La présente politique de protection des données à caractère personnel, décrit les méthodes que Lamie mutuelle utilise pour collecter, traiter et conserver les données à caractère personnel (ci-après les « données personnelles ») des salariés, des adhérents et prospects, lors de leur mission au sein de l’entreprise pour les premiers et de leur navigation sur le site www.lamie-mutuelle.com ou tout autre site créé par Lamie mutuelle et/ou de leur démarche auprès de l’ensemble des services de Lamie mutuelle, pour les seconds et troisièmes.
Cette politique peut être modifiée, complétée ou mise à jour afin notamment de se conformer à toutes évolutions légales, réglementaires, jurisprudentielles ou techniques. Cependant les données personnelles de l’adhérent ou du prospect seront toujours traitées conformément à la politique en vigueur au moment de leur collecte, sauf si une prescription légale impérative venait à en disposer autrement et serait d’application rétroactive.
Elle entend assurer la conformité de Lamie aux dispositions du Règlement général sur la protection des données n° 2016/679 du Parlement européen et du Conseil, adopté le 27 avril 2016 ainsi qu’à celle de la Loi n° 78-1 du 06 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, mise à jour par la Loi n°2018-493 relative à la protection des données.
En cas de non respect de ses obligations, Lamie s’expose à des sanctions pécuniaires de 10 à 20 millions d’euros ou de 2 à 4 % de son chiffre d’affaires.
-
Définitions
On entend par :
Donnée personnelle : toute information relative à une personnes physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auquel peut avoir accès le responsable de traitement ou toute autre personne.
Traitement : toute opération ou tout ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Un traitement de données personnelles peut être informatisé ou non.
Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou l’organisme qui traite des données personnelles pour le compte du responsable du traitement.
Personne concernée : la personne physique, dont les données personnelles sont traitées et qui est identifiée ou qui peut être identifiée.
Destinataire des données : toute personne habilitée à recevoir communication des données, autre que la personne concernée, le responsable de traitement, et les personnes qui, en raison de leur fonction, sont chargées de traiter des données.
Droit d’accès aux données personnelles : droit permettant à la personne concernée de savoir si des données personnelles la concernant sont traitées et lorsqu’elles le sont, le droit d’obtenir l’accès aux données personnelle traitées ainsi que les finalités du traitement, les catégories de données personnelles concernées, les destinataires, la durée de conservation des données personnelles, l’existence de leur droit de rectification ou d’effacement, de leur droit à la limitation du traitement ou du droit d’opposition au traitement, du droit d’introduire une réclamation auprès d’une autorité de contrôle,…
Droit de rectification des données personnelles : droit permettant à la personne concernée d’obtenir, dans les meilleurs délais, la rectification des données personnelles la concernant et qui sont inexactes.
Droit à l’effacement (droit à l’oubli) : droit permettant à la personne concernée d’obtenir, dans les meilleurs délais, l’effacement des données personnelles la concernant. Le responsable de traitement est notamment tenu d’effacer ces données personnelles lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées, lorsqu’elles ont fait l’objet d’un traitement illicite ou lorsque la personne concernée retire son consentement.
Droit d’opposition : droit permettant à la personne concernée de s’opposer à certains types de traitements spécifiques, notamment ceux réalisés à des fins de prospection directe, à des fins de profilage, ceux réalisés à des fins de recherche ou de statistiques.
Droit à la portabilité des données personnelles : droit permettant à la personne concernée de recevoir les données personnelles la concernant, qu’elle a fournies à un responsable de traitement, dans un format structuré, couramment utilisé, et de transmettre ces données à un autre responsable de traitement.
Droit à la limitation du traitement : dans ce cas, le responsable de traitement est seulement autorisé à conserver les données personnelles mais ne peut plus les traiter. Ce droit peut être exercé notamment lorsque la personne concernée conteste l’exactitude des données personnelles, le temps que ces données soient vérifiées ou lorsque le traitement est illicite mais que la personne concernée s’oppose à l’effacement de ses données personnelles.
Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fasse l’objet d’un traitement.
Faille de sécurité : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles, transmises, conservées ou traitées d’une autre manière que celle prévue, ou l’accès non autorisé à ces données.
2. Gouvernance et Délégué à la protection des données
Afin de se conformer au règlement européen sur la protection des données (RGPD), Lamie mutuelle a désigné un délégué à la protection des données auprès de la CNIL.
Ce délégué a pris ses fonctions le 25 mai 2018. A ce jour il s’agit de Vanessa NORRITO
Il a pour mission de :
- garantir l’intégration de la protection des données dans l’ensemble de l’organisation
- garantir la conformité au RGPD et aux règles internes
- être le référent et le point de contact de l’environnement extérieur de l’entreprise.
Au sein de Lamie mutuelle, le DPO s’appuie sur des relais métiers et notamment :
- la Responsable du contrôle de la délégation et de la gestion de l’offre internationale
- le Responsable organisation et transformation digitale
- le Directeur développement et marketing
- le Directeur contrôle et finances
S’inscrivant dans une démarche responsable et durable, la gouvernance de Lamie mutuelle applique le concept de « Privacy by design », selon lequel la protection des données à caractère personnel ne pourrait être assurée par le simple respect du cadre légal parfois en décalage avec les technologies actuelles, et par la même respecte ses sept principes fondamentaux :
- prendre des mesures proactives et non réactives, des mesures préventives et non correctives,
- assurer la protection implicite de la vie privée en veillant à ce que les renseignements personnels soient systématiquement protégés au sein des systèmes informatiques ou dans le cadre des pratiques internes,
- intégrer la protection de la vie privée dans la conception des systèmes et des pratiques,
- assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle. Ce principe a pour vocation d’imposer une mise en oeuvre du concept de Privacy by Design sans porter atteinte à l’activité de l’entreprise, en tenant compte de tous ses intérêts et objectifs légitimes,
- assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements,
- assurer la visibilité et la transparence,
- respecter la vie privée des utilisateurs.
La mise en application concrète du concept « Privacy by design » au sein de Lamie mutuelle est détaillée au sein d’une procédure générique.
3. Les engagements de Lamie mutuelle
3.1. La collecte des données personnelles : information et consentement
Lamie mutuelle s’engage à ne collecter que les données adéquates et strictement nécessaires pour atteindre la finalité du traitement.
La finalité du traitement est compatible avec l’objet de Lamie mutuelle tel que défini dans ses statuts.
3.1.1 Information
Lamie mutuelle s’engage à ce que chaque document de collecte de données informe la personne auprès de laquelle sont recueillies des données à caractère personnel :
- de l’identité du responsable de traitement, et le cas échéant de son représentant,
- de la finalité poursuivie par le traitement auquel les données sont destinées,
- du caractère obligatoire ou facultatif des réponses,
- des conséquences éventuelles, à son égard, d’un défaut de réponse,
- des destinataires ou catégories de destinataires des données,
- de ses droits à l’égard des traitements de ses données et des modalités pour exercer ces droits,
- de l’existence, le cas échéant, de transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne,
- de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés pour déterminer cette durée.
3.1.2 Consentement
Par principe, le recueil du consentement est obligatoire à partir du moment où le traitement porte sur des données personnelles.
Le recueil du consentement n’est cependant pas nécessaire :
- lorsque le traitement porte sur des données anonymisées qui, par définition, ne sont plus personnelles,
- lorsque le traitement relève de l’intérêt légitime de Lamie mutuelle (transfert de données personnelles à des fins administratives internes, sécurité informatique…)
- lorsque le traitement est nécessaire à l’exécution d’un contrat entre Lamie mutuelle et la personne concernée
Les données recueillis par Lamie mutuelle auprès de ses prospects et adhérents étant nécessaires à l’exécution d’un contrat, le consentement de la personne concernée n’est pas nécessaire.
Pour tous les autres cas de recueil de données, Lamie mutuelle s’engage à recueillir un consentement : - libre : réel choix de la personne qui le donne,
- spécifique : le consentement est valable pour une finalité,
- éclairé : la personne concernée a eu un minimum d’information,
- univoque : acte/déclaration positif
Lamie mutuelle s’engage à : - conserver la preuve du consentement
- développer des systèmes SI permettant de tracer les consentements et gérer les demandes de retrait de consentement.
3.1.3 Traitement des réclamations
Le traitement des réclamations fait l’objet d’une procédure spécifique.
3.2 Le traitement des données personnelles
Lamie mutuelle s’engage à traiter les données de manière pertinente, adéquate et non excessive au regard des finalités pour lesquelles elles ont été collectées.
3.2.1 Registre des traitements et criticité
Pour se faire, Lamie mutuelle tient à jour un registre des traitements, déclinant l’ensemble des traitements des données personnelles.
Ce registre des traitements est régulièrement mis à jour et a minima revu annuellement.
Au regard de ce registre, Lamie mutuelle identifie les traitements critiques en se basant sur des critères d’évaluation qui sont à la fois imposés par la CNIL et spécifiques à l’entreprise.
Les traitements identifiés comme critiques font l’objet d’une analyse de risques, intégrant :
- une description systématique des traitements envisagés et des finalités poursuivies,
- une analyse de la proportionnalité des activités de traitement au regard des finalités poursuivies,
- une évaluation du risque pour les droits et libertés des personnes concernées,
- les mesures envisagées pour atténuer ce risque.
A noter que la « vie » du registre des traitements ainsi que la gestion de leur criticité font l’objet d’une procédure spécifique.
3.2.2 Durée de conservation des données
Lamie mutuelle s’engage à ne conserver les données collectées que pour la durée nécessaire à leur finalité.
La personne concernée est informée de la durée de conservation de ses données.
L’ensemble des données collectées et archivées font l’objet de mesures de suppression et de sauvegarde.
Cette durée est définie dès la mise en place du traitement dans le cadre d’une procédure spécifique qui prévoit également les modalités relatives à leur suppression.
Lamie mutuelle se réserve le droit d’anonymiser certaines données afin de les conserver au-delà des durées de conservation légales à des fins statistiques ou de recherche. Ces données anonymisées qui ne permettent plus l’identification d’une personne, ne sont pas soumises au RGPD.
3.2.3 Cas de transfert des données
Lamie mutuelle ne transfère aucune donnée personnelle en dehors de l’Europe.
Lorsque des données personnelles sont transmises à un partenaire, délégataire (…), Lamie mutuelle s’oblige à encadrer contractuellement l’utilisation de ces données.
Dans l’éventualité d’un transfert de données à caractère personnel vers un pays situé en dehors de l’Union européenne, qui s’inscrirait dans le cadre de la finalité poursuivie par le traitement auquel les données sont destinées, les destinataires auraient uniquement communication des catégories de données nécessaires à la réalisation de ladite finalité. Par ailleurs, chaque document de collecte de données informerait la personne concernée de l’existence de transferts de données à caractère personnel à destination d’un état non membre de l’union européenne.
3.3 La sécurisation du système
Lamie mutuelle s’engage à prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Ces mesures techniques et opérationnelles s’appliquent aux données personnelles traités informatiquement par Lamie mutuelle ou un de ses sous-traitant (délégataire,….), ainsi que les données « papier ».
La sécurisation du système fait l’objet d’une procédure spécifique, intégrant notamment les process de sécurité physique, de sécurité des infrastructures, de transfert et de gestion des habilitations.
Concernant les partenaires et fournisseurs de Lamie mutuelle, une politique spécifique mentionne les obligations relatives à la contractualisation, au traitement et aux transferts des données personnelles.
Lamie mutuelle s’engage à notifier toute faille de sécurité à la CNIL, dans un délai maximum de 72 heures suivant sa découverte et à évaluer la nature de la violation, sa portée, ses conséquences et les mesures pour les limiter ou y remédier.
Lamie mutuelle s’engage à notifier toute faille de sécurité aux personnes concernées, dès que possible, en cas de risque élevé pour leurs droits.
3.4 Sensibilisation et formation à la protection des données
Pour se conformer aux nouvelles obligations imposées par le RGPD, Lamie mutuelle s’engage à sensibiliser et former ses salariés au thème de la protection des données personnelles en l’intégrant dans le dispositif de formation continue.
Les actions de formation et de sensibilisation devant être segmentées selon le public auquel elles s’adressent, le plan de formation sera élaboré en collaboration avec le délégué à la protection des données.
Le contenu de la formation est ciblé en fonction du degré d’exposition des collaborateurs.
L’utilisation de différents canaux comme par exemple la diffusion de mails ou de notes d’informations, est considéré comme une action contribuant au dispositif de formation.
Lamie mutuelle s’engage à tenir un registre des formations suivies afin de pouvoir informer l’autorité de contrôle en tant que de besoin.
La protection des données personnelles traitées dans le cadre de la gestion des ressources humaines liée à l’activité de la mutuelle en tant qu’entreprise fait l’objet d’une procédure spécifique.