Cadre général
Les présents principes d’application de la protection des données personnelles ont pour objectif de définir les principes et lignes directrices mises en œuvre par la Mutuelle Saint-Martin. Ce document a pour objectif de définir nos engagements et les moyens mis en œuvre pour y parvenir.
Nos adhérents, donateurs et collaborateurs sont aujourd’hui très attentifs à leurs données personnelles et à leur protection (notamment les données financières ou de santé). Ils attendent que leur vie privée soit respectée et que les entités auxquelles ils confient leurs données soient en mesure de les protéger.
Nous attachons une grande importance au quotidien à ces principes ou de confiance, et ce, quelques soient les actions que nous entreprenons.
Nous nous engageons sur trois engagements forts :
- Les données sont localisées dans l’Union Européenne.
- Nous ne vendons pas les données qui nous confiées.
- Nous interdisons l’utilisation de données à des finalités que nous n’aurions pas portées à la connaissance des personnes concernées ou sans leur autorisation.
POLITIQUE DE PROTECTION DES DONNEES
I. Présentation de la Mutuelle Saint-Martin
Historiquement mutuelle du « Clergé », la Mutuelle Saint-Martin propose, en complément des gammes spécifiques pour les prêtres, religieuses et religieux, un ensemble innovant et performant de solutions de complémentaire santé à destination des particuliers, des professionnels indépendants, des associations et des entreprises, et tout particulièrement des salariés des établissements de santé, et des salariés et enseignants de l’enseignement catholique.
Ainsi, la mutuelle propose à tous ceux qui se reconnaissent dans ses valeurs chrétiennes de solidarité, de partage, de justice et d’équité une couverture adaptée à leurs besoins et leur budget, sans questionnaire médical et sans limite d’âge.
II. Les principes de protection de vos données personnelles
La législation applicable à la protection des données à caractère personnel est issu de la loi « Informatique et libertés » du 6 janvier 1978. La protection des données à caractère personnel est un enjeu, tant au niveau national qu’européen.
Le Règlement Général sur la Protection des Données à caractère personnel (ci-après désigné par le RGPD), entré en vigueur le 24 mai 2016 puis entré en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne, remplace la Directive européenne sur la protection des données personnelles (Directive 95/46/CE).
A. Données à caractère personnel
Une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable. En raison de ses activités, la Mutuelle Saint-Martin est amenée à collecter et manipuler des données personnelles. Certaines de ces données, dites sensibles, font l’objet d’obligations particulières. Ces données sont collectées dans le cadre strict des missions de la mutuelle.
Lors de la collecte, nous informons les personnes physiques des points suivants :
- Finalité(s) du traitement
- Destinataire(s) du document
- Base(s) juridique(s) du traitement, ou détail des intérêts légitimes du traitement, caractère obligatoire ou facultatif et conséquences éventuelles de la non-fourniture des données
- Toute intention d’effectuer un transfert de données hors de l’Union Européenne
- Durée de conservation des données
- Rappel des droits de la personne et procédure d’exercice de vos droits
- Toute prise de décision automatisée, y compris un profilage.
B. Registre des traitements
La Mutuelle Saint-Martin maintient un registre des traitements. La liste de ces traitements est disponible sur simple demande. Il est construit selon les instructions de la Commission Nationale Informatique et Libertés (CNIL).
Ce registre décrit :
- Les catégories de données traitées
- Les parties prenantes (représentants, sous-traitants, co-responsables…) intervenant sur le traitement
- Les finalités ou sous-finalités du traitement de ces données
- Les destinataires qui accèdent aux données et les personnes à elles sont communiquées
- La durée de conservation
- Les mesures de sécurisation
C. Etude d’impact
Le RGPD a supprimé les déclarations préalables de traitement à la CNIL. En contrepartie, la Mutuelle Saint-Martin s’assure que les traitements mis en place ne présentent pas de risques importants ou critiques pour la vie privée.
En cas de risques importants avérés et contraires à nos engagements, plusieurs actions de réduction sont déployées par les équipes opérationnelles.
La mutuelle a mis en place le principe de transparence aux termes duquel elle doit être ne mesure de démontrer à tout moment la conformité de ses activités de traitement à la réglementation applicable.
D. Prise en compte des contraintes RGPD en amont des projets
La Mutuelle Saint-Martin évolue et innove dans la gestion administrative des adhérents. La mise en place de nouvelles solutions intègre en amont des réflexions les contraintes RGPD. Il en va de même lorsque le processus est sous-traité à un organisme tiers.
E. Sous-traitants
La Mutuelle Saint-Martin délègue une partie des traitements à des sous-traitants qui sont sélectionnés pour leurs capacités à répondre aux engagements de qualité que nous nous imposons.
Ces obligations sont encadrées contractuellement et des audits sont menés dans le cadre du plan d’audit annuel.
F. Contrôle interne et externe
Outre les contrôles de conformité qui peuvent être menés en interne, la CNIL peut avoir accès aux heures ouvrables pour l’exercice de ses missions. Aux lieux et aux locaux servant à la mise en œuvre des traitements des données personnelles.
La CNIL peut demander la communication de tous les documents nécessaires à l’accomplissement de ses missions, quel qu’en soit le support, en prendre copie, accéder aux programmes informatiques et aux données.
III. Notre organisation relative à la protection des données
La Mutuelle Saint-Martin s’appuie sur une organisation interne lui permettant de répondre à ses engagements et aux enjeux de la réglementation.
A. Rôles et responsabilités
Afin de gérer au mieux sa conformité vis-à-vis de la réglementation de protection des données, la Mutuelle Saint-Martin a désigné un délégué à la protection des données (DPO, data protection officer).
Cette fonction est assurée par la Secrétaire Générale administrative de l’Union Saint-Martin.
Le DPO tient un registre des traitements qui couvre tous les traitements réalisés. Il est consulté avant la mise en œuvre ou la modification d’un traitement. Son analyse porte sur : la finalité, la proportionnalité, la pertinence des données au regard de la finalité, la durée de conservation des données, leurs destinations, l’encadrement des relations avec les sous-traitants, les mesures de sécurité, l’information des personnes concernées et les modalités d’exercice de leur droit à et l’encadrement des flux transfrontière de données.
Il est à noter que le DPO n’est pas personnellement responsable en cas de non-conformité de son organisme avec le RGPD.
B. Relation avec les instances
Les avis et recommandations du DPO doivent être recherchés avant toute mise en œuvre d’un nouveau traitement. Il a également un rôle d’alerte. Il informe les instances des manquements constatés et le conseille dans la réponse à apporter pour y remédier.
Le thème de la protection des données personnelles est prévu au moins une fois par an à l’ordre du jour du conseil d’administration de la Mutuelle Saint-Martin.
C. Relation avec les équipes opérationnelles
Le DPO assure la sensibilisation des acteurs impliqués dans le fonctionnement de la mutuelle et si nécessaire leur formation via des sessions de formation ad-hoc.
En lien avec le DPO, les managers doivent :
- Organiser des informations relatives à tous nouveaux projets de traitement des données pour permettre l’échange avec le DPO et le responsable du pôle opérations
- Sensibiliser les équipes à la protection des données
- Participer aux projets relatifs à la protection des données personnelles
- Assurer un niveau d’alerte continu sur la conformité à la protection des données dans ses équipes
Les équipes sont :
- Formées aux principes et enjeux de la protection des données personnelles
- Soumises à une obligation de confidentialité
IV. Procédure en cas de violation des données
La Mutuelle Saint-Martin a mis en place une procédure de gestion des incidents de sécurité permettant de détecter, évaluer et répondre à une violation des données. Les incidents sont remontés immédiatement au DPO par les équipes des différents sous-traitants. L’incident est formalisé dans un formulaire prévu à cet effet et fait l’objet d’une évaluation des risques. Nous recherchons la ou les causes de cette violation, dans l’optique d’en prévenir ou d’en atténuer les effets.
Lorsqu’un incident de violation est détecté, la mutuelle prend toutes les mesures nécessaires pour empêcher qu’il ne se reproduise. Un compte-rendu est formalisé et archivé.
Une notification des personnes concernées est réalisée en fonction de la gravité de la violation.
V. Procédure de gestion des demandes d’exercice des droits des personnes
Les personnes pour lesquelles nous traitons les données peuvent formuler leurs demandes auprès de notre DPO. Cette demande peut être effectuée :
- Par courrier : Secrétariat Général de l’Union Saint-Martin, 3 rue Duguay Trouin, 75006 Paris
- Par mail : DPO@unionsaintmartin.fr
Les demandes seront archivées et traitées dans notre système de relation client. Elles peuvent être de plusieurs ordres :
- Demande d’accès
- Demande de rectification
- Demande de suppression/effacement
- Demande de portabilité
- Demande de limitation de traitement
- Demande d’organisation de directives après le décès
Chaque demande fera l’objet d’une vérification d’identité avant réponse par le DPO :
- Via transmission de la carte d’identité nationale
- Puis via un appel téléphonique de confirmation
Le responsable de traitement doit répondre à la demande de la personne concernée afin d’exercer les droits que lui confèrent le RGPD et la loi « Informatique et libertés ». Le responsable de traitement doit fournir à la personne concernée les informations dans les meilleurs délais et en tout état de cause dans le délai d’un mois à compter de la réception de la demande et la vérification du demandeur. Ce délai peut être porté à deux mois si la demande est complexe.
Les réponses du DPO seront archivées dans notre système de relation client.
VI. Mesures de sécurité du système d’information
La Mutuelle Saint-Martin a confié son système d’information auprès d’une société extérieure. Ce partenaire de confiance permet d’assurer la confidentialité, la disponibilité et l’intégrité des données.
VII. Notice d’informations pratiques sur les données traitées pour les adhérents
A. Pourquoi traitons-nous vos données ?
La Mutuelle Saint-Martin ne traite vos données à caractère personnel que pour des finalités déterminées, explicites et légitimes qui vous sont précisées ci-après :
- Proposition de devis pour une offre d’assurance santé
- Emission d’une offre d’assurance santé
- Gestion de votre contrat d’assurance santé
- Gestion de vos prestations santé
- Encaissement des cotisations
- Gestion de la relation client
- Gestion de l’Entraide au niveau national et au niveau des sections locales
- Gestion des opérations d’information et de prévention
- Réalisation des contrôles et diligences réglementaires en matière de lutte contre le blanchiment d’argent et le financement du terrorisme
Les données que nous vous demandons sont nécessaires à l’accomplissement des points mentionnés ci-dessus. Celles-ci sont conservées pour la durée nécessaire à l’accomplissement des finalités mentionnées ci-dessus telles que prescrites par la loi applicable.
Nous pourrons également traiter vos données pour répondre à nos obligations légales ou règlementaires. A cet effet, les finalités que nous pourrions poursuivre seraient :
- Conserver les données requises pour être mesure de répondre aux obligations légales
- Gérer les demandes de communication de données des autorités habilitées comme la CNIL ou l’ACPR (Autorité de contrôle prudentiel et de résolution)
Vos données seront conservées le temps nécessaire pour nous permettre de répondre à nos obligations légales.
B. Quelles sont les données traitées ?
Nous traiterons les données que vous nous aurez directement fournies ou qui nous ont été transmises par votre employeur ou par les organismes sociaux habilités (CPAM…).
Ces données personnelles pourront être des :
- Données d’identification : Nom, sexe, prénom, identifiant, SIREN…
- Caractéristiques personnelles : date de naissance, NIR…
- Données de contact : adresse postale, email, numéro de téléphone…
- Vie personnelle : statut marital, nombre d’enfants à charge…
- Données financières et économiques : IBAN, revenu, situation fiscale
Nous collectons également des données personnelles dites sensibles :
- Données de santé : Facture de soins…
- Données personnelles d’enfants mineurs : Nom, prénom, date de naissance…
C. Quels sont les destinataires de vos données ?
Vos données collectées sont destinées aux services internes de la Mutuelle Saint-Martin, à ses sous- traitants participant à la gestion de votre contrat d’assurance santé ainsi qu’à ses prestataires de services informatiques. La liste est disponible sur demande auprès du DPO.
La Mutuelle Saint-Martin Action Sociale est destinataire également de vos données pour :
- gérer les demandes d’entraide
- proposer l’entraide à des populations cultes éligibles
Vos données seront également transmises à certaines structures médicales pour l’établissement de prise en charge notamment.
Les données traitées peuvent enfin, être transmises aux autorités compétentes, à leur demande, dans le cadre de procédures judiciaires, dans le cadre de recherches judiciaires et de sollicitations d’information à la demande des autorités ou afin de se conformer à d’autres obligations légales.
D. Ou sont localisés vos données ?
Vos données sont traitées en France. Les données transmises à nos prestataires sont localisées au sein de l’UE et sont soumis à la réglementation RGPD.
E. Quels sont vos droits ?
Vous disposez à tout moment d’un droit d’accès, de rectification, et sous certaines conditions d’effacement, de limitation, d’opposition et de portabilité de vos données à caractère personnel ainsi que du droit d’organiser des directives après votre décès.
Vous disposez également du droit d’introduire une réclamation auprès d’une autorité de contrôle en charge de la protection des données personnelles.
Le Délégué à la Protection des Données de la Mutuelle Saint-Martin peut être contacté soit par email à l’adresse dpo@mutuellesaintmartin.fr, soit par courrier à l’adresse 3 rue Duguay Trouin 75006 PARIS.
F. Comment les données sont-elles sécurisées ?
Nous nous assurons que vos données sont traitées en toute sécurité et confidentialité, y compris lorsque certaines opérations sont réalisées par des sous-traitants. A cet effet, les mesures techniques et organisationnelles appropriées pour éviter la perte, la mauvaise utilisation, l’altération et la suppression des données personnelles vous concernant sont mises en place. Ces mesures sont adaptées selon le niveau de sensibilité des données traitées et selon le niveau de risque que présente le traitement ou sa mise en œuvre.