Nos engagements en matière de protection de vos données personnelles.
Afin que vous puissiez naviguer sur le site www.ageo.fr en toute tranquillité, nous, AGEO Société par actions simplifiée au capital de 457 340 € dont le siège est 7 rue de Turbigo 75001 Paris, immatriculée sous le numéro 493 349 682 RCS Paris, dont le nom commercial est SG SANTE, société de courtage en assurances, en tant que responsable du traitement, vous exposons comment nous collectons, traitons et utilisons vos données personnelles, pour vous apporter au quotidien de nouveaux services plus performants dans le respect de vos droits.
Nous protégeons votre vie privée en assurant la protection, la confidentialité, la non altération, la disponibilité et la sécurité des données personnelles que vous nous confiez sur l’ensemble de nos canaux de communication.
SGSANTE a à coeur de s’inscrire dans ces préoccupations et a mis en place une politique de Confidentialité et de Protection des données à destinations de ses clients et prospects.
Nous prenons l’ensemble des mesures nécessaires afin de :
• vous fournir une information claire et transparente sur la manière dont vos données personnelles seront collectées et traitées;
• mettre en place toutes les mesures techniques et organisationnelles nécessaires pour protéger vos données personnelles contre la divulgation, la perte, l’altération ou l’accès par un tiers non autorisé;
• conserver vos données personnelles uniquement le temps nécessaire aux fins du traitement ou du service déterminé;
• vous offrir à tout moment la possibilité d’accéder et de modifier vos données personnelles que nous traitons directement via vos espaces personnels sur nos différents sites.
Notre volonté se traduit par le fait d’innover et de proposer de nouveaux services digitaux aux assurés dans un cadre réglementaire transparent, en introduisant dès la conception des services les principes de protection des données « privacy by design ».
Pour atteindre ces objectifs, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour nous assurer que les traitements sont conformes au droit applicable en matière de protection des données personnelles, couvertes notamment par les dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée dite « Loi Informatique et Libertés » et du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016, et leur application au sein de SGSANTE.
A quelles occasions collectons-nous vos données personnelles ?
En tant que Gestionnaire de contrats d’assurance collectifs ou individuels pour le compte d’une compagnie d’assurance, SGSANTE est amené à gérer de nombreuses données personnelles y compris des données dites sensibles telles que les données de santé.
Nous vous rappelons :
Constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un prénom, un numéro de contrat, un numéro de téléphone, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Constitue une donnée concernant la santé toute donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé passé, présent ou futur de cette personne.
La donnée médicale « recueillie ou produite à l’occasion des activités de prévention, de diagnostic de soins ou de suivi social et médico-social » (article L.1111-8 Code de la santé publique) fait partie des données concernant la santé.
Pourquoi SGSANTE traite vos données ?
SGSANTE ne traite les données personnelles que pour des finalités déterminées, explicites et légitimes et ne traite pas ces données de manière incompatible avec ces finalités.
SGSANTE traite vos données dans le cadre de la passation, la gestion et l’exécution d’un contrat d’assurance (en individuel et/ou en collectif). A cet effet, les finalités poursuivies par SGSANTE sont les suivantes :
• Gérer l’identité du client ou de l’utilisateur et l’authentifier
• Gérer la liquidation des prestations à la mise en œuvre des garanties
• Appeler et encaisser les paiements de cotisations
• Gérer les données personnelles, caractéristiques et droits d’un contrat
• Traiter les affiliations et les radiations aux contrats d’assurance
• Traiter les réclamations
• Communiquer au titre de la gestion de la clientèle
• Gérer les courriers entrants
• Recouvrer les impayés et gérer les pré-contentieux
• Gérer les demandes relatives aux droits des personnes concernées
• Stocker des données du client ou d’un utilisateur
• Proposer des services d’authentification
• Elaborer des statistiques et études actuarielles
• Exécuter des dispositions légales, réglementaires et administratives en vigueur
• Lutter contre la fraude, pouvant conduire à une inscription sur une liste de personnes présentant un risque et contre le blanchiment des capitaux et au financement du terrorisme
• Sonder les clients ou les utilisateurs
Quelles sont les données traitées ?
Selon le cas, SGSANTE traite vos données personnelles, directement collectées auprès de vous ou résultant de l’utilisation des produits ou services. SGSANTE est également susceptible d’être destinataire de données qui ont été collectées auprès de vous par un tiers.
SGSANTE ne traite une donnée ou une catégorie de données que si elle est strictement nécessaire à la finalité poursuivie. Vous pouvez retrouver des informations sur ces finalités ci-dessus. A cet effet, SGSANTE traite les catégories de données suivantes :
• Données d’identification : Nom, prénom, identifiant, SIREN…
• Caractéristiques personnelles : date de naissance, nationalité…
• Données de contact : adresse postale, email, numéro de téléphone…
• Vie personnelle : statut marital, nombre d’enfants, …
• Données économiques et financières : moyens de paiement, historique des paiements…
Conformément à la règlementation, nous ne collectons pas les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données personnelles génétiques, les données personnelles biométriques aux fins d’identifier une personne physique de manière unique, les données personnelles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Ces catégories de données personnelles particulières ne font jamais l’objet d’une collecte ou d’un traitement par SGSANTE.
Qui sont les destinataires de vos données personnelles ?
Nous veillons à ce que seules des personnes habilitées au sein de SGSANTE puissent accéder à vos données personnelles lorsque cela est nécessaire à l’exécution de votre contrat.
Nos prestataires de services peuvent également être destinataires des données personnelles strictement nécessaires à la réalisation des prestations que nous leur aurons confiées.
Des autorités publiques peuvent être également destinataires des données dans le cadre de réquisitions judiciaires ou administratives pour répondre à des exigences réglementaires : les données traitées peuvent enfin, être transmises aux autorités compétentes, à leur demande, dans le cadre de procédures judiciaires, dans le cadre de recherches judiciaires et de sollicitations d’information des autorités ou afin de se conformer à d’autres obligations légales.
Quelle est la pertinence de vos données ?
La finalité définie permet de déterminer la pertinence des données que nous allons collecter. Seules les données adéquates et strictement nécessaires pour atteindre la finalité seront collectées et traitées. Nous sommes, par ailleurs, tenus par la réglementation de vérifier que vos données sont exactes, complètes et à jour. Nous pourrons ainsi vous solliciter pour le vérifier et le cas échéant compléter votre dossier.
Comment sont stockées vos données personnelles ?
Les données sont stockées dans le respect de la législation française et de la réglementation européenne.
La finalité permet également de fixer la durée de conservation des données nécessaire à nos activités et spécifiquement prévue par la CNIL (normes pour le secteur de l’assurance) ou la loi (prescriptions légales), cette durée n’excède pas la durée nécessaire aux finalités. Ainsi, nous conservons les données que vous nous avez transmises dans le cadre des traitements liés à la gestion des contrats passés avec les sociétés d’assurances, ainsi que pendant les durées légales applicables après la fin des contrats.
Les données à caractère personnel ne doivent pas être conservées au-delà de la durée nécessaire à la finalité du traitement.
Les durées de conservation des données à caractère personnel traitées dans le cadre de la gestion des contrats d’assurance et de la relation clients varient en fonction des finalités prévues et sont conformes aux durées prévues par la réglementation. A cet égard, dans le cadre de la relation clients, les enregistrements téléphoniques sont conservés pour une durée maximum de six mois. De même, les résultats des enquêtes de satisfaction sont conservés pendant 18 mois. Les données des clients ou non clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale, soit à la date d’expiration d’un contrat, soit du dernier contact émanant du client ou du prospect.
Au terme de ces durées, nous pouvons procéder à l’archivage des données, notamment pour répondre aux délais de prescriptions des actions en justice.
Quel est votre droit à l’information ? Comment exercer vos droits ?
Suivant cette politique, chaque document de collecte de données est conforme à la règlementation en vigueur et informe en toute transparence la personne auprès de laquelle sont recueillies des données à caractère personnel.
A ce titre, vous êtes informés de :
• identité du responsable du traitement et, le cas échéant, de celle de son représentant;
• coordonnées de notre Délégué à la Protection des Données;
• finalité poursuivie par le traitement auquel les données sont destinées;
• destinataires ou catégories de destinataires des données;
• droits dont vous disposez à l’égard des traitements des données à caractère personnel à savoir :
– le droit d’accès : vous pouvez obtenir des informations concernant le traitement de vos données personnelles ainsi qu’une copie de ces données;
– le droit de rectification : si vous estimez que vos données personnelles sont inexactes ou incomplètes, vous pouvez demander à ce que ces données soient modifiées en conséquence;
– le droit d’opposition au traitement des données à caractère personnel pour des motifs légitimes, ainsi que d’un droit d’opposition à ce que ces données soient utilisées à des fins de prospection commerciale;
– le droit à la limitation des données à caractère personnel;
– le droit à l’effacement (ou à l’oubli) des données à caractère personnel : vous pouvez demander l’effacement de vos données personnelles sous réserve de l’application de votre contrat;
– le droit à la portabilité des données à caractère personnel : vous pouvez demander que les données personnelles que vous nous avez fournies vous soient rendues ou, lorsque cela est techniquement possible, transférées à un tiers;
– le droit de retirer à tout moment son consentement si elle a donné une autorisation spéciale et expresse pour l’utilisation de certaines de ses données, sous réserve que cette autorisation ne concerne pas les données nécessaires à l’application du contrat;
– le droit de définir des directives relatives au sort des données à caractère personnel après son décès.
Si vous souhaitez exercer à tout moment les droits listés ci-dessus, merci d’adresser le formulaire en annexe par courriel à l’adresse suivante : [email protected] en joignant une copie de votre pièce d’identité afin de nous permettre de vous identifier.
Nous vous fournissons nos éléments de réponses à vos demandes dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de vos demandes.
Conformément à la réglementation en vigueur, et en plus des droits mentionnés ci-dessus, vous avez également la possibilité d’introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés).
Quid du traitement des données de santé ?
SGSANTE peut être amené, dans le strict respect de l’objet de ses activités, à procéder au traitement de données concernant votre santé et a fortiori traiter vos données médicales. Sur ce point, outre le respect des principes précédemment exposés, SGSANTE apporte une attention particulière aux modalités de leur collecte et à la mise en œuvre de mesures de sécurité renforcées.
Le traitement des données concernant la santé de l’assuré, données sensibles au sens de la loi Informatique et Libertés et du RGPD, est soumis à son consentement écrit et préalable. En pratique, la conclusion du contrat d’assurance vaut recueil du consentement pour le traitement des données de santé à des fins de gestion du contrat. Pour tout autre service nécessitant le traitement de ces données, un consentement spécifique est recueilli.
Vos données médicales sont couvertes par le secret médical. Elles sont uniquement destinées à notre Service Médical et à toute personne placée sous la responsabilité du Médecin Conseil des compagnies d’assurance.
Nos mesures de sécurisation des données
Nos engagements de sécurité et de confidentialité : Respecter votre droit à la protection, à la sécurité et à la confidentialité de vos données, est notre priorité.
SGSANTE met en place des mesures de sécurité organisationnelles et techniques adaptées au degré de sensibilité des données personnelles pour les protéger contre toute intrusion malveillante, toute perte, altération ou divulgation à des tiers non autorisés.
Lors de l’élaboration, de la conception, de la sélection et de l’utilisation de nos services qui reposent sur le traitement de données personnelles SGSANTE prend en compte le droit à la protection des données personnelles dès leur conception.
à ce titre, par exemple nous procédons à la pseudonymisation ou à l’anonymisation, selon les cas, des données personnelles dès que cela est possible ou nécessaire.
Toutes les données personnelles étant confidentielles, leur accès est limité aux collaborateurs de SGSANTE ou prestataires agissant pour le compte de SGSANTE, qui en ont besoin dans le cadre de l’exécution de leurs missions. Toutes les personnes ayant accès à vos données sont liées par un devoir de confidentialité et s’exposent à des mesures disciplinaires et/ou autres sanctions si elles ne respectent pas ces obligations.
Les opérations avec un tiers destinataire font l’objet d’un contrat afin d’assurer la protection de vos données personnelles et du respect de vos droits.
Nous sommes totalement engagés pour une protection efficace des données personnelles que vous nous confiez. Dans ce souci permanent de sécurité et de protection, nous vous encourageons à faire preuve de prudence pour empêcher tout accès non autorisé à vos données personnelles et à protéger vos terminaux (ordinateur, smartphone, tablette) contre tout accès non souhaité, voire malveillant, par un mot de passe robuste, qu’il est recommandé de changer régulièrement. Si vous partagez un terminal, nous vous recommandons de vous déconnecter après chaque utilisation.
Notre délégué à la protection des données personnelles
Notre délégué à la protection des données personnelles (DPO) est disponible pour répondre à vos questions à l’adresse suivante :
Par mail à : [email protected]
Par courrier postal à : AGEO Assurances Délégué à la protection des données personnelles (7, rue de Turbigo 75001 Paris)
Les missions du DPO consistent à assurer la conformité et la sécurité des traitements de données à caractère personnel.
À quoi servent les cookies émis sur SGSANTE ?
Certains cookies sont indispensables pour naviguer sur notre site et utiliser ses fonctionnalités. Seul l’émetteur d’un cookie est susceptible de lire ou de modifier les informations contenues dans ce cookie. La page d’information d’utilisation des cookies et est disponible ci-dessus.
GLOSSAIRE
« Anonymisation » est définie comme « le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification (1);
« Collecter », s’entend du fait de recueillir des données à caractère personnel. Cette collecte peut s’effectuer, notamment, à l’aide de questionnaires ou de formulaires en ligne;
« Consentement », votre consentement s’entend de toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle vous acceptez, par une déclaration ou par un acte positif clair, que des données à caractère personnel vous concernant fassent l’objet d’un traitement;
« Données à caractère personnel » ou « données personnelles », désignent toute information se rapportant à une personne physique identifiée ou identifiable; qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
« Droits protégeant vos données personnelles » : désigne l’ensemble des droits fondamentaux tels que décrit dans la réglementation européenne (2), portant sur :
– le droit à l’information;
– le droit d’accès;
– le droit de rectification;
– le droit à l’effacement ou droit à l’oubli;
– le droit à la portabilité;
– les droits d’opposition;
– le droit à la limitation du traitement;
– le droit de définir des directives relatives à la conservation, l’effacement et la communication de ses données personnelles après sa mort.
« Limitation de traitement » s’entend du marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur (3);
« Minimisation » associé à celui de « données » évoque une limitation apportée à la collecte ou à l’utilisation d’informations;
« Mutualisation des données » s’entend du résultat de la mise en commun de bases de données clients ou prospects de plusieurs partenaires;
« Profilage » (4) s’entend comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique »;
« Produits ou services » s’entendent de l’ensemble des produits et services y compris technologiques (sites, applications et services associés) proposés ou qui seront proposés par SGSANTE;
« Pseudonymisation » s’entend par toute mesure de sécurité technique et organisationnelle qui consiste à remplacer un identifiant afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable.
« Responsable de traitement » est la personne ou l’organisme qui, seul ou conjointement, détermine les objectifs et les modalités de traitement de vos données personnelles;
« Segmentation comportementale » permet, à partir d’informations sur les comportements observés, d’établir le profil socio-économique, voire psychologique, d’une personne, afin de la classer dans un segment;
« Services en ligne » s’entendent des services numériques proposés par SGSANTE tels que site internet, applications, services associés ou services mobiles;
« Sous-traitant » est celui qui traite des données à caractère personnel pour le compte de la personne, de la structure ou de l’organisme responsable du traitement;
« Suivi du comportement des personnes », parfois dénommé « déduction de profil », désigne des techniques permettant d’évaluer des aspects comportementaux d’une personne physique relativement à son utilisation d’internet.
« Tiers » se réfère à toute personne autre que SGSANTE et vous-même;
« Traitement des données personnelles » signifie toute opération ou groupe d’opérations appliqué à vos données, quel que soit le support de service en ligne en question et le procédé utilisé.
(1) Avis 05/2014 du 10 avril 2014 du Groupe de travail article 29 sur les Techniques d’anonymisation (WP216)
(2) Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, art. 15 à 21 et art. 23
(3) Règlement UE 2016-679 du 27-4-2016, art. 4
(4) Règlement (UE) 2016/679 du 27-4-2016 : JOUE 2016 L 119 p.1, art. 4 §4.