Politique de protection
des données personnelles
Objet de la politique
Le groupe CEGEDIM a toujours été particulièrement vigilant concernant les questions relatives à la protection des données personnelles, celles-ci étant en effet au coeur de ses métiers depuis de nombreuses années.
La présente Politique de Protection des Données Personnelles décrit les mesures générales mises en œuvre par CEGEDIM ACTIV en vue d’une protection adéquate des données personnelles que la société est amenée à
traiter. Elle informe sur les catégories de données à caractère personnel que nous traitons, la façon dont nous les utilisons, les catégories de destinataires auxquels nous les communiquons, les principes
généraux de sécurité et de conformité appliqués ainsi que sur les droits dont disposent les utilisateurs du site www.cegedim-insurance.com. L’ensemble des principes édités sont en adéquation avec les valeurs du Groupe
CEGEDIM telles que figurant dans sa Charte Ethique. Cette Politique pourra être modifiée par CEGEDIM ACTIV notamment en vue d’être adaptée aux évolutions et /ou aux changements du droit
applicable et/ou des pratiques internes du Groupe CEGEDIM.
Définitions
-
Délégué à la protection des Données (DPO) : Personne physique chargée d’informer et conseiller le responsable de traitement ou le sous-traitant ainsi que les collaborateurs qui procèdent à un Traitement
de données, contrôler le respect du RGPD et des règles internes ainsi que piloter les orientations prises par le Responsable de traitement, conseiller sur demande en ce qui concerne les analyses d’impact et vérifier
l’exécution de celles-ci, être le point de contact et coopérer avec la CNIL.
- Destinataire : Personne physique ou morale, autorité publique, service ou tout autre organisme qui reçoit communication des Données, qu’il s’agisse ou non d’un tiers.
-
Données à Caractère Personnel (« Données personnelles ») : Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un
identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique,
économique, culturelle ou sociale.
-
Données concernant la santé : Données relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de
santé de cette personne.
- Données sensibles : Informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle.
-
Portabilité : Droit pour la personne concernée par le Traitement de ses Données à les recevoir dans un format structuré, couramment utilisé et lisible par une machine. Elles sont fournies par le
Responsable de traitement directement à la personne concernée ou à un autre Responsable de Traitement.
-
Traitement de donnée : Toute opération appliquée à des données telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, ou la modification, l’extraction,
la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
- Responsable de traitement : Personne physique ou morale, service ou organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de ce traitement.
-
RGPD : Règlement Général pour la Protection des Données qui est applicable à compter du 25 mai 2018.
-
Sous-traitant : Personne physique ou morale, service ou organisme qui traite des données pour le compte du responsable de traitement.
Les données traitées
La présente Politique de protection des données personnelles s’applique aux Données traitées par CEGEDIM ACTIV, collectées dans le cadre de votre utilisation des services du site www.cegedim-insurance.com et pour la
promotion de nos offres.
Les catégories de données collectées sont :
-
Données d’identification : Nom, Prénom, civilité, Fonction
- Données de contact : E-mail, N° de téléphone (fixe et/ou mobile), société
- Adresse IP, données de connexion et utilisation du site (si acceptation de gestion des cookies)
Les données que CEGEDIM ACTIV est amené à traiter le sont dans le respect des grands principes suivants :
- Le respect des finalités : Les Données sont collectées et/ou traitées pour un usage déterminé, explicite et légitime par CEGEDIM ACTIV en tant que Responsable de traitement
- Proportionnalité et loyauté : Les données sont traitées et/ou collectées dans le respect des principes de proportionnalité et de loyauté.
-
La pertinence et la minimisation des Données : Il est important pour CEGEDIM ACTIV que les Données traitées soient adéquates, pertinentes et non excessives au regard des objectifs poursuivis.
-
La conservation de Données : Les Données sont conservées en base active pour la durée nécessaire à la finalité du Traitement pour lequel elles ont été collectées. Au-delà, elles peuvent être soit
archivées, soit effacées en fonction notamment des obligations de conservation légales ou règlementaires.
Destinataires
Toutes les données à caractère personnel sont traitées par le personnel habilité de CEGEDIM ACTIV, des partenaires ou prestataires du groupe CEGEDIM. Le recours à ces partenaires ou prestataires est
nécessaire à la bonne exécution des traitements. Si ces destinataires sont amenés à traiter les données en dehors de l’Union européenne, les transferts sont réalisés dans le respect de la Réglementation.
Sécurité des données
CEGEDIM ACTIV s’est toujours attaché à mettre en œuvre les mesures techniques et organisationnelles appropriées afin d’avoir un niveau de sécurité des données adapté au risque.
L'hébergement des données est réalisé par Cegedim.cloud, hébergeur certifié en conformité avec la réglementation en vigueur, RCS 790 173 066, 137 rue d'Aguesseau 92100 Boulogne Billancourt.
L'hébergement est réalisé exclusivement en France métropolitaine. Les activités d'hébergement et d'infogérance de Cegedim.cloud sont certifiées ISO 27001 :2017, ISO 20000-1 :2018, HDS et ISO 27017:2015 et ISO
27018:2014 et font donc l'objet d'audits de sécurité réguliers
La sécurité des données est également intégrée dans les contrats :
-
Avec les salariés de CEGEDIM ACTIV : Des clauses de confidentialité sont intégrées aux contrats de travail et des accords de confidentialité complémentaires peuvent être signés en cas d’accès à de la donnée particulièrement sensible.
-
Avec nos prestataires : Les contrats standards comportent des clauses relatives à la confidentialité et la sécurité des données ainsi que des clauses permettant d’auditer la réalisation des prestations notamment sur l’aspect sécurité.
Bases légales des traitements
Les données personnelles sont collectées et traitées uniquement sur la base de votre consentement.
- Pour traiter votre demande lorsque vous nous contactez via notre formulaire de contact
- Dans le cadre de la promotion de nos offres
- Dans le cadre de la gestion de nos cookies
- Pour améliorer la navigation sur le Site, la qualité des services proposés
- Pour gérer les demandes relatives à vos droits ⁻ Pour réaliser des statistiques notamment sur les activités réalisées sur le Site
- Pour prévenir et lutter contre la fraude informatique
- A des fins de réalisation d'enquêtes marketing (notamment de satisfaction), d'organisation de formations, de séminaires et/ou de réalisation d'opérations de mécénat
Des garanties appropriées pour les transferts internationaux de Données hors de l’Union Européenne
Dans le cas où CEGEDIM ACTIV doit transférer des Données Personnelles hors de l’Union Européenne, CEGEDIM ACTIV s’assure que des garanties adéquates telles que celles prescrites par la législation applicable en matière de protection des données sont mises en œuvre (telles que notamment les Clauses Contractuelles Type de la Commission Européenne).
La formation à la réglementation des données personnelles et à la sécurité
Le Groupe Cegedim a mis en place une formation en elearning obligatoire suivi d’une évaluation des connaissances sur le RGPD. Cette formation a été déployée en multilingue sur l’ensemble des collaborateurs du groupe. Par
ailleurs, le Groupe Cegedim réalise depuis de nombreuses années des sessions de sensibilisation à la sécurité des données à destination de ses collaborateurs. Ces formations peuvent être complétées par des parcours de
sensibilisation mis en place par CEGEDIM ACTIV.
Conflit entre la présente Politique et les lois applicable en matière de propriété intellectuelle
En cas de conflit entre la présente politique et la réglementation applicable, cette dernière prévaudra.
Les sanctions
Le personnel du Groupe a été particulièrement sensibilisé quant aux sanctions lourdes susceptibles d’être encourues sous l’empire du RGPD et rappelées ci-après.
Pourront être sanctionnées d’une amende de 10 millions d’euros ou 2% du CA mondial les violations des dispositions relatives :
- Au principe de minimisation des données (article 5. 1. C),
-
Aux obligations générales du responsable de traitement (articles 24 s) : registre des activités de traitement, coopération avec la CNIL, sécurité, notification d’une violation de données, analyse d’impact, consultation
préalable, délégué à la protection des données
- A la Certification (article 42)
- Aux Codes de conduite (article 40)
Pourront être sanctionnées d’une amende de 20 millions d’euros ou 4% du CA mondial les violations des dispositions relatives :
- Aux principes de base d’un traitement : licéité, consentement, traitement portant sur des catégories particulières de données (articles 5, 6, 7 et 9)
- Aux droits des personnes concernées : transparence, information, accès, rectification, effacement, portabilité, opposition, profilage (articles 12 à 22)
- Aux transferts hors UE (articles 44 à 49) – A la liberté d’expression, l’accès aux documents administratifs, numéro d’identification national, relations de travail, archives, secret (articles 85 à 91)
- Aux Injonctions de la CNIL, enquêtes de la CNIL (article 58)
Liste des sous-traitants
Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, CEGEDIM ASSURANCES met à disposition des utilisateurs du site https://www.cegedim-insurance.com la liste exhaustive des sous-traitants agissant sur les traitements du site pour son compte. Cette liste est intégrée dans la politique de protection des données, publiée sur le site.
Nom du fournisseur
|
Localisation de la prestation
|
Coordonnées
|
Activités sous-traitées
|
Date d'effet de la sous-traitance
|
Date de fin de la sous-traitance
|
Hubspot
|
FRANCE
|
HUBSPOT
24 rue Cambacénès, 75008, PARIS
|
CRM/ marketing automation
|
30/09/2017
|
|
Markentive
|
FRANCE
|
MARKENTIVE
11 rue Milton, 75009, PARIS
|
Marketing de contenu
|
13/03/2019 |
|
A propos de vos accès
Vous pouvez accéder à tout moment aux données personnelles vous concernant, et pouvez demander leur rectification, leur effacement (dans la mesure où cela n’empêche pas la bonne exécution des traitements ou le respect des
obligations légales).
Vous disposez également du droit de modifier ou de retirer, à tout moment, les consentements que vous nous avez accordés pour le traitement de vos données à caractère personnel.
Vous disposez par ailleurs du droit de vous opposer à un traitement de vos données à caractère personnel et du droit à leur portabilité, dans les conditions fixées par la Réglementation et
dans le respect des Conditions Générales d’Utilisation du site
Actualisation des données transmises
Il est important que les informations que vous nous transmettez soient exactes et à jour et que vous nous informiez sans délai de tout changement significatif vous concernant.
Modalité d'exercice
Pour exercer ces droits, vous pouvez nous contacter par courrier électronique à l'adresse suivante : dpo.cegedimassurances@cegedim-activ.fr ou en écrivant à l'adresse suivante : Cegedim Activ – DPO – 114-116 rue
d'Aguesseau – 92100 Boulogne-Billancourt. Vous devrez indiquer les Données Personnelles que vous souhaitez corriger, rectifier ou effacer et vous identifier de manière précise avec une copie de pièce d'identité. Nous
ferons le nécessaire pour répondre de manière satisfaisante à vos demandes et conformément à la législation et règlementation en la matière.
Vous pouvez adresser une réclamation auprès de la CNIL lorsque vous ne parvenez pas à exercer vos droits ou que vous souhaitez signaler une atteinte aux règles de protection des données personnelles par un
organisme public ou privé. https://www.cnil.fr/fr/plaintes
Délégué à la protection des données
Le DPO de CEGEDIM ACTIV, Mme Elisabeth PERETTI peut être contacté pour toute question/demande concernant l’application du règlement européen. dpo.cegedim-assurances@cegedim-activ.fr