également notifier au responsable de traitement toute violation de données à caractère personnel. Et dans les meilleurs délais après en avoir pris connaissance.

En conclusion, APA ASSURANCE informe directement la personne concernée de la violation. Sauf dans les cas où la violation n’engendre un risque élevé pour les droits et libertés d’une personne physique.

.