Politique de protection des données
Objectifs de la politique
La confiance est un élément essentiel de notre relation, et en particulier, dès l’instant où vous utilisez notre site internet et nos services digitaux.
C’est la raison pour laquelle la SMCC accorde la plus grande importance au respect de votre vie privée et à la protection de vos données personnelles.
Cette politique a pour objectif de décrire les règles en vigueur en matière de protection des données, en particulier la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (dite « loi Informatique et Libertés ») et le Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016, et leur application par les responsables de traitement désignés ci-après.
Nous nous engageons à préserver la confidentialité de vos informations personnelles qui doivent en permanence être protégées. Nous veillons à vous informer en toute transparence des modalités de consultation, de collecte, d’utilisation, et de stockage de ces informations, ainsi que de l’ensemble des droits dont vous disposez en la matière.
Définition du périmètre
En tant que mutuelle, régie par le livre II du code de la Mutualité, la SMCC est amenée à gérer des données personnelles y compris des données dites sensibles telles que les données de santé.
Nous vous rappelons que :
- Constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un prénom, un numéro de contrat, un numéro de téléphone, des données de localisation, un identifiant en ligne, ou à un 2 ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
- Constitue une donnée concernant la santé toute donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé passé, présent ou futur de cette personne. La donnée médicale fait partie des données personnelles de santé.
Les acteurs de la protection des données :
1. Le responsable de traitement
La SMCC est responsable de traitement dans le cadre de ses activités de relation avec l’adhérent (traitement des réclamations de niveau 2, gestion de l’Action Sociale, communication sur les services de prévention proposés aux adhérents, communication administrative et liée à la vie statutaire de la mutuelle).
La SMCC et Malakoff Humanis Prévoyance sont responsables conjoints, en vue de la conclusion et la gestion de votre contrat complémentaire santé ainsi qu’aux fins d’exécution des obligations leur incombant en matière de protection sociale et d’exécution des dispositions légales, réglementaires et administratives en vigueur, y compris la lutte contre le blanchiment d’argent et le financement du terrorisme ainsi que la lutte contre la fraude à l’assurance.
Dans le cadre des services proposés par les partenaires de la SMCC, ces derniers sont responsables des traitements. Pour plus d’informations, il convient de se référer à la Politique de Protection des Données Personnelles, disponible sur le site internet de chacun de ces partenaires.
2. Le Délégué à la protection des données (Data Protection Officer « DPO ») de la SMCC
Le Délégué à la protection des données ou « DPO » de la SMCC est garant du respect de la réglementation sur la protection des données à caractère personnel pour la SMCC.
Il met en œuvre la politique de protection des données à caractère personnel et s’assure, notamment, de la documentation des traitements à l’occasion des projets impactant la protection de ces données. Il identifie les risques de non-conformité à la loi Informatique et Libertés et au RGPD et préconise les mesures adéquates à mettre en place. Il a en charge la sensibilisation des acteurs au respect des problématiques de protection des données à caractère personnel.
Enfin, il prend part à la définition des contrôles de second niveau et à l’élaboration du plan d’audit pour les aspects qui les concernent. Référent des sujets CNIL, il est également le point d’entrée en cas de contrôle réglementaire portant sur les données personnelles.
Les principes fondamentaux de la loi Informatique et Libertés
1. La finalité du traitement
Vos données à caractère personnel sont collectées pour des finalités déterminées et légitimes, dont l’objectif est précisément identifié à l’avance, au regard des intérêts et/ou de l’activité de la SMCC. Les finalités de traitement sont également énoncées de manière explicite et suffisamment claire pour les personnes concernées.
Vos données à caractère personnel ne font l’objet d’aucun traitement ultérieur incompatible avec les finalités pour lesquelles elles ont été collectées initialement. En matière d’assurance et de services, la SMCC est amenée à réaliser des traitements de données à caractère personnel dont les finalités et les bases juridiques sont les suivantes :
- La mise en œuvre d’opérations d’action sociale, de prévention et de communication, à destination de l’adhérent : le traitement est alors fondé soit sur le consentement de l’adhérent, soit sur l’intérêt légitime du responsable de traitement dans le respect des droits et intérêts de l’adhérent ;
- L’élaboration de statistiques, y compris commerciales, d’études actuarielles ou autres analyses de recherche et développement : le traitement est alors fondé sur l’intérêt légitime du responsable de traitement dans le respect des droits et intérêts de l’adhérent ;
- L’exercice des recours et la gestion des réclamations et des contentieux : le traitement est alors fondé sur l’exécution du contrat auquel l’adhérent est partie ;
- La lutte contre la fraude, pouvant conduire à une inscription sur une liste de personnes présentant un risque de fraude : le traitement est alors fondé sur l’intérêt légitime du responsable de traitement dans le respect des droits et intérêts de l’adhérent ;
- La lutte contre le blanchiment des capitaux et au financement du terrorisme : le traitement est fondé sur le respect d’une obligation légale incombant au responsable de traitement ;
- L’exécution des dispositions légales, règlementaires et administratives en vigueur : le traitement est fondé sur le respect d’une obligation légale incombant au responsable de traitement.
Certaines de vos données à caractère personnel nous permettent notamment de fournir nos prestations d’assurance et d’améliorer la qualité de nos services et de nos actions de prévention.
2. La pertinence des données
Vos données sont collectées et traitées de manière loyale et licite. Cette politique s’inscrit dans cette démarche de transparence.
Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
La collecte et le traitement de vos données à caractère personnel sont nécessaires à l’accomplissement des finalités mentionnées précédemment.
Pour vous offrir un service toujours plus performant et personnel, notre site internet peut avoir recours aux fonctionnalités suivantes :
- L’analyse de la navigation de l’utilisateur. Dans l’objectif d’améliorer nos services afin de fournir une meilleure expérience utilisateur, nous utilisons des outils d’analyse de comportements et de suivi de la navigation MATOMO. Ceux-ci nous permettent par exemple d’établir des statistiques de consultations de chaque écran, de suivre les performances des fonctionnalités de nos applications et de vous proposer des services adaptés.
Enfin, nous nous engageons à ne traiter que des données exactes et tenues à jour. Toute donnée inexacte est rectifiée ou effacée dans les meilleurs délais.
3. La conservation limitée des données
Les données à caractère personnel ne doivent pas être conservées au-delà de la durée nécessaire à la finalité du traitement.
Les durées de conservation des données à caractère personnel varient en fonction des finalités prévues et sont définies conformément aux durées prévues par la réglementation.
4. La sécurité
La SMCC prend les précautions nécessaires compte tenu de l’état des connaissances et des finalités du traitement ainsi que de la probabilité de chaque risque afin de préserver la sécurité et la confidentialité des données à caractère personnel que vous lui communiquez et notamment empêcher qu’elles ne soient déformées, endommagées ou, sauf accord de votre part, communiqués à des tiers.
Par conséquent, la SMCC met en œuvre toutes les mesures techniques, d’ordre logique, physique, et organisationnel permettant de garantir un niveau de sécurité adapté au risque et de prévenir toute perte, altération, divulgation de données ou accès à des tiers non autorisés.
Toutefois, compte tenu des caractéristiques intrinsèques de l’Internet, les données transmises via les sites et/ou l’Espace Adhérent font l’objet de mesures qui ne peuvent prémunir de tous les risques de détournement et/ou de piratage, ce dont la SMCC ne saurait être tenue pour responsable. En cas de violation de données à caractère personnel et conformément à la règlementation, la SMCC s’engage à le notifier à la CNIL.
Dans le cas où cette violation présenterait un risque élevé pour les droits et libertés de personnes physiques, nous informerions ces derniers dans les meilleurs délais et dans les conditions prévues par la règlementation sur la protection des données à caractère personnel.
5. Les destinataires de vos données
Les destinataires sont, dans la limite de leurs attributions respectives et suivant les finalités : le personnel de la SMCC, et le cas échéant ses partenaires institutionnels et commerciaux (délégataire de gestion, services de prévention et d’assistance).
Seuls les destinataires dûment habilités peuvent accéder, dans le cadre de notre politique d’accès logique et physique, aux informations nécessaires à leur activité.
La relation avec les sous-traitants de la SMCC est encadrée contractuellement pour intégrer les exigences liées à la protection des données à caractère personnel.
6. L’information des personnes
Préalablement à la mise en œuvre de ses traitements, et au plus tard lors de la collecte de données, la SMCC informe les personnes concernées :
- De l’identité et les coordonnées du responsable du traitement ;
- Les coordonnées du DPO ;
- De la finalité des traitements portant sur leurs données à caractère personnel ainsi que la base juridique appropriée en fonction de la finalité des traitements, à savoir le consentement, l’exécution du contrat, le respect d’obligations légales, la sauvegarde des intérêts vitaux d’une personne physique ou les intérêts légitimes poursuivis par le responsable de traitement ;
- Des destinataires des données à caractère personnel ;
- De la durée de conservation des informations collectées ainsi que des droits dont vous disposez à l’égard de vos données ;
- Le cas échéant, le fait que la SMCC ait l’intention d’effectuer un transfert de données à caractère personnel vers un pays en dehors de l’Union européenne et des garanties juridiques mises en œuvre dans le cadre de ce transfert ;
- Le caractère facultatif ou obligatoire des données collectées ;
- L’existence d’une prise de décision automatisée, y compris un profilage, et ses conditions, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
7. Les droits des personnes
En application de la Réglementation sur la protection des données à caractère personnel, vous pouvez à tout moment exercer les droits qui vous sont reconnus sur vos données en fonction de la base juridique du traitement.
Ainsi, vous disposez d’un droit d’accès, de rectification et le cas échéant de suppression des données vous concernant. En effet, les données peuvent être rectifiées, complétées, mises à jour, verrouillées ou effacées lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, utilisation, communication ou conservation est interdite. Dans la limite des modalités légales, vous disposez également d’un droit à la portabilité des données à caractère personnel que vous nous avez fournies et du droit de décider du sort de vos données post mortem.
Enfin, vous pouvez également faire valoir votre droit de limitation et de votre droit d’opposition selon les modalités légales. Lorsque vos données sont traitées à des fins de prospection commerciale, vous avez le droit, à tout moment et sans frais, de vous y opposer, y compris au profilage lié à une telle prospection.
Vous disposez également du droit de retirer à tout moment votre consentement accordé pour un traitement fondé sur cette base juridique.
Ces droits peuvent être exercés, par email à 1576-DPO-UT@banque-france.fr ou par courrier postal à SMCC – DPO – Banque de France, 2 avenue Pierre Mendès-France, CS 40207 Noisiel, 77431 Marne La Vallée Cedex 2.
La SMCC étudiera toutes les demandes et y apportera une réponse dans un délai d’un mois maximum à compter de la réception de la demande. Si la demande est imprécise ou ne comporte pas tous les éléments permettant d’y apporter une réponse appropriée, La SMCC peut être amenée à demander des éléments complémentaires. De même, il peut être demandé des informations supplémentaires en cas de doute sur l’identité du demandeur.
En cas de réclamation relative à la protection des données, il vous est possible, le cas échéant, de saisir la CNIL à l’adresse suivante : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07. En tout état de cause, nous vous encourageons à prendre contact avec nous avant toute saisine de l’Autorité.
Conformément aux dispositions légales en vigueur, le droit d’accès aux traitements mis en œuvre aux seules fins de l’application des dispositions relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme s’exerce auprès de la CNIL en écrivant à l’adresse précisée ci-dessous.
En outre, vous disposez également du droit de vous inscrire sur la liste d’opposition au démarchage téléphonique.
Pour plus d’informations : www.bloctel.gouv.fr
8. Le traitement des données de santé
La SMCC peut être amenée, dans le strict respect de l’objet de ses activités, à procéder au traitement de données concernant votre santé. Sur ce point, outre le respect des principes précédemment exposés, la SMCC apporte une attention particulière aux modalités de leur collecte et de leur utilisation, et à la mise en œuvre de mesures de sécurité et de confidentialité renforcées.
En dehors des traitements nécessaires aux fins de l’exécution des obligations en matière de protection sociale, le consentement explicite et spécifique de la personne concernée est recueilli pour permettre le traitement de données personnelles de santé.
Les données protégées par le secret médical sont uniquement destinées au Service Médical de Malakoff Humanis et à toute personne placée sous la responsabilité de son Médecin Conseil Chef.
9. Les transferts de données hors Union Européenne
En cas de transfert hors Union Européenne, les données à caractère personnel font l’objet d’une information complémentaire à l’attention du client sur le pays dans lequel se situe le destinataire des données transférées, la nature des données transférées, la finalité du transfert et les catégories de destinataires des données transférées et les garanties assurant un niveau de protection adéquate des données.
Lorsque vous vous rendez sur le site Internet de la SMCC, des cookies sont susceptibles d’être déposés sur votre terminal (l’ordinateur, la tablette ou le smartphone).
Pour en savoir plus, vous pouvez consulter la page «Les Cookies».
Date de dernière mise à jour : 15/07/2024