Politique de protection des données

1. Préambule 

 

Conscient de l’importance d’assurer la protection et la confidentialité des données, la MGEFI prend des engagements forts vis-à-vis de la protection des données à caractère personnel.

 

La MGEFI s'engage à se conformer à la réglementation relative à la protection des données à caractère personnel actuelle et future et notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, « le règlement européen sur la protection des données »), ainsi que la loi dite « Informatique et Libertés » du 6 janvier 1978 modifiée.

 

Aussi, la présente politique de protection des données a pour objectif de vous informer sur les engagements et mesures pris afin de veiller à la protection de vos données à caractère personnel.

 

Cette politique s’adresse aux Utilisateurs du site « mgefi.fr » et aux Membres participants de la Mutuelle et leurs bénéficiaires au titre de leur adhésion à la MGEFI.

 

La MGEFI se réserve le droit de modifier ou de mettre à jour à tous moments la présente politique de protection des données, notamment pour la faire évoluer en fonction du contexte légal et réglementaire et de la doctrine de la Commission nationale de l’informatique et des libertés (CNIL). A ce titre, vous êtes invités à la consulter régulièrement.

 

 

2. Définitions 

 

Données à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable (personne concernée par le traitement).

Est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 

Traitement

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

 

Limitation du traitement

Le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur.

 

Fichier

Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

 

Responsable du traitement

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

 

Sous-traitant

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

 

Destinataire

La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers.

 

Tiers

Une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

 

Consentement

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

 

Violation de données à caractère personnel

Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

 

Données concernant la santé

Les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

 

Site : désigne le site internet accessible à l’adresse www.mgefi.fr. Le Site regroupe l’ensemble des pages web, services et fonctionnalités qui vous sont proposés en tant qu’Utilisateur.

 

Utilisateur : désigne toute personne qui accède et navigue sur le Site en vue de bénéficier des Services proposés.

 

Services : désigne l’ensemble des services proposés par la MGEFI aux Utilisateurs via le Site y compris les services proposés au sein de l’Espace adhérent.

 

Espace adhérent : désigne la partie du Site dédiée aux Utilisateurs ayant ouvert un compte, accessible uniquement après identification sur le Site et comportant un ensemble de services propres aux Utilisateurs ayant la qualité d’Adhérent.

 

Compte : désigne l’interface dans laquelle est regroupé l’ensemble des données fournies par les Utilisateurs ayant la qualité d’Adhérent.

 

Adhérent : désigne toute personne physique majeure douée de la capacité juridique ayant adhérer à la MGEFI conformément à ses statuts et ayant la qualité de Membre participant.

 

 

3. Responsable de traitement 

 

Les données à caractère personnel sont collectées et traitées par : 

 

Mutuelle Générale de l’Economie, des Finances et de l’Industrie – [MGEFI], Mutuelle soumise aux dispositions du livre II du code de la mutualité, immatriculée sous le numéro SIREN 499 982 098 et ayant son siège au 6, rue Bouchardon – CS 50070 – 75481 Paris Cedex 10.

 

Le présent document a pour objet de vous informer de la manière dont la MGEFI utilise et protége vos données personnelles, ainsi que des raisons pour lesquelles elle traite ces données.

 

 

4. Données collectées 

 

La MGEFI veille à ne collecter et utiliser que des données à caractère personnel qui lui sont strictement nécessaires dans le cadre de son activité pour vous proposer des produits et services de qualité.

 

La MGEFI peut être amenée à collecter différentes catégories de données personnelles auprès de vous, et notamment :

 

  • Informations d’identification et de contact (nom, prénom, lieu et date de naissance, numéro de Sécurité sociale, adresses postale et électronique, numéro de téléphone, sexe, âge ou signature) ;
  • Données d’identification et d’authentification notamment lors de l’utilisation de l’Espace adhérent ;
  • Situation familiale (statut marital, régime matrimonial, nombre d’enfants) ;
  • Informations relatives à l’emploi (statut, date de recrutement, administration d’appartenance, rémunération) ;
  • Informations bancaires et financières (coordonnées bancaires, mandat SEPA, informations sur les précomptes ou les prélèvements).

 

La MGEFI est amenée à collecter des données de santé (données sensibles) avec votre consentement :

  • pour l’exécution du contrat de complémentaire santé ;
  • ou pour la conclusion de contrat d’assurance lorsque cela est nécessaire.   

 

Sauf à ce que la législation l’impose, la MGEFI ne traite jamais les données relatives à vos origines raciales ou ethniques, vos opinions politiques, votre religion, vos convictions philosophiques ou votre appartenance syndicale, de même que les données génétiques, la vie ou orientation sexuelle.

 

Un registre des activités de traitement est tenu par la MGEFI pour toutes les catégories d'activité de traitement relevant de sa responsabilité.

 

La MGEFI veille à ce que les sous-traitants appelés à traiter des données à caractère personnel sur son instruction respectent la réglementation en vigueur et insère des clauses contractuelles ad hoc dans ses contrats de prestations.

 

La collecte des données à caractère personnel se fait au soutien de formulaires papier ou électronique (Site internet) notamment au moment de l’adhésion à la Mutuelle, ou lors de la visite et de l’utilisation de fonctionnalités et/ou services proposés sur le Site et son Espace adhérent.

 

Les données collectées sont nécessaires à la fourniture des services proposés. La non-fourniture des données demandées a pour conséquence de ne pas permettre la réalisation des services attendus.

 

 

5. Finalités de la collecte 

 

Les traitements mis en œuvre par la MGEFI répondent à des finalités explicites, légitimes et déterminées.

 

Il s’agit ici, pour la MGEFI, de vous indiquer pourquoi et sur quel fondement légal sont traités vos données à caractère personnel.

 

  • Pour exécuter un contrat conclu avec vous ou vous fournir des informations précontractuelles

 

La MGEFI utilise vos données personnelles pour conclure et exécuter les contrats y compris pour :

 

  • vous fournir des informations relatives à ses produits et services ;
  • vous assister lors de demande d’adhésion/souscription ;
  • la souscription des produits et services distribués par la MGEFI ;
  • dans le cadre de la gestion de la relation adhérent notamment :
  • gestion et exécution des produits et services ;
  • évaluation de vos besoins ;
  • distribution notamment de produits d’assurance, étant entendu que l’assureur ou le fournisseur du service, selon le cas, demeure par ailleurs responsable du traitement nécessaire à la mise en œuvre de l’opération d’assurance et à la fourniture du service.

 

  • Pour servir nos intérêts légitimes

 

La MGEFI utilise vos données personnelles pour mettre en place et développer ses produits ou services, optimiser sa gestion du risque et défendre ses intérêts en justice, y compris à des fins de :

 

  • preuve de transactions ou d’opérations ;
  • gestion informatique y compris gestion de l’infrastructure et continuité des activités ;
  • prévention de la fraude et des abus ;
  • recouvrement ;
  • analyses statistiques, notamment dans le but d’optimiser la gestion du risque ;
  • personnalisation de ses offres commerciales :
  • en améliorant la qualité des produits ou services d’assurance ;
  • en vous proposant des produits ou services correspondant à votre situation.

 

Ces propositions commerciales peuvent être réalisées par :

  • la segmentation des prospects et des adhérents ;
  • l’adaptation de l’offre de produits ou services compte tenu des produits ou services dont vous bénéficiez déjà et des données détenues.

 

  • Pour nous conformer à nos obligations légales et réglementaires

 

La MGEFI utilise vos données personnelles pour s’acquitter de différentes obligations légales et réglementaires, parmi lesquelles :

 

  • la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
  • la lutte contre la fraude ;
  • la conformité à une réglementation applicable ;
  • les réponses aux demandes officielles des autorités publiques ou judiciaires dûment autorisées.

 

  • Pour respecter votre choix lorsque nous demandons votre consentement

 

Dans certains cas, la MGEFI, pour utiliser vos données personnelles, doit requérir votre consentement. Il peut en être ainsi :

 

  • lorsque les finalités décrites ci-dessus donnent lieu à une prise de décision automatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative. La MGEFI vous informera alors de la logique sous-jacente ainsi que de l'importance et des conséquences prévues de ce traitement ;
  • si il est procédé à un traitement à des fins autres que celles décrites ci-avant. La MGEFI vous informera alors et, si nécessaire, vous demandera votre consentement.

 

 

6. Information des utilisateurs

 

Conformément à la réglementation relative à la protection des données à caractère personnel et notamment le règlement européen sur la protection des données, ainsi que la loi « Informatique et Libertés », la MGEFI vous informe sur les traitements de données à caractère personnel qu’elle met en œuvre. 

 

Ainsi, la MGEFI vous informe au moment de la collecte :

 

  • de l’identité  et des coordonnées du responsable du traitement ;
  • des coordonnées du délégué à la protection des données [Data Protection Officer (DPO)] ;
  • de la finalité poursuivie par le traitement auquel les données sont destinées, ainsi que de la base juridique du traitement ;
  • des destinataires des données à caractère personnel ;
  • le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
  • de la durée de conservation des données à caractère personnel traitées ;
  • de l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement vous concernant, ou du droit de s'opposer au traitement et du droit à la portabilité des données ;
  • lorsque le traitement est fondé sur le consentement, l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • du droit d’introduire une réclamation auprès d'une autorité de contrôle ;
  • sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si vous êtes tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
  • de l'existence d'une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée ;
  • lorsqu'elle a l'intention d'effectuer un traitement ultérieur pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, et vous fournit alors au préalable des informations au sujet de cette autre finalité et toute autre information complémentaire pertinente.

 

 

7. Destinataires des données 

 

Les destinataires des données à caractère personnel sont les personnels habilités de la MGEFI dans la limite de leurs attributions respectives.

 

Ces données pourront également être communiquées, le cas échéant, aux autres organismes assureurs auprès desquels l’Adhérent bénéficie de garanties ainsi qu’aux délégataires de gestion, intermédiaires d’assurance, partenaires, prestataires, réassureurs habilités et notamment aux organismes gestionnaires du régime obligatoire dans le cadre de procédures de télétransmission. 

 

Elles pourront également être divulguées aux autorités publiques ou judiciaires, sur demande et dans la limite de ce qui est permis par la réglementation.

 

Enfin, pourront encore être destinataires de ces données, certaines professions réglementées telles qu’avocats, notaires ou commissaires aux comptes. 

 

 

8. Transfert de données en dehors de l’Espace Economique Européen

 

La MGEFI ne procède à aucun transfert de données à caractère personnel en dehors de l’Espace Economique Européen (EEE) et s’évertue à ce que les données personnelles traitées par ses sous-traitants soient hébergées en France ou à tout le moins au sein de l’Union Européenne.

 

Néanmoins, s’il s’avérait que dans le cadre de traitements de données sous-traités, ceux-ci devaient être réalisés en dehors de l’Espace Economique Européen, les sous-traitants de la MGEFI devraient s’engager à procéder au transfert desdites données sur le fondement d’une décision d’adéquation rendue par la Commission européenne, reconnaissant au pays concerné un niveau de protection des données personnelles équivalent à celui prévu par la législation de l’EEE.

 

A défaut, le transfert devra se fonder sur la mise en place d’une des garanties appropriées pour assurer la protection de vos données personnelles (clauses contractuelles types approuvées par la Commission européenne, règles d’entreprises contraignantes). 

 

 

9. Conservation des données 

 

La MGEFI ne conserve vos données à caractère personnel que pendant le temps nécessaire aux opérations pour lesquelles elles ont été collectées et, dans le respect de la réglementation en vigueur, pour la durée spécifiquement prévue par la CNIL (normes pour le secteur de l’assurance) ou la loi (prescriptions légales). 

 

Ainsi, les données relatives aux Adhérents sont conservées pendant la durée des relations contractuelles, augmentée de 5 ans à compter de la cessation de ces dernières au titre du délai de prescription de droit commun. 

 

Les données relatives aux prospects sont conservées pendant une durée de 3 ans à compter de leur collecte ou du dernier contact de la MGEFI avec vous.

 

Ces durées de conservation de données à caractère personnel sont mentionnées dans le registre des activités de traitement de la MGEFI.

 

 

9. Sécurité 

 

La MGEFI assure la sécurité de vos données à caractère personnel en mettant en place une protection des données renforcée par l’utilisation de moyens de sécurisation physiques et logiques.

 

A ce titre, la MGEFI prend les précautions utiles, et notamment toutes mesures techniques et organisationnelles adaptées au risque afin de garantir la sécurité des traitements, au regard de la nature de vos données et des risques présentés par les traitements qu’elle met en œuvre, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (protection physique des locaux, procédé d’authentification avec accès personnel et sécurisé via des identifiants et mots de passe confidentiels, journalisation des connexions, chiffrement de certaines données,…).

 

 

10. Vos droits

 

Conformément à la réglementation en vigueur, vous disposez de différents droits :

 

  • Droit d’accès : vous pouvez obtenir des informations concernant le traitement de vos données à caractère personnel ainsi qu’une copie de ces données personnelles.
  • Droit de rectification : si vous estimez que vos données personnelles sont inexactes ou incomplètes, vous pouvez demander que ces données soient modifiées en conséquence.
  • Droit à l’effacement : vous pouvez demander l’effacement de vos données personnelles dans la limite de ce qui est permis par la réglementation.
  • Droit de communiquer des directives concernant le sort de vos données personnelles après votre décès : vous pouvez définir des directives relatives à la conservation, l’effacement ou la communication de vos données à caractère personnel, applicable après votre décès.
  • Droit à la limitation du traitement : vous pouvez demander la limitation de traitement de vos données personnelles.
  • Droit d’opposition : vous pouvez, pour des motifs légitimes liés à votre situation particulière, vous opposer au traitement de vos données personnelles.

Vous pouvez également, lorsque vos données personnelles sont traitées à des fins de prospection commerciale, y compris de profilage lié à cette prospection, vous opposer à tout moment audit traitement.

  • Droit à la portabilité de vos données : lorsque ce droit est applicable, vous pouvez demander à ce que les données personnelles que vous avez fournies à la MGEFI vous soient rendues ou, lorsque cela est possible techniquement, qu’elles soient transmises à un tiers.
  • Droit de retirer votre consentement : lorsque vous avez donné votre consentement, vous avez le droit de retirer celui-ci à tout moment. 

Ce retrait ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.

Dès lors que vous retirez votre consentement au traitement de données nécessaires à la prestation de service, vous ne pourrez plus alors bénéficier de cette prestation.

 

Pour l’exercice de ces droits, vous pouvez, en justifiant de votre identité par tout moyen adresser votre demande par courrier ou par courriel à l’adresse suivante : MGEFI – 6, rue Bouchardon – CS 50070 – 75481 Paris Cedex 10 ou dpo@mgefi.fr.

 

Pour l’exercice de certains droits et en cas de doute sérieux afin de confirmer votre identité, la MGEFI est susceptible de vous demander de fournir la copie d’un titre d’identité comportant la signature du titulaire.

 

Si vous estimez, après avoir contacté la MGEFI, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès d’une autorité de contrôle et notamment la Commission Nationale de l’Informatique et des Libertés [CNIL] sise 3, Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07 – Tél. : +33 (0)1.53.73.22.22, et accessible par formulaire.

 

Enfin, nous vous informons de l’existence de la liste d'opposition au démarchage téléphonique « Bloctel », sur laquelle vous pouvez vous inscrire.

 

11. Contact 

 

Pour toutes demandes d’information concernant notre politique de protection des données ou vos droits, vous pouvez adresser un courrier au délégué à la protection des données (ou Data Protection Officer [DPO]) de la MGEFI à l’adresse postale suivante : MGEFI – 6, rue Bouchardon – CS 50070 – 75481 Paris Cedex 10, ou à l’adresse de courrier électronique dpo@mgefi.fr.